Niebezpiecznik: Komunikator Signal jest najbezpieczniejszy

Reklama

ndz., 02/23/2020 - 09:54 -- zzz

Każdy ma prawo do prywatności. A tym bardziej osoby starające się o urząd prezydenta. Dziennikarz RMF, Krzysztof Berenda, który sam korzysta z Signala zauważył, że ostatnio pojawiają się na nim masowo politycy, w tym sztabowcy kandydatów na prezydenta, m.in. Andrzeja Dudy. W opublikowanym dziś artykule zastanawia się, jakie ryzyka płyną z tego faktu i czy mogą one stanowić “zagrożenie dla bezpieczeństwa państwa”. Naszym zdaniem nie. Co nie oznacza, że korzystanie z szyfrowanych komunikatorów gwarantuje ich użytkownikom 100% poufności. To nie takie proste… I warto to ponownie przypomnieć.

 

To prawda, że Signal jest najbezpieczniejszy

Zacznijmy od tego, że jeden szyfrowany komunikator typu “end to end” nie jest równy innemu szyfrowanemu komunikatorowi “end to end”. Diabeł tkwi w szczegółach, których zwykli użytkownicy często nie są w stanie zrozumieć. A wiec w uproszczeniu:

  • Signal — to najbezpieczniejszy komunikator. Jego kod źródłowy (zarówno serwera jak i klienta) jest otwarty, co oznacza, że każdy może go przeanalizować pod kątem “tylnich furtek” i (nie)poprawnego użycia kryptografii. To co dodatkowo odróżnia Signala od reszty komunikatorów, to paranoiczne wręcz dbanie o prywatność użytkownika — serwery Signala zbierają minimalną ilość informacji potrzebnych do świadczenia usługi. Twórcy nie mają dostępu do kontaktów, które użytkownik ma telefonie i metadanych konwersacji, co w uproszczeniu powoduje, że nie wiedzą nie tylko o tym o czym użytkownik A rozmawia z użytkownikiem B, ale że w ogóle użytkownik A rozmawia z użytkownikiem B. Magia dobrze wdrożonej kryptografii. Tu możecie zobaczyć jak Signal odpowiada na pisma od organów ścigania i ile informacji im ujawnia (czyli do jakich danych użytkowników ma dostęp).
  • WhatsApp — to najpopularniejszy komunikator. Jego protokół bazuje na Signalu i to jest super. Ale za WhatsAppem stoi Facebook, a to oznacza, że o ile twórcy nie mają wglądu w treść rozmów, to zbierają metadane, czyli wiedzą kto, z kim i jak często oraz kiedy rozmawia. Nic dziwnego. Facebook zarabia na danych. Ale prywatność to nie poufność. Więc jeśli bardziej zależy Ci na tym drugim, to WhatsApp będzie bardzo OK.
  • Telegram — to komunikator autorstwa kontrowersyjnego Rosjanina, który zbiegł z kraju. Można wierzyć, że uciekł bo nie chciał pójść na współpracę z służbami, jak twierdzi, a można też sądzić, że taka sytuacja została celowo wykreowana przez rosyjskie służby, aby przekonać ludzi do korzystania z usługi tego “niby zbuntowanego” a więc “godnego zaufania” Rosjanina. Jak pokazał przypadek operacji Crypto AG, służby od lat są zdolne do tworzenia firm dostarczających “bezpieczne oprogramowanie”. Ale zostawmy teorie spiskowe, bo dowodów na świadomą współpracę Telegrama z służbami rosyjskimi brak. Telegram zresztą jest najmniej godny zaufania spośród prezentowanej przez nas trójki komunikatorów z innego powodu. Przede wszystkim dlatego, że tworzy “własną kryptografię”, a jak każdy specjalista od IT wie, jest to droga skazana na porażkę. W dodatku kod źródłowy Telegrama nie jest w pełni otwarty, a model bezpieczeństwa został wielokrotnie “podziurawiony” i jest szeroko krytykowany przez ekspertów. Telegram przekazuje służbom sporo informacji na temat użytkowników, jeśli te poproszą, a niewiele osób ma też świadomość, że nie wszystkie typy konwersacji prowadzonych przez ten komunikator są faktycznie szyfrowane “end to end” i to chyba jest najgorsze, bo Telegrama nie powinno się w ogóle nazywać komunikatorem “end to end”.

