Signal, telegram, whatsapp, protonmail, tutanota .

Τι κοινό έχουν αυτές οι κρυπτογραφημένες εφαρμογές και υπηρεσίες, που τις καθιστά μή ασφαλείς;

Στο κάτω κάτω είναι όλες κρυπτογραφημένες, σωστά;

Σήμερα θα δοκιμάσουμε τη νοημοσύνη σας, παρουσιάζοντάς σας το σωστό είδος σκέψης, ώστε να καταλάβετε που παραμονεύουν οι κίνδυνοι για την ιδιωτικότητά σας. Δεν αρκεί να ακούτε «ειδικούς» να λένε: “Χρησιμοποιείστε αυτήν την εφαρμογή ή αυτή την υπηρεσία email”. Δεν αρκεί να πει κανείς ότι κάτι είναι κρυπτογραφημένο.

Στην πραγματικότητα, αυτό είναι πολύ επικίνδυνο, διότι εσείς που χρησιμοποιείτε κρυπτογραφημένες εφαρμογές, είστε ήδη σε ένα υποσύνολο που μπορεί να στοχοποιηθεί, ως άτομα που έχουν κάτι να κρύψουν. Υπάρχουν άλλοι παράγοντες που πρέπει να αναλογιστείτε όταν χρησιμοποιείτε εφαρμογές και αυτοί είναι αυτό που οι υπηρεσίες πληροφοριών αποκαλούν Sig-Int.(Signal intelligence - πληροφορίες σήματος). Περιέργως, η έλλειψη κατανόησης αυτών των παραγόντων μπορεί να οδηγήσει σε καταδικαστικά στοιχεία εις βάρους σας.

 

Είστε έτοιμοι για μία σπαζοκεφαλιά; Αυτό στο οποίο θα εστιάσω σήμερα είναι ένας τύπος μετα-δεδομένων, ο οποίος στην πραγματικότητα αποκαλύπτει πάρα πολλά για το με τον ποιόν συνομιλούμε σε κρυπτογραφημένα κανάλια. Δεν θα το ονομάσουμε αυτό SigInt, αλλά θα αναφερθούμε σε αυτό με παραδείγματα που ο καθένας σας μπορεί να καταλάβει εύκολα. Αυτό μπορεί να χρησιμοποιηθεί εναντίον μας με πολλούς τρόπους, ακόμα και αν η ίδια η κρυπτογράφηση δεν είναι επισφαλής. Το πρόβλημα με πολλές από αυτές τις εφαρμογές και υπηρεσίες είναι σε θέση να δημιουργούν αυτό που ονομάζεται «χάρτης σχέσεων». Αυτό σημαίνει ότι η ταυτότητα σας μπορεί να αποκαλυφθεί απλά και μόνο από τις ίδιες σας τις συναναστροφές. Ο λόγος που μπορεί να συμβεί αυτό είναι επειδή όλες αυτές οι εφαρμογές και υπηρεσίες έχουν μια δημόσια ταυτότητα.

Στις περιπτώσεις των Signal, Telegram, και Whatsapp είναι ο αριθμός τηλεφώνου σας και στις περιπτώσεις των Protonmail και Tutanota είναι το email σας.

Θα σας δείξω γιατί αυτό είναι ιδιαίτερα επικίνδυνο για την ιδιωτικότητα σας. Όλες αυτές οι εφαρμογές έχουν επίσης πρόσβαση στη λίστα επαφών σας, η οποία ήδη αναγνωρίζει έναν κύκλο ανθρώπων. Έτσι, αν συναναστρέφεστε κάποιον γνωστό τρομοκράτη, ακόμα και χωρίς να το γνωρίζετε, μπορεί και εσείς να χαρακτηριστείτε ως τρομοκράτης. Είστε ήδη στόχος από την χρήση κρυπτογράφησης, γιατί φαίνεστε σαν κάποιος που έχει κάτι να κρύψει. Αυτή είναι η ίδια λογική που χρησιμοποιείται από πολλούς, όταν προϋποθέτουν ότι οι επαφές που αποθηκεύετε είναι ένα μάτσο απατεώνες και εγκληματίες. 

