Polacy na potęgę korzystają ze smartfonów, co deklaruje już ponad 74 proc. naszych rodaków – jak wynika z danych UKE. Rok pandemii przyczynił się do wzrostu ilości czasu spędzonego z telefonem w ręku – z 2,5 do ponad 4 godzin dziennie… Coraz częściej, obok połączeń telefonicznych czy wysyłania wiadomości SMS, smartfon służy do płatności lub korzystania z aplikacji i gier. Tymczasem w ciągu ostatniego roku nastąpił wzrost o 54% użytkowników mobilnych, którzy zostali zaatakowani przez złośliwe aplikacje i gry – wynika z analiz firmy Check Point Software Technologies.

Do grania na telefonie przyznaje się 55 proc. badanych Polaków. Blisko co czwarty użytkownik smartfona przyznaje, że gra w gry codziennie lub prawie codziennie. Kobiety grają częściej – 25 proc. z nich gra każdego lub prawie każdego dnia. W przypadku panów regularnym graczem jest co piąty badany.

Popularność gier i aplikacji może przysporzyć wiele kłopotów i realne straty – ostrzegają specjaliści Check Point Software. Tym bardziej, że większość Polaków (71 proc.) nie zabezpiecza swoich smartfonów. Aplikacje dodają funkcjonalność mobilną, ale także zwiększają ryzyko naruszenia danych, zwłaszcza jeśli są pobierane ze stron internetowych lub tweetów zamiast z bezpiecznego sklepu z aplikacjami. Złośliwy kod, który umożliwia hakerom kradzież danych, może być ukryty w aplikacjach w różnej postaci. Analiza Check Point w 2020 r. ujawniła, że nawet najbardziej popularne aplikacje mobilne, dostępne na znanych platformach jak Google Play, mają luki i stają się celem ataków cyberprzestępców, chcących pozyskać nasze poufne dane osobiste lub finansowe.

– Upowszechnienie smartfonów oraz związanych z nimi aplikacji, stworzyło nowe możliwości dla hakerów. Wiedząc, że smartfony nie są odpowiednio zabezpieczone, cyberprzestępcy włamują się do nich, uzyskując dostęp do prywatnej i firmowej korespondencji, poufnych danych, plików osobistych lub naszych danych bankowych – ostrzega Wojciech Głażewski, dyrektor zarządzający Check Point Software w Polsce.

Według badania przeprowadzonego przez Intertrust na temat bezpieczeństwa mobilnego, koszt hacków i naruszeń aplikacji mobilnych osiągnie 1,5 miliarda dolarów do końca 2021 r. Częściowo to efekt braku zabezpieczeń telefonów, przy powszechnym zjawisku korzystania z darmowego WiFi. Tymczasem podczas korzystania z niezabezpieczonych sieci Wi-Fi cyberprzestępcy mogą zobaczyć cały niezaszyfrowany ruch.

– Smartfon powinien mieć zainstalowany komunikator oparty o system zdecentralizowanej komunikacji, który zapewni, że otrzymane wiadomości są chronione, a w przypadku utraty aparatu nie pozwoli na ekstrakcję z niego poufnych danych. Przykładem jest Usecrypt – system współpracujący z systemami Android oraz iOS, który był testowany przez światowej sławy ekspertów – Odeda Vanunu oraz Romana Zaikina, którzy uznali za niemożliwe odszyfrowanie rozmów i rozszyfrowanie zabezpieczeń stosowanych przez komunikator do ochrony treści przechowywanych w naszej aplikacji –mówi Marian Pijarski, członek zarządu Usecrypt Polska.

Artykuł Smartfon jak tykająca bomba: wielu Polaków o tym nie wie pochodzi z serwisu CRN.

– Samochody są coraz bardziej zaawansowane technologicznie i powiązane ze światem zewnętrznym Funkcje Bluetooth do parowania telefonów komórkowych, nawigacja GPS, hotspoty Wi-Fi, systemy unikania kolizji powodują, że samochody szybko stają się bazami danych na kołach – zaznacza Wojciech Głażewski, dyrektor firmy Check Point Software Technologies w Polsce.

Skala zagrożenia utratą poufnych danych w przypadku samochodów z drugiej ręki lub poleasingowych jest przerażająca. Na polskim rynku co miesiąc pojawia się ok. 300 tysięcy ofert samochodów używanych.  Tymczasem zaledwie 1 na 10 właścicieli samochodów leasingowych oddaje pojazd usuwając zapamiętane dane z pamięci wewnętrznej auta. – Znakomita większość używanych aut posiada w komputerze pokładowym informacje o książkach telefonicznych poprzednich właścicieli, destynacjach wprowadzonych podczas użytkowania, ulubionych wykonawcach i utworach czy treści wysyłanych wiadomości SMS – podkreśla Leszek Cieloch, członek zarządu Polskiego Stowarzyszenia Dziennikarzy Motoryzacyjnych.

