Cybersecurity 101: Jak wybrać i używać zaszyfrowanej aplikacji do przesyłania wiadomości

@zackwhittaker/11:00 am PST – 25 grudnia 2018

Image Credits: Getty Images

Wiadomości tekstowe istnieją od zarania technologii komórkowej i zakiełkowały swoim własnym, unikalnym językiem. Ale nadszedł czas, aby wysłać zwykłe wiadomości SMS na pastwisko.

Jeśli masz iPhone’a, już jesteś na dobrej drodze. iPhone’y (a także iPady i komputery Mac) używają iMessage do wysyłania wiadomości między urządzeniami Apple. Jest to system przesyłania wiadomości oparty na danych, oparty na 3G, 4G i Wi-Fi, a nie na wiadomościach SMS, które wykorzystują starą, przestarzałą, ale uniwersalną sieć komórkową 2G. iMessage zyskał na popularności, ale pozostawił urządzenia z systemem Android i inne komputery w ciemności.

Tam właśnie inne usługi przesyłania wiadomości wypełniły lukę na rynku.

Aplikacje takie jak Signal, WhatsApp, Wire i Wickr są również oparte na danych i działają na różnych platformach. Co najlepsze, są one szyfrowane end-to-end, co oznacza, że wysyłane wiadomości są zakodowane na jednym końcu rozmowy – urządzeniu – i odkodowane na drugim końcu, na urządzeniu odbiorcy. To sprawia, że jest prawie niemożliwe dla każdego – nawet twórcy aplikacji – aby zobaczyć, co jest powiedziane.

Wiele popularnych aplikacji, takich jak Instagram, Skype, Slack i Snapchat nie oferują szyfrowania end-to-end w ogóle. Facebook Messenger ma opcję korzystania z „tajnego” szyfrowania end-to-end, ale nie jest ono domyślnie włączone.

Oto, co musisz wiedzieć.

Dlaczego nienawidzisz wiadomości SMS?

SMS, czyli usługa krótkich wiadomości, ma ponad trzy dekady. Jest ogólnie niezawodny, ale przestarzały, archaiczny i drogi. Istnieje również kilka powodów, dla których wiadomości SMS są niezabezpieczone.

Wiadomości SMS nie są szyfrowane, co oznacza, że treść każdej wiadomości tekstowej jest widoczna dla operatorów komórkowych i rządów, a nawet może zostać przechwycona przez zorganizowanych i średnio wykwalifikowanych hakerów. Oznacza to, że nawet jeśli używasz wiadomości SMS do zabezpieczenia swoich kont internetowych za pomocą uwierzytelniania dwuskładnikowego, Twoje kody mogą zostać skradzione. Równie złe jest to, że wiadomości SMS przeciekają metadane, czyli informacje o wiadomości, ale nie treść samej wiadomości, takie jak numer telefonu nadawcy i odbiorcy, które mogą zidentyfikować osoby zaangażowane w rozmowę.

Wiadomości SMS mogą być również sfałszowane, co oznacza, że nigdy nie można być całkowicie pewnym, że wiadomość SMS pochodzi od konkretnej osoby.

A ostatnie orzeczenie Federalnej Komisji Łączności daje teraz operatorom komórkowym większe uprawnienia do blokowania wiadomości SMS. FCC stwierdziła, że ograniczy to spam SMS-owy, ale wielu martwi się, że może to zostać wykorzystane do stłumienia wolności słowa.

W tych wszystkich przypadkach odpowiedzią jest szyfrowana aplikacja do przesyłania wiadomości.

Jakie są najlepsze szyfrowane aplikacje do przesyłania wiadomości?

Prostą odpowiedzią jest Signal, aplikacja typu open source, szyfrowana od początku do końca, postrzegana jako złoty standard bezpiecznych usług wiadomości konsumenckich.

Signal obsługuje i szyfruje wszystkie wiadomości, rozmowy i czaty wideo z innymi użytkownikami Signal. Niektórzy z najmądrzejszych na świecie specjalistów ds. bezpieczeństwa i ekspertów kryptografii przyjrzeli się i zweryfikowali jego kod, i ufają jego bezpieczeństwu. Aplikacja używa numeru telefonu komórkowego jako punktu kontaktowego – co niektórzy krytykowali, ale łatwo jest skonfigurować aplikację z dedykowanym numerem telefonu bez utraty własnego numeru komórkowego. Inne niż numer telefonu, aplikacja jest zbudowana od podstaw, aby zebrać jak najmniej metadanych, jak to możliwe.

