Cybersecurity 101: Hogyan válasszunk és használjunk titkosított üzenetküldő alkalmazást

@zackwhittaker/11:00 am PST – December 25, 2018

Image Credits: Getty Images

A szöveges üzenetküldés a mobiltechnológia kezdete óta létezik, és saját, egyedi nyelvet váltott ki. De itt az ideje, hogy a hagyományos SMS-üzenetek küldését a legelőre küldd.

Ha van iPhone-od, akkor már úton vagy. Az iPhone-ok (valamint az iPadek és a Macek) az iMessage-t használják az Apple-eszközök közötti üzenetküldésre. Ez egy adatalapú üzenetküldő rendszer, amely a 3G, 4G és Wi-Fi hálózatokra támaszkodik, nem pedig az SMS üzenetküldésre, amely a régi, elavult, de univerzális 2G mobilhálózatot használja. Az iMessage népszerűsége egyre nőtt, de az Android készülékek és más számítógépek a sötétben tapogatóznak.

Ez az a pont, ahol más üzenetküldő szolgáltatások betöltötték a piaci rést.

Az olyan alkalmazások, mint a Signal, a WhatsApp, a Wire és a Wickr szintén adatalapúak, és platformokon keresztül működnek. A legjobb az egészben, hogy végponttól végpontig titkosítottak, ami azt jelenti, hogy az elküldött üzeneteket a beszélgetés egyik végén – az eszközön – titkosítják, a másik végén, a címzett eszközén pedig feloldják a titkosítást. Így szinte lehetetlen, hogy bárki – még az alkalmazás készítője is – belelásson az elhangzottakba.

Néhány népszerű alkalmazás, például az Instagram, a Skype, a Slack és a Snapchat egyáltalán nem kínál végponttól-végpontig titkosítást. A Facebook Messengerben lehetőség van “titkos”, végponttól végpontig titkosított üzenetküldésre, de alapértelmezésben nincs bekapcsolva.

Itt van, amit tudnod kell.

Miért utálod az SMS-üzeneteket?

Az SMS, vagyis a rövid üzenetküldő szolgáltatás több mint három évtizedes múltra tekint vissza. Általában megbízható, de elavult, archaikus és drága. Több oka is van annak, hogy az SMS-üzenetek nem biztonságosak.

Az SMS-üzenetek nem titkosítottak, ami azt jelenti, hogy az egyes szöveges üzenetek tartalma a mobilszolgáltatók és a kormányok számára is látható, sőt, szervezett és félig képzett hackerek is lehallgathatják. Ez azt jelenti, hogy még akkor is ellophatják a kódokat, ha az SMS-t használja online fiókjainak kétfaktoros hitelesítéssel történő biztosítására. Ugyanilyen rossz, hogy az SMS-üzenetekből metaadatok szivárognak ki, amelyek az üzenetre vonatkozó információk, de nem az üzenet tartalma, például a feladó és a címzett telefonszáma, amelyek alapján azonosítani lehet a beszélgetésben részt vevő személyeket.

Az SMS-üzenetek hamisíthatók is, ami azt jelenti, hogy soha nem lehet teljesen biztos abban, hogy egy SMS egy adott személytől származik.

A Szövetségi Kommunikációs Bizottság nemrégiben hozott határozata pedig nagyobb jogkört biztosít a mobilszolgáltatóknak az SMS-üzenetek blokkolására. Az FCC szerint ez csökkenteni fogja az SMS-spam visszaszorítását, de sokan aggódnak amiatt, hogy ez a szólásszabadság elfojtására is felhasználható.

A válasz minden ilyen esetben egy titkosított üzenetküldő alkalmazás.

Melyek a legjobb titkosított üzenetküldő alkalmazások?

Az egyszerű válasz a Signal, egy nyílt forráskódú, végponttól végpontig titkosított üzenetküldő alkalmazás, amelyet a biztonságos fogyasztói üzenetküldő szolgáltatások aranyszínvonalának tekintenek.

A Signal támogatja és titkosítja az összes üzenetet, hívást és videócsevegést más Signal-felhasználókkal. A világ legokosabb biztonsági szakemberei és kriptográfiai szakértői közül néhányan megnézték és ellenőrizték a kódját, és megbíznak a biztonságában. Az alkalmazás a mobiltelefonszámodat használja kapcsolattartási pontként – amit egyesek kritizáltak, de könnyen beállíthatod az alkalmazást egy dedikált telefonszámmal anélkül, hogy elveszítenéd a saját mobilszámodat. A telefonszámon kívül az alkalmazást az alapoktól kezdve úgy építették fel, hogy a lehető legkevesebb metaadatot gyűjtse.

