Koju biste aplikaciju za slanje poruka odabrali da budete sto posto sigurni da je aplikacija kriptirana i sigurna? Svaki programer koji radi na tim aplikacijama će učiniti sve da ona bude što sigurnija i da se pazi na sigurnost i privatnost korisnika.

Ali jako je puno aplikacija, puno je propusta (op.a. najčešće nenamjernih), da je teško odabrati pravu aplikaciju, odnosno platformu kojoj je moguće vjerovati. Mi smo prošli nekoliko kriterija po kojima se mogu vrednovati te aplikacije i kako biste vi mogli odabrati onu pravu. To što svi koriste FB Messenger ili WhatsApp, ne znači da su one sigurne i dobre. No, pogledajmo na što pripaziti kod korištenja.

Kriptiranje

Praktički niti jedna (popularna) aplikacija na tržištu, a služi za slanje poruka, ne šalje vaše poruke u čistom formatu. Sve platforme/aplikacije koriste neku formu kriptiranja prije nego ju pošalju na svoje servere, kako bi spriječile neovlašteno čitanje poruka od treće strane. Ali nisu sve enkripcije jednako dobre i sigurne.

Neke aplikacije kriptiraju vaše poruke na vašem uređaju i šalju ih kriptirane na svoje servere, neke to rade “u hodu” prije spremanja u bazu podataka, dok neke drže ključeve za kriptiranje kod sebe na serverima. To znači da se s time ključem može poruka i dekriptirati i čitati kao da nije zaštićena. Kompanije to iskorištavaju za reklamiranje i prodaje podataka o korisnicima. Prvo pročitaju sadržaj poruke, analiziraju ga, a zatim poruku kriptiraju. To je radio, sada već bivši, Google Hangouts, Skype i WeChat.

To čak i nije protivno zakonima jer ste na to pristali kada ste “pročitali” EULA-u i stisnuli “Prihvaćam”, ali da su hakeri uspjeli ukrasti poruke i ključeve, mogli su svima nanijeti ogromnu štetu. Također, tko garantira da te iste kompanije vladinim agencijama i institucijama ne daju pristup kako bi mogli nadzirati komunikaciju između korisnika?


Najsigurnije platforme koriste end-to-end-encription (E2EE). Te aplikacije koriste javne ključeve za kriptiranje poruka, ali tajni ključ za dekriptiranje poruka se nalazi samo na korisnikovom uređaju.

Korisnici takvih aplikacija mogu sa servera dobiti tuđi javni ključ kako bi kriptirali poruke. Svaka takva poruka, kriptirana javnim ključem, može se dekriptirati tajnim ključem korisnika. Pitanje je uvijek tko sve ima tajni ključ. Ako je on samo kod osobe koja i treba čitati (i dekriptirati) poruke, onda je sve u redu. Čak i da hakeri dođu do podataka na serveru, sve što će vidjeti su kriptirane poruke koje neće moći dekriptirati.

Trenutačno, sve više platformi prelazi na ovakav način kriptiranja i dekriptiranja poruka. E2EE imaju Signal, WhatsApp, Wickr, Apple iMessages

Druge aplikacije, u koje spadaju Telegram i FB Messenger, također podupiru end-to-end enkripciju, ali ona nije uključena po defaultu. Morate to ručno napraviti za svaki individualni razgovor. Skype je baš nedavno dodao opciju “Private Conversation” koja omogućuje end-to-end kriptirani razgovor bez da u njega mogu “upasti” treće osobe.

Brisanje poruka

Iako vas end-to-end enkripcija štiti od trećih osoba i od prisluškivanja, to nema baš puno smisla ako vaš uređaj padne u ruke krive osobe. Drugi sigurnosni faktor koji bi aplikacije trebale imati je mogućnost da obrišete poruke nakon što su one poslane osobi kojoj trebaju biti poslane. Brisanje m poruka se osiguravate da ako uređaj postane kompromitiran, da se osjetljivi podaci/poruke neće moći pročitati.

Telegram, Signal i Skype omogućuju korisniku da obriše poruke za sebe i za osobu koja je dobila poruku. Wickr također ima “recall message” opciju koja briše poruku kod svih onih koji su involvirani u razgovor. A sada je i WhatsApp dodao opciju “delete for everyone”, Ali možete obrisati poruke samo unutar 13 sati od trenutka slanja.
iMessage nema mogućnost brisanja pojedinih poruka. Možete obrisati cijeli chat, a kada to napravite, on se briše i na uređaju osobe s kojom ste taj chat imali. Nažalost, ne obriše se sa svih uređaja koji dijele isti AppleID.

