Securitatea cibernetică 101: Cum să alegeți și să utilizați o aplicație de mesagerie criptată

@zackwhittaker/11:00 am PST – 25 decembrie 2018

Credite imagine: Getty Images

Mesajele text au existat încă de la începuturile tehnologiei celulare și au stârnit propriul său limbaj unic. Dar a sosit momentul să punem la păstrare trimiterea de mesaje SMS obișnuite.

Dacă aveți un iPhone, sunteți deja pe drumul cel bun. iPhone-urile (precum și iPad-urile și Mac-urile) folosesc iMessage pentru a trimite mesaje între dispozitivele Apple. Este un sistem de mesagerie bazat pe date, care se bazează pe 3G, 4G și Wi-Fi, mai degrabă decât pe mesageria SMS, care folosește o rețea celulară 2G veche, învechită, dar universală. iMessage a crescut în popularitate, dar a lăsat dispozitivele Android și alte computere pe dinafară.

Acesta este locul unde alte servicii de mesagerie au umplut un gol pe piață.

Aplicații precum Signal, WhatsApp, Wire și Wickr sunt, de asemenea, bazate pe date și funcționează pe mai multe platforme. Cel mai bun dintre toate, acestea sunt criptate de la un capăt la altul, ceea ce înseamnă că mesajele trimise sunt criptate la un capăt al conversației – dispozitivul – și decriptate la celălalt capăt, pe dispozitivul destinatarului. Acest lucru face aproape imposibil pentru oricine – chiar și pentru creatorul aplicației – să vadă ce se spune.

Multe aplicații populare, cum ar fi Instagram, Skype, Slack și Snapchat nu oferă deloc criptare end-to-end. Facebook Messenger are opțiunea de a utiliza mesageria criptată end-to-end „secretă”, dar nu este activată în mod implicit.

Iată ce trebuie să știți.

De ce să urăști mesageria prin SMS?

SMS, sau serviciul de mesagerie scurtă, are mai mult de trei decenii. Este, în general, fiabil, dar este învechit, arhaic și scump. Există, de asemenea, mai multe motive pentru care mesageria SMS este nesigură.

Mesajele SMS nu sunt criptate, ceea ce înseamnă că conținutul fiecărui mesaj text poate fi vizualizat de operatorii de telefonie mobilă și de guverne, putând fi chiar interceptat de hackeri organizați și semi-calificați. Asta înseamnă că, chiar dacă folosiți SMS pentru a vă securiza conturile online folosind autentificarea cu doi factori, codurile dvs. pot fi furate. La fel de rău, mesajele SMS scurg metadate, care sunt informații despre mesaj, dar nu și despre conținutul mesajului în sine, cum ar fi numărul de telefon al expeditorului și al destinatarului, care pot identifica persoanele implicate în conversație.

Mesajele SMS pot fi, de asemenea, falsificate, ceea ce înseamnă că nu puteți fi niciodată complet sigur că un mesaj SMS provine de la o anumită persoană.

Și o hotărâre recentă a Comisiei Federale pentru Comunicații oferă acum operatorilor de telefonie mobilă puteri mai mari pentru a bloca mesajele SMS. FCC a declarat că aceasta va reduce spam-ul prin SMS, dar mulți se tem că ar putea fi folosită pentru a înăbuși libertatea de exprimare.

În toate aceste cazuri, răspunsul este o aplicație de mesagerie criptată.

Care sunt cele mai bune aplicații de mesagerie criptată?

Răspunsul simplu este Signal, o aplicație de mesagerie criptată end-to-end, cu sursă deschisă, văzută ca fiind standardul de aur al serviciilor de mesagerie securizată pentru consumatori.

Signal suportă și criptează toate mesajele, apelurile și conversațiile video cu alți utilizatori Signal. Unii dintre cei mai inteligenți profesioniști în securitate și experți în criptografie din lume au analizat și verificat codul său și au încredere în securitatea sa. Aplicația folosește numărul dvs. de telefon mobil ca punct de contact – lucru pe care unii l-au criticat, dar este ușor să configurați aplicația cu un număr de telefon dedicat, fără să vă pierdeți propriul număr de telefon mobil. În afară de numărul dvs. de telefon, aplicația este construită de la zero pentru a colecta cât mai puține metadate posibil.

