Έχει ασφαλίσει η ασφαλής εφαρμογή Surespot IM από τους φίλους;

Το Surespot είναι μια εφαρμογή ανοιχτού κώδικα ασφαλείας για μηνύματα Android και iOS. Είναι αξιοσημείωτο για την ισχυρή κρυπτογράφηση που χρησιμοποιεί (κρυπτογράφηση AES-GCM 56-bit χρησιμοποιώντας κλειδιά που δημιουργήθηκαν με ECDH 521 bit), υποστήριξη για μακρά μηνύματα και δυνατότητα αυτόματης καταστροφής μηνυμάτων. Μόνο η έκδοση Android έχει εγκατασταθεί 100.000 έως 500.000 φορές. Στο ραντεβού μας το περασμένο έτος με Secure εναλλακτικές λύσεις σε WhatsApp, καταλήξαμε στο συμπέρασμα αυτό,

Το SureSpot δεν υποστηρίζει Perfect Forward Secrecy (αν και τα νέα κλειδιά μπορούν να δημιουργηθούν ανά πάσα στιγμή από το πιο παρανοϊκό) και υπάρχει μια γνωστή ευπάθεια στις επιθέσεις του MiTM, αλλά συνολικά είναι μια πολύ ασφαλή και εύκολη στη χρήση εφαρμογή.

surespot

Η εφαρμογή πέτυχε κάποια ανεπιθύμητη φήμη, ωστόσο, όταν η Daily Mail του Ηνωμένου Βασιλείου

«Οι νύφες της βρετανικής τζιχάντ είναι καλλωπισμένες στο διαδίκτυο χρησιμοποιώντας μια τηλεφωνική εφαρμογή που εκτελείται από ακραίους ακτιβιστές ακτιβιστές, το Mail μπορεί να αποκαλύψει. Μετά την πλύση εγκεφάλου στο Twitter, οι ισλαμιστές υπάλληλοι του Κράτους λένε στα νεαρά κορίτσια να επικοινωνούν μαζί τους χρησιμοποιώντας ένα πρόγραμμα ανταλλαγής μηνυμάτων που ονομάζεται Surespot.

Τον Μάιο ακολούθησε ένα τηλεοπτικό κανάλι 4,

«Οι μαχητές και υποστηρικτές του ISIS συρρέουν σε κρυπτογραφημένες εφαρμογές μηνυμάτων, προκαλώντας μια πρόκληση στις υπηρεσίες ασφαλείας, οι οποίοι λένε ότι χάνουν την ικανότητα να συλλαμβάνουν δεδομένα από ύποπτους τρομοκράτες. Μια έρευνα από το Channel 4 News μπορεί να αποκαλύψει την κλίμακα χρήσης μιας τέτοιας κρυπτογραφημένης εφαρμογής messenger, η οποία λειτουργεί όπως το WhatsApp ή το Facebook Messenger, αλλά με πολύ υψηλά επίπεδα ασφάλειας. Τουλάχιστον 115 άτομα που συνδέονται με το ISIS φαίνεται να έχουν χρησιμοποιήσει τη δημοφιλή εφαρμογή Surespot τους τελευταίους έξι μήνες, η έρευνα έδειξε.

Δεν είναι λοιπόν έκπληξη το γεγονός ότι η εφαρμογή μπορεί να έχει προσελκύσει το ενδιαφέρον των οργανισμών συλλογής πληροφοριών, αλλά φαίνεται ότι τα πράγματα ενδέχεται να έχουν προχωρήσει περαιτέρω ...

Η μητρική εταιρεία Surespot 2fours διεξήχθη από τον Cherie Berdovich και τον Adam Patacchiola (αν και οι αναφορές του Daily Mail ότι ο Berdovich έφυγε «το περασμένο καλοκαίρι».) Σε αντίθεση με κάποιες ιστοσελίδες προϊόντων ασφαλείας, ο Surespot δεν διαθέτει καναρινό δελτίο, οπότε ο George Maschke, και ο χρήστης του Surespot, επικοινώνησε με τον Berdovich και τον Patacchiola τον περασμένο Μάιο με τις ρέουσες ερωτήσεις,

«1 - Έχετε λάβει ποτέ Επιστολή Εθνικής Ασφάλειας?

2 - Έχετε ποτέ λάβει δικαστική απόφαση για πληροφορίες?

3 - Έχετε λάβει κάποια άλλη αίτηση συνεργασίας με κυβερνητική υπηρεσία;

Έλαβε μια απάντηση από τον Berdovich λέγοντας,

«Η απάντηση σε όλες τις ερωτήσεις είναι όχι».

Ο Maschke έγραψε και πάλι τον Νοέμβριο του 2014 ζητώντας τις ίδιες τρεις ερωτήσεις και έλαβε απάντηση από τον Patacchiola (ο οποίος προγραμματίζει την εφαρμογή),

«1 και 2, ακόμα όχι, 3 έχουμε λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που μας ρωτάει πώς να υποβάλετε μια κλήτευση σε εμάς που δεν έχουμε λάβει ακόμη».