Αφήστε με να χρησιμοποιήσω ένα παράδειγμα ίσως του χειρότερου παραβιαστή αυτού του είδους ιδιωτικότητας και αυτό είναι το Whatsapp. Για να είμαστε ξεκάθαροι, αυτό που λέω είναι ότι στους όρους χρήσης του Facebook δεν κρύβουν αυτό το γεγονός και αν δεν το ξέρετε αυτό, το Facebook, το Whatsapp και το Instagram είναι όλα ιδιοκτησίες του Facebook. Η συσκευή σας, δηλαδή το τηλέφωνο σας ταυτοποιείται, το οποίο σημαίνει ότι βρίσκουν τα μοναδικά σας χαρακτηριστικά. Δηλαδή, το Facebook γνωρίζει ποιός είναι ο χρήστης ανεξάρτητα από την ίδια την πλατφόρμα του Facebook ή από τις διαφορές στο όνομα χρήστη, διότι καταγράφουν το αποτύπωμα της συσκευής. Έτσι αν είστε στο Whatsapp, το Facebook γνωρίζει ποιός είστε και στην πλατφόρμα του Facebook.

 

Αυτό είναι προφανές για αυτούς διότι η συσκευή είναι η ίδια, οπότε υπάρχει ένας σύνδεσμος προς την ταυτότητα σας στο Facebook, στο Whatsapp και στο Instagram ασχέτως αν έχετε διαφορετικά ονόματα χρήστη σε καθένα από αυτά. Και φυσικά η ταυτότητα σας στο Facebook είναι ξεκάθαρη, από τη στιγμή που έχει το πραγματικό σας όνομα. Επιπλέον, στο Facebook η ταυτότητά σας είναι διασταυρωμένη από την οικογένεια σας που βρίσκεστε στην ίδια περιοχή , από το tagging άλλων ως φίλους,οικογένεια και συμμαθητές. Οι φωτογραφίες σας συμπίπτουν με τοποθεσίες άλλων συγγενών που χρησιμοποιούν το Facebook και μπορούν να δούν ότι βρεθήκατε στις διακοπές, πάλι διασταυρώνοντας τοποθεσίες. Άρα σε αυτό το σημείο καθίσταται σαφές, ότι όταν χρησιμοποιείτε το Whatsapp, η ταυτότητα σας είναι γνωστή και οι σχέσεις σας είναι σαφώς εξακριβωμένες. Στην πραγματικότητα, ο σύζυγος, τα παιδιά ,τα αδέρφια σας κ.ο.κ. είναι αναγνωρίσιμοι στο προφίλ σας.

 

Τώρα ας πούμε ότι θέλετε να έχετε μια εξωσυζυγική σχέση. (δεν με απασχολεί καθόλου, απλά θέλω να εξασκήσω τον εγκεφαλό σας) Αποφασίζετε να μιλήσετε «ιδιωτικά» στο άλλο άτομο μέσω Whatsapp. Ναι, το Whatsapp είναι κρυπτογραφημένο · ακόμα και εφαρμογές σαν το Signal και το Telegram ιχυρίζονται οτι είναι end-to-end κρυπτογραφημένες, το οποίο δεν είναι πάντα αλήθεια. Θα υποθέσω ότι η συζήτηση αυτή με το άλλο άτομο είναι κρυπτογραφημένη από άκρο σε άκρο. Πρόκειται για μία παράνομη σχέση, οπότε η κοινή λογική μας υπαγορεύει ότι οι συζητήσεις θα γίνουν όταν οι αντίστοιχοι σύζυγοι θα λείπουν.

 

Θα περίμενα συζητήσεις σε κενές ώρες, θα περίμενα μια μεγάλη ένταση των συζητήσεων στις ώρες αυτές, πράγμα που δείχνει κάτι παραπάνω από μια απλή κουβέντα. Τι γνωρίζει το Facebook για αυτό; Ας αναλύσουμε : δύο άνθρωποι συζητάνε στο Facebook και το Facebook γνωρίζει την ταυτότητα τους, την ταυτότητα στο Facebook. Παραδόξως, αυτοί οι δύο πιθανώς δεν θα είναι φίλοι στο Facebook και ακόμα πιο αξιοπερίεργα, θα φαίνονται ως δύο διαφορετικοί κύκλοι συγγενών. Και οι δύο πλευρές δηλώνουν ότι είναι παντρεμένοι, παρόλα αυτά οι συζητήσεις είναι πιο έντονες και συγκρατημένες από τις συζητήσεις με τους συζύγους. Εδώ μπορείτε να δείτε ότι οι «χάρτες σχέσεων» κάνουν πολύ καλή δουλεία στο να αναγνωρίζουν ποιός είστε και ακόμα και τί κάνετε.

