Lo so, lo so, nessuno regala niente a nessuno, è una legge di mondo che non serve ribadire, ma qui non si sta parlando di regalare niente. Ognuno, a suo tempo, avrà il suo tornaconto. Let me explain.
Pochi giorni fa facevo un giro fra i vari servizi online incentrati sulla privacy come chat sicure, wallet bitcoin, lettori rss e, con mia sorpresa, servizi di cloud storage.
Cos'è Filen.io
Filen si pone come un servizio di cloud storage sicuro, veloce, facile da usare, open source e indipendente.
Con sede in Germania, il servizio promette bene in quanto privacy poiché pienamente tenuto a rispettare le normative europee in merito alla protezione e la diffusione dei dati dei suoi clienti (leggi il mio articolo sul GDPR qui) e, non di poco conto, non avendo giurisdizione in America né dipendenti americani, non è tenuto a sottostare ai controlli, verifiche o richieste da parte del governo americano (stesso discorso per le controparti cinesi o russe).
Per comprendere meglio la questione, ti consiglio questo articolo di Forbes dove viene citata una legge americana che permette a qualsiasi entità governativa di "sorvegliare" per qualsivoglia motivo qualsiasi operazione effettuata all'interno del territorio americano, senza dover fornire giustificazioni: How American Law Lets Feds Spy On WhatsApp Without Needing To Say Why (forbes.com)
Società e fondatori
La società a capo del servizio è la Filen Cloud Dienste UG (haftungsbeschränkt), fondata ad inizio 2020 e con sede a Recklinghausen, Germania.
In Germania una "UG (haftungsbeschränkt)" corrisponderebbe all'equivalente di una Società a Responsabilità Limitata italiana.
L'attività è stata fondata da Jan Lenczyk, sviluppatore, appassionato di cifratura e forte sostenitore della privacy come diritto inviolabile di ogni individuo.
La società è composta, stando al sito ufficiale, da tre individui:
- Jan Lenczyk: Fondatore, amministratore delegato e direttore tecnico;
- Jan Kulartz: Direttore operativo e di marketing
- Phil Hedrich: Design, pubbliche relazioni e marketing
Il team si presenta con poche risorse ma ognuno con il suo specifico compito e area di competenza (direttamente dalla pagina del sito è possibile consultare i profili social di ogni membro).
Privacy e trasparenza
Filen pone al centro del suo modello di business, oltre alla sicurezza, la privacy dei suoi clienti. Tutti i punti di interesse del loro modello, le loro politiche e il funzionamento dei sistemi sono espressi nelle apposite pagine sul sito web ufficiale, oltre alla piena disponibilità che gli sviluppatori forniscono ai clienti sui vari canali social come Reddit e Twitter.
La politica privacy di Filen risulta, al momento, di soli 6 punti chiari e concisi:
- I dati dei clienti non vengono venduti.
- Nessun dato viene salvato ad eccezione di quelli forniti durante la registrazione (username, email e ultimo indirizzo IP di login). Le password sono salvate in un database solo dopo esser stato applicato un algoritmo di hashing con l'aggiunta di "rumore" chiamato in gergo "salt" per aumentare esponenzialmente la difficoltà di un eventuale tentativo di decifratura. I dati relativi a indirizzo IP utilizzato per l'ultimo login e user agent del browser sono consultabili da parte dell'utente ed, eventualmente, esportabili in formato JSON, nonché rimovibili come previsto dal GDPR in qualsiasi momento.
- I dati anonimi di navigazione potrebbero essere salvati a titolo statistico e di misurazione dell'attività verso i portali web. I dati potrebbero essere raccolti anche tramite l'uso di cookies.
- In certe situazioni, il team di Filen può ottenere informazioni riguardo errori di sistema, delle applicazioni o degli agent installati sui sistemi operativi al fine di migliorare il servizio, tener traccia storica dei bug e fornire un feedback immediato sullo stato del servizio.
- Come prevede la normativa GDPR, il cliente finale si riserva il totale diritto di scaricare, modificare o richiedere l'eliminazione dei propri dati dai server di Filen.
- Non viene fatto uso di strumenti di terze parti per il tracciamento statistico e analitico del servizio come Google Analytics. Per le analisi statistiche viene utilizzato un sistema installato all'interno dell'infrastruttura chiamato Matomo.
Il team di Filen si è già espresso anche in merito all'eventualità in cui gli Stati Uniti facessero valere i loro diritti in merito ai trattati sul copyright come il DMCA:
Sicurezza e cifratura
Un servizio che si presenta come "sicuro" non può di certo tenersi dal descrivere quanto più dettagliatamente possibile come vengono cifrati i dati tra i client e i server.
