Ce sunt metadatele și ar trebui să reprezinte un motiv de îngrijorare?
Cu cine vorbiți dvs. și personalul dvs. și când și unde vorbiți cu persoanele respective pot fi adesea informații la fel de sensibile ca despre ce vorbiți. Este important să rețineți că criptarea de la un capăt la altul protejează doar conținutul („ce”) comunicărilor dvs. Aici intră în scenă metadatele. Ghidul de autoapărare contra supravegherii al EFF oferă o prezentare generală a metadatelor și explică de ce acestea sunt importante pentru organizații (inclusiv o imagine a acestora):
Metadatele sunt adesea descrise drept toate elementele, cu excepția conținutului comunicărilor dvs. Metadatele sunt un fel de echivalent digital al unui plic. La fel cum un plic conține informații despre expeditor, destinatar și destinația mesajului, aceleași lucruri le implică și metadatele. Metadatele sunt informații despre comunicările digitale pe care trimiteți și primiți. Iată câteva exemple de metadate:
- persoanele cu care comunicați
- linia de subiect a e-mailurilor dvs.
- durata conversațiilor dvs.
- ora la care a avut loc o conversație
- locația dvs. în momentul comunicării
Chiar și un exemplu nesemnificativ de metadate poate divulga informații confidențiale despre activitatea organizației dvs. Haideți să vedem cât de revelatoare pot fi metadatele pentru hackeri, agenții guvernamentale și companiile care le colectează:
- Se știe dacă ați sunat un jurnalist și ați discutat cu el timp de o oră înainte ca jurnalistul respectiv să fi publicat un articol cu un citat anonim. Însă nu se știe despre ce ați discutat.
- Se știe că unul dintre candidații partidului dvs. a făcut frecvent schimb de mesaje cu o companie locală renumită pentru activitatea sa neagreată. Însă subiectul mesajelor rămâne un secret.
- Se știe că ați primit un e-mail de la un centru de testare COVID, că apoi v-ați sunat medicul și ați vizitat site-ul Organizației Mondiale a Sănătății în aceeași oră. Însă nu se cunoaște conținutul e-mailului sau ce ați discutat la telefon.
- Se știe că ați primit de la un donator important un e-mail cu subiectul „Rentabilitatea investiției noastre în urma alegerilor”. Însă nu se poate accesa conținutul e-mailul.
Metadatele nu sunt protejate de criptarea oferită de majoritatea serviciilor de mesagerie. Dacă trimiteți un mesaj pe WhatsApp, de exemplu, rețineți că, cu toate că conținutul mesajului este criptat de la un capăt la altul, este totuși posibil ca alte persoane să afle cui îi trimiteți mesaje, cât de frecvent faceți acest lucru și, în cazul apelurilor telefonice, care este durata acestora. Prin urmare, luați în considerare la ce riscuri v-ați supune (dacă este cazul) dacă anumiți adversari ar afla cu cine vorbește organizația dvs., când fac acest lucru și (în cazul e-mailurilor) liniile de subiect generale ale comunicărilor organizației dvs.
Unul dintre motivele pentru care Signal este atât de recomandat este că, pe lângă furnizarea de criptare de la un capăt la altul, a introdus funcții și s-a angajat să reducă cantitatea de metadate pe care le stochează și înregistrează. De pildă, funcția Expeditor sigilat oferită de Signal criptează metadatele despre cine cu cine vorbește, astfel încât Signal cunoaște doar destinatarul mesajului, nu și expeditorul acestuia. Implicit, această funcție funcționează doar atunci când comunicați cu contacte sau profiluri (persoane) existente cu care ați mai comunicat anterior sau pe care i-ați salvat în lista de contacte. Însă puteți activa setarea pentru „Expeditor sigilat” la „Permite pentru toată lumea” dacă este important pentru dvs. să eliminați toate metadatele respective pentru toate conversațiile Signal, chiar și pentru cele purtate cu persoane pe care nu le cunoașteți.
Dar e-mailul?
