Nós pensamos muito sobre aplicativos de mensagens seguras por aqui, com um bom motivo – nós fazemos um. Verdade seja dita, estou interessado em mensagens seguras há mais de 20 anos. Muito antes dos smartphones existirem, eu estava jogando com o PGP com vários clientes de email. Quando trabalhei na indústria farmacêutica, estimulei a adoção de um aplicativo de colaboração seguro chamado Groove, criado pela Groove Networks, de Ray Ozzie (adquirido pela Microsoft em 2005).
Desde então, aprendi muito sobre tecnologia, criptografia e o que faz um ótimo aplicativo. Quando comecei a criar este post sobre o que faz um bom aplicativo de mensagens seguras, não demorei muito para criar uma lista de recursos que considero essenciais para qualquer aplicativo que queira dizer que é um “aplicativo seguro de mensagens”. Eu construí minha lista em três partes:
Organizei minha lista nesse sentido, e talvez eu tenha perdido uma ou duas coisas, mas todas as grandes coisas estão cobertas. Eu tentei não fazer disso uma lista de “todas as estradas levam ao Sky ECC”. Embora consideremos que o Sky ECC é o melhor aplicativo de mensagens seguras disponível, há muitos outros bons aplicativos por aí também. Existem aplicativos bons e seguros que não atendem a todos os critérios aqui (como ser financiado pelo usuário), mas mesmo esses são exibidos em muitas caixas.
Omiti recursos como “é executado somente em dispositivos específicos com resistência à falsificação” ou “é executado somente em dispositivos gerenciados e seguros” – esses recursos tornam o Sky ECC mais seguro do que outras soluções de mensagens seguras disponíveis, mas há soluções seguras que você pode baixar em (quase) qualquer dispositivo da sua loja de aplicativos favorita.
Esses são recursos que espero que sejam programaticamente incorporados em um aplicativo – recursos sob o capô que controlam tudo por trás da interface inteligente. É assim que o aplicativo funciona e não o que parece.
A criptografia forte deve ser óbvia, mas também há graus de criptografia:
Esses aplicativos usam criptografia significativamente mais fraca do que o Signal, WhatsApp ou o ECDH de 128 bits da Threema, que é aproximadamente equivalente ao RSA de 3072 bits. Todos os seis estão muito atrás do ECDH de 521 bits do Sky ECC, o que equivale a um RSA de 15.360 bits, tornando-o a criptografia mais forte para qualquer aplicativo de mensagens que você possa obter.
Esta postagem descreve por que você precisa de criptografia de ponta a ponta por padrão o tempo todo . Não há margem de manobra aqui. Se não for criptografado de ponta a ponta, em algum lugar ao longo da cadeia, alguém poderá ler o texto não criptografado da mensagem.
Quando você criptografa uma mensagem, uma chave de sessão única baseada na sua chave secreta é usada para a criptografia. Em termos práticos, isso significa que, mesmo que sua chave secreta tenha sido comprometida, suas mensagens ainda estarão protegidas, porque você precisa da chave de sessãoexclusiva para a mensagem descriptografá-la.
As chaves de sessão são criadas e destruídas toda vez que você inicia um aplicativo para bater papo, portanto, obter a chave secreta e a chave de sessão para qualquer mensagem seria praticamente impossível. A Wikipedia fornece boas informações sobre isso.
Enquanto a maioria dos telefones tem proteção contra força bruta, um aplicativo seguro deve ter proteções adicionais se alguém tentar entrar no aplicativo adivinhando sua senha. O Sky ECC permite entre 3 e 10 tentativas antes que o aplicativo seja redefinido e exclua todos os dados. Você também precisa inserir uma palavra CAPTCHA antes da última tentativa, tornando o craqueamento automatizado de senhas extremamente desafiador.
Estou pensando em jacking de arquivos de mídia e key loggers em particular aqui. Um bom aplicativo não deve permitir que as informações entrem e saiam dele para o resto do dispositivo, quer queira quer não. Eu imagino um aplicativo de mensagens seguro como as caixas seladas usadas em laboratórios para trabalhar com produtos químicos ou doenças perigosas. A caixa é selada para que nada possa entrar ou sair e você só trabalha com as amostras através de luvas. Você pode copiar e colar texto de dentro do Sky ECC, por exemplo, o conteúdo de uma anotação segura em uma mensagem, mas não pode colar esse texto fora do aplicativo. Essas proteções vão muito além do sandbox de aplicativos até o ponto em que o aplicativo de mensagens seguras está sendo protegido do resto do dispositivo.
