Naga Markets



Wiele mówi się ostatnio o włamaniach na giełdy kryptowalutowe, natomiast mniej wspomina się o znacznie częstszych przypadkach kradzieży kryptowalut, gdzie słabym ogniwem okazał się być pozornie bezpieczny, „darmowy” komunikator, brak dodatkowych zabezpieczeń w telefonie komórkowych lub po prostu niefortunny zbieg okoliczności. Nikomu z czytelników nie życzymy, bo spotkało ich to, co osoby wypowiadające się w poniższym materiale filmowym. Jak dowiemy się w drugiej części artykułu, kradzieżom kryptowalut można łatwo i skutecznie zapobiec.


Jak mogło do tego dojść?

Wielu z nas żyje w przekonaniu, iż korzystając z popularnych komunikatorów oraz aplikacji mobilnych i komputerowych, nasze dane są bezpiecznie. Okazuje się, iż zarówno systemy operacyjne, jak i poszczególne aplikacje zbierają i przechowują mnóstwo informacji na nasz temat. Przekonujemy się o tym na własnej skórze między innymi gdy do naszej skrzynki mailowej przychodzą tony niechcianych wiadomości typu spam oraz gdy wydzwaniają nachalni przedstawiciele handlowi, przedstawiciele banków, ubezpieczycieli czy też firm oferujących podejrzane inwestycje.

Zobacz również: Telegram: największe ICO czy SCAM?

Jednym ze źródeł przecieku danych są popularne komunikatory takie jak WhatsApp, Facebook Messenger, Signal czy Telegram. Gromadzą one na swoich serwerach w chmurze ogromne ilości informacji na temat użytkowników, w tym zdjęcia, wiadomości, filmy oraz dokumenty przesłane m.in. w ramach chatów. Jak przyznał to z rozbrajająca szczerością sam twórca Facebooka, Mark Zuckerberg „Prywatność nie jest już społeczną normą”. Tak się składa, że prywatność jest ważnym czynnikiem stojącym za dynamicznym rozwojem kryptowalut. Jest także istotna dla bezpiecznego ich przechowywania oraz korzystania z nich.

Czy nasze prywatne dane są odpowiednio chronione?

Czy w zamian za oddawanie za darmo naszych cennych danych stosowane są przynajmniej solidne zabezpieczenia? Jeśli algorytmy Facebooka potrafią wpłynąć na wyniki wyborów – o czym powszechnie mówi się w odniesieniu do tych z 2016 roku, w ramach którym prezydentem Stanów Zjednoczonych został Donalad Trump, na powyższe pytanie łatwo jest odpowiedzieć. Wykorzystanie skrojonych na miarę, zindywidualizowanych kampanii agitacyjnych za pomocą Facebooka stało się także tematem dyskusji o czynnikach, które przeważyły szalę zwycięstwa zwolenników brexitu. Jeśli można skutecznie pozyskać dane dotyczące milionów użytkowników, tym bardziej jest to możliwe w odniesieniu do pojedynczych osób. Jeśli chcielibyśmy przeanalizować historie osób, które okradziono z kryptowalut, okazuje się, że często kroki prowadzą do niewinnych informacji na portalach społecznościowych o tym, że interesowały się kryptowalutami lub wymiany wiadomości na czacie.

Nie ma czegoś takiego, jak darmowy lunch

Aby móc korzystać z dobrodziejstw „darmowych” komunikatorów i portali, dobrowolnie wpisujemy nasze podstawowe informacje, takie jak numer telefonu czy adres mailowy w ramach procesu rejestracji. Usługi, które w zamian otrzymujemy są tylko pozornie bezpłatne. Nasze dane nie tylko nie są odpowiednio chronione, lecz co gorsza, firmy stojące za popularnymi komunikatorami wymieniają się sensytywnymi informacjami i sprzedają je na masową skalę. Przykładem tego może być przekazanie przez WhatsApp na rzecz Facebooka w 2016 roku ponad miliarda numerów telefonów, do wykorzystania w celach marketingowych. Być może zgodnie z literą prawa było to działanie legalne, jednak mało kto ma czas i ochotę na przekopywać się przez strony zawiłych regulaminów.

