Proponha uma correção, faça uma sugestão
Os mais populares serviços de chat não são os mais seguros
Uma comunicação privada deve manter-se privada! Não? Deveria ser, mas são poucos os casos onde isso acontece. Um texto submetido num serviço de chat nem sempre é tratado da forma mais segura e pode estar a ser monitorizado por terceiros.
Projectos como o PRISM da NSA e outros mais que por aí haverão, fazem os utilizadores ponderar mais acerca da sua privacidade e procurar recuperá-la a todo o custo. Skype, Facebook Messenger, WhatsApp, Viber? São serviços para esquecer...
O grupo Electronic Frontier Foundation (EFF) dedica-se a defender a liberdade dos utilizadores na Internet, publicando também vários relatórios informativos do assunto.
O mais recente, proveniente da sua ferramenta denominada de Secure Messaging Scoreboard, procura classificar os serviços de mensagens instantâneas (IM) analisando alguns parâmetros. As questões que se colocam são:
- As mensagens são cifradas em todas as etapas da comunicação?
- A mensagem é cifrada ponto-a-ponto de forma a que o provedor de comunicações não lhe consiga aceder?
- É possível verificar a identidade de quem enviou a mensagem?
- Se a chave de encriptação for roubada, as mensagens mais antigas estão seguras?
- O código da aplicação ou serviço pode ser analisado de forma independente?
- A arquitectura e implementação da criptografia utilizada estão disponíveis para análise?
- O código e a sua implementação foram auditados por uma entidade independente no último ano?
Este é o caminho para que, ao serem cumpridos todos os pontos, um serviço de IM possa demonstrar o seu nível de segurança e confiança, embora a privacidade total continue, ainda assim, a não ser garantida.
A segurança nos serviços IM mais populares
Analisados assim vários serviços disponíveis e considerando os critérios referidos, um serviço que não cumpra os "requisitos" na totalidade pode ser, de forma grosseira, considerado inseguro.
Comecemos pelos mais populares.
É isso mesmo que está a pensar, uma desilusão. Os mais prestigiados serviços como Facebook Messenger, Skype, Hangouts, Viber e WhatsApp, não passam a mais que dois dos 7 testes, exceptuando o iMessage da Apple, o que significa que todas as mensagens lá trocadas poderão ter sido interceptadas por agências governamentais e não só.
Quais os serviços mais seguros?
Muito provavelmente não conhecerá nenhum destes serviços, no entanto, são dos mais seguros que pode utilizar.
Não são muitos, mas ainda assim os que existem permitem alguma margem para escolha:
- ChatSecure (iOS/Android)
- Signal (iOS) / RedPhone (Android)
- Silent Phone / Silent Text (iOS/Android, pago)
- Text Secure (Android)
Por que razão os serviços mais populares não cumprem os requisitos mínimos? Será propositado? Não é novidade que a privacidade online é um mito e as provas continuam a surgir, portanto, lembre-se desta informação sempre que trocar algumas mensagens "naquele chat" onde estão todos os seus contactos.
Fazia ideia do tipo de segurança presente nos mais populares serviços IM?
Este artigo tem mais de um ano
Loading ...
Nada eh seguro hoje em dia
Um artigo muito bom! 5 estrelas.
Não se arranja dados do Telegram?
O Telegram está listado na fonte do artigo.
O telegram não é mais utilizado que o iMessage? Porque não consta na lista?
Olhando para o número de mensagens enviadas em cada serviço, o iMessage é mais usado.
Segundo dados que a própria Telegram divulgou, esta processa cerca de mil milhões de mensagens diárias. O iMessage há 2 anos já processava 2 mil milhões de mensagens.
É um bom artigo baseado num mau estudo, pleno de falhas na execução.
Uma leitura atenta ao estudo e algum conhecimento mais aprofundado de alguns dos serviços fazem com que a validade deste documento seja altamente questionável!
Suponho que estejas a referir-te à metodologia. Conheces estudos melhores? Detalha as falhas que identificaste.
E isso quer dizer o quê? Que há serviços seguros? Isso não existe.
É sempre bom o conhecimento, mas então retratam programas para windows como o Skype, facebook chat, e depois como seguros só dão exemplos de programas para (telemóveis). Quando comecei a ler o artigo julguei que me falassem de programas como mIRC ou outras páginas on-line onde se escolhe uma sala de um determinado tema e fala-se do que quer que seja.
Obrigado
O estudo está errado, o iMessage e o Skype, pelo menos, têm verificação da identidade dos contactos.
“3. Can you independently verify your correspondent’s identity?
This criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised. Two acceptable solutions are:
– An interface for users to view the fingerprint (hash) of their correspondent’s public keys as well as their own, which users can verify manually or out-of-band.
– A key exchange protocol with a short-authentication-string comparison, such as the Socialist Millionaire’s protocol.
Other solutions are possible, but any solution must verify a binding between users and the cryptographic channel which has been set up. For the scorecard, we are simply requiring that a mechanism is implemented and not evaluating the usability and security of that mechanism.”
E o Whatsapp não ia integrar a encriptação do Textsecure no seu codigo? Esta feita essa integração ou ainda esta por vir?
Desde já os meus Parabéns pelo artigo 😉
Acho que a malta precisa é de coisas destas, nos dias de hoje… 😉
Eu preocupo-me mais em relação ao que uso… BBM.
[Verificação de Identidade]
A verificação de Identidade, é feita , quer usando BBM ou Pin Messages(um sistema tipo sms, que já existe há décadas..), usando o BB ID!!
Portanto ai deveria estar um SIM?!
http://btsc.webapps.blackberry.com/btsc/viewdocument.do;jsessionid=DB316623B30F3ABC6FFA665F83E1CEB6?externalId=KB23716&sliceId=2&cmd=displayKC&docType=kc&noCount=true&ViewedDocsListHelper=com.kanisa.apps.common.BaseViewedDocsListHelperImpl
Agora…eu penso que não seja em todos os TMs…mas pelo menos nos BB é suportado, há décadas…eu já alterei o meu BB ID, porque precisei de desenvolver uma app para BB10, e perdi a chave de aceso…essa brincadeira só por si Bloqueou-me o telefone, e cheguei a um ponto em que mais uma tentativa, e apagava-me tudo no tm…quando digo tudo é tudo mesmo, incluindo SO!
É um mecanismo usado para verificação de contactos, identidade, rastreio do equipamento, bloqueio do mesmo, ou eliminação de todos os dados existentes no mesmo.
Deveria estar um SIM ai na lista 😉
Em relação ao ISP, epah isso acontece em todos…porque a BB é obrigada por lei em cada País a fornecer mecanismos que permitam aos reguladores entregar informação sobre actos elicitos aos Tribunais!
No entanto as BB PIN Messages estão de fora desse mecanismo!
Mas é possível na mesma os Tribunais requisitarem acesso a logs sobre esse serviço!
A diferença é que aqui, o pedido tem que ser feito directamente o á BB, tendo em conta a lei, e não o ISP!
http://www.zdnet.com/article/if-bbm-is-helping-rioters-ripa-will-catch-them/
[Histórico Seguro]
Este aqui penso que só é possível ter no serviço BES(Serviço pago)!
Mas deveria haver uma nota a isso, e nesse caso deveria estar lá um sim.. 😉
Por ultimo, ainda tens o Serviço BB Protected, encriptado end-to-end em cima disto, que também é pago e é usado por Organismos Politicos, Empresas que precisam do mais alto nivel de segurança, Agencias militares, etc!
http://www.computerworld.com/article/2488999/encryption/blackberry-pushes-bbm-protected-for-end-to-end-encrypted-messaging.html
chegaste a ir ao site para perceber?
“Verificação de Identidade” é existir um método que permita à pessoa por si (independente do sistema de mensagem) confirmar que quem está do outro lado é realmente quem se pensa que é!
“3. Can you independently verify your correspondent’s identity?”
Não tem nada que ver com o BB ID ou os IDs doutros sistemas.
Mas não deixa de ser verdade que só em casos extremos é que isto pode ser útil!
“[Histórico Seguro]”
4. Are past communications secure if your keys are stolen?
This criterion requires that the app provide forward-secrecy, that is, all communications must be encrypted with ephemeral keys which are routinely deleted (along with the random values used to derive them). It is imperative that these keys cannot be reconstructed after the fact by anybody even given access to both parties’ long-term private keys, ensuring that if users choose to delete their local copies of correspondence, they are permanently deleted. Note that this criterion requires criterion 2, end-to-end encryption.
De forma bastante generalista é cada mensagem ter a sua própria chave de encriptação, que dificilmente alguém consegue recuperar para ler os conteúdos de mensagens interceptadas.
Segundo a EFF mesmo o BBM Protected não assegura isto
boas,
[Identidade]
“Verificação de Identidade” é existir um método que permita à pessoa por si (independente do sistema de mensagem) confirmar que quem está do outro lado é realmente quem se pensa que é!”
O BB PIN ID identifica-te na rede BB.
