Un’immagine tratta dal video di presentazione dell’app Nahoft
Mentre in Iran il controllo, la sorveglianza e la censura di Internet da parte del governo si fanno sempre più pressanti, una nuova app di Android punta a dare agli iraniani uno strumento per poter parlare liberamente.
Nahoft, che in Farsi significa “nascosto“, è uno strumento di crittografia che trasforma fino a mille caratteri in Farsi in un guazzabuglio di parole. Potete inviare questo miscuglio di parole a un amico attraverso qualunque piattaforma di comunicazione – Telegram WhatsApp, Google Chat ecc. – e lui poi lo rielaborerà con Nahoft sul proprio dispositivo per decifrare ciò che avete detto.
Rilasciata la settimana scorsa su Google Play da United for Iran, un gruppo con base a San Francisco impegnato su diritti e libertà civili, Nahoft è un’app progettata per affrontare diversi aspetti dell’inasprimento dei controlli in Rete in Iran. Oltre a generare messaggi codificati, l’app può crittografare le comunicazioni e incorporarle in maniera impercettibile in file immagini, secondo una tecnica nota come steganografia. I riceventi usano quindi Nahoft per ispezionare il file immagine sul proprio terminale ed estrarre il messaggio nascosto.
Gli iraniani possono usare app crittografate end-to-end come WhatsApp per comunicare in modo sicuro, ma Nahoft, che è open source, ha un asso nella manica che è una feature cruciale nel caso in cui queste non siano accessibili. Il regime iraniano ha ripetutamente imposto un blocco quasi totale di Internet in alcune regioni particolari o in tutto il Paese, e nel novembre 2019 l’ha fatto per un’intera settimana. Tuttavia, se avete già scaricato Nahoft, lo potete usare localmente sul vostro dispositivo anche in mancanza di connessione. Digitate il messaggio che volete crittografare e la app sputa fuori il messaggio in Farsi codificato. A quel punto potete scrivere quella stringa di parole apparentemente casuali in una lettera, oppure leggerla a un altro utilizzatore di Nahoft al telefono, il quale potrà inserirla manualmente nella app per vedere che cosa stavate cercando realmente di dire .
“Quando in Iran si spegne Internet, la gente non è più in grado di comunicare con la propria famiglia, dentro o fuori il Paese, e tutti gli attivisti sono costretti a una brusca frenata“, dice Firuzeh Mahmoudi, direttore esecutivo di United for Iran, che ha vissuto tutta la rivoluzione iraniana del 1979 e ha lasciato il Paese all’età di dodici anni. “E il governo si sta muovendo sempre di più verso una filtrazione stratificata, bannando piattaforme digitali differenti e cercando di individuare alternative per i servizi internazionali come i social media. Non è una bella prospettiva; di certo non è la direzione in cui auspichiamo si vada. È qui che entra in gioca la app“. L’Iran è un Paese estremamente connesso, oltre 57 su 83 milioni di cittadini usano Internet. Ma negli ultimi anni il governo del Paese si è concentrato molto sullo sviluppo di un network, o intranet, massicciamente controllato dallo Stato, battezzato “National Information Network” o SHOMA. Questo dà al governo una capacità sempre maggiore di filtrare e censurare i dati e di bloccare specifici servizi, dai social network agli strumenti di aggiramento come proxy e VPN. È per questa ragione che Nahoft è stata appositamente progettata come un’app che funziona localmente sul vostro dispositivo anziché come piattaforma di comunicazione. Nel caso di un blocco totale di Internet, per usarla gli utenti dovranno avere già scaricato la app. Ma in generale, secondo il consigliere strategico di United for Iran, Reza Ghazinouri, fino a che Google Play sarà accessibile, per il governo iraniano sarà difficile bloccare Nahoft.
Dato che il traffico di Google Play è crittografato, la sorveglianza iraniana non può vedere quali app scaricano gli utenti. Finora, Nahoft è stata scaricata 4.300 volte. Per Ghazinouri è possibile che alla fine il governo svilupperà un proprio app store bloccando le offerte internazionali, ma per il momento questa eventualità appare lontana.