Podsumowując, najbezpieczniejszym z tych trzech najmocniej rozpoznawanych w Polsce komunikatorów jest Signal i jeśli komuś zależy na maksymalnej możliwej do osiągnięcia poufności w komunikacji internetowej, to powinien właśnie z Signala korzystać. Jego architektura utrudnia popełnienie błędów, które mogą narazić poufność rozmów na szwank. Ale pomimo tego, potknięcia i “wycieki” wciąż są możliwe, bo nie wszystko zależy od samego “szyfrowania w komuniaktorze”. Kilka przykładów “ataków” poniżej.

Wciąż wiele rzeczy może pójść źle, nawet jeśli korzysta się z szyfrowanego komunikatora

Bez zwrócenia uwagi na poniższe aspekty, samo korzystanie z komunikatora end-to-end może się okazać równie niebezpieczne jak korzystanie z e-maili czy SMS-ów — a nawet jeszcze groźniejsze — bo niezdający sobie sprawy z tych dodatkowych kwestii użytkownik może poczuć większą chęć do dzielenia się sekretami, gdyż wydaje mu się że korzysta ze 100% bezpiecznego kanału komunikacji.

Brak szyfrowania.
Jeśli wybierzecie Telegrama, to część komunikacji (ta dotycząca grup) w ogóle nie będzie szyfrowana “end to end”, chociaż wydawało się Wam, że korzystacie z “bezpiecznego komunikatora”. Signal i WhatsApp nie mają takich pułapek.

Kopia do chmury.
Niektóre z komunikatorów pozwalają na sporządzenie kopii bezpieczeństwa (zawierającej historię rozmów) i wysłanie jej do chmury producenta (komunikatora lub smartfona). Boleśnie przekonał się o tym kumpel Donalda Trumpa, Roger Stone. Skorzystał z WhatsAppa do prowadzenia rozmów dot. współpracy z Rosjanami, FBI przejęło jego telefon, ale choć niczego na nim nie znaleziono (został wyczyszczony), to śledczy pozyskali skasowane treści “szyfrowanych rozmów” — bo sięgnęli do chmury. Kopia w chmurze jest wygodna, bo jak zgubimy telefon, to na nowym po zainstalowaniu komunikatora będziemy mieli dostęp do historii rozmów. Ale jak rozmawia się z Rosjanami na temat manipulacji wyborczych, to niewyłączenie tego typu backupowania nie jest zbyt rozsądne. Signal nie świadczy w ogóle takiej funkcji, więc nawet “przypadkiem” nie można popełnić tego błędu.

Długi język rozmówcy.
Nawet korzystając z szyfrowanych “end to end” komunikatorów trzeba mieć zaufanie do osoby z którą się rozmawia. Co z tego, że wiadomości bezpiecznie przeszły przez Internet, skoro jeden z rozmówców może wykonać screeny i wysłać je prasie? Tego typu sytuacja miała miejsce kilka miesięcy temu w Polsce i ujawnił ją Onet w wyniku czego jeden z wiceministrów pożegnał się ze stanowiskiem.

Zhackowanie telefonu któregokolwiek z rozmówców.
Jeśli ktoś dostanie się do telefonu na którym jest szyfrowany komunikator (czyt. zainfekuje go złośliwym oprogramowaniem) to będzie w stanie podglądać to co się na nim dzieje, czyli także to, co jest wyświetlane na ekranie kiedy poufnie rozmawia się przez szyfrowany komunikator. Uodpornienie się na podsłuch telefonu to nie jest łatwa sprawa (por. 3 sposoby na podsłuch telefonu) a uodpornienie się na wszystkie możliwe ataki na smartfony to w zasadzie mission impossible. Niektórych modeli w ogóle nie da się zabezpieczyć w pełni. Innym trzeba odpowiednio skonfigurować system operacyjny, aby uczynić je mniej podatnymi na ataki, a nie każdy wie jak to zrobić. Wreszcie, nawet maksymalnie zabezpieczony telefon odpowiednio przygotowany atakujący jest w stanie zainfekować przy pomocy 0day’a i specjalistycznego oprogramowania (np. sławnego w Polsce Pegasusa — por. Jak wyglada i działa Pegasus). Generalnie korzystając ze smartfona należy założyć, że informacje na nim przechowywane mogą za chwile być publicznie dostępne.

Autor: 
Piotr Konieczny
Źródło: 

Niebezpiecznik

Zagłosowałeś na opcję 'down'.

Reklama