Cybersecurity 101: Como escolher e usar um aplicativo de mensagens criptografadas

Image Credits: Getty Images

Mensagens de texto existe desde o início da tecnologia celular, e desencadeou a sua própria linguagem única. Mas é hora de colocar o envio regular de mensagens SMS para o pasto.

Se você tem um iPhone, você já está a caminho. iPhones (assim como iPads e Macs) usam iMessage para enviar mensagens entre dispositivos Apple. É um sistema de mensagens baseado em dados dependente de 3G, 4G e Wi-Fi, em vez de mensagens SMS, que utiliza uma rede celular antiga, desactualizada mas universal de 2G. O iMessage cresceu em popularidade, mas deixou os dispositivos Android e outros computadores no escuro.

Foi aí que outros serviços de mensagens preencheram uma lacuna no mercado.

Apps como Signal, WhatsApp, Wire e Wickr também são baseados em dados e funcionam através de plataformas. O melhor de tudo é que são encriptados de ponta a ponta, o que significa que as mensagens enviadas são codificadas numa ponta da conversa – o dispositivo – e não codificadas na outra ponta no dispositivo do destinatário. Isso torna quase impossível para qualquer um – mesmo o criador do aplicativo – ver o que está sendo dito.

Muitos aplicativos populares, como Instagram, Skype, Slack e Snapchat, não oferecem criptografia de ponta a ponta. O Facebook Messenger tem a opção de usar mensagens criptografadas “secretas” de ponta a ponta, mas não é habilitado por padrão.

Aqui está o que você precisa saber.

Por que o ódio nas mensagens SMS?

SMS, ou serviço de mensagens curtas, tem mais de três décadas. É geralmente confiável, mas está desatualizado, arcaico e caro. Há também várias razões pelas quais as mensagens SMS são inseguras.

As mensagens SMS não são encriptadas, o que significa que o conteúdo de cada mensagem de texto pode ser visto pelas operadoras móveis e governos, e pode até ser interceptado por hackers organizados e semi-qualificados. Isso significa que mesmo que você esteja usando SMS para proteger suas contas online usando autenticação de dois fatores, seus códigos podem ser roubados. Da mesma forma, mensagens SMS vazam metadados, que são informações sobre a mensagem mas não o conteúdo da mensagem em si, como o número de telefone do remetente e do destinatário, que pode identificar as pessoas envolvidas na conversa.

As mensagens SMS também podem ser falsificadas, o que significa que você nunca pode ter certeza absoluta de que uma mensagem SMS veio de uma determinada pessoa.

E uma recente decisão da Comissão Federal de Comunicações agora dá às operadoras de celular maiores poderes para bloquear mensagens SMS. A FCC disse que vai reduzir o spam de SMS, mas muitos se preocupam que ele possa ser usado para sufocar a liberdade de expressão.

Em todos esses casos, a resposta é um aplicativo de mensagens criptografadas.

Quais são os melhores aplicativos de mensagens criptografadas?

A resposta simples é Signal, um aplicativo de mensagens criptografadas de ponta a ponta, de código aberto, visto como o padrão ouro dos serviços de mensagens seguras para consumidores.

Signal suporta e criptografa todas as suas mensagens, chamadas e chats de vídeo com outros usuários de Signal. Alguns dos profissionais de segurança e especialistas em criptografia mais inteligentes do mundo já analisaram e verificaram seu código, e confiam na sua segurança. O aplicativo usa o número do seu telefone celular como ponto de contato – o que alguns criticaram, mas é fácil configurar o aplicativo com um número de telefone dedicado sem perder o seu próprio número de celular. Além do seu número de telefone, o aplicativo é construído do zero para coletar o mínimo possível de metadados.

