2016/04/15

Polícia Canadiana tinha chave para descodificar mensagens dos BlackBerry desde 2010


A BlackBerry orgulhava-se de ter um sistema que garantia a privacidade e segurança dos seus utilizadores, usando mensagens encriptadas muito antes dos restantes fabricantes se preocuparem com isso - mas agora descobre-se que essa segurança era apenas uma ilusão, e que na realidade as coisas eram bem diferentes.

Numa altura em que nos EUA se discute se as empresas deveriam ser obrigadas a facilitar o acesso a dados encriptados dos seus clientes e só implementarem encriptação que tenha uma chave acessível, um pouco mais a Norte, no Canadá, descobrem-se os perigos dessa abordagem, com a polícia Canadiana a ter acesso a todas as mensagens encriptadas trocadas entre BlackBerrys não empresariais.

Os BlackBerry usam encriptação nas mensagens, mas o problema é que a chave de encriptação é a mesma para todos os dispositivos (excepto os que estão associados a um serviço empresarial, onde essa chave é definida pela empresa). O resultado é que, tendo essa chave, a polícia Canadiana tem acesso a todas as mensagens de todos os utilizadores - independentemente de serem investigadores sob investigação ou não. Precisamente o perigo para o qual se vem a alertar, no caso de começarem a ser exigidas "chaves mestra" para ultrapassar as encriptações.

Mais grave será que os tribunais tenham passado anos a tentar impedir que esta informação fosse revelada, e vale à BlackBerry ser uma empresa já praticamente sem expressão, e que pouco mais terá para sofrer com esta revelação de que a suposta segurança que prometia aos utilizadores era, afinal, mentira.

1 comentário:

  1. Há muito que se sabe que esta é uma prática normal, espiar qualquer um com ou sem motivo.
    Somente aplicações como Threema é que ainda permitem (por enquanto... que na Suiça os políticos também querem acabar com a pouca privacidade que ainda existe por lá) alguma segurança e privacidade reais.
    O WhatsApp agora também encriptou as ligações de ponto a ponto mas "esqueceram-se" de activar a opção para notificar quando a chave privada do outro utilizador é alterada, e não mostram de forma clara (como no Threema) qual o nível de confiança no remetente [totalmente desconhecido, conhecido pelo servidor (por exemplo: autenticação do número e/ ou e-mail), verificado pessoalmente pelo próprio utilizador presencialmente].
    Existe um gratuito "Signal" mas que tal como o WhatsApp também está automaticamente e obrigatoriamente associado ao número de telefone móvel... lá se vai a segurança e a privacidade pois o número está sob o controlo do estado e da operadora (no mínimo) pelo que todo o tipo de ataques são possíveis e credíveis.
    Aliás a Threema tem uma página a explicar as suas vantagens em relação ao WhatApp: https://three.ma/advantage onde mencionam que até os meta dados são mais que suficientes para estabelecer perfis e são por vezes até mais importantes que os conteúdos em si. Claro que ninguém faz uma listagem para dizer que o outro é melhor que o seu produto... e esqueceram-se de mencionar que o WhatsAPP permite negar que foi o próprio que enviou aquela mensagem, pois com cada mensagem segue também o material necessário tecnicamente para a falsificar... os dois envolvidos sabem que foi o outro que a gerou, mas não o podem provar a terceiros pois qualquer um dos dois poderia ter gerado tal... funcionalidade que o Threema não têm.
    Seja como for não vale a pena alguém mandar foguetes que há mais de 10 anos que se sabe de forma oficial que somente a partir de 192 bits de segurança se pode considerar suficiente para o nível secreto e para ultra secreto tem de ser pelo menos 256 bits de segurança... e tanto o Threema, como o WhatsApp e acho que o Signal é igual só fornecem 128 bits de protecção real através da chave que usam para autenticar e cifrar as comunicações (Curve25519)... quebrando a chave têm acesso à comunicação e 128 bits é provavelmente quebrada à muito tempo pelos governos de todo o mundo (pelo menos USA, Rússia, Alemanha, Turquia, Chineses, Japoneses)... embora no mundo académico e comercial aparentemente tal não seja ainda possível... e deva supostamente demorar milhões de anos...

    ResponderEliminar

[pub]