Serviciile din România vor să vadă ce-ai pe WhatsApp și ăsta-i felul în care o pot face

Sunt deja sute de ani de când omul a încercat să ascundă de dușmanul său mesajele și, în același timp, să le lase la vedere. Aceasta ar putea fi, pe scurt, explicația criptografiei. În prezent, o ai pe telefonul tău fie când îți folosești amprenta ca să-l deblochezi, fie când trimiți un mesaj pe WhatsApp. Nu trebuie neapărat să știi cum funcționează, că-i complicat și nu te ajută la nimic în viața de zi cu zi. 

Ce trebuie să știi e că sistemul ăsta de criptare pe aplicații ca Signal, Telegram sau WhatsApp e urât cu mare poftă de guverne, companii și chiar hackeri.

Ca să vezi că nici România nu-i chiar defazată de tendințe, în ciuda a ceea ce ai putea crede, DNA vrea să-și cumpere tehnică prin care să intercepteze WhatsApp. Șeful DNA Crin Bologa n-a detaliat la ce se referă cu așa ceva, doar a menționat că-s societăţi private în Israel sau în Italia care vând tehnologii folositoare în interceptarea convorbirilor. Dar dacă WhatsApp e criptat, cum ar putea intercepta ceva? Cu așa dilemă măreață ai nimerit unde trebuie că voi încerca să-ți explic pe scurt cum se poate face treabă.

În ianuarie, tărăboi care a ținut până mai acuși, poporul s-a supărat pe WhatsApp că ar împărtăși niște mesaje cu Facebook, deși promite că totul e criptat. Totul e criptat, ce-i drept, dar unele mesaje sunt accesibile, cum ar fi cele schimbate cu branduri (magazine care vând pe platformă, de exemplu). În fine, scandalul acela m-a ajutat pe mine să învăț mai multe despre criptare. 

Ideea e așa: doar tu și interlocutorul aveți acces la mesaj. Nu poate fi interceptat de alții și nici citit de WhatsApp sau Facebook (lucru valabil pentru toate celelalte platforme care se laudă cu criptare, cum ar fi Signal, iMessage, Telegram etc.).

Ce-i interesant aici, cum a fost și la scandalul cu WhatsApp din ianuarie, e că sistemul de criptare a fost promovat de Signal și preluat și de alții. Protocolul a fost creat de Open Whisper Systems, același grup care a creat și Signal. Până și în white paper face trimitere la el ca la „protocolul Signal”. În fine, acesta e un fun fact de ținut minte, că altul e scopul articolului.

Signal, Telegram, WhatsApp, iMessage și altele criptează mesajele, astfel încât să nu fie dependente de server (care are rol doar în logistica aplicației, să lege un user de altul, și astfel comunicațiile sunt mai puțin vulnerabile) și fiecare în parte e suficient de sigur cât să nu-ți faci griji că-ți interceptează cineva pozele alea deosebite. Problema apare când vorbim de vulnerabilități. Și aici devine interesantă și căutarea DNA pentru o soluție. 

Cum ziceam mai sus la ce-i cu end-to-end encryption, dacă guvernele sau grupurile de hackeri vor să intercepteze și să acceseze datele, trebuie să acceseze clientul. Adică pe tine și dispozitivul tău, care-i cel mai probabil un telefon. „Criptarea a schimbat întregul peisaj al securității cibernetice. E un joc cu totul diferit acum”, a explicat pentru VICE Oded Vanunu, Head of Products Vulnerability Research la Check Point Software Technologies.

Ca să obții acces la ce-i pe WhatsApp trebuie să te bazezi, ca guvern sau hacker, pe vulnerabilitățile aplicației și sistemului de operare. Doar că nu le cauți tu, ci contractezi oameni, companii care ți le pot furniza. „Încearcă să înțelegi piața din spate și puterea pe care o au unele companii care vând vulnerabilități. E ca și cum ai vinde arme, pentru că dacă ai o vulnerabilitate pentru Android, înseamnă că poți accesa sute de milioane de dispozitive”, a adăugat Oded și mi-a arătat lista de shopping a unui jucător din zona asta.

