IM aplikacije za sigurno dopisivanje

Svakog dana sve više korisnika koji imaju pametne telefone koriste razne aplikacije za dopisivanje i to iz više razloga – besplatno je, svi ih koriste, možete ih poslati neograničen broj, možete slati multimedijalni sadržaj… no što je sa sigurnošću? Sigurno ne želite da neka treća osoba čita vaše poruke, odnosno da ih koristi u marketinške svrhe, da ih analizira i slično. Ako spadate u ovu skupinu ljudi, trebali biste koristiti neke od slijedećih aplikacija …

Već dugi niz godina najpopularnije mobilne aplikacije su one za dopisivanje. Sa pametnim telefonima, rijetko tko više piše SMS poruku. Ili MMS – ako se uopće sjećate što to jest. Danas se koriste Whatsapp, Viber, Skype, Facebook chat… Uglavnom one aplikacije koje koristi veliki broj ljudi, točnije koristite onu koju koriste vaši prijatelji kako biste mogli biti s njima u kontaktu, a da pri tome ne platite ništa osim malo Internet prometa. No, mnogo je jeftiniji Internet nego veliki broj SMS poruka. No, kako to obično biva, problem je sigurnosni aspekt. Vi ne znate gdje su serveri preko kojih ide vaša komunikacija, kako se spremaju vaše poruke, da li se spremaju, na koliko dugo se spremaju, tko ima pristup istima i tako dalje.

Taj problem brine sve veći broj ljudi, a za to možemo okriviti razne američke agencije koje vole gurati nos gdje im nije mjesto. Osim raznih vladinih i nevladinih agencija, tu su još i kompanije kao što su Facebook i Google koje više niti ne skrivaju da špijuniraju svoje korisnike i kupuju redom IM aplikacije što nije dobro. Nedavno je Facebook platio 19 milijardi dolara Whatsapp. Da li ta aplikacija toliko vrijedi? Čisto sumnjamo. Ali vrijede oni podaci koje će skupiti o korisnicima koji koriste aplikaciju, a to će vjerojatno unovčiti kroz koju godinu za mnogo veći iznos od spomenutih 19 milijardi dolara. Zato smo mi istražili koje aplikacije možete koristiti i koje biste trebali koristiti ako želite biti sigurniji u svoju komunikaciju. 100% sigurni nećete biti nikada ali ćete zasigurno biti sigurniji nego sa „mainstream“ aplikacijama koje koriste na stotine milijuna korisnika.

Najveći problem – privatni ključevi

Aplikacije koje ćemo mi spomenuti u ovom tekstu su samo dio aplikacija koje su vrijedne spomena. Postoji možda 15-ak aplikacija na tržištu koje koriste pravu enkripciju i teško ih je „probiti“, odnosno doći do cijele konverzacije između dvije osobe. No, prije toga moramo spomenuti razlog zašto su aplikacije danas nesigurne. Mnoge aplikacije se razbacuju pojmom „end-to-end encryption“ što je potpuno krivo. Taj pojam označava komunikaciju koja je kriptirana od točke A (odnosno, jedne osobe) do točke B (druge osobe). Neke od tih aplikacija su Skype, Blackberry messenger i slične. Međutim, kritični dio je taj što se ključevi drže na centralnom serveru preko kojeg ide komunikacija. Ako netko uspije kompromitirati server, on postaje „man in the middle“ i potpuno nadizre vašu komunikaciju i nema te enkripcije koja vam može pomoći. Što će reći da je najveći problem distribucija privatnih ključeva. Nemojte nas krivo razumjeti – ovaj sustav funkcionira dok je server u dobrim rukama, odnosno dok nitko nema pristup istome. No, svi znamo da gotovo sve kompanije imaju backdoor koji omogućava spornim agencijama da budu taj „čovjek u sredini“ koji onda možete vidjeti što god želi.

Uzalud kriptiranje podataka kada se oni bez problema dekriptiraju na serveru. Još jedan problem je pohrana podataka. Zašto se podaci čuvaju na serveru? Zašto se recimo ne obrišu kada su dostavljeni osobi kojoj su namijenjeni? Iz razloga da ih se kasnije može skenirati, pospremiti u određene „ladice“ ili jednostavno prodati podatke raznim marketing agencijama koje će vas bombardirati dosadnim reklamama, ponudama i slični. Što mislite kako je moguće da od 10 reklama koje dobijete, 8 vas zanimaju, odnosno nude nešto što vas interesira? Ne pogađaju oni to slučajno.

