Mensagem segura na Internet: é uma ficção?

Dificilmente exista pessoas ao redor do mundo que não tenha enviado alguma mensagem pela Internet. Sozinho, o WhatsApp está instalado em centenas de milhões de celulares em todo o mundo

Dificilmente exista pessoas ao redor do mundo que não tenha enviado alguma mensagem pela Internet. Sozinho, o WhatsApp está instalado em centenas de milhões de celulares em todo o mundo e processa um total de dezenas de bilhões de mensagens por dia. Sem falar do Skype, Viber, ICQ e cerca de uma dúzia de outros serviços de mensagens instantâneas menos populares, incluindo os chats do Facebook, LinkedIn, e afins. No entanto, a popularidade dos serviço de mensagens instantâneas traz consigo a questão referente aos problemas de privacidade na troca de mensagens. Talvez possa parecer um absurdo este alerta, devido à grande quantidade de informações que compartilhamos na internet diariamente, mas há casos em que as mensagens têm que ser totalmente, totalmente privadas, sem qualquer possibilidade de que alguém possa estar nos espiando. Será que podemos nos comunicar online, de tal maneira que não deveríamos nos preocupar com as revelações de Snowden, por exemplo? Vamos dar uma olhada.

Prólogo

Para abordar esta questão, primeiro devemos considerar os aspectos em que uma cadeia de mensagens ou comunicação de voz pode ficar exposta a um terceiro. As opções não são muitas. Qualquer mensagem de qualquer natureza, incluindo texto, vídeo, foto ou voz é, em primeiro lugar, registrada em volumes de armazenamento local no sistema do destinatário e do remetente; em segundo lugar, essas mensagens são transferidas através de redes com ou sem fio; e, em terceiro lugar, são processadas pelo servidor do serviço (ainda que isso não seja obrigatório). E se alguém pudesse, em certa medida, controlar o acesso ao histórico de mensagens, o resto do caminho que as mensagens percorrem estaria completamente fora de controle. Certamente, a criptografia pode salvar o dia, mas não é completamente eficiente: quem pode garantir que o protocolo, especialmente se ele usa um algoritmo de criptografia comum, é completamente livre de vulnerabilidade?

Usemos o Skype como exemplo. Um tempo atrás ele era considerado, além de um bom meio de mensagens privada, uma fortaleza inatacável, que não permitia o acesso a ninguém, incluindo hackers e poderosas organizações governamentais. Mas desde que o Skype Ltd. perdeu a sua independência depois de ser adquirida pela Microsoft, as coisas mudaram, e agora nós não podemos ter a certeza de que se trata de uma plataforma 100% segura. 

O fato de que o WhatsApp processa dezenas de bilhões de mensagens diárias torna realmente dificil dizer que esta plataforma é completamente segura. As notícias sobre vulnerabilidades (mesmo só na versão Android) aparecem, pelo menos mensalmente. Por exemplo, um estudo recente do aplicativo provou que um arquivo criptografado que armazena o histórico de mensagens no seu aparelho pode ser hackeado em questão de segundos com um simples script. Assim mesmo, a recente aquisição do WhatsApp pelo Facebook não fez nenhuma favor à privacidade das mensagens. Isto é perceptível no fato de que Mark Zuckerberg pagou bilhões de dólares para melhorar a equipe de desenvolvimento e tecnologia, mas não para aperfeiçoar os dados do usuário.

Para fazer justiça aos serviços já mencionados, outras plataformas de mensagens gratuitas, como o Viber e o iMessage têm o mesmo tipo de problemas. Todos elas permitem formas relativamente fáceis de obter acesso à correspondência privada. Então, de certa forma, é melhor que estes serviços sejam propriedade de grandes corporações, já que devem prestar contas às autoridades responsáveis ​​pela aplicação da lei. Felizmente, para qualquer ação há uma contra-ação: com tantos serviços de mensagens inseguras existentes, recentemente começaram a surgir muitos programas melhores. Será que eles são capazes de salvar o problema vital de privacidade? Vamos descobrir. Mas em primeiro lugar, você tem que decidir qual o nível de segurança que mais você precisa.