Certificar-se de que todas as comunicações de e para o servidor, e não apenas mensagens, estejam protegidas é essencial para proteger suas informações. Enquanto os dispositivos estão fazendo os handshakes de conexão, muitas informações como seu endereço IP, nomes de usuário, senhas e outras informações precisam ser trocadas. Se você não proteger essas informações, alguém poderá encontrar sua localização física ou montar um ataque man-in-the-middle contra você.
Usamos combinações de dados criptografados em redes móveis com VPNs ou túneis seguros para garantir, antes que qualquer informação seja enviada, que seus dados sejam protegidos.
Há muito tempo, meu filho mais velho usou suas habilidades de engenharia social para revelar que alguém sequestrara a conta de mídia social de seu amigo. Levou apenas algumas perguntas para descobrir que a pessoa era uma impostora, mas isso não deveria ter acontecido. De dispositivos 2FA a dispositivos autorizados, os aplicativos de mensagens seguras precisam de proteções de alguém usando sua conta, se tiverem seu nome de usuário e senha. O Sky ECC faz isso bloqueando contas para dispositivos. Uma conta, um dispositivo. Você não pode ter duas contas Sky ECC no mesmo dispositivo e não pode usar o Sky ECC em dois dispositivos diferentes.
O WhatsApp tem algumas proteções, mas não o suficiente, como aprendi quando recebi um novo telefone recentemente.
O armazenamento de arquivos locais permite que você abra o jacking de arquivos de mídia. Se um aplicativo quiser ter um recurso de armazenamento de mídia, ele precisa estar em uma parte segura do próprio aplicativo. Confiar nas proteções dos dispositivos nem sempre é suficiente para manter os dados de anexos seguros.
Como parte da proteção da conexão de rede, quando as mensagens são enviadas e recebidas, os metadados da mensagem (para, de, data e hora, etc.) devem ser criptografados em trânsito. Sim, elas precisam ser descriptografadas no servidor, mas não podem ficar claras quando a mensagem está em trânsito.
Seus metadados são muito mais ricos em informações do que você imagina.
Você deve ter uma conta que não esteja vinculada a nada como seu endereço de e-mail ou número de telefone. Se um aplicativo precisar de algo como seu número de telefone, ele precisa estar protegido contra a possibilidade de ser descoberto no aplicativo. Estas são proteções básicas de privacidade que precisam ser apoiadas pela postura de uma empresa em relação à privacidade em geral (mais sobre isso abaixo).
Achamos que ter backups de mensagens é muito arriscado para incluir como um recurso. Se você perder seu dispositivo ou ele for apagado ou você receber um novo dispositivo, perderá todos os seus bate-papos antigos, mas armazenar esses bate-papos para que eles possam ser recuperados é um sacrifício para proteger sua privacidade e a privacidade das pessoas com quem você se comunica. Quando você recebe um novo dispositivo Sky ECC, ou o limpa e recomeça, você recupera sua lista de contatos, mas é só isso.
Isso nem sempre é conveniente – precisei redefinir meu dispositivo e perdi algumas coisas que não anotei -, mas ser seguro e conveniente nem sempre é combinado. Nós erramos do lado da segurança.
Essas não são coisas boas e fofas, como colocar adesivos ou GIFs em mensagens, são recursos que ajudam na adoção, na usabilidade e na privacidade.
Em primeiro lugar, um aplicativo seguro de mensagens precisa ser fácil de usar. Qualquer pessoa que tenha usado um aplicativo de bate-papo nos últimos 15 anos poderá abrir o aplicativo e saber como usá-lo. Etapas complicadas para configurar chaves de criptografia, chaves de troca ou apenas bate-papo não são suficientes. Nas duas décadas em que trabalhei neste espaço, toda vez que mensagens seguras são difíceis de usar, as pessoas não as usam. Você pode obter adoção por um curto período de tempo, mas quando chega a hora de empurrar – vitória fácil e conveniente.