Majoritatea furnizorilor de e-mail, de exemplu, Gmail, Microsoft Outlook și Yahoo Mail, folosesc criptarea în stratul de transport. Așadar, dacă trebuie să comunicați conținut sensibil prin e-mail și aveți îngrijorări că furnizorul de e-mail ar putea fi obligat legal să furnizeze informații despre comunicările dvs. unui guvern sau altui adversar, vă recomandăm să luați în calcul utilizarea unei opțiuni de e-mail cu criptare de la un capăt la altul. Rețineți, totuși, că până și opțiunile de e-mail cu criptare de la un capăt la altul lasă cumva de dorit în ceea ce privește securitatea, de exemplu, necriptarea liniilor de subiect ale e-mailurilor și neprotejarea metadatelor. Dacă trebuie să comunicați informații extrem de sensibile, e-mailul s-ar putea să nu fie cea mai bună opțiune. În schimb, optați pentru opțiuni sigure de mesagerie precum Signal.
Dacă organizația dvs. continuă totuși să folosească e-mailul, este de importanță critică să adoptați un sistem la nivelul întregii organizații. Acest lucru vă ajută să limitați riscurile la care vă expuneți atunci când personalul folosește adrese de e-mail pentru muncă, precum practici ineficiente de securitate a conturilor. De exemplu, prin furnizarea de conturi de e-mail de serviciu personalului dvs., puteți impune cele mai bune practici precum parole puternice și 2FA pentru toate conturile administrate de organizația dvs. În cazul în care, conform analizei de mai sus, este necesară criptarea de la un capăt la altul pentru e-mailul dvs., atât Protonmail, cât și Tutanota, oferă abonamente pentru organizații. Dacă criptarea în stratul de transport este adecvată pentru e-mailul organizații dvs., puteți utiliza opțiuni precum Google Workspace (Gmail) sau Microsoft 365 (Outlook).
Chiar putem avea încredere în WhatsApp?
WhatsApp este o alegere populară de mesagerie securizată și poate fi o opțiune bună având în vedere omniprezența sa. Unele persoane sunt îngrijorate că este deținut și controlat de Facebook, care lucrează la integrarea acestuia în alte sistemele ale sale. Lumea este îngrijorată și de cantitatea de metadate (adică de informații despre cu cine și când comunicați) pe care WhatsApp le colectează. Dacă alegeți să folosiți WhatsApp ca opțiune securizată de mesagerie, asigurați-vă că ați citit secțiunea de mai sus referitoare la metadate. Există, de asemenea, câteva setări pe care trebuie să le configurați corect. Cel mai important este să vă asigurați că ați dezactivat copiile de rezervă în cloud sau că ați activat măcar noua funcție de copii de rezervă criptate de la un capăt la altul a WhatsApp folosind o cheie de criptare de 64 de cifre sau un cod de acces lung, aleatoriu și unic, salvat într-un loc sigur (precum un manager de parole). De asemenea, asigurați-vă că se afișează notificările de securitate și verificați codurile de securitate. Puteți găsi ghiduri cu instrucțiuni simple de configurare a acestor setări pentru telefoanele Android aici și pentru telefoanele iPhone aici. Dacă personalul* dvs. și cei cu care comunicați* cu toții nu configurează corect aceste opțiuni, nu vă recomandăm să luați în considerare folosirea aplicației WhatsApp drept opțiune sigură pentru comunicările sensibile care necesită criptarea de la un capăt la altul. Signal rămâne în continuare cea mai bună opțiune de mesagerie cu criptare de la un capăt la altul, datorită setărilor sale de securitate implicite și protecției metadatelor.
Dar mesajele text?
Mesajele text obișnuite sunt extrem de nesigure (SMS-ul standard este practic necriptat) și ar trebui evitate pentru transmiterea oricăror informații care nu sunt destinate publicului. În vreme ce mesajele trimise de pe un iPhone pe alt iPhone (cunoscute drept mesaje iMessage) sunt criptate de la un capăt la altul, dacă în conversație se folosește un alt tip de telefon, mesajele nu sunt securizate. Vă recomandăm să fiți precauți și să evitați mesajele text pentru transmiterea de informații sensibile, private sau confidențiale.
