Telegram ha da poco annunciato la possibilità di esportare una singola chat (ma anche gruppo, canale o bot) dal proprio profilo, includendo messaggi di testo, messaggi vocali, messaggi video, foto, filmati, stickers, GIF animate, vcard dei contatti, location e file allegati con un limite di 1.5 GB in totale. Vediamo come fare a esportare le proprie chat con relativi vantaggi, limiti e possibilità di utilizzo.
L’esportazione delle chat, gruppi e canali Telegram non è in realtà una novità: già a metà luglio, tramite il canale ufficiale GDPR Bot, Telegram aveva abilitato la possibilità di esportare l’intero contenuto del proprio profilo, utilizzando una funzione simile a quella fornita già da Facebook, Twitter, Linkedin e Whatsapp proprio a seguito degli adeguamenti privacy e data protection legati all’attuazione del GDPR del 25 maggio 2018. La differenza rispetto alla funzione di “Export Telegram Data” è che grazie alla funzione di esportazione annunciata oggi è possibile esportare chat individuali, gruppi, bot o canali senza dover esportare tutto il profilo.
Come per l’esportazione completa del profilo a fini GDPR, rimane – soltanto per le nuove installazioni di Telegram Desktop – il limite delle 24 ore di attesa prima di poter avviare il download, che Telegram richiede di attendere per poter notificare i dispositivi connessi circa la richiesta di esportazione e permettere all’utente di reagire in caso di richiesta non autorizzata.
Come indicato nel changelog Telegram che cita “Export data from individual chats using the ‘…’ menu.“, per poter salvare una singola chat, gruppo, canale o bot Telegram, è sufficiente scaricare la versione 1.3.13 o successiva di Telegram Desktop, selezionare la chat, gruppo, canale o bot d’interesse e cliccare sul pulsante con i tre puntini “…” in alto a destra.
Comparirà quindi la nuova voce di menù “Export Chat History” per chat, gruppi e bot ed “Export Channel History” per i canali, che ci permetterà di scegliere all’interno della chat cosa c’interessa sottoporre a backup (Photos, Vide Files, Voice messages, Round Video Messages, Stickers, Animated GIFs o Files) e in quale cartella del computer.
Cliccando su “Export” avvieremo la procedura di esportazione completa degli elementi selezionati dalla chat, che procederà anche in background mentre continuiamo a utilizzare l’interfaccia di Telegram Desktop. Nel caso in cui la procedura si dilungasse in modo eccessivo, è sempre possibile interromperla e riavviarla (da capo) in un altro momento.
Al termine dell’esportazione dei messaggi, video, foto e allegati di una singola chat Telegram in locale sul proprio PC otterremo un folder dal nome “ChatExport_dd_mm_yyyy“, composto come si può notare dal termine “ChatExport” e dalla data in cui viene eseguito il dump dei dati (es. “ChatExport_28_08_2018” per il backup eseguito durante la redazione del presente articolo).
All’interno della cartella “ChatExport” avremo uno o più file “messages.html” numerati (ognuno di circa 500 KB) che contengono i riferimenti ai vari allegati e le cartelle “photos”, “stickers”, “video_files”, “voice_messages”, “contacts”, “files”, “js”, “images”, “round_video_messages” e “css”. Per visionare la chat, è sufficiente aprire il file “messages.html” e scorre in basso, in automatico potranno essere poi aperti i file successivi in caso di chat molto lunghe.
Veniamo al punto interessante: a cosa può servire poter esportare i messaggi di una singola chat Telegram? Ricordiamo che su Whatsapp l’esportazione delle chat è possibile da tempo, sia tramite mail, sia tramite upload su Cloud (Dropbox, etc…) o caricamento via Bluetooth. Per Telegram, esistevano script e tool di salvataggio ma spesso incompleti o non immediati da utilizzare.
Innanzitutto come backup delle proprie chat, difficile o scomodo da fare altrimenti. E’ pur vero che Telegram – a differenza di Whatspapp – mantiene le chat e gli allegati digitali sui suoi server, quindi anche in caso di perdita dello smartphone è sempre possibile accedere tramite la propria utenza telefonica e avere nuovamente a disposizione i propri messaggi, video, foto e allegati. Può comunque essere ragionevole mantenersi una copia dei thread importanti sul proprio PC.