Há um termo engraçado: “teatro de segurança”. É bastante auto-explicativo e significa medidas de segurança ostensivos que são usados ​​para fornecer uma ilusão de ação, sem considerar a eficiência do esforço. Se fôssemos fazer analogias, podemos lembrar as medidas de segurança anti-terroristas em instalações de transporte público: os objetos suspeitos e os indivíduos só são verificados apenas em estações selecionadas. As mesmas características podem ser aplicadas ao mundo do software, especialmente no caso das mensagens instantâneas. Isso não significa necessariamente que alguns serviços de mensagens instantâneas são completamente inúteis. É possível que algumas sejam uma boa alternativa para os usuários que não buscam um alto grau de privacidade ou alto nível de segurança. Os guardas que cuidam da inspeção anti-terrorista no metrô têm sido capazes de oferecer algum nível de proteção, afinal. Então, tendo dito isso, devemos reconhecer que ainda se pode seguir usando um serviço de mensagens que alguma vez falhou. 

Vamos dar uma olhada nas opções populares divididas em duas categorias.

A ilusão da segurança

Nesta lista, incluimos todos os serviços de mensagens que utilizam medidas de segurança correspondentes ou não garantem a proteção da correspondência no caso de ataques man-in -the-middle ) para esta lista .

Confide 

Em certo sentido, Confide é umm aplicativo de mensagem instantânea única. Todas as mensagens são organizados em caixas retangulares que escondem o texto e só é visível apenas sob um comando touch. Além disso, o aplicativo não oferece armazenamento a longo prazo para o histórico de mensagens, assim que se algum cibercriminoso conseguisse roubar seu celular, não seria capaz de acessar sus mensagens. Em uma tentativa de fazer uma captura de tela da mensagem, seu interlocutor seria notificado. Esses recursos são amplamente destacados pelos desenvolvedores de aplicativos: você pode ler , mas você não pode salvar . Mas há uma coisa. Caso o usuário deseje gravar a mensagem, ao invés da captura de tela, ele pode usar uma câmera para registrar o processo de comunicação palavra por palavra. Neste caso , o aplicativo pode ser classificado como um programa que exerce “segurança teatral”: a arte da proteção e a desabilitação das capturas de tela só uma ilusão de segurança. 

 

Confide

Wickr

Não é um aplicativo muito elegante em termos de design,mas é bastante ambicioso. O app se posiciona como uma solução não deixa nenhum vestígio de correspondência no dispositivo: ele apaga (em alguns casos, de forma irrevogável) o histórico de mensagens, tanto da memória do dispositivo como do servidor. Ele protege as mensagens com algoritmos de segurança de nível governamental, fornece meios de controlar a duração do período de armazenamento no histórico do destinatário  e desativa a cópia das mensagems. Este último, de forma semelhante ao aplicativo anterior, inclina-se sobre as limitações técnicas da funcionalidade do smartphone – uma abordagem que é inútil diante de uma câmera integrada em quase todos os aplicativos da Terra.

 

Wickr

Telegram

Ao falar sobre a segurança nos programas de mensagens instantâneas, como poderíamos ignorar Telegram? Este aplicativos é provavelmente a plataforma mais divulgada com o slogan  de”segura. Por que a gente incluiu na nossa lista de segurança ficcional? Bom, as medidas de segurança nunca foram objetivamente provadas  “sem precedentes” como tanto atestaram os desenvolvedores do aplicativo.

 

Telegram

Muitos lembraram a recompensa de $ 200.000 que os criadores desta solução ofereciam a quem fosse capaz de hackear o protocolo MTProto do Telegram. De fato, para muitos, esta calma poderia ser um poderoso argumento para a confiabilidade da plataforma. Ou seja, as ferramentas para hackear Telegram eram ineficientes e incapazes de colocar à pova o protocolo. Lembrando deste fato, um autor do cryptofails.com, advertiu que o MTProto é “um algoritmo altamente inseguro e pouco confiável, que ignora todos os estudos de criptografia significativos publicados nos últimos 20 anos” e recomendou aos desenvolvedores contratar um especialista real em criptografia.

Um detalhe mais curioso: apesar do complexo protocolo que serve de base para a Telegram, o aplicativo é vulnerável a ataques diretos. Não estamos estamos falando sobre o roubo de tráfego de dados, senão de algo muito simples . A coisa é que no registro, o usuário recebe uma mensagem de texto no telefone e tem de introduzir o código de segurança recebido para ativar o aplicativo. Mas, se um hacker se apodera das mensagens de texto da vítima, ele pode ativar sua cópia do aplicativo com código de outra pessoa e, consequentemente, receber todas as mensagens que são enviadas para a vítima. Considerando o fato de que a capacidade de ” bate-papo Seguro” não está habilitado por padrão, a privacidade da correspondência é, em larga medida, comprometida.

