Év Internetes Kereskedője Díj 2017

A különféle chatprogramok és (vállalati) kommunikációs megoldások titkosítása a Snowden-botrány óta egyre több felhasználót foglalkoztat, olyannyira, hogy mostanra már a legkommerszebb platformok is magukba integráltak valamiféle végponti titkosítást. Ezek nagyon leegyszerűsítve jellemzően valamilyen egyedi, csak a két partner által használt végpont számára ismert kulcspárt használnak, és aki nem ismeri ezeket a kulcsokat, azok számára legfeljebb egy értelmezhetetlen kódsor egy üzenet. De hogy ne legyen olyan egyszerű a választás, végponti titkosítás és végponti titkosítás közt is zongorázni lehet a különbséget.

A BlackBerry a vállalati szintű titkosításért és menedzsmentért éves előfizetést kér azoktól az ügyfelektől, akiknek TÉNYLEG fontos az, hogy a chat szövege, vagy a VoIP-kommunikáció ne jusson illetéktelen kezekbe. Ez a már eleve titkosított BBM-re épülő felső titkosítási réteg, a BBM Protected, mely a BBM kliensen belül kínál magasabb szintű titkosítást. Hogy pontosan mennyire durva a BBM Protected által kínált védelem, azt jól érzékelteti az alábbi dokumentum, annak is leginkább a 9-11. oldala, ahol a BlackBerry részletesen taglalja, milyen szabványok szerint épül fel a rendszer, illetve milyen algoritmusokat, technológiákat támogat.

bbm-protected.png

A BBM Protected ráadásul - alapvetően vállalati termék lévén - bizonyos szintű menedzsment funkciókat is ad a vállalati adminisztrátor kezébe azon felül, hogy hiperbiztonságossá teszi az adatfolyamot. Ilyen lehet például a copy-paste parancsok tiltása, valamint a felhasználóhoz köthető teljes korábbi BBM-aktivitás (beleértve a kontaktokat, üzeneteket, csoportokat, csatornákat stb) távoli törlése és egyéb nyalánkségok.

A mostani poszt apropóját az adja, hogy a BlackBerry a közeljövőben átalakítja ezt a szolgáltatást, melyről a napokban értesítette/értesíti a BBM Protected adminisztrátorokat. Az átalakítás lényege nagyjából abból áll, hogy a BBM Protected a jövőben új néven, BBM Enterprise-ként fut majd tovább, az új név pedig egy új alkalmazást is igényel majd, vagyis a korábbi Protected funkció lényegében kiszerveződik a BBM alól a BBM Enterprise appba.

Az appokat érintő változás egyelőre csak iOS és Android platformon érvényes, BB10 esetén továbbra is a "régi" BBM app alatt működik majd a Protected funkció, ami az említett két platformon a kiszervezést követően is ugyanazt a biztonsági szintet nyújtja majd, mint korábban, vagyis az iparág egyik, ha nem a legbiztonságosabb, szoftveres titkosítást alkalmazó mobilkommunikációs megoldása lesz.

Bámulatos, hogy hirtelenjében mekkora pálforduláson ment át a chatkilens-iparág, már ha létezik ilyen: Egyszercsak, mintegy varázsütésre mindenkinek fontos lett a felhasználói adatok, meg a privát szféra védelme, és bár ez a tendencia kétségtelenül kedvező több milliárd felhasználóra nézve, felveti a kérdést, hogy azok, akik most ülnek fel erre a vonatra, mégis mi a fészkes fenét csináltak az elmúlt fél-egy évtizedben. Pár hete a WhatsApp, most pedig éppen a Viber jött rá, hogy az adatvédelem mindig is a DNS-ében volt.