Tymczasem najszybciej rosnącą kategorią rynku motoryzacyjnego na świecie ma być właśnie system informacyjno-rozrywkowy (infotainment), odpowiedzialny za przechowywanie większości informacji z naszych urządzeń mobilnych, które podłączamy do auta. – Osoby chcące zachować prywatność powinny zrezygnować z synchronizacji części danych, przechowując wiadomości jedynie w szyfrowanych i zabezpieczonych hasłami komunikatorach, które już chronią nie tylko połączenie, ale też aparat. Rekomendowałbym regularne sprawdzanie i usuwanie naszych danych z systemów pokładowych, a z pewnością dokonanie tego przed sprzedażą samochodu – wyjaśnia Marian Pijarski, członek zarządu Usecrypt Polska, firmy oferującej komunikator UseCrypt.

Artykuł Auto po leasingu podatne na ataki hakerów pochodzi z serwisu CRN.

Eksperci ostrzegają przed zwiększoną liczbą wirusów, które będą infekować nasze telefony komórkowe złośliwym oprogramowaniem, usuwając dane osobowe, zwiększając rachunek telefoniczny lub wykonując płatne połączenia telefoniczne. Większość Polaków (71 proc.) nie zabezpiecza swoich smartfonów, połowa z nas doświadczyła ataku hakerskiego, a co piąty użytkownik kradzieży danych. Zdaniem ekspertów firmy Check Point Research większość użytkowników nie wie, że już została zhakowana. Wchodzimy w nową erę Personal Cyber Security.

Badania firmy Check Point Research wykazały, że liczba ataków (phishingowych) wymierzonych w smartfony jako punkt wyjścia do prób włamania do sieci korporacyjnych wzrosła o ponad jedną trzecią w ciągu zaledwie kilku miesięcy!!!

– Dziś smartfony są traktowane przez hakerów jak komputery osobiste, z tym, że mają do nich łatwiejszy dostęp. Wielu użytkowników korzysta z firmowej poczty, usług bankowych używając kodów kart kredytowych za pośrednictwem swoich telefonów.  Wiedząc, że smartfony nie są odpowiednio zabezpieczone, cyberprzestępcy włamują się do nich uzyskując dostęp do firmowej korespondencji, poufnych danych, plików osobistych lub naszych danych bankowych – mówi Wojciech Głażewski, dyrektor firmy Check Point w Polsce.

Niestety, rosnąca popularność smartfonów nie idzie w parze z dbaniem o bezpieczeństwo. Okazuje się, że co ponad 1/3 użytkowników smartfonów w Polsce (39 proc.) nie zmienia regularnie hasła do bankowości internetowej, a 36 proc. do bankowości mobilnej.

Polacy powszechnie korzystają również z komunikatorów, mając nadzieję na bezpieczeństwo i zachowanie poufności rozmów. Obecnie powstaje nowy rynek zdecentralizowanej komunikacji oraz nowa generacja komunikatorów, które dają możliwości zabezpieczenia samego telefonu.  Zabezpieczenia w komunikatorach starego typu nie dają gwarancji bezpieczeństwa korespondencji czego przykładem było odszyfrowanie treści wiadomości z telefonu byłego ministra transportu Sławomira Nowaka, który korzystał z komunikatorów Signal, WhatsApp, Telegram i Threema o czym informowały media.

Utrata telefonu bez zabezpieczenia to kopalnia wiedzy dla niepowołanej osoby. Wchodzimy w nowy etap tzw. Personal Cyber Security, gdzie nasze poufne dane na smartfonach muszą być zabezpieczone zarówno przed komunikacją, w trakcie, jak i w przypadku utraty telefonu. Teraz na rynku polskim pojawiają się już rozwiązania nowej generacji, łączące funkcję komunikatora z bezpieczeństwem rozmów i samego aparatu.

Przykładem jest UseCrypt – komunikator oparty o system zdecentralizowanej komunikacji, który sprawdzi, czy telefon jest na podsłuchu a w przypadku utraty aparatu nie pozwoli na ekstrakcję z niego poufnych danych. System współpracuje z systemami Android oraz iOS i był testowany przez światowej sławy ekspertów – Odeda Vanunu oraz Romana Zaikina, którzy uznali za niemożliwe podsłuchiwanie rozmów i rozszyfrowanie zabezpieczeń stosowanych przez komunikator.

Artykuł Nasze smartfony na celowniku hakerów. Polacy nie zabezpieczają telefonów pochodzi z serwisu CRN.

Oded Vanunu oraz Roman Zaikin, jeden z najbardziej znanych na świecie zespołów ds. cyberbezpieczeństwa, który w ubiegłym roku zasłynął podczas konferencji Black Hat USA, pokazując jak łamie WhatsApp’a, przeanalizował system wiadomości tekstowych i rozmów głosowych wykorzystywany w aplikacji UseCrypt Messenger, umożliwiającej w pełni bezpieczne i prywatne rozmowy. Doszli do zaskakujących wniosków.  

UseCrypt Messenger jest jedyną aplikacją, która szyfruje bazę danych w komunikatorze na smartfonie, uniemożliwiając wydobycie z urządzenia treści rozmów i historii połączeń. Dzięki temu możemy prowadzić bezpieczne rozmowy głosowe i tekstowe, nie obawiając się o naszą prywatność (każdy chętny może przetestować ten innowacyjny komunikator).

„Po przeprowadzeniu inżynierii wstecznej i dokładnej analizie, odkryliśmy, że niemożliwe jest odszyfrowanie bazy danych UseCrypt” – skomentował Oded Vanunu, współautor raportu. Ponieważ klucz do hasła (passcode) nie jest nigdzie przechowywany, nie można go odszyfrować i tym samym uzyskać dostępu do bazy danych – uznali eksperci.

