SCHIMBUL DE MESAJE PE INTERNET
Aplicatii mobile si garantiile lor de securitate
Sunt putini oameni care nu utilizeaza mesageria electronica pe Internet. In special mesageria instant (chat). Numai aplicatia Whatsapp este instalata in prezent pe milioane de de telefoane inteligente din intreaga lume, cu un trafic total de zeci de miliarde de mesaje pe zi. Sa nu uitam, insa, si de alte programe (oarecum similare), gen Skype, Viber, ICQ ori de capabilitatile de mesagerie built-in ale Facebook, LinkedIn, Twitter, Yahoo, Gmail etc.
Desi toate aceste servicii de mesagerie instant se bucura de o mare popularitate in randul utilizatorilor, apare inevitabil riscul asupra confidentialitatii conversatiilor (corespondentei). Poate parea absurda aceasta "grija" suplimentara, tinand cont de volumul imens de date generat si transmis/receptionat zilnic folosind protocoalele Internet, dar exista situatii in care comunicarea trebuie sa fie confidentiala in totalitate, fara sa existe interferente din partea furnizorului de servicii internet ori a infractorilor cibernetici.
Pentru a aborda aceasta problema, trebuie cercetat modul prin care un canal de mesagerie instant poate fi deconspirat unei terte parti. Sunt, insa, putine posibilitati. Orice mesaj, indiferent de natura (text, video, foto sau voce) este inregistrat, in primul rand, pe o unitate de stocare locala din sistemul expeditorului. Apoi, este transferat, ca pachete de date, prin retele cu fir sau fara fir (radio), catre serverul serviciului de mesagerie (insa nu este o conditie obligatorie!), urmand a fi procesat si trimis destinatarului (in fapt, stocat local in sistemul acestuia). Cu alte cuvinte, chiar daca traseul pachetelor de date este sigur, va exista intotdeauna o vulnerabilitate in ceea ce priveste sistemele de comunicatii folosite de interlocutori (telefoane inteligente, PC-uri etc.).
Cu siguranta, criptarea ofera o protectie sporita, dar nu in totalitate, intrucat nimeni nu poate garanta ca protocolul utilizat, mai ales in cazul in care se foloseste un algoritm cunoscut, nu este si acesta vulnerabil.
Spre exemplu, serviciul Skype (in tehnologie Voice-over-IP) era considerat, pana nu demult, drept un serviciu sigur, o "fortareata" de necucerit pentru orice hacker sau agentie guvernamentala. Dar, de cand Skype Ltd. a fost cumparat de Microsoft, lucrurile s-au schimbat in perceptia utilizatorilor, iar acestia au inceput sa "primeasca" dovezi ca serviciul nu asigura 100% confidentialitatea comunicatiilor.
Serviciul Whatsapp proceseaza zilnic miliarde de mesaje, ceea ce arata o anumita perceptie de siguranta din partea utilizatorilor. Insa, acestia nu citesc si numeroasele avertizari (emise aproape lunar) de catre expertii in securitate IT privind vulnerabilitatile platformei. De exemplu, un studiu recent dedicat Whatsapp arata ca o fila criptata stocata in istoricul de mesaje pe un smartphone poate fi deschisa relativ rapid printr-un simplu script. Pe de alta parte, achizitia Whatsapp de catre Facebook nu a insemnat in mod automat si un plus de securitate pentru serviciul de mesagerie, existand suspiciuni ca gigantul media ar furniza constant date despre clienti agentiilor americane de securitate.
Si alte platforme de mesagerie instant, de la Viber la iMessage, au in general acelasi tip de probleme. Toate permit (la un moment dat) modalitati simple de a avea acces la corespondenta privata a unui utilizator. In acest context de "nesiguranta" si "neincredere", piata de aplicatii de mesagerie instant vine constant cu aplicatii noi, cu solutii care se anunta (singure) drept "sigure". Cu siguranta, insa, nu se poate spune ca acestea vin sa "umple" nevoia corespunzatoare de securitate dorita de utilizatori, intrucat acestia sunt singurii care stiu ce tip de securitate li se potriveste cel mai bine.
In cele ce urmeaza, va prezint cateva consideratii legate de aplicatiile mobile de mesagerie instant existente in acest moment pe piata si problemele lor de securitate:
Categoria "siguranta relativa"
CONFIDE
Dintr-un anumit punct de vedere, este un serviciu unic in felul sau: toate mesajele care vin prin Confide arata ca niste cutii rectangulare, care devin vizibile doar atunci cand utilizatorul atinge ecranul. Mai mult, aplicatia nu ofera stocare de lunga durata pentru istoricul de mesaje, astfel incat, daca smartphone-ul ajunge accidental la o terta persoana, aceasta nu va putea descoperi corespondenta.
