Aprenda sobre os poderosos recursos de segurança de rede do Sky ECC

Quando se trata de telefones seguros, a segurança da rede é uma das considerações mais importantes. Sim, todos estão cientes da criptografia de ponta a ponta (E2EE) neste momento, mas esse é apenas um aspecto de uma imagem muito maior. Para verdadeira privacidade e segurança, o E2EE é o requisito mínimo de qualquer aplicativo de mensagens decente, mas poucos aplicativos adicionam recursos de segurança de rede necessários para segurança real.

O Sky ECC foi construído com recursos de rede seguros que vão muito além do oferecido pelo WhatsApp, Signal ou Wickr. Esses recursos incluem:

  • Configurações de aplicativo e sistema operacional
  • Proteções de conexão
  • Configuração e armazenamento do servidor

Cada um desses recursos de segurança de rede no Sky ECC faz parte da nossa filosofia de confiança zero. Garantimos que, se alguma parte do sistema foi comprometida, há cofres contra falhas, impedindo que você arrisque sua segurança.

Recursos de segurança de rede: configurações de aplicativos e sistemas operacionais

Existem vários recursos incorporados ao nosso aplicativo para proteger todas as conexões de rede, bem como as configurações do sistema operacional que aproveitamos para segurança. Aqui está um diagrama codificado por cores com uma visão geral do sistema:

Vamos dar uma olhada nessas etapas agora:

  1. A primeira tarefa relacionada à segurança executada pelo aplicativo Sky ECC é a primeira tarefa depois que você digita sua senha: verificar se a rede está segura.
  2. Se a conexão de rede não for segura, você não poderá usar o Sky ECC.
  3. Tudo isso ocorre depois que você digita sua senha, mas antes da troca e autenticação de chaves.
  4. Absolutamente nenhuma conexão é permitida em redes inseguras.

Quando a primeira etapa do seu aplicativo, nem mesmo da rede, é verificar uma conexão segura, você sabe que está obtendo um produto muito além do que qualquer aplicativo gratuito oferece.

Saber que a rede é segura é uma vantagem incrível, mas tomamos precauções extras com nossa criptografia de ponta a ponta:

  • As chaves privadas são geradas aleatoriamente usando seus próprios toques no dispositivo. Essas chaves são armazenadas apenas no seu dispositivo, nunca em um servidor.
  • SSL VPN de 2048 bits ou conexões criptografadas SSL de 256 bits são usadas em todas as conexões quando se conectam ao nosso gateway e firewall seguros e anônimos.
  • Cabeçalhos e metadados são criptografados usando a criptografia AES de 256 bits. Essa etapa geralmente é ignorada por outros aplicativos, expondo seus dados mais básicos para hackers.
  • A criptografia de curva elíptica de 521 bits com troca de chaves Diffie-Hellman protege todas as mensagens. São magnitudes mais seguras do que as usadas pela NSA para suas mensagens Top Secret que usam ECC de 384 bits.

A primeira vulnerabilidade para qualquer conexão de rede é a troca e autenticação de chaves. Impedir que o aplicativo execute essa função em uma rede insegura evita problemas muito antes que eles ocorram. Em seguida, criptografa tudo o que é enviado pela conexão, e o Sky ECC lida com isso com níveis de criptografia que você não verá no WhatsApp, Signal, Wickr ou mesmo nas ferramentas de comunicação governamentais mais seguras.

Recursos de segurança de rede: Conexão

Acima, você viu todos os recursos seguros que enviamos através de conexões, mas também tomamos medidas para proteger essas conexões ainda mais. Existem duas maneiras distintas de fazer isso:

  • Dados da célula: é quando você está usando a rede celular da sua operadora. É separado das conexões Wi-Fi, mas deve ser protegido da mesma forma, principalmente considerando a facilidade de invadir a rede celular. Protegemos isso usando configurações de APN que criptografam e protegem a conexão contra ataques do SS7. Embora as conexões 4G (LTE) e 5G mais recentes sejam melhor protegidas que o 3G, ainda criptografamos e protegemos a conexão.
  • Dados de Wi-Fi: conectar-se ao Wi-Fi da cafeteria local é uma prática padrão, mas é extremamente insegura por vários motivos. Poderia ser um hack do Evil Twin configurado por um hacker para roubar dados, ou, mais comumente, poderia ser apenas uma rede de baixa qualidade sem criptografia na qual alguém pudesse acessar e roubar dados. O Sky ECC protege todas as conexões Wi-Fi com protocolos de criptografia VPN, para que você esteja protegido antes de transmitir quaisquer dados.

A maioria das pessoas nem pensa em segurança de dados móveis, acreditando que a companhia telefônica os mantém seguros.

