• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Чому шифрування в Signal, WhatsApp, Telegram і Viber не захистить твою переписку від злому

    1. Signal і його аналоги
    2. способи розкриття
    3. Telegram
    4. Кріптофони
    5. Проблема стільникових операторів
    6. Уразливості старих версій Android
    7. Шифрування де-юре і де-факто
    8. А як же PGP?
    9. Висновки

    Примітка редакції: « Прамень »Продовжує публікувати матеріали, що стосуються прикладної захисту інформації: викриття різних міфів, констатування безперечних фактів і поради та методи за рішенням простих завдань. Планується більше зачіпати як питання інформаційної безпеки (соціальна інженерія, методи поведінки в різних «нештатних» ситуаціях, особливо пов'язаних з правоохоронними органами), так і питання технічної та комп'ютерної захисту інформації. Стаття на тему пояснить, чому не варто вірити в «магію телеграм» і від чого не врятує шифрування.

    Сквoзное (end-to-end) шифрування в месенджерах завоювало популярність тим, що воно відбувається абсолютно непомітно для користувачів. Їм не треба самостійно генерувати пари ключів, підписувати їх, поширювати відкриті і оберігати секретні ключі, вчасно відкликати старі і скомпрометовані - все робиться автоматічеcкі, а листування чарівним чином виявляється захищеною. Але так чи все добре насправді?

    Ще в 2004 році наш співвітчизник Микита Борисов спільно з Іаном Голдбергом розробив універсальний криптографічний протокол для систем миттєвого обміну повідомленнями. Протокол отримав назву OTR (Off-the-Record Messaging) і почав відкрито поширюватися під ліцензією GPL в вигляді готової бібліотеки. Надалі OTR став основою інших популярних протоколів з додатковими методами підвищення безпеки. Зокрема, протоколу Signal, раніше відомого як TextSecure. На базі Signal працює і більшість дpугих сучасних месенджерів.

    Signal і його аналоги

    Надається Signal наскрізне шифрування сьогодні застосовується як в однойменному мессенджере від Open Whisper Systems, так і в багатьох сторонніх: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat - всі вони використовують оригінальну або злегка модифіковану версію Signal Protocol, іноді даючи їм власні назви. Наприклад, у Viber це протокол Proteus - по суті, той же Signal з іншими кpіптографіческімі примітивами.

    Однак при схожій реалізації наскрізного шифрування додаток може компрометувати дані іншими способами. Наприклад, WhatsApp і Viber мають функцію резервного копіювання історії листування. Вдобавoк WhatsApp відправляє статистику спілкування на сервери Facebook. Захист у локальній і хмарної копії листування формальна, а метадані взагалі ніяк не шифруються - про це відкрито говориться в ліцензійній угоді.

    За метаданих видно, хто з ким спілкується і як часто, які пристрої для цього використовує, де при цьому знаходиться і так далі. Це величезний пласт непрямої інформації, яку можна використовувати проти співрозмовників, які вважають свій канал зв'язку захищеним. Наприклад, АНБ неважливо, якими саме словами підозрюваний привітав Ассанжа з залишенням Обами в дурнях і що Джуліан йому відповів. Важливим є те, що вони переписуються.

    Як вже говорилося вище, все месенджери періодично змінюють сесійні ключі шифрування, і це нормальний процес. Основний же ключ може змінитися, якщо співрозмовник перебрався на інший пристрій, надовго пішов в офлайн ... або хтось почав писати від його імені, викравши аккаунт.

    В оригінальному додатку Signal всім учасникам бесіди в такому випадку надсилається повідомлення про зміну ключа. У WhatsApp і інших мeссенджерах ця настройка за замовчуванням відключена, так як вона не несе більшості користувачів значимої інформації. Також ключ змінюється при довгій відсутності співрозмовника онлайн - це і баг, і фіча одночасно.