Az a Viber, aminek világszerte már több mint 700 millió felhasználója van mostanára, illetve Magyarországon az egyik legnépszerűbb csevegőprogramnak számít (számított, amíg nem jöttek rá egyre többen, hogy a kliens egy hulladék, és kezdték el helyette használni a Facebook Messengert). Illetve az a Viber, ami azzal kezd az első telepítést követően, hogy beszkenneli a telefon névjegyzékét és azzal a lendülettel felküldi a saját szerverére - persze mindezt a felhasználó érdekében.
viber_hidden.jpg

Szóval a Viber is nyújt mostantól végponti titkosítást - derül ki a cég most kiadott sajtóközleményéből, ami egyébként azért is nagy szám, mert nem emlékszem, hogy a cég valaha adott volna ki korábban magyar nyelvű közleményt. Ehhez a felhasználóknak a legújabb, ma megjelent 6.0-s verziót kell telepíteniük, a végponti titkosítás pedig a következő hetekben aktiválódik mindenkinél, aki az új verziót használja - gondolom ennyi ideig tart, míg a szervereken frissítik a profilokat. Egyébként a Viber eddig is titkosította az adatfolyamot, de csak a szerver és a végpont között, az új rendszerben viszont már a fejlettebb topológiának számító, két végpont közti titkosítás is működik.

A Viber (többek közt a WhatsAppel ellentétben) egyébként nem részletezi, hogy pontosan milyen technológiával titkosítja a párbeszédeket, vagy a hanghívásokat, ami annyira talán nem is lényeges a felhasználói kör nagy része számára, a lényeg helyette az, hogy mostantól a chatklienssel elvileg biztonságosabban lehet kommunikálni.

Jön egyébként néhány új funkció is a 6.0-s verzióba, így lesz például a BBM-es privát chathez nagyon hasonló rejtett csevegés, illetve a BBM-es üzenetvisszahívás viberes megfelelője is megjelenik majd a kliensben, lényegében ugyanabban a formában. Mondjuk nem lennék meglepve, ha ezekből a fejlesztésekből a BlackBerry korábban megszagolt volna egy, s mást, vagy ha nem, hát elképesztő jó időérzékkel tette ingyenessé a cég a BBM Privacy and Control kiegészítő csomagját pár hete, amiben mit tesz a véletlen ott van a már fent is említett üzenetvisszahívás, vagy a privát csevegés.

De a lényeg, hogy ha te is viber-felhasználó vagy, akkor keresd a szürke vagy a zöld lakatot a csevegéseknél, de ha piros lakatot látsz, akkor se ess pánikba, hiszen akkor szimplán csak úgy működik a program, ahogy eddig is megszoktad.

Fotó: Venturebeat

Na, ennek a belügynél azt hiszem örülni fognak: A világ egyik legnépszerűbb azonnali üzenetküldő és VoIP-kliensének titulált WhatsApp tegnap bejelentette, hogy a teljes kommunikációs portfóliójára kiterjedően bevezeti a pont-végpont közti titkosítást. Vagyis a kliensek közt folytatott kommunikációba mostantól - elvileg - senki más nem láthat bele a feladón (hívón) és a címzetten (hívott) kívül. Még a WhatsApp sem, és igen, - elvileg - az FBI sem.

A WhatsApp egyébként nem most lépett erre az útra, hanem jóval korábban, már 2014-ben, igaz, akkor még csak az androidosok kiváltsága volt a titkosított kommunikáció, náluk is csak a szöveges üzenetekre vonatkozott a védelem, tehát a kliensek által elküldött hangüzenetek, képek és hanghívások olyan szabadon szárnyaltak az interneten, hogy mondhatni egy számtech szakkörös általános iskolás is könnyedén megszerezhette volna a kommunikáció részleteit. 

whatsapp-encryption-840x420.jpg

A program fejlesztői már 2014-ben is az Open Whisper Systems megoldására építették a szöveges üzenetek titkosítását, ez most sincs másként, a WhatsApp egy elég részletes dokumentumot is közzétesz arról, hogyan zajlik a titkosított kommunikáció a rendszerben, akit érdekel, angolul elolvashatja itt: WhatsApp Encryption Overview.

