NewsTechNews

System inwigilacji Pegasus straszy użytkowników polskich sieci. Komunikator UseCrypt pozwoli zachować prywatność.

Pegasus – izraelski program do elektronicznego szpiegowania służy do śledzenia zawartości telefonów i komputerów – stał się w ostatnich tygodniach tematem szerokiej dyskusji, po tym jak dziennikarze z magazynu „Czarno na białym” (emitowanego na antenie TVN24) poinformowali o zakupie systemu przez Centralne Biuro Antykorupcyjne.

Strach padł na wielu użytkowników telefonów z systemami operacyjnymi iPhone i Android, których podobno nie da się w pełni zabezpieczyć przed Pegasusem. Co więcej, większość dostępnych komunikatorów (z których korzystają użytkownicy telefonów), zapewnia wprost proporcjonalne bezpieczeństwo do bezpieczeństwa systemu operacyjnego. Oznacza to, że nieaktualizowany Android, ale także iPhone bez najnowszych aktualizacji jest bardziej podatny na bezpośrednią inwigilację, niż urządzenie w pełni zaktualizowane i zabezpieczone wzorem blokady ekranu, kodem PIN, odciskiem palca albo Face ID — chociaż ta ostatnia technologia nie jest bezpieczna, jeśli chcemy trzymać poufne dane z dala od osób postronnych. Wyjątkiem co do tej zasady jest komunikator UseCrypt Messenger, który wykrywa problemy z bezpieczeństwem na smartfonie.

Czy Pegasus potrafi zagrozić użytkownikom Signal albo UseCrypt Messenger?
Komunikator Signal obok UseCrypt Messenger uważany jest za bezpieczny. Ma szyfrowanie end-to-end. Ma szyfrowaną bazę. Ma też tę wadę, że niewystarczająco zabezpiecza dane na urządzeniu, na którym jest zainstalowany. Właśnie z tego powodu komunikator Signal może być używany przez, nazwijmy to, osoby, które działają na własną rękę, a nie jako przedstawiciele profesjonalnych firm, instytucji czy organizacji.

W przypadku UseCrypt Messenger używany jest drugi, niezależny mechanizm, który sprawia, że trzeba przełamać zabezpieczenia zarówno telefonu (np. wspomnianym urządzeniem UFED), jak i odtworzyć klucze kryptograficzne wykorzystywane do ochrony bazy danych aplikacji.

Zastosowanie niezależnego od systemu operacyjnego mechanizmu ochrony danych przechowywanych na urządzeniu w znaczący sposób utrudnia, a wręcz uniemożliwia dokonanie masowej inwigilacji użytkownika. Twórcy oprogramowania takiego jak Pegasus zostaliby zmuszeni po pierwsze do złamania zabezpieczeń urządzenia, które jest bardzo popularne oraz do wykonania pełnej analizy wstecznej zachowań i metod działania dedykowanej aplikacji. Przejmowanie danych z komunikatorów WhatsApp, Viber czy Signal jest łatwe do osiągnięcia ze względu na brak zastosowania jakichkolwiek mechanizmów niezależnych od systemu operacyjnego — twórcy Pegasusa musieli więc znaleźć lukę tylko w systemie iOS/Android.

Tymczasem w komunikatorze UseCrypt zastosowano także funkcję „Panic-Code”, dzięki której można wymusić natychmiastowe usuwanie historii wiadomości i wyrejestrowanie numeru z usługi. Próby siłowego łamania hasła dostępu do aplikacji zakończą się podobnym skutkiem — po 10 nieudanych próbach baza aplikacji zostanie w sposób kryptograficznie bezpieczny usunięta z urządzenia.

Każdorazowy dostęp do aplikacji można zabezpieczyć kodem lub ustawić, by każda wysyłana wiadomość była usuwana automatycznie z czatu po zadanym przez strony konwersacji okresie czasu.

Gdyby konkurencyjne komunikatory dysponowały takim arsenałem obronnym, to nie wyszłyby na jaw afery związane ze współpracownikiem Donalda Trumpa, który korzystał z komunikatorów WhatsApp i Signal na BlackBerry. I dokładnie tak dobrano się do iPhone’a prezydenta Ekwadoru w aferze INA Papers.

Warto tu jeszcze wspomnieć o funkcji weryfikowania stanu bezpieczeństwa telefonu. Poza UseCryptem prawdopodobnie żaden z dostępnych komunikatorów tego nie potrafi. Wśród najważniejszych należy wymienić:
– Pozwala na sprawdzenie istnienia przesłanek stwierdzających złamanie zabezpieczeń urządzenia, w tym wykonywania operacji w kontekście użytkownika uprzywilejowanego. Dokładnie w takim kontekście pracuje oprogramowanie Pegasus.
Dokonuje weryfikacji wyłączności dostępu do newralgicznych zasobów urządzenia, takich jak np. mikrofon czy kamera. W tym kontekście należy wymienić, że dokonywana weryfikacja zgodnie ze specyfikacją techniczną oprogramowania Pegasus była wystarczająca do uniemożliwienia wykorzystania m.in. funkcjonalności nagrywania dźwięku w systemach Android.
Wykrywa interakcje aplikacji trzecich pracujących w kontekście zwykłego użytkownika, jednak mających na celu pozyskanie danych poufnych. Przykładem takich aplikacji są np. popularne keyloggery dla systemu Android.
Określanie stanu zabezpieczeń systemu operacyjnego i w przypadku istnienia aktualizacji pozwalających na eliminację znanych exploitów przekazywanie informacji do użytkowników.

Jak dotąd nie przedstawiono żadnych informacji kompromitujących producenta UseCrypt ani użytkowników komunikatora. Nie doszło też do ani jednego przypadku ujawnienia tożsamości rozmówców albo kradzieży kontaktów, wiadomości, załączników, kluczy kryptograficznych.

Z tego powodu rekomendujemy UseCrypt Messenger jako obecnie najbezpieczniejszy komunikator do rozmów głosowych oraz tekstowych. Uważamy też, że UseCrypt Messenger nie jest dla każdego. Przede wszystkim dlatego, że nie jest za darmo.

UseCrypt skierowany jest do konkretnej grupy odbiorców, głównie profesjonalistów reprezentujących firmy i instytucje. O ile trudno jest przekonać znajomych, którzy korzystają z Facebook Messenger, Instagrama, WhatsAppa, aby płacili kilkadziesiąt złotych miesięcznie tylko za jedną aplikację, o tyle Usecrypt Messsenger zdaje się być rozwiązaniem dedykowanym przedsiębiorstwom, które szanują swoje dane operacyjne oraz swoich kontrahentów. Do rozmówek nocnych trzy-po-trzy z kolegami można używać darmowego Signal. UseCrypt nie jest dla każdego. UseCrypt jest bezkonkurencyjny tam, gdzie wymaga się bezkompromisowej poufności i tajności rozmów, zarówno podczas transmisji jak i na urządzeniu.

Zasadność kupienia licencji UseCrypt Messenger ograniczamy do jednego zdania. Jeżeli nie możesz zapłacić miesięcznego abonamentu (albo nie chcesz), to musisz znaleźć darmową alternatywę i iść na pewne kompromisy. Dotyczą one bezpieczeństwa (Signal) oraz utraty prywatności (WhatsApp, Facebook Messenger, Viber).

Żródło: na podstawie analizy AVLab.pl (IX 2019)

Redakcja Author
Sorry! The Author has not filled his profile.
×
Redakcja Author
Sorry! The Author has not filled his profile.