Come viene applicata la sicurezza in Filen viene espresso in due modi: Easy mode e WHITEPAPER.
Per farla molto breve, funziona così:
Durante la registrazione
- L'utente inserisce solo due informazioni: email e una password a scelta.
- All'interno del browser la password scelta viene salvata temporaneamente.
- Per creare la chiave di autenticazione viene utilizzato il noto e comprovato algoritmo di cifratura PBKDF2. Le informazioni che vengono date in pasto all'algoritmo sono: la password; 256 caratteri casuali chiamati in gergo "salt"; algoritmo di hashing da utilizzare, precisamente lo SHA-512; numero di volte in cui verrà applicato l'algoritmo di hashing, ossia 200.000 volte (basti pensare che l'organizzazione di cybersecurity OWASP reputa sicuro utilizzare, con questi requisiti, anche solo 120.000 iterazioni) e la lunghezza che la chiave di autenticazione dovrà avere, cioè 512 caratteri.
- Tutte le informazioni sono date in pasto all'algoritmo, che fa uscire come risultato una stringa di 512 caratteri.
- I 512 caratteri vengono codificati in esadecimale ed inviati al database di Filen, assieme all'indirizzo email e ai 256 caratteri casuali (il "salt") utilizzati durante la creazione dell'account.
Durante il login
- L'utente inserisce l'email e la password.
- Il browser invia la mail al sistema Filen tramite API.
- Se la mail è presente nel database, il sistema restituisce il "salt" utilizzato durante la registrazione.
- Se la mail NON è presente nel database, il sistema restituisce un "salt" casuale, per evitare attacchi mirati all'enumerazione degli indirizzi email dei clienti.
- Il browser ripete le operazioni effettuate durante la registrazione per ottenere la chiave di autenticazione.
- La chiave di autenticazione viene inviata al sistema, che informerà l'utente se l'autenticazione ha avuto successo o no.
Recupero dell'account
Trattandosi di una chiave di autenticazione generata con informazioni fornite durante la registrazione, non è possibile recuperare un account se la password viene dimenticata.
È possibile, tuttavia, cambiare la password se si riesce ad avere l'accesso da un altro dispositivo. La nuova password verrà semplicemente utilizzata per cifrare i nuovi file, mentre quella vecchia verrà utilizzata per decifrare i vecchi file, ancora disponibili.
Autenticazione a due fattori
Filen permette, naturalmente, di impostare un doppio fattore di autenticazione basato sul tempo (TOTP), sistema che prevede una generazione continua di un codice a 6 cifre ogni TOT secondi in modo allineato con il server. Solo il possessore di un dispositivo configurato con il codice fornito da Filen potrà sbloccare il proprio account durante il login.
È possibile recuperare il token a due fattori solo se provvisti del codice di recupero, fornito durante la prima configurazione.
Caricamento di file sul server
Tutte le informazioni di ogni file sono cifrate (dati del file, nome, metadati e nomi cartelle).
Ogni file viene "tagliato" in file più piccoli chiamati "chunks", ognuno dal peso di 1MB, cifrati con una chiave AES-GCM 256 e poi inviati al server. Ogni file ha una sua propria chiave di decifratura.
Il server non ha accesso ai file singolarmente, né ha modo di accedere fisicamente ai contenuti caricati o ai metadati, contrariamente a quanto già successe ad un'altra società di cloud storage.
Nel 2011 Dropbox fu al centro di una polemica che riguardava il sistema di controllo per la deduplicazione dei file. In soldoni, se il sistema era in grado di stabilire quali file fossero già stati caricati, allora evitava di caricarli nuovamente, per ridurre lo spreco di spazio. Vien da sé che se un sistema SA quali file già esistono... un controllo o una conoscenza dei contenuti c'è, anche se parziale.
"Security Issues with Dropbox", di Sanaz Bahargam
Criticism of Dropbox - Wikipedia
Scaricamento di file dal server
Il client scarica dal server tutti i chunks che compongono il file desiderato, li tiene in memoria, li ordina secondo le informazioni salvate nei metadati (dopo che questi sono stati decifrati) e ricompone il flusso di dati originale per poi salvare il file risultante nella cartella desiderata.
Le cartelle e i relativi contenuti vengono momentaneamente scaricati in memoria e poi vengono compressi in un archivio lato client, per evitare di far scaricare al client una mole di file singoli.
Per via delle limitazioni di memoria dei browser, le cartelle non possono essere tutte scaricate. Filen stesso raccomanda, qualora si volessero scaricare cartelle con una ingente quantità di file al loro interno, di utilizzare il loro client desktop.
Il whitepaper fornito da Filen è consultabile qui: FilenSecurityWhitepaper.pdf
Prezzi e piani disponibili
Parliamo di pecunia, dai, è quello che tutti vogliono sapere, alla fine.