 

Τώρα κάποιοι από εσάς έχουν καλές πρακτικές ιδιωτικότητας. Χρησιμοποιείτε VPN, έχετε ψευδοανωνυμία στο διαδίκτυο κτλ. Αλλά απλά με την επιλογή μίας πλατφόρμας μηνυμάτων ή κοινωνικής δικτύωσης, ταυτοποιείστε με ακρίβεια από τον κύκλο των επαφών σας. Η παραβίαση αυτή της ιδιωτικότητας μπορεί να συμβεί γιατί όλες αυτές οι εφαρμογές έχουν δημόσια ταυτότητα και συλλέγουν δημόσια δεδομένα.

 

Αυτό μου θυμίζει ένα άλλο πρόβλημα, λίγο εκτός θέματος αλλά εντελώς υποστηρικτικό αυτού που λέω. Παίρνετε καρτοτηλέφωνο γιατί πιστεύετε ότι μπορείτε να κρύψετε την ταυτότητά σας, άλλα καλείτε τη μητέρα ή τη/τον σύζυγο κάθε μέρα. Άρα δεν ταυτοποιείστε από την τρέχουσα συσκευή σας ή τον αριθμό αλλά από τα άτομα με τα οποία συνδέεστε.

 

Το Signal και το Telegram, αν και δημοφιλή ως ασφαλείς πλατφόρμες, έχουν το ίδιο πρόβλημα όπως το WhatsApp με το Facebook. Είναι λιγότερο ακραία γιατί η μόνη ταυτότητα που τους έχεις δώσει είναι θεωρητικά ο αριθμός σου και μία λίστα επαφών, αλλά ακόμα και αυτό είναι αρκετό.

 

Ας πούμε ότι είμαι αστυνομικός· ψάχνω για ύποπτους σε μία υπόθεση ηλεκτρονικής πειρατείας. Έχω έναν κατάλογο αυτών των υπόπτων και έχω ήδη βγάλει ένταλμα για την κοινοποίηση των αριθμών τους, κάτι που εύκολα μπορούν να μου δώσουν οι πάροχοι τηλεφωνίας. Ο αριθμός είναι δύσκολο να κρυφτεί λόγω των νόμων. Το μόνο που έχω να κάνω τότε είναι να βάλω αυτούς τους τηλεφωνικούς αριθμούς σε μία λίστα επαφών και στη συνέχεια να ανεβάσω τη λίστα επαφών σε όλες τις εφαρμογές τύπου e2ee (end-to-end-encryption), όπως το Signal, το Telegram και το WhatsApp. Οι εφαρμογές αυτές με συνέπεια θα μου πουν ποιοί από αυτούς τους ανθρώπους είναι χρήστες τους. Θα έχω τότε έναν κατάλογο με άτομα που έχουν κάτι να κρύψουν. Αυτά τα άτομα μπαίνουν στην κορυφή της λίστας παρακολούθησης.

 

Βλέπετε πως αυτό είναι παραβίαση της ιδιωτικότητας; Ας σας δώσω άλλο ένα παράδειγμα — και αυτό σχετίζεται με τις υποτιθέμενα ασφαλείς υπηρεσίες email, όπως τα protonmail, tutanota, hush mail κτλ — και να σας δείξω πώς οι συζητήσεις μπορούν να πάψουν να είναι μυστικές.

