Telegram: potser ni tan lliure ni tan segur

Publicat el divendres 31, gener, 2014 per Giorgio Grappa

Farà cosa de quatre o cinc dies he observat, a través de Twitter, una sèrie de comentaris sobre Telegram, un nou servei de missatgeria (mig any d’existència) similar a WhatsApp (que no he arribat ni a instal·lar), però amb dues característiques diferencials que em van cridar immediatament l’atenció: lliure i amb els missatges encriptats. En efecte, aquests són els dos problemes —l’opacitat del codi i la manca de privacitat dels missatges— que han fet que no arribés a emprar WhatsApp (i que m’han fet renunciar a Facebook i em porten a buscar substituts a Twitter i a G+ —que encara faig servir, tot i que no em fan gaire gràcia).

En efecte, en aquesta època de pèrdua de llibertats socials, de desaparició del dret a la intimitat, d’invasions i registres aparentment arbitraris per part de les forces de seguretat dels estats, qualsevol persona mínimament implicada en qualsevol moviment social (això que en diuen «activistes» i que abans era un elogi, no com ara, que ha esdevingut gairebé sinònim de «sospitós» i d’«extremista» —si és la premsa de dretes o les forces de seguretat els qui empren aquest mot) ha de veure amb interès els nous sistemes de comunicació que ajudin a preservar aquella intimitat que solen establir i regular les constitucions democràtiques: aplicacions que ajudin a mantenir el secret de les comunicacions. De fet, els primers usuaris que han adoptat Telegram provenen de l’activisme social, cultural i polític.

Així, després d’una ràpida ullada a les PMF (FAQ) de la pàgina oficial de Telegram, me l’he instal·lat a la tauleta. No han trigat en aparèixer, com era previsible, alguns dels companys ubuntaires (els partidaris del programari lliure també hi estem interessats, és clar), cosa que m’ha permès de familiaritzar-m’hi ràpidament: m’ha semblat molt fàcil d’emprar i molt còmode i pràctic.

Tanmateix, mentre seguia investigant l’aplicació, he observat algunes incongruències:

  • no n’hi ha versió a l’F-Droid, el repositori de programari lliure per a l’Android (el primer lloc on el vaig cercar);
  • no he trobat informació (en un primer moment) sobre la llicència d’ús, una de les primers informacions que sol oferir qualsevol programa lliure;
  • les PMF de Telegram donen a entendre que només una part del codi és públic, cosa que no és compatible amb el concepte de programari lliure.

Amb el dubte al cos, he optat per formular una pregunta directa al compte en castellà que tenen al Twitter, @telegram_es: sembla que les responen totes i, efectivament, en pocs minuts m’han passat aquest enllaç.

Primera resposta de Telegram

Des del compte @telegram_es em passen l’enllaç on es descriuen les llicències dels clients.

En resum, els dos clients oficials de Telegram (per a Android i per a iPhone, respectivament) es distribueixen sota la llicència lliure GPL2, així com un segon client (no oficial) per a Android, més el client (no oficial) per a GNU/Linux. Tots quatre inclouen els enllaços que permeten obtenir-ne el codi.

En canvi, no hi he trobat informació sobre les llicències del client (no oficial) per a Windows ni per Mac OSX.

A més a més, s’hi enllacen quatre llibreries Java que faria servir el client oficial per a Android. Aquests llibreries estan alliberades sota la llicència MIT, que es pot considerar lliure; també s’ofereixen els enllaços per obtenir-ne el codi.

El que no he trobat, però (i aquest és el problema), en aquest enllaç, és cap referència al codi que gestiona els servidors utilitzats per Telegram, ni tan sols una indicació sobre quina llicència es troba. Per evitar el risc de clavar la pota (podria haver passat per alt un segon enllaç), he tornat a consultar al compte de @telegram_es, però, aquest cop, amb una pregunta més directa:

Segona resposta de Telegram.

La resposta evasiva sobre el codi del servidor.

En aquest cas, la resposta ha estat evasiva: han evitat constar amb un «sí» o un «no»; no han dit sota quina llicència es distribueix el codi del servidor —de fet, no sembla que estiguin disposats, de moment, a compartir aquest codi—; eviten dir directament i clarament que el mantenen secret. A més a més, la redacció procura transmetre una impressió positiva («esperamos liberar más códigos con el tiempo»), però sense comprometre’s de  cap manera respecte a cap codi en concret i sense esmentar el codi del servidor.

Mantenir el codi secret no és cap il·legalitat (de fet, és l’opció utilitzada per les empresses que més benefici n’obtenen —a través de la comercialització de les llicències d’ús privatives— i pels programes més populars entre els usuaris «normals»), és cert. En canvi, aquí s’està aprofitant (i no sé si fomentant) la confusió a partir d’una liberalització parcial del codi, tot i que la part més important, la del servidor, es manté oculta: no sembla un comportament gaire clar.

