Mokslas ir IT

2021.01.23 12:02

„Messenger“ turi rimtą privatumo spragą: įprastai siunčiamas žinutes galėtų perskaityti bet kas

Patricija Kilminavičienė, LRT.lt2021.01.23 12:02

Dar 2018-aisiais socialinis tinklas „Facebook“ pripažino, kad nuskaito savo vartotojų susirašinėjimą programėlėje „Messenger“ norėdama įsitikinti, kad turinys atitinka „bendruomenės standartus“. Jau tada žiniasklaida ėmė ūžti, kad žmonės turėtų nustoti naudotis šia programėle ir privačiam bendravimui rinktis kitas platformas. Susirūpinimą kelia tai, kad „Messenger“ iki šiol pilnai nešifruoja savo vartotojų siunčiamų žinučių, išskyrus tuos atvejus, kai bendravimui įjungtas specialus režimas.

Integruoti „end-to-end“ šifravimą gali užtrukti keletą metų

Kaip rašo „Forbes“, pagrindinė problema, kurią, kitaip nei „WhatsApp“, „iMessage“, „Signal“ ir „Google“, turi „Messenger“, yra tai, kad vartotojų siunčiamos žinutės nėra koduojamos vadinamuoju „end-to-end“ šifravimu. Anot straipsnio autoriaus, tai nėra nišinis saugumo nustatymas, kurio galima nepastebėti, tai yra būtina priemonė užtikrinant siunčiamos informacijos saugumą ir privatumą.

Nors dar praėjusiais metais bendrovės „Facebook“ savininkas Markas Zuckerbergas tikino, kad „Messenger“ taip pat pradės naudoti „end-to-end“ šifravimą, kol kas toks atnaujinimas atidėtas ir jokia konkreti data nepasirinkta. Kaip praėjusių metų pradžioje rašė portalas „Wired“, socialinio tinklo „Facebook“ inžinierių teigimu, visiškas „Messenger“ žinučių šifravimas galimas tik po kelerių metų.

„Aš būsiu sąžiningas ir pasakysiu, kad šiuo metu turime daugiau klausimų nei atsakymų“, – praėjusių metų konferencijoje „Real World Crypto“ teigė Jonas Millicanas, „Facebook“ programinės įrangos inžinierius, atsakingas už „Messenger“ privatumą. „Nors mes padarėme progresą planuodami, paaiškėjo, kad integruoti „end-to-end“ šifravimą į jau egzistuojančią sistemą yra neįtikėtinai didelis iššūkis ir apima iš esmės beveik visko permąstymą.“

Konferencijos metu J. Millicanas įvardijo, kad siųsti visiškai užšifruotas žinutes per „Messenger“ galima „Secret Conversation“ režimu. Jį galima įjungti paspaudus žmogaus, su kuriuo susirašinėjama, nuotraukos piktogramą ir pasirinkus „Go to secret conversation“. Tačiau šios funkcijos negalima įjungti grupiniams pokalbiams.

Visai neseniai „Facebook“ pristatė panašią funkciją, pavadintą „Vanish Mode“ (liet. išnykimo režimas). Tai yra vienas iš naujų „Messenger“ patobulinimų, kuris veikia ir „Instagram“ socialiniame tinkle. Šis naujas patobulinimas leidžia siųsti pranešimus, nuotraukas, balso žinutes ir t.t., kurie pranyksta iškart, kai yra peržiūrimi gavėjo ir pranešimo langas uždaromas. Taip pat, jeigu gavėjas padaro ekrano nuotrauką, siuntėjas apie tai yra informuojamas. Pasak portalo „The Verge“, „Vanish Mode“ taip pat yra naudojamas „end-to-end“ šifravimas, tačiau svarbu ir tai, kad vieną kartą peržiūrėtas pranešimas yra ištrinamas visam laikui.

