Tomasz Adamski z Instytutu Systemów Elektronicznych, Wydziału Elektroniki i Technik Informacyjnych na Politechnice Warszawskiej. Lektura o protokole, chociaż nie jest już najnowsza, to w dalszym ciągu zawiera ciekawe informacje o (nie)bezpieczeństwie korzystania (na tamten czas) ze Skype i innych komunikatorów. Jak przekonują twórcy Usecrypt Messenger, jest to pierwsza aplikacja na rynku, która oferuje pełną prywatność komunikacji. – Wszystkie znane nam komunikatory, w tym Facebook, WhatsApp, Viber i Telegram, oferują swoim użytkownikom obietnicę poufności…

Komunikator UseCrypt: Premium czy Standard?

Jakiekolwiek użycie lub wykorzystanie utworów w całości lub w części z naruszeniem prawa, tzn. Bez właściwej zgody, jest zabronione pod groźbą kary i może być ścigane prawnie. Podatność usługi autofwd.com nie była „rzekoma“, jej autor wyłączył serwis w dniu, w którym dostarczyłem mu opis kroków prowadzących do zdalnego, nieuwierzytelnionego przejęcia pełnej kontroli nad bazą danych. W sieci znajdziemy wiele artykułów, czasami sponsorowanych, na temat UseCrypt Messenger.

Aplikacja ta przede wszystkim wyróżnia się od innych, ponieważ dostęp do treści wiadomości bądź Brokery ilościowe rozszerza napastnik aby utworzyć algorytm dwóch w jednym rozmów posiadają tylko zainteresowane strony. Ponadto aplikacja ma też zaimplementowaną funkcję wykrywania ataków typu man-in-the-middle oraz tzw. Test inwigilacji, który informuje nas czy jakieś oprogramowanie nie ma czasem nielegalnego dostępu np.

Natomiast w sklepach z aplikacjami (mam tutaj na myśli głównie Sklep Google Play) widnieje naprawdę dużo opinii negatywnych i niezbyt przychylnych. Podobne komentarze znajdziemy pod nowszymi artykułami o UseCrypt Messenger. Zanim Europejczycy dotarli do Kenii, jej wybrzeże tętniło życiem.

W rzeczywistości ich klienci płacą najwyższą możliwą cenę – swoją prywatność – wyjaśniają. W przypadku Usecrypt Messenger cena pełnej prywatności wynosi 61,99 zł miesięcznie. Aplikacja oferuje jednak 30-dniowy bezpłatny okres korzystania.

To oczywiście mogłoby pozwolić na kopiowanie danych danego użytkownika, jak i na inne niezbyt dobre rzeczy. Przyjrzeliśmy się szczegółowo polskiemu komunikatorowi UseCrypt Messenger, który – jak zapowiadają twórcy – jest przełomem w nowoczesnej komunikacji telefonicznej. Czy faktycznie powstała bezpieczna alternatywna dla komunikatorów typu Signal, Facebook Messenger, Telegram czy Viber? Sprawdziliśmy, przetestowaliśmy i bylibyśmy hipokrytami, gdybyśmy nie wyszczególnili wad i zalet efektu pracy polskich inżynierów. Wiadomo nam, że z komunikatora korzysta administracja księstwa Monako, firmy IBM oraz DELL, które oferują swoje usługi klientom biznesowym. To jedne z większych i jawnych rekomendacji, które nie są poufne i które mogą zostać przedstawione publicznie za zgodą obu stron.

ciekawostek o historii Kenii

Signal, Viber, czy też WhatsApp użytkownicy mogą swobodnie określić lokalizację drugiej strony komunikacji. Nie bez znaczenia jest także fakt, że Usecrypt Messenger dysponuje bazę serwerową zlokalizowaną w Europie co oznacza brak podległości pod jurysdykcję USA. Brak szyfrowanych rozmów telefonicznych przez komunikator to jedyna różnica pomiędzy wersją Standard a Premium. Pozostałe wiadomości tekstowe (czat) są szyfrowane metodą end-to-end, a dostęp do nich jest możliwy wyłącznie po wpisaniu ustalonego przez użytkownika kodu zabezpieczającego bazę komunikatora.

Pełnimy też funkcję audytora w Cyber Transparency Forum oraz przynależymy do inicjatywy Microsoft Virus Initiative. Wielokrotnie na łamach ROOTBLOG-a wspominam o tym, że zamknięty kod Telegrama to jego ogromna wada. Tutaj też Signal ma ogromną (według mnie jedyną) przewagę nad Telegramem. Na szczęście Telegram powoli się otwiera i udostępnia kod swoich klientów. Nie wiemy kiedy (i czy w ogóle) twórcy udostępnią źródło backendu, jednak przynajmniej nie negują korzyści płynących z Open Source.