 

Δοκίμασα την υπηρεσία για κάποιους μήνες απλώς για να δω πως δουλεύει. Και ενώ η κρυπτογράφηση των μηνυμάτων ήταν εντυπωσιακή, παρατήρησα την υπερβολική ποσότητα των μεταδεδομένων που μου ήταν διαθέσιμα. Πρώτα απ’ όλα, μπορούσα να δω όλα τα μη κρυπτογραφημένα email. Οι πιο πολλοί θα χρησιμοποιήσουν τους λογαριασμούς αυτούς ως βασική τους διεύθυνση ηλ. αλληλογραφίας και ταυτοποιείσαι τόσο εύκολα από τα μη κρυπτογραφημένα email, ώστε ένας τρίτος μπορεί τώρα να διαβάσει από τη διεύθυνση ip που βρίσκεται στον κάθε email τίτλο, μέχρι και πραγματικές συζητήσεις με ασφαλιστικούς υπαλλήλους, λογιστές, σχολεία κλπ. Δεν είναι τόσο δύσκολο να βρεθεί η πλήρης ταυτότητα του καθενός, ακόμα και η διεύθυνση της κατοικίας του.

 

Έτσι, όσο εσείς ξοδεύετε το χρόνο σας σκεπτόμενοι ότι οποιαδήποτε επικοινωνία από protonmail σε protomail είναι ασφαλής, ή μεταξύ tutanota λογαριασμών, δεν σκέφτεστε για όλα τα άλλα διατομεακά email που έχουν πληροφορίες για εσάς. Κάποιος υποστήριξε ότι οι υπηρεσίες αυτές μπορούν να ελεγχθούν από τη γνωστή υπηρεσία με τα τρία γράμματα και δε μπορώ να σχολιάσω πάνω σε αυτό γιατί δεν έχω στοιχεία.

 

Αν εγώ ήμουν μία υπηρεσία πληροφοριών και ήθελα να συλλέξω πληροφορίες, θα έστηνα μία υπηρεσία ιδιωτικότητας παγίδα σαν αυτή, που είναι γεμάτη από μεταδεδομένα. Δεν έχει σημασία που δεν μπορώ να διαβάσω τα κρυπτογραφημένα μηνύματα. Γνωρίζω ότι κάποιος θα αντιδράσει και θα πει : “Κάνεις λάθος! Χρησιμοποιώ το protonmail με συγκεκριμένες επαφές!” Κάτι το οποίο αμέσως ακυρώνει την αξία του, από τη στιγμή που κάποιος “διαφημίζει” ότι έχει λογαριασμό protonmail. Ο λογαριασμός σας θα έχει ένα μείγμα μή protonmail δραστηριότητας, αν δημοσιεύσετε τη διεύθυνση mail σας! Και το διατομεακό αυτό email θα αποτελέσει φυσικά τον “θάνατο” σας , έναν θάνατο με χίλιες μαχαιριές από μεταδεδομένα.

 

Νά άλλη μία σκέψη που δεν σκέφτεται ο κόσμος! Κάποιοι από εσάς χρησιμοποιείτε το protonmail και το tutanota σωστά, δηλαδή με μία συγκεκριμένη και μικρή ομάδα ανθρώπων για κάθε λογαριασμό και μόνο εντός του τομέα (domain) του protonmail ή του tutanota. Για συγκεκριμένο σκοπό και μόνο για άτομα με λογαριασμό protonmail. Με άλλα λόγια, κάνετε συζητήσεις μόνο εντός του τομέα. Εντάξει, αυτό το κάνει ασφαλέστερο στο μυαλό σας αλλά και πάλι, δεν μπορείτε να το ελέγξετε αυτό γιατί το άλλο άτομο με το οποίο συνομιλείτε, έχει λίστα επαφών, χάρτη σχέσεων και μεταδεδομένα ταυτότητας από δημόσιο protonmail λογαριασμό, απο τα οποία ταυτοποιείστε καθώς βρίσκεστε στον κύκλο αυτού του ατόμου. “Μολύνεστε” από δεδομένα παρόλο που εσείς κάνετε το καλύτερο δυνατό για να προστατέψετε την ιδιωτικότητά σας.

 

Ας δώσω άλλο ένα παράδειγμα του πώς η ιδιωτικότητα μπορεί να διαλυθεί με τη χρήση λίστας επαφών. Εγώ δεν έχω πραγματικό λογαριασμό Facebook. Είχα παλαιότερα έναν πιλοτικό λογαριασμό Facebook, στον οποίο δεν υπήρχαν ούτε φίλοι, ούτε δημοσιεύσεις, ούτε φωτογραφίες, ούτε πραγματικό όνομα. Τον χρησιμοποίησα απλώς για να ελέγξω τις αδυναμίες ιδιωτικότητας του Facebook. Ένα από τα πράγματα που συνήθως ελέγχω είναι οι προτεινόμενοι φίλοι. Όσο οι προτεινόμενοι φίλοι δεν είναι άτομα που όντως ξέρω, τότε κάνω καλή δουλειά στο να μην ταυτοποιούμαι.