O que é bom do Telegram é a sua velocidade: as mensagens são entregadas instantâneamente. Então, é uma plataforma velaz ? Sim! É seguro? Bem, relativamente.

Segurança Honesta

Esta categoria inclui aplicativos e serviços que proporcionam um nível de segurança totalmente confiável com algumas características admiravéis e que podem proteger de possíveis ataques online.

Threema

Este é um projeto suíço que contou com crescente popularidade após a aquisição do WhatsApp pelo Facebook. Os desenvolvedores garantem a segurança da correspondência: em primeiro lugar, o software criptografa os dados de forma confiável na transferência; em segundo lugar, a privacidade do usuário ocorre através da confirmação cara a cara no momento de adicionar um novo contato. Este último pressupõe que os usuários têm que se encontrar-se pessoalmente e escanear códigos QR un dos outro celulares, Se bem que esta ideia pode ser interessante desde um ponto de vista da segurança, em muitos bastante casos resulta muito complicada. É claro, que você pode adicionar um novo contato em uma maneira da velha maneira, digitando manualmente o ID do usuário, mas, nesse caso, o nível de segurança é menor. Note que os desenvolvedores não podem ficar loucos buscando formas de demonstrar que seu produtos oferece nível de segurança “sem precendentes”, como também pode fazer falsas promessas. E sim, mais uma coisa: o aplicativo é o equivalente a dois dólares, pagos de um só vez.

 

Threema

Silent Circle

Este é um dos poucos projetos desenvolvidos por renomados gurus da criptografia. Neste caso, a equipe de desenvolvimento inclui Phil Zimmerman , autor de tecnologia de criptografia PGP. Da mesma forma que Telegram, o serviço Silent Circle se baseia em um algoritmo feito de propósito, chamado scimp. Sua vantagem reside na capacidade de apagar completamente as mensagens enviadas sem deixar vestígios: nem o remetente nem o destinatário jamais seriam capazes de recuperar qualquer parte da correspondência em seus aparelhos. Este recurso é habilitado manualmente e automaticamente : dentro de um determinado período de tempo após as mensagens serem enviadas  eles serão excluídos sozinhos. Mas o principal mérito desta palatforma é que o software se aplica a criptografia muito poderosa no tráfego de dados, por isso, o que tenta comprometer o app é inútil. De fato, a solução pressupõe a transferência de tráfego criptografado, incluindo, além de texto, vídeo e mensagens de áudio. Quanto ao resto, a plataforma, infelizmente, é cheia de falhas. E começam com o processo de registro ambíguo e terminam com o preço: assinatura de um ano para Silent Circle é no valor de 100 dólares americanos.

Silent Text

TextSecure

O aplicativo gratuito TextSecure livre foi bem recebido pelo público, e o seu desenvolvedor, WhisperSystems, foi muito falado por Edward Snowden. O programa é efetivamente um software muito simples, sem sinos e assobios ou configurações complexas, fornecendo criptografia poderosa tanto para saída como de entrada de mensagens armazenadas localmente. Para citar um par de pequenos inconvenientes, o aplicativo não tem uma muito boa funcionalidade e só é compatível com o Android, o que é uma imperfeição grave. A empresa desenvolvedora pertence ao Twitter e um de seus fundadores é Moxy Marlinspike, um famoso especialista em criptografia.

 

TextSecure

SJ

50 dólares é o preço para que se paga por este software que é provavelmente o mais caro, mas é o mais confiável programa de mensagens instantâneas para iOS. Sua principal vantagem está dentro da capacidade de utilizar individualmente as chaves complementares para enviar uma mensagem . A desvantagem depende da alfabetização técnica do usuário. Para aqueles que se acostumaram a usar regularmente o Skypes e WhatsApps, o SJ pode parece extremamente difícil de usar, por isso é tudo uma questão de sua escolha: ou um nível de segurança sem precedentes ou facilidade de uso.