Uma recente demanda do governo pelos dados do Signal mostrou que o criador do aplicativo não tem quase nada para entregar. Não só as suas mensagens são criptografadas, cada pessoa na conversa pode definir mensagens para expirar – para que, mesmo que um dispositivo seja comprometido, as mensagens possam ser definidas para já desaparecer. Você também pode adicionar uma tela de bloqueio separada na aplicação para segurança adicional. E a aplicação continua a ficar cada vez mais forte. Recentemente, o Signal lançou um novo recurso que mascara o número de telefone de um remetente de mensagem, tornando-o melhor para o anonimato do remetente.

Mas, na verdade, há uma resposta muito mais matizada do que “apenas Sinal”

Todos têm necessidades, desejos e requisitos diferentes. Dependendo de quem você é, qual é o seu trabalho, e com quem você fala irá determinar qual aplicativo de mensagens criptografadas é melhor para você.

Sinal pode ser o aplicativo favorito para trabalhos de alto risco – como jornalismo, ativismo, e trabalhadores do governo. Muitos descobrirão que a WhatsApp, por exemplo, é suficientemente boa para a grande maioria que apenas quer falar com os seus amigos e família sem se preocupar com alguém que leia as suas mensagens.

P>Talvez tenha ouvido algumas coisas mal informadas sobre a WhatsApp nos últimos anos, provocadas em grande parte por reportagens incorrectas e enganosas que alegavam que havia uma “porta dos fundos” para permitir que terceiros lessem mensagens. Essas afirmações eram infundadas. O WhatsApp recolhe alguns dados sobre os seus 1,5 mil milhões de utilizadores, como metadados sobre quem está a contactar quem, e quando. Esses dados podem ser entregues à polícia se eles os solicitarem com uma ordem legal válida. Mas as mensagens não podem ser lidas, uma vez que são encriptadas de ponta a ponta. O WhatsApp não pode entregar essas mensagens mesmo que quisesse.

Embora muitos não percebam que o WhatsApp é propriedade do Facebook, que enfrentou uma série de escândalos de segurança e privacidade no ano passado, o Facebook disse que está empenhado em manter as mensagens do WhatsApp criptografadas de ponta-a-ponta por defeito. Dito isto, é possível que o Facebook possa mudar de ideias no futuro, afirmaram os investigadores de segurança. É correcto ser cauteloso, mas o WhatsApp continua a ser melhor utilizar para enviar mensagens encriptadas do que não o fazer.

O melhor conselho é nunca escrever e enviar algo, mesmo numa aplicação de mensagens encriptadas de ponta-a-ponta, que não queira aparecer numa sala de audiências – só para o caso de!

Wire também é apreciado por muitos que confiam na aplicação multiplataforma de código aberto para partilhar chats e chamadas em grupo. O aplicativo não requer um número de telefone, em vez de optar por nomes de usuário, que muitos que querem maior anonimato acham mais apelativo do que aplicativos alternativos. O Wire também fez backup de suas reivindicações de criptografia de ponta a ponta, pedindo aos pesquisadores que realizem uma auditoria externa de sua criptografia, mas os usuários devem estar cientes de que uma troca pelo uso do aplicativo em outros dispositivos significa que o aplicativo mantém um registro de todas as pessoas que você já contactou em texto simples.

iMessage também é criptografada de ponta a ponta e é usada por milhões de pessoas ao redor do mundo que provavelmente nem percebem que suas mensagens estão criptografadas.

Outros aplicativos devem ser tratados com cuidado ou evitados completamente.

Aplicações como Telegramas foram criticadas por especialistas por sua criptografia propensa a erros, que tem sido descrita como “ser apunhalado no olho com um garfo”. E pesquisadores descobriram que aplicativos como Confide, que já foi um dos favoritos dos funcionários da Casa Branca, não codificam mensagens adequadamente, tornando fácil para os criadores do aplicativo escutar secretamente a conversa de alguém.

Como verificar a identidade de alguém

Uma questão central em mensagens criptografadas de ponta a ponta é: como sei que uma pessoa é quem diz ser?

