NINJA: polski komunikator aspirujący do miana „bezpiecznego”. Czy słusznie?

NINJA: polski komunikator aspirujący do miana „bezpiecznego”. Czy słusznie?

NINJA: polski komunikator aspirujący do miana „bezpiecznego”. Czy słusznie?
Redakcja
29.08.2014 17:50, aktualizacja: 31.08.2014 13:19

W czasach gdy trudno mówić o poszanowaniu prywatności i różnych doniesieniach dotyczących szpiegowania, jak chociażby tych związanych z działalnością NSA, każda usługa zwracająca na nią uwagę wydaje się na wagę złota. Niektóre wypadają lepiej, inne z kolei gorzej. Część może być nastawiona na oszukiwanie użytkowników, część jest natomiast stworzona nie do końca tak, jak powinna. Całkiem interesujący wydaje się webowy komunikator NINJA przygotowany przez polską firmę EC2.

Jeżeli nazwa tej firmy nic wam nie mówi, to producent uspokaja tłumacząc, że istnieje na rynku już od 2006 roku i zajmuje się tworzeniem różnych rozwiązań informatycznych. W jej portfolio znaleźć możemy projekty związane z administracją publiczną, także takie związane z obiegiem wrażliwych danych i dokumentów. Firma ta postanowiła swoją wiedzę wykorzystać do budowy usługi-komunikatora, którym miały na celu zadbanie o bezpieczeństwo użytkownika. Aby nie przywiązywać użytkowników do tylko jednej platformy, zdecydowano się na wersję webową, odpowiednią stronę, na której użytkownicy mogą tworzyć bezpieczne czaty.

Okno główne czatu jest nad wyraz minimalistyczne
Okno główne czatu jest nad wyraz minimalistyczne

Musimy przyznać, że forma w jakiej poinformowano nas o istnieniu usługi, a także sama witryna nie zachęcają do skorzystania z niej. Widać tu dobitnie prace wykonywane na szybko, bez dbałości o szczegóły i wodotryski graficzne. Oczywiście w przypadku komunikatora, który ma zapewnić nam bezpieczeństwo nie jest to problemem, budzi jednak mieszane uczucia, w których nie ma miejsce na zaufanie. Według przesyłanych nagłówków, serwer komunikatora korzysta z rozwiązań firmy Microsoft tj. serwera www Microsoft-IIS/8.5, a także ASP.NET 4.0. Oczywiście nie musi tak być naprawdę, bo nagłówki można zmienić. Producent chwali się tym, że bezpieczeństwo i poufność rozmów zapewniają połączenia SSL/TLS 1.2 szyfrowane kluczem 128-bitowym. Czy to aby nie za mało?

Strona umożliwia założenie nowego czatu (wymagana nazwa i nick otwierającego), lub dołączenie do istniejącej rozmowy. Sam czat jest równie spartański co strona główna. Ciemne tło, lista osób, lista wiadomości i możliwość uploadu plików do 4 MB. Jeżeli zechcemy zaprosić inną osobę, otrzymamy specjalny link i PIN dostępowy, który musimy jej przekazać (innym kanałem, pewnie już niezabezpieczonym). Znajdziemy tu także wskaźnik „poziomu bezpieczeństwa” w formie podobnej do sygnalizacji świetlnej. Oznacza on nic innego, jak nieuprawnione próby wejścia na czat. Po pierwszej takiej próbie zapala się żółte oznaczenie, po drugiej czerwone, które sugeruje, że czat może już nie być bezpieczny i zalecane jest rozłączenie się. Proste, ale czy tak naprawdę cokolwiek to nam mówi? Czat według producenta może być używany nie tylko na komputerach, ale także na przeglądarkach smartfonów czy tabletów. Spróbowaliśmy i efekty nie były najlepsze: strona wyraźnie nie jest dostosowana do tego typu urządzeń. Nie pomógł spory ekran 5,2”, ani nowoczesna przeglądarka Chrome, która dobrze wspiera technologie webowe. Na szczęście producent zapowiedział już, że w drodze są aplikacje na Androida i iOS.

Korzystanie z czatu na urządzeniach mobilnych nie należy do najprzyjemniejszych
Korzystanie z czatu na urządzeniach mobilnych nie należy do najprzyjemniejszych

Niestety w informacjach przekazywanych przez firmę nie ma słowa o faktycznym zabezpieczaniu wiadomości. Jeżeli ktoś będzie w stanie przełamać zabezpieczania kanału szyfrowanego, zyska dostęp do przesyłanych informacji. Producent deklaruje, że nie zapisuje na serwerze żadnych danych, wszystkie niezbędne dane sesji są przechowywane w pamięci RAM i automatycznie usuwane wraz z zakończeniem rozmowy. Treści rozmów mają być z kolei przesyłane tylko pomiędzy użytkownikami, bez zapisywania ich na serwerze. Nie możemy mieć jednak takiej pewności, bo jako użytkownicy końcowi nie mamy pojęcia, co siedzi w środku tej „czarnej skrzynki”. Publicznie dostępne dane zdradzają jedynie stan konfiguracji samego szyfrowanego kanału – tutaj wszystko wygląda dobrze, bo firma zabezpieczyła się na wypadek ataków typu BEAST, a certyfikat nie jest podatny na lukę heartbleed. Mimo wszystko, przy aktualnym stanie tego projektu ciężko jest go nam polecić.

Producent informuje, że w sieci brakuje rozwiązań, które zapewniają rozmówcom 100% poufności, ratunkiem ma być Ninja. To prawda, przynajmniej jeżeli chodzi o pierwszą część zdania. Faktycznie nie istnieje w 100% bezpieczne rozwiązanie, bo bezpieczeństwo jako takie to stan „płynny” i zależny od setek czynników. Istnieją jednak rozwiązania, które są w stanie zapewnić odpowiedni poziom bezpieczeństwa oferując wygodę znacznie wyższą, niż to co oferuje nam firma EC2. W przypadku wielu komunikatorów możemy bowiem wykorzystać protokół kryptograficzny OTR, który zabezpieczany nasze rozmowy dodatkowo, pomimo szyfrowanego kanału. Przy jego zastosowaniu staną się one nieczytelne także dla administratorów np. serwerów XMPP, a o to właśnie chodzi w poufności informacji. Projekt EC2 niestety nas do siebie nie przekonuje.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (12)