Dal punto di vista della mobile forensics o in ambito di perizia informatica su smartphone può essere strategico (durante attività di sequestro e perquisizione da parte di Polizia Giudiziaria, Consulenze Tecniche Forensi in contraddittorio o ex Art. 360, incidente probatorio, accertamenti tecnici preventivi, etc…) poter esportare l’intero contenuto di una chat singola o di gruppo, bot o canale. Spesso durante le attività di perquisizione e sequestro o descrizione giudiziaria gli operatori sono costretti ad acquisire fotografie dello schermo, che trascurando la questione “forense” sono limitati dal punto di vista dei contenuti. Ricordiamo che per l’acquisizione non è necessario avere in mano lo smartphone: basta un qualunque PC con Windows, Mac OS o Linux, il software Telegram Desktop dalla versione 1.3.13 o successive (scaricabile dal sito ufficiale Telegram Desktop) e la possibilità di ricevere l’SMS con il PIN di autenticazione sull’utenza con la quale è stato registrato il profilo Telegram. Ovviamente per questo ultimo requisito si dovrà inserire la SIM su un altro telefono e, se l’utente ha utilizzato anche una “cloud password”, sarà necessario conoscerla o poterla ripristinare. Rimane ovviamente il vincolo delle 24 ore di attesa per le nuove installazioni del client Telegram Desktop, che certamente in fase di sequestro e perquisizione potrebbero essere limitanti.
L’esportazione della chat Telegram include tutti gli elementi (foto, video, messaggi vocali o video, file allegati, location, link, etc…) così da poter avere un valore probatorio se non tecnicamente frutto di acquisizione forense almeno il più completo possibile. Per rendere l’estrazione più simile a una acquisizione forense, si potrebbe ad esempio provvedere alla registrazione del video e del flusso dati della scheda di rete, racchiudendo poi il tutto in un archivio ZIP, RAR, TGZ o 7ZIP cui calcolare hash MD5 e/o SHA256 apponendo eventualmente data certa tramite timestamp digitale o verbalizzando il tutto su documenti o atti ufficiali così da rendere se non riproducibile almeno valutabile a posteriori l’integrità di quanto svolto dal Consulente o dalla PG operante.
Inoltre, su diversi dispositivi, nonostante il supporto di strumenti di acquisizione forense avanzati come UFED4PC o Physical Analyzer della Cellebrite, Oxygen Forensics, MSAB XRY, MOBILedit della Compelson, talvolta non è possibile accedere alle chat Telegram, dovendosi quindi limitare a produrre fotografie dello schermo o correndo il rischio di rooting/jailbreak da applicare solamente in situazioni specifiche. Ovviamente con i limiti di dover eseguire un login sul profilo dell’utente, certamente in tali casi potrebbe essere strategico poter acquisire le prove remotamente, prove disponibili sullo smartphone ma non accessibili per limiti tecnici (ma anche per mancanza di strumentazione adeguata o tempo).
Spesso le vittime di stalking, minacce, soprusi, diffamazione si chiedono come esportare le prove del reato di cui sono parte lesa contenute nelle chat Telegram, per poterle utilizzare come prova da allegare alla denuncia querela che loro stessi o i legali provvederanno a sporgere in Procura, Tribunale o dalle Forze dell’Ordine. Sicuramente – per quanto ribadiamo sia una acquisizione di parte non eseguita tramite strumentazione forense – se la vittima del reato è in grado di esportare autonomamente la chat che prova la diffamazione o lo stalking si possono agevolare le indagini. Si consideri anche il fatto che per gli utenti, in diversi casi, su Telegram è possibile cancellare i messaggi, allegati, video o foto in modo permanente da chat o gruppi rendendo quindi vana l’attività di acquisizione forense tardiva.
Per cancellare messaggi ma anche video, foto o allegati Telegram da chat o gruppi basta infatti selezionare “Cancella il messaggio per l’utente” e anche il nostro interlocutore vedrà scomparire i messaggi, rendendo quindi inutile una eventuale acquisizione postuma, tranne in rari casi nei quali è possibile recuperare i messaggi Telegram cancellati, casi che però dipendono da elementi come la quantità di tempo passato dalla cancellazione e l’intensità di utilizzo della piattaforma Telegram. Se la vittima è in grado di procedere subito e in autonomia a scaricare una copia della chat sul proprio PC, è possibile quindi correre ai ripari e acquisire dati che altrimenti rischiano di essere cancellati.