Usługodawca nie przechowuje danych Użytkowników na serwerze

Musicie jednak pamiętać, że korzystanie z UseCrypt nie sprawi, że będziecie w 100% bezpieczni w sieci – tego nie zapewni Wam żadne oprogramowanie. Twórcy jednak budują wizerunek tego najlepszego komunikatora, a podejrzane komentarze pod pewnymi artykułami mówią nie do końca prawdziwe informacje na temat innych tego typu produktów. Po prostu UseCrypt – tak jak Signal czy Telegram – jest podatny na pewne ataki, a te komentarze fakt ten wypierają. Chodzi tutaj o usługę autofwd.com, która już na dzień dobry straszyła linkiem HTTP, a nie HTTPS. Link wykorzystujący tę usługę miał być wysyłany do znajomych danego użytkownika jako zaproszenie do korzystania z UseCrypt. Autor artykułu z sukcesem przejął kontrolę nad autofwd.com/ucmessenger, co haker mógłby wykorzystać do przekierowywania potencjalnych użytkowników do klona komunikatora.

Problems with audio

UseCrypt Messenger do ochrony komunikatów tekstowych wykorzystuje protokół zapewniający zachowanie zasady forward-secrecy. Serwer pośredniczący nie przechowuje żadnych komunikatów przesyłanych przez użytkowników. Wiadomości pozostają bezpieczne, zamknięte w szyfrowanym sandbox, do którego dostęp z poziomu innych aplikacji nie jest możliwy. Użytkownik może sam zdecydować, czy chce przechowywać archiwum wiadomości czy bezpowrotnie usunąć. Aplikacja posiada rozwiązanie typu secret-chat, dzięki któremu Klient może sam zadecydować po jakim czasie wiadomości automatycznie są usuwane.

• Natomiast w sklepach z aplikacjami (mam tutaj na myśli głównie Sklep Google Play) widnieje naprawdę dużo opinii negatywnych i niezbyt przychylnych.
• Bez właściwej zgody, jest zabronione pod groźbą kary i może być ścigane prawnie.
• Co prawda, firma twierdzi, że nie generuje cyklicznych fali pochlebnych artykułów (później zrozumiecie, o co chodzi), tak pojedyncze przecież mogą się zdarzyć.
• Nie wątpię w możliwości UseCrypta, natomiast te ciągłe wyciekanie Signala i Telegrama to niezbyt prawdziwy argument, a mówienie, że otwarty kod to tylko zachęca hakerów do włamywania jest sporym naciągnięciem.
• Twój partner/Twoja partnerka może poprosić Cię o wpisanie hasła do aplikacji, by przejrzeć jej zawartość.

informacje o atakach

• WhatsApp, odkąd jest częścią Facebooka, zbiera o nas wszystko i dzieli dane z Facebookiem, co niestety ma tragiczny wpływ na naszą prywatność.
• Link wykorzystujący tę usługę miał być wysyłany do znajomych danego użytkownika jako zaproszenie do korzystania z UseCrypt.
• Pozwala to zachować pełną pewność co do bezpieczeństwa prowadzonej komunikacji ponieważ przy reinstalacji klucz jest niszczony bezpowrotnie.
• Generowany za każdym razem nowy klucz powstaje z wykorzystaniem protokołu ZRTP, a jego autorem jest ten sam człowiek, który stoi za protokołem PGP, do dzisiaj powszechnie stosowanym na całym świecie.
• Aplikacja oferuje jednak 30-dniowy bezpłatny okres korzystania.

Rozmówcy powinni te hasła porównać ustnie — zapytać siebie nawzajem, co widzą na ekranie. Więcej o protokole ZRTP, który bazuje na algorytmie Diffiego-Hellmana używanym w procesie ustalania kluczy kryptograficznych, napisali w języku polskim prof. ndzw. Wojciech Nowakowski z Instytutu Maszyn Matematycznych oraz prof. ndzw.

