II.

Przesyłanie wiadomości i szyfrowanie typu end-to-end

Niestety standardy dla sieci komórkowych wciąż dopuszczają naprawdę  słabe algorytmy szyfrowania i nie można ich uznać za naprawdę bezpieczne. Komunikacja za pomocą SMS-ów oznacza na przykład, że hakerzy mogą dość łatwo złamać szyfrowanie i mogą być w stanie odczytać Twoje wiadomości. W sieciach komórkowych ruch jest zazwyczaj szyfrowany tylko podczas przesyłania z telefonu do stacji bazowej, gdzie szyfrowanie jest odszyfrowywane, a wiadomość jest następnie przesyłana w postaci jawnej.

Dwa telefony wysyłające wiadomości przez bezpieczny tunel end-to-end
Dwa telefony wysyłające wiadomości przez bezpieczny tunel end-to-end

Coraz więcej aplikacji obsługuje obecnie szyfrowanie typu end-to-end, co oznacza, że po zaszyfrowaniu ruchu na komputerze (lub telefonie) informacja pozostaje zaszyfrowana do momentu odebrania i odszyfrowania wiadomości przez odbiorcę. Jeśli szyfrowanie zostało wykonane w sposób bezpieczny, osoby postronne nie mogą odszyfrować wiadomości bez klucza, który znajduje się tylko w komputerze odbiorcy. Aby napastnik mógł odszyfrować wiadomość, musiałby włamać się do Twojego komputera lub komputera odbiorcy, aby móc monitorować komunikację. Biorąc pod uwagę przykłady kryptografii z poprzedniego rozdziału, jeśli szyfrowanie jest bezpieczne, a klucz jest utrzymywany w tajemnicy, tylko adresaci mogą odszyfrować wiadomości.

Przykłady aplikacji komunikacyjnych wykorzystujących szyfrowanie end-to-end obejmują:

  • Signal

  • Telegram

  • WhatsApp

  • Facebook Messenger

Z tych aplikacji Signal wykorzystuje rozwiązania bazujące na otwartym dostępie, co oznacza, że każdy może je zweryfikować (przeciwieństwo bezpieczeństwa przez ukrycie). Algorytmy używane przez aplikację Signal są generalnie uważane za bezpieczne i zostały poddane wielu badaniom. Korzyścią z otwartego źródła i zweryfikowanej implementacji jest to, że raz udowodnione bezpieczeństwo może być wykorzystane przez innych. Protokół aplikacji Signal jest na przykład używany również przez aplikację WhatsApp.

Note

Ze względu na sposób, w jaki używane są grupy WhatsApp, członkowie dodawani do istniejącej grupy nie są zabezpieczeni za pomocą szyfrowania end-to-end i istnieje możliwość ich złamania przez atakującego, który posiada dostęp do serwerów WhatsApp.

Telegram natomiast zrobił to, co wiele osób uważa za łamanie pierwszej zasady szyfrowania (nie Twórz własnego sposobu szyfrowania) i stworzył swój własny protokół. Protokół ten spotkał się z dużą krytyką, a niektórzy badacze uważają go za złamany. Znaleziono już pewne luki w protokole. Znane luki zostały naprawione, ale niezależnie od tego, niektórzy nadal uważają, że należy unikać polegania na tajności implementacji kryptograficznej aplikacji Telegram. Aktualnie w implementacji kryptograficznej aplikacji Telegram nie występują żadne znane luki.

Facebook Messenger posiada tryb zwany tajnymi rozmowami, który jest szyfrowany w trybie end-to-end. Jednakże jest to opcja dobrowolna, a nie domyślna. Czaty grupowe nie są szyfrowane metodą end-to-end i nie można uznać ich za bezpieczne.

Jeśli od aplikacji do przesyłania wiadomości wymagasz prywatności, obecnie najbezpieczniejszymi alternatywami wydają się być Signal lub, z pewnymi zastrzeżeniami, WhatsApp. Wiadomości SMS nie powinny być używane do żadnej poufnej komunikacji.

Note

Dlaczego należy korzystać z bezpiecznych sposobów wysyłania wiadomości?

Być może zastanawiasz się, po co w ogóle zawracać sobie głowę ochroną komunikacji, skoro nie robisz nic nielegalnego. Zastanów się jednak przez chwilę nad treścią swojej komunikacji. Podczas gdy większość informacji może nie być poufna, mogą znajdować się w niej elementy, które po połączeniu mogą dać napastnikowi wystarczająco dużo informacji, aby dokonać kradzieży tożsamości lub nawet włamać się na Twoje konta.

Przykłady danych, które możesz ujawnić to m.in:

  • informacje bankowe

  • numery kart kredytowych

  • kombinacje adresu e-mail i hasła

  • numery ubezpieczeń społecznych

  • adresy

  • numery telefonów

  • odpowiedzi na pytania zabezpieczające, którymi zabezpieczyłeś/aś swoje konta

  • pliki cookie, dzięki którym atakujący może wykraść Twoją sesję i uzyskać dostęp do Twojego konta.

Powyższa lista zawiera elementy, które możesz możesz sam(a) po sobie zostawić, ale warto również zastanowić się nad ilością informacji, które są gromadzone przez Twoje urządzenia. Mogą to być takie szczegóły jak współrzędne GPS, sposób korzystania z aplikacji, czas aktywności i dane zdrowotne, takie jak tętno. Na podstawie tych informacji napastnik może stworzyć całkiem kompletny obraz Twojego codziennego życia, od Twojej lokalizacji domowej do miejsc, które często odwiedzasz, ludzi, z którymi się spotykasz, gdzie możesz pracować, czy masz jakieś problemy zdrowotne i tak dalej.

Przypuszcza się, że niektóre kraje monitorują komunikację swoich obywateli, aby kontrolować przepływ informacji i monitorować dysydentów. W niektórych z tych krajów szyfrowanie typu end-to-end może być nawet zabronione lub rządy mogą nakazać wprowadzenie do technologii backdoorów lub słabych punktów, które umożliwią im złamanie szyfrowania i poufności wiadomości. Aby określić, czy stanowi to dla Ciebie czynnik ryzyka, należy zapoznać się z przepisami prawa kraju, w którym przebywasz lub z którego potencjalnie będziesz przesyłać/odbierać dane.

Note

Dobre i złe praktyki w zakresie bezpieczeństwa:

Dobre praktyki

  • Upewnij się, że korzystasz z szyfrowanych połączeń, np. sprawdź, czy w przeglądarce widoczna jest ikona kłódki.

  • Zastanów się, gdzie używasz karty kredytowej: czy strona jest godna zaufania?

  • Zwracaj uwagę na to, jakie dane ujawniają Twoje aplikacje.

Złe praktyki, których należy unikać

  • Nie używaj pytań bezpieczeństwa, są one naprawdę łatwe do odkrycia.

  • Nie pozwól, aby aplikacje nieświadomie Cię śledziły, a jeśli aplikacja na to pozwala, lepiej ustawić udostępnianie danych jako wyłączone.

  • Nie ujawniaj żadnych poufnych informacji osobistych lub danych w wiadomościach SMS, ponieważ nie są one bezpieczne.

Next section
III. Rodzaje ataków hakerskich