Kolejny wniosek, jaki płynie z raportu jest taki, że niemożliwe jest podsłuchiwanie rozmów VoIP wykonywanych w aplikacji ze względu na odpowiednie, dobrze zaimplementowane protokoły. Specjalistom nie udało się rozszyfrować zabezpieczeń stosowanych przez komunikator. 

„Jesteśmy dumni z wyników raportu Odeda Vanunu oraz Romana Zaikina, który potwierdza przełomowość naszego rozwiązania” – podsumował Yuval Rabin z Lazar Vision Fund, głównego inwestora UseCrypt.

UseCrypt Messenger jest zabezpieczony hasłem (passcode) niezależnym od systemu operacyjnego telefonu, dzięki czemu nikt poza samym użytkownikiem nie otworzy aplikacji. Dane użytkownika (wiadomości, historia połączeń i konwersacji, przesłane pliki) w UseCrypt Messenger są bezpieczne nawet wtedy, gdy ktoś fizycznie przejmie jego telefon.

Wszyscy zainteresowani ściągnięciem tej aplikacji mogą to zrobić pod tym adresem

Artykuł Eksperci o UseCrypt: niemożliwy do odszyfrowania pochodzi z serwisu CRN.

W 2018 roku gen. Waldemar Skrzypczak, były dowódca wojsk lądowych i podsekretarz stanu w resorcie obrony, wystawiał pozytywne oceny komunikatorowi Usecrypt Messenger, chwaląc m.in. jego wyjątkowe zabezpieczenia przed cyberatakami. Zamiast trafić do m.in. państwowych instytucji, w 2019 roku został przejęty przez fundusz Lazar Vision Fund, specjalizujący się w inwestycjach w nowe technologie. Teraz, po licznych testach izraelskich ekspertów ds. bezpieczeństwa aplikacja znalazła się w gronie rekomendowanych zabezpieczeń Izraelskiego MON. Jak wynika z opinii Ministerstwa Obrony Izraela strategiczny charakter systemu Usecrypt powoduje, że nie może on być udostępniany takim państwom jak Iran, Korea Północna, Sudan, Syria lub Kuba.

„Usecrypt Messenger wykrywa i uniemożliwia nieautoryzowany dostęp do aplikacji zabezpieczając ją przed atakami hackerów i malware’em. W obliczu rosnącej liczby ataków oraz masowej inwigilacji, Usecrypt zapewnia poufność czatów oraz połączeń głosowych, dzięki opatentowanej technologii niezależnego szyfrowania oraz kontroli bezpieczeństwa aplikacji” – mówi Yuval Rabin, partner w funduszu Lazar, posiadający ponad 30-letnie doświadczenie w sprzedaży i wdrożeniach innowacyjnych systemów IT w USA, Europie Zachodniej oraz Izraelu. Yuval Rabin obecnie koncentruje się na wspieraniu spółek posiadających najbardziej innowacyjne technologie.

W ocenie specjalistów instytucje publiczne powinny mieć wprowadzone wielopoziomowe procedury bezpieczeństwa, nie tylko na poziomie komputerów, lecz telefonów. Dziś nie wystarcza jedynie tzw. polityka czystego pulpitu i czystego biurka, wszelkich systemów antywirusowych i antywłamaniowych. Telefon, na którym przechowywane i przetwarzane są liczne dane powinien być zabezpieczony szyfrowanym komunikatorem.

Różne grupy ekspertów, w tym twórcy aplikacji, badacze cyberbezpieczeństwa i aktywiści, tacy jak Ashkan Soltani z Federalnej Komisji Handlu lub Daniel Gillmor z ACLU, podnoszą fundamentalne pytania dotyczące stanu naszej prywatności w kontekście ciągłego udostępniania danych o sobie. „Żadna z firm do tej pory nie zaproponowała produktu, który zapewni prywatność użytkowników na pierwszym miejscu” – komentuje Yuval Rabin.

Przekazywane dane osobowe, poufne informacje prawno-finansowe wymagają całkowitego bezpieczeństwa – kryptograficznego zabezpieczenia – takiego jak Usecrypt, które przede wszystkim nie pozwala użytkownikowi wykonać połączenia lub go odebrać, jeżeli telefon jest zhakowany. Uniemożliwia też ściągnięcie historii z komunikacji.

‘’Bardzo istotnym aspektem jest wykorzystanie danych z naszego urządzenia mobilnego do przeprowadzenia ataku na strukturę teleinformacyjną firmy lub placówki, w której pracujemy lub piastujemy ważną lub pośrednią funkcję. W naszych telefonach, tabletach, przechowujemy bezwiednie wiele informacji, które mogą stworzyć olbrzymie możliwości cyberprzestępcy. Dlatego potrzebny jest bezpieczny system komunikacji’’ – podkreśla Adam Maruszczak, ekspert ds. bezpieczeństwa z firmy AMC Consulting.