In incercarea de a face o captura de ecran mesajelor, utilizatorul va fi redirectionat la lista de contacte, iar interlocutorul va primi o notificare in acest sens. De asemenea, este diponibila si facilitatea de tip "poti sa citesti, dar nu sa si salvezi". Totusi, exista posibilitatea ca utilizatorul sa inregistreze mesajele, fara sa fie obligat sa efectueze capturi de ecran, cu un aparat de fotografiat care sa surprinda, cadru cu cadru, procesul de comunicare. Beneficiind de un sistem de securitate "teatral", aplicatia este mai curand interesanta pentru acei utilizatori care doresc sa se joace de-a agentii secreti.
WICKR
Nu este foarte eleganta in ceea ce priveste aspectul, dar ambitioasa in ceea ce priveste pozitionarea ca solutie care nu lasa urme ale corespondentei in dispozitive. Sterge (in anumite cazuri chiar irevocabil) istoricul de mesaje, atat din memoria dispozitivului, cat si a serverului, protejand mesajele cu algoritmi de criptare de nivel guvernamental. Furnizeaza anumite mijloace de control (ex. durata de stocare pentru destinatar) si are dezactivata optiunea de copiere a mesajelor.
TELEGRAM
Atunci cand un utilizator cauta o aplicatie de mesagerie "mai sigura", nu poate ignora Telegram. In acest moment, aceasta este, poate, una dintre cele mai mediatizate aplicatii in ceea ce priveste securitatea. Totusi, nivelul de securitate este unul de tip "teatral", intrucat aceasta siguranta garantata de catre dezvoltatori nu a fost niciodta demonstrata in mod obiectiv, ceea ce a adus multe critici in acest sens.
De altfel, exista si o recompensa de 200.000 USD pentru "spargerea" protocolului Telegram MTProto, anuntata de catre creatorii solutiei. Aceasta incredere in sine ar putea reprezenta un argument puternic pentru fiabilitatea aplicatiei. Alti specialisti in securitate IT arata ca "MTProto este un protocol extrem de nesigur, care ignora toate studiile de criptografie din ultimii 20 de ani".
In pofida protocolului complex care sta la baza Telegram, acesta pare a fi vulnerabil la atacul direct asupra aplicatiei. Este vorba de momentul inregistrarii, cand utilizatorul primeste un mesaj text pe telefon si trebuie sa introduca un cod de securitate pentru a activa aplicatia. Daca un hacker intra in posesia acelui mesaj text, poate activa o copie a aplicatiei pe propriul sau dispozitiv si, prin urmare, poate primi mesajele adresate "victimei". Mai mult, avand in vedere ca optiunea "chat securiat" nu este bifata implicit, confidentialitatea corespondentei poate fi, astfel, compromisa.
Avantajul real al Telegram este viteza: mesaje sunt primise si primite instantaneu, considerabil mai rapid decat in cazul altor aplicatii.
Categoria "siguranta reala"
Aceasta categorie include aplicatii si servicii care furnizeaza un nivel de securitate in deplina conformitte cu optiunile stabilite oficial si pot proteja atacurile la comunicatii din partea tertilor.
THREEMA
Este rezultatul unui proiect elvetian, care se bucura de o popularitate crescanda in special dupa achizitia Whatsapp de catre Facebook. Dezvoltatorii garanteaza siguranta corespondentei prin urmatoarele facilitati:
In primul rand, aplicatia cripteaza datele in timpul transferului prin Internet. In al doilea rand, protejeaza viata privata a utilizatorilor prin confirmarea "fata in fata" atunci cand este adaugat un nou interlocutor in lista de contacte. Acest aspect presupune ca cei doi corespondenti sa se intalneasca in prealabil si sa isi scaneze reciproc codurile QR (nota: Quick Response) generate automat de catre aplicatie, printr-o combinatie in care este implicat si numarul de identificare al telefonului.
Ca si alte aplicatii, Threema face o copie a contactelor din agenda telefonului, apoi compara numerele de telefon gasite cu inregistrarile unei baze de date stocate pe serverul dezvoltatorilor. Prin aceasta facilitate, utilizatorul observa care dintre contactele sale foloseste aplicatia. In acest moment, nivelul implicit de securitate este cel de baza oferit "by default" de catre aplicatie. Pentru obtinerea unui nivel de securitate sporit, utilizatorii trebuie sa se intalneasca direct si sa isi scaneze codurile QR.