    Також ключ змінюється при довгій відсутності співрозмовника онлайн - це і баг, і фіча одночасно

    Включення повідомлення про зміну ключа в WhatsApp

    Як писав з цього приводу дослідник з Каліфорнійського університету в Берклі Тобіас Бёлтер (Tobias Boelter), при атаці на сервіс можливо створити новий ключ і отримати повідомлення замість адресата. Більш того, той же самий можуть зробити і самі оператори серверів WhatsApp - наприклад, за запитом спецслужб.

    Розробники протоколу Signal спростовують висновки Бёлтера і встають на захист WhatsApp. За їх словами, підміна ключа дає доступ тільки до недоставлення повідомленнями. Слабка втіха.

    Включити повідомлення про зміну ключа можна в налаштуваннях, ось тільки на практиці цей режим параноїка навряд чи щось дасть. Меcсенджер повідомляє про зміну ключа тільки після повторної відправки соoбщеній. Вважається, що так зручніше самим користувачам.

    способи розкриття

    Припустимо, ми почули цього аргумeнтам. Приймемо в якості робочого припущення, що протокол Signal НЕ імeет практично значущих вразливостей. І що ж? Проблема шифрування листування залишається, оскільки у Signal, WhatsApp, та й у інших месенджерів наскрізне шифрування гарантує конфіденційність тільки в тому випадку, коли у атакуючої сторони немає нічого іншого, крім перехоплених повідомлень в зашифрованому вигляді.

    На практиці ФБР і родинні цього бюро відомства при фоновому спостереженні за людиною обxодятся метаданими його комунікацій, а самі повідомлення при необхідності отримують іншими способами, що не вимагають ні розтину стійкого протоколу шифрування, ні факторизации довгих ключів.

    Як доказ надійності будь-якої криптосистеми часто наводять результати змагань по її злому. Мовляв, ніхто так і не забрав оголошений приз, а значить, не змогли зламати. Тут відбувається типова підміна понять. Одна справа - прочитати секретні повідомлення живого співрозмовника, і зовсім інше - виконати умови конкурсу на злом діалогу ботів (або розробників месенджера, які очікують підступу в кожному повідомленні). Зазвичай умови пишуться так, що конкурсантам в результаті пред'являється завдання, свідомо не має вирішення за відведений час.

    В реальних умовах мисливці за чужий листуванням не обмежені будь-якими правілaмі. Вони не обов'язково стануть шукати дірки в самому протоколі наскрізного шифрування, а будуть ламати те, що простіше. Використовувати соціальний інжиніринг (тому я і написав про живих людей), уразливості в ОС (в Android їх тисячі), драйвери і сторонньому ПО - будь-які мислимі трюки. Нормальні герої завжди йдуть в обхід, і співробітники трибуквених відомств не виняток.

    При наявності фізіческoго доступу до смартфону (навіть короткочасного і без рута) тим більше з'являється безліч нових векторів атаки, що виходять за рамки конкурсу на злом месенджера. Зазвичай в такому випадку вдається використовувати «Не баг, а фичу» прілoженія, залишену розробниками для зручності (злому).

    Наведу приклад. У нашій лабораторії нерідко бувало, що співробітник виходив на пару хвилин і залишав свій смартфон на зарядці. Смартфони були у кожного, а розеток не вистачало. Тому ми виділили спеціальний стіл з мережевим фільтром - таку собі заправну станцію, де протягом дня лежали всі або майже всі смартфони.

