Un quarto di secolo fa controllare la propria mail significava loggarsi ad un sistema centrale e utilizzare un programma di mail con interfaccia a riga di comando come elm o pine. Oggi molti esperti di sicurezza raccomandano e utilizzano ancora mutt, il figlio illegittimo di elm.Christopher Soghoian, esperto principale di tecnologia all'interno dello Speech, Privacy and Technology Project del ACLU, conferma che "usa mutt controvoglia".
Pubblicità
"Il fatto che utilizzi mutt non significa che mi piaccia", ha scritto via mail, "lo odio, preferirei qualcos'altro, ma non ho ancora trovato nulla di meglio".Perché un esperto di sicurezza installa mutt?"Semplicità uguale sicurezza" ha spiegato Marek Tuszynski del Tactical Technology Collective, una ONG che educa attivisti e reporter ad utilizzare strumenti di sicurezza e a sfruttare la privacy digitale, "gli strumenti a riga di comando sono generalmente caratterizzati da un design più essenziale, meno linee di codice e nessuna componente vulnerabile (come Java, Flash eccettera) il che in linea di massima si traduce in una maggiore sicurezza (meno bug, più stabilità)".
La home di mutt.org.
"Perché non voglio che il mio client email includa un motore di rendering o un interprete di javascript", ha risposto invece Soghoian, "meno parti attaccabili vengono incluse, meglio è".Secondo OpenHub.net, mutt gira grazie ad appena 100.000 linee di codice, mentre Thunderbird e Enigmail ne sfiorano il milione. Quelle di Firefox, sono quasi 14 milioni mentre Chromium, il codice open-source su cui si basa Google Chrome, raggiunge 17,4 milioni linee di codice.Negli ultimi dieci anni, il numero di punti deboli trovati in mutt è una quantità infinitesima in confronto a quella di browser come Firefox e Chrome o client email come Outlook e Thunderbird.Per illustrare la questione nei termini in cui è stata posta da Soghoian "mutt non è un browser, per questo non è possibile attaccarlo da più parti come accade con i browser."
Pubblicità
In un mondo in cui attacchi mirati agli utenti in stile Hacking Team sono sempre più comuni, aumentare la sicurezza degli strumenti finali è di importanza cruciale per molti. Oltre a mutt, diversi utenti esperti si stanno rivolgendo sempre più a chat a righe di comando, come xmpp-client di Adam Langley.L'Off-the-Record messaging (OTR) offre funzionalità di chat criptate che, secondo i documenti diffusi da Snowden nel 2012, erano sufficienti per eludere la sorveglianza globale. Il problema dal punto di vista dell'utente finale è che i codici su cui si basano sia Pidgin che Adium, i due client più usati di OTR chat, fanno affidamento su librerie di codice libpurple la cui sicurezza è discutibile.
"Sì, utilizzo xmpp-client come mio client jabber", ha scritto Soghoian, "nutro una relazione di amore/odio verso di esso. Mi piace che sia ancora in via di sviluppo, che non utilizzi libpurple e non supporti feature superflue come le emoticon ma l'interfaccia utente fa schifo, non vedo l'ora che qualcuno ne crei la GUI".La fruibilità finisce per influire anche sulla sicurezza perché non importa quanto possa essere sicura una piattaforma se nessuno la utilizza. Strumenti con linee di comando troppo complicati non guadagnano il favore della comunità di tenici e utenti. Quindi riusciremo mai ad ottenere comunicazioni private sicure anche per i non esperti?
Xmpp-client è più divertente di quanto sembri. Immagine: autore
"Mi sto appassionando molto a Ricochet, che non ha un server centrale e non fa trapelare metadati", ha scritto Soghoian, "ma non è pronto per compiere il grande salto e in effetti nessuno ha intenzione di farglielo compiere"."In maniera simile, pond (creato sempre da agl [Adam Langley]) è un progetto ugualmente eccitante perché permette di vedere come potrebbe presentarsi un servizio sicuro di email nel futuro", ha aggiunto, "sfortunatamente, agl non vuole che la gente lo utilizzi e non ha molto tempo a disposizione per lavorarci su. Se pond dovesse venire sviluppato adeguatamente per compiere il grande salto, mollerei senza remore pgp ed incomincerei ad utilizzarlo".Tuszynski ha infine sottolineato il suo punto di vista, la sicurezza dell'utente finale comprende molto di più rispetto agli strumenti adoperati. "Per noi", ha scritto, "quello che conta non è solamente l'aspetto digitale, ma anche la sicurezza fisica e psicologica dell'utente… il problema da risolvere è ben più complesso che la semplice scelta tra interfaccia grafica o con riga di comando".