O cerere recentă a guvernului pentru datele Signal a arătat că producătorul aplicației nu are aproape nimic de predat. Nu numai că mesajele dvs. sunt criptate, dar fiecare persoană din conversație poate seta ca mesajele să expire – astfel încât, chiar dacă un dispozitiv este compromis, mesajele pot fi setate să dispară deja. De asemenea, puteți adăuga un ecran de blocare separat pe aplicație pentru o securitate suplimentară. Iar aplicația devine din ce în ce mai puternică. Recent, Signal a lansat o nouă funcție care maschează numărul de telefon al expeditorului unui mesaj, ceea ce o face mai bună pentru anonimatul expeditorului.

Dar, de fapt, există un răspuns mult mai nuanțat decât „doar Signal.”

Fiecare are nevoi, dorințe și cerințe diferite. În funcție de cine sunteți, care este slujba dumneavoastră și cu cine vorbiți, se va determina ce aplicație de mesagerie criptată este cea mai bună pentru dumneavoastră.

Signal poate fi aplicația preferată pentru slujbele cu risc ridicat – cum ar fi jurnalismul, activismul și lucrătorii guvernamentali. Mulți vor considera că WhatsApp, de exemplu, este suficient de bună pentru marea majoritate a celor care vor doar să vorbească cu prietenii și familia lor fără să se îngrijoreze că cineva le citește mesajele.

Este posibil să fi auzit unele lucruri dezinformate despre WhatsApp în ultimii ani, stârnite în mare parte de rapoarte incorecte și înșelătoare care susțineau că există un „backdoor” care permite terților să citească mesajele. Aceste afirmații au fost nefondate. WhatsApp colectează unele date despre cei 1,5 miliarde de utilizatori ai săi, cum ar fi metadatele despre cine contactează pe cine și când. Aceste date pot fi predate poliției dacă aceasta le solicită în baza unui ordin legal valabil. Însă mesajele nu pot fi citite, deoarece sunt criptate de la un capăt la altul. WhatsApp nu poate preda aceste mesaje chiar dacă ar vrea să o facă.

Deși mulți nu realizează că WhatsApp este deținut de Facebook, care s-a confruntat cu o serie de scandaluri legate de securitate și confidențialitate în ultimul an, Facebook a declarat că s-a angajat să păstreze mesajele WhatsApp criptate end-to-end-encrypted în mod implicit. Acestea fiind spuse, este posibil ca Facebook să se răzgândească în viitor, au declarat cercetătorii în domeniul securității. Este corect să rămânem precauți, dar WhatsApp este în continuare mai bine de folosit pentru a trimite mesaje criptate decât să nu le trimiteți deloc.

Cel mai bun sfat este să nu scrieți și să nu trimiteți niciodată, chiar și pe o aplicație de mesagerie criptată end-to-end, ceva ce nu ați dori să apară într-o sală de judecată – pentru orice eventualitate!

Wire este, de asemenea, apreciat de mulți care au încredere în aplicația open-source cross-platform pentru a partaja chat-uri și apeluri de grup. Aplicația nu necesită un număr de telefon, optând în schimb pentru nume de utilizator, pe care mulți dintre cei care doresc un anonimat mai mare îl consideră mai atrăgător decât aplicațiile alternative. Wire și-a susținut, de asemenea, afirmațiile privind criptarea end-to-end, cerând cercetătorilor să efectueze un audit extern al criptografiei sale, dar utilizatorii trebuie să fie conștienți de faptul că o compensație pentru utilizarea aplicației pe alte dispozitive înseamnă că aplicația păstrează o evidență a tuturor persoanelor pe care le-ați contactat vreodată în text simplu.

iMessage este, de asemenea, criptată de la un capăt la altul și sunt folosite de milioane de persoane din întreaga lume care probabil că nici nu realizează că mesajele lor sunt criptate.

Alte aplicații ar trebui tratate cu atenție sau evitate cu totul.

Aplicații precum Telegram au fost criticate de experți pentru criptografia sa predispusă la erori, care a fost descrisă ca fiind „ca și cum ai fi înjunghiat în ochi cu o furculiță”. Iar cercetătorii au descoperit că aplicații precum Confide, cândva una dintre favoritele angajaților de la Casa Albă, nu bruiază în mod corespunzător mesajele, ceea ce face ca producătorii aplicației să poată trage cu ușurință cu urechea în secret la conversația cuiva.

Cum se verifică identitatea cuiva

O întrebare esențială în mesageria criptată end-to-end este: cum știu că o persoană este cine spune că este?

Fiecare aplicație de mesagerie criptată end-to-end tratează diferit identitatea unui utilizator. Signal o numește „număr de siguranță”, iar WhatsApp o numește „cod de securitate”. În general, este ceea ce noi numim „verificarea cheii.”