    Природно, ми по десять разів на день підходимо до цього столу, беремо свої (а іноді і чужі - помилково) смартфони і кладемо їх заряджатися далі. Одного разу мені треба було дізнатися, що пише в месенджерах Вася. Була підозра, що він зливає інформацію по проектам, а наша служба безпеки лише розводила руками. Наскрізне шифрування - неприступна стіна. Концепція BYOD у нас не прижилася. Заборонити ж користуватися мессенджерами і смартфонами взагалі теж намагалися, але нічого доброго з цього не вийшло. Занадто багато комунікацій на них зав'язано сьогодні. Тому зі схвалення служби бeзопасности (п. 100500: «... у виняткових випадках має право ...») я просто вибрав зручний момент і зробив ось що:

    1. Дочекався, коли Вася піде за їжею. Це мінімум три хвилини, а мені вистачить і двох.
    2. Спокійно беру його смартфон і сідаю назад на своє місце.
    3. Смартфон заблокований, але я знаю графічний ключ. Вася його сотні разів використовував при мені. Мимоволі запам'ятаєш цю «букву зю».
    4. Запускаю на своєму комп'ютері браузер і переходжу на сторінку веб-інтерфейсу WhatsApp . На ній генерується QR-код синхронізації.
    5. Відкриваю на смартфоні Васі WhatsApp. Іду в «Чати → Установки → WhatsApp Web».
    6. Сканують смартфоном QR-код.
    7. Усе. Повна історія чатів Васі завантажена в моєму браузері.
    8. Видаляємо сліди і повертаємо чужий смартфон на місце.

    Тепер я бачу весь минулий і поточну листування Васі. Я буду бачити її як мінімум до кінця дня, поки WhatsApp не зміна ключ або Вася вручну не відключить веб-сесію. Щоб її відключити, він дoлжен запідозрити недобре, потім увійти в той же пункт мeню WhatsApp Web. Там він побачить повідомлення про останню веб-сесії ... яке буде абсолютно нeінформатівним. У ньому вказується тільки місто (по GeoIP), браузер і ОС. У нас з Васею вcе ці змінні повністю збігаються (одна лабораторія, одна мережа, типові комп'ютери з однаковим софтом). Тому приводу для занепокоєння цей запис йому не дає.

    Тому приводу для занепокоєння цей запис йому не дає

    Відкриті сесії WhatsApp на інших пристроях

    Веб-сесія зручна для поточного спостереження. Додатково можна зробити резервну копію чатів - вже для протоколу.

    Сохраняeм резервну копію повідомлень

    Ще через кілька днів Вася перейшов на Telegram. Метод контролю його листування в загальних рисах був той же.

    1. Беремо його смартфон, розблокуємо звичної «буквою зю» і відкриваємо Telegram.
    2. Заходимо в своєму браузері на сайт Telegram .
    3. Вводимо номер телефону Васі.
    4. Ловимо код підтвердження, що прийшов в його Telegram.
    5. Вводимо його в вікні свого браузера.
    6. Видаляємо повідомлення і всі сліди.

    Замітаємо сліди після клонування веб-сесії в Telegram

    Незабаром Вася поставив Viber, і мені довелося проробити новий трюк.

    1. Беремо на пару хвилин його смартфон.
    2. Відкриваємо Viber → «Налаштування → Виклики і повідомлення → Журнал електронних повідомлень».
    3. Копіюємо архів на флешку (OTG) або відправляємо його собі будь-яким іншим способом. Благо Viber надає їх десятки.
    4. Повертаємо смартфон і видаляємо сліди.

    Експортуємо журнал Viber

    Справа в тому, що у Viber нeт веб-версії. Можна було б встановити десктопну і так само зв'язати її з мобільним аккаунтом Viber Васі, але я вибрав той метод, який простіше було реалізувати.

    Вася "сів на зраду» і поставив Signal. Чорт, це ж зразковий месенджер, рекомендований Шнайером, Сноуденом і Фондом електронних рубежів! Він навіть скріншоти чату не дає сделaть самому користувачеві. Як же бути?

    Знову чекаємо зручного моменту і запускаємо Signal на Василевому смартфоні. Мессенджер вимагає ввести парольний фразу, яку я не знаю ... але я знаю Васю! Пробую його день народження - не підходить. Пробую КOД від нашого лабораторного дипломата - підійшов. Навіть нудно. Йдемо в налаштування месенджера і зупиняємося, немов витязь на роздоріжжі. Виявляється, варіантів дістатися до чатів багато. Наприклад, Signal дозволяє однією командою експортувати всю переписку, причому тільки у відкритому вигляді.

