B2B ENTSERVICES: Действительно ли Whatsapp самый защищенный мессенджер ?

Смешно, когда домохозяйки и люди, в принципе далекие от технологий (шифрования в том числе), погуглив на своих компьютерах или ноунеймфонах, деловито заявляют:

«Я пользуюсь WhatsApp. Все шифрует и удобно по номеру телефона найти».

Набор слов, поток мыслей и пересказанный рекламный слоган.

Прежде чем немного углубиться в суть вопроса, давайте вспомним одну интересную статью, опубликованную здесь.

Как-то не вяжется с тем, что говорят домохозяйки, и прочие индивиды, приходящие в ужас от того, что их пароль к интернет-банкам и социальным сетям, получаемый в текстовых сообщениях, также может быть прочитан. Неправда ли? Упомянутая статья актуальна и по сей день, несмотря на многочисленные заявления о том, что все теперь безопасно в предмете комментария.

Итак, регистрация у WhatsApp происходит по смс -пользователю приходит пароль, после чего он автоматически подключается к серверам мессенджера. Мессенджер создает пару ключей, и отправляет их по открытому каналу пользователю, с кем будете переписываться. В обратную сторону присылается тоже ключ. Это примерно и есть end-to-end шифрование. То есть все сообщения шифруются на вашей стороне с помощью самого приложения. Очевидна уязвимость на стадии регистрации и активации вашего аккаунта на устройстве. В случае перехвата сообщения, все остальные способы шифрования теряют смысл. Привет, SS7, который можно перехватить «в воздухе».

Как работает WhatsApp

whatsapp-b2b

Система шифрования данных пользователей WhatsApp (шифрование открытым ключом).

Для того, чтобы отправить сообщение пользователю В, пользователь А запрашивает у сервера мессенджера открытый ключ для пользователя В. Затем пользователь А использует этот открытый ключ для шифрования сообщения. После этого пользователь B использует личный ключ, доступный только на его устройстве, для расшифровки полученного сообщения.

А вот что описано в самой схеме работы мессенджера.

Для того, чтобы общаться с другими пользователями, клиенту WhatsApp необходимо установить зашифрованный сеанс, после которого новый сеанс не создается пока приложение, например, не будет переустановлено или не сменится устройство.

Первое что следует принять во внимание при реализации схемы с открытым ключом -это возможность подмены публичного ключа третьей стороной. Злоумышленник, располагающий возможностью модифицировать трафик, способен перехватить публичный ключ пользователя Маша и подменить его на свой собственный публичный ключ. Это приводит к тому, что пользователь Петя, при попытке отправить зашифрованное сообщение Маше, на самом деле зашифрует его ключом атакующего, который сможет расшифровать и прочитать секретные данные. Привет, атака «MiM».

Регистрация в BBM происходит иначе. Вы регистрируетесь с помощью шифрования, которое используется, например, в банковских клиентах (будь то через сайт или программу). А вот способ шифрования сообщений в BBM имеет несколько уровней. Нижний уровень защиты -TLS (в модели OSI – 3 уровень), что позволяет изначально зашифровать данные на нижнем, транспортном уровне. End-to-end шифрование здесь есть изначально. Так же, для подключения используется сертификат BlackBerry, который устанавливается в каждый смартфон на этапе его производства. Подделать сертификат подключения к серверу, так же не представляется возможным, в отличие WhatsApp, который использует сертификаты ОС (уже были случаи компрометации корневых сертификатов). Вот только с BlackBerry здесь ничего не поделать. В отличие от того же WhatsApp на устройстве хранятся сертификаты, а не ключи «на сессии».

BlackBerry 10, iOS, Android и Windows Phone устройства посылают все данные друг другу через инфраструктуру BlackBerry посредством соединения TLS. В некоторых сценариях, BlackBerry OS устройства также передают данные таким способом. Соединение TLS между устройством и инфраструктурой BlackBerry предназначено для лишь для защиты BBM сообщений от перехвата или манипуляции со стороны злоумышленника, в случае проникновения его в канал обмена данными. Напомним, что трафик может быть перехвачен на сети провайдера, но без смартфона (физически) его расшифровать нельзя.