Todos os aplicativos de mensagens criptografadas de ponta a ponta lidam com a identidade de um usuário de forma diferente. O sinal chama-lhe um “número de segurança” e o WhatsApp chama-lhe um “código de segurança”. Do outro lado do quadro, é o que chamamos de “verificação da chave”

Todos os utilizadores têm a sua própria “impressão digital” única que está associada ao seu nome de utilizador, número de telefone ou dispositivo. Normalmente é uma sequência de letras e números. A maneira mais fácil de verificar a impressão digital de alguém é fazê-lo pessoalmente. É simples: ambos tiram seus telefones, abrem uma conversa no aplicativo de mensagens criptografadas de sua escolha e se certificam de que as impressões digitais nos dois conjuntos de dispositivos sejam exatamente as mesmas. Você normalmente carrega num botão “verificar” – e é isso.

Verificar a impressão digital de um contacto remotamente ou através da Internet é mais difícil. Muitas vezes é necessário compartilhar sua impressão digital (ou uma captura de tela) por outro canal – como uma mensagem do Twitter, no Facebook, ou e-mail – e certificar-se de que elas correspondem. (O Interceptador Micah Lee tem um simples passo-a-passo de como verificar uma identidade.)

Após você verificar a identidade de alguém, ele não precisará ser reverificado.

Se o seu aplicativo avisar que a impressão digital de um destinatário mudou, pode ser uma razão inócua – eles podem ter um novo número de telefone, ou enviar uma mensagem de um novo dispositivo. Mas isso também pode significar que alguém está tentando imitar a outra pessoa na sua conversa. Você estaria certo em ser cauteloso, e tentar reverificar sua identidade novamente.

algumas aplicações não se preocupam em verificar a identidade de um usuário. Por exemplo, não há forma de saber que alguém não está a bisbilhotar secretamente as suas conversas iMessage porque a Apple não o notifica se alguém está a monitorizar secretamente a sua conversa ou não substituiu de alguma forma o destinatário de uma mensagem por outra pessoa.

Pode ler mais sobre como o sinal, o WhatsApp, o Telegram e o Wire lhe permitem verificar as suas chaves e avisá-lo das alterações de chave. (Spoiler alert: Signal is the safe choice.)

Existem algumas outras dicas que deve saber:

As cópias de segurança de mensagens encriptadas não são normalmente encriptadas na nuvem: Um ponto muito importante aqui – muitas vezes, suas mensagens criptografadas não são criptografadas quando elas são copiadas para a nuvem. Isso significa que o governo pode exigir que seu provedor da nuvem – como a Apple ou o Google – recupere e entregue suas mensagens criptografadas de seus servidores. Você não deve fazer backup das suas mensagens na nuvem se isso for uma preocupação.

Cuidado com os aplicativos desktop: Um dos benefícios de muitas aplicações de mensagens encriptadas é que estão disponíveis numa multiplicidade de plataformas, dispositivos e sistemas operativos. Muitos também oferecem versões desktop para responder mais rapidamente. Mas ao longo dos últimos anos, a maioria das principais vulnerabilidades tem sido no software para desktop com bugs. Certifique-se de que você está em cima das atualizações dos aplicativos. Se uma atualização exigir que você reinicie o aplicativo ou seu computador, você deve fazê-lo imediatamente.

Definir suas mensagens para expirar: A encriptação não é mágica; requer consciência e consideração. As mensagens criptografadas de ponta a ponta não o salvarão se seu telefone for comprometido ou roubado e seu conteúdo puder ser acessado. Você deve considerar fortemente a definição de um temporizador de expiração em suas conversas para garantir que as mensagens mais antigas serão excluídas e desaparecerão.

Calme suas aplicações atualizadas: Uma das melhores formas de se manter seguro (e obter novas funcionalidades!) é certificar-se de que as suas aplicações desktop e móveis se mantêm actualizadas. Bugs de segurança são encontrados com freqüência, mas você pode nem sempre ouvir falar neles. Manter seus aplicativos atualizados é a melhor maneira de garantir que você esteja recebendo essas correções de segurança o mais rápido possível, reduzindo o risco de que suas mensagens possam ser interceptadas ou roubadas.