Защо трябва да спрете да използвате WhatsApp, докато не промените тази критична настройка
WhatsApp е лидер в света на съобщенията – с повече от два милиарда потребители, които сега изпращат 100 милиарда съобщения всеки ден. Платформата, собственост на Facebook, популяризира идеята, че защитените съобщения могат да бъдат прости и универсални. Но колкото и добра да е тази сигурност, тя не е достатъчна – и тази седмица видяхме новини, които трябва да послужат като сериозно предупреждение, че трябва да направите още нещо, за да защитите акаунта си в WhatsApp.
Всеки, който чете тази статия, вероятно знае, че трябва да използвате криптирани от край до край съобщения по подразбиране. Ако не го направите, вашето съдържание – всички тези съобщения, снимки, видеоклипове, споделени финансови и медицински данни – е уязвимо за прихващане. Но криптирането от край до край е само половината от историята. Той защитава вашите данни, докато пътуват към и от вашето устройство. Предотвратява прихващане „по въздуха“, мрежа или сървър. Но след като тези данни бъдат получени на устройство, тези защити приключват.
Тази седмица имаше три ярки напомняния за това. Първо, заглавия, които предполагат, че изключително защитеният конкурент на WhatsApp Signal, чийто протокол се използва от самия WhatsApp, е бил хакнат. Тези заглавия бяха предизвикани от израелска фирма за сигурност, която обяви „ново решение за дешифриране на приложението Signal“. Както съобщава един вестник, компанията твърди, че „нейната технология вече може да разбие Signal, считано за най-криптираното приложение и често използвано от журналистите за комуникация с източници“.
Второ, имаше плашеща, макар и скрита странична лента към множеството антитръстови съдебни дела, които сега валят във Facebook. Този, в Тексас, твърди, че Facebook и Google са сготвили „закулисна сделка“, за да позволят на Google достъп до резервни копия на WhatsApp в облака на Google. Очакваме подробности, за да видим дали тези твърдения са толкова тревожни, колкото изглеждат. Какъвто и да е резултатът обаче, той хвърля светлина върху един наистина сериозен проблем и още една причина, поради която потребителите на WhatsApp трябва да променят настройките си.
И трето, голямото. Хакването на SolarWinds на американски правителствени и комерсиални сайтове, най-голямата история за киберсигурност през последните години, разбра за миг защо криптирането от край до край е толкова необходимо. Никой загрижен за сигурността потребител на такива платформи не трябва да се тревожи, че техните изпратени данни са били компрометирани на нечии сървъри, поне не докато са пътували от подател до получател. Нямаше ключове за задни вратички, които биха могли да бъдат откраднати дълбоко в цифровия трезор на агенцията за сигурност.
Какво се е случило с тази информация, след като е достигнала крайната си точка обаче, това е друга история. Това е проблемът тук. Компромис в крайната точка.
Но нека започнем с тези твърдения, че криптирането на шатрите на Signal – и, косвено, на WhatsApp – е „разбито“. Наистина ли е така? Всъщност не. Както фенът на Signal Едуард Сноудън посочи, това няма нищо общо с криптирането от край до край. Това беше решение за хакване на базата данни на Signal на отключен или компрометиран телефон, което изисква физически контрол на устройството. „Това е“, каза той. „Няма магия.“
Signal и WhatsApp дешифрират криптирани от край до край съобщения и след това ги съхраняват в папка на устройството на потребителя. Тази папка е криптирана. Твърденията, които се правят, са, че с физически достъп до устройство, правоприлагаща агенция или лош актьор може да изтегли тази папка и да дешифрира нейното съдържание. Без физически достъп до устройството или изключително сложен компромис на устройството, за да ексфилтрирате тайно тези файлове по въздуха, това не може да бъде направено.
Както Джейк Мур от ESET, бивш полицай и експерт по дигитална криминалистика, обяснява, „шифроването от край до край означава, че съобщенията не могат да бъдат прихванати от правоприлагащите органи при преход между устройства. Техният начин обаче да заобиколят това е като получат достъп до самото устройство и използват специализирани инструменти – често предоставяни само на правоприлагащите органи.
Разбира се, ако някой има достъп до устройство – паролата, например, тогава той така или иначе ще има достъп до това хранилище за съобщения. Както Telegram предупреждава собствените си потребители, „не можем да ви защитим от собствената ви майка, ако тя вземе отключения ви телефон без парола. Или от вашия ИТ отдел, ако имат достъп до вашия компютър на работа. Или от други хора, които получават физически или root достъп до вашите телефони или компютри.
„Дешифрирането на съобщения и прикачени файлове, изпратени със Signal, беше почти невъзможно досега“, заяви фирмата за сигурност Cellebrite в ранна версия на своето съобщение, след като беше изтрито. „Декриптирането на съобщения и прикачени файлове на Signal не беше лесна задача – изискваше задълбочени изследвания на много различни фронтове, за да създадем нови възможности от нулата.“ Акаунтът включваше подробности, също след изтриване, за това как работи физическият компромет.
„Това показва силата на дигиталната криминалистика“, каза ми Мур, „и какво може да се постигне дори когато данните се поставят в неразпределени клъстери (изтрито пространство) на устройства. За щастие обаче, Signal все още не може да бъде компрометиран по време на предаване, което го прави все още най-безопасният залог при изпращане на лични съобщения.
Суровата реалност е, че облачните резервни копия на криптирани от край до край съобщения обезсилват това криптиране от край до край. Освен ако не сте особено предпазливи да не загубите телефона си, най-добре е да го изключите. iCloud остава препоръчителният начин на WhatsApp за прехвърляне на съобщения, когато актуализирате до нов iPhone, но сега директното прехвърляне на Apple работи брилянтно, дублира старото ви устройство на новото ви, нямате нужда от iCloud по същия начин.
Има и друга настройка, която сега трябва да промените в WhatsApp. Ако данните не са там, значи не са изложени на риск. Въпреки че не можете да контролирате какво се случва със съобщенията, които изпращате на други хора – те може да ги копират или да ги направят екранна снимка, ако тези съобщения изчезнат след определено време, има вероятност да са изчезнали завинаги. WhatsApp добави разочароващо основна версия на функционалността – седем дни е единствената опция и няма лесно превключване за отделни съобщения в рамките на чат. Надяваме се, че те ще променят това и ще отговарят по-близо на опциите, предлагани сега от съперниците.
За всякакви особено чувствителни данни съветът е да настроите съобщението да изчезне. Това включва финансова или медицинска информация, всичко лично или компрометиращо. Ако не е необходимо да се съхранява на телефона на някой друг, потенциално в техния облачен архив, тогава го настройте да изчезне. Кратките времеви прозорци, както се предлагат от Signal, са най-добри. Но опцията за седем дни е по-добра, отколкото да оставите такива данни да стоят в хронологията на съобщенията завинаги.
Ако поддържате устройството си защитено, не позволявате то да бъде компрометирано и не архивирате защитени данни в облака, тогава единственият начин за достъп до вашите данни е чрез задна врата. И така до третия проблем, опустошителния хак на SolarWinds.
Няма задни врати в WhatsApp, Signal или iMessage, но правоприлагащите органи и службите за сигурност искат те да бъдат въведени. Контрааргументът от лобито за поверителност е, че след като бъде въведена задна врата, лошите участници ще откраднат ключовете и сигурността на тези платформи ще бъде фатално нарушена. Поради това безопасността на политици и дисиденти, адвокати и репортери в опасни части на света ще бъде изложена на риск. SolarWinds показва, че не може да има такова нещо като абсолютна защита за такава потенциална уязвимост, след като бъде въведена, няма достатъчно безопасно място, където да се запази.
„Не можем да подценим опасността законодателите по целия свят да настояват за законодателство, което би изисквало от технологичните компании да вградят така наречените „задни вратички“ в своя софтуер“, предупреди изпълнителният директор на Wickr Джоел Валенстрьом. „Въздействието на това би имало опустошително въздействие върху всички аспекти на обществото… Разрушаването на E2EE би дошло с огромни рискове за глобалните бизнеси, застрашавайки жизнените линии на съвременното общество – критични иновации в индустрията, глобалната търговия и финансовите транзакции, за да назовем само няколко. ”
При липсата на такава драстична законодателна промяна проблемите са лесни за справяне. Ако WhatsApp е сериозен по отношение на сигурността, ако това наистина е „в нашата ДНК“, както се казва, тогава има уроци, които да научите от Signal. Слабостите около заснемането на метаданни, резервните копия в облака и изтеглянията на изображения трябва да бъдат адресирани. За разлика от WhatsApp, всяка потенциална уязвимост в Signal е заключена. Няма резервни копия в облак, няма заснемане на метаданни, няма изтегляния по подразбиране. Но тази последна новина показва, че дори Signal, въпреки всичко това, може да бъде потенциално уязвим за компрометиране на крайна точка.
Но съветът тук е много по-широк. Контролът върху вашите данни е контрол върху вашите данни. Ако заемете телефона си на някого или включите телефона в непознати машини или зарядни устройства. Ако архивирате данни в голям технологичен облак, без да мислите какво спестявате и кой може да има достъп, тогава поемате рискове. Тези истории тази седмица трябва да бъдат предупреждението, че трябва да внимаваме как осигуряваме това, което е лично за нас.
WhatsApp е водещият месинджър в света. Много от тези, които четат това, ще използват Signal, но почти всички ще използват WhatsApp. По-рано съм съветвал за задаване на 2FA код за предотвратяване на отвличания на акаунти, деактивиране на изтеглянията на мултимедия по подразбиране за предотвратяване на хакове и защита на метаданните за защита на вашата поверителност. Сега можете да добавите деактивиране на архивиране в облак и използване на изтичащи съобщения към този списък. Ако направите тези неща, ще направите WhatsApp много по-безопасен и много по-сигурен.