На iOS и Android устройствах, BBM использует SQLCipher для шифрования своей базы данных, запрашивая в момент установки у устройства iOS или Android блок случайных данных (48 байт), чтобы использовать в качестве ключевой фразы. Эта фраза является случайной и уникальной для каждого приложения BBM, и используется каждый раз, когда приложение BBM запускается на устройстве или начинается диалог между пользователями. BBM шифрует ключевую фразу и сохраняет его в хранилище ключей устройства. То есть речи о ключе, который хранится постоянно, нет. Генерируется фраза случайным образом. Далее уже начинается обмен сообщениями.  База данных BBM хранится также в зашифрованном виде.

Платное шифрование, по мнению горе-исследователей.

 

whatsapp-b2b1


BBM Protected
, о котором горе-исследователи упоминают как о «платном шифровании» лишь добавляет дополнительный алгоритм FIPS 140-2 в работу существующего на данный момент в BBM, шифрования. Сообщения, отправленные между двумя пользователями в BBM Protected защищены с помощью ключа шифрования, уникального для этих двух пользователей. Этот ключ шифрования генерируется в инфраструктуре предприятия, с развернутым BES-сервером. Серверы BlackBerry не участвуют в этом обмене ключами между двумя устройствами. BBM Protected позволяет обеспечивать защиту передаваемой информации даже если пользователи предприятия общаются с пользователями, находящимися вне его корпоративной сети или подключены к другим BES-серверам. Это лишь краткое объяснение того, как работает BBM.

Примечательно, что «исследователи» использовали довольно странные критерии оценки неприкосновенности переписки в мессенджерах. В частности, в BBM и том же Telegram. Складывается впечатление, что горе-исследователи пользуются исключительно WhatsApp и iMessage, а упомянутые выше мессенджеры для них нечто недоступное для понимания или использования.

Рецепты салатов и сказ «О том, как я прождала его в пятницу вечером», безусловно требуют стойкого шифрования именно WhatsApp. Кстати, а откуда в файловой системе от «навороченного» мессенджера появляется папка, в которой все картинки хранятся? Да-да, те самые, которые бонусом к рецептам перед «тем пятничным вечером» отправлялись. Пользователь вряд ли вообще задумается о том, что в его 100500-ядерном-мультимедиа-комбайне, живущем на одной батарее порядка 4-5 часов, должна быть такая функция, как шифрование (на уровне операционной системы или в качестве настройки, как минимум). Хотя, скорее всего, у подобной категории пользователей это «This is only for rooted or jailbreaked devices.»

В смартфонах BlackBerry все шифрование происходит на уровне системы. В BlackBerry Android за сохранность данных можно вообще не беспокоиться — вся система шифруется алгоритмом FIPS-140-2 (см. спецификации PRIV). Впрочем, это и иные устройства, для иных, осознающих важность неприкосновенности частной жизни и конфиденциальности корпоративной информации, пользователей. Поэтому разговоры об этом оставим для дебатов между домохозяйками с выше упомянутыми многоядерными комбайнами за Х9990 руб. купленными в черную пятницу или серый четверг. Перед этим рекомендуем все же ознакомиться с исследованием, текст в заключении которого, говорит сам за себя:

Мы не проводили общую оценку безопасности различных приложений обмена сообщениями. Amnesty International рекомендует журналистам, активистам, правозащитникам и другим лицам , чьи заявления особенно могут быть подвержены критике, проконсультироваться у экспертов по вопросам информационной безопасности. [ Здесь еще обязательно необходимо добавить «…домохозяйкам, безмозглым копи-пастерам и тем придуркам, которые это вообще делали».]

Мы также не распределяли компании по общей эффективности в области прав человека, или их подходу к конфиденциальности во всех своих продуктах и услугах.

[Сами не поняли, что они этим хотели сказать].

Каким мессенджером пользоваться? Это решать все же Вам. Отношение к самим себе выражается в том, насколько серьезно конфиденциальность частной жизни и сохранность корпоративной информации осознается вами и вы следуете этим принципам.

Если вам абсолютно все равно, сколько приложений для общения установить на ваше мобильное устройство, с кем вам действительно важна надежная связь, каким способом передать корпоративную информацию -вам неважно с кем вы на связи и каковы последствия  утечек информации, от которой может зависеть не просто ваша зарплата, а будущее в целом- вам неважны вы сами, ваше благополучие и стабильность будущего. Вашего будущего !!!

Источник: Бизнес-смартфоны BlackBerry. B2B ENTSERVICES

Share Button

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *