Signal nasconde i metadati?

Meglio di molti altri. Signal riduce al minimo ciò che sa in base alla progettazione: in molti casi il mittente sigillato nasconde chi invia messaggi a chi dal server; è noto che la società risponde alle citazioni in giudizio con ben poco da rivelare. Non nasconde tutto (esistenza dell'account, tempi di accesso, IP), ma è significativamente migliore delle alternative.

Una VPN può proteggere i miei metadati?

Nasconde destinazioni e modelli di traffico al tuo ISP. Sposta la fiducia dei metadati al provider VPN, che ora vede ciò che vedrebbe il tuo ISP. Per una migliore protezione dei metadati, Tor; per le migliori catene multi-hop; per scenari organizzativamente contraddittori, Tails o Qubes più disciplina.

Quali metadati vengono divulgati da HTTPS?

IP di destinazione, spesso SNI (nome host), dimensioni dei pacchetti e tempistica. Il client crittografato Hello elimina SNI; il resto è osservabile da chiunque si trovi sul percorso. HTTPS protegge i contenuti, non i modelli di flusso di rete.

Devo eliminare i dati EXIF dalle mie foto?

Per le foto che condividi pubblicamente sì, spesso contengono le coordinate GPS del luogo in cui è stata scattata la foto. La maggior parte delle piattaforme principali si elimina durante il caricamento, ma non sempre. Sia iOS che Android dispongono di opzioni per la condivisione senza dati sulla posizione. Lo stripping manuale (Image Magick, Exiftool) offre maggiore controllo.

Perché i metadati vengono utilizzati dalle agenzie di intelligence?

Si ridimensiona. Leggere ogni messaggio di ogni obiettivo è impossibile; analizzare i grafici delle chiamate e i modelli di comunicazione lo è. "Puoi uccidere le persone in base ai metadati" (generale Michael Hayden, 2014) cattura la realtà operativa: i modelli rivelano abbastanza per prendere decisioni di targeting ad alta sicurezza senza leggere il contenuto.

Spiegazione delle fughe di metadati: la crittografia delle informazioni non si nasconde

La crittografia protegge il contenuto delle tue comunicazioni. I metadati (con chi hai parlato, quando, per quanto tempo, quanto spesso) sono generalmente visibili a chiunque nel percorso. La comunità dell'intelligence è famosa per aver affermato "uccidiamo le persone sulla base dei metadati" e il motivo è che i metadati spesso rivelano di più su di te rispetto ai messaggi reali.

Il corpo completo dell'articolo è fornito in inglese di seguito.

Metadata sono dati sui dati: non il contenuto di una comunicazione, ma il contesto circostante. Per la posta elettronica, i metadati sono il mittente, il destinatario, l'oggetto (spesso), il timestamp, la dimensione e il percorso di instradamento. Per le telefonate, chi ha chiamato chi, quando, per quanto tempo. Per la navigazione web, quali siti hai visitato e quanto tempo ti sei rimasto. La crittografia end-to-end protegge il contenuto; i metadati sono quasi sempre non protetti o protetti solo parzialmente.

Perché i metadati sono così rivelatori

Un famoso esempio: immagina di non poter leggere le email di qualcuno ma di poter vedere le intestazioni. Li vedi:

Invia un'e-mail a un avvocato divorzista
Invia un'e-mail a un agente immobiliare
Invia un'e-mail a una società di traslochi
Invia un'e-mail a un investigatore privato il giorno successivo

Non hai idea di cosa dicano le e-mail, ma probabilmente puoi fare deduzioni precise su ciò che sta accadendo nella loro vita. Questo modello è generalizzabile: i modelli di comunicazione rivelano relazioni, pianificazioni, decisioni e cambiamenti di stato anche senza il contenuto del messaggio.

Dove si verificano perdite di metadati

Intestazioni delle email. Mittente, destinatario, a volte soggetto, l'intero percorso attraverso i server di posta (Ricevuto: intestazioni), timestamps.
Registri telefonici. I registri dell'operatore mostrano ogni chiamata e SMS: numero, durata, posizione al momento della chiamata.
HTTPS traffico. SNI (quale sito hai visitato), dimensioni dei pacchetti, schemi temporali. Modern Encrypted Client Hello risolve parzialmente SNI; il resto rimane visibile.
Ricerche DNS. Ogni dominio che visiti viene interrogato tramite DNS, visibile al risolutore anche quando il traffico effettivo è crittografato.
App di messaggistica. La maggior parte dei contenuti crittografa ma il server sa chi invia messaggi a chi, quando. La visibilità dei metadati di WhatsApp è molto superiore a quella di Signal in base alla progettazione.
Dati sulla posizione dello smartphone. Anche con i servizi di localizzazione "disattivati", i trasferimenti dei ripetitori cellulari, le richieste di sonde Wi-Fi e le scansioni Bluetooth perdono presenza e movimento.
Dati EXIF di foto e documenti. Modello della fotocamera, coordinate GPS, tempo impiegato, persino miniatura dell'originale immagine prima delle modifiche.
Registri del flusso di rete. Qualsiasi infrastruttura che gestisce il traffico può registrare chi si è connesso a chi e quando.

Ciò che la "crittografia end-to-end" non copre

Signal, generalmente considerato lo standard di riferimento per la messaggistica E2E, nasconde il contenuto del messaggio ma il servizio continua conosce:

LIl tuo account esiste (registrato con un numero di telefono, che presto sarà opzionalmente un nome utente)
Hai effettuato l'accesso in determinati orari da determinati IP
LIl tuo account ha contattato altri account specifici (sebbene il mittente sigillato lo nasconda in alcuni casi)
Dimensioni approssimative dei messaggi e timing

Signal minimizza in modo aggressivo ciò che conserva e quel poco che ha è notoriamente minimo nelle risposte ai mandati di comparizione. Ma i metadati essistono a livello di protocollo anche quando non sono archiviati.