A Signal adataira vonatkozó legutóbbi kormányzati kérésből kiderült, hogy az alkalmazás gyártójának szinte semmit sem kell átadnia. Az üzenetek nem csak titkosítva vannak, de a beszélgetésben részt vevő minden egyes személy beállíthatja az üzenetek lejárati idejét – így még akkor is, ha egy készülék kompromittálódik, az üzenetek beállíthatók úgy, hogy máris eltűnjenek. Az alkalmazáshoz külön záróképernyőt is hozzáadhatsz a további biztonság érdekében. Az alkalmazás pedig egyre erősebb és erősebb lesz. Nemrég a Signal bevezetett egy új funkciót, amely elrejti az üzenet küldőjének telefonszámát, így a küldő anonimitása is javul.”

De valójában sokkal árnyaltabb válasz létezik, mint a “csak Signal.”

Mindenkinek mások az igényei, vágyai és követelményei. Attól függően, hogy ki vagy, mi a munkád, és kivel beszélsz, függ, hogy melyik titkosított üzenetküldő alkalmazás a legjobb számodra.

A Signal lehet a kedvenc alkalmazás a kockázatos munkakörök – például az újságírás, az aktivizmus és a kormányzati dolgozók – számára. Sokan úgy találják majd, hogy a WhatsApp például elég jó a nagy többségnek, akik csak beszélgetni akarnak a barátaikkal és a családjukkal anélkül, hogy aggódnának amiatt, hogy valaki elolvassa az üzeneteiket.

Elképzelhető, hogy hallott néhány félretájékoztató dolgot a WhatsAppról az elmúlt években, amit nagyrészt a helytelen és félrevezető jelentések váltottak ki, amelyek azt állították, hogy van egy “hátsó ajtó”, amely lehetővé teszi harmadik fél számára az üzenetek elolvasását. Ezek az állítások megalapozatlanok voltak. A WhatsApp valóban gyűjt bizonyos adatokat a 1,5 milliárd felhasználójáról, például metaadatokat arról, hogy ki kivel és mikor lép kapcsolatba. Ezek az adatok átadhatók a rendőrségnek, ha azt érvényes jogi végzéssel kérik. Az üzeneteket azonban nem lehet elolvasni, mivel azok végponttól végpontig titkosítva vannak. A WhatsApp akkor sem tudja átadni ezeket az üzeneteket, ha akarja.

Noha sokan nem tudják, hogy a WhatsApp a Facebook tulajdonában van, amely az elmúlt évben számos biztonsági és adatvédelmi botránnyal szembesült, a Facebook azt mondta, hogy elkötelezett amellett, hogy a WhatsApp üzenetek alapértelmezés szerint végtől-végig titkosítva legyenek. Ennek ellenére elképzelhető, hogy a Facebook a jövőben meggondolja magát – mondták biztonsági kutatók. Jogos az óvatosság, de a WhatsAppot még mindig jobb titkosított üzenetek küldésére használni, mint egyáltalán nem.

A legjobb tanács, hogy még egy végponttól végpontig titkosított üzenetküldő alkalmazáson keresztül se írjunk és küldjünk olyasmit, amit nem szeretnénk, ha a bíróságon is megjelenne – biztos, ami biztos!

A vezetékest is sokan kedvelik, akik a nyílt forráskódú, keresztplatformos alkalmazásban bíznak a csoportos csevegések és hívások megosztására. Az alkalmazás nem igényel telefonszámot, helyette a felhasználóneveket választja, amit sokan, akik nagyobb anonimitásra vágynak, vonzóbbnak találnak az alternatív alkalmazásoknál. A Wire azzal is alátámasztotta a végponttól végpontig terjedő titkosításra vonatkozó állításait, hogy kutatókat kért fel a kriptográfia külső ellenőrzésére, de a felhasználóknak tisztában kell lenniük azzal, hogy az alkalmazás más eszközökön való használatának ellentételezéseként az alkalmazás egyszerű szöveges formában nyilvántartást vezet mindenkiről, akivel valaha is kapcsolatba lépett.

Az iMessage szintén végponttól végpontig titkosított, és világszerte emberek milliói használják, akik valószínűleg észre sem veszik, hogy az üzeneteik titkosítva vannak.

A többi alkalmazással óvatosan kell bánni, vagy teljesen el kell kerülni őket.

Az olyan alkalmazásokat, mint a Telegram, szakértők kritizálták a hibákra hajlamos titkosítása miatt, amelyet úgy jellemeztek, hogy “olyan, mintha egy villával szúrnának a szemébe”. A kutatók pedig azt találták, hogy az olyan alkalmazások, mint a Confide, amely egykor a Fehér Ház munkatársainak egyik kedvence volt, nem titkosítják megfelelően az üzeneteket, így az alkalmazás készítői könnyen lehallgathatják valakinek a beszélgetését.

Hogyan lehet ellenőrizni valaki személyazonosságát

A végponttól végpontig titkosított üzenetküldés központi kérdése: honnan tudom, hogy egy személy az, akinek mondja magát?

Minden végponttól végpontig titkosított üzenetküldő alkalmazás másképp kezeli a felhasználó személyazonosságát. A Signal “biztonsági számnak”, a WhatsApp pedig “biztonsági kódnak” nevezi. Mindenhol “kulcsellenőrzésnek” nevezzük.”