Još malo problema

Osim slabe sigurnosti IM aplikacija, odnosno problema sa serverima postoji još jedan problem, a to su mobilne platforme. Google i Apple, odnosno Android i iOS su mobilne platforme sa jako puno sigurnosnih propusta. Mogli bi čak reći da nije problem u samoj sigurnosti nego u raznim „backdoorovima“ koje kompanije imaju do vašeg uređaja i oni mogu prikupljati podatke na razini OS-a, a ne aplikacije i dobiti vaše podatke prije nego se kriptiraju i pošalju na centralni server aplikacije koju koristite. O tome problemu smo nedavno pisali u ovom časopisu. Kako ga riješiti? Pa postoji nekoliko načina, no to su skupi načini, odnosno razvoj tih aplikacija bi iziskivao ogroman napor i jako veliki broj sigurnosnih stručnjaka (op.a. a samim time i novaca), a zatim bi Google ili Apple promijenili svoju platformu i opet biti u boljem položaju.

Vjerujemo da je rješenje u modificiranim operativnom sustavu – barem kada govorimo o Androidu. Blackphone će biti možda i prvi pravi sigurni pametni telefon sa modificiranim Android operativnim sustavom koji će spriječiti spomenuti scenarij da se podaci prikupljaju prije nego se kriptiraju. Da li će taj telefon biti 100 posto siguran? Neće. Ali će ipak nuditi mnogo bolju sigurnost nego svi ostali telefoni na tržištu.

Heml.is

Prva aplikacija zapravo još ne postoji, no moramo ju spomenuti u ovom tekstu. Riječ je o aplikaciji Hemlis koja bi se na tržištu trebala pojaviti vrlo brzo, a iza nje stoje tvorci Pirate Baya. Barem oni koji nisu u zatvoru – Peter Sunde, Leif Hogberg i Linus Olsson. Što je Hemlis? Hemlis bi trebala biti najsigurnija IM aplikacija koja će služiti isključivo za slanje poruka, eventualno slika, no princip dostave poruka će biti malo drugačiji. Prema dostupnim informacijama komunikacija bi trebala ići od točke A do točke B potpuno kriptirano, no i dalje nema podataka o tome kako će se transportirati privatni ključ. Vjerojatno će se slati zajedno sa porukom i generirati će se u trenutku slanja poruke. No, poruka neće ostajati na centralnom serveru. Hoće jedno kratko vrijeme dok ne dobije potvrdu da je primatelj zaprimio poruku. Nakon toga se poruka briše sa servera. U slučaju ove aplikacije, centralni serveri će biti samo mjesto za privremenu pohranu poruke. Ako poruka ne bude dostavljena neko određeno vrijeme, također će se izbrisati, a vi ćete dobiti obavijest da primatelj tu poruku nikada nije primio.

Na taj način nema šanse da poruka bude zauvijek na serveru i da netko prikuplja podatke o vama ili čita te iste poruke. Treba uzeti u obzir da će oni koristiti vlastite servere za to, tako da garantiraju da im nitko neće moći pristupiti. Pošto se radi o ljudima koji se svim silama bore protiv nadzora na Internetu, moramo im vjerovati. Nadalje, Hemlis bi se trebao pojaviti samo na platformama iOS i Android, a eventualno kasnije i na Blackberryju i Windows Phoneu. To ovisi o tome koliko će aplikacija biti popularna. Aplikacija se neće naplaćivati, no postojati će neki dodaci koje ćete morati platiti ako ih želite koristiti.

Koji su to, ne znamo, no sigurni smo da će biti vrlo zanimljivi. Neki čak spominju da će omogućiti kriptiranu video komunikaciju, no vidjeti ćemo vrlo brzo. Sama aplikacija će dijelom postati i open source, odnosno moći će se razvoju priključiti svi oni koji misle da mogu pridonijeti razvoju, no nikada neće biti open source do kraja. To što je aplikacija open source ne garantira da će biti sigurna. U svakom slučaju, sve ćemo saznati na vrijeme i jedva čekamo da ju isprobamo.

