לאחר שבשבוע שעבר נפרץ חשבון הטלגרם של נפתלי בנט, ואך אתמול התגלה כי ככל הנראה גם הטלגרם של צחי ברוורמן, ראש הסגל של נתניהו נפרץ, עולה השאלה: איזו אפליקציית מסרים מיידיים היא הכי בטוחה?
אז נתחיל עם התשובה הקצרה: אף אחת מהן. דברים רגישים על פניו, לא צריכים להישמר או להיות מועברים באפליקציות מסרים מיידיים, אם זו טלגרם, וואטסאפ או מסנג'ר. זאת, במיוחד לאור העובדה שרוב אפליקציות המסרים המיידיים מבוססות על תשתית עם שרתים מרכזיים ששומרים עותקים ממה שאתם שולחים. ובכל זאת, כולנו משתמשים בהן, אז מי מהן הכי בטוחה? ועכשיו לתשובה הארוכה.
בועז קטן, אנליסט מודיעין איומים בחברת האבטחה הגדולה טרנד מיקרו, מסביר בשיחה עם "וואלה":
"סיגנל (Signal) נחשבת לבטוחה ביותר ולקובעת הסטנדרט של אבטחת מסרים מיידיים, בגלל המיקוד והתכונות היעודיות להגנה על פרטיות ההודעות והמשתמשים. וואטסאפ (WhatsApp) נחשבת בטוחה אף היא, בין היתר בגלל שהיא מיישמת את פרוטוקול התקשורת המאובטח שהומצא עבור סיגנל.
טלגרם (Telegram) נחשבת מאובטחת, אבל פחות מסיגנל ו-וואטסאפ, בין היתר כיוון שתכונות אבטחה מסוימות, כגון הצפנת קצה אל קצה (End to End Encryption) אינן מוגדרות כברירת מחדל", אומר לנו קטן.
"קיימת אפשרות שהמידע האישי על בנט וברוורמן הגיע לידי התוקפים לאחר שהצליחו לפרוץ לחשבונות הטלגרם שלהם", אומר אנליסט מודיעין האיומים. "בטלגרם, כמו באפליקציות מסרים מידיים אחרות, יש אפשרות להתחבר לאותו החשבון מכמה מכשירים שונים במקביל - למשל הטלפון הנייד והמחשב האישי. ייתכן שהתוקפים הצליחו לצפות בהודעות מהעבר בחשבונות הטלגרם, כיוון שהגדרות האבטחה בטלגרם לא היו מיטביות, ולכן ההודעות היו נגישות לתוקפים מהמכשירים מהם הם התחברו", מסביר החוקר הישראלי מטרנד מיקרו.
מצעד הבטיחות
כפי שהסביר מעלה מומחה האבטחה, סיגנל, שעוצבה מיסודה כאפליקציית מסרים מאובטחת ואנונימית (מה שמכונה גם Privacy by design), מובילה את מצעד הבטיחות ונחשבת לסטנדרט דה פקטו של אבטחת מסרים מיידיים, כמו גם הבחירה השפויה עבור האדם הממוצע שרוצה פרטיות ואבטחה להתכתבויות שלו, מכל סיבה שלא תהיה. היא מכילה הצפנה מקצה לקצה, ועוצבה כך שהשרתים שמעבירים מידע מקצה לקצה מאחסנים מידע מינימלי על ההודעות שעוברות דרכם, ואפשר לצמצם את המידע הזה אפילו עוד יותר על ידי האפשרות של Sealed Sender.
הבאה בתור, שלא במפתיע, היא iMessage של אפל לבעלי האייפונים מביניכם. אמנם, צריך להפעיל את האפשרות של Advanced Data Protection, אבל אפל מציעה הצפנה מקצה לקצה על התוכן שלכם, ועם הפעלת אפשרות ההגנה המורחבת, גם הגנה לגיבויים בענן, שכפי שראינו אצל בנט וברוורמן, זו נקודת תורפה.
השלישית היא WhatsApp. היא אמנם משתמשת בפרוטוקול ההצפנה של סיגנל להצפנת התוכן מקצה לקצה, אבל, עדיין, הבעיה פה היא הבעלים והורתה - מטא, חברה שיש לה איך לומר, נטיות חטטניות משהו.
כשמדובר בתכתובות מול גופים עסקיים יש לעניין הזה שני חריגים: אחסון הודעות הוא בכפוף למדיניות הפרטיות האישית של הארגון מולו אתם מתכתבים - והארגון עשוי לחשוף או לאסוף את התכתובות שלכם לצרכים שיווקיים פנימיים או לצורך פרסום במטא, והחריג השני, הארגון עשוי לאפשר למטא להשתמש בתכתובות שלכם כדי לאמן את מודלי הבינה המלאכותית שלה. אז כדאי שתהיו מודעים לזה, גם בפעם הבאה שאתם מתכתבים מול שירות הלקוחות של קופת חולים, חברת הסלולר או הביטוח שלכם.
ובתחתית מצעד האבטחה נמצאות טלגרם ומסנג'ר. שתיהן, כברירת מחדל לא מפעילות הצפנה מקצה לקצה על שיחות, וקחו בחשבון שהשיחות שלכם נמצאות בענן. טלגרם משום מה נהנית ממוניטין של אפליקציית שיחות חשאית ומאובטחת, אבל ההיפך הוא הנכון. כדי לקבל פרטיות בטלגרם ולהפעיל הצפנה, אתם צריכים לעבור ל-Secret chat . שיחה "רגילה" אינה מוצפנת ונשמרת בענן, מה שגם מסביר איך הגיעו לחומרים של בנט וברוורמן. ואחרונה חביבה - מסנג'ר של פייסבוק. היא אמנם נמצאת בתהליכים של הטמעת הצפנה מקצה לקצה, אבל כרגע, בגדול, השיחות שם גלויות ואינן מוצפנות.
ולבסוף, כמה נקודות למחשבה: כמו שראינו השבוע פעמיים, נקודת התורפה יכולה להיות לא השיחות בסמארטפון עצמו, אלא גיבוי השיחות שלכם ואיך הוא נשמר. אם מצליחים לגנוב את תוכן השיחות שלכם מהענן, גם ההצפנה המושלמת ביותר לא תעזור לכם. וכאן, יש להאקרים מגוון שיטות, אז חשוב להיות מודעים ועירניים, כמו גם לתקיפות כמו חטיפת SIM, תקיפות פישינג שמנסות להשיג את הפרטים האישיים שלכם לצורך פריצה. ושימו לב שגם, אולי בעיקר, דווקא האפליקציות והחיבור ליישומי המסרים המיידיים דרך המחשב הם נקודת התורפה האמיתית, כפי שלמדו על בשרם השבוע בנט וברוורמן.