r   e   k   l   a   m   a
r   e   k   l   a   m   a

Czeczeńscy bojownicy namierzeni przez WhatsAppa. Jak zaufać własnościowym komunikatorom?

Strona główna AktualnościOPROGRAMOWANIE

O tym, że nie należy ufać komunikatorowi WhatsApp przekonywał w zeszłym roku urząd bezpieczeństwa danych niemieckiego kraju związkowego Szlezwik-Holsztyn. Jak wiadomo z ujawnionych ostatnio akt „afery taśmowej”, zaufali mu podejrzani o zakładanie podsłuchów w restauracji „Sowa & Przyjaciele”. Zrobili to ostatnio też czeczeńscy bojownicy, przygotowujący zamach na terenie Belgii – i właśnie to ten komunikator przyczynił się do ich wpadki. Jak więc to jest z tym bezpieczeństwem WhatsAppa?

Oficjalnie wiadmo jest niewiele. Przedstawiciele belgijskich organów ścigania poinformowali o aresztowaniu wpierw dwóch Czeczenów, po którym doszło do zatrzymania jeszcze 16 osób. Według przedstawionych przez BBC i Bloomberga raportów, zatrzymani mężczyźni byli powiązani z syryjskim Frontem al-Nusry oraz Islamskim Emiratem Kaukazu. Ich namierzenie stało się możliwe dzięki współpracy ze służbami wywiadowczymi USA, monitorującymi komunikację prowadzoną przez WhatsAppa.

Zapytani przez zachodnie media rzecznicy WhatsAppa i Facebooka (który kupił ten komunikator w październiku zeszłego roku) odmówili komentarza w tej sprawie. A co my powinniśmy o tym wszystkim myśleć? Na pewno należy pogratulować służbom Belgii i USA powstrzymania islamskich bojowników. Należy jednak też zastanowić się, czy oferowane przez WhatsApp zabezpieczenia nie służą tylko celom marketingowym.

r   e   k   l   a   m   a

W listopadzie zeszłego roku we WhatsAppie zaimplementowano bezpieczny protokół szyfrowania end-to-end TextSecure, opracowany przez znanego eksperta od bezpieczeństwa, Moxiego Marlinspike'a. Pozwala on na zmienianie par kluczy szyfrujących dla każdej wiadomości, znacząco utrudniając odczytanie treści. Nie wiemy, czy w komunikacji przez WhatsAppa TextSecure było wykorzystywane – protokół dostępny jest jedynie w wersji komunikatora na Androida, nie działa na iOS-ie, nie pozwala też jeszcze na zabezpieczenie komunikacji grupowej czy przesyłania obrazów.

Solidną analizę działania WhatsAppa przygotował redaktor niemieckiego serwisu heise.de, Fabian Scherschel. Jako że komunikator jest zamkniętym, własnościowym rozwiązaniem, śledzono ruch sieciowy między smartfonem a serwerami WhatsAppa poprzez atak man-in-the-middle i skaner Wireshark, odczytując następnie przyjęte wiadomości za pomocą biblioteki Yowsup (dzięki której powstały nieoficjalne klienty WhatsAppa dla BlackBerry OS-a i Nokii N9).

Potwierdziło się, że komunikator wciąż korzysta z przestarzałego już (i zakazanego w połączeniach TLS) szyfru strumieniowego RC4 do zabezpieczenia wiadomości na ich drodze do serwera. Aplikacja korzysta z tego samego klucza do zabezpieczenia ruchu zarówno przychodzącego jak i wychodzącego – klucz wywiedziony jest z hasła użytkownika. Choć w założeniu treść wiadomości może zostać więc odczytana, trudno zrobić to na masową skalę, poprzez śledzenie ruchu sieciowego np. w punkcie wymiany. Hurtowe deszyfrowanie wiadomości musiałoby się odbywać więc na samych serwerach, przynajmniej jeśli nie jest jeszcze wykorzystywane szyfrowanie end-to-end.

Z przeprowadzonych przez heise.de eksperymentów potwierdziło się jednak, że dane wychodzące ze smartfonów androidowych są zaszyfrowane, podczas gdy wiadomości wychodzące z urządzeń Apple to jawny tekst. Nie ma też żadnych dowodów na to, że te same dane opuszczają androidowe smartfrony w postaci niezaszyfrowanej. Czy wszystko więc jest w porządku? Niekoniecznie. Wiadomo, że szyfrowanie end-to-end może zostać przez komunikator wyłączone w sposób niezauważalny dla użytkownika, tak jest np. w wypadku wysłania wiadomości z telefonu z Androidem na iPhone'a. Fabian Scherschel zauważa więc słusznie, że nie możemy być pewni tego, że szyfrowanie takie nie jest wyłączane w innych wypadkach, np. na żądanie służb, czy też gdy komunikator uruchamiany jest na terenie określonego kraju. WhatsApp może w każdej chwili wyłączyć szyfrowanie end-to-end – i nic na to nie poradzimy.

Sam Moxie Marlinspike odniósł się już do tych informacji, twierdząc, że nie ma w tym nic niezwykłego – partnerstwo jego firmy z WhatsAppem nie oznacza ukończenia prac, a plany wdrożenia TextSecure do komunikatora zostały przedstawione publicznie i wszystko, co redakcja heise.de zaobserwowała, jest zgodne z tymi planami. Wprowadzenie zmian dla setek milionów użytkowników na wielu różnych platformach musi zająć trochę czasu, muszą być one wprowadzane krok po kroku. Na końcu dopiero pojawią się zmiany w interfejsie, dzięki którym mamy wiedzieć, czy szyfrowanie end-to-end faktycznie działa.

Trudno jednak w tym wypadku ze słynnym hakerem się zgodzić. W wypadku własnościowego komunikatora nigdy nie będziemy mogli być pewni, czy wyświetlana informacja o aktywnym szyfrowaniu jest zgodna ze stanem faktycznym. Osoby potrzebujące gwarancji poufnej komunikacji nie mogą po prostu ufać WhatsAppowi, ani żadnemu innemu własnościowemu narzędziu – nawet jeśli stosowałoby najbardziej zaawansowane mechanizmy szyfrowania i ukrywania swojego ruchu sieciowego.

Warto też przypomnieć, że nawet jeśli komunikacja byłaby zaszyfrowana, to korzystający z centralnego serwera system podatny jest na analizę metadanych (i być może właśnie w ten sposób zlokalizowano czeczeńskich bojowników). Wykorzystanie narzędzi do analizy Big Data może ujawnić powiązania pomiędzy użytkownikami, posłużyć do szacowania poziomu ryzyka i skierowania uwagi śledczych ku konkretnym osobom spośród tych setek milionów korzystających z ogromnie popularnej aplikacji.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.