In Cina, per esempio, Google Play è messa al bando a favore di proposte alternative che vengono dai giganti tech cinesi come Huawei e di una versione selezionata dell’iOS App Store. L’idea di Nahoft venne a Ghazinouri e al giornalista Mohammad Heydari nel 2012, e fu presentata come parte del secondo acceleratore tech “Irancubator” dell’United for Iran. Dello sviluppo della app Nahoft si è fatta carico Operator Foundation, un’organizzazione non-profit texana impegnata a promuovere la libertà in Rete. E l’azienda tedesca Cure53, che si occupa di verifiche della sicurezza informatica mediante penetration test, ha condotto due audit sulla sicurezza della app e il suo sistema di crittografia, fondato su protocolli accurati. United for Iran ha pubblicato i risultati di questi audit insieme a rapporti dettagliati su come i problemi individuati da Cure53 sono stati risolti. Nella valutazione originale dell’app del dicembre 2020, per esempio, Cure53 aveva individuato alcuni problemi di una certa rilevanza, compresa una debolezza critica nella tecnica steganografica utilizzata per incorporare messaggi nei file di foto. Tutte queste criticità sono state corrette prima del secondo audit, durante il quale sono emersi altri problemi minori come la vulnerabilità ad attacchi denial of service nei sistemi Android e la possibilità di bypassare la password di auto-cancellazione presente all’interno dell’applicazione. Anche questi problemi sono stati risolti prima del lancio, e il repository dell’app in GitHub contiene note riguardanti i miglioramenti.
Trattandosi di un’app su cui gli iraniani dovrebbero fare affidamento per aggirare la sorveglianza e le restrizioni governative, la posta in gioco è decisamente alta. Ogni falla nell’implementazione della crittografia potrebbe mettere a rischio le comunicazioni private delle persone e, potenzialmente, la loro sicurezza. Ghazinouri spiega che il gruppo ha adottato ogni precauzione possibile. L’accozzaglia di parole prodotte dall’app, per esempio, è progettata appositamente per non dare nell’occhio e apparire innocua. L’utilizzo di parole reali diminuisce le probabilità che uno scanner di contenuti segnali i messaggi crittografati. E i ricercatori di United for Iran hanno lavorato insieme a Operator Foundation per confermare che gli strumenti di scannerizzazione attualmente disponibili non siano in grado d’individuare l’algoritmo di crittografia utilizzato per generare le parole cifrate. Questo riduce al minimo le possibilità che i censori riescano a individuare i messaggi crittografati e a creare un filtro per bloccarli.
È possibile creare una passcode per aprire Nahoft e creare un “codice di distruzione” aggiuntivo che cancellerà tutti i dati dall’applicazione nel momento in cui viene inserito.
“È sempre esistito un divario tra le comunità che hanno bisogno e le persone che affermano di lavorare e sviluppare strumenti per esse“, dice Ghazinouri. “Stiamo cercando di ridurre quel divario. La app è open source, così che gli esperti possano verificare loro stessi il codice. La crittografia è un campo nel quale non ci si può limitare a chiedere la fiducia delle persone, e nemmeno ci aspettiamo che chiunque si fidi ciecamente di noi“.
In un discorso accademico del 2020, intitolato “Crypto for the People“, il crittografo della Brown University, Seny Kamara, ha ribadito più o meno lo stesso concetto. Le forze e gli incentivi che di solito guidano le indagini crittografiche e la creazione di strumenti di cifratura, ha sostenuto, sottovalutano e ignorano le esigenze specifiche delle comunità più marginalizzate.
Kamara non ha verificato il codice o l’architettura crittografica di Nahoft, ma a WIRED ha dichiarato che gli obiettivi del progetto rispondono alle sue idee sugli strumenti di cifratura fatti dalle persone, per le persone.“Se parliamo di ciò che la app sta cercando di realizzare, io credo si tratti di un buon esempio di un importante problema di sicurezza e privacy che l’industria tecnologica e il mondo accademico non si sentono incentivati a risolvere“, dice.
Mentre la libertà di utilizzo della Rete in Iran si sta rapidamente restringendo, Nahoft potrebbe diventare un’ancora di salvezza fondamentale per tenere aperti i canali di comunicazione all’interno e fuori dal Paese.
Articolo pubblicato originariamente su Wired.com
The post Una nuova app aiuta gli iraniani a nascondere i messaggi appeared first on Wired.
Link originale...