Akit kevésbé érdekelnek a részletek, itt olvashat magyarul a WhatsApp biztonsági hátteréről. Mondjuk azt kijelenteni a WhatsApp részéről, hogy 

"biztonság és adatvédelem a génjeinkben..."

egy kicsit túltolja a bullshit-mutatót, meg ezt a poént már mások ellőtték (többek között John Chen), és egyébként is, felveti a kérdést, hogy eddig kinek a szervezetében voltak azok a gének, mert hogy nem a WhatsAppéban, az halál biztos. 

Az ügy egyébként három szempontból aktuális, az egyik nyilván az Apple kontra FBI sztori, amire most jól rákontráz a WhatsApp, sőt, Jan Koum társalapító még egy meglehetősen cinikus nyilatkozatot is megengedett magának a témában (idézet a Wired cikkéből):

Mi itt az Egyesült Államokban szerencséseknek mondhatjuk magunkat, hiszen azt reméljük, hogy a megfelelő fékek érvényben maradnak a következő években, évtizedekben. De sok más ország lakói számára nem biztosítottak ezek a fékek.

Koum amúgy Ukrajnából származik, csak mondom.

Aztán itt van ez a magyar terrorellenes intézkedéscsomag is, melyet eredendően azzal a szándékkal hoztak létre, hogy a nemzetbiztonsági érdekekre hivatkozva az országban korlátozottan lehessen csak használni bizonyos, titkosított kommunikációs csatornákat. Pláne, ha ingyenesek is. Hogy ebből végül mi valósul meg, még mindig nem teljesen tiszta, de a WhatsApp komplett titkosításának valószínűleg nem örülnek a seggüket a földhöz csapkodva a belügynél.

Végül, de nem utolsósorban itt van ez a BlackBerrys kálvária is. Vagyis mint azt nyilván sokan olvastátok, a WhatsApp otthagyja a BlackBerry platformot az év végén, és valószínűleg a mostani titkosításos ügynek van köze ehhez a döntéshez. És akkor itt máris jobban érthető, miért született a WhatsApp szintjén ez a döntés, pláne, mivel ezzel a WhatsApp a titkosított kommunikációs platformok között a BBM konkurensévé is vált egyben. 

Azt egyelőre nehéz megtippelni, hogy a BBM és a WhatsApp titkosított kommunikációja hogyan mérhető egymáshoz, vagyis melyik védi jobban a felhasználókat, bár ez abból a szempontból úgyis irreleváns, hogy a WhatsAppnak jóval több felhasználója van, mint a BBM-nek, szóval a kettőjük közti harc már rég lefutott. A WhatsApp mostani lépése így talán inkább az olyan, feltörekvő szolgáltatók, szolgáltatások számára jelenthet komolyabb fejfájást, mint amilyen a szénné hájpolt, és szintén egy ex-szovjet bevándorló (Pavel Durov) által útjára indított Telegram.

Alig múlt el a húsvét, máris bombaként robbant (áh, ez most ebben a kontextusban de egy hülye hasonlat, no de mindegy) a hír, hogy a Belügyminisztérium terrorellenes intézkedései kiterjednének a mobilkommunikációs eszközökön használható egyes alkalmazások korlátozására, vagy akár teljes tiltására. Egyes portálok a belügyminiszter szavait sajátosan értelmezve egyenesen azt a következtetést vonták le ebből, hogy úgy ahogy van, betiltják az okostelefonokat, amiről persze szó sincs. De az intézkedéscsomag a gyártók közül leginkább a BlackBerryt érintheti, már ha ebben a szellemben tényleg lesz belőle valami.