Zobacz również: Indyjski polityk zamieszany w kradzież Bitcoina

Aby  możliwe było przechowywanie takich ilości danych, firmy, do których należą popularne komunikatory korzystają z olbrzymich serwerowni, rozmieszczonych w różnych krajach, zaś informacje na temat ich lokalizacji nie są, w przeciwieństwie do naszych danych, podawane do wiadomości ogółu. Ich pojemności liczone są już w petabajtach (1 petabajt to 1 mln gigabajtów). Dodatkowo firmy te często wynajmują serwery u dostawców usług chmurowych – na przykład Signal korzysta z usług Amazon AWS, największego potentata w tej branży.  Kluczowe dla użytkowników dane powinny być umieszczane na dedykowanych, odpowiednio zabezpieczonych serwerach – bez korzystania z usług pośredników.

Podsłuchy nie tylko domeną polityków od „ośmiorniczek”

Do kradzież kryptowalut może też dojść w wyniku podsłuchania rozmowy. To, że jest ona szyfrowana nie daje gwarancji bezpieczeństwa, nawet przy użyciu klucza kryptograficznego – są one w przypadku większości komunikatorów generowane przed wykonaniem połączenia. Stwarza to potencjał poznania przez hackerów tychże kluczy, co zwiększa prawdopodobieństwo przechwycenia rozmów. Metody szyfrowania różnią się też miedzy sobą skutecznością. Tym stosowanym w popularnych „darmowych” komunikatorach wiele brakuje do ideału. Osoby narażone na wyciek nie tylko same mogą mieć problemy, ale również narazić na zagrożenie swoich rozmówców.


Już teraz skorzystaj z serii darmowych materiałów edukacyjnych i dołącz do Strefy eLearn portalu Comparic.pl!

Ktoś powie, ale przecież rozmowy telefoniczne można zaszyfrować na poziomie każdego słowa? Jednak i tutaj hackerzy wypracowali swoje skuteczne metody, np. tzw. atak słownikowy. Co to takiego jest? Opiera się na językowych danych statystycznych – pewne słowa pojawiają się z większą częstotliwością w codziennej komunikacji (np. „tak”, „iść”, „dobrze”). Hackerzy mogą dokonać porównania zaszyfrowanego tekstu na bazie tego jak często występują dane litery, sylaby lub całe wyrazy w danym języku. Następnie sprawdzane są wahania strumienia danych VBR dla danych słów, przez co można określić nie tylko, w jakim języku porozumiewają się użytkownicy, ale także treść rozmowy. Jak udowodnili naukowcy z John Hopkins University, języki mówione opierają się na pewnych łatwo rozpoznawalnych wzorcach. Na podstawie VBR naukowcy byli w stanie odczytać 90% wypowiedzi w 14 różnych językach. Ponadto w popularnych komunikatorach klucze kryptograficzne są ustalane przed wykonaniem połączenia, co jest dość ryzykownym rozwiązaniem. Przechwycony klucz to więcej niż połowa sukcesu do podsłuchania rozmowy.

Usecrypt – rozwiązanie od najlepszych specjalistów od szyfrowania

Pod koniec ubiegłego roku obchodziliśmy 85-tą rocznicę złamania przez polskich matematyków niemieckiej maszyny szyfrującej – Enigmy. Tak się składa, że zespół europejskich specjalistów, z dużym udziałem Polaków właśnie, opracował aplikację Usecrypt Messenger. Zaprojektowana została ona w taki sposób, by zmaksymalizować bezpieczeństwo prowadzonych rozmów, zarówno głosowych, jak i czatu tekstowego. Pomimo tego, iż wykorzystuje zaawansowanej technologie, zadbano o przyjazny dla użytkownika interfejs oraz intuicyjność obsługi. Według zapewnień twórców, nowa aplikacja ma zrewolucjonizować świat komunikacji mobilnej. Rozmowa z jej wykorzystaniem, jeśli przyjrzymy się bliżej zastosowanym zabezpieczeniom, może być bardziej bezpieczna niż bezpośredni kontakt twarzą w twarz. Rozwiązania te wychodzą naprzeciw zapotrzebowaniom m.in. w zakresie ochrony kryptowalut.