Por exemplo, se eu receber uma mensagem do PIN ID xpto, eu presumo que seja dele, porque cada mensagem que envias do teu equipamento…sai com o teu BB PIN ID!
Se recebo do xpto uma mensagem, é porque veio de lá…
OS BB PIN ID’s são únicos no mundo, pelo que identificam univocamente cada utilizador.
São criados aleatoriamente usando o teu BB ID, EMEI do equipamento etc.
Não sei, mas acho que mesmo quem tem BBM em Android ou ios, tem um BB PIN ÎD associado, e que é UNICO!
Agora para todos os SO’s, emails, etc??, isso só mesmo via assinatura digital.
Mas tens isso no serviço BES.
http://docs.blackberry.com/en/smartphone_users/deliverables/50635/als1341594004678.jsp
[Segurança]
“Note that this criterion requires criterion 2, end-to-end encryption”…
É o que o BB Protected oferece, encriptação end-to-end! 😉
http://us.blackberry.com/enterprise/products/bbm-protected.html
A encriptação end-to-end é uma encriptação de 3 layers.
No fundo de grosso modo,é encriptação em cima de encriptação..isto para cada mensagem…
de forma simples podes ver aqui..
http://www.pcmag.com/article2/0,2817,2459580,00.asp
outro local:
http://crackberry.com/more-details-emerge-about-ebbm-and-bbm-protected
“Plus, each message uses a new random symmetric key for message encryption. ”
[Pin Messages]
A malta diz que as BB PIN Messages são inseguras por exemplo…epah, depende de como vês a coisa..
Eu acho-as uma forma fantástica, simples e rápida de ter um mecanismo seguro, por algum tempo para enviar sms.
Muito Melhor que o formato de sms que temos actualmente por exemplo.
http://docs.blackberry.com/en/admin/deliverables/12058/PIN_encryption_keys_840390_11.jsp
Nunes…estamos a falar da BB, eu não sei se já te tinhas apercebido??
Não vale a pena estar a discutir isto se nem te dás ao trabalho de ir ler sobre qual é o critério de verificação de identidade – no fundo é a verificação independente de que não há um ataque “man in the middle”
Quanto ao outro ponto, lê como deve ser tudo!
Não é sobre se o serviço tem encriptação end-to-end, mas se o sistema de encriptação usado previne que haja reconstrução/recuperação de chaves que permita ler mensagens antigas interceptadas. Foi essa a avaliação que fizeram com base na documentação que a BlackBerry disponibiliza sobre o seu sistema. Certamente saberão mais do que tu sobre a fiabilidade do sistema quanto a esta questão!
“Nunes…estamos a falar da BB, eu não sei se já te tinhas apercebido??”
acorda! há outras soluções a usarem sistemas seguros com encriptação “end to end”. Na verdade o sistema da BB de encriptação “end to end” apareceu depois doutros terem lançado este tipo de soluções, como por exemplo a Apple!
há sim Nunes, ??!
o BlackBerry tem encriptação end_to_end,
entre BlackBerry há mais de uma decada… é o teu imessage a quanto tempo existe?
O BBM protected surgio agora é apenas porque a BlackBerry lançou ferramentas para ios e Android, pelo que faz sentido adicionar mais uma camada de proteção ao que já havia…
O imessage tem encriptação end to end de 3 layers?É funiona em outros SO’s?
Acho que não estás a querer ver aquilo que é obvio…
O teo imessage também gera uma chave para cada mensagem enviada??
epah…quer dizera…a BlackBerry usa TLS, que todos os outros usam na sua 3 camada de proteccao…sim terceira não primeira como os outros…
E o que e que eles dizem…epah há e tal e que dá para reconstruir chaves criptograficas… mas só da para o BB…
fica a pergunta no ar…então e os outros incluindo o teu imessage…que raio de encriptação e que usam na única camade de encriptação que usam?
Eu não digo que os problemas produtos que eles dizem seguros não o sejam… mas dizerem que a BlackBerry só tem o primeiro nivel..quando na prática tem muitos mais que os outros todos juntos..
Para mim tira credibilidade a esse organismo…mas é a minha opinião..
tens razão, o PIN messaging pode ser classificado como end-to-end, e existe há mais tempo!
“O teo imessage também gera uma chave para cada mensagem enviada??”
sim!
“E o que e que eles dizem…epah há e tal e que dá para reconstruir chaves criptograficas… mas só da para o BB…
fica a pergunta no ar…então e os outros incluindo o teu imessage…que raio de encriptação e que usam na única camade de encriptação que usam?”
lê como deve ser as coisas!