W Polsce o bezpieczeństwie komunikatorów było głośno w 2018 roku, gdy okazało się, że wielu polityków używa aplikacji WhatsApp. W lutym br. Komisja Europejska zaleciła swoim pracownikom, aby przestawili się na aplikację Signal ze względu na rosnące obawy dotyczące bezpieczeństwa i prywatności danych w WhatsAppie. Tymczasem w lipcu br. serwis informacyjny TVN24 podał, że zatrzymanie byłego ministra Sławomira Nowaka i jego współpracowników, związane było z wyciekiem treści SMS i rozmów, przekazywanych za pomocą aplikacji szyfrujących Signal, Telegram czy Threema. Popularne, bezpłatne komunikatory stały się źródłem ataku dla zwykłych użytkowników. Przekonał się o tym jeden z najbogatszych ludzi świata – telefon Jeffa Bezosa został zhakowany po rozmowie przez WhatsApp z księciem Arabii Saudyjskiej.

Artykuł Izraelski MON rekomenduje aplikację Usecrypt jako bezpieczną pochodzi z serwisu CRN.

Czy Pegasus potrafi zagrozić użytkownikom Signala albo UseCrypt Messengera?

Komunikator Signal obok UseCrypt Messengera jest uważany za bezpieczny. Wyposażony jest w szyfrowanie end-to-end, a także szyfrowaną bazę. Ale ma też tę wadę – niewystarczająco zabezpiecza dane na urządzeniu, na którym jest zainstalowany. Właśnie z tego powodu komunikator Signal może być używany przez, nazwijmy to, osoby, które działają na własną rękę, a nie jako przedstawiciele profesjonalnych firm, instytucji czy organizacji.
W przypadku UseCrypt Messengera jest używany drugi, niezależny mechanizm, który sprawia, że trzeba zarówno przełamać zabezpieczenia telefonu (np. urządzeniem UFED), jak i odtworzyć klucze kryptograficzne wykorzystywane do ochrony bazy danych aplikacji.

Zastosowanie niezależnego od systemu operacyjnego mechanizmu ochrony danych przechowywanych na urządzeniu w znaczący sposób utrudnia, a wręcz uniemożliwia dokonanie masowej inwigilacji użytkownika. Twórcy oprogramowania takiego jak Pegasus zostaliby zmuszeni do złamania zabezpieczeń urządzenia, które jest bardzo popularne, oraz do wykonania pełnej analizy wstecznej zachowań i metod działania specjalistycznej aplikacji. Przejmowanie danych z komunikatorów WhatsApp, Viber czy Signal jest łatwe do osiągnięcia ze względu na brak zastosowania jakichkolwiek mechanizmów niezależnych od systemu operacyjnego – twórcy Pegasusa musieli więc znaleźć lukę tylko w systemie iOS i Android.

Natomiast w komunikatorze UseCrypt zastosowano także funkcję Panic-Code, dzięki której można wymusić natychmiastowe usuwanie historii wiadomości i wyrejestrowanie numeru z usługi. Próby siłowego łamania hasła dostępu do aplikacji zakończą się podobnym skutkiem — po 10 nieudanych próbach baza aplikacji zostanie w sposób kryptograficznie bezpieczny usunięta z urządzenia. Każdorazowy dostęp do aplikacji można zabezpieczyć kodem lub ustawić, by każda wysyłana wiadomość była usuwana automatycznie z czatu po zadanym przez strony konwersacji okresie czasu.

Gdyby konkurencyjne komunikatory dysponowały takim arsenałem obronnym, to nie wyszłyby na jaw afery związane ze współpracownikiem Donalda Trumpa, który korzystał z komunikatorów WhatsApp i Signal na BlackBerry. I dokładnie tak dobrano się do iPhone’a prezydenta Ekwadoru w aferze INA Papers.
Warto tu jeszcze wspomnieć o funkcji weryfikowania stanu bezpieczeństwa telefonu. Poza UseCrypt Messengerem prawdopodobnie żaden z dostępnych komunikatorów tego nie potrafi. Wśród najważniejszych należy wymienić:

• Zapewnia sprawdzenie istnienia przesłanek potwierdzających złamanie zabezpieczeń urządzenia, w tym wykonywania operacji w kontekście użytkownika uprzywilejowanego. Dokładnie w taki sposób pracuje oprogramowanie Pegasus.
• Dokonuje weryfikacji wyłączności dostępu do newralgicznych zasobów urządzenia, takich jak np. mikrofon czy kamera. W tym kontekście należy wymienić, że dokonywana weryfikacja zgodnie ze specyfikacją techniczną oprogramowania Pegasus była wystarczająca do uniemożliwienia wykorzystania m.in. funkcji nagrywania dźwięku w systemach Android.
• Wykrywa interakcje aplikacji trzecich pracujących w kontekście zwykłego użytkownika, jednak mających na celu pozyskanie poufnych danych. Przykładem takich aplikacji są np. popularne keyloggery dla systemu Android.
• Określa stan zabezpieczeń systemu operacyjnego i w przypadku istnienia aktualizacji umożliwiających eliminację znanych exploitów przekazuje informacje użytkownikom.