 

SJ

Pidgin

Este é um programa de mensagem aberta, bastante popular, que tem um conjunto completo de protocolos de segurança. Ele é gratuito e compatível com sistemas Mac, Windows e Linux. No entanto, os desenvolvedores recomendam aos usuários da Apple tirar proveito do Adium, que suporta protocolos de criptografia de até 4096 bits, o que é mais do que suficiente. O software suporta perfeitamente o OTR (Off -the -Record Messaging) protocolo que serve para garantir a privacidade da correspondência, e também tem um monte de diferentes plug-ins. Uma vantagem significativa da solução, especialmente considerando o tema do artigo, é o suporte para XMPP/Jabber, um sistema de mensagens instantâneas descentralizada, flexível e seguro.

Pidgin

Cryptocat

Semelhante a outras soluções listadas em nosso material, Cryptocat é um software com capacidade de criptografia de mensagens, mas ao contrário dos outros, ele funciona como um navegador de desktop plug-in para o Chrome, Firefox, Safari e Opera. Para os usuários do Mac OS X e iPhone, no entanto, está disponível como um aplicativo separado. Algum tempo atrás, o serviço passou tentou comprometer os dados de entrada e saída e a equipe de desenvolvedores colocou um imenso esforço para aumentar o nível de segurança. O fato notável é que o Cryptocat é constantemente atualizado: a versão mais recente foi disponibilizada no início de abril. Curioso que o criador do projeto postou o seguinte texto no site do projeto: “Cryptocat não é uma bola mágica. Mesmo que o Cryptocat forneça criptografia útil, você nunca deve confiar sua vida em qualquer peça de software, e Cryptocat não é excepção”.

 

Cryprocat

Em breve

Listamos algumas soluções no âmbito desta categoria, uma vez que os seus criadores não lançaram totalmente o produto ainda, mas revelaram certas características. Vamos ver o quanto esses serviços deveriam corresponder às expectativas estabelecidas pelos seus desenvolvedores.

Heml.is

Independentemente do fato de que o serviço Heml.is ainda está em desenvolvimento, já atraiu uma boa dose de atenção. Não é surpresa, mas um dos participantes do projeto não é outro senão Peter Sunde, um dos fundadores do The Pirate Bay, o buscador de torrents. Entre as características do serviço está um protocolo baseado em XMPP e uma biblioteca PGO com uma base de criptografia. Entre as vantagens imediatas, podemos enumerar um design agradável (a julgar as apresentações disponíveis) e compatibilidade entre plataformas.

Em resumo: um programa de mensagens instantâneas como um futuro promissor ainda que não esteja disponível.

 

Hemlis

Tor Instantb Messaging Bundle  (TIMB)

A notícia de que a equipe de desenvolvimento de Tor estava trabalhando no desenvolvimento de um software de mensagens instantâneas é do final de fevereiro. Inicialmente, o produto deveria ser baseado no aplicativo Pidgin acima mencionado, mas mais tarde, a escolha foi feita em favor de Instantbird. TIMB, como uma noção, também suporta o protocolo de OTR do qual falamos antes. O enfoque de distribuição do aplicativo é susceptível de ser exercido, como parte do pacote Tor Launcher, mas a informação sobre a disponibilidade do aplicativo ainda não foi divulgada. Em todo caso, vale a pena esperar : que outro programa não só criptografa sua correspondência, mas também preservar o seu anonimato?

TIMB

Epílogo

É óbvio que a encriptação das menesagem é ideal. No entanto, para conseguir isso, muitas vezes deve comprometer seu orçamento ou a facilidade de uso ou o nível de segurança. Além disso, a proteção segura de comunicação online nunca está assegurada por um único programa, senão que depende de uma combinação de meios de segurança. Além disso, nenhum software é capaz de oferecer 100% de garantia de privacidade, nem pode sabber se sua rede é controlada desde o exterior, ou se algum malware se infiltrou no seu dispositivo, ou seja, um keylogger. Tendo isso em conta, a solução para o primeiro problema não é imediata, mas o resto dos itens são fáceis de tratar: um acesso VPN pago para o seu sistema é de cerca de 5 dólares por mês, no entanto, pode salvá-lo de ameaças provenientes de redes Wi-Fi públicas. Quanto aos keyloggers e outros malwares, há um confiavéis soluções de proteção como a nossa. Com esta proteção, basta adicionar qualquer programa de mensagens baseado em Jabber/XMPP e ter a certeza de que a sua comunicação na Internet será segura.

 

Tradução: Juliana Costa Santos Dias

Dicas