Samo Za Pravna Lica

Dekodiranje lažnih vesti u industriji privatnih telefona

Dekodiranje lažnih vesti u industriji privatnih telefona

Poslovni lideri treba da uklone haos iz svog svakodnevnog donošenja odluka. Da bi pojednostavili ovaj proces, traže stručnjake koji će im pomoći da daju prioritet onome što im treba i očekuju da njihovi savetnici budu brutalno pošteni da ih naoružaju u borbi protiv dezinformacija.

Kada je reč o šifrovanim mobilnim rešenjima, Mintek® je na misiji da osigura da su činjenice u središtu. Uvek pojašnjavamo prazna obećanja nekih kompanija u našoj branši. Ovaj članak ima za cilj da postavi rekord u najnovijoj rundi zbunjujućih „karakteristika“ koje smo videli da reklamiraju privatne telefonske kompanije, a koje ne ispunjavaju očekivanja iz stvarnog sveta.

Zašto vam treba privatni telefon?

Pre nego što donesete informisanu odluku o tome koja je šifrovana ponuda od kraja do kraja prava za vaše poslovanje, morate razumeti rizike korišćenja sjajnih novih mobilnih telefona koji su danas dostupni. Stručnjak za sajber bezbednost Adam Levin koristio je ovu analogiju da objasni problem. „Pametni telefoni su digitalni ekvivalent oznake za praćenje zoologa. Na našoj osobi svaki dan omogućavajući dobavljačima usluga i proizvođačima uređaja da prikupe ogromne količine podataka o skoro svakom aspektu naših života.

Stoga, rukovodioci mudro traže garancije da su njihove korporativne komunikacije zaštićene, šifrovani pozivi i poruke su odlična taktika sajber bezbednosti, ali aplikacije za privatnost same po sebi neće uspeti. Aplikacije trećih strana mogu biti kapije za malver, špijunski softver ili druge pretnje.

Osim rizika koji ovi predstavljaju, želite da sprečite da neko može da hakuje vaš telefon ako je izgubljen ili ukraden. Učvršćivanje uređaja sprečava radoznale oči da pristupe vašim poverljivim informacijama ako vaš telefon dođe u ruke pretnji.

Bez sigurnosti u brojevima

Dok milioni ljudi koriste besplatne aplikacije kao što su Telegram, Vickr ili VhatsApp, one su poznate po kršenju podataka ili isporuci tereta, kao što je Pegasus.

Ogroman obim dostupnih aplikacija trećih strana onemogućava ispravno očekivati da one neće biti štetne. Kada je Google nedavno zamenio svoju listu dozvola za aplikacije sa odeljkom za bezbednost podataka koji su obezbedili programeri aplikacija, alarmna zvona su se s pravom oglasila u prostoru sajber bezbednosti. Nadajući se da će proizvođači pravilno artikulisati način na koji prikupljaju korisničke podatke iz aplikacija koje objavljuju i šta rade sa ovim informacijama, uporedili smo sa „lisicom koja čuva kokošinjac“.

Čitati između redova

Nemojte pretpostavljati da će šifrovani uređaj koji kupujete obezbediti vašu privatnu komunikaciju. Neke kompanije daju smele izjave koje zvuče kao da imaju vrhunski proizvod, ali to ne dokazuju. Ovo ostavlja na vama odgovornost da budete informisani potrošač. Želite da vidite njihove protokole za šifrovanje kako biste znali koje alate koriste da vas zaštite.

Neke kompanije i dalje koriste stare i nesigurne metode šifrovanja koje vas mogu ostaviti sklonim napadima. Ako kompanija kaže da se poruke ne mogu slati vanmrežnim kontaktima, verovatno koristi veoma stari stil razmjene poruka koji se zove neregistrovani. OTR nije radio kada je bio oflajn, morao je biti na mreži.

Još jedan znak da možda koriste zastarele sisteme je ako ukazuju na bilo kakvo upozorenje da njihova arhitektura zahteva više energije za rad, obaveštavajući vas da će vek baterije vašeg telefona trajati duže ako koristite VI-FI vezu umesto GSM podataka.

Generalni direktor Mintek-a Džef Grin objašnjava: „Koriste stil glasanja umesto push tehnologije. Ovo vam brzo prazni bateriju. Ovo je staro nekoliko godina, kao što je Android 6 ili 7. Ako koristite e-poštu kao primer – vaš telefon bi došao do servera u potrazi za e-poštom. Postavili su ga da to radi svakog minuta, da bi redovno dobijao ažuriranja. Ali tehnologija guranje danas koristi intervale od 15 minuta. To znači da bilo koja kompanija koja još uvek koristi tu metodu ne zna kako funkcioniše push tehnologija. I vaša baterija neće izdržati.”