Silent Phone

Aplikacija koja je definitivno broj jedan i koju morate koristiti ako se brinete za svoju sigurnost je Silent Phone. Nju je napravio Phil Zimmerman – čovjek koji je napravio PGP, te je velikim dijelom zaslužan i za Blackphone kojeg stalno spominjemo. Osim njega, na ovoj aplikaciji radilo je jako puno stručnjaka za sigurnost što garantira da je ova aplikacija fantastično napravljena i da s njom ne možete pogriješiti. Ona se zapravo sastoji od više modula, a to su modul za razgovore (VoIP), IM (dopisivanje), email (baziran na PGP-u), te videokonferencije. IM modul ima opcionalnu mogućnost „samouništenja“, odnosno možete podesiti da se određena poruka koju pošaljete sama obriše za X sekundi. Mehanizam koji ste vrlo vjerojatno vidjeli kod aplikacije Snapchat. Ova aplikacija radi isključivo na Androidu i iOS-u, a može vam zamijeniti standardne aplikacije za pozive i slanje poruka.

Sigurno vam je kroz glavu prošla misao – predobro je da bi bilo jeftino (ili besplatno). Da, ovo je servis koji se plaća na mjesečnoj bazi, no oni se baziraju na korisnicima kojima nije problem platiti uslugu i koji se stvarno brinu za svoju sigurnost. To su redom poslovni ljudi, ali i „obični“ korisnici koji ne žele da ih netko nadzire. Cijene se kreću od 100 do 250 dolara na godišnjoj razini, odnosno 10-30 dolara na mjesečnoj razini. Jeftinije je kupiti godišnju pretplatu. Sa ovom aplikacijom, odnosno najvećom pretplatom, dobijete mogućnost telefoniranja diljem svijeta besplatno i to kriptiranim kanalima tako da možete zvati bilo koji telefon bilo gdje na svijetu.

Ovu mogućnost koriste, kao što smo već spomenuli, poslovni ljudi, ali i jako puno novinara koji se nalaze u opasnim zemljama, odnosno u ratnim zonama.

No, nemojmo se zavaravati – ni Silent Phone nije 100 siguran kada zovete na „običan“ telefon odnosno ljude koji ne koriste Silent Phone. Vaša komunikacija do centralnog servera je sigurna, no od servera do drugog korisnika nije. Međutim, ako oba korisnika koriste Silent Phone, odnosno Silent Circle servis, onda je komunikacija sigurna. Kao i kod Hemlisa, ključ se generira u trenutku kada šaljete poruku ili zovete neku osobu. Ključevi ne stoje na serveru i to je veliki plus za sigurnost. Također, na taj način riješen je problem „čovjeka u sredini“ koji bi eventualno mogao presresti pozive ili poruke.

Veći dio kôda ove aplikacije je dan na Internet i pregledali su ga mnogi nezavisni stručnjaci i programeri i nije bilo nikakve zamjerke. Kôd je čist, nema sigurnosnih rupa, backdoorova i sličnih propusta. Ono što je začudilo neke je to što Silent Phone koristi ZRPT i SCIMP protokole. ZRPT je vrlo kompleksan protokol za razmjenu ključeva, dok je SCIMP protokol za prijenos poruka. Ti protokoli su zaštićeni i nemaju nikakvih sigurnosnih problema. Ako nađete sigurnosnu rupu, biti ćete bogatiji za 500.000 dolara. Toliko iznosi nagrada onome tko ukaže na sigurnosni problem.

Sve u svemu, ovo je fantastična aplikacija, ili bolje rečeno servis, no on košta. Košta svega 500-600 kuna na godišnjoj razini, no ako se bavite ozbiljnim poslom i dio tog posla obavljate putem telefona, vjerujemo da ovo i nije ogromna cifra.

Wickr

Snapchat je poznat po tome da ga koriste uglavnom teenageri željni zabave koji ga koriste u svakakvim situacijama. To je opće poznata stvar i po tome je Snapchat postao popularan. Zato danas vrijedi na desetke milijuna dolara. Možda čak i stotine. Pitanje je koliko je određenoj kompaniji ova aplikacija zanimljiva. No, postoji i Wickr koji jako podsjeća na Snapchat ali je namijenjen isključivo za razmjenu poruka ili multimedijalnog sadržaja. Prije toga ćete morati kreirati korisnički račun, s time da vam preporučujemo da koristite jaku šifru sa puno znakova. Ta šifra je ujedno i ključ s kojim se šifriraju poruke, odnosno ima veze sa šifriranjem poruke. Točne tehničke detalje ne znamo jer nisu dostupni javnosti, no princip je poznat. Kada to napravite, možete se ulogirati u aplikaciju i početi ju koristiti. Glavna stvar kod ove aplikacije je fokusiranje na samo uništavanje poruka.

