skip to main | skip to sidebar
40 commenti

WhatsApp attiva la crittografia ovunque, ma non è invulnerabile

Credit: alberto_cz.
Ultimo aggiornamento: 2016/04/09 15:15.

Martedì 5 aprile WhatsApp ha reso automaticamente disponibile la crittografia end-to-end per tutti i propri utenti, per rendere meno vulnerabili le loro conversazioni: ora, infatti, neanche WhatsApp sa cosa si dicono i suoi utenti. Il messaggio viene cifrato prima di lasciare il telefonino, viaggia cifrato via Internet e sui server di WhatsApp, e viene consegnato ancora cifrato al telefonino del destinatario, che è l’unico in grado di decifrarlo. Neanche i gestori di WhatsApp hanno la chiave di decifrazione.

Tutto il procedimento è automatico: per attivarlo basta scaricare la versione più recente dell’app. Se la comunicazione è cifrata, compare un avviso sullo schermo. La crittografia end-to-end si applica a ogni forma di comunicazione gestita da WhatsApp (compresi per esempio i gruppi, le chiamate vocali, le foto e i video) e funziona su tutti i tipi di telefonino (Android, iOS, Windows Phone).

È una svolta notevole: improvvisamente circa un miliardo di persone ha a disposizione uno strumento familiare che rende molto più difficile ai ficcanaso origliare le proprie comunicazioni. Soprattutto significa che i gestori di WhatsApp non possono più essere obbligati da un tribunale a fornire il contenuto di una conversazione effettuata tramite la loro app.

Certo, i criminali e i terroristi potranno comunicare tramite WhatsApp senza che gli inquirenti possano chiedere a WhatsApp di rivelare cosa si sono detti. Ma questa gente ha da sempre a disposizione strumenti sofisticati per nascondere le proprie comunicazioni. Fra l’altro, è ironico che la tecnologia di cifratura di WhatsApp sia stata sviluppata con i fondi stanziati dal governo statunitense, che ora si lamenta della crittografia che ha contribuito a creare, ma questa è un’altra storia.

Quello che conta, semmai, è che saranno meglio protette contro la sorveglianza di massa anche le persone normali nei paesi nei quali la libertà di comunicazione non è garantita, e che questa protezione è offerta tramite un’app popolarissima, non tramite qualche scomoda app di nicchia il cui possesso sarebbe già di per sé sospetto.

Credit: @McCasp.
Tutto questo non vuol dire che le comunicazioni effettuate tramite WhatsApp siano perfettamente sicure e segrete: WhatsApp resta comunque una società commerciale il cui compito è fare soldi raccogliendo dati degli utenti. Per esempio, WhatsApp avvisa, nelle sue avvertenze legali, che si riserva la facoltà di registrare i numeri di telefonino e la data e l’ora di ogni scambio di messaggi, per cui è sempre possibile sapere chi ha chattato con chi e a che ora; e WhatsApp avvisa che conserverà “ogni altra informazione che è legalmente obbligata a raccogliere”. Le impostazioni di WhatsApp mettono bene in chiaro che la crittografia è applicata “quando possibile”.

WhatsApp continua inoltre ad accedere periodicamente alla rubrica dei contatti “per localizzare i numeri di telefonino di altri utenti WhatsApp”, raccogliendo i numeri ma non i nomi associati ai numeri.

Questa novità, insomma, va vista non tanto come un’opportunità per gli utenti di comunicare al riparo da occhi indiscreti, quanto come un espediente che permette a WhatsApp (e quindi a Facebook) di ridurre drasticamente le proprie responsabilità legali: se un governo chiede a WhatsApp di accedere alle comunicazioni che un utente ha fatto tramite l’app, WhatsApp può rispondere semplicemente che non le ha.

Infine non va dimenticato che sul telefonino del mittente e del destinatario (o di ciascun partecipante a un gruppo) rimane una copia delle conversazioni effettuate con WhatsApp, e questa copia è accessibile se il telefonino non è protetto da un PIN e dalla cifratura dei suoi contenuti.