A análise é no caso de roubo de uma chave, se é possível recuperar/reconstruir chaves usadas para mensagens anteriores. Eles avaliaram como é que as novas chaves são geradas e verificaram esta debilidade.
“mas dizerem que a BlackBerry só tem o primeiro nivel”
mas quem é que disse tal coisa!??? Eles têm outra análise para o BBM Protected e determinam que há end-to-end encryption, o que significa que para eles não é primeiro nível!
epahh,
mesmo assim, há alguma coisa que não bate bem…
repara, em cima do algoritmo 3DES patenteado pela BB( sim não é o algoritmo comum… a BB tem montes de patentes em curvas elipticas para geração de números aleatórios, etc..), é que assenta o TLS…ou seja, como é que eles analisaram a geração de chaves que é feita, na camada 3DES??
É que a chave TLS é a mesma para cada sessão!
por baixo disto tens encriptação tripla com o algoritmo 3DES, e mais uma série de manipulações de bits “marado”…
Tu para quebrares a forma como as chaves são geradas para a camada 2, tinhas primeiro que quebrar a camada 3(TLS).
ou seja para aceder a info, tens que quebrar o TLS, depois adivinhar como é que as chaves sõ geradas,depois quebrar o 3DES, depois “quebrar” a manipulação de bits, ou seja repor os dados correctamente, e só depois é que acedes a info…
Se isto não é seguro?!… então meu caro não acedas ao teu banco online…porque esse usa TLS, não ha 3 encriptações neste processo, nem nenhum sistema hitech de bit Scrambling a não ser o TLS…
desliguem a NET!
Lê o que eles disseram! É em caso de roubo de chaves. Não precisam de quebrar o TLS, pois assume-se que nesta situação já se sabe a chave, etc!
ha esqueci-me…
O código da BB é auditado…mas não por uma empresa concorrente…como deves calcular a BB tem a sua galinha dos ovos de ouro na sua infraestructura e mecanismos de segurança, e nunca deixaria uma empresa concorrente analisar o seu código!
No entanto, as muitas empresas de segurança que a BB tem fazer analises de auditoria ao código da BB.
Não esquecer que a BB tem muitas empresas especialistas em Segurança!
E como tal , era estupido deixar outros concorrentes verem o seu código, e estupido também, porque como achas que os profissionais da BB reagiriam, ao ver que eles que são do melhor não podiam auditar o código, e tinha que ser auditado por uma empresa externa??
Afinal essa gente estaria lá a fazer o quê?
É que sõ eles que dão auditoria a NSA, ao governo americano, e aos serviços militares Americanos..e pelo menos um pouco por todo o mundo!
Não achas que estas empresas de segurança, teem mais do que condições para analisar o código de uma das Empresas do grupo??
Ou achas que a BB tinha que chamar uma empresa externa, para que lhes roubassem o “galinha dos ovos de ouro”??
“elicitos”? Está tudo dito! lol
queres explicar João??
Algo não bate certo neste artigo, o Whatsapp é o sistema de conversas com um sistema de encriptação avançada. Se vissem as notícias, Londres quer banir o sistema do Whatsapp porque não conseguem desencriptar as conversas!
Claro, se não conseguissem vinham a publico dizer. Terroristas de todo o mundo combinem os ataques por Whatsapp que nós não vos conseguimos ler as mensagens. Pois claro.
Londres quer banir Whatsapp, BBM, imessage, etc, etc, etc………….
Percebes-te?
Não é só o whatsapp, são todos 🙂
Algoritmos avançados de encriptação teem eles todos ;), uns mais que outros…
Para os Ingleses, esse é que é o problema!
Repara que os Ingleses não querem estar dependentes da NSA, e da sorte que houver na tentativa de decifrar algo…
Por ultimo essa brincadeira custa fortunas a sério, que os Ingleses na crise que estão, não estão dispostos a pagar!
Os artistas, querem roubar a tua info assim de mão beijada! 😉
Eu também queria muitas coisas e não tenho… lol
Eu uso o Surespot ( https://www.surespot.me/ )
Ainda está muito verde mas parece muito bom. Só falta mesmo a funcionalidade de se poder mensagens para um grupo de pessoas, de momento só é possível 1 para 1
Threema parece ser uma boa alternativa, embora não seja gratuita é de um só pagamento. Disponível para iOS, Android, Amazon apps e Windows Phone.
A segurança parece razoável. O maior problema será com certeza não o conteúdo em trânsito, mas manter o smartphone seguro… que com tantos problemas de segurança, deve ser quase impossível.