Care utilizator are propria „amprentă digitală” unică, care este asociată cu numele de utilizator, numărul de telefon sau dispozitivul său. Este, de obicei, un șir de litere și numere. Cel mai simplu mod de a verifica amprenta digitală a cuiva este să o faceți în persoană. Este simplu: vă scoateți amândoi telefoanele, deschideți o conversație pe aplicația de mesagerie criptată pe care o alegeți și vă asigurați că amprentele digitale de pe cele două seturi de dispozitive sunt exact aceleași. De obicei, apăsați apoi un buton de „verificare” – și asta este tot.

Verificarea amprentei unui contact de la distanță sau pe internet este mai complicată. Adesea, este nevoie de partajarea amprentei (sau a unei capturi de ecran) pe un alt canal – cum ar fi un mesaj pe Twitter, pe Facebook sau pe e-mail – și de a vă asigura că acestea se potrivesc. (Micah Lee de la The Intercept’s Micah Lee are o prezentare simplă a modului de verificare a unei identități.)

După ce ați verificat identitatea cuiva, acesta nu va trebui să fie reverificat.

Dacă aplicația dvs. vă avertizează că amprenta digitală a unui destinatar s-a schimbat, ar putea fi un motiv inofensiv – este posibil ca acesta să aibă un nou număr de telefon sau să fi trimis un mesaj de pe un nou dispozitiv. Dar ar putea însemna, de asemenea, că cineva încearcă să se dea drept cealaltă persoană din conversația dvs. Ați avea dreptate să fiți precaut și să încercați să reverificați din nou identitatea lor.

Câteva aplicații nu se obosesc deloc să verifice identitatea unui utilizator. De exemplu, nu există nicio modalitate de a ști că cineva nu vă spionează în secret conversațiile iMessage, deoarece Apple nu vă notifică dacă cineva vă monitorizează în secret conversația sau dacă nu cumva a înlocuit destinatarul unui mesaj cu o altă persoană.

Puteți citi mai multe despre modul în care Signal, WhatsApp, Telegram și Wire vă permit să vă verificați cheile și vă avertizează cu privire la schimbarea cheilor. (Alertă de spoiler: Signal este cea mai sigură alegere.)

Există și alte câteva sfaturi pe care ar trebui să le știți:

De obicei, copiile de rezervă ale mesajelor criptate nu sunt criptate în cloud: Un punct foarte important aici – de multe ori, mesajele dvs. criptate nu sunt criptate atunci când sunt copiate de rezervă în cloud. Acest lucru înseamnă că guvernul poate cere furnizorului dvs. de cloud – cum ar fi Apple sau Google – să vă recupereze și să vă predea mesajele criptate de pe serverele sale. Nu ar trebui să faceți copii de rezervă ale mesajelor dvs. în cloud dacă acest lucru reprezintă o preocupare.

Atenție la aplicațiile desktop: Unul dintre avantajele multor aplicații de mesagerie criptată este că sunt disponibile pe o multitudine de platforme, dispozitive și sisteme de operare. Multe dintre ele oferă, de asemenea, versiuni desktop pentru a răspunde mai rapid. Dar, în ultimii ani, cele mai multe dintre vulnerabilitățile majore au fost în software-ul de desktop plin de erori. Asigurați-vă că sunteți la curent cu actualizările aplicațiilor. Dacă o actualizare necesită repornirea aplicației sau a computerului, ar trebui să o faceți imediat.

Setați-vă mesajele să expire: Criptarea nu este o magie; necesită conștientizare și considerație. Mesajele criptate de la un capăt la altul nu vă vor salva dacă telefonul dvs. este compromis sau furat și conținutul acestuia poate fi accesat. Ar trebui să luați foarte mult în considerare setarea unui cronometru de expirare a conversațiilor dvs. pentru a vă asigura că mesajele mai vechi vor fi șterse și vor dispărea.

Mențineți aplicațiile actualizate: Una dintre cele mai bune modalități de a vă asigura că rămâneți în siguranță (și că primiți funcții noi!) este să vă asigurați că aplicațiile dvs. pentru desktop și mobil sunt actualizate. Bug-urile de securitate sunt descoperite des, dar este posibil să nu auziți întotdeauna de ele. Actualizarea aplicațiilor dvs. este cea mai bună modalitate de a vă asigura că primiți aceste remedieri de securitate cât mai curând posibil, reducând astfel riscul ca mesajele dvs. să fie interceptate sau furate.

Cybersecurity 101 - TechCrunch

{{title}}

{{date}}{{autor}}