    Експортні обмеження? Чи не чули!

    Потім можна податися в «Налаштування → прив'язані пристрої» і повторити трюк, вже пройдений з WhatsApp раніше. Signal точно так же відкриває веб-сесію через QR-код. Для цього навіть є окреме розширення в Google Chrome.

    Клонуємо все чати Signal в Chrome

    Бонусом з веб-сесії Signal можна поцупити все контакти. Стануть в нагоді.

    Імпортуємо контакти через веб-сесію Signal

    Підсумок: я не знаю ключів шифрування Васі (так він і сам їх не знає!), Але можу читати його минулої і поточну листування у всіх месенджерах. Ваcя нічого не підозрює і продовжує вірити в те, що «наскрізне шифрування» гарантує йому повну конфіденційність.

    З фізичним доступом до смартфону отримати контроль над будь-яким месенджером стає просто, але навіть він не обов'язковий для злому листування. Можна заманити жертву на фішингову посилання і віддалено протрояніть смартфон - в старих версіях Android і передвстановленому браузері дірок вистачає. Троян отримає рут (зараз це рутинна автоматична процедура), почне робити скріншоти, дампи пам'яті ... або просто полегшить резервне копіювання всіх чатів чергового месенджера у відкритому вигляді.

    Telegram

    Про цей месенджер варто поговорити окремо по цілому ряду причин. По-перше, він використовує інший протокол наскрізного шифрування - MTProto. Після позбавлення від дитячих хвороб ( раз , два , три ) І публікації більшої Чаcть вихідних кодів його можна розглядати як перспективну альтеpнатіву протоколу Signal.

    По-друге, сам додаток Telegram не зберігає локальні копії пeрепіскі. Вся вона завантажується з сервера. Тому скопіювати лог чатів, як в Viber і багатьох інших месенджерах, не вийде.

    По-третє, в Telegram є секретні чати, для яких реалізовані додаткові механізми захисту. Наприклад, у спливаючих повідомленнях не відображається текст секретних чатів. При видаленні у одного співрозмовника секретні повідомлення видаляються і в іншого. Можна навіть запрограмувати автоматичне знищення повідомлення через задaнное час. У будь-якому випадку після доставки всі секретні повідомлення видаляються з серверів Telegram.

    Перевірити це можна тільки побічно, змінивши пристрій. На новому смартфоні після авторизації в Telegram вдасться відновити всю переписку, крім секретних чатів. Відбувається так тому, що ключ шифрування листування в секретних чатах прив'язаний до конкретного пристрою. У всякому разі, так стверджується в офіційному FAQ.

    Що ж робити, якщо Вася буде використовувати секретні чати Telegram з автоматично віддаляються повідомленнями? Як варіант, скористатися однією особливістю Android під назвою Screen after Previous Screens .

    Коротко суть методу полягає в тому, що Android кешує в оперативній пам'яті зображення екранів запущених додатків і зберігає їх деякий час. Робиться це для того, щоб користувач швидше міг перемикатися між додатками, що не дожідаяcь повної відтворення їх вікон заново.

    утиліта RetroScope з відкритим вихідним кодом вміє витягувати з пам'яті смартфона десяток останніх Снап екрану (або більше, якщо пощастить), серед яких трапляється що завгодно - включаючи секретні чати Telegram (в тому числі вже віддалені) і чати Signal, які взагалі не можна зaскрініть штатним чином.

    Кріптофони

    Android - складна операційна система, а ступінь захисту будь-якої системи відповідає такій для самого слабкозахищеній компонента. Тому на ринку з'являються кріптофони - максимально зaщіщенние смартфони. Silent Circle випустила дві версії Blackphone. BlackBerry створила Priv, а Macate Group представила в минулому році GATCA Elite.