Eles não são completamente seguros. Em absoluto.

Quão ruim é isso? O hack SS7 vem ocorrendo desde o final dos anos 70. Vamos aprofundar esse problema de segurança de rede:

  • O SS7 é um sistema de sinalização central usado por todas as redes celulares.
  • O tráfego enviado por ele não é criptografado e o sistema não sabe a diferença entre comandos reais ou maliciosos.
  • A criptografia e a separação do sinal não foram necessárias, pois nada de útil foi enviado por esse sinal até …
  • 2000 foi o primeiro ano em que o processamento de comandos SS7 sobre IP começou. Isso corre o risco de expor a camada SS7 a hackers e outras pessoas que desejam acessá-la.
  • Regulamentações ruins sobre licenças para conexão com um nó levaram a hubs de “Conexão como serviço”, onde as pessoas pagam para acessar esses dados sempre que desejarem.

Tudo isso não é uma teoria de que você poderia ser hackeado, é um fato real, pois um hack do SS7 aconteceu recentemente. Espere, você acha que mora em um país com experiência em tecnologia que corrigiu isso? Tente novamente. Veja um mapa detalhando os riscos do SS7 globalmente:

Isso nem é entrar em coletores de IMEI, que são torres de celular falsas criadas por hackers (tecnologia roubada do arsenal da polícia) para roubar quaisquer dados não criptografados enviados para sua torre de celular falsa. O Sky protege você de todas as formas desses ataques com a combinação de nossas configurações de APN e criptografia de rede sempre ativa.

Não está convencido de que é essencial se proteger contra o hack SS7 e outros como ele ainda? Assista a este vídeo para ver que não é tão difícil de fazer:

Essa é uma das muitas razões pelas quais trabalhamos tão duro para proteger adequadamente o Sky ECC contra uma infinidade de ataques.

Outras estratégias de conexão usadas pelo Sky

Para uma segurança de rede ainda maior, nossas conexões enviam apenas dados SIM e IMEI de forma clara. Esse é o valor mínimo absoluto necessário para fazer uma mensagem e passar seu telefone para outro usuário do Sky ECC. É necessário que seu número SIM e IMEI se conecte a torres de celular para enviar qualquer tipo de dados.

Os SIMs que vendem com nossos dispositivos são registrados e possuem propriedade da Sky, sem dados de identificação pessoal vinculados ao usuário. Tudo isso significa que, mesmo que, de alguma maneira impossível, um invasor pode acessar o SIM de um usuário pelo SS7, ainda não conseguiu descobrir quem está realmente usando o SIM. Esta é uma segurança de confiança zero em ação.

Segurança de rede para servidores

Os servidores pelos quais as mensagens são enviadas e armazenadas formam um aspecto vital da infraestrutura de rede e são o principal alvo de hackers. Os servidores de comunicação são o principal alvo de hackers, porque geralmente armazenam grandes quantidades de dados, como nomes de usuário, números de telefone, registros de mensagens e, às vezes, as próprias mensagens. Na maioria das vezes, esses dados são protegidos e criptografados, mas muitas vezes descobrimos que dados confidenciais são armazenados desprotegidos e não criptografados.

O Sky ECC possui as seguintes medidas de segurança de rede para nossos servidores:

  • Restrições podem ser colocadas no aplicativo, limitando as conexões apenas à nossa rede de servidores seguros. Essa rede também é protegida para permitir apenas dispositivos e IPs na lista de permissões.
  • Todas as mensagens são roteadas pela rede global segura de servidores da Sky.
  • Cabeçalhos e metadados são criptografados usando a criptografia AES de 256 bits de e para os servidores Sky.
  • Todos os nossos servidores são protegidos com camadas de firewalls e gateways, seguindo nossa política de conexão apenas com lista de permissões.
  • Todos os servidores passam por auditorias de pessoal interno e externo para garantir que cumpram as melhores práticas.

As estratégias acima são todas preocupações de segurança digital. A rede de servidores Sky também possui mais considerações físicas:

  • Esses servidores são colocados em países que possuem fortes proteções de privacidade de dados.
  • Você não pode procurar ou descobrir IDs de ECC por meio do aplicativo. Você sabe que o ID de alguém para adicioná-los ao seu deve ser compartilhado manualmente entre as pessoas que conhecem o número hexadecimal exclusivo de 6 dígitos criado para cada conta.
  • Todas as chaves de criptografia pública, de sessão e inicial são criptografadas no dispositivo do usuário antes de chegarem ao servidor, diminuindo ainda mais o risco físico de os servidores serem comprometidos.
  • Nenhuma mensagem é armazenada * nos servidores Sky, eles simplesmente passam pelo gateway seguro de um telefone para outro.
  • O * acima é para o fato de que mensagens não entregues, devido ao destinatário estar offline, são armazenadas nos servidores Sky por 48 horas. Durante esse período, eles são criptografados com a criptografia ECC de 521 bits da Sky, o que poderia proteger essas mensagens indefinidamente, mas para proteger melhor ainda mais os usuários, elas são excluídas após 48 horas para que nenhum servidor Sky se torne um alvo … não há nada que valha a pena roubar.