Dodatkowo Usecrypt Messenger, jako jedyna aplikacja sprawdza czy telefon nie został zhackowany. Tak jak pisałem wcześniej, utrzymanie infrastruktury nie jest tanie, ale jeśli komuś zależy na prywatności, to warto pobrać testową wersję i samemu sprawdzić UseCrypt Messenger. Jeśli chodzi o bezpieczeństwo współczesnego komunikatora UseCrypt Messenger, to producent zwraca uwagę na fakt, że na serwerze nie są przechowywane żadne dane i metadane, ani tym bardziej żadne adresy IP użytkowników. Tak naprawdę to serwery UseCrypta nie uczestniczą w procesie kryptograficznym. Jedyne co wymieniają, to cząstkowe informacje o parametrach szyfrowania, które pochodzą z obu urządzeń lub grupy urządzeń (jeśli uczestniczymy w grupowej konwersacji). W związku z tym dostawca usługi nie jest w stanie rozszyfrować danych, jakie przepływają przez serwer.

Dodaje się, że przecież taki Signal to otwartym kodem daje furtki hakerom, a statystyki wycieków jasno pokazują, że Signal i Telegram ciągle wyciekają, a taki UseCrypt w ogóle. Nie wątpię w możliwości UseCrypta, natomiast te ciągłe wyciekanie Signala i Telegrama to niezbyt prawdziwy argument, a mówienie, że otwarty kod to tylko zachęca hakerów do włamywania jest sporym naciągnięciem. Warto sobie od razu powiedzieć, że w sieci znajdziemy dwa rodzaje opinii na temat UseCrypt. Pierwsze będą wychwalać jaki to świetny produkt (o czym więcej powiemy sobie nieco później), drugie natomiast będą dosyć krytycznie podchodzić do tematu komunikatora. Niestety, naprawdę ciężko się doszukać opinii, które są wyśrodkowane. Większość z nich to rolnicy uprawiający ziemię na własne potrzeby… Zbiór informacji i ciekawostek o pracy w Suazi (zarobki, czas pracy, wiek emerytalny itd.).

Dla porównania UseCrypt Messenger nie przechowuje niczego na swoich serwerach, które są dodatkowo umieszczone w kilku państwach europejskich, gdzie prawo ochrony prywatności jest korzystne dla obywateli. Same serwery pośredniczące nie biorą udziału operacjach kryptograficznych, ponieważ klucze deszyfrujące są tylko na urządzeniach użytkowników. Co więcej UseCrypt Messenger w przypadku dezinstalacji usuwa klucz z urządzenia oraz wiadomości. Przydatna też jest funkcja zmiany naszego IP przez co zlokalizowanie drugiej strony połączenia jest niemożliwe.

Ponadto aplikacja ma cały szereg rewolucyjnych rozwiązań, nieobecnych w innych darmowych komunikatorach. Oznacza to, że operacje kryptograficzne wykonywane są tylko po stronie klientów, a klucze kryptograficzne dla danej pary użytkowników mają jedynie urządzenia końcowe. Serwer pośredniczący, przez który zestawiane są połączenia nie uczestniczy w żadnych operacjach kryptograficznych. Usecrypt Messenger pozwala też na anonimizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje bowiem węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Rozwiązanie to pozwala na ukrycie adresu IP przed komunikującymi się ze sobą stronami, bo każda z nich ma jedynie adres IP serwera pośredniczącego.

Usecrypt Messenger – tę aplikację po prostu chcesz mieć na swoim telefonie

Świat żyje aferą związaną z wykorzystaniem danych milionów internautów przez Facebooka, a użytkownicy dostają właśnie możliwość skorzystania z pierwszego w pełni bezpiecznego komunikatora – Usecrypt Messenger. A konta te chętnie negują wiele zastrzeżeń wobec UseCrypt Messenger. Moim ulubionym zastrzeżeniem jest fakt, że komunikator ten nie jest otwartoźródłowy. Argument ten – w skrócie – jest obalany komentarzami typu “po co ten otwarty kod? Fundacja AVLab dla cyberbezpieczeństwa stoi na straży ochrony prywatności i bezpieczeństwa w internecie. Jesteśmy stowarzyszeni w grupie roboczej Anti-Malware Testing Standards Organization.

Nadal musimy się pilnować w sieci i uważać co pobieramy, co oglądamy i co instalujemy. W wyżej wspomnianych komentarzach często stwierdza się jakoby Signal (na którym podobno to UseCrypt bazuje, ale nie mam tego jak potwierdzić) i Telegram miały ciągłe problemy z zabezpieczeniami, a UseCrypt w ogóle. Artykuł ten jasno udowadnia, że wszystkie programy – nawet te superbezpieczne – mają pewne podatności i ich odszukiwanie jest ważne, bowiem chroni przede wszystkich nas – użytkowników.