A BlackBerryről mondhatni köztudott, hogy gyakorlatilag mind a mai napig feltörhetetlen mobilkommunikációs eszközöket gyárt, ami egyrészt azt feltételezi, hogy a készüléken tárolt, védett adatokhoz senki nem fér hozzá, másrészt a kommunikáció egy része olyan titkosított csatornákon zajlik, melyeket rendkívül nehéz lenyomozni, vagy divatos kifejezéssel élve "lehallgatni". 

bbm_london2.jpg

Nem véletlen, hogy a BlackBerryket a kormányzati körök és nagyvállalatok mellett előszeretettel használják azok, akiknek valami takargatni valójuk van, a nemrég megszökött, majd újra elfogott drogkartell-vezértől, El Chapotól kezdve a 2011-es londoni zavargásokban résztvevő tinédzserekig, akik komoly fejtörést okoztak a Scotland Yardnak azzal, hogy BBM-en keresztül szervezték meg az autóborogatásokat, meg a kirakatátrendezéseket.

A BBM kommunikáció lehallgatását nagy mértékben megnehezíti, hogy a teljes kommunikációs folyamat a BlackBerry saját szerverein keresztül zajlik, kétlépcsős titkosítással (TLS transzport réteg, plusz 168 bites 3DES üzenettitkosítás). Ráadásul aki akarja, még további titkosítási szintet is vásárolhat, a BBM Protected PGP-modellel egészíti ezt ki, vagyis az üzeneteket csak a megfelelő kulcsok birtokában lehet visszafejteni, ezeket a kulcsokat pedig csak a küldő és a fogadó fél (készülék) ismeri, ráadásul folyamatosan változnak is.

A BlackBerry emellett rendelkezik egy saját, hardveresen, illetve szoftveresen titkosított mobil adatkommunikációs megoldással is, ez a német fejlesztésű SecuSUITE for Government, illetve a SecuSUITE for Enterprise - előbbiről egyenesen azt állítják az alkotói, hogy nagyjából 149 milliárd évig (!) tartana visszafejteni egy hardveres kriptochippel titkosított üzenetet (persze azért nem mellékes az sem, hogy milyen eszközzel próbálják visszafejteni a kódot).

Visszatérve a terrorellenes intézkedéscsomagra, szóval úgy tűnik, lenne a csomag szellemisége alapján azért mit betiltani a BlackBerry termékei közül is itthon, más kérdés, hogy nem igazán tudom, ezt hogyan képzeli megvalósítani a kormányzat. Egyébiránt itt érdemes megjegyezni, hogy egyelőre tudtommal nincs olyan bizonyított eset, hogy terroristák bárhol BlackBerryt használtak volna a terrorcselekmények megszervezésére, sőt, manapság inkább az az általános, hogy "eldobható" telefonokkal lépnek kapcsolatba egymással az elkövetők, és semmiféle titkosított hókuszpókuszt nem használnak.

Így vagy úgy, te egyetértesz azzal, hogy a nemzet biztonsága érdekében korlátozzák a titkosított kommunikációt?

Via index.hu

Igen, a BlackBerryk még mindig feltörhetetlenek (és igen, még a PRIV is), noha időről-időre előkerülnek olyanok, akik az ellenkezőjét állítják. Most például a holland rendőrségnek dolgozó intézet, a Netherlands Forensic Institute (NFI) a hét elején közölte, hogy egy bűnügy kapcsán elkobzott BlackBerryn tárolt 375 e-mailből 275-öt sikeresen visszafejtettek, vagyis a titkosítás dacára megismerték a tartalmát. 

Az NFI természetesen semmit nem árult el arról a metódusról, amit használt, így jobbára csak spekulációk jelentek meg a módszerrel kapcsolatban, melyek onnantól kezdve, hogy az intézet speciális kódfejtő programot használt odáig terjedtek, hogy közvetlenül (fizikailag) hozzáfértek valahogy a készülék memóriachipjéhez, amiből sikeresen kiolvasták az adatokat.

lakatok.jpg

Mondanom sem kell, hogy a BlackBerry számára egy ilyen hír felszínre kerülése meglehetősen kellemetlen, különösen annak fényében, hogy a törés hátteréről semmit nem tudni. Ennek természetesen hangot is adott a gyártó, az alábbi nyilatkozatában:

Néhány sajtóorgánumban megjelent cikkek szerint egy a holland rendőrséghez kötődő csoport sikeresen "feltörte" egy BlackBerry titkosítását és hozzáfért a készüléken tárolt e-mailek és adatok egy részéhez.