Ako kompanija tvrdi da pruža imunitet protiv Pegaza ili BeethoveN-a, a proizvod vam i dalje omogućava preuzimanje aplikacija trećih strana – to je očigledna laž i bilo bi je nemoguće obezbediti. Mnoge kompanije za šifrovane telefone to rade. Nedavno smo videli da je jedna kompanija priznala da ne može da zaštiti korisnike od daljinskih napada sa aplikacijama instaliranim na njihovom proizvodu, navodeći malver i backdoor koje uvode aplikacije. Stoga dozvoljava samo nekoliko dodatnih aplikacija da se dodaju na telefon, uz napomenu da se pretraživač ne bi trebao dodavati. To nije zaštita. To dokazuje da je ranjivo.

Najgori deo ovog scenarija je ako telefon jednog korisnika dobije špijunski softver, recimo dodavanjem VhatsApp-a, i oni komuniciraju sa drugim korisnikom istog proizvoda, misleći da su zaštićeni, mogu i nesvesno postati žrtva. Jednom na vašem telefonu, Pegasus može da vas špijunira, preuzima vaš GPS, kameru i mikrofon, prikuplja lozinke, podatke, pritiske na tastere i istoriju pregledanja.

Ne morate da kliknete na vezu da biste je dobili na svom telefonu (otuda i termin napad nultim klikom). Jednostavno propuštanje VhatsApp poziva može uvesti špijunski softver. Korisnici Apple-a bili su izloženi ranjivosti nula klikova koja je uticala na iPhone, iPad i Apple satove za događaje. Kompanija je sredinom septembra objavila zakrpu da bi to popravila, ali je laboratorija Citizen Lab Univerziteta u Torontu otkrila da su eksploatacije uspešno iskorišćene.

Prodajem standardnu GSM enkripciju kao prednost

Globalni sistem za mobilne komunikacije je najčešće korišćeni standard za mobilne telefone. Postoji nekoliko kompanija u SAD koje još uvek koriste CDMA, što je Code Division Multiple Access. Ako telefon ima funkciju koja ističe GSM enkripciju, morate znati da je to standard u većini mobilnih telefona širom sveta. Ništa posebno. Ako kompanija kaže da vam omogućava da obavljate bezbedne GSM telefonske pozive sa vojnom AES enkripcijom, nemojte verovati. To je redovno telefoniranje.

Ono što ne govore nešto govori

Često se neadekvatna rešenja za privatnost i bezbednost maskiraju kao nešto što nisu. Ove kompanije iskorištavaju činjenicu da vam nedostaje znanje o ovoj temi.

Na primer, kompanija može reći da štiti od napada „Čovek u sredini“, koji su presretanja od strane sajber-kriminalaca. Ako ne objasne kako to rade, ne možete im verovati. Reći da je nešto nejasno poput njihovog proizvoda imuno na svaki sloj komunikacije nije odgovor. Šta to uopšte znači? Trebalo bi da budu u stanju da opišu svoj proces.

Sa ChatMail™, kada radimo prezentaciju klijenta, objašnjavamo kako koristimo PGP da sprečimo MitM napade. Naš proces autentifikacije koristi SAS Rendering. SAS je skraćenica za Deljenje tajne i koristimo je sa PGP listom reči da pretvorimo nizove koda u jednostavne fraze koje se koriste za šifrovano pozivanje.

Ako vas proizvod upozori da šifrovanje ne funkcioniše u romingu, to je velika crvena zastavica. Još problematičnije je ako kompanija kaže da ima rešenje za problem, ali neće primeniti ako ne kupujete na veliko. Postoji kompanija koja ovo reklamira na svojoj veb stranici. Obavezno pročitajte promotivni materijal na njihovoj veb stranici ili zatražite brošuru za kupce pre nego što odlučite.

Budite oprezni sa proizvodom koji vam naplaćuje jednokratno i onda ga možete koristiti besplatno. Međutim, ako ne nastave da monetizuju vašu upotrebu, kako održavaju svoje poslovanje? Pored toga, da li će nastaviti da podržavaju, nadograđuju ili čak ispravljaju greške za svoj proizvod i da li će nastaviti da vam pružaju pouzdanu uslugu u budućnosti? Možda oni čuvaju vaše podatke na svojoj usluzi i plasiraju ih trećim stranama?

Neophodno je znati kako se vaše poruke šalju i da li se čuvaju. Ako se provajder usluga oslanja na servere treće strane, postoji bezbednosni rizik. Zapamtite, čak i ako kompanija kaže da koristi oblak, to je server. Jedan od bitnih aspekata bezbednog telefona je saznanje da se vaša komunikacija ne čuva na serveru, što ga čini ranjivim na provale ako nije šifrovano u mirovanju.

Konkurenti se ne mogu porediti sa našim rešenjem. ChatMail. Dizajniran za bezbednost. Dizajniran za privatnost.