Kaip rašo „Wired“, J. Millicanas pripažino, kad planuotas „WhatsApp“, „Facebook“ ir „Instagram“ žinučių integravimas taip pat gali užtrukti keletą metų, nes komunikaciją per visas platformas reikės visiškai šifruoti tam, kad nebūtų pakenkta dabartinei „WhatsApp“ apsaugai.

Kas yra „end-to-end“ šifravimas?

Kaip LRT.lt aiškino bendrovės „Privacy Partners“ vadovas IT specialistas Martynas Bieliūnas, „end-to-end“ šifravimas reiškia, kad telefonu, kompiuteriu arba kitokiu išmaniuoju įrenginiu siunčiamas pranešimas užšifruojamas. Tada perduodamas internetu ir atšifruojamas tik tada, kai pranešimą gauna gavėjas.

„Sakykime, jeigu mes susirašinėjame, niekas negali įsiterpti į mūsų pokalbį ar jo perimti. Sakyčiau, kad dabar visoms bendravimo programėlėms yra būtinas vadinamasis „end-to-end“ šifravimas. Kitaip saugos tikrai nepakanka“, – teigė M. Bieliūnas.

Pasak jo, kai žinutės nešifruojamos, kyla keli pavojai. „Pirmiausia, jeigu programėlė padaryta bukai ir paprastai, mūsų susirašinėjimą gali perimti bet kas. Tarkime, jeigu aš parašiau „labas rytas“ ir pasiunčiau per tinklą, būtent tokia forma tas tekstas ir eina, jeigu nėra šifruotas.

Tikiuosi, suprantate, kad tokį susirašinėjimą perimti yra labai paprasta, tam netgi nereikia labai gudrių technologijų. Užtenka rimtų, gerų IT specialistų, kurie tiesiog filtruoja interneto srautą ir jame nesunkiai suranda pranešimus. Nustatyti, kas yra siuntėjas ir gavėjas, nesunku, o jeigu nešifruota, dar galima perskaityti, kas tame pranešime parašyta. Tai yra tas pats, kas įprastiniu paštu siųsti laišką be voko“, – dėstė M. Bieliūnas.

IT specialistas įvardijo, kad šifravimo modeliai yra gana įvairūs, tačiau geriausi yra tie, kurie priklauso nuo vartotojų ir niekas, net programėlės gamintojas, negali įeiti į susirašinėjimą.

„Yra tam tikri šifravimo technologijų ribojimai. Kai kuriose srityse reikalaujama, kad susirašinėjimą galėtų perskaityti valstybės struktūros, pavyzdžiui, saugumo departamentas ir panašiai. Bet sakyčiau, kad tai šiek tiek praeitis, dabartiniai šifravimo modeliai leidžia užšifruoti pranešimus taip, kad niekas negalėtų perskaityti“, – tikino M. Bieliūnas.

Šifruojamose žinutėse gali slėptis nusikaltėliai

Kalbant apie siunčiamų pranešimų šifravimą, kyla ir kitų klausimų. Pavyzdžiui, ar gali valstybės institucijos gauti atšifravimo raktus, jeigu nori susekti nusikaltėlius, teroristus? „Facebook“ atveju JAV valdžia ėmė tikinti, kad žinučių šifravimas suteikia puikią slėptuvę įvairaus plauko piktadariams.

„Natūralu, kad visi gigantai, tokie kaip „Microsoft“, „Google“ ir „Facebook“, nenori, jog komunikacija tarp vartotojų būtų prieinama valdžios struktūroms. Nes tada kyla klausimas – kokioms valdžios struktūroms? JAV? Gal ir nieko. O kaip Europos Sąjunga? Gal irgi nieko. O Rusija? Tada jau klausimas sudėtingas, nes tikrai nenorėtume, kad Rusijos valstybinės struktūros galėtų atšifruoti „Facebook“ arba „WhatsApp“ pranešimus.