Scanarea codurilor QR este oarecum similara schimbului de chei de criptare intr-o infrastructura de tip PKI (nota: Infrastructura cu Chei Publice), ceea ce previne un atac din exterior asupra mesajelor.
Threema stocheaza istoricul de mesaje in dispozitivul utilizatorului, dar protejeaza corespondenta impotriva accesului neautorizat printr-un cod de securitate de 4 cifre, iar mesajele stocate local sunt criptate.
Aplicatia este disponibila atat pentru iOS, cat si pentru Android. Costa aprox. 2 EURO, platibili o singura data.
SILENT CIRCLE
Aplicatia este rezultatul unuia dintre proiectele de succes ale unor experti renumiti in criptografie, printre care Phil Zimmerman, autorul tehnlogiei de criptare PGP (Pretty Good Privacy).
In mod similar aplicatiilor Threema si Telegram, Silent Circle se bezeaza pe un algoritm creat special, denumit SCIMP. Avantajele acestuia constau in capacitatea de a sterge complet mesajele transmise, fara a lasa vreo urma. Mesajele se sterg din server si din dispozitivele utilizatorilor dupa o scurta perioada de timp. De asemenea, nici expeditorul si nici destintarul nu vor mai putea reface continutul unei comunicari. Aceasta optiune este diponibila atat in mod manual, cat si automat.
Un element distictiv fata de restul aplicatiilor este criptarea foarte puternica a traficului de date intre dispozitive, acesta fiind aproape imposibil de deturnat. pachetele de date pentru care este diponibila criptarea includ text, foto si video.
Singurul "defect" al aplicatiei este procesul greoi de inregistrare si taxa de 100 de dolari pe an.
TEXTSECURE
O aplicatie simpla, dar cu anumite garantii de securitate. A fost invocata inclusiv de catre Edward Snowden - fost angajat al Agentiei Nationale de Securitate din SUA.
Nu are optiuni sau setari complexe, dar furnizeaza o criptare puternica, atat pentru mesajele memorate pe dispozitiv, cat si pe cele aflate in trafic.
Inconvenientele apar pe partea de functionalitate (redusa) si de compatibilitate (in momentul actual TextSecure ruleaza doar pe Android).
PIDGIN
Este un serviciu de schimb de mesaje destul de popular, cu un set complet de protocoale de securitate. Este gratuit si compatibil cu sistemele Windows, Linux, Mac. Creatorii recomanda fanilor Apple sa ruleze aplicatia Adium, care suporta protocoale de criptare de pana la 4096 biti.
Aplicatia suporta foarte bine facilitatea OTR (Off The Record Messaging) care ajuta la asigurarea confidentialitatii corespondentei si are, de asemenea, o multitudine de plug-in-uri. Un alt avantaj al solutiei este suportul pentru XMPP/Jabber, un sistem de mesagerie instant, descentralizat, flexibil si sigur.
CRYPTOCAT
Este un sistem de mesagerie cu facilitate de criptare a mesajelor, care, spre deosebire de alte aplicatii, functioneaza si ca un plug-in al motoarelor de cautare pentru browserele Chrome, Firefox, Safari si Opera. Pentru utilizatorii de Mac si iPhone, Cryptocat este diponibila ca o aplicatie stand-alone.
Serviciul a suferit un atac informatic, care a condus la compromiterea datelor interne si externe, insa de atunci, echipa de dezvoltatori a depus un efort considerabil pentru cresterea nivelului de siguranta.
CHADDER
Este una dintre cele mai recente aplicatii de acest gen de pe piata. Este rezultatul unui proiect comun al Future Sense Systems (divizia de dezvoltare a celebrului producator de solutii antivirus McAfee) si Etransfr (un new-entry cu sediul la New York).
Apreciata drept o platforma de mesagerie "fara precedent" ori ca "un sistem de inalta siguranta", aplicatia permite schimbul de mesaje instant criptate intre utilizatori, corespondenta putand fi consultata exclusiv de catre expeditor si destinatar. Sistemul se bazeaza pe un serviciile unui server cu chei de criptare, pe care le aloca participantilor la conversatie, garantand, astfel, ca mesajele raman confidentiale, neputand fi citite nici macar de catre dezvoltatori.
La inregistrare, utilizatorii trebuie sa isi aleaga un nickname, un username si o parola (de cel putin 6 caractere).Pentru a fi in masura sa foloseasca aplicatia, utilizatorii trebuie sa cceseze meniul Settings unde vor furniza alte date cu scopul de a facilita gasirea lor de catre alte persoane (pe baza de numar de telefon, nume sau adresa email).