Un’altra copia può trovarsi sui server di Apple se si usa WhatsApp su iPhone ed è attivo iCloud. Inoltre se si usa WhatsApp su qualunque smartphone e si accetta la proposta dell’app di salvare le conversazioni sul cloud di WhatsApp, l’azienda ha una copia (si spera cifrata) delle conversazioni: questa copia automatica è disattivabile andando nelle impostazioni di WhatsApp. Infine, nel caso di una conversazione di gruppo su WhatsApp, è importante tenere presente che se anche uno solo dei membri del gruppo ha attivato il backup su iCloud (o altro cloud), esiste una registrazione dell’intero scambio di messaggi.

Per tutti i dettagli tecnici potete consultare l’apposita documentazione pubblicata da WhatsApp e la guida d'uso pubblicata dalla Electronic Frontier Foundation.


Fonti aggiuntive: Whisper Systems, Electronic Frontier Foundation, Wired.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (40)
Domanda: questo significa che ora Whatsapp è più "sicuro" di una mail non criptata che transiti per i server di uno o più internet provider per arrivare a destinazione su un cellulare?
Una domanda. Come mai post kilometrici sui razzi di Musk mentre nemmeno una riga su quelli di Bezos?
Un backup delle chat, elementi multimediali inclusi, può essere impostato in automatico anche su Android che lo fa o in locale oppure su Drive.
Nei paesi in questione semplicemente si banna l'uso di WhatsApp, che domande. Cf. quello che è successo in Brasile, oppure le marce indietro che BlackBerry ha fatto in Pakistan o in India.

Resta comunque il problema che ti devi sostanzialmente *fidare* che le tue chat siano crittografate. Chi gestisce le chiavi? Sei sicuro che WhatsApp non ne abbia una copia? Vogliamo contare quanti giorni passino prima che qualche forza di polizia additi WhatsApp come nemico della cosa pubblica perché protegge le comunicazioni di terroristi/pedofili/altro gruppo a piacere, e una qualche corte segreta imponga a WhatsApp la possibilità di disabilitare selettivamente la cifratura per certi utenti che vogliono essere tenuti sotto controllo?
Scusate ma quindi il core business di Whatsup ora e' solo data/ora delle telefonate? Valgono cosi' tanto queste sole informazioni?
Le conversazioni sono ancora accessibili via web. Whatsapp da web continua a funzionare, quindi le conversazioni passano dal cell al web in un qualche modo.
OK, il sito web.whatsapp.com è in HTTPS, sicuramente anche tutta catena di comunicazione cell<->server<->browser_web è criptata... ma la cosa mi lascia un po' perplesso perché senza chiave, il client web non può leggere i messaggi, quindi vuol dire che i messaggi non passano criptati in questa catena.
Non ho avuto tempo di indagare, sarebbe interessante capirne il funzionamento.
comunque resta un software chiuso quindi non e' dato sapere che tipo di crittografia sia usata e neppure in realta' se sia effettivamente implementata o meno. Poi vorrei capire come funziona la crittografia end-to-end sui gruppi..
Dito: in realtà il core business penso siano i numeri di telefono...
"Certo, i criminali e i terroristi potranno comunicare tramite WhatsApp senza che gli inquirenti possano chiedere a WhatsApp di rivelare cosa si sono detti. Ma questa gente ha da sempre a disposizione strumenti sofisticati per nascondere le proprie comunicazioni."