A BlackBerrynek semminemű információja nincs arról, hogy az adott eszközt milyen szintű védelemmel látták el, hogy volt menedzselve, vagy egyéb módon védve, illetve arról sincs adatunk, hogy pontosan milyen jellegű kommunikációt fejtettek vissza az eszközről.

Ha csakugyan történt ilyen adathozzáférés, annak számos olyan aspektusa lehet, melyek függetlenek attól, hogy a BlackBerry készülékek eredetileg mennyire biztonságosak. Ilyen lehet a felhasználói beleegyezés, a nem biztonságos külső alkalmazás használata, a nem megfelelő biztonsági környezet, vagy felhasználói beállítások.

Továbbmenve, a BlackBerry készülékek tartalmához semmilyen hátsó kapun keresztül nem lehet hozzáférni, a BlackBerry pedig semmilyen készülékjelszót nem tárol sehol, így értelemszerűen nem is tudja azt átadni a hatóságok, vagy bárki más számára. A fentieket összegezve - megfelelő beállítások mellett - a BlackBerryk továbbra is olyan biztonságos mobileszközök, amilyenek mindig is voltak.

Ez a titkosítós-feltörős sztori egyébként a Snowden-ügy óta meglehetősen élénken foglalkoztatja a nagyérdeműt, úgyhogy itt a lehetőség, hogy te is kifejtsd a véleményed a témában, a lenti szavazáson keresztül:

Via Inside BlackBerry blog.

Nem, ezúttal nem a BlackBerry Messengerről van szó, ami egyébként régóta titkosított kommunikációt használ (ami azt illeti, TLS-t), hanem a SecuSmart nevű, immár a kanadai cég tulajdonában lévő német vállalat új termékéről, a SecuSUITE for Enterprise-ról. A novemberben bejelentett, titkosított hang- és szöveges kommunikációra használható platform mostantól érhető el éles üzemben is.

secusuite_enterprise.jpg

Fontos, hogy ez nem ugyanaz a SecuSUITE, amit frau Merkel és a fél német államvezetés is használ, hanem annak egyfajta kistesója. Míg a korábbi SecuSUITE, amit időközben SecuSUITE for Governmentre kereszteltek, hardveres titkosítást használ kriptochipen keresztül, addig a SecuSUITE for Enterprise szoftveresen, AES128-bites rendszerben titkosítja az adatfolyamot. Egyébként az egészet úgy kell elképzelni, mint egy szuperbiztonságos chat- és VoIP-klienst (ehhez hasonló például a Signal, vagy éppen az iOS-exkluzív CryptTalk), ahol a saját hívószámodat használhatod azonosítóként, vagyis nem kell külön kontakt listát fenntartanod a programnak. Persze a titkosítás csak úgy működik, ha mindkét oldalon ugyanazt a kilenst használják, gondolom ez azért mindenkinek magától értetődő.

A SecuSUITE for Enterprise egyébként szinte teljes egészében a BlackBerry saját infrastruktúrájára épül, pont mint a BBM, és bár beilleszthető a BlackBerry saját mobilmenedzsment-platformjába, ez nem kötelező elem. A SecuSUITE for Enterprise éves licencdíjért cserébe vehető igénybe, hogy ez pontosan mekkora összeg, az egyelőre nem teljesen világos, aki talál árlistát, esetleg linkelje be a kommentek közé.

A SecuSUITE for Enterprise brossúrát itt találjátok a részletekkel (angolul).