Ce vezi mai sus sunt plăți orientative, că în funcție de cât de mare e o vulnerabilitate costul poate crește destul de mult. În orice caz, platforma asta, și multe altele ca ea, cumpără și vând mai departe. „Acesta e jocul. Vorbim de vulnerabilități zero-day, adică de care dezvoltatorul platformei nu știe încă, și zero-click, adică pot fi folosite fără ca utilizatorul să aibă habar. Nu-i nevoie să dea click pe nimic”, mi-a mai zis Oded.

Desigur, la un moment dat, vulnerabilitățile sunt descoperite. Aici e un joc clasic de-a șoarecele și pisica între dezvoltatorii platformelor și hackeri (de orice natură ar fi ei). Unii repară, alții găsesc porți noi de acces. „Trebuie să înțelegem că porțile de acces sunt sistemul de operare și aplicațiile. Și dacă cel puțin una e vulnerabilă, criptarea nu mai ajută. Totuși, sunt soluții de securitate cibernetică, sunt tehnologii disponibile în prezent care, înainte să instalezi ceva, scanează aplicația respectivă și se asigură că nu-i vulnerabilă și că nu are activitate malițioasă. E o măsură suplimentară de protecție”, a mai spus Oded. 

O altă idee e să ai totul actualizat, că prin actualizări sunt reparate diverse probleme. Da, se poate ca WhatsApp să aibă o vulnerabilitate, ea să fie reparată, dar tu să fii spart de hackeri pentru că n-ai trecut la versiunea mai nouă. A pățit-o până și Jeff Bezos. 

Partea bună e că firme ca Apple, Google, Facebook și multe altele plătesc hackeri de tipul white hack dacă le găsesc vulnerabilități în produsele lor. Și nu plătesc puțin. Așa că, da, și vulnerabilitățile de tip zero-day ajung să fie știute, dar până atunci și-au produs efectele. Oded mi-a explicat că, atunci când ești în businessul securității cibernetice ofensive, activezi arme și înțelegi că acestea pot fi descoperite.

„M-ai întrebat cum ar putea România, sau un guvern, să intercepteze WhatsApp. Ei bine, trebuie să te gândești la asta ca la un business. Sunt companii care zic: «Bine, îți dau infrastructură. Nu-ți face griji de ce vulnerabilități folosim, noi ne asigurăm că vor funcționa de fiecare dată» și acestea vând totul «as a service»”, a detaliat Oded. „Sunt companii care plătesc pentru exploit-uri, pregătesc cadrul de folosire, iar o vulnerabilitate e vândută mai multor guverne sau companii. Practic, ca guvern, poliție sau companie, tu plătești un serviciu, iar vânzătorul se asigură că funcționează mereu. Nu-ți bați capul cu nimic, ci doar cumperi și alegi țintele.”

Mai există și modalitatea, pentru guverne și hackeri, să spargă conturile de WhatsApp fizic, pe dispozitiv. Costul, posibil, e mai mic, pentru că obții acces cu un dispozitiv fizic, ca cele vândute de Cellebrite. Doar că ai nevoie de acces fizic, iar asta s-a întâmplat când FBI a vrut să vadă ce-i într-un iPhone, a apelat la Apple, compania a refuzat, dar a găsit ajutor în Australia. Tocmai de aceea se dau milioane de dolari pe vulnerabilități zero-click: fără bătăi de cap, fără acces la telefon, totul de la distanță.   

Din ce-a spus Bologa despre DNA și WhatsApp poți înțelege că va apela, până la urmă, la o firmă care face așa ceva. El a zis de Israel și Italia, deocamdată. Pentru infractori poate fi o veste proastă, că până acum se bazau și pe astfel de servicii. Dar nu e ca și cum până acum interlopii care chiar aveau nevoie de intimitate nu se descurcau. E mai degrabă o avertizare față de găinari și traficanți de scara blocului. 

Rămâne însă dilema de la care am pornit când am căutat să aflu ce-i cu interceptarea WhatsApp: cum va fi folosită „tehnica”? Firesc, n-am un răspuns definitiv, dar alte operațiuni de până acum, în special din afară, au arătat că guvernele se arată destul de incompetente în a descoperi și deturna planuri teroriste și mai mult în a face material de șantaj sau de-a colecta date despre populația mare.