Ter servidores seguros é uma coisa, mas e o acesso a dados? Nossos parceiros de operadoras garantem (quase) onde quer que você esteja no mundo, o Sky ECC está disponível. Temos cobertura de dados em todos os lugares, do Afeganistão ao Zimbábue, ou, visualmente:

Segurança do servidor bônus: notificações push

Todos sabemos o quão convenientes são as notificações por push, pois elas nos informam quando uma mensagem é entregue em nossos telefones sem que tenhamos que abrir o aplicativo e procurar. Como é com todas as conveniências, há um custo. O principal custo aqui é que as notificações push precisam passar por outro conjunto de serviços, separado da mensagem, para serem exibidos no seu telefone.

As notificações por push são tratadas por dois proprietários de servidores dos quais você provavelmente já ouviu falar antes: Apple e Google. Para quais mensagens suas mensagens dependem se você está usando um dispositivo Android ou iOS (e quais dispositivos seus contatos estão usando).

Segurança do servidor bônus: notificações push

Todos sabemos o quão convenientes são as notificações por push, pois elas nos informam quando uma mensagem é entregue em nossos telefones sem que tenhamos que abrir o aplicativo e procurar. Como é com todas as conveniências, há um custo. O principal custo aqui é que as notificações push precisam passar por outro conjunto de serviços, separado da mensagem, para serem exibidos no seu telefone.

As notificações por push são tratadas por dois proprietários de servidores dos quais você provavelmente já ouviu falar antes: Apple e Google. Para quais mensagens suas mensagens dependem se você está usando um dispositivo Android ou iOS (e quais dispositivos seus contatos estão usando).

As notificações por push foram um grande desafio para o desenvolvimento de uma solução segura. Se você deseja notificações por push, as únicas opções (práticas e sensíveis) são as do Google e da Apple. Então, como você envia informações confidenciais para proteger dispositivos sem comprometer a mensagem ou informações sobre alguém na conversa?

A resposta é dupla:

  • Envie apenas o mínimo de informações aos servidores de notificação
  • Ao exibir notificações na tela, limite a mensagem a “você tem algo novo”.

Os aplicativos que exibem trechos de texto correm o risco de alguém olhar para o seu telefone e o risco de enviar esses dados para o servidor de notificação.

Para colocar em inglês simples:

  • Quando um novo dispositivo é configurado, dois tokens aleatórios são criados. Um é o dispositivo e o outro é o servidor de notificações. Pense neles como uma chave e fechadura, eles precisam corresponder para que a notificação seja enviada à pessoa certa.
  • Quando você envia uma mensagem para alguém, quando chega aos nossos servidores, os destinatários são correspondidos aos seus tokens de dispositivo.
  • A quantidade mínima absoluta de dados é enviada aos servidores de notificação – que são os tokens do dispositivo para os destinatários.
  • O servidor Firebase / Apple lê o token do dispositivo e o combina com o token do servidor e transmite a notificação por push.
  • O dispositivo receptor recebe uma notificação por push “Você tem uma nova mensagem Sky ECC”. É exibida no dispositivo.

Ao contrário de outros aplicativos, não permitimos que um trecho da mensagem seja mostrado na notificação por push. Isso ocorre porque o hack mais simples de todos para roubar dados é olhar por cima do ombro de alguém quando uma mensagem chega ou pegar o telefone enquanto eles estão fora. Não enviar esses dados para os servidores de notificação também o impede de ser um ponto de ataque vulnerável.

Segurança de rede e Sky ECC

Nossa filosofia de confiança zero nos levou a criar várias camadas de segurança de rede para que nossos usuários não sejam apenas protegidos pelo E2EE, mas por vários outros cofres contra falhas:

  • Configurações de aplicativo e sistema operacional que usam todas as ferramentas disponíveis para proteger as mensagens.
  • Configurações de conexão que protegem contra ataques de Wi-Fi e redes de dados de celular
  • Uma rede de servidores seguros com cobertura global de dados controlada pela Sky.

Outros aplicativos não protegem sua rede completamente. A maioria faz o mínimo absoluto para conviver e aplacar o usuário médio. Se você está acima da média e precisa de uma segurança verdadeira, precisa de uma ferramenta tão poderosa quanto o Sky ECC.

 

Os comentários estão encerrados.