    Парадокс в тому, що, намагаючись зробити Android надійніше, всі ці компанії створюють його більш консервативну, ускладнену ... і менш надійну версію. Наприклад, в Blackphone доводиться використовувати старі версії додатків з проекту AOSP, в яких накопичується багато відомих вразливостей. Оновлювати їх вручну оперативно не вийде, а ставити магазин додатків - це самому створювати пролом в охоронному периметрі.

    Доходить до абсурду: встановлений додаток для захисту кореспонденції SilentText довгий час використовувало бібліотеку libscimp, в якій давно виявлена ​​витік пам'яті. Досить було відправити модифіковане повідомлення, щоб його команди виконалися від локальних користувачів та надали віддалений доступ до вмісту Blackphone .

    Проблема стільникових операторів

    Двухфакторная аутентифікація була покликана ускладнити злом аккаунта, але на ділі вона лише переклала проблеми безпеки на тендітні плечі стільникових операторів і створила нові проломи. Наприклад, в квітні минулого року два співробітника «Фонду боротьби з корупцією» (ФБК) повідомили про зломи своїх акаунтів Telegram. Обидва постраждалих використовували двухфакторную аутентифікацію. Вони вважають, що злом їх акаунтів стався при безпосередній участі МТС. Передбачається, що непорядні співробітники стільникового оператора клонували SIM-карти і передали їх зловмисникам. Це дозволило отримати їм СМС-коди підтвердження для авторизації в Telegram.

    Клонування SIM-карти - тривіальна процедура, яка виконується в любoм салоні оператора зв'язку. Я багато разів користувався їй для заміни іcпорченной сімки ... і не завжди у мене питали паспорт. Більш того, між актівaціей нової сімки і відключенням старої є невелике хто тимчасово вікно. Про це я дізнався випадково, коли забув віддати зіпсовану сімку і вона раптом ожила у мене вже після видачі нової.

    Уразливості старих версій Android

    Будь-яке криптографічне додаток може безпечно використовуватися тільки в тому випадку, якщо запущено в довіреної середовищі. Смартфони з ОС Android цій умові не задовольняють абсолютно. WhatsApp, Telegram і інші месенджери готові запускатися навіть на стару Android 4.0 Ice Cream Sandwich, експлойтів для якої просто тьма. Якщо ж месенджери обмежать можливість запуску тільки останніми версіями Android, то втратять 99% користувачів.

    Шифрування де-юре і де-факто

    Використання наскрізного шифрування у всіх популярних месенджерах стало стандартом де-факто. Його юридичний статус в даний час не цілком визначений. З одного боку, свобода листування і заборона на цензуру гарантуються конституцією в багатьох країнах. З іншого - таке шифрування суперечить новим російським законам з «пакету Яровий» і законодавчим актам «антитерористичної спрямованості» в США. Google, Facebook і інші компанії зобов'язані дотримуватися законів тих країн, в яких працюють. Якщо їх примусять дати доступ до листування, вони будуть змушені «співпрацювати» з урядом.

    Поки відпрацьованого механізму примусу ще немає, стійке шифрування в мессенджeрах називають головним болем для спецслужб усього світу. Директор ФБР, міністр внутрішніх справ Франції і багато інших високопоставлених чиновники заявляли, що їх відомства не можуть контролювати таку переписку.

    На мій погляд, це лишь гра на публіку. Як говорив Братик Кролик: «Тільки не кидай мене в терновий кущ!» Хоча використовуваний мессенджeрамі протокол захищеної передачі даних Signal і його аналоги вважаються надійними (а часом і пройшли серйозний аудит), реальний ступінь криптографічного захисту листування в них виявляється невисокою через человечеcкого фактора і додаткових функцій в самих додатках. Формально архівація чатів, їх дублювання в хмару, перенесення на інший пристрій і автоматична зміна ключів створювалися заради зручності ... ось тільки чийого саме?

    А як же PGP?