Jak dotąd nie przedstawiono żadnych informacji kompromitujących producenta UseCrypt Messengera ani użytkowników komunikatora. Nie doszło też do ani jednego przypadku ujawnienia tożsamości rozmówców albo kradzieży kontaktów, wiadomości, załączników, kluczy kryptograficznych. Z tego powodu rekomendujemy UseCrypt Messenger jako obecnie najbezpieczniejszy komunikator do rozmów głosowych i tekstowych. Uważamy też, że UseCrypt Messenger nie jest dla każdego. Przede wszystkim dlatego, że nie jest za darmo.
UseCrypt Messenger przeznaczony jest dla konkretnej grupy odbiorców, głównie profesjonalistów reprezentujących firmy i instytucje. O ile trudno jest przekonać znajomych, którzy korzystają z Facebook Messengera, Instagrama, WhatsAppa, aby płacili kilkadziesiąt złotych miesięcznie tylko za jedną aplikację, o tyle UseCrypt Messsenger jest rozwiązaniem dla przedsiębiorstw, które szanują dane operacyjne własne i swoich kontrahentów. Do nocnych rozmówek „trzy po trzy” z kolegami można używać darmowego Signala. UseCrypt Messenger jest bezkonkurencyjny tam, gdzie wymaga się bezkompromisowej poufności i tajności rozmów, zarówno podczas transmisji, jak i na urządzeniu.

Zasadność kupienia licencji UseCrypt Messenger ograniczamy do jednego zdania. Jeżeli użytkownik nie może zapłacić miesięcznego abonamentu (albo nie chce), to musi znaleźć darmową alternatywę i iść na pewne kompromisy. Dotyczą one bezpieczeństwa (Signal) i utraty prywatności (WhatsApp, Facebook Messenger, Viber).

Źródło: AVLab.pl (IX 2019)

Artykuł Pegasus straszy Polaków. Na szczęście jest remedium pochodzi z serwisu CRN.

Wejście do rady nadzorczej Usecrypt izraelskich ekspertów zbiegło się w czasie z objęciem 10 proc. akcji polskiej firmy przez Lazar Vision Fund, amerykańsko-izraelski fundusz private equity.
 
To już drugi inwestor instytucjonalny w spółce. Na początku roku do akcjonariatu Usecrypt dołączyło jedno z polskich TFI. Ponadto współpracę z firmą nawiązał ostatnio EYnovation Polska – program akceleracyjny EY Polska.

Usescrypt ogłosił niedawno globalną ekspansję, otwierając pierwsze biuro w Nowym Jorku oraz kolejne oddziały w Tel-Awiwie i Nikozji. Spółka powstała w ub.r. z przekształcenia firmy Cryptomind.

Polska firma idzie na globalny rynek ze swoim produktem Usecrypt Safe. Jest to rozwiązanie przeznaczone na komputery, Zastosowano w nim technologię szyfrowania informacji HVKM, co według dostawcy gwarantuje brak technicznej możliwości dostępu do danych przez dostawcę chmury, producenta oprogramowania lub „pośredników” (np. dyrektorów i administratorów IT). Umożliwia szyfrowanie danych na komputerze, w przestrzeni chmury oraz przesyłanie i współdzielenie dowolnej wielkości zaszyfrowanych plików pomiędzy zaufanymi użytkownikami aplikacji. W tym roku Usecrypt rozszerzył swoją ofertę o mobilny komunikator, który uniemożliwia wyjęcie historii rozmów i konwersacji z urządzenia użytkownika oraz sprawdza, czy telefon nie jest podsłuchiwany.

„Kiedy odkryliśmy UseCrypt byliśmy zdumieni praktycznością zbudowanego przez firmę systemu. Korzystając z naszego doświadczenia i technologii UseCrypt, możemy oferować najbardziej innowacyjne narzędzie bezpiecznej komunikacji” – twierdzi Israel Levinson.

„Wierzymy, że UseCrypt ma szansę stać się kolejnym liderem na światową skalę. Zabezpieczenie rządowych oraz korporacyjnych danych stanowi dziś główny problem” – podkreśla Michael Ifargan.

„Większość ataków koncentruje się na aparacie telefonicznym. To właśnie on jest najsłabszym ogniwem. Dzieje się tak dlatego, że odszyfrowana na urządzeniu wiadomość czy rozmowa przenika do systemu operacyjnego telefonu.” – wyjaśnia izraelski ekspert ds. bezpieczeństwa cyfrowego.

Artykuł Izraelscy eksperci zachwyceni polską firmą pochodzi z serwisu CRN.

Jeśli chodzi o bezpieczeństwo współczesnego komunikatora UseCrypt Messenger, to producent zwraca uwagę na fakt, że na serwerze nie są przechowywane żadne dane ani metadane, ani tym bardziej żadne adresy IP użytkowników. Tak naprawdę to serwery UseCryptu nie uczestniczą w procesie kryptograficznym. Jedyne, co wymieniają, to cząstkowe informacje o parametrach szyfrowania, które pochodzą z obu urządzeń lub grupy urządzeń (jeśli uczestniczymy w grupowej konwersacji). W związku z tym dostawca usługi nie jest w stanie rozszyfrować danych, jakie przepływają przez serwer.