Ostatnie żądanie rządu dla danych Signal pokazał, że producent aplikacji nie ma prawie nic do odwrócenia. Nie tylko Twoje wiadomości są szyfrowane, każda osoba w rozmowie może ustawić wiadomości do wygaśnięcia – tak, że nawet jeśli urządzenie jest zagrożone, wiadomości mogą być ustawione na już zniknąć. Można również dodać oddzielny ekran blokady na aplikacji dla dodatkowego bezpieczeństwa. A aplikacja wciąż staje się coraz silniejszy i silniejszy. Ostatnio Signal wprowadził nową funkcję, która maskuje numer telefonu nadawcy wiadomości, dzięki czemu jest on lepszy dla anonimowości nadawcy.

Ale tak naprawdę, istnieje o wiele bardziej zniuansowana odpowiedź niż „tylko Signal.”

Każdy ma inne potrzeby, chce i wymagania. W zależności od tego, kim jesteś, na czym polega Twoja praca i z kim rozmawiasz, możesz zdecydować, która aplikacja do szyfrowania wiadomości jest dla Ciebie najlepsza.

Signal może być ulubioną aplikacją dla zawodów wysokiego ryzyka – takich jak dziennikarstwo, aktywizm i pracownicy rządowi. Wiele osób stwierdzi, że WhatsApp, na przykład, jest wystarczająco dobry dla większości, którzy chcą po prostu rozmawiać z przyjaciółmi i rodziną bez obawy o to, że ktoś przeczyta ich wiadomości.

Można było usłyszeć kilka niedoinformowanych rzeczy o WhatsApp w ostatnich latach, wywołanych głównie przez nieprawidłowe i wprowadzające w błąd raporty, które twierdziły, że istnieje „tylna furtka” umożliwiająca osobom trzecim czytanie wiadomości. Te twierdzenia były bezpodstawne. WhatsApp zbiera pewne dane na temat 1,5 miliarda użytkowników, takie jak metadane o tym, kto kontaktuje się z kim i kiedy. Dane te mogą być przekazywane policji, jeśli ta zwróci się o nie z ważnym nakazem prawnym. Ale wiadomości nie mogą być odczytane, ponieważ są one szyfrowane end-to-end. WhatsApp nie może zwrócić tych wiadomości, nawet gdyby chciał.

Ale wielu nie zdaje sobie sprawy, że WhatsApp jest własnością Facebooka, który stanął w obliczu szeregu skandali bezpieczeństwa i prywatności w zeszłym roku, Facebook powiedział, że jest zobowiązana do utrzymania wiadomości WhatsApp end-to-end-szyfrowane domyślnie. To powiedziawszy, jest to realnie możliwe, że Facebook może zmienić zdanie w przyszłości, badacze bezpieczeństwa powiedział. Słuszne jest zachowanie ostrożności, ale WhatsApp jest nadal lepiej używać do wysyłania zaszyfrowanych wiadomości niż wcale.

Najlepszą radą jest, aby nigdy nie pisać i wysyłać coś na nawet end-to-end szyfrowanych aplikacji do przesyłania wiadomości, że nie chcesz, aby pojawić się w sali sądowej – na wszelki wypadek!

Wire jest również lubiany przez wielu, którzy ufają open-source cross-platform aplikacji do udostępniania czatów grupowych i połączeń. Aplikacja nie wymaga podania numeru telefonu, zamiast tego wybierając nazwy użytkowników, co dla wielu osób pragnących większej anonimowości jest bardziej atrakcyjne niż alternatywne aplikacje. Wire również poparł swoje roszczenia end-to-end szyfrowania, prosząc naukowców do przeprowadzenia zewnętrznego audytu jego kryptografii, ale użytkownicy powinni być świadomi, że kompromis dla korzystania z aplikacji na innych urządzeniach oznacza, że aplikacja zachowuje rekord każdego, kto kiedykolwiek skontaktował się w czystym tekście.

iMessage jest również szyfrowany end-to-end i jest używany przez miliony ludzi na całym świecie, którzy prawdopodobnie nawet nie zdają sobie sprawy, że ich wiadomości są szyfrowane.

Inne aplikacje powinny być traktowane z ostrożnością lub należy ich całkowicie unikać.

Aplikacje takie jak Telegram zostały skrytykowane przez ekspertów za podatną na błędy kryptografię, która została opisana jako „bycie jak dźgnięcie widelcem w oko”. Badacze odkryli, że aplikacje takie jak Confide, niegdyś ulubiona wśród pracowników Białego Domu, nie szyfrują prawidłowo wiadomości, ułatwiając twórcom aplikacji potajemne podsłuchiwanie czyjejś rozmowy.

Jak zweryfikować czyjąś tożsamość

Kluczowym pytaniem w szyfrowanych wiadomościach typu end-to-end jest: skąd mam wiedzieć, że dana osoba jest tym, za kogo się podaje?

Każda aplikacja do szyfrowanych wiadomości typu end-to-end inaczej traktuje tożsamość użytkownika. Signal nazywa ją „numerem bezpieczeństwa”, a WhatsApp „kodem bezpieczeństwa”. Ogólnie rzecz biorąc, jest to coś, co nazywamy „weryfikacją klucza”.”

