Последните години ясно ни показват, че правата ни свободни граждани биват заобикаляни и често дори безцеремонно потъпквани в името на така обичаната от всички управляващи “сигурност” (кавичките са нарочни).

Глави на развити държави бленуват да разполагат със средствата да подслушват в реално време всеки гражданин и харчат маса пари на данъкоплатците за целта – в много случаи без особена опозиция, защото всичко е в името на „сигурността на обществото“. Премиерът на Великобритания дори стигна дотам, че съвсем безцеремонно говори за плановете си да въведе законодателство, което да направи нелегални всички начини на комуникация, които не могат да бъдат подслушвани от подопечните му ведомства. И ако това изказване подхожда повече на тоталитарен вожд от дистопичен роман, истината е, че все повече правителства използват мантрата “защита от тероризъм” за отнемане на все повече свободи на отделния индивид. За всеки случай.

“Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.” – B. Franklin

На всеки трезво мислещ човек обаче е ясно, че подобни превантивни мерки не могат да предотвратяват престъпления. Напротив – те концентрират още повече власт в ръцете на репресивните апарати на тоталитарни държави, както и на агенции за сигурност на правови (на хартия) държави и спомагат за извършването на други престъпления и репресирането на все повече хора. Дори в цивилизовани общества ставаме свидетели на на корупция на всички нива, така че дали се злоупотребява с информацията, придобита по този начин, е въпрос отдавна имащ своя еднозначен отговор. Какво би станало, ако подслушващите получат още повече правомощия също не се нуждае от коментар.

Да защитава правото си на неприкосновеност на личната кореспонденция е в ръцете на всеки един от нас и сега, повече от всякога е важно човек да е наясно пред какви опасности е изправен.

В следващите параграфи ще илюстрирам слабите места на каналите за комуникация, много хора използват днес и ще дам лесно изпълними възможности за защита, които не изискват почти никакво усилие от страна на потребителя; без значение от нивото на техническите му познания.

Защо подслушването е толкова лесно

Основното, с което всеки трябва да е наясно е, че всяко съобщение, при изпращането на което не се използват изрично техники за скриване на съдържанието и съпътстващата му информация е изключително лесно прихващаемо и четимо за всички участници по веригата. А именно – от хората имащи достъп до изпращащото устройство (телефон, таблет, компютър), през доставчиците на свързващи услуги (телеком, мрежови оператори, работодател) и доставчиците на комуникационната услуга (доставчик на e-mail, Facebook, и прочее) до правителствени служби, които – обосновано или не – подслушват наред. Такъв е случаят с прекалено много от каналите за комуникация днес.

Криптирането от своя страна осигурява защита на комуникацията от подслушване и проследяване, като променя така съдържанието на съобщението, че дори и прихванато, то става неразбираемо за всеки освен за получателя, който разполага с механизма за декриптирането му.  Повечето канали за обмен на информация имат 2 слаби звена във връзка с подслушваемостта – а. пътятна съобщенията при изпращането им от един потребител на друг и б. съхранението им на различни локации по време на доставянето им и след получаването им.

Добрата новина е, че доста от широкоизползваните доставчици на услуги и технологични компании започват да осъзнават важността на неприкосновеността на кореспонденцията и инвестират ресурси в защитата на първото споменато звено – трансфера на информация, т. е. пътят от точка А до точка Б. Както е напълно в реда на нещата потребителят да очаква сигурна (криптирана) връзка при онлайн достъпа до сметката си в банката или при покупката от онлайн магазин, вече все повече доставчици се стараят да предложат същото ниво на сигурност при обмен на съобщения с личен характер (електронна поща, чат и прочее). Тогава, дори и прихванато по време на трансфер, изпратената информация е в повечето случаи нечетима.

Друг е въпросът обаче със съхранението на информацията. Когато едно съобщение бъде изпратено от един потребител, то преминава през множество сървъри и бива временно или дългосрочно съхранено върху тях – например докато чака да бъде доставено. Когато пристигне до получателя си, то бива в много случаи отново активно съхранено от самия него – в архива на електронната поща, или на която и да е друга услуга (чат, Skype, Viber). Често това се случва в некриптиран вид на сървърите на доставчика. Отделно всяка технологична компания се грижи да създава копия на данните от сървърите си за защита срещу технически неизправности, бедствия и прочее, така че може да се окаже, че едно съобщение е клонирано на десетки места по света, въпреки че е изпратено от потребител на метри от получателя. Всички тези данни могат също така по всяко време да бъдат поискани, законно или не, от разследващи органи.

 

Кога комуникацията ни е надеждно защитена

Единствената възможност за пълна защита е т.нар. end-to-end криптиране. При него съобщението (независимо от формата му –  текст, изображения, аудио, видео) бива криптирано на устройството на изпращача, с криптиращ ключ, който не напуска това устройсто (т. е. не се съхранява на нечий сървър и съответно няма физическата възможност да бъде прихванат от трети лица) и бива декриптирано на устройството на получателя отново с ключ, който също не го напуска.

Какво може да предприеме всеки един от нас за защита на кореспонденцията си

 

Тук ще се концентрирам върху три от най-популярните канали за комуникация – телефон, чат и e-mail – и някои от най-разпространените технологии и продукти и върху възможностите за използване на end-to-end криптиране при всеки един от тях. Списъкът не претендира за изчерпателност, но е достатъчна основа за промяна в навиците на комуникация.