Podczas zakładania konta, gdy podajemy numer telefonu, widzimy potencjalnych znajomych z listy kontaktów telefonu, którzy już mają zainstalowany komunikator. Te dane na urządzeniu są przechowywane w postaci niezaszyfrowanej, lecz w trakcie odpytywania serwera komunikatora są one zamieniane w skrót kryptograficzny i w takiej zaszyfrowanej formie wysyłane, aby możliwe było połączenie się z drugą osobą. Zatem w przypadku fizycznego przejęcia urządzenia danych z komunikatora nie da się odzyskać. Ponadto ów skrót nie jest przechowywany stale na serwerze, w przeciwieństwie np. do rozwiązania Viber (który zbiera kopie numerów telefonów i kontaktów). Podobnie rzecz się ma z WhatsAppem, który wymienia wszystkie dane, kontakty oraz historię wiadomości z Facebookiem – w celach marketingowych. Jak czytamy w zapisach licencyjnych: WhatsApp zbiera i udostępnia mnóstwo danych o użytkowniku i dzieli się z nimi, i to nie tylko z Facebookiem, ale także z firmami współpracującymi z Facebookiem. Tak naprawdę, jeśli prywatność jest najważniejszym aspektem komunikatora, to korzystanie z WhatsAppa jest bardzo złym pomysłem. Jeśli nieposzanowanie prywatności jest dla użytkownika do zaakceptowania, nikogo nie będziemy zniechęcać. Szyfrowanie end-to-end zastosowane w WhatsAppie jest bezpieczne, natomiast to, co robi aplikacja z pozostałymi danymi, które są zapisane w telefonie, to całkiem inna historia.

Technicznie o UseCrypt

Schemat nawiązywania połączenia i negocjacji kluczy dla protokołu ZRTP na dwóch różnych urządzeniach.

W komunikatorze UseCrypt Messenger zastosowano kilka rodzajów szyfrowania, które zabezpieczają wiadomości tekstowe i rozmowy głosowe. Algorytmem, który szyfruje wiadomości tekstowe, jest TextSecure. Z kolei algorytm ZRTP odpowiada za obsługę całego protokołu odpowiedzialnego za realizację połączenia głosowego. W obu przypadkach protokoły te są dodatkowo wspierane przez AES-256.

Analizując powyższy schemat, zauważymy, że podczas nawiązywania połączenia z drugim człowiekiem, który używa UseCrypt Messenger, smartfon najpierw ustanawia zwykłe, nieszyfrowane połączenie. Następnie generuje klucz na podstawie protokołu ZRTP (Zimmermann & Real-time Transport Protocol). Po wynegocjowaniu kluczy na obu urządzeniach cała transmisja jest szyfrowana. Protokół ZRTP umożliwia wykrycie ataku MITM przez wyświetlanie krótkich haseł literowych. Rozmówcy powinni te hasła porównać ustnie — zapytać siebie nawzajem, co widzą na ekranie. Protokół ZRTP nie potrzebuje odwoływania się do żadnych serwerów, jednak komunikator z uwagi na charakter wymiany informacji pomiędzy odbiorcami wykorzystuje serwer pośredniczący, który nie przechowuje żadnych danych. W związku z tym cała operacja jest bardzo bezpieczna dla obu stron komunikacji.

Więcej o protokole ZRTP, który bazuje na algorytmie Diffiego-Hellmana, napisali w języku polskim prof. nadzw. dr inż. Wojciech Nowakowski z Instytutu Maszyn Matematycznych oraz prof. nadzw. dr. hab. inż. Tomasz Adamski z Instytutu Systemów Elektronicznych, Wydziału Elektroniki i Technik Informacyjnych na Politechnice Warszawskiej. Lektura zawiera także ciekawe informacje o (nie)bezpieczeństwie korzystania ze Skype’a i innych komunikatorów.

Negocjowanie wymiany kluczy opisali w bardzo zrozumiały sposób polscy naukowcy, więc ich zacytujemy:

Połączenie ZRTP składa się z trzech faz:

W fazie pierwszej zostaje zestawione nieszyfrowane połączenie pomiędzy rozmówcami i programy używane do rozmowy sprawdzają, czy druga strona obsługuje szyfrowanie połączeń.

Jeśli tak, (to w fazie drugiej) rozpoczynane jest szyfrowane połączenie – po zakończeniu fazy drugiej obaj rozmówcy słyszą się nawzajem, są w połączeniu szyfrowanym, ale nie mogą być pewni, czy nie są ofiarami ataku MITM.

W fazie trzeciej, na ekranach obu z nich pojawia się ten sam czteroznakowy kod. Jeśli rozmawiając, potwierdzą, że obaj widzą ten sam kod – mogą być pewni, że nikt ich nie podsłuchuje.

Jak już wspomniano, na potrzeby każdej rozmowy generowany jest inny, losowy klucz. Zaraz po zakończeniu rozmowy jest on kasowany z pamięci. Zauważmy więc, że jeśli nawet ktoś nagra całą rozmowę w postaci zaszyfrowanej i np. ukradnie laptopa, za pomocą którego ta rozmowa była prowadzona, nadal nie będzie w stanie jej odzyskać.

Protokół ZRTP jest otwarty i zaraz po jego publikacji pojawiło się kilka programów, które go wykorzystują. Obecnie obsługiwany jest na każdej liczącej się platformie, zarówno komórkowej, jak i desktopowej. Protokół ZRTP definiuje wyłącznie sposób szyfrowania i z tego powodu może być stosowany razem z praktycznie każdym istniejącym protokołem komunikacji.

