Byli federálové ohroženi bezpečnou aplikací IM Surespot?

Surespot je open source aplikace pro zasílání zpráv pro Android a iOS. Je pozoruhodný pro silné šifrování, které používá (56bitové šifrování AES-GCM pomocí klíčů vytvořených pomocí 521 bitového ECDH), podporu pro dlouhé zprávy a schopnost samodestrukování zpráv. Samotná verze Androidu byla nainstalována 100 000 až 500 000krát. V našem minulém roce Bezpečných alternativ k WhatsApp jsme k tomu dospěli,

„SureSpot nepodporuje Perfect Forward Secrecy (ačkoli nové klíče mohou být kdykoli vygenerovány více paranoidními) a existuje známá zranitelnost vůči útokům MiTM, ale celkově je to velmi bezpečná a snadno použitelná aplikace.“ “

surespot

Při britské Daily Mail však aplikace dosáhla určité nevítané pověsti

‘Britské nevěsty jihadi jsou upravovány online pomocí telefonické aplikace, kterou provozují extrémní levicoví aktivisté, může Mail odhalit. Poté, co jsou vymyté mozky na Twitteru, rekruti islámského státu řeknou mladým dívkám, aby s nimi komunikovaly pomocí programu pro zasílání zpráv nazvaného Surespot. “

V květnu následovala novinka Channel 4,

Mil Bojovníci a příznivci ISIS se hroutí k šifrovaným aplikacím pro zasílání zpráv a představují výzvu pro bezpečnostní služby, kteří tvrdí, že ztrácejí schopnost zachytit data od podezřelých z terorismu. Šetření pomocí Channel 4 News může odhalit rozsah použití jedné takové šifrované aplikace Messenger, která funguje jako WhatsApp nebo Facebook Messenger, ale s velmi vysokou úrovní zabezpečení. Vyšetřování zjistilo, že populární aplikaci Surespot za posledních šest měsíců použilo nejméně 115 lidí propojených s ISIS. “

Není proto překvapivé, že aplikace možná přitahovala zájem zpravodajských organizací, ale zdá se, že se věci mohly dále vyvíjet ...

Surespotovu mateřskou společnost 2fours provozovali Cherie Berdovich a Adam Patacchiola (ačkoli Daily Mail hlásí, že Berdovich opustil „minulé léto“.) Na rozdíl od některých webových stránek s bezpečnostními produkty Surespot nevede rozkazový kanár, takže George Maschke, bývalý důstojník armády, a uživatele Surespotu, kontaktovali Berdovicha a Patacchiolu v květnu loňského roku s aktuálními otázkami,

‘1 - Obdrželi jste někdy dopis o národní bezpečnosti?

2 - Obdrželi jste někdy soudní příkaz pro informaci?

3 - Dostali jste někdy nějakou další žádost o spolupráci s vládní agenturou? “

Od Berdoviče dostal odpověď zpět,

"Odpovědi na všechny otázky jsou ne."

Maschke znovu napsal v listopadu 2014 položením stejných tří otázek a dostal odpověď od Patacchioly (která aplikaci naprogramovala),

„1 a 2, stále ne, 3 jsme dostali e-mail s dotazem, jak nám předat předvolání, které jsme dosud neobdrželi.“ “

Tato odpověď jasně zaujala a Maschke další den zaslala e-mailem, aby se zeptala ‘jaká agentura nebo organizace hledá podrobnosti o tom, jak podat předvolání.“ Poněkud znepokojivě, nedostal žádnou odpověď. Rovněž neobdržel žádnou odpověď, když zaslal stejné otázky v dubnu 2015 a když v květnu zaslal následující otázky,

  1. ‘Dostal 2fours vládní požadavek na informace o kterémkoli z jeho uživatelů?
  2. Společnost 2fours obdržela vládní požadavek na úpravu klientského softwaru surespot?
  3. Dostala společnost 2fours vládní požadavek na úpravu serverového softwaru surespot? Má společnost 2fours jakoukoli jinou vládní žádost o usnadnění elektronického odposlechu jakéhokoli druhu?
  4. Pokud je odpověď na některou z výše uvedených otázek ano, můžete to rozvést? “

Další pokusy kontaktovat Berdovich a Patacchiola prostřednictvím aplikace Surespot se také setkaly bez odpovědi.

V červnu předseda Michael McCaul řekl Výboru pro vnitřní bezpečnost, aby to vyslechl,

„Mobilní aplikace jako Kik a WhatsApp, stejně jako aplikace ničící data, jako jsou Wickr a Surespot, umožňují extrémistům komunikovat mimo dohled nad vymáháním práva.“ “

Později, když se nás někdo zeptal, zda FBI prosazuje šifrování „porážky“ zadních dveří v softwaru, jako je Surespot, pomocný ředitel FBI pro boj proti terorismu, Michael Steinbach, řekl: „Ne,“ ale,

‘Mluvím o tom, že půjdu do společností, které by nám pak mohly pomoci získat nezašifrované informace. A atribuční část - je důležité pochopit, že v závislosti na použité technologii to - a to vyžaduje, docela upřímně, diskusi o technologii - jsou použity tokeny, které neumožňují přiřazení. Není to tak jednoduché, jako pouhé jiné techniky nebo přiřazování. Někdy toto přiřazení neexistuje. “

Hmm ... to zní podezřele, jako by, stejně jako Ladar Levison z Lavabit, byl Surespot vydán rozkaz podle Patriot Act, který požaduje, aby spolupracoval s úřady a zároveň přidal rozkaz, aby zabránil majitelům, upozornit své uživatele na skutečnost.

Zatímco pan Levison byl schopen zavřít svou společnost a chránit tak své zákazníky, tato možnost by pravděpodobně nebyla dostupná pro Patacchiolu (Levison byl sám ohrožen zatčením za své činy).

Jakákoli taková spekulace z naší strany je samozřejmě prostě taková - čistá spekulace.

Teoreticky by skutečnost, že Surespot používá šifrování typu end-to-end, měla znemožnit špehování komunikace uživatelů, i když byly 3foury skutečně ohroženy. Neschopnost aplikace implementovat Perfect Forward Secrecy však může poskytnout způsob, jak dešifrovat zprávy uživatelů, a množství metadat uložených v databázi Surespot by mohlo poskytnout protivníkovi cenné informace o totožnosti uživatelů..

Pokud bychom se obávali, že naše komunikace bude špehována, mohlo by být v pokušení hledat bezpečnou aplikaci pro zasílání zpráv jinde ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me