 

Μία μέρα μπήκα σε αυτόν τον λογαριασμό και, με όλες τις προφυλάξεις που παίρνω, VPN, απομόνωση του περιηγητή(browser) κτλ, ήλθα προ εκπλήξεως όταν είδα ότι πρότεινε φίλους που ήταν άνθρωποι που όντως ήξερα. Αυτό ειλικρινά με σόκαρε και συνειδητοποίησα τότε ότι έκανα ένα λάθος. Έφτιαξα διεύθυνση email αποκλειστικά για τη συγκεκριμένη χρήση και ξέχασα ότι έδωσα το email αυτό σε συγκεκριμένο οργανισμό, στον οποίο εργάζομαι. Κατά τη διάρκεια μαζικής αποστολής μηνυμάτων από τον οργανισμό αυτό, η διεύθυνση email μου έφτασε σε κάποιους ανθρώπους στη λίστα και εισήχθη στη δική τους λίστα επαφών.

Τότε οι επαφές αυτές ανέβηκαν στο Facebook αργότερα και τότε την είχα πατήσει, γιατί ο πιλοτικός μου λογαριασμός είχε “λερωθεί” και μπορούσα πλέον εύκολα να ταυτοποιηθώ από τη γενική μου τοποθεσία, απλώς με το συσχετισμό μου με άτομα στη λίστα επαφών μου. Οι συσχετισμοί αυτοί μπορεί να υπονοούνται· Θα μπορούσε να είναι ένας εργοδότης, μία λέσχη, η εκκλησία ή ένα κόμμα. Απλώς κοιτώντας τις αλληλοεπικαλύψεις της δραστηριότητας των ατόμων σε μία λίστα επαφών, μπορεί κάποιος να καταγράφει το προφίλ σας.

 

Είναι δυνατόν να χρησιμοποιήσετε κάποιες από αυτές τις εφαρμογές με ασφαλή τρόπο; Ναι! Αλλά πολύ προσεκτικά και με πολλή σκέψη, καθώς αυτό που πρέπει να φοβάστε είναι η δημιουργία χάρτη σχέσεων. Υπάρχει ένας χάρτης σχέσεων που είναι ήδη δημοσίως γνωστός και απλός· αυτός με τα μέλη της οικογένειας. Έτσι αν χρησιμοποιήσετε το Signal με μέλη της οικογένειας και δεν ανεβάσετε λίστα επαφών, υπάρχει πρόβλημα;

Όχι!

Εγώ χρησιμοποιώ το Signal με την οικογένεια. Έχει την καλύτερη κρυπτογράφηση διαδικτυακών φωνητικών υπηρεσιών και έχει μία εν πολλοίς ασφαλή υπηρεσία βιντεοκλήσης. Όχι 100% αλλά αρκετά καλή για συνηθισμένη χρήση.

Θα χρησιμοποιούσα το Signal με ανθρώπους που δεν γνωρίζω ή δε θέλω να συσχετίζομαι;

Ούτε καν!

Και δεν πρόκειται να δώσω τον αριθμό τηλεφώνου μου.

Θα χρησιμοποιούσα το protonmail ή το tutanota ;

Αυτό δεν δικαιολογείται εύκολα, καθώς είναι τόσο εύκολο για κάποιον να βρει το protonmail ή tutanota λογαριασμό σου και να σου στείλει μηνύματα που είναι εντελώς αναγνώσιμα και σε εμπλέκουν στον δικό του κύκλο. Οπότε καλύτερα να έχω τον δικό μου ιδιωτικό εξυπηρετητή (server), επειδή τότε δε χρειάζεται να ανησυχώ για άλλους που συσχετίζονται με μεταδεδομένα.

