Внедрение сквозного шифрования коммуникаций в WhatsApp — прекрасная инициатива, но это далеко не панацея от нападок вездесущих спецслужб и хакеров, считают эксперты. Тепло приняв решение WhatsApp, ИБ-специалисты тем не менее утверждают, что компании есть куда расти в отношении безопасности обмена информацией.

Во вторник мессенджер, которым владеет Facebook, анонсировал внедрение сквозного шифрования для всех клиентов, коих уже более миллиарда, вне зависимости от страны или используемой платформы. Теперь все сообщения и данные, которыми обмениваются конкретные собеседники, доступны только им. Эта функция подключена по умолчанию и доступна в версиях приложения на 50 языках.

«Сквозное шифрование — это хорошо, но это только часть комплексного подхода к безопасности, — комментирует Джонатан Здзярский (Jonathan Zdziarski), независимый исследователь. — Конечно, это замечательная технология, но, как и всякая технология, она неидеальна. Будет ли Facebook, как владелец WhatsApp, отвечать за надежность шифрования? Это немного парадоксально: всем давно известно, что Facebook — это прямая противоположность понятию приватности».

Основатели WhatsApp Брайан Эктон (Brian Acton) и Ян Кум (Jan Koum) всегда горячо ратовали за приватность. Они оба открыто поддержали Apple в ее противостоянии с ФБР в рамках дела о взломе телефона террориста из Сан-Бернардино и подчеркнули, что готовы к таким же испытаниям.

Для создания технологии шифрования WhatsApp была привлечена компания Open Whisper Systems — разработчик открытого некоммерческого протокола Signal Protocol.

«Это важная веха в истории защищенных коммуникаций, — признался ИБ-исследователь Кеннет Уайт (Kenneth White). — В Open Whisper Systems работают одни из лучших инженеров в мире».

Крис Томас (Chris Thomas) из Tenable Network, однако, настроен более скептически: «Все равно нельзя быть на 100% уверенным в безопасности коммуникации». По словам эксперта, в подходе WhatsApp есть и слабые стороны: сообщения не могут быть расшифрованы во время передачи, но при этом конечные устройства не всегда шифруют хранящиеся на них данные, как это, например, реализовано в последних версиях девайсов Apple. «Это как перевозить миллион долларов в бронированном грузовике от одного притона до другого. Метод транспортировки очень надежен, а пункты назначения — нет», — иронизирует Томас.

По словам еще одного представителя инфосек-сообщества Джереми Джиллулы (Jeremy Gillula) из Electronic Frontier Foundation, главная проблема — не содержимое сообщений, а незащищенные метаданные, за которыми как раз в большей степени охотятся спецслужбы. Метаданные включают в себя информацию о том, кто общался в мессенджере, когда, как долго и каким объемом цифровых данных обменялись собеседники. Учитывая особое отношение Facebook к метаданным, трудно сказать, насколько улучшилась безопасность WhatsApp, отметил Здзярский.

Внедрение сквозного шифрования — давний проект WhatsApp. Компания начала частично подключать шифрование с 2013 года и с тех пор постоянно находилась в жесткой оппозиции правительству и любым попыткам посягнуть на приватность своих пользователей. 1 марта дошло до того, что полиция Бразилии арестовала вице-президента Facebook в Латинской Америке за отказ предоставить доступ к сообщениям человека, подозреваемого в причастности к наркообороту.

Внедрение шифрования в WhatsApp создаст дополнительные проблемы для властей, которые регулярно пытаются получить доступ к зашифрованным коммуникациям в рамках уголовных расследований. Пока неясно, как будут реагировать на предстоящие судебные предписания WhatsApp и Facebook.

Тип шифрования, используемый в WhatsApp, похож на технологию iMessage в Apple. Однако в случае с WhatsApp шифрование является мультиплатформенным и одинаково доступно на Android, iPhone, Windows Phone, Nokia S40, Nokia S60, BlackBerry и BB10. То есть сохранность информации пользователей WhatsApp, хранящейся на конечных устройствах, таким образом, остается на откуп вендорам. BlackBerry, к которой Threatpost обратился за комментарием, не смогла прояснить этот вопрос.

Внедрение сквозного шифрования в WhatsApp — еще один шаг к тому, чтобы шифрование по умолчанию стало отраслевым стандартом. На этом этапе надо понять, насколько можно доверять тем, кто обеспечивает инфраструктуру коммуникаций.

Категории: Главное, Кибероборона