Unutar aplikacije imate timer koji možete podesiti u sekundu.

Znači, ako vi stavite timer na 5 minuta, kada drugi korisnik ove aplikacije primi vašu poruku, ona će se uništiti za 5 minuta. Točnije, uništiti će se na tom telefonu, dok na serveru ne bi trebala ni biti. Navodno se poruke uništavaju na serveru kada se dostave primatelju, ali ponavljamo – informacije nisu dostupne ili su nejasne pa ne možemo sa sigurnošću tvrditi da je to tako.

Ono što je sigurno je to da ključevi nisu pohranjeni na centralnom serveru nego na krajnjim uređajima, tako da možete biti sigurni u tom dijelu. Ono što Wickr želi postići je „nulto znanje“, odnosno ne žele znati ništa. Ne žele vaše privatne informacije, ne zanima ih što je u poruci i ne zanima ih kome šaljete poruke. Oni su samo platforma preko koje kriptirane poruke idu. FBI je navodno zatražio kreatore ove aplikacije da ugrade backdoor, no oni su ih odbili, a i zbog samog mehanizma za komunikaciju dva uređaja backdoor im ne bi uopće pomogao. Tehnički je to vrlo kompleksno, no korisnici se uspoređuju i pretražuju po hash ključevima, a ne po imenu, prezimenu ili email adresi. U svakom slučaju, FBI nije dobio backdoor jer je sjedište kompanije izvan granica SAD-a i nitko ih ne može prisiliti da to ugrade.

Ono što je još interesantno kod ove aplikacije su kripto ključevi koji se koriste: AES 256, ECDH521 i RSA 4096. Spomenimo još samo da imate neke vrlo zanimljive postavke u aplikaciji kao što su mogućnost da sami odaberete algoritam koji će se koristiti kod brisanja vaših poruka (algoritam + broj prijelaza preko poruke što u konačnici daje 100-tnu sigurnost i poruka više nikada ne može biti „vraćena“), možete kreirati bijelu i crnu listu korisnika, možete vezati korisnički račun za telefon i poruka bez vašeg telefona ne može biti pročitana čak ni kada bi netko imao ključ za dekriptiranje poruke (osim ključa, svaki uređaj ima određeni hash kôd bez kojeg nije moguće otvoriti poruku) i još mnogo toga. Ovo nije aplikacija samo za „paranoidne“ korisnike, nego za sve one koji žele sigurnu i zanimljivu aplikaciju.

TextSecure

Zadnja mobilna aplikacija koju želimo spomenuti je TextSecure. Open source aplikacija razvijena u Javi, a služi kao i sve do sad – za slanje tekstualnih i multimedijalnih poruka putem Interneta. Nažalost, ovu aplikaciju mogu koristiti samo Android korisnici, dok se uopće ne spominje verzija za iPhone. Razlog su određene sigurnosne prepreke koje iPhone, odnosno iOS ima. No, pustimo iPhone na miru – dovoljno je aplikacija na App Storeu koje spomenuti korisnici mogu odabrati. TextSecure je nastao još 2010.-te godine i nudio je model pretplate kao i Silent Phone, no dvije godine kasnije se Twitter odlučio na kupovinu ove kompanije i ukinuo je taj servis. Mjesec dana nakon toga, ova aplikacija je postala open source i na njoj radi jako veliki broj programera, a kompanija koja je stajala iza TextSecure aplikacije, Whisper Systems, je ugašena. Točnije preimenovana je u Open WhisperSystems i ne nudi nikakve modele pretplate.