E-mail

 

При e-mail комуникацията е може би най-трудно да се предостави възможност за криптиране на съобщенията от гледна точка на леснота за използване. Повечето хора използват безплатни уеб-базирани услуги за електронна поща (G-mail, Yahoo Mail, Outlook.com, ABV.bg и подобни), които не предлагат това, а дори и да го предлагат криптирането на електронни съобщения изисква изпращачът да разполага с публично предоставен ключ на получателя. Колкото и да бъде улеснен от даден доставчик потребителя, криптирането в тази му форма представлява трудност за голяма част от ползващите e-mail и би било наивно да смятаме, че това ще се промени в скоро време. Доставчици предлагат добри решения в тази посока за бизнес клиенти, но изглежда не бързат да го правят за частни потребители. Една от причините е, че услуги, които се базират върху съдържанието на електронни съобщения (таргетирани реклами, превод, автоматични напомняния и прочее) не биха могли да функционират, ако съдържанието на съобщението не е автоматично четимо за системата.

Какво може да се направи с оглед на горното:

– Не използвайте електронна поща за изпращане на чувствителна информация освен, ако цялото съобщение или поне приложената информация под формата на прикрепени файлове не е криптирана (например със архивираща програма). Не бихте искали администраторите на пощенската услуга или скучаещи служители на службите да разберат резултатите от медицински изследвания например.

– Не използвайте електронна поща от доствчици, които не могат да гарантират базово ниво на неприкосновеност на кореспонденцията. Замислете се за прехвърляне на личната си поща при доставчик, който приоризира правото на конфиденциалност на клиентите си пред дохода от реклама. Пример за такива са компаниите Tutanota и ProtonMail, които са специализирани в доставянето на услугата криптирана електронна поща. Tutanota разполага и с мобилни приложения за Android и Apple, които не отстъпват на популярните други.

– В България от много години се предлага от няколко доставчици Универсален Електронен Подпис, една от възможностите на който е да криптирате пощата, която изпращате на други потребители на услугата. Използването ѝ изисква малко повече усилия и в повечето случаи наличието на десктоп клиент за електронна поща (Outlook или Mozilla Thunderbird), но доставчиците предлагат прилична документация на сайтовете си и разполагат с сътрудници, които ще се радват да ви съдействат с конфигурацията на пощенския клиент.

Телефония

 

Телефонните разговори се подслушват още от навлизането на първите телефони. Криптирането на връзката при стационарните телефони е трудно изпълнимо предизвикателство за средностатитстически потребител и би изисквало наличието на специална техника от двете страни, подробностите за което обаче не са обект на тази статия.

За разлика от стационарните телефони, мобилните са изключително лесно защитими, тъй като платформите им позволяват използването на различни приложения, включително и за криптиране. Една от лесните и безплатни възможности за end-to-end криптиране на телефнонни разговори са продуктите на Open Whisper Systems – RedPhone (за Android) и Signal (за Apple). Ако и двете страни в разговора разполагат с инсталиран app разговорът автоматично преминава в криптиран режим през налична интернет връзка. Потребителите се регистрират с мобилния си номер, което означава, че в адресната книга автоматично се разпознават всички абонати, които използват приложението.

Чат

 

Почти всеки, разполагащ със смартфон, има инсталирано приложение за чат. За някои от тях се знае, че са подслушваеми (skype), други боравят с личните данни (като контакти, адреси) доста агресивно с цел реклама. И в двата случая конфиденциалността на потребителската информация е застрашена. Решението на проблема е отново използването на продукти и услуги, които ясно дефинират как боравят с потребителската информация и които предлагат възможността за end-to-end криптиране на информацията. На пазара има редица подобни, тук ще спомена само някои от тях.

– TextSecure за Android, респективно Signal за Apple предлага същата сигурност когато става дума за съобщения като и приложенията на компанията за криптиране на глас. И двете са безплатни и работят на база мобилния номер на потребителя, с което става автоматичното разпознаване на абонати от списъка с контакти, които също разполагат с приложението

– Threema е друга алтенатива, разработена в Швейцария, която предлага същата сигурност. Идентификацията не е с номер, а със генерирано ID, но ако потребителят въведе номера или електронния си адрес в своя профил автоматичното му разпознаване в адресната книга също е възможно. Приложението струва между 1 и 3 Евро в различните каталози.

– WhatsApp обяви, че започва кооперация с Open Whisper Systems, създателите на TextSecure и ще използва технологията им за end-to-end криптиране в едноименното приложение. Намерението им заслужава адмирации, доколко имплементацията му носи пълна сигурност не може да се каже, тъй като WhatsApp (за разлика от TextSecure) не е приложение с отворен код.

Извод

 

Да бъде подслушвана кореспонденцията на един средностатистически и дори технически грамотен човек е изключително лесно. Да се защитиш обаче е също толкова лесно и в повечето случаи – въпрос на няколко минути работа. Трудоемка е промяната на мисленето – а именно, че не трябва да се доверяваме сляпо на всичко, което се предлага на пазара, защото безплатните улеснения в някои случаи носят рискове и то не само за нас, а и за хората в обкръжението ни. А защитавайки себе си, защитавате и правото на поверителност на хората с които комуникирате.