Nie potrzebne są nam Twoje dane

Dewiza  specjalistów z zespołu Usecrypt brzmi: Twoje kontakty to nie nasza sprawa. Nie ma też  mowy o handlu lub wymianie danych np. do celów reklamowych. Firma nie ma żadnego interesu w tym, by przechowywać i przetwarzać dane użytkowników, gdyż jej model biznesowy opiera się na miesięcznych opłatach abonamentowych. Wiadomo za co się płaci, nie trzeba przekopywać się przez napisane drobnym drukiem i niejasne klauzule.

Twórcy Usecrypt bardzo poważnie podchodzą do kwestii prywatności. Ich serwery nie przechowują informacji o użytkownikach, a tym bardziej przesyłanych plików, czy treści wiadomości, lecz są jedynie pomostem do celów bezpiecznej komunikacji.  W ramach ciekawostki nadmienimy, iż na dzień dzisiejszy Usecrypt korzysta zaledwie z dwóch serwerów o pojemności 240 GB każdy, w tym na jednym z nich zapisywana jest kopia zapasowa. Co ważne, administrator serwera nie ma  możliwości odczytania przepływających danych – gdyż nie zna ich parametrów algorytmicznych. W ramach aplikacji nie tworzone są także biblioteki szyfrowanych wiadomości, do których mogliby się włamać hackerzy by z kolei wykraść nasze kryptowaluty.

Najlepsze protokoły dodatkowo wzmocnione

W procesie ustalania kluczy kryptograficznych w aplikacji Usecrypt, stosowany jest protokół Diffiego-Hellmana. Wykorzystywane są jednak wzmocnione parametry – każdy klucz ma długość aż 3072 bitów. Większość komunikatorów, które opierają się na tym protokole, trzyma się minimalnej długości wynoszącej 2048 bitów, inne stosują mniej bezpieczne protokoły. O skuteczności szyfrowania i odporności na złamanie decyduje właśnie długość klucza w bitach – co przekłada się na liczbę możliwych kombinacji. Jakie ma to znaczenie? Dla przykładu szyfrowanie 128-bitowe jest aż bilion razy mocniejsze od szyfrowania 40-bitowego. Zatem Usecrypt pozostawia konkurencję daleko w tyle.

Zobacz również: George Friedman: Blockchain zostanie odszyfrowany

Całość komunikacji użytkownika szyfrowana jest w trybie end-to-end, co oznacza, że procedury kryptograficzne odbywają się wyłącznie po stronie klienta. Klucze kryptograficzne dla danej pary użytkowników są przechowywane na poszczególnych urządzeniach – nigdzie indziej. Serwer, za pomocą którego następuje łączenie, jest tylko pośrednikiem i nie bierze udziału w procesie szyfrowania. Jak przystało na specjalistów od kodowania, opcja szyfrowania jest włączona domyślnie i nie ma możliwości, żeby z niej zrezygnować.

Czas to pieniądz

Klucze kryptograficzne w ramach Usecrypt Messenger są generowane do każdej rozmowy indywidualnie. Jest to możliwe dzięki wykorzystaniu protokołu ZRTP (Zimmermann real-time protocol, wspomniany wcześniej protokół Diffiego-Hellmana jest jego częścią). Klucze te mają bardzo krótką żywotność – tracą ważność po 60 minutach, zaś po upływie tego czasu połączenie jest przerywane. Natomiast złamanie klucza o długości 3072 bitów wymagałoby wykonania 2128 operacji – dużo dłużej niż liczy sobie obliczony przez naukowców wiek wszechświata. W tym czasie nie poradziłby sobie z tym nawet cały zespół hackerów.