Što se mogućnosti tiče, one su i više nego solidne. TextSecure je u početku bio zamišljen kao zamjena za SMS poruke, odnosno trebao je zamijeniti defaultnu aplikaciju na Android uređajima. Kasnije se aplikacija malo proširila tako da imate dvije opcije – možete slati poruke putem Interneta drugim korisnicima koji koriste ovu aplikaciju (IM), ili možete bilo kojoj osobi poslati poruku preko ove aplikacije, ali će vam se tada naplatiti SMS ili MMS. Ovisi što pošaljete. To je dobra stvar je sve poruke onda imate na jednom mjestu bez obzira kome ih šaljete. No, to znači još jednu stvar – TextSecure kriptira poruke u vašem uređaju, tako da do njih nije moguće nikako doći. Mnoge aplikacije koje instalirate na Androidu će vas tražiti pristup vašim SMS i MMS porukama iz nekog razloga. S ovom aplikacijom im možete bez straha odobriti pristup jer će poruke biti kriptirane i sve što će dotična aplikacija moći pročitati je „smeće“.

Nadalje, komunikacija između dva korisnika je kriptirana od točke A do točke B i poruke ne ostaju na centralnom sustavu niti se ključevi nalaze na centralnom sustavu. Po ovim, ali i drugim dostupnim podacima, ovo je definitivno jedna od najsigurnijih aplikacija na tržištu. Ako se imalo razumijete u programiranje, slobodno pogledajte kôd aplikacije, a možete ga naći na GitHubu. Čak je moguće skinuti taj kôd, doraditi ga, dodati si nove mogućnosti i takvu aplikaciju kompajlirati, napraviti.apk i instalirati si ju na mobilni uređaj. Ne preporučujemo ako nemate iznadprosječno znanje programiranja Android aplikacija. Što još spomenuti? Koristi se AES kripto ključ sa 256 bitnom zaštitom. Svaka poruka se zasebno kriptira i dekriptira, posebno se kriptiraju poruke koje se nalaze na mobilnom uređaju, te su ugrađeni još neki dodatni sigurnosni mehanizmi kako bi se otklonio „čovjek u sredini“, kako bi se uspostavila sigurna komunikacija između dva uređaja i još mnogo toga. Svakako preporučamo ako ste Android korisnik.

Cryptocat

Osim IM aplikacija, postoji još jedna aplikacija koju moramo spomenuti, a možete ju koristiti i na mobitelu, na računalu i u web pregledniku! Da, riječ je o svestranoj aplikaciji pod nazivom Cryptocat. Riječ je o aplikaciji za dopisivanje, pri čemu se koriste sigurnosni mehanizmi i kriptirani tuneli, ali ju možete koristiti na desktop aplikaciju (Mac OS X), kao ekstenziju za web preglednik (Google Chrome, Mozilla Firefox, Apple Safari, Opera), te kao mobilnu aplikaciju na iPhoneu. Ono što odlikuje „kriptiranu mačku“ je jednostavno sučelje, iznimna sigurnost, te jednostavna upotreba što se sviđa mnogim korisnicima. I onima koji su tehnički potkovani, ali i onima koji nisu previše upućeni u svijet IT-a. U svakom slučaju, ovo je jedna vrlo sigurna i zanimljiva aplikacija.

Kako Cryptocat radi? Cryptocat koristi „Off-the-record Messaging“ (OTR) protokol za kriptiranje poruka. Za svaki razgovor se kriptira novi par ključeva koji se kasnije uništavaju i nije ih moguće naknadno koristiti za pregledavanje starijih razgovora. Svi razgovori se (navodno) brišu unutar 24 sata. Također, preporučuje se korištenje Cryptocata i Tora kako bi se u potpunosti anonimizirao Internet promet i kako se ne bi mogla otkriti lokacija, niti identitet osoba koje komuniciraju. Uskoro bi ova aplikacija trebala dobiti i light verziju za Raspberry Pi.

Ono što je svakako zanimljivo je da se Cryptocat preselio servere u Švedsku i koristi Bahnhof – servis za hostanje web stranica i servisa na kojem se nalazi i Wikileaks, te Pirate bay, a nalazi se u nuklarnom bunkeru duboko u jednoj planini. Razlog je taj što je to najsigurnija lokacija gdje niti jedna agencija nema pristupa i nitko ne može stvarati pritisak na one koji rade na Cryptocatu. Svakako pozdravljamo ovu odluku i nadamo se da će više servisa prijeći u Švedsku ili one zemlje gdje se Internet promet i serveri ne reguliraju.

U svakom slučaju, ako se želite dopisivati sa prijateljima ili jednostavno isprobati dobru IM aplikaciju koju možete koristiti dok surfate Internetom, ovo je prava stvar za vas.