Szyfry władzy
Szyfrowanie korespondencji elektronicznej zdobywa coraz większą popularność. Publikując większość wydarzeń swoje życia w portalach społecznościowych sięgamy jednocześnie i paradoksalnie po komunikatory oferujące szyfrowaną komunikację. Czy jednak można mieć zaufanie do oprogramowania stworzonego poza granicami naszego kraju, szczególnie jeśli jego użytkownikiem jest ważna dla bezpieczeństwa narodowego osoba?
Jakiś czas temu na jednym z największych portali informacyjnych natknąłem się na artykuł opisujący z jakich komunikatorów korzystają najważniejsze osoby w państwie i kluczowi politycy różnych partii. Wymienione były te największe: WhatsApp, Signal, Viber, Telegram, UseCrypt Messenger. Używanie ich ma zapewnić najważniejszym osobom na politycznej scenie kraju bezpieczeństwo korespondencji z uwagi na zastosowanie szyfrowania. – Znajomi hakerzy mówią mi, że ta aplikacja jest ponoć bezpieczna – lub – Wiele osób używa aplikacji szyfrujących ze względu na brak zaufania do służb – czytamy w treści artykułu. Spróbujmy jednak dołożyć łyżkę dziegciu to tej szyfrowanej beczki miodu.
Kompromitacja
Żaden z wymienionych wyżej komunikatorów (z wyjątkiem UseCrypt Messenger) nie umożliwia, przed nawiązaniem połączenia, sprawdzenia urządzenia pod kątem jego skompromitowania, czyli zainfekowania szkodliwym oprogramowaniem. To podstawowa zasada bezpieczeństwa, bowiem żaden szyfrowany komunikator nie zapewni bezpieczeństwa jeśli wykorzystywane przez nas urządzenie zostało skompromitowane, a ukrywające się w systemie operacyjnym złośliwe oprogramowanie daje atakującemu dostęp i kontrolę nad kamerą, mikrofonem, pozwoli rozszerzyć prawa administratora i przejąć praktycznie każdą funkcję aparatu, np. dostęp do skrzynki sms, przeglądarki internetowej itp. Skompromitowanie aparatu może nastąpić na różne sposoby, chociażby za pomocą najprostszych metod phishingu lub chociażby, jeśli w grę wchodzi atak ukierunkowany, z wykorzystaniem socjotechnik. Na początku 2017 roku dość boleśnie przekonali się o tym izraelscy żołnierze, którzy padli ofiarami cyberataku ze strony Hamasu. Atak polegał na zainicjowaniu kontaktu na portalu społecznościowym z izraelskim żołnierzem profilu atrakcyjnej kobiety, najczęściej, według danych na takim portalu, pochodzenia izraelskiego lub europejskiego. Fałszywe kobiety, pod pretekstem zainteresowania żołnierzem, proponowały przejście na inny, znacznie wygodniejszy komunikator. Izraelczycy otrzymując od poznanych rzekomych kobiet link do pobrania nieznanego programu wykorzystywali go, dając w ten sposób atakującemu pełny dostęp do swojego urządzenia, prawdopodobnie łącznie z dostępem do kamery umieszczonej w aparacie i mikrofonu. Cała sytuacja ujrzała światło dzienne po skargach żołnierzy, które dotarły do dowództwa, o poznanych kobietach, które wykazując zainteresowanie, nagle całkowicie zerwały kontakt.
„Moje urządzenie jest czyste, bo fabrycznie nowe”
Tajemnicą poliszynela jest, że duże firmy branży technologicznej są przedmiotem szczególnego zainteresowania władz państwa w których mają one swoje siedziby. Spójrzmy zatem teraz na swojego smartfona leżącego przed nami na biurku. Czy to chiński Huawei? A może iPhone? Eksperci cyberbezpieczeństwa od dawna upatrują tu dużego pola do popisu dla wszelkiego rodzaju preinstalowanego szkodliwego oprogramowania, furtek w postaci back doorów, geolokalizacji i innych narzędzi szpiegowania oraz nieuprawnionego zbierania danych, które mogły by posłużyć w przyszłości jako wektor ataku. Pokłosiem wydanego już w 2012 roku raportu Izby Reprezentantów Stanów Zjednoczonych, w którym przeczytać można o wysokim ryzyku związanym z wprowadzeniem i użytkowaniem na terenie USA urządzeń chińskiego producenta Huawei, jest zablokowanie przez Kongres jego umowy z amerykańską siecią telekomunikacyjną AT&T. Huawei oraz znacznie mniej popularna firma ZTE oskarżane są o współpracę z chińskim rządem i przekazywanie mu informacji zgromadzonych wcześniej na urządzeniach swoich użytkowników. Dla równowagi wspomnieć należy, że chiński rząd już w roku 2014 usunął z listy zakupów administracji publicznej sprzęt amerykańskiej firmy Apple. W tym samym czasie Rosjanie postulowali o ujawnienie kodu źródłowego systemów operacyjnych firmy z Cupertino w celu weryfikacji, czy nie znajdują się tam tylne furtki lub jakikolwiek inny kod umożliwiający wyciek danych. Co ciekawe, w Niemczech oraz Wielkiej Brytanii, urządzenia z systemem operacyjnym iOS (czyli systemem operacyjnym na urządzenia mobilne firmy Apple) także dostały czerwoną kartkę w parlamentach tych krajów, z uwagi na „niewystarczające zabezpieczenia”. Przeciwko żadnej z wymienionych wyżej firm technologicznych nigdy nie wysunięto twardych dowodów współpracy z jednostkami rządowymi mającej na celu przekazywanie informacji o użytkownikach z terenu innego kraju.