Zobacz również: Hackerzy stworzyli miliard fałszywych tokenów. Wymieniali je na prawdziwe kryptowaluty

Co więcej, w Usecrypt Messenger mechanizm szyfrujący połączenia głosowe jest całkowicie niezależny od mechanizmu szyfrującego komunikację tekstową. Dodatkowo wprowadzona została ochrona przed tzw. atakami man-in-the-middle (czyli podsłuchu lub modyfikacji wiadomości przesyłanych pomiędzy 2 stronami bez ich wiedzy) poprzez zastosowanie słów-kluczy (tzw. short authenitcation string). Mimo tego, że stanowią one część protokołu Diffiego-Hellemana, są generowane lokalnie i pojawiają się na ekranach użytkowników – można je łatwo porównać. Nie ma również potrzeby by martwić się, że ktoś zechce wykorzystać tzw. jailbreak (w przypadku systemu IOS) czy root (dotyczy Androida) w celu zainstalowania tzw. furtek (backdoors). Można spać spokojnie – Usecrypt zapewnia tutaj monitoring oraz system powiadomień.

Nie straszne nam ataki słownikowe ani podsłuchy

W odróżnieniu od komunikatorów takich jak WhatsApp czy Telegram, Usecrypt Messenger chroni przed wspomnianymi wcześniej atakami słownikowymi dzięki temu, iż określony segment danych jest transmitowany lub zapisywany zawsze przy pomocy tej samej liczby bitów – zatem na każde słowo przypada taka sama ich ilość (tzw. constant birate). W przypadku korzystania ze zmiennej przepływności, tak jak ma to miejsce w przypadku popularnych „darmowych” komunikatorów, zbiór możliwych konfiguracji jest znacznie mniejszy i łatwiejszy do rozpracowania.

Bezpieczeństwo przed komunikacją

Zespół Usecrypt opracowując swoją aplikację wyznaje zasadę, iż najpierw bezpieczeństwo, potem komunikacja. Aplikacja sprawdza najpierw jak bezpieczne jest urządzenie – bada, czy przypadkiem jakaś złośliwa aplikacja nie wykorzystuje mikrofonu, kamery lub głośnika w telefonie, a także czy ktoś nie podpiął się pod dane użytkownika. Jeśli tak jest, nawiązanie połączenia nie będzie możliwe – czyli przysłowiowy „wóz albo przewóz”. Dzięki temu dokonanie podsłuchu rozmowy staje się praktycznie niemożliwe. Dodatkowo, Usecrypt Messenger ukrywa adresy IP komunikujących się ze sobą użytkowników – przez co każdy z nich widzi tylko adres serwera pośredniczącego.

Usecrypt jako część szerzej pojętego ruchu

Twórcom komunikatora Usecrypt nie chodziło tylko o stworzenia aplikacji i systemu szyfrowania danych nieporównywalnie bezpieczniejszego od popularnych rozwiązań. Jak stwierdził dyrektor zarządzający Usecrypt – Jakub Kokoszka w rozmowie z serwisem Nasdaq (poniżej przedstawiamy jej całość), ludzie coraz bardziej zdają sobie sprawę z tego, jak duża jest ilość informacji i danych oddawanych jest za darmo oraz że przyszedł czas na to, by odzyskać prawo do decydowania o tym, w jakim stopniu chcą udostępniać swoje dane osobowe. Slogan twórców Usecrypt brzmi Bringing privacy back – chcemy przywrócić ludziom ich prywatność. To co przytrafiło się osobom z materiału filmowego załączonego na początku artykułu wpisuje się w kontekst szerszego problemu ze skandalami z udziałem Facebooka oraz wyciekami ogromnych ilości poufnych danych w tle. Więcej na temat aplikacji Usecrypt można dowiedzieć się wchodząc na stronę internetową oraz odwiedzając profil na YouTube.



Conotoxia

Dołącz do dyskusji logując się za pomocą Facebook

To również Cię zainteresuje - Comparic24.tv

13 KOMENTARZE

  1. Wiele wykazuje na to, że darmowe programy ni jak się mają do bezpieczeństwa. Lepiej zainwestować w coś płatnego i mieć spokojną głowę o swoje dane.