WhatsApp utilizza il protocollo Signal per i contenuti ma memorizza molti più metadati (contatti, timestamp dei messaggi, appartenenze a gruppi, indirizzi IP) e tali metadati sono accessibili a Meta e (tramite mandato) alle forze dell'ordine.

Metadati di rete

Anche con crittografia completa (Tor, VPN, tutto), i metadati visibili a un avversario in grado di osservare una parte sufficiente della rete includono:

Modelli di traffico: quando sei online, quando sei attivo
Volume di traffico: download di grandi dimensioni = video, periodico piccolo = chat, ecc.
Tempi di arrivo dei pacchetti: a volte sufficienti per rilevare applicazioni specifiche o siti web
Correlazioni tra sessioni: stesso utente su più piattaforme identificabili da modelli di attività

Lo più grande è la finestra di osservazione dell'avversario, più i metadati diventano significativi. Gli avversari globali (NSA, GCHQ) storicamente avevano questa capacità contro Tor: l'osservazione simultanea delle guardie di ingresso e dei nodi di uscita consente la correlazione del traffico.

Cosa puoi fare con i metadati

Difese, in ordine di complessità:

Utilizza Signal invece di SMS/WhatsApp per conversazioni sensibili. Migliore minimizzazione dei metadati.
Rimuovi i dati EXIF prima di condividere le foto. La maggior parte delle piattaforme si eliminano durante il caricamento, ma non sempre; strumenti come Exiftool ti consentono di farlo prima.
Utilizza DNS crittografato (DoH, DNSCrypt) in modo che il tuo risolutore non veda le query. Consulta il nostro articolo DoH.
VPN per metadati a livello di ISP. Nasconde ricerche di domini, destinazioni e modelli di traffico dal tuo ISP: sposta l'attendibilità sulla VPN.
Tor per una protezione più forte dei metadati di rete. Sconfigge la maggior parte dell'osservazione della rete locale; permangono alcuni rischi contro gli avversari globali.
Compartimentalizzazione. Identità diverse per contesti diversi, con dispositivi e account separati. La difesa singola più efficace per scenari ad alto rischio.
Disciplina operativa. I modelli di comunicazione prevedibili trapelano più di quelli attenti. Mescola i tempi delle attività sensibili con quelli banali.

Lasimmetria

La sorveglianza dei contenuti cresce linearmente con lo sforzo: più leggi, più contenuti raccogli. I metadati sono molto più scalabili perché sono piccoli, strutturati e interrogabili. "Con chi ha parlato X la settimana scorsa" è una query del database; "di cosa ha discusso X la scorsa settimana" richiede la lettura di migliaia di messaggi.

Questa asimmetria è il motivo per cui i governi di tutto il mondo spingono per leggi sulla conservazione dei metadati molto più che leggi sulla lettura dei contenuti. I metadati sono più economici da monitorare su larga scala e spesso ne rivelano abbastanza.

Lin conclusione

Per gli utenti ordinari: le fughe di informazioni sui metadati sono reali ma in gran parte solo cosmetiche. I fornitori di servizi vedono i tuoi modelli di attività; li monetizzano attraverso la pubblicità. Questo è l'affare che hai già accettato utilizzando i servizi gratuiti.

Per utenti con modelli di minaccia più forti: i metadati sono spesso il luogo in cui risiedono le effettive informazioni identificative. Difendere i contenuti ignorando i metadati è un errore comune e grave.

Domande frequenti

Signal nasconde i metadati?: Meglio di molti altri. Signal riduce al minimo ciò che sa in base alla progettazione: in molti casi il mittente sigillato nasconde chi invia messaggi a chi dal server; è noto che la società risponde alle citazioni in giudizio con ben poco da rivelare. Non nasconde tutto (esistenza dell'account, tempi di accesso, IP), ma è significativamente migliore delle alternative.
Una VPN può proteggere i miei metadati?: Nasconde destinazioni e modelli di traffico al tuo ISP. Sposta la fiducia dei metadati al provider VPN, che ora vede ciò che vedrebbe il tuo ISP. Per una migliore protezione dei metadati, Tor; per le migliori catene multi-hop; per scenari organizzativamente contraddittori, Tails o Qubes più disciplina.
Quali metadati vengono divulgati da HTTPS?: IP di destinazione, spesso SNI (nome host), dimensioni dei pacchetti e tempistica. Il client crittografato Hello elimina SNI; il resto è osservabile da chiunque si trovi sul percorso. HTTPS protegge i contenuti, non i modelli di flusso di rete.
Devo eliminare i dati EXIF dalle mie foto?: Per le foto che condividi pubblicamente sì, spesso contengono le coordinate GPS del luogo in cui è stata scattata la foto. La maggior parte delle piattaforme principali si elimina durante il caricamento, ma non sempre. Sia iOS che Android dispongono di opzioni per la condivisione senza dati sulla posizione. Lo stripping manuale (Image Magick, Exiftool) offre maggiore controllo.
Perché i metadati vengono utilizzati dalle agenzie di intelligence?: Si ridimensiona. Leggere ogni messaggio di ogni obiettivo è impossibile; analizzare i grafici delle chiamate e i modelli di comunicazione lo è. "Puoi uccidere le persone in base ai metadati" (generale Michael Hayden, 2014) cattura la realtà operativa: i modelli rivelano abbastanza per prendere decisioni di targeting ad alta sicurezza senza leggere il contenuto.