Bezpieczny, bo szyfrowany
Załóżmy jednak, że nasze urządzenie jest w pełni bezpieczne. Lokalizacja serwerów komunikatora Signal to Stany Zjednoczone. Podczas szyfrowanej komunikacji oprogramowanie to przesyła całość korespondencji poprzez serwer pośredniczący (!) do odbiorcy. Jaki czas informacje te znajdują się na serwerze? Biorąc pod uwagę możliwości amerykańskiej NSA bezpieczeństwo tego rozwiązania jest pojęciem mocno problematycznym. Sytuacja ciekawie wygląda także w przypadku komunikatora Telegram, którego serwery zlokalizowane są w Rosji. Łamie on bowiem podstawową zasadę bezpieczeństwa kryptografii, która mówi o zastosowaniu sprawdzonego rozwiązania, wobec czego klient tej usługi nie może być pewien skuteczności takiego szyfrowania. Telegram wykorzystuje autorskie szyfrowanie symetryczne MTProto, nawiązujące do szyfrowania AES, RSA i protokołu Diffiego – Hellmana. Bolesną prawdę o Telegramie uzupełnia jeszcze raport firmy Check Point Software z marca 2018 roku, który ujawnia podatność tego oprogramowania na atak w wyniku którego w niepowołane ręce wpaść mogą informacje o setkach milionów kont użytkowników. Źle dobrane parametry, osłabiające całość systemu kryptograficznego, znajdziemy także w Signalu. W efekcie zmniejsza to bezpieczeństwo całego protokołu i komunikacji. Producent komunikatora Viber nie podaje nawet w dokumentacji informacji, gdzie zlokalizowane są serwery usługi, a WhatsApp od 2014 roku jest własnością Facebooka, co w świetle ostatnich skandali związanych z wyciekami danych powinno już na wstępie dyskwalifikować ten komunikator (raport Check Point wskazuje zresztą także na podatności i w tej aplikacji). Dodajmy także, że w Viberze, WhatsAppie czy Telegramie nie znajdziemy żadnych zabezpieczeń przed atakiem typu man-in-the-middle, czyli przechwytywania komunikacji pomiędzy nadawcą a odbiorcą wiadomości.
Wisienka na torcie
Podsumowaniem tego tekstu o „bezpiecznych” komunikatorach niech będzie przypomnienie faktu, że aplikacje te są zazwyczaj dostępne nieodpłatnie. Zyski dla ich twórców czerpane są w znaczącej mierze z faktu pozyskiwania danych swoich klientów. Zgadzając się na warunki użytkowania takiego komunikatora przekazujemy np. pełny dostęp do swojej książki kontaktów (Viber), w tym także tych, które w ogóle nie korzystają z tej aplikacji. Zatwierdzając regulamin Telegramu nie wiemy nawet jakie informacje przekazujemy, bowiem producent nie ujawnia tego w swojej polityce prywatności a zarówno Signal, jak i WhatsApp informują nas o tym, że nasze dane w razie konieczności mogą być udostępnione organom państwowym. Na własne życzenie niejako dajemy więc możliwość wykorzystywania przez nieokreślone bliżej podmioty danych dotyczących naszych kontaktów, przekazujemy metadane czy wiedzę na temat lokalizacji i ruchu. To co można zrobić z takimi danymi pozostawiam już wyobraźni czytelnika.
Link: mil.link/pl/szyfry-wladzy
Krótki link: mil.link/i/szyfry
