App di messaggistica e privacy, uno sguardo su XMPP. Intervista a Sylke Vicious

di lino caetani

Il recente cambio di policy adottato da WhatsApp ha rilanciato e aperto più del solito un dibattito internazionale sulla sicurezza e la privacy nelle app di messaggistica online. Abbiamo fatto alcune domande a Sylke Vicious.

Innanzitutto ti chiederei una breve presentazione

Mi faccio chiamare Sylke Vicious sul web. Sono un ragazzo con la passione per l’informatica, anche se non è quello che faccio di lavoro, ma fin da piccolo ho sempre smanettato alla grande coi pc e coi telefoni. Leggo tantissimo in internet notizie, guide, e altro di questo settore, specialmente tutto quello che riguarda linux e gli argomenti relativi alla privacy.

Ho chiuso con i social commerciali due anni fa e sto nel fediverso, sto cercando di eliminare anche le email di Google e Microsoft, e sto pensando di selfhostarmi un servizio email. Attualmente ho un server con Nextcloud (che sostituisce Google drive) e un server XMPP (a sostituire gli IM dei quali parleremo sotto).

Cerco di utilizzare il minimo numero di app provenienti dallo store di Google e utilizzo un telefono senza GAPPS. Ma in futuro sto pensando ad un telefono linux. Spero già quest’anno.

In generale la discussione nel mondo mainstream di media e social network ha riguardato un punto in particolare, ovvero la paura diffusa (o sarebbe meglio dire, l’improvvisa consapevolezza…) degli utenti di WhatsApp di condividere i loro dati personali con Facebook, che come sappiamo è dal 2014 il proprietario dell’app. Cosa pensi della questione del cambio di policy di WhatsApp e cosa pensi del dibattito che ne è seguito?

Personalmente credo che WhatsApp-Facebook abbia solo “legalizzato” o “messo nero su bianco” (chiamatelo come ne avete voglia) quello che probabilmente già facevano da tempo più o meno sottobanco. Non lo dico io, già sono usciti articoli in passato (cito per esempio: https://www.wired.com/story/whatsapp-facebook-data-share-notification/), quindi non sono per niente stupito da questa mossa. Dal loro punto di vista non vedo errori: sono un’azienda privata che fornisce un servizio (apparentemente) gratuito (in realtà l’unico che non vede soldi sei tu utente).

Perchè gestire 3 identità separate quando (io facebook) so che tu (utente) sei la stessa persona sui miei 3 siti? Uniamo tutto in un unico calderone. Così se su whatsapp passi il tempo a parlare di politica con i tuoi amici, magari qui su facebook ti interessa la pagina di questo quotidiano che ha pagato questa inserzione attivata dalle parole chiave x, y, z, anche se su FB segui solo pagine di gattini. Non sto dicendo che sia giusto, ma sto dicendo che dal loro punto di vista è corretto e fa sicuramente guadagnare molto di più a loro, riuscendo a centrare molto meglio il target pubblicitario.

Il dibattito? Io sono fuori da Facebook/Instagram/Twitter dal 2018 e da WhatsApp dal 2019, quindi non so bene cosa viene detto su questi social a tal proposito. Dalla mia “bolla” del fediverso e dai pochi contatti tra colleghi, parenti e amici non mi sembra sia cambiato molto: tanto fumo e niente arrosto.

Le motivazioni sono le solite: ma WA lo usano tutti, tanto sanno già tutto di te, cos’hai da nascondere, come ti faccio a contattare se togli WA…posso andare avanti se vuoi…

Quindi tra poche settimane tutto tornerà come prima, tutti su WA. La gente purtroppo dimentica alla svelta…

Il dibattito mainstream più diffuso sui siti online che si occupano di tecnologia, software e app di messaggistica hanno puntato la loro attenzione sulle differenze esistenti tra tre app in particolare, WhatsApp, Telegram e Signal, escludendo tutto il vasto mondo che pure esiste oltre, soprattutto nel campo del free software. Eppure, l’illusione di sicurezza quando non si è affatto tutelati dalle app che dovrebbero proteggerti è di per sé una delle principali falle di sicurezza oggi esistenti in rete. Cosa pensi dunque di Signal e Telegram? Quanto sono sicure e quanto invece danno un’illusione di falsa sicurezza ai propri utenti?