Se avessi in mente qualcosa di illegale non userei certo un'app pubblica per comunicare coi miei complici, ma un sistema creato ad hoc. Ma forse è perché sono un software developer e quindi questa è la mia forma mentis :P
Cos'è quella procedura di "conferma codice sicurezza"? Serve solo per una questione psicologica e pubblicitaria del tipo "Sì, ti confermo che sei crittografato"? Oppure è indispensabile per avere la crittografia? Da quanto ho capito, mi sembra solo pubblicità. Inoltre, ora si può fare questa verifica perché appare il messaggio che lo dice. Piano piano, scrivendo nella chat, questo messaggio sparirà. Quindi la verifica la fai adesso o mai più? (sempre se serve a qualcosa)
@bacillus: che c'azzecca qui? Comunque tié: http://attivissimo.blogspot.it/2016/01/il-razzo-di-bezos-vola-nello-spazio-di.html Se te lo sei letto trovi la risposta alla tua domanda. Se non la trovi vuol dire che sto perdendo il mio tempo, ma oramai che ci sono aggiungo dei dettagli: il nuovo volo conferma quanto già scritto lì, non mi pare aggiunga niente di nuovo se non una ulteriore ed apprezzabilissima dimostrazione di affidabilità di cui magari Paolo parlerà appena avrà tempo di farlo. O forse no: in effetti è anche possibile che non ne parli, perché come è noto alla sua strettissima cerchia di collaboratori (sono informazioni riservate che sono riuscito a catturare dalle sue chat Whatsupp giusto un attimo prima che venissero criptate), avendo lui prenotato una Tesla è in combutta con Musk e quindi, ovviamente, deve screditare Bezos.
Scusate la mia incredibile ignoranza.. Ma nel caso volessi recuperare le chat da icloud tramite whatsapp data recovery o cose simili,posso sempre farlo? I backup su icloud sono sempre accessibili si?
Scusate la mia incredibile ignoranza.. Ma nel caso volessi recuperare le chat da icloud tramite whatsapp data recovery o cose simili,posso sempre farlo? I backup su icloud sono sempre accessibili si?
Ma la storia che apple non voleva la crittografia ed era crittografata solo la versione per android?
Hanno fatto marcia indietro anche quelli della mela morsicata?

è ironico che la tecnologia di cifratura di WhatsApp sia stata sviluppata con i fondi stanziati dal governo statunitense,

Non è solo ironico ma anche vergognoso. Considerando per quanti soldi è stata venduta quell'applicazione e quanti ancora ne ha e ne fa chi l'ha comprata sarebbe forse tra le ultime al mondo ad aver bisogno di finanziamenti per essere sviluppata.
bacillus,

Una domanda. Come mai post kilometrici sui razzi di Musk mentre nemmeno una riga su quelli di Bezos?

Come mai fai una domanda totalmente fuori tema rispetto all'articolo? :-)

Guarda che ho parlato eccome di New Shepard, e quando ne ho parlato ho anche spiegato la differenza d'importanza fra il progetto di Bezos e quelli di SpaceX. Basta che usi l'apposita funzione di ricerca.
Certo, i criminali e i terroristi potranno comunicare tramite WhatsApp senza che gli inquirenti possano chiedere a WhatsApp di rivelare cosa si sono detti. Ma questa gente ha da sempre a disposizione strumenti sofisticati per nascondere le proprie comunicazioni. -> mhh.. be', gli stai rendendo estremamente semplice il processo, e nel mentre stai criptando informazioni come "ciao tanti bacini dalla grecia": a chi e quando serve davvero essere irrintracciabile?

avere le tecnologie per intercettare il prossimo non è necessariamente un male, così come avere un coltello da cucina in casa e allo stesso tempo non daresti facile accesso ad un'arma perché tanto "i criminali sanno comunque come procurarsele"

allora mi chiedo: perché io sono contento che whatsapp cripti ciò che scrivo (che è una dichiarazione, ma bisogna anche fidarsi)? Be' perché i miei dati oltre ad essere sul mio telefono e su quello delle persone con cui parlo sono nel loro server.

Quindi:

trovo che l'aspetto da considerare sia che la comunicazione fra te e l'altra persona passa da un server e lì le cose restano e resteranno...criptate o meno: è "giusto" scendere a questo compromesso? Possibile che non ci sono tecnologie per ovviare a ciò? Perché negli anni 90 nessuno si preoccupava di fare telefonate alla mamma in codice? Credo che fosse perché la telefonata iniziava e finiva lì, e non c'era l'idea che 100 anni dopo qualcuno potesse riascoltare del giovedì in cui tua mamma ti chiedeva di comprare il latte all'alimentari...