Sky ECC é muito intuitivo. Claro, existem recursos legais que você pode não ver no início – o modo calculadora é um deles – mas, quando alguém mostra como adicionar um contato, o resto faz sentido .
Você deve ser capaz de definir quando as mensagens expiram automaticamente, ser capaz de revogar mensagens (ou anexos) e controlar se alguém pode salvar ou compartilhar imagens ou outros arquivos. Quando as mensagens expiram ou são revogadas, a mensagem precisa desaparecer imediatamente do bate-papo de todos. Esses controles são importantes por uma série de razões, algo que você disse anos atrás não pode aparecer de repente fora do contexto e fora do contexto.
Claro que existem coisas que você precisa e quer manter (recibos, bilhetes eletrônicos, códigos de software, etc.), mas elas devem ser armazenadas com segurança em outro lugar, não em seu aplicativo de mensagens seguras. Se você puder salvar as coisas, os dados precisam ficar dentro dos limites do aplicativo, que é exatamente como funciona o nosso Vault.
Você precisa controlar quem pode começar a conversar com você. As pessoas que você não conhece não devem ser capazes de descobrir você em seu aplicativo de mensagens seguras e se conectar com você. Todo contato deve pedir permissão para estar na sua lista de contatos. E você também deve poder excluir e bloquear contatos se eles se tornarem problemáticos. Não permitir que as pessoas descubram e adicionem você como um contato é um recurso que acreditamos ser essencial para a privacidade e o controle da sua rede. Para que alguém saiba seu ID de usuário, alguém deve recebê-lo diretamente de você ou ser compartilhado por meio de um contato mútuo.
Como as proteções de privacidade acima, você deve ser capaz de ser anônimo no aplicativo, se desejar. Você não deveria ter que usar seu nome real, foto ou qualquer coisa identificável se você não quiser. Isso pode ser inconveniente para os criadores de aplicativos – não sabemos quem são nossos usuários, por exemplo -, mas é essencial para a privacidade.
Uma coisa é dizer que o seu aplicativo de mensagens seguras é seguro, mas se você fizer coisas como auxiliar as agências de segurança colocando backdoors no seu aplicativo ou servidores, talvez a privacidade e a segurança do cliente não sejam um dos seus principais princípios. Sentimos muito fortemente a proteção dos direitos de nossos clientes à privacidade e segurança. Essas crenças não se refletem apenas em como o produto funciona, mas em como a empresa inteira opera .
Aqui estão algumas das principais crenças e etapas operacionais que acreditamos tornar um aplicativo de mensagens seguro realmente seguro.
Em primeiro lugar, qualquer empresa que ofereça um aplicativo seguro de mensagens precisa ter uma postura forte em relação à privacidade pessoal. Isso corta o cerne de tudo o que a empresa faz. Por exemplo, recursos como fazer backup de bate-papos ou arquivos no Vault em outro local são convenientes, mas, se isso não for possível sem sacrificar a privacidade, não vale a pena.
Na Sky, operamos com uma rede de parceiros revendedores e protegemos sua privacidade e a privacidade ou os clientes que eles atendem. Nós não coletamos informações pessoais que não precisamos. Permitimos pagamentos por Bitcoin e outras moedas criptografadas. Se alguém quiser permanecer anônimo, esse é o direito deles.
Acreditamos que não existe um backdoor seguro em um sistema seguro de mensagens. O WhatsApp está sob pressão contínua, especialmente na Índia , para colocar backdoors em seu aplicativo. E de acordo com Bruce Schneier, o Facebook já pode estar planejando fazer exatamente isso . Enquanto nós sempre receberemos pressão dos governos, especialmente dos Cinco Olhos , para criar um backdoor para governos e agências de segurança, nós resistiremos.
Isso deve ser cortado e seco, mas não para o Facebook e WhatsApp. Em 2020, haverá publicidade em Histórias do WhatsApp , como será, se você pode recusar, e até mesmo como o Facebook está recebendo dados suficientes para direcionar a publicidade relevante para os usuários ainda é desconhecido. A publicidade na aplicação é contrária a tudo o que uma aplicação de mensagens segura representa.