Attualmente Filen prevede di fornire 10GB ad ogni utente che gratuitamente si registra, gratuitamente.
BUONI, FERMI, il fatto che sia gratis non vuol dire scendere a compromessi con sicurezza o funzionalità! Ne parlo più avanti.
I piani disponibili sono i seguenti:
Nome | Spazio | Prezzo mensile | Prezzo annuale |
---|---|---|---|
Free | 10GB | 0.00€ | 0.00€ |
Starter | 100GB | 0.99€ | 11.88€ |
Pro I | 500Gb | 3.99€ | 39.99€ |
Pro II | 2TB | 8.99€ | 89.99€ |
Pro III | 5TB | 17.99€ | 179.99€ |
Pagamenti
Attualmente è possibile pagare con PayPal, Stripe (Carta di Debito/Credito, Google Pay o Apple Pay) o con criptovalute (Bitcoin, Ethereum, USD Coin, Litecoin, Dai, Bitcoin Cash, Dogecoin).
UDITE, UDITE: FILEN PERMETTE, PER UN PERIODO DI TEMPO LIMITATO, DI AVERE 100GB CON UN PAGAMENTO LIFETIME DI 25€!!!
Aggiornamento 18/01/22: I piani lifetime sono stati più o meno stabilizzati nei seguenti:
Nome | Spazio | Prezzo Lifetime |
---|---|---|
Starter | 100GB | 30€ |
Pro I | 500GB | 90€ |
Pro II | 2TB | 200€ |
Pro III | 5TB | 440€ |
Come hanno accennato gli sviluppatori su Reddit, sono tentati di rimuovere i piani lifetime dopo il black friday (26 novembre 2021) per via dell'ovvio sbilancio tra servizio offerto e da mantenere con il prezzo pagato dal cliente finale. QUINDI SE VOLETE, SBRIGATEVI A PRENDERLO!!!
Nota importante, come comunicato dal team di supporto, i piani sono accumulabili! Ciò vuol dire che se compraste due piani Lifetime, avreste 200GB per 50€ all-life-long! Oppure Pro I e Starter, 600GB, per 5€ al mese.
Il servizio prevede, oltre all'acquistare un piano a pagamento, un sistema di referral con il quale sarà possibile "consigliare" Filen ad un massimo di 3 amici e ricevere spazio aggiuntivo per ogni persona invitata.
Nello specifico, per ogni persona invitata su Filen si riceveranno reciprocamente 10GB in più all'attuale piano, quindi se un utente X si registrerà grazie all'invito dell'utente Y, pur non pagando per un piano a pagamento, entrambi finiranno con 10GB iniziali + 10GB di premio, per un totale di 20GB gratuiti.
Il sistema di referral prevede, inoltre, una commissione del 10% per ogni utente invitato che effettua un aggiornamento al piano premium. Quindi, se un utente che abbiamo invitato comprasse un piano PRO da 500GB, quindi 40€ annuali, noi riceveremmo 4€ di commissione ogni anno. Questo per ogni utente invitato pagante.
OK, dove si firma?
Se questa panoramica vi ha convinto a scegliere Filen come archivio cloud per i vostri file, non dovete fare altro che registrare un account a questa pagina:
Ma i 50GB?
Come accennato nel titolo, Filen permette, non si sa ancora per quanto, di riscattare dei voucher per ottenere un po' di spazio in più, precisamente 30GB in più ai 10GB previsti dal piano gratis, che vanno tutti aggiunti ai 10GB che avreste se vi iscrivete con il mio codice referral, per un totale di 50GB!
I codici da riscattare sono questi:
0LKJQ9CN
BW4M0YDV
10GBFREE
Per riscattare i codici, dopo esservi registrati, dovrete andare nel menu in alto a destra, sotto la vostra mail, cliccare sulle Impostazioni Account e inserire nell'apposito riquadro i codici, uno per uno.
Nel mio specifico caso, mi sono iscritto utilizzando il refer di un mio amico, ho inserito i tre voucher e ho consigliato il servizio a due miei colleghi, quindi ho raggiunto uno spazio di 70GB senza ancora pagare nulla. Penso, comunque, che 25€ per 100GB lifetime li spenderò, dopotutto sono accumulabili con i 70GB già presenti 🥳
Un grazie di cuore a tutti quelli che si iscriveranno con il mio refer ❤️
AGGIORNAMENTO
Ho scoperto che, letteralmente da ieri a oggi, sono stati inseriti i pagamenti in criptovalute (ho già aggiornato l'articolo), quindi mi sono sbrigato a comprare 25€BTC di abbonamento lifetime. Com'era prevedibile, si sono accumulati gli spazi.