altra considerazione, dal sottofondo un po' paranoico-complottista: sapevo che eventuali super-computer basati su processori molecolari o quantistici potrebbero trovare le chiavi per decifrare gli attuali sistemi di crittografia in tempi ragionevoli, è vero?
Leggendo il documento, per quello che ne capisco, la crittografia è attivata di default, ed è verificabile tra due dispositivi tramite codice QR, pensavo il contrario.
Certo, è anche un operazione per "pararsi il qulo", whatsapp non può fornire alle autorità i dati ai quali non può accedere.
Piccola nota, i terroristi di Bruxelles non hanno usato crittografia, ma semplici cellulari usa e getta.
@Stefano: con la storia dei superdupercomputer c' sempre da stare calmo.
Comunque, siamo chiari: se governi e simili vogliono "leggere" un tuo messaggio, lo leggono.
Non c'è un sistema inattaccabile al 100% come non c'è una porta non scassinabile al 100%.
Se proprio proprio proprio proprio ci si mettono di punta, te lo bucano.

Quello che diventa meno praticabile è la pesca a strascico, i big data, l'ascoltare tutto e macinarlo con degli algoritmi.
Che è tutto da capire quanto sia il costo/efficacia nella lotta al terrorismo, al narcotraffico etc., ma che lascia in mano ad una NSA o un equivalente una sorta di facebook su steroidi.
Se già un social network qualunque si quota in borsa macinando e vendendo analisi di mercato su quei pochi dati che gli dai, immagina cosa potrebbe mettere assieme uno che legge anche quello che NON dovrebbe leggere.

Che, non dimentichiamolo, all'altro capo del filo c'è comunque un essere umano: che sia il politico di turno a cui interessa magari sbirciare un po' in un supermegasondaggione, che sia l'omino che impacchetta 2,4terabyte di dati e li manda a un giornale tedesco.
Non mi permetterei mai di dire che chi non ha niente da nascondere non se ne deve preoccupare, la mia filosofia è al contrario, non gestendo in prima persone la cifratura di whatsapp ed altri servizi sedicenti sicuri, quando trasmetto qualcosa con questi mezzi lo faccio solo pensando se quello che sto dicendo lo farei anche in un bar affollato, una piazza od un centro commerciale, se devo dire cose sensibili utilizzo mail con chiave pubblica e privata.
Ora encripta tutto... ma:
-Non nasconde a chi mandi i messaggi;
-I messaggi vengono salvati sui loro server.

Fonte:
https://telegram.me/geekschannel/240
@Vari:

Le conversazioni sono ancora accessibili via web. Whatsapp da web continua a funzionare, quindi le conversazioni passano dal cell al web in un qualche modo.

Non mi pare che sia documentato, ma ipotizzerei che il client web si connetta al client smartphone in modo paragonabile a quello documentato per la chat singola, invii messaggi al telefono che a sua volta li invia ai contatti.
Per iniziare a usare Whatsapp web è infatti necessario leggere il codice QR con lo smartphone (scambio di chiave), e per utilizzarlo è sempre necessario che lo smartphone sia acceso e connesso.

comunque resta un software chiuso quindi non e' dato sapere che tipo di crittografia sia usata e neppure in realta' se sia effettivamente implementata o meno. Poi vorrei capire come funziona la crittografia end-to-end sui gruppi..

Clicca sull'apposito link nell'articolo e avrai le risposte che cerchi. Vedere se funziona davvero così è effettivamente più complicato ma possibile per chiunque.


Cos'è quella procedura di "conferma codice sicurezza"? Serve solo per una questione psicologica e pubblicitaria del tipo "Sì, ti confermo che sei crittografato"? Oppure è indispensabile per avere la crittografia? Da quanto ho capito, mi sembra solo pubblicità.

Serve per verificare reciprocamente l'identità del mittente e del ricevente della conversazione, ovvero che al ricevente abbia ricevuto davvero la tua chiave pubblica e viceversa. Quindi che il server Whatsapp non stia facendo da man in the middle.

Inoltre, ora si può fare questa verifica perché appare il messaggio che lo dice. Piano piano, scrivendo nella chat, questo messaggio sparirà. Quindi la verifica la fai adesso o mai più? (sempre se serve a qualcosa)

Oppure puoi provare a cliccare sulle informazioni del contatto...

Non è solo ironico ma anche vergognoso.