Publicidade significa que, de alguma forma, o desenvolvedor do aplicativo sabe o suficiente sobre você para segmentar anúncios. Isso não combina com uma primeira abordagem de privacidade. Sem mencionar todos os aspectos técnicos dos anúncios, o rastreamento de anúncios e o potencial de anúncios que apontam para sites maliciosos – anúncios no aplicativo e mensagens seguras não existem no mesmo universo.
Além de não armazenar mensagens em servidores – os servidores de mensagens seguras devem ser apenas retransmissões entre dispositivos clientes – há muitas outras informações que não devem ser mantidas. Coisas como as quais os usuários enviaram mensagens para quem e quando. Onde os dispositivos estão no mundo. Que tipo de dispositivo alguém está usando. Ou – no pior caso, informações claramente identificáveis pessoalmente, como números de telefone ou endereços de e-mail.
As soluções de mensagens seguras não devem manter esses dados em seus servidores. Se você é sério sobre como proteger a privacidade do cliente, você não pode manter essas informações em servidores. Nem mesmo criptografado. Se a informação estiver lá, ela pode ser encontrada e usada.
Como cliente do Sky ECC, a única coisa armazenada na sua conta é uma lista de contatos criptografados. Se você tiver que limpar e restaurar seu dispositivo Sky ECC, recuperará sua lista de contatos e pronto. Não mantemos nada no servidor por mais tempo do que o necessário para obter mensagens do ponto a ao ponto b. Sim, precisamos saber de quem é uma mensagem, para quem ela será enviada e a hora em que a mensagem será enviada. Mas uma vez que uma mensagem é entregue, esses dados são excluídos. Não temos muito mais do que os códigos ECC conectados pela última vez ao servidor, o status de sua conta e quem são seus contatos.
Como não temos informações sobre quem tem qual ID ECC (que é um código hexadecimal gerado aleatoriamente), quando recebemos uma solicitação legal de informações , podemos cumprir sem comprometer a promessa de segurança e privacidade que fazemos com nossos clientes.
Existe o ditado “se você não está pagando por algo, você é o produto que está sendo vendido” e achamos que isso significa que os aplicativos de mensagens seguras devem ser financiados pelas pessoas que usam o aplicativo. Acreditamos que pagar por um aplicativo vem com uma série de benefícios, desde o suporte ao desenvolvimento ativo até uma melhor infraestrutura que garante que não haja pressões financeiras sobre o desenvolvedor do aplicativo de mensagens seguras. Pressões financeiras podem levar a:
Há um papel importante para aplicativos gratuitos e gratuitos no espaço de mensagens seguras, mas também achamos essencial que, se você optar por usar um aplicativo gratuito de mensagens seguras, descubra como a empresa está se financiando. Excelentes aplicativos não aparecem do nada. Muitas pessoas trabalham na Sky ECC para fabricar o produto, gerenciar os servidores e fornecer suporte – e tudo custa dinheiro.
Descobrir de onde vem o dinheiro de um aplicativo é um passo importante para decidir se é o aplicativo de mensagens certo para você.
Acreditamos que todos devem poder se comunicar de maneira segura e privada com amigos, colegas e familiares. Pensamos que as mensagens seguras são uma parte essencial de nossas liberdades e democracia. Desde jornalistas e denunciantes que iluminam a corrupção a empresas que protegem inovações da espionagem corporativa, as mensagens seguras desempenham um papel essencial.
É por isso que eu criei esta lista de recursos que tornam um aplicativo seguro de mensagens seguro. Acho que esses são os recursos básicos que você precisa observar quando escolhe um aplicativo para usar. Com o Sky ECC, levamos tudo para o próximo nível com dispositivos protegidos, criptografia mais forte do que qualquer outra pessoa e outros recursos de segurança nos bastidores que não discutimos publicamente.
Queremos que você saiba que, ao usar um dispositivo Sky ECC, você está usando o dispositivo de mensagens seguro mais forte, mais seguro e mais fácil de usar disponível. Essa é a nossa promessa para você. E se você quiser saber mais, entre em contato .