Minden felhasználónak megvan a saját egyedi “ujjlenyomata”, amely a felhasználónevéhez, a telefonszámához vagy a készülékéhez kapcsolódik. Ez általában egy betűkből és számokból álló sorozat. Valakinek az ujjlenyomatát a legegyszerűbben személyesen lehet ellenőrizni. Ez egyszerű: mindketten előveszik a telefonjukat, megnyitnak egy beszélgetést a választott titkosított üzenetküldő alkalmazáson, és meggyőződnek arról, hogy a két eszközön lévő ujjlenyomatok pontosan megegyeznek. Ezután általában megnyomja a “verify” gombot – és ennyi.

A kapcsolat ujjlenyomatának távolról vagy az interneten keresztül történő ellenőrzése trükkösebb. Ehhez gyakran meg kell osztani az ujjlenyomatot (vagy egy képernyőképet) egy másik csatornán – például Twitter-üzenetben, Facebookon vagy e-mailben -, és meg kell győződni arról, hogy egyeznek-e. (Micah Lee, a The Intercept munkatársa egy egyszerű útmutatót készített a személyazonosság ellenőrzéséről.)

Amint valakinek a személyazonosságát ellenőrizte, nem lesz szükség újabb ellenőrzésre.

Ha az alkalmazás arra figyelmeztet, hogy a címzett ujjlenyomata megváltozott, annak lehet ártalmatlan oka is – lehet, hogy új telefonszámot kapott, vagy új eszközről küldött üzenetet. De ez azt is jelentheti, hogy valaki megpróbálja megszemélyesíteni a másik személyt a beszélgetésben. Jól teszi, ha óvatos, és megpróbálja újra ellenőrizni a személyazonosságát.

Egyes alkalmazások egyáltalán nem vesződnek a felhasználó személyazonosságának ellenőrzésével. Például nem lehet tudni, hogy valaki nem szaglászik-e titokban az iMessage-beszélgetéseidben, mert az Apple nem értesít, ha valaki titokban figyeli a beszélgetésedet, vagy ha valaki nem cserélte le valahogyan az üzenet címzettjét egy másik személyre.

Azzal kapcsolatban, hogy a Signal, a WhatsApp, a Telegram és a Wire hogyan teszi lehetővé a kulcsok ellenőrzését, és hogyan figyelmeztet a kulcsváltozásokra, bővebben olvashatsz. (Spoiler alert: a Signal a legbiztonságosabb választás.)

Van még néhány tipp, amit érdemes tudni:

A titkosított üzenetek biztonsági mentései általában nem titkosítottak a felhőben: Egy nagyon fontos pont itt – gyakran a titkosított üzenetek nem titkosítottak, amikor a felhőbe kerülnek biztonsági mentésre. Ez azt jelenti, hogy a kormány követelheti a felhőszolgáltatótól – például az Apple-től vagy a Google-től -, hogy kérje vissza és adja át a titkosított üzeneteket a szervereiről. Ha ez aggodalomra ad okot, ne készítsen biztonsági másolatot üzeneteiről a felhőbe.

Vigyázzon az asztali alkalmazásokkal: Számos titkosított üzenetküldő alkalmazás egyik előnye, hogy számos platformon, eszközön és operációs rendszeren elérhető. Sokan asztali verziót is kínálnak a gyorsabb válaszadás érdekében. Az elmúlt néhány évben azonban a legtöbb nagyobb sebezhetőség a hibás asztali szoftverekben volt. Győződjön meg róla, hogy naprakészen követi az alkalmazások frissítéseit. Ha egy frissítés miatt újra kell indítania az alkalmazást vagy a számítógépét, akkor ezt azonnal tegye meg.

Szabályozza be az üzenetek lejárati idejét: A titkosítás nem varázslat; tudatosságot és megfontoltságot igényel. A végponttól végpontig titkosított üzenetküldés nem menti meg Önt, ha a telefonja veszélybe kerül vagy ellopják, és hozzáférhetnek a tartalmához. Érdemes erősen megfontolni a beszélgetések lejárati időzítésének beállítását, hogy a régebbi üzenetek törlődjenek és eltűnjenek.

Tartsd naprakészen az alkalmazásokat: Az egyik legjobb módja annak, hogy biztonságban maradjon (és új funkciókat kapjon!), ha gondoskodik arról, hogy asztali és mobilalkalmazásai naprakészek legyenek. Gyakran találnak biztonsági hibákat, de nem biztos, hogy mindig hallasz róluk. Az alkalmazások frissítése a legjobb módja annak, hogy a lehető leghamarabb megkapja ezeket a biztonsági javításokat, így csökkentve annak kockázatát, hogy üzeneteit lehallgatják vagy ellopják.

Cybersecurity 101 - TechCrunch

{{cím}}

{{dátum}}{{szerző}}