Sarebbe bastato cliccare sul link presente proprio sulla frase che stai commentando, prima di farlo, per capire che non è stata finanziata Whatsapp, ma è stata finanziata Open Whisper, iniziativa non-profit per lo sviluppo di sistemi aperti di cifratura, che tra gli altri sono usati anche da Whatsapp.

sapevo che eventuali super-computer basati su processori molecolari o quantistici potrebbero trovare le chiavi per decifrare gli attuali sistemi di crittografia in tempi ragionevoli, è vero?

In breve, no.
Però momento... pure Telegram (e se n'è parlato qui) ha la crittografia end to end, ma alcuni esperti di sicurezza hanno fatto un po' di reverse engineering (scritto giusto?) sul programma e si sono accorti che la chat venivano memorizzate in chiaro nella cache con tanto di chiave. Come si fa ad essere certi che non succeda la stessa cosa?
Io acquisto sempre hardware senza cifratura.
La cifratura è solo un hoverhead che rallenta il processore,
e rende praticamente impossibbile il recupero dei dati.
In ogni caso appare ovvio che le aggenzie governative prima di rilasciare
il nulla osta alle vendite si riservano ampi diritti di intercettazioni
e hacking.
Oppure le fabbriche vorrebbero riservarsi in esclusiva i dati personali
degli utenti, in un contenzioso come quello di Fbai e Applle ?
Ehi, ma quella in alto a sinistra è la foto che ti ho twittato io! :D
@MacLo:

Purtroppo è inevitabile se vuoi garantire la consegna dei messaggi anche quando non entrambi gli utenti sono online contemporaneamente. È una scelta progettuale. Ma il fatto che il server entri in possesso dei messaggi criptati ha rilevanza praticamente nulla (se temi che l'app gli possa comunicare la tua chiave privata, allora devi temere altre mille cose).

@Il Lupo della Luna:

Ora non ricordo se effettivamente i messaggi Telegram li salvi in chiaro, ma poco cambia. Whatsapp li salva criptati, ma salva anche la chiave.
Non c'è soluzione, se vuoi che un'applicazione possa decriptare dei messaggi senza che tu debba inserire una password, è ovvio che la chiave debba essere da qualche parte (ed è inevitabile che con permessi di root vi ci possa accedere). A questo punto meglio sul client che sul server, no?
Alberto,

Ehi, ma quella in alto a sinistra è la foto che ti ho twittato io! :D

Ah, ecco di chi era! Ho aggiunto il credit. L'avevo salvata di corsa e non riuscivo più a ricordare da dove proveniva. Ora dovrei fare la stessa cosa anche con l'altro screenshot.
Whatsapp salva da anni i messaggi su un file cifrato ma sempre da anni esiste in rete una procedura per decifrarli. Non so se adesso la cifratura è più forte.

In ogni caso, sebbene tale cifratura forse sia meglio di niente, se uno ha veramente bisogno di comunicazioni sicure non deve fidarsi di nessuno per cui la strada è quella di usare programmi il cui sorgente sia noto e sia stato analizzato da terzi anche se sarebbe meglio analizzare da se il codice se si hanno le dovute conoscenze.
Truecrypt era uno di questi e, a quanto so, le analisi non hanno ancora rivelato falle gravi ma solo inezie.
Anche GnuPG dovrebbe appartenere a questa categoria.
Tuckler: si, è anche vero che una volta che ho il telefono sottomano violarne la crittografia è probabilmente solo questione di tempo. Insomma, crittografia end-to-end è meglio che nessuna crittografia, e su questo non ci piove.

Euro: la crittografia non rende impossibile il recupero dei dati. Se hai la chiave. Certo, sarebbe sempre meglio avere un backup, possibilmente non in chiaro.