Tai labai daugiabriaunis klausimas. Įdiegti šifravimą gal ir nebūtų techniškai labai sudėtinga, bet tai turėtų tam tikrų pasekmių. Pavyzdžiui, tada kyla klausimas, kaip yra dėl teroristų komunikacijos „Facebook“, kurios niekas negali atšifruoti. Tai gerai ar blogai? Atsiranda net ir etinė dilema. Kita vertus, jeigu valstybė turi tuos atšifravimo raktus, ar ji nenaudos jų plačiau, negu reikia, t. y. naudos ne tik prieš teroristus, bet ir prieš paprastus piliečius. Tai labai platūs klausimai, todėl nėra taip lengva imti ir vieną dieną įjungti tą šifravimą“, – aiškino M. Bieliūnas.

Svarbu naudotis ne viena bendravimo platforma

Anot pašnekovo, pastebėti, ar pašalinis žmogus skaito siunčiamus ir gaunamus pranešimus, neįmanoma. Jis atkreipė dėmesį, kad nors šiek tiek gudresnės sekimo technologijos tai gali daryti nepastebimai.

„Kai turite tortą, iškart matyti, jeigu kas nors atsipjovė gabaliuką. O informacijos, kai pereina skaitmeninis signalas per tinklus ir kas nors nuskaitė, nesumažėja. Ji lieka lygiai tokia pati. Aišku, yra įvairių technologijų, tie patys mobiliojo ryšio operatoriai diegia technologijas, kurios stebi, ar niekas nesijungia nelegaliai prie jų tinklų ir panašiai. Bet vėlgi tos technologijos kažkuria prasme vejasi kibernetinių nusikaltėlių pasaulį ir paprastai gerosios technologijos šiek tiek vėluoja. Nešifruotos informacijos siuntimas internete, mano ir informacijos saugos požiūriu, nėra galimas. Praktiškai visos normalios elektroninio pašto sistemos jau dirba tik su šifruotu paštu. Nešifruotas paštas, mano manymu, yra neįsivaizduojama seniena“, – tikino IT specialistas.

Ką daryti? Atsisakyti „Messenger“? M. Bieliūnas pirmiausia pataria niekada nekomunikuoti tik vienu kanalu. Pavyzdžiui, nereikėtų „Messenger“ naudoti kaip pagrindinio ir vienintelio komunikacijos būdo.

„Reikėtų atskirti. Pavyzdžiui, darbe naudoti „Microsoft Teams“, naminiams reikalams – „Messenger“. Jokiu būdu niekada nesiųsti tokių dalykų kaip kreditinių kortelių numeriai ar pan. O jeigu jau kitos išeities nėra, tai nesiųsti tame pačiame pranešime kreditinės numerio ir PIN kodo. Aš jokiu būdu to nerekomenduoju, bet jeigu jau prispyrė gyvenimas, tai kodą, pavyzdžiui, siųsti SMS žinute arba per „Linkedin“ ar dar kaip, o likusią informaciją – per „Messenger“. Šiek tiek suskaidydami informacijos kanalus, nesuteikiate progos net ir nešifruotuose pranešimų kanaluose gauti plačios informacijos apie save“, – dėstė M. Bieliūnas.

Jis taip pat atkreipė dėmesį, kad reikia laikytis informacinės higienos: stengtis neatskleisti intymių, pavojingų, jautrių ar kitų itin svarbių dalykų su visomis detalėmis komunikuojant elektroniniu būdu.

Pasak IT specialisto, vien todėl, kad „Messenger“ žinutės nėra šifruojamos, nereiškia, kad programėlėje nenaudojamos kitos apsaugos priemonės.

„Šifravimas nėra vienintelė apsaugos forma. Nenoriu leistis į technines smulkmenas, bet komunikuojant per „Messenger“ nėra taip, kad nebūtų taikoma visiškai jokių apsaugos priemonių. Tai nėra tas „end-to-end“ šifravimas, bet mes galime sakyti, kad „Messenger“ taiko dalines apsaugos priemones. Nėra taip jau visiškai blogai“, – LRT.lt sakė M. Bieliūnas.