A więc rozmawiając z drugą osobą, po 60 minutach zostaniemy automatycznie rozłączeni. To nie jest wada techniczna, a zaprogramowana architektura bezpieczeństwa. Generowany za każdym razem nowy klucz powstaje z wykorzystaniem protokołu ZRTP, a jego autorem jest ten sam człowiek, który stoi za protokołem PGP, do dzisiaj powszechnie stosowanym na całym świecie. To znacząco minimalizuje ryzyko złamania klucza i podsłuchania rozmówców. W rzeczywistości przejęcie takiego klucza i jego obliczenie zajęłoby miliony lat. Przełamanie zabezpieczeń w ciągu jednej godziny jest właściwie niemożliwe, a nawet gdyby się to udało, to po godzinie taki klucz będzie już bezużyteczny. Obie strony komunikacji podczas połączenia głosowego powinny widzieć dwa takie same wyrazy. Wyrazy te za każdym razem są inne.

Wykorzystany protokół ZRTP (Zimmermann Real-Time Protocol) umożliwia negocjację klucza kryptograficznego dopiero w momencie zestawienia połączenia pomiędzy klientami usługi. Rozwiązania konkurencyjne korzystają z klucza ustalonego przed nawiązaniem połączenia, co pozwala na wprowadzenie tylnych furtek do oprogramowania, umożliwiających odtworzenie prowadzonej komunikacji. W UseCrypt Messenger dla uzyskania pewności rozmówcy po nawiązaniu połączenia mogą zapytać się nawzajem o widoczne na telefonie wyrazy i mieć gwarancję, że uczestniczą w tej samej sesji (i że nie są podsłuchiwani w ramach ataku MITM). Dla pełnego bezpieczeństwa należałoby rozpocząć rozmowę od porównania tych znaków. Jeżeli są takie same, to połączenie jest bezpieczne – nikt nie przechwytuje komunikacji pomiędzy punktami.

Do szyfrowania komunikacji dodatkowo jest wykorzystywany algorytm szyfrujący AES, dla w przypadku którego, w odróżnieniu od stosowanych w standardowej komunikacji telefonicznej szyfrów A5/2 i A5/3, nie odnotowano praktycznych ataków. Można to porównać na przykładzie bezpieczeństwa polskich sieci GSM. Operatorzy Play, T-Mobile, Orange, Plus:

Raport powstał na podstawie danych przesyłanych w okresie grudzień 2011 – sierpień 2016 przez użytkowników do serwisu gsmmap.org. Autorzy badania zaznaczają, że zawarte w dokumencie informacje niekoniecznie muszą być bardzo dokładne.

Raport wskazuje na słabość algorytmów A5/0, A5/1 i A5/3. Prawie we wszystkich rozpatrywanych przypadkach można rozszyfrować komunikację i podsłuchać rozmówców. UseCrypt stosuje dodatkowe zabezpieczenie w postaci własnego szyfrowanego kanału – algorytmem AES o długości klucza 256 bitów.

A co z jakością połączeń? Czy kompresja danych i ich szyfrowanie wpływa na pogorszenie głosu słyszanego w telefonie? Otóż CBR powoduje, że każda sekunda rozmowy jest kodowana na zasadzie stałej przepływności (zawsze ta sama ilość danych). W VBR ilość danych jest różna w zależności od treści rozmowy (chwile ciszy, zmiany tonacji itp.).

– Plusy to mniejsza ilość danych i lepsza jakość. Minusy: można zbudować słownik najpopularniejszych słów i ich odpowiedników w postaci ilości danych na słowo. Stąd można deszyfrować większość komunikacji, nie posiadając klucza. W UseCrypt atak ten nie może mieć miejsca, gdyż każdy dźwięk jest kodowany stałą ilością danych – wyjaśnia Kamil Kaczyński, specjalista kryptolog.

Na potrzeby realizacji połączenia głosowego dokonywane jest kodowanie dźwięku z wykorzystaniem programowego Vocodera. Dane są poddawane procesowi szyfrowania i po stronie odbiorcy odtwarzane 1:1. Nie ma zatem mowy o przekłamaniu choćby pojedynczego dźwięku. Sam algorytm kompresji zapewnia dźwięk o jakości HD-Voice z częstotliwością próbkowania 16 kHz. Komunikacja głosowa wymaga od użytkownika posiadania łącza internetowego o prędkości minimum 28,8 Kb/s (wysyłanie i pobieranie). Oznacza to, iż połączenie może być w takiej samej jakości realizowane zarówno w sieci 3G, 4G, jak i 2G z wykorzystaniem transmisji EDGE. Transmisja GPRS może skutkować utratą części pakietów i nie jest zalecana dla połączeń głosowych.

W odróżnieniu od rozwiązań konkurencyjnych bazujących na kodekach o zmiennej przepływności (VBR), w UseCrypt Messenger wykorzystano kodek o stałej przepływności (CBR). Podyktowane było to zwiększeniem poziomu bezpieczeństwa całej usługi. Kodeki o zmiennej przepływności są podatne na ataki typu side-channel. Umożliwiają one odzyskanie większości komunikacji bez potrzeby dokonywania odszyfrowania. Kodek CBR jest całkowicie odporny na ten rodzaj ataków.