Riguardo a Truecrypt, mi pare che lo sviluppo sia interrotto perché lo sviluppatore non se ne occupa più. Il brutto dell'open source. C'è un fork che si chiama VeraCrypt che è praticamente identico ma viene attivamente sviluppato.
Giusto l'altro giorno un amico mi ha chiesto di recuperargli i messaggi criptati di wa dal cellulare, è bastato rootarlo, estrarre i giusti file dal cell e darli in pasto ad un freeware su pc, per avere tutto (compreso di nomi rubrica e preview foto, anche se a risoluzione ridicola)
@AmiC:

Se vuoi le foto, sono in chiaro nella directory a fianco a quella dei messaggi (Whatsapp/Media).
Avete mai inviato una conversazione via mail? L'ho fatto e.... la conversazione è arrivata come file .txt
che senso ha crittografare quando via mail viaggiano in chiaro? È piu sicuro sul cellulare ma non mi fiderei troppo.
@illupodellaluna
Come avevo scritto all'epoca è un falso problema e i presunti esperti tali non sono. Telegram/whatsapp non chiedono alcuna credenziale, apri l'app e hai i messaggi. A che pro criptarli sul cellulare o in memoria se tanto chi ti sottrae il cellulare può leggerli comodamente dall'app?

la crittografia end-to-end serve solo per evitare che qualcuno intercetti il messaggio rimanendo in ascolto sul canale, non serve ad un tubo se viene violato il dispositivo.
@Tukler
Si, grazie, per la stima innanzitutto :D
Nell'archivio criptato ci sono miniature di foto che NON sono presenti nelle cartelle di WA, e NON sono presenti negli archivi .thumb del cellulare!
Il motivo per cui whatsapp cripti le chat non lo so proprio, magari per evitare che qualche altra applicazione la legga.
Se poi tra le miniature ci sono foto non presenti nella cartella Media significa o che sono state poi cancellate o più probabilmente si tratta di quelle anteprime di file cicci che tu puoi scaricare o meno e, se non le scarichi, hai solo l'anteprima.

C'è forse un vantaggio con la diffusione della cifratura a tutti i livelli: la pesca a strascico ha adesso più difficoltà ad essere effettuata.
Gli attacchi mirati ne soffriranno di meno.
@Tukler
certo, c'è il qrcode per l'autenticazione... questo però non mi garantisce che i messaggi web-server-proprio_smartphone siano criptati (anche se la connessione lo è grazie a SSL).
Se non c'è una chiave a livello browser (magari salvata nella local cache del browser) la comunicazione deve per forza avere messaggi in chiaro che passano per il server whatsapp. Se così fosse, il server di whatsapp diventerebbe un possibile point of failure (escludendo possibili bug di SSL in tutto il tragitto del messaggio, ovvio).
@lufo88 non so Whatsapp ma telegram prevede un codice di accesso all'applicazione oltre che per un nuovo login ti serve almeno essere in possesso della sim per ricevere l'sms di conferma. In più, anche se uno ti ruba la sim, è possibile abilitare l'accesso a doppia autenticazione (password che si aggiunge al codice che si riceve via sms) ai nuovi client.

OK, non siamo a livello di username/password di un qualsiasi client jabber ma la cosa può essere in parte controllate ;-)
@Zidagar
Io parlo di un approccio più semplice. Rubo il telefonino a tizio. Dall'app leggo i messaggi. Inutile criptarli a questo punto.
@Zidagar:
Che i messaggi sono criptati lo puoi vedere con la console di sviluppo di un qualsiasi browser, viaggiano criptati su una websocket. La chiave è salvata nello storage del browser, anche quella la puoi vedere.
Quale sia il protocollo esatto e se sia sicuro o meno ci vuole un po' più di tempo a capirlo, ma di sicuro non viaggiano in chiaro.

@AmiC:
Scusami, non conoscendoti magari avevi solo seguito un tutorial e non te ne eri accorto, scusa della poca stima;)
Comunque, per completezza, come diceva Scatola Grande quelle sono appunto le immagini cancellate o non scaricate, o, aggiungo, è già stato fatto un backup dei soli messaggi e le immagini sono state perse (a me capita sempre).
ma tipo.. allora.. Telegram che salva TUTTO su cloud?
Una conoscente ha appena mandato su una chat di gruppo WhatsApp un codice numerico/grafico che secondo lei dovrebbe servire a confermare che i suoi messaggi sono crittografati, o eventualmente a decriptarli. Che senso ha? Vorrei sapere se si tratta dell'ennesima bufala, grazie.