Esatto, proprio così, è l’illusione di sicurezza che frega la maggior parte delle persone. Certo, il marketing non aiuta… Sia Signal che Telegram sono centralizzate, quindi già un punto a sfavore. Se cade il server (che sia per manutenzione o un attacco) nessuno parla più. Entrambe richiedono un numero di telefono per registrare un account. Altro punto negativo. Vero che è più comodo rintracciare amici o parenti, ma si è anche molto più identificabili. Dal punto di vista delle funzionalità di messaggi criptati e di messaggi effimeri invece sembrano essere fatte per bene. E quindi non basta? No. Telegram è sviluppato dallo “Zuckerberg” di Russia, ovvero il fondatore di VKontakte, il Facebook russo praticamente. Ci fidiamo? Boh…

Signal è sponsorizzato a squarciagola da Edward Snowden (e fin qui ok), ma è un’azienda USA (male), ed i suoi server sono ospitati da Amazon (male male).

Quindi per me sono entrambe no.

Nel vasto mondo del free software, come si diceva, esistono diverse alternative alle app mainstream più diffuse. Una delle migliori soluzioni è sicuramente XMPP. Potresti descrivere cos’è, come funziona e perché lo suggeriresti?

L’esempio più semplice per far capire XMPP a chi lo sente per la prima volta è dire: funziona come le email.

Facciamo finta che io ho un account email su gmail.com. E tu uno su outlook.com.

Io posso inviarti le mail, tu le puoi ricevere da me, e viceversa. Non importa che server email abbiamo. Non importa che applicazione usiamo per inviare le email. Funziona. Punto. Basta conoscere uno l’indirizzo dell’altro in qualche modo.

Altro esempio:

Avete presente WhatsApp? Ecco XMPP è WhatsApp. O meglio WhatsApp è XMPP.

No non lo dico per convincervi o altro, ma è proprio così a livello tecnico.

XMPP è un protocollo alla base di tanti programmi di messaggistica, tra i più famosi Whatsapp, Zoom, Hangout…

Whatsapp ha “preso” lo standard XMPP e si è fatto il suo serverone gigante, con la sua app e ha eliminato ogni possibile collegamento con gli altri server.

XMPP come le email sono degli standard.

Magari domani ci svegliamo e gmail “chiude” il suo “walled garden” come si dice in gergo, e non puoi più ricevere mail dal tuo amico che ha l’account su outlook. Già lo sta facendo in parte con i server minori, i server fatti in casa…

Dopo questo spiegone rispondo alla domanda:

Quindi, basta installare su pc o su telefono un programma XMPP, registrare un account e iniziare a contattare altre persone passandosi gli indirizzi, proprio come fosse una mail.

Così semplice? Sì.

Quasi.

XMPP è un protocollo libero ed estensibile (come dice il nome eXtensible Messaging Presence Protocol). Ed è costituito da tanti moduli, tipo mattoncini lego. Per esempio sul mio server potrei non volere attivare il modulo che riporta quando un utente è online o è stato online per mille ragioni di privacy. Lo disattivo. Mi interessa il modulo delle videochiamate? Ok lo attivo. E cosi via.

Questa infinita possibilità di personalizzazione ha però una controindicazione, cioè che i server sono diversi uno dall’altro come funzionalità e non esiste uno standard. A tamponare questo, la fondazione XMPP rilascia ogni anno una “compliance suite”, praticamente una lista di moduli che è caldamente consigliato attivare. Per controllare quanto è “standard” un server è possibile controllare il sito https://compliance.conversations.im/ e sceglierne uno in base alle proprie esigenze.

Ho detto questo, perchè è successo di incontrare persone, specialmente nelle conversazioni di gruppo, e far fatica ad aggiungerle (all’inizio). Ma successivamente zero problemi.

Se guardiamo al lato server (ce ne sono diversi di programmi che permettono di fornire un servizio XMPP) è relativamente facile sia da installare che da configurare da chi ha una conoscenza media di linux e di server (tutti abbiamo almeno un amico buono coi computer che ne sarebbe in grado, non richiede grosse conoscenze e ci sono guide validissime sul web). Consuma talmente poche risorse che potrebbe essere perfettamente gestibile da un Raspberry Pi (ovviamente se fornite un servizio per famiglia e amici, non all’intero internet).