Cybersecurity 101: Como escolher e usar um aplicativo de mensagens criptografadas
As mensagens de texto existem desde o surgimento da tecnologia celular e despertam sua própria linguagem única. Mas é hora de enviar mensagens SMS regulares para o pasto.
Se você tem um iPhone, já está no caminho certo. iPhones (bem como iPads e Macs) usam o iMessage para enviar mensagens entre dispositivos Apple. É um sistema de mensagens baseado em dados que depende de 3G, 4G e Wi-Fi, em vez de mensagens SMS, que usa uma rede celular 2G antiga, desatualizada, mas universal. O iMessage cresceu em popularidade, mas deixou dispositivos Android e outros computadores no escuro.
É aí que outros serviços de mensagens preencheram uma lacuna no mercado.
Aplicativos como sinal, WhatsApp,O Wire e o Wickr também são baseados em dados e funcionam em todas as plataformas. O melhor de tudo, eles são criptografados de ponta a ponta, o que significa que as mensagens enviadas estão embaralhadas em uma extremidade da conversa - o dispositivo - e desembaralhadas na outra extremidade no dispositivo do destinatário. Isso torna quase impossível para qualquer um - até mesmo o criador de aplicativos - ver o que está sendo dito.
Muitos aplicativos populares, como Instagram, Skype, Slack e Snapchat, não oferecem criptografia de ponta a ponta. O Facebook Messenger tem a opção de usar mensagens criptografadas “secretas” de ponta a ponta , mas não está ativado por padrão.
Aqui está o que você precisa saber.
Por que odiar mensagens de SMS?
SMS, ou serviço de mensagens curtas, tem mais de três décadas. É geralmente confiável, mas está desatualizado, arcaico e caro. Existem também várias razões pelas quais as mensagens SMS são inseguras.
As mensagens SMS não são criptografadas, o que significa que o conteúdo de cada mensagem de texto é visível para operadoras de celular e governos, e pode até mesmo ser interceptado por hackers organizados e semi-qualificados . Isso significa que mesmo que você esteja usando o SMS para proteger suas contas on-line usando a autenticação de dois fatores, seus códigos podem ser roubados . Tão ruim quanto, as mensagens SMS perdem metadados, que são informações sobre a mensagem, mas não o conteúdo da própria mensagem, como o número do telefone do remetente e do destinatário, que podem identificar as pessoas envolvidas na conversa.
As mensagens SMS também podem ser falsificadas, o que significa que você nunca pode ter certeza absoluta de que uma mensagem SMS veio de uma determinada pessoa.
E uma decisão recente da Comissão Federal de Comunicações agora dá às operadoras de telefonia celular maiores poderes para bloquear as mensagens SMS. A FCC disse que vai reduzir o spam de SMS, mas muitos temem que isso possa ser usado para sufocar a liberdade de expressão .
Em todos esses casos, a resposta é um aplicativo de mensagens criptografadas.
Quais são os melhores aplicativos de mensagens criptografadas?
A resposta simples é o Signal , um aplicativo de mensagens criptografadas de ponta a ponta, de código aberto, visto como o padrão-ouro de serviços seguros de mensagens do consumidor.
O sinal suporta e criptografa todas as suas mensagens, chamadas e chats de vídeo com outros usuários do Signal. Alguns dos profissionais de segurança e especialistas em criptografia mais inteligentes do mundo analisaram e verificaram seu código e confiaram em sua segurança. O aplicativo usa o número do seu celular como ponto de contato - o que alguns criticaram, mas é fácil configurar o aplicativo com um número de telefone dedicado sem perder seu próprio número de celular. Além do seu número de telefone, o aplicativo foi criado do zero para coletar o mínimo possível de metadados.