En la situació actual, doncs, els programadors interessats podrien examinar i auditar, com a molt, com funciona el programa client que l’usuari es pot instal·lar (però només en els quatre casos que hem trobat sota llicència GPL2, i sempre que el codi no remeti a altres llibreries de codi tancat). En canvi, no hi ha manera d’esbrinar res sobre com són tractats els missatges un cop arriben als servidors de Telegram.

(Potser algú dirà que és normal que el codi que s’executa en els servidors sigui secret; però això no és cap argument tècnic: si us plau, recordeu que altres xarxes, com les basades en pump.io, en StatusNet o en diaspora*, sí que empren codi lliure en els servidors i funcionen amb total normalitat.)

Finalment (i lamentablement), doncs, resulta que Telegram no és lliure, sinó gratuït (free, l’eterna confusió en anglès), tot i que fa pública la seva API i part, només una part, del codi que utilitza (els clients oficials són lliures, sí, però no el servidor, el sistema que transmet i tracta els missatges, i que és, en realitat, la part més important i delicada). El fet que Telegram codifiqui els missatges —cosa desitjable en els temps d’indefensió que corren— esdevé irrellevant, vist que la part del codi que es manté oculta podria fer-hi qualsevol cosa, des de filtrar i oferir les nostres preferències gastronòmiques al centre comercial més proper fins a passar-les als hereus de la KGB. De fet, si recordem les revelacions d’Edward Snowden sobre l’accés a les dades dels usuaris de Facebook, Google i altres companyies per part de l’NSA, no seria cap novetat.

Dissortadament, l’usuari no especialitzat desconeix el funcionament de l’arquitectura client-servidor, cosa que facilita la confusió de conceptes: en aquest cas, el programa que actua com a client (l’aplicació que l’usuari s’instal·la al mòbil o a la tauleta) és lliure; en canvi, el que fa servidor és tancat i no en coneixem el codi —ergo pot fer qualsevol cosa amb els nostres missatges. En resum, l’usuari ha de continuar confiant que el sistema ocult de Telegram (el servidor) no farà res d’incorrecte ni d’imprudent amb les seves dades (començant pel nom i pel número de telèfon) ni amb els missatges que envia o que rep.

De fet (i ara raono en mode paranoic), si jo fos una agència d’espionatge d’una gran potència internacional (com la TIA, per exemple) no podria imaginar un parany més efectiu per a vigilar activistes de tot el món: el tema de l’encriptació dels missatges, que és la part més senzilla de comprendre, resulta suficientment atractiu per a aquest grup social —de fet, sembla que s’hi estant llançant en massa—, i la manera com juguen amb el llenguatge de les llicències és tan ambigua com perquè hi caigui qualsevol que no tingui coneixements en informàtica i en llicències lliures. Atenció: no estic afirmant que la CIA, l’FBI, l’NSA, la KGB o els seus hereus n’estiguin al darrere, però és la classe de maniobra que no els molestaria que algú fes per ells (i ja em disculpareu si em repeteixo, però no vull arriscar-me a ser malentès).

Quina pena: m’havia agradat el client CLI per a GNU/Linux.

Alguns articles sobre Telegram: en tots aquests es descriu com a programari lliure.

Dilluns, 3 de febrer de 2014

Pavel Durov explica alguns detalls de Telegram en una entrevista concedida a DiarioTuring i aclareix que el codi del servidor és tancat, de moment. En comento alguns aspectes en aquesta altra entrada.

Quant a Giorgio Grappa

Algú fa cas de les coses que els blocaires escriuen sobre ells mateixos? El comentari més sincer que he llegit als "about me" és aquell de: "si vols saber res de mi, pots llegir el meu bloc."
Aquesta entrada s'ha publicat en Informàtica, llibertat, programari, programari lliure, programari privatiu i etiquetada amb , , , , . Afegiu a les adreces d'interès l'enllaç permanent.

4 respostes a Telegram: potser ni tan lliure ni tan segur

  1. Retroenllaç: Cultura digital | Paraules sense escrúpols

  2. Retroenllaç: Pavel Durov explica detalls de Telegram | Anotacions al marge

  3. eduardp ha dit:
    divendres 7, febrer, 2014 a les 12.16

    Crec que només són segures les connexions segures. En aquest cas s’estableix una connexió punt a punt verificable en la que el servidor només emmagatzema dades encriptades. Dues imatges a banda i banda es poden comparar per assegurar que no hi ha un atac de man in the middle.
    Ara bé, la connexió segura no està disponible, ara per ara, per els clients no oficials. I per defecte no hi ha seguretat més que contra el servidor, que evidentment no serveix més que per evitar que les altres agències d’espionatge puguin espiar-te. Cal dir, però, que els servidors estan distribuits arreu del món (crec). Això redueix les possibilitats de ser espiats per una sola agència russa.

    Respon

  4. Retroenllaç: Telegram Messenger, la alternativa libre a Whatsapp - KDE Blog

Deixa un comentari