Σαφώς ενθουσιασμένος από αυτή την απάντηση, ο Maschke έστειλε ξανά την επόμενη μέρα να ρωτήσει «ποια υπηρεσία ή οργάνωση αναζητά λεπτομέρειες σχετικά με τον τρόπο υποβολής της κλήτευσης». Αντίθετα ανησυχητικά, δεν έλαβε απάντηση. Δεν έλαβε επίσης καμία απάντηση όταν έστειλε τις ίδιες ερωτήσεις τον Απρίλιο του 2015 και όταν έστειλε τις ακόλουθες ερωτήσεις τον Μάιο,

  1. "Έχει 2fours έλαβε οποιαδήποτε κυβερνητική ζήτηση για πληροφορίες σχετικά με οποιονδήποτε από τους χρήστες του?
  2. Έχει 2fours λάβει οποιαδήποτε κυβερνητική απαίτηση να τροποποιήσει το λογισμικό πελάτη surespot?
  3. Έχει λάβει 2fours οποιαδήποτε κυβερνητική απαίτηση να τροποποιήσει το λογισμικό διακομιστή surespot; Έχει λάβει 2fours οποιαδήποτε άλλη κυβερνητική απαίτηση για τη διευκόλυνση ηλεκτρονικής παρακολούθησης οποιουδήποτε είδους?
  4. Εάν η απάντηση σε κάποια από τις παραπάνω ερωτήσεις είναι ναι, μπορείτε να επεξεργαστείτε;

Περαιτέρω προσπάθειες επικοινωνίας με τον Berdovich και την Patacchiola μέσω της εφαρμογής Surespot συναντήθηκαν επίσης χωρίς καμία απάντηση.

Τον Ιούνιο, ο πρόεδρος Michael McCaul είπε σε μια ακρόαση της Επιτροπής Εσωτερικής Ασφάλειας,

«Οι εφαρμογές για κινητά όπως το Kik και το WhatsApp καθώς και εφαρμογές που καταστρέφουν δεδομένα όπως οι Wickr και Surespot επιτρέπουν στους εξτρεμιστές να επικοινωνούν έξω από την άποψη της επιβολής του νόμου».

Αργότερα στην ακρόαση, όταν ρωτήθηκε αν το FBI πιέζει για κρυμμένες «πίσω πόρτες» σε λογισμικό όπως το Surespot, ο βοηθός διευθυντής του FBI για την αντιτρομοκρατία, Michael Steinbach, δήλωσε «Όχι», αλλά,

«Μιλώ για να πάω στις εταιρείες που θα μπορούσαν τότε να μας βοηθήσουν να πάρουμε τις μη κρυπτογραφημένες πληροφορίες. Και το κομμάτι απόδοσης - είναι σημαντικό να καταλάβουμε ότι, ανάλογα με τη σχετική τεχνολογία, αυτό - και αυτό απαιτεί, ειλικρινά, μια τεχνολογική συζήτηση - υπάρχουν μάρκες που χρησιμοποιούνται που δεν επιτρέπουν την απόδοση. Έτσι δεν είναι τόσο απλό όσο απλώς και άλλες τεχνικές ή αναφορές. Μερικές φορές αυτή η απόδοση δεν υπάρχει. '

Hmm ... αυτό ακούγεται ύποπτα σαν ότι, όπως και ο Ladar Levison από το Lavabit, ο Surespot έχει εκδώσει ένα ένταλμα βάσει του νόμου Patriot, απαιτώντας να συνεργαστεί με τις αρχές, προσθέτοντας επίσης μια παραγγελία για να εμποδίσει τους ιδιοκτήτες, προειδοποιώντας τους χρήστες τους στο γεγονός.

Ενώ ο κ. Levison ήταν σε θέση να κλείσει την επιχείρησή του και έτσι να προστατεύσει τους πελάτες του, η επιλογή αυτή πιθανόν να μην ήταν διαθέσιμη στην Patacchiola (ο ίδιος ο Levison απειλήθηκε με σύλληψη για τις ενέργειές του).

Φυσικά, οποιαδήποτε τέτοια εικασία από την πλευρά μας είναι απλά αυτή - καθαρή κερδοσκοπία.

Θεωρητικά, το γεγονός ότι ο Surespot χρησιμοποιεί κρυπτογράφηση από άκρο σε άκρο θα πρέπει να καταστήσει αδύνατη την κατασκοπεία στις επικοινωνίες των χρηστών, ακόμα και αν έχουν συμβιβάσει 3fours. Η αποτυχία της εφαρμογής να εφαρμόσει Perfect Forward Secrecy μπορεί να προσφέρει έναν τρόπο αποκρυπτογράφησης των μηνυμάτων των χρηστών και η ποσότητα των μεταδεδομένων που είναι αποθηκευμένα στη βάση δεδομένων Surespot θα μπορούσε να παράσχει στον αντίπαλο πολύτιμες ενδείξεις σχετικά με την ταυτότητα των χρηστών.

Εάν ανησυχούσαμε για την κατασκοπεία των επικοινωνιών μας, θα μπορούσαμε να μπουν στον πειρασμό να κοιτάξουμε αλλού για μια ασφαλή εφαρμογή ανταλλαγής μηνυμάτων ...

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me