De ce Telegram, Facebook Messenger sau Viber nu sunt recomandate pentru conversații sigure?
Anumite servicii precum Facebook Messenger și Telegram oferă doar criptarea de la un capăt la altul dacă o activați intenționat (și doar pentru conversațiile unu-la-unu), așadar nu sunt opțiuni bune pentru transmiterea de mesaje sensibile sau confidențiale, în special pentru o organizație. Nu vă bazați pe aceste instrumente dacă trebuie să utilizați criptarea de la un capăt la altul, deoarece este destul de ușor să uitați să modificați setările implicite care sunt mai puțin sigure. Viber susține că oferă criptare de la un capăt la altul, însă nu a pus la dispoziție codul pentru a fi verificat de cercetători externi din domeniul securității. Nici codul folosit de Telegram nu a fost pus la dispoziția unui audit public. Prin urmare, mulți experți se tem că criptarea oferită de Viber (sau „conversațiile secrete” ale Telegram) ar putea fi sub standarde și, în consecință, neadecvate pentru comunicări care necesită o reală criptare de la un capăt la altul.
Contactele și colegii noștri folosesc alte aplicații de mesagerie - cum îi putem convinge să descarce o nouă aplicație pentru a comunica cu noi?
Uneori, trebuie să facem un compromis între securitate și caracter convenabil, însă comunicările sensibile merită puțin efort suplimentar. Fiți un exemplu bun pentru contactele dvs. Dacă trebuie să folosiți alte sisteme mai puțin sigure, aveți mare grijă la ceea ce spuneți. Evitați să discutați subiecte sensibile. Unele organizații ar putea utiliza un sistem pentru conversații generale și altul folosit de conducere pentru discuții confidențiale. Desigur, este mai simplu dacă totul ar fi criptat automat în permanență - nu va trebui să țineți minte sau să vă îngrijoreze nimic.
Din fericire, aplicațiile cu criptare de la un capăt la altul precum Signal devin din ce în ce în ce mai populare și ușor de utilizat - în plus, au fost localizate în numeroase limbi pentru a fi utilizate la nivel global. Dacă partenerii dvs. sau alte contacte au nevoie de ajutor pentru a comuta comunicațiile la o opțiune cu criptare de la un capăt la altul precum Signal, explicați-le de ce este atât de important să vă protejați corespunzător comunicările. Dacă toată lumea înțelege importanța, cele câteva minute necesare pentru descărcarea unei noi aplicații și cele câteva zile pentru învățarea folosirii acesteia nu vor mai părea mare lucru.
Există și alte setări pentru aplicațiile cu criptare de la un capăt la altul pe care ar trebui să le cunosc?
În aplicația Signal, verificarea codurilor de securitate (pe care ei le numesc Numere de siguranță) este, de asemenea, importantă. Pentru a vedea un număr de siguranță și a-l verifica în Signal, puteți deschide conversația cu un contact, atingeți numele acestuia în partea de sus a ecranului și defilați în jos pentru a atinge „Vezi numărul de siguranță”. Dacă numărul de siguranță corespunde cu contactul dvs., îl puteți marca drept „verificat” din același ecran. Este extrem de important să fiți atenți la aceste numere de siguranță și să vă verificați contactele dacă primiți o notificare într-o conversație prin care sunteți informați că numărul de siguranță al unui anumit contact s-a modificat. Dacă dvs. sau alți membri ai personalului aveți nevoie de ajutor pentru configurarea acestor setări, Signal pune la dispoziție instrucțiuni utile.
Dacă folosiți Signal, o opțiune de mesagerie securizată și apeluri unu-la-unu considerată de mulți ca fiind cel mai ușor de utilizat, asigurați-vă că setați un cod PIN puternic. Folosiți cel puțin șase cifre și nu ceva ușor de ghicit, precum data dvs. de naștere.
Pentru mai multe sfaturi privind configurarea corectă a Signal și WhatsApp, puteți consulta ghidurile instrumentelor pentru ambele aplicații, dezvoltate de EFF în Ghid de autoapărare contra supravegherii.