Još bi bolje bilo kada bi aplikacije imale “samo-uništavajuće” poruke. Sličnu stvar ima Snapchat. Kada primatelj pročita poruku, u određenom vremenskom intervalu je dostupna, i nakon toga se briše. Tu funkcionalnost, osim Snapchata, ima i Viber u privatnom chatu, kao i Signal, samo što se tamo zove “disappearing messages”. Vi odaberete vrijeme u kojem je poruka dostupna (npr. 1 min od trenutka čitanja), te se nakon što primatelj primi poruku, onda briše za X sekundi ili minuta. I to sa svih uređaja na kojima je ta poruka dostupna.

Wickr ima tu opciju i zove se “Burn-on-read”. Telegram i FB Messenger također imaju tu opciju, ali samo onda kada se radi o secret chatu i kada je upaljena end-to-end enkripcija. WhatsApp zasada nema tu opciju, ali se nadamo da će ju dobiti.
Naravno, nitko ne sprječava osobu koja je primila poruku da napravi screenshot ekrana. To što će se poruka obrisati, ne znači ništa kada osoba ima sliku poruke u svom telefonu. Ovaj sustav nije savršen, ali ga je korisno imati.

Metadata

Zajedno sa sadržajem poruke dolazi i metadata. To su informacije koje dolaze s porukom a imaju podatke o vašim aktivnostima. One uključuju podatke o pošiljatelju, o primatelju, vrijeme slanja, IP adresu, vrijeme logina, uređaj s kojeg je poruka poslana, dužina poziva (ako se radi o glasovnom pozivu) i slično. Mnogo toga po čemu vas se može jedinstveno identificirati.

U krivim rukama, i metadata može biti opasna. Iz nje se može iščitati s kim komunicirate, kada, koliko često, s kojih uređaja, vaša geografska lokacija …
Sve popularne aplikacije prikupljaju te podatke o svojim korisnicima. Ali Signal ima najmanje podataka od svih aplikacija. Oni samo prikupljaju vaš broj mobitela i vrijeme kada ste se logirali u aplikaciju. Točnije,. Samo datum, bez sata, minuta i poruka. U tom segmentu, Signal nema konkurenta i najbolja je i najsigurnija aplikacija.

Transparentnost

Osim “obećanja” programera da je aplikacija sigurna, nezavisni stručnjaci mogu verificirati koliko je aplikacija sigurna ako imaju pristup istoj. Točnije, ako je aplikacija open-source. To znači da bilo tko može pristupiti napisanom kodu i vidjeti kako aplikacija funkcionira. Takve aplikacije su generalno sigurnije jer prolaze mnogo reviewova od strane stručnjaka i drugih programera, pa se sigurnosne rupe ili mane, brzo otkriju.
Signal je open-source aplikacija i moguće ju je vidjeti na GitHubu. Istu stvar su napravili i Wickr, te Telegram, i još su omogućili API kako bi se druge aplikacije mogle “zakačiti” na dotične aplikacije.WhatsApp i Messenger nisu open source, ali koriste Signalov open-source protokol za kriptiranje poruka.
S druge strane spektra imamo iMessages od Appela koji je potpuno zatvoren u Appleov ekosustav i ne znamo što se događa kod njih i da li aplikacija imam kakav backdoor.

Nijedna aplikacija nije savršena

Da sumiramo, kada ocjenjujete aplikacije koje ćete koristiti, zapitajte se ova pitanja:

  • Da li aplikacija koristi end-to-end enkripciju?
  • Da li omogućava brisanje poruka svim sudionicima u razgovoru?
  • Koliko metapodataka skuplja o vama?
  • Da li je kod aplikacije open-source i mogu li ga sigurnosni stručnjaci pregledati?

U ovisnosti o tim odgovorima moći ćete vidjeti koliko je aplikacija stvarno sigurna za korištenje.
Ali da budemo jasni – ne postoji aplikacija koja je sto posto sigurna i savršeno napisana. Čak i najsigurnije platforme imaju svoje probleme i ne mogu vas zaštititi od vas samih.
Također, osim što biste trebali koristiti sigurne aplikacije, morate i sami biti svjesni da ste odgovorni za ono što šaljete i da ako netko napravi screenshot vaših poruka, ima dokaz da ste vi te poruke i poslali.

 

Piše: B.P.

1 komentar

  1. Zanimljivo.
    Uz to sve uvijek sam se pitao ima li smisla na mobitelima izvoditi enkripciju poruka ili razgovora ako treća strana ima pristup vašoj virtualnoj tipkovnici ili mikrofonu. Mislim da je jednostavnije nadzirati što tipkamo nego razbijati enkripciju. Malo sam otišao u ZF.

Komentiraj

Please enter your comment!
Please enter your name here