  2. Używamy UseCrypt Messenger u mnie w firmie. Wszyscy korzystający chwalą go za przyjazny interfejs, a ja cieszę się, że moja firma nie jest narażona na atak.

  3. UseCrypt ma dłuższy klucz szyfrujący, ukrywa adres ip rozmócy, ma narzędzia do wykrycia ataku man-in-the-middle. Bije na głowę pozostałe ‘darmowe’ komunikatory. A to, że jest płatny? No sory, ale za darmo nikt nie będzie pracował, dwa zeta dziennie to co to za wydatek.

  4. To tyle w kwestii wiarygodności aplikacji reklamujących się jako bezpieczne, co mi po takiej aplikacji? Bezpieczna aplikacja powinna w każdej możliwej możliwości móc udostępnić dane TYLKO i wyłącznie osobie która się uwierzytelni czyli jej właścicielowi. Zgubisz telefon, a dane z niego można bez większego wysiłku odczytać, gdzie tu jest bezpieczeństwo?? Absurd. Telegram, whatsupp, signal wszystko jest siebie warte. Do tej pory widziałem jedną aplikację, w której pomyślano o tak podstawowym problemie i jest to Usecrypt.

  5. Jestem ciekaw czy producenci innych aplikacji tego typu mają jakieś zarzuty wobec UseCrypta, poszukałem trochę na internecie i nic nie znalazłem. Czyżby nie mieli się do czego przyczepić?

  6. Powinny być jakieś wiążące wytyczne co do stosowania odpowiedniego oprogramowania oraz procedury zachowania poufności pod groźbą surowych kar za ich złamanie. Powinni korzystać z bezpiecznego, certyfikowanego oprogramowania, do tego powinno być polskie żeby jak najbardziej ograniczyć próby wpływania na twórców przez służb danego państwa…

  7. Signal, telegram, whatsapp, gmail. No brawo, wszystko przez niedostateczne zabezpieczenia użyte w tych aplikacjach. Nie wnikam czy ich twórcom zależy na tym aby miały luki, czy nie potrafią ich naprawić, ale nie powinni reklamować ich jak całkowicie bezpieczne. Dlaczego żadna z tych aplikacji nie chroni danych na urządzeniu mobilnym? Nawet jeżeli ktoś z najbliższego otoczenia maczał palce w wycieku to aplikacja powinna takie dane mieć ciągl zaszyfrowane bez klucza na tym samym urządzeniu!!! Jak do tej pory znam tylko jedną aplikację, przy projektowaniu której twórcy wzięli pod uwagę i tą kwestię i jest to UseCrypt.

  8. Do myśli, że usecrypt jest przemyślany i dopracowany przekonuje mnie panic code. Świetny pomysł. Jesteśmy jednak ludźmi i różne wypadki nam się zdarzają.

  9. Bardzo fajne, nowatorskie rozwiązanie. Widać, że ludzie którzy się za UseCrypta brali mieli od początku na myśli dedykowanie go słusznej sprawie i moim skromnym zdaniem zrobili to świetnie

  10. Nie oddawajmy za darmo poufnych informacji niezaufanym aplikacjom. Rozstrzyganie plusów i minusów UseCrypta u każdej myślącej jednostki prowadzi do prostych wniosków – warto 😀

  11. Darmowe komunikatory jak Telegram czy Signal to scam, a Facebook Messengeer czy WhatsUp już zupełnie poza kategorią. Jeżeli myślicie, że za darmo będziecie mieli ochronę prywatności, to cóż, niektórzy z Was muszą i tak przekonać się na własnej skorze. Na szczęście coraz więcej rozsądnych rozwiązań jak UseCrypt idzie w parze wraz ze wzrostem świadomości narodu 🙂

  12. UseCrypt to faktycznie spoko sposób komunikacji i podoba mi się też pomysł szyfrowania za jego pomocą kluczy prywatnych do portfeli kryptowalut

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here