Każdy użytkownik ma swój unikalny „odcisk palca”, który jest związany z jego nazwą użytkownika, numerem telefonu lub urządzeniem. Jest to zazwyczaj ciąg liter i cyfr. Najłatwiejszym sposobem weryfikacji czyjegoś odcisku palca jest zrobienie tego osobiście. To proste: oboje wyciągacie swoje telefony, otwieracie rozmowę w wybranej aplikacji do szyfrowanej wymiany wiadomości i upewniacie się, że odciski palców na obu zestawach urządzeń są dokładnie takie same. Zazwyczaj wtedy uderzyć „zweryfikować” przycisk – i to jest to.

Weryfikacja odcisku palca kontakt zdalnie lub przez Internet jest tricker. Często wymaga udostępnienia odcisku palca (lub zrzutu ekranu) za pośrednictwem innego kanału – np. wiadomości na Twitterze, Facebooku lub e-mailu – i upewnienia się, że się zgadzają. (Micah Lee z The Intercept ma prosty przewodnik po tym, jak zweryfikować tożsamość.)

Jeśli Twoja aplikacja ostrzega Cię, że odcisk palca odbiorcy się zmienił, może to być niewinny powód – może mieć nowy numer telefonu lub wysłał wiadomość z nowego urządzenia. Ale może to również oznaczać, że ktoś próbuje podszyć się pod drugą osobę w Twojej rozmowie. Miałbyś rację, aby zachować ostrożność i spróbować ponownie zweryfikować ich tożsamość.

Niektóre aplikacje nie zawracają sobie głowy weryfikacją tożsamości użytkownika w ogóle. Na przykład, nie ma sposobu, aby wiedzieć, że ktoś nie węszy potajemnie w rozmowach iMessage, ponieważ Apple nie powiadamia Cię, czy ktoś potajemnie monitoruje Twoją rozmowę lub czy w jakiś sposób nie zastąpił odbiorcy wiadomości inną osobą.

Możesz przeczytać więcej o tym, jak Signal, WhatsApp, Telegram i Wire pozwalają na weryfikację kluczy i ostrzegają Cię o zmianach kluczy. (Spoiler alert: Signal jest najbezpieczniejszym wyborem.)

Jest jeszcze kilka innych wskazówek, które powinieneś znać:

Kopia zapasowa zaszyfrowanych wiadomości zazwyczaj nie jest szyfrowana w chmurze: Bardzo ważny punkt tutaj – często Twoje zaszyfrowane wiadomości nie są szyfrowane, gdy są tworzone ich kopie zapasowe w chmurze. Oznacza to, że rząd może zażądać od dostawcy chmury – takiego jak Apple czy Google – odzyskania i przekazania zaszyfrowanych wiadomości ze swoich serwerów. Nie powinieneś tworzyć kopii zapasowych swoich wiadomości w chmurze, jeśli jest to powód do niepokoju.

Uważaj na aplikacje desktopowe: Jedną z zalet wielu aplikacji do przesyłania zaszyfrowanych wiadomości jest to, że są one dostępne na wielu platformach, urządzeniach i systemach operacyjnych. Wiele z nich oferuje również wersje desktopowe, które pozwalają szybciej reagować. Jednak w ciągu ostatnich kilku lat większość poważnych luk w zabezpieczeniach dotyczyła właśnie oprogramowania desktopowego. Upewnij się, że jesteś na bieżąco z aktualizacjami aplikacji. Jeśli aktualizacja wymaga ponownego uruchomienia aplikacji lub komputera, powinieneś zrobić to od razu.

Ustaw wygaśnięcie wiadomości: Szyfrowanie to nie magia; wymaga świadomości i rozwagi. Szyfrowanie wiadomości end-to-end nie uratuje Cię, jeśli Twój telefon zostanie zniszczony lub skradziony, a jego zawartość będzie dostępna. Powinieneś zdecydowanie rozważyć ustawienie licznika czasu wygaśnięcia dla swoich rozmów, aby mieć pewność, że starsze wiadomości zostaną usunięte i znikną.

Uaktualniaj swoje aplikacje: Jednym z najlepszych sposobów, aby upewnić się, że pozostajesz bezpieczny (i uzyskać nowe funkcje!), jest upewnienie się, że twoje aplikacje desktopowe i mobilne są aktualizowane. Błędy w zabezpieczeniach są znajdowane często, ale nie zawsze można o nich usłyszeć. Aktualizowanie aplikacji to najlepszy sposób, aby upewnić się, że otrzymujesz poprawki bezpieczeństwa tak szybko, jak to możliwe, zmniejszając ryzyko przechwycenia lub kradzieży Twoich wiadomości.

Cybersecurity 101 - TechCrunch

{{title}}

{{date}}{{author}}