Uma demanda recente do governo pelos dados da Signal mostrou que o criador de aplicativos não tem quase nada para entregar. Além de suas mensagens serem criptografadas, cada pessoa na conversa pode definir a expiração de mensagens - de modo que, mesmo que um dispositivo seja comprometido, as mensagens podem ser configuradas para já desaparecerem. Você também pode adicionar uma tela de bloqueio separada no aplicativo para segurança adicional. E o aplicativo continua ficando cada vez mais forte. Recentemente, a Signal lançou um novo recurso que mascara o número de telefone do remetente da mensagem , tornando-o melhor para o anonimato do remetente.
Mas, na verdade, há uma resposta muito mais sutil do que "apenas sinal".
Todo mundo tem diferentes necessidades, desejos e necessidades. Dependendo de quem você é, qual é o seu trabalho e com quem você conversa, qual aplicativo de mensagens criptografadas será melhor para você.
O sinal pode ser o aplicativo favorito para trabalhos de alto risco - como jornalismo, ativismo e funcionários do governo. Muitos vão achar que o WhatsApp, por exemplo, é bom o suficiente para a grande maioria que só quer falar com seus amigos e familiares sem se preocupar com alguém lendo suas mensagens.
Você pode ter ouvido algumas informações mal informadas sobre o WhatsApp nos últimos anos , desencadeadas em grande parte por reportagens incorretas e enganosas que afirmavam que havia um backdoor para permitir que terceiros lessem as mensagens. Essas alegações foram infundadas. O WhatsApp coleta alguns dados sobre seus 1,5 bilhão de usuários, como metadados sobre quem está contatando quem e quando. Esses dados podem ser entregues à polícia se eles solicitarem com uma ordem legal válida. Mas as mensagens não podem ser lidas, pois são criptografadas de ponta a ponta. O WhatsApp não pode entregar essas mensagens, mesmo se quisesse.
Embora muitos não percebam que o WhatsApp é de propriedade do Facebook , que enfrentou uma série de escândalos de segurança e privacidade no ano passado, o Facebook afirmou que está comprometido em manter as mensagens do WhatsApp end-to-end criptografadas por padrão . Dito isso, é possível que o Facebook possa mudar de idéia no futuro , disseram pesquisadores de segurança. É certo manter-se cauteloso, mas o WhatsApp ainda é melhor para enviar mensagens criptografadas do que nunca.
O melhor conselho é nunca escrever e enviar algo até mesmo em um aplicativo de mensagens criptografadas de ponta a ponta que você não gostaria de aparecer em um tribunal - apenas no caso!
O Wire também é apreciado por muitos que confiam no aplicativo de plataforma cruzada de código aberto para compartilhar bate-papos e chamadas em grupo. O aplicativo não exige um número de telefone, optando por nomes de usuário , que muitos que querem um maior anonimato são mais atraentes do que os aplicativos alternativos. A Wire também apoiou suas solicitações de criptografia de ponta a ponta, pedindo aos pesquisadores para conduzir uma auditoria externa de sua criptografia, mas os usuários devem estar cientes de que uma compensação por usar o aplicativo em outros dispositivos significa que o aplicativo mantém um registro de todos você já entrou em contato em texto simples.
O iMessage também é criptografado de ponta a ponta e é usado por milhões de pessoas em todo o mundo que provavelmente nem percebem que suas mensagens são criptografadas.
Outros aplicativos devem ser tratados com cuidado ou evitados completamente.
Apps como o Telegram têm sido criticados por especialistas por sua criptografia propensa a erros, que tem sido descrita como "sendo como ser esfaqueada no olho com um garfo". E pesquisadores descobriram que aplicativos como o Confide , um favorito entre os funcionários da Casa Branca, não inclua mensagens corretamente, facilitando a interceptação, em segredo, das conversas de alguém.
Como verificar a identidade de alguém
Uma questão central em mensagens criptografadas de ponta a ponta é: como eu sei que uma pessoa é quem ela diz ser?
Cada aplicativo de mensagens criptografadas de ponta a ponta manipula a identidade de um usuário de maneira diferente. O Signal o chama de "número de segurança" e o WhatsApp o chama de "código de segurança". Em toda a linha, é o que chamamos de "verificação fundamental".