CBR, w przeciwieństwie do VBR, np. w Telegramie, nie pozwala na „odtworzenie zawartości rozmowy z 50–90% dokładnością w kilkunastu językach”. Tak twierdzi pięciu naukowców z Uniwersytetu Johna Hopkinsa z Katedry Nauk Komputerowych w Baltimore (USA). W swojej pracy naukowej tłumaczą, że:

Our results show that an eavesdropper who has access to neither recordings of the speaker’s voice nor even a single utterance of the target phrase, can identify instances of the phrase with average accuracy of 50%. In some cases, accuracy can exceed 90%.

UseCrypt Messenger zaprojektowano z myślą o najwyższym bezpieczeństwie. Celowo wykorzystany tu algorytm CBR zapewnia odporność na ataki side-channel.

Anonimowość rozmówców

Komunikator może być zarejestrowany na dowolny numer telefonu, także numer wirtualnego operatora. Nie jest wymagane, by na stałe łączyć komunikator z kartą SIM, ale początkowa instalacja aplikacji musi odbyć się poprzez przesłanie kodu SMS lub kodu z weryfikacji głosowej. Konieczność ponownej rejestracji występuje tylko po zmianie urządzenia lub przeinstalowaniu aplikacji. Komunikator może być wykorzystywany bez aktywnej karty SIM (wymagane jest wtedy połączenie z internetem).

Produkt firmy Usecrypt SA pozwala na animizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Ukrywany jest adres IP – każda ze stron komunikacji dysponuje jedynie adresem IP serwera pośredniczącego. To bardzo ważne w kontekście komunikatorów, które mogą łączyć się z serwerami na terytorium Stanów Zjednoczonych. Stwarza to szereg zagrożeń dla przetwarzanych metadanych połączeń, które mogą zostać ujawnione. UseCrypt Messenger ma bazę serwerową zlokalizowaną w Europie, która nie podlega jurysdykcji USA. Dodatkowo na żądanie klienta dla największych instytucji możliwe jest wdrożenie serwera w infrastrukturze klienta. Pozwoli to osiągnąć pełną kontrolę nad przepływem informacji. Ani jeden bit danych nie zostanie wysyłany poza serwery komunikatora wdrożonego w firmie.

Kilka zrzutów ekranu z aplikacji. Komunikator domyślnie blokuje wykonywanie zrzutów ekranu, co zabezpiecza przed szkodliwym oprogramowaniem. Funkcję tę można wyłączyć.

A co z fizyczną utratą urządzenia? W momencie zdalnego usunięcia komunikatora z urządzenia, np. z Google Play, klucz szyfrujący jest niszczony, aby nie dało się odszyfrować lokalnej kopii bazy danych wiadomości. Dodatkowo komunikator dysponuje funkcją Panic-Code, dzięki której można wymusić natychmiastowe usuwanie historii wiadomości i wyrejestrowanie numeru z usługi. Każdorazowy dostęp do aplikacji można zabezpieczyć kodem lub w ustawieniach wybrać taką opcję, by co 5 sekund każda wiadomość z czatu była automatycznie kasowana. Niemniej wiadomości przesłane przez komunikator są tak dobrze zabezpieczone jak telefon. Oznacza to, że zarówno telefon, jak i komunikator powinny być chronione hasłem dostępu (lub wzorem blokującym). W przeciwnym razie każda osoba postronna będzie miała dostęp do historii rozmów i wszystkich danych zapisanych w telefonie. Jednakże w przypadku UseCrypt Messengera używany jest drugi niezależny mechanizm, który sprawia, że trzeba pokonać zabezpieczenia zarówno telefonu, jak i aplikacji. A zatem po przejęciu telefonu nie będzie możliwe dostanie się do historii rozmów. To bardzo ważne, ponieważ właśnie w taki sposób wpadł współpracownik Donalda Trumpa, który korzystał z komunikatorów WhatsApp i Signal na BlackBerry.

Warto jeszcze wspomnieć o funkcji sprawdzania telefonu, czy ten jest podatny na ataki. Przede wszystkim komunikator domyślnie nie pozwala robić szkodliwemu oprogramowaniu zrzutu ekranu, sprawdza, czy dostępne są jailbreak dla iOS oraz root dla Androida. UseCrypt dzięki domyślnym zabezpieczeniom systemów mobilnych (w tym kontekście mowa o piaskownicy) nie zezwala na dostęp do mikrofonu, kamery ani głośnika innym aplikacjom podczas korzystania z komunikatora.

Dla kogo jest UseCrypt Messenger?

Przede wszystkim nie dla osób, które nie mogą zaakceptować miesięcznej opłaty w wysokości 65 zł. Użytkownicy, którzy nie godzą się na stałą kwotę, powinni nadal korzystać z komunikatorów, które znajdują się pod jurysdykcją obcych państw lub sięgnąć po komunikator wykorzystujący sieć Tor do ukrywania i szyfrowania wiadomości. Jeżeli chodzi o UseCrypt Messenger, to polskich użytkowników obowiązuje polskie prawo.

Autor: Adrian Ścibor, AVLab

Artykuł powstał we współpracy z UseCrypt SA

Artykuł UseCrypt – najbezpieczniejszy komunikator na smartfony pochodzi z serwisu CRN.

Artykuł Polska spółka idzie w świat pochodzi z serwisu CRN.