Самого лише шифрування недостатньо: що показує судовий позов проти WhatsApp про загрози для урядового зв’язку. Прорахунки в управлінні месенджерами виявляють серйозні вразливості в обміні інформацією.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
Судовий позов, ініційований генеральним прокурором штату Техас, США проти корпорації Meta, насправді не ставить під сумнів ефективність самого алгоритму кодування відомостей у WhatsApp. Головна увага там зосереджена на супутніх процесах. У позовній заяві, яку подали 21 травня, стверджується, що компанія зберігала текстові листування користувачів без використання шифрування, а також розробила внутрішню інфраструктуру, яка дозволяла її штатним працівникам і підрядникам переглядати приватні бесіди за відповідним запитом.
Читайте також: AERONAUT – про все, що літає вище землі: авіація, БПЛА та дрони, ракети та космос
Відомий фахівець із криптографії та викладач Університету Джонса Гопкінса Меттью Грін зауважив, що подібні звинувачення виглядають цілком правдоподібно, якщо зважати на специфіку корпоративного обміну повідомленнями та створення резервних копій у хмарних сховищах. До того ж сама Meta у своїх правилах конфіденційності WhatsApp прямо вказує на існування певних типів даних, на які взагалі не поширюються гарантії криптографічного захисту.
Така розбіжність є надзвичайно вагомою для керівників державних органів і сектору критичної інфраструктури, причому цей факт залишиться актуальним незалежно від остаточного судового вердикту. Суть проблеми ніколи не полягала в надійності безпосередньо криптографічного протоколу, адже він спроєктований правильно. Ключове питання полягає в тому, чи побудовано систему управління цим сервісом у такий спосіб, щоб гарантувати безпеку під час виконання державних завдань. Для пересічних громадян такі недоліки є лише питанням захисту приватного життя, проте для оборонних відомств, координаторів екстрених служб і диспетчерів стратегічних об’єктів подібна прогалина перетворюється на серйозну вразливість у діяльності.
Варто проаналізувати, які саме елементи опиняються за межами захищеного криптографічного контуру під час використання звичайного месенджера. Сюди належать хмарні копії даних, які за замовчуванням можуть не мати наскрізного шифрування, та інтеграція бізнес-функцій, що передбачає легальні винятки для доступу до чатів. Крім того, не слід забувати про внутрішні інструменти платформи, котрі, як зазначено у техаській скарзі, відкривають вміст чатів за внутрішніми запитами, а також про метадані. Останні дозволяють бачити, хто, коли, з якою періодичністю та з ким веде діалог, і ця інформація є відкритою навіть тоді, коли тексти самих листів надійно закодовані.
Супротивники можуть успішно використовувати кожен із цих сигналів у власних цілях. Їм навіть не потрібно читати конкретні тексти повідомлень, оскільки аналіз інформаційних потоків дозволяє відстежити структуру підпорядкування, вирахувати точний час початку запланованих заходів та визначити осіб, які ухвалюють ключові рішення перед початком важливих подій. Це стосується і регіональних енергетичних підприємств, які реагують на підозрілі інциденти на підстанціях, і військових відомств, що здійснюють секретні операції, і органів охорони здоров’я, які ліквідують наслідки надзвичайних ситуацій. У кожній із цих ситуацій сама структура комунікації має величезну розвідувальну цінність, яка зовсім не залежить від можливості прочитати кожне конкретне слово. Публічні месенджери створювалися не для забезпечення державного суверенітету, а задля залучення якомога більшої кількості користувачів.
Першочерговим практичним кроком для керівників має стати неупереджений аудит робочих процесів на предмет використання повсякденних месенджерів. Необхідно ретельно проаналізувати вразливість метаданих, наявність кодування резервних копій, правила перевірки пристроїв та користувачів, місце фізичного зберігання баз даних, приналежність криптографічних ключів, а також перевірити, чи не зберігають сторонні сервіси доступ до повідомлень через інтегровані модулі, системи архівації чи внутрішні інструменти обробки запитів. Для структур, де безпека обміну інформацією є базовою умовою виконання місії, позиція, що самого лише криптографічного контуру цілком достатньо, більше не може вважатися виправданою. Потрібно захищати всю систему загалом, а не лише окреме повідомлення.
Читайте також:
- Кіберпекло в США: Північнокорейські хакери атакували популярне ПЗ Axios
- Секретна зброя проти ракет: Американські HH-60W отримають лазерні гармати для самозахисту