Cada usuário tem sua própria "impressão digital" exclusiva associada ao nome de usuário, número de telefone ou dispositivo dele. Geralmente é uma sequência de letras e números. A maneira mais fácil de verificar a impressão digital de alguém é fazê-lo pessoalmente. É simples: você pega seus telefones, abre uma conversa em seu aplicativo de mensagens criptografadas escolhido e garante que as impressões digitais nos dois conjuntos de dispositivos sejam exatamente as mesmas. Você costuma clicar no botão "verificar" - e é isso.
Verificar a impressão digital de um contato remotamente ou pela Internet é mais complicado. Geralmente, é necessário compartilhar sua impressão digital (ou uma captura de tela) em outro canal, como uma mensagem no Twitter, no Facebook ou por e-mail, e verificar se eles correspondem. (O Micah Lee do Intercept tem uma simples explicação de como verificar uma identidade.)
Depois de verificar a identidade de alguém, ela não precisará ser reverificada.
Se o seu aplicativo avisar que a impressão digital do destinatário foi alterada, pode ser um motivo inócuo. Eles podem ter um novo número de telefone ou enviar uma mensagem de um novo dispositivo. Mas isso também pode significar que alguém está tentando personificar a outra pessoa em sua conversa. Você estaria certo em ser cauteloso e tentar reverificar sua identidade novamente.
Alguns aplicativos não se preocupam em verificar a identidade de um usuário. Por exemplo, não há como saber se alguém não está secretamente bisbilhotando suas conversas do iMessage porque a Apple não o notifica se alguém estiver secretamente monitorando sua conversa ou se, de alguma forma, não tiver substituído um destinatário da mensagem por outra pessoa.
Você pode ler mais sobre como o Sinal, o WhatsApp, o Telegrama e o Wire permitem que você verifique suas chaves e avise sobre alterações importantes. (Alerta de spoiler: o sinal é a escolha mais segura).
Existem outras dicas que você deve saber:
Os backups de mensagens criptografadas geralmente não são criptografados na nuvem: um ponto muito importante aqui - muitas vezes, suas mensagens criptografadas não são criptografadas quando são copiadas para a nuvem. Isso significa que o governo pode exigir que seu provedor de nuvem - como a Apple ou o Google - recupere e entregue suas mensagens criptografadas de seus servidores. Você não deve fazer backup de suas mensagens para a nuvem se isso for uma preocupação.
Cuidado com os aplicativos de desktop: um dos benefícios de muitos aplicativos de mensagens criptografadas é que eles estão disponíveis em diversas plataformas, dispositivos e sistemas operacionais. Muitos também oferecem versões para desktop para responder mais rapidamente. Mas nos últimos anos, a maioria das principais vulnerabilidades tem sido no software de desktop com bugs. Verifique se você está no topo das atualizações de aplicativos. Se uma atualização exigir que você reinicie o aplicativo ou o computador, faça isso imediatamente.
Defina suas mensagens para expirar: a criptografia não é mágica; requer consciência e consideração. As mensagens criptografadas de ponta a ponta não salvam você caso seu telefone seja comprometido ou roubado e seu conteúdo possa ser acessado. Você deve considerar a configuração de um cronômetro de expiração nas suas conversas para garantir que as mensagens mais antigas sejam excluídas e desapareçam.
Mantenha seus aplicativos atualizados: uma das melhores maneiras de garantir a segurança (e obter novos recursos!) É garantir que seus aplicativos para computador e dispositivos móveis sejam mantidos atualizados. Os bugs de segurança são encontrados com frequência, mas nem sempre você pode ouvir sobre eles. Manter seus aplicativos atualizados é a melhor maneira de garantir que você obtenha essas correções de segurança o quanto antes, diminuindo o risco de que suas mensagens possam ser interceptadas ou roubadas.
Créditos da Imagem: Getty Image
Comentários
Postar um comentário