Quella che segue è la traduzione di un interessante articolo tratto dal blog The Hacker’s Choice, in cui i redattori offrono un interessante spunto di ragionamento sulla vicenda dell’arresto di Pavel Durov e, con ciò, mettere sul tavolo il sospetto che l’intera Telegram non sia altro che una gigantesca azione di intelligence FSB (l’agenzia di intelligence russa).

ATTENZIONE: il contenuto dell’articolo include affermazioni non del tutto verificate o verificabili e, pertanto, esse potrebbero essere deduzioni/speculazioni frutto dell’autore originario.

Nel caso serva: SORM e FSB sono due organismi per l’investigazione e l’intelligence istituiti dal Governo russo; inoltre, giova ricordare che Durov ha doppia cittadinanza Russa e Francese. L’articolo inizia di seguito.

TENETE DUROV AL FRESCO!

Pavel non è stata arrestato per aver criticato Macron ma perché avrebbe favorito la commissione di alcuni reati come traffico di droga e la formazione di gruppi criminali informatici.

In realtà avrebbero dovuto arrestarlo per aver ampiamente MENTITO alla comunità e per i suoi contatti col Cremlino.

Chiunque MENTA alla comunità volontariamente e consapevolmente dovrebbe essere arrestato!

1. Telegram non è crittografato. Tutta la tua cronologia di conversazioni è conservata nel server di TG. IN CHIARO. PER SEMPRE (leggi dopo).
2. Telegram è un’azienda poco trasparente (leggi dopo).
3. Qualcosa mi dice che Telegram sia un’operazione dell’FSB.

Non mi fido di Telegram. Parliamo delle mie impressioni:

Nel 2022, abbiamo dato un’occhiata alle API Telegram. Esiste una API non documentata che permette a un agente (o all’FSB) di SCARICARE qualsiasi CHAT DI GRUPPO (ove è presente un bot). L’agente (o l’FSBN) non deve essere il proprietario del BOT. Pertanto, l’API puzza come “intercettazione legalizzata” in tutta l’app.

1. Questo è possibile anche se il BOT è configurato per avere “NESSUN accesso ai messaggi”.
2. I messaggi temporanei / auto-cancellanti di Telegram sono solo una farsa pubblicitaria. Abbiamo esfiltrato TUTTI i messaggi. Anni e anni di messaggi.
3. Tutti gli username, metadati, media, registrazioni vocali, messaggi di benvenuto… è tutto là e perfettamente redatto in HTML.

Esempio:

TG ha sviluppato un’API per l’esfiltrazione carina da vedere e con tante di decorazioni? Output ben redatto. E nessuna documentazione in merito? PER CHI? La cosa mi puzza.

NOTA: l’agenmte non deve POSSEDERE il BOT. L’agente non deve partecipare alla chat. L’ESFILTRAZIONE può essere condotta persino a totale insaputa del proprietario del BOT.

(Esempio sopra: THC non possedeva il BOT. THC non era nemmeno nel gruppo. THC non è affiliato a quel gruppo. Nonostante ciò, THC ha estratto l’intera cronologia della chat, usando una serie di richieste API non documentate e cURL. La preoccupazione maggiore qui è questa cosa esista, non come l’abbiamo scoperto.)

Cos’altro puzza

1. La Russia ha proibito Signal e definito WhatsApp (Meta) come “un’organizzazione estremista). I russi sono migrati in massa verso Telegram invece – un’app di messaggistica NON CRITTOGRAFATA che possiede una API per l’estrazione dei dati in stile filogovernativo. Fatevi due conti.
2. Girava una “fake news” che TG fosse proibito in Russia. Non è vero. Invece, alle terze parti è stato “temporaneamente” proibito l’uso delle API di TG. Tutti gli utenti (in Russia) hanno usato TG regolarmente. Nessun divieto. Nessuna restrizione.
3. Pavel afferma di aver lasciato la Russia a causa dei suoi dissidi con il Governo russo. Io penso che in futuro apprenderemo che Pavel ha lasciato la Russia per essere in una migliore posizione negoziale con l’FSB (è difficile tenerlo sotto controllo mentre vive all’estero ed è meno incline a “suicidarsi dalla finestra”).
4. Dove sono le documentazioni tecniche dei loro ingegneri? Perché non li vediamo più spesso in pubblico? Così come vediamo Moxie Marlinspike, Meredith Whittaker, Phil Zimmerman, …
5. Perché gli ingegneri di TG mancano in ogni assemblea IETF in cui si delineano nuove forme di privacy attraverso la crittografia?
6. Perché TG non è trasparente a proposito della loro crittografia? Perché non consentono il peer-review? O almeno perché non renderla parzialmente aperta per un controllo pubblico?
7. Telegram ha condotto una campagna diffamatoria contro SIGNAL – affermando che Signal “va a letto con il Governo“. Stro**ate. Conosciamo le persone che lavoranoa Signal sin da quando eravamo ragazzini. Hanno guadagnato la nostra fiducia – hanno combattuto instancabilmente per rendere la crittograifa disponibile alle masse – e hanno combattuto instancabilmente in molte aree per aiutare le persone a sfuggire ai governi autoritari. (La Russia proibisce Signal perché non può essere intercettato. TG, invece, viene promosso. Fatevi due conti).
8. Il 20 agosto 2024, Pavel è andato in Azerbaijan per incontrare Putin. Fatevi due conti.

Telegram vuole essere un app per la messaggistica sicura e per combattere i governi repressivi? Ecco i miei suggerimenti:

1. Implementare la crittografia P2P di default.
2. Aprite il vostro codice. Smettetela di nascondere la vostra crittografia. Non è sicura finché non viene sottoposta a peer review. Cos’avete da nascondere?
3. La vostra API per l’esfiltrazione di dati puzza di SORM/FSB. DISATTIVATELA.
4. TG è il sistema di comando e controllo preferito da molti gruppi russi dediti al ransomware. Moderatelo meglio.
5. Siate sinceri sul fatto che conservate tutti i messaggi sul server in eterno, a prescindere dalle impostazioni per la “cancellazione automatica”. SMETTETELA DI MENTIRE AGLI UTENTI.
6. Fate capire anche agli utenti meno informati che TG NON è sicuro. Non sicuro di default. Che tracciate e registrate ogni messaggio inviato – anche quelli cancellati.
7. Siate sinceri. Punto. Basta nascondersi in questo modo. Fatevi vedere. Incontrateci alle conferenze. Venite allo IETF. Fateci vedere cosa avete. Fate vedere la vostra abilità oltre ogni forma di analisi, conservazione e esfiltrazione dei dati.
8. Spiegate da dove arriva il vostro denaro. Siate aperti sul vostro business plan. Mostrate i vostri conti, i beneficiari, le strutture aziendali e gettate una luce sul passato di ciascuno vostro dirigente.
9. Siate più simili a SIGNAL o alla EFF.

Link all’articolo originale su THC