 

Το έχω ξαναπεί, όλα τα email είναι επισφαλή οπότε πρέπει να τα χρησιμοποιείτε περιορισμένα. Οι συζητήσεις μου εντός τομέα(intradomain) είναι εντελώς ιδιωτικές. Η διατομεακή κινητικότητα μου είναι φανερή αλλά τουλάχιστον, δεν συλλέγεται κεντρικά από μία τρίτη εταιρεία. Και εδώ δεν χρειάζομαι καν κρυπτογράφηση. Όλα συλλέγονται κεντρικά από τις υπηρεσίες με τα τρία γράμματα, αλλά για αυτό δεν μπορώ να κάνω κάτι.

 

Πολλοί βιάζονται να μου πουν ποιές εφαρμογές να χρησιμοποιώ λόγω της μίας ή της άλλη κρυπτογράφησης, όταν το πραγματικό πρόβλημα είναι η δημόσια ταυτότητα και η λίστα επαφών. Όλα τα στοιχεία για τη δημιουργία ενός τρομακτικού χάρτη σχέσεων.

 

Στην ταινία για τον Snowden, ο χάρτης σχέσεων χρησιμοποιήθηκε για να δικαιολογήσει την παρακολούθηση από την NSA. Χρησιμοποιώντας διάφορα επίπεδα απόστασης από έναν γνωστό στόχο, ο οποίος νομίζω ήταν ένας Σαουδάραβας τραπεζίτης, η NSA μπορούσε να διακρίνει ποιος σχετίζεται με ποιον, με βάση τα μεταδεδομένα. Από συζητήσεις σε τηλέφωνα, μηνύματα κλπ. Και στην ταινία, ο στόχος ήταν στην πραγματικότητα κάποιος τον οποίο γνώριζε ο πράκτορας της NSA και αυτό χρησιμοποιήθηκε για να νομιμοποιήσει την παρακολούθηση της οικογένειας, των ερωτικών συντρόφων, των εχθρών κτλ.

 

Αν θέλετε να έχετε μεγαλύτερη ασφάλεια στο διαδίκτυο, σκεφτείτε! Αυτό είναι πιο σύνθετο από αυτά που ισχυρίζονται κάποιοι ειδικοί. Θα πρέπει να έχετε υπόψη τη λίστα επαφών, την ταυτότητα και άλλα μεταδεδομένα όπως οι διασταυρώσεις τοποθεσιών. Μην πιστεύετε κάποιον που υποστηρίζει ότι κάποια καινούρια πλατφόρμα είναι η καλύτερα για εσάς. Προωθούν κάποια πλατφόρμα σαν το matrix ή το xmpp χωρίς αυστηρή λογική επεξεργασία του τί συμβαίνει στα μεταδεδομένα και στους χάρτες σχέσεων ή στο SigInt.

 

Ο καλύτερος τρόπος για να προστατευτείτε στο διαδίκτυο είναι να χρησιμοποιείται μόνο υπηρεσίες που δεν έχουν δημόσια ταυτότητα, δηλαδή να μην απαιτούν email, τηλεφωνικό αριθμό, αληθινό όνομα ή κάποια ετικέτα με σταθερή ταυτότητα. Και μία υπηρεσία που δεν ανεβάζει στο διαδίκτυο τη λίστα επαφών. Δυστυχώς θα δυσκολευτείτε να βρείτε δημοφιλείς εφαρμογές που δε συλλέγουν τέτοια μεταδεδομένα. 

© 2019 by I.P.I Group

Business Intelligence  

Risk Management & Consulting

Ντετέκτιβ - Αθήνα - Γλυφάδα

Σύμβουλοι Ασφαλείας και Έρευνας

IPI-GROUP.gr

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ

Το Γραφείο Ντετέκτιβ με αριθμό αδείας 4891/7/1238-δ, τηρεί την ανωνυμία και το απόρρητο του πελάτη και λαμβάνει κάθε προφύλαξη για να διασφαλάσει τις πληροφορίες που συλλέγει απο κάθε έρευνα. Δεν ενοικιάζουμε, πουλάμε, η μοιραζόμαστε προσωπικές πληροφορίες η πληροφορίες έρευνας με κανένα τρίτο πρόσωπο ή εταιρεία. Οι έρευνες μας διεξάγωται με απόλυτη μυστικότητα, και με επαγγελματικό και ηθικό τρόπο.