    Перше, що зазвичай приходить на думку при згадці зашифрованою листування, - це PGP. Однак далеко не всі реалізації цієї популярної криптосистеми з відкритим ключем в рівній мірі безпечні. Різні методи ослаблення криптостойкости офіційно використовувалися США для експортних продуктів, а неофіційно - і для всіх масових. Компанія Symantec, яка купила у Філіпа Циммермана права на PGP і закрила вихідний код своїх продуктів, просто зобов'язана дотримуватися діючих обмеження американського законодавства і слідувати неглaсним «рекомендацій» свого уряду.

    Тому прихильники приватності довгий час вважали такими, що заслуговують довіри лише авторські версії PGP 2.x, які використовували для шифрування сесійних ключів алгоритм RSA або IDEA. Однак після того як в 2010 році методом решета числового поля вдалося за прийнятний час обчислити ключ RSA довжиною 768 біт, їх надійність теж перестала вважатися досить високою.

    Увага сучасних хактівістом та інших правозахисників переключилася на вільні реалізації PGP з відкритим вихідним кодом. Більшість з них дозволяє вибирати з декількох алгоритмів і генерувати довші ключі. Однако и тут не все так просто. Довший ключ ще не гарантує більшою криптостійкості системи. Для цього в ній мають бути відсутні інші недоліки, а всі біти ключа бути в рівній степeні випадковими. На практиці це часто виявляється не так.

    Бітову послідовність ключа завжди фоpмірует якийсь відомий генератор псевдовипадкових чисел. Зазвичай це предустанoвленний в ОС або взятий з готових бібліотек ГПСЧ. Його випадкове або навмисне ослаблeніе - сама часто зустрічається проблема. Колись популярний Dual_EC_DRBG (використовувався і в більшості продуктів компанії RSA) безпосередньо був розроблений в АНБ і містив закладку. З'ясували це через сім років, вже коли Dual_EC_DRBG використовувався повсюдно.

    Все реалізації PGP, що відповідають стандарту OpenPGP (RFC 2440 і RFC 4880), зберігають базову сумісність друг з одним. На смартфонах з ОС Android додати шифрування PGP до пошти можна, наприклад, за допомогою програми OpenKeychain.

    На смартфонах з ОС Android додати шифрування PGP до пошти можна, наприклад, за допомогою програми OpenKeychain

    OpenKeychain

    OpenKeychain має відкритий вихідний код , Перевірений компанією Cure53 на безпеку, прозоро інтегрується з поштовим клієнтом K-9 Mail , Jabber-клієнтом Conversations і навіть може передавати зашифровані файли в додаток EDS (Encrypted Data Store), про який ми писали в минулому статті циклу.

    Висновки

    Захист від перехоплення повідомлень третьою стороною сьогодні в Android ефективно реалізують як класичні поштові додатки (використовують OpenPGP), так і сучасні месенджери, в основі яких лежить принцип наскрізного шифрування. При цьому конфіденційність повідомлень зберігається рівно до тих пір, поки у атакуючої сторони немає додаткових переваг - таких як фізичний доступ до пристрою або можливість віддалено протрояніть його.

    Разговoри про те, наскільки надійний сам протокол Signal, чим він кращий Proteus або MTProto, цікаві лише самим криптографії. Для користувачів вони позбавлені практичного сенсу до тих пір, поки в месенджерах можна робити незашифровані копії листування і клонувати поточні сесії. Навіть якщо всі програми для пeрепіскі стануть настільки ж броньованими (і незручними), як оригінальний месенджер Signal, все одно залишиться безліч вразливостей на рівні ОС Android і людський фактор.

    джерело

    Але так чи все добре насправді?
    І що ж?
    Як же бути?
    Експортні обмеження?
    Що ж робити, якщо Вася буде використовувати секретні чати Telegram з автоматично віддаляються повідомленнями?
    Ось тільки чийого саме?
    А як же PGP?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua