Το Twitter κυκλοφορεί κρυπτογραφημένα μηνύματα, μην το εμπιστεύεστε
Related Posts
Το Twitter το έκανε. Η εταιρεία τήρησε προθεσμία και
κυκλοφόρησε κάτι στην ημερομηνία που είχε υποσχεθεί
υπό την ηγεσία του Έλον Μασκ. Η πλατφόρμα κοινωνικών μέσων δημοσίευσε την πρώτη της επιλογή κρυπτογραφημένων μηνυμάτων
αργά την Τετάρτη
νύχτα, ακριβώς κάτω από το σύρμα. Ωστόσο, στην τρελή παύλα για παράδοση, ο ιστότοπος φαίνεται να έχει κάνει κάποιους συγκεχυμένους συμβιβασμούς, όπως περιγράφεται στο
μια ανάρτηση στο Twitter
.
Τα κρυπτογραφημένα DM στο Twitter έχουν δημιουργηθεί χρόνια. Η πλατφόρμα άρχισε αρχικά να υπαινίσσεται και να διερευνά τη δυνατότητα ασφαλών μηνυμάτων
πριν από μια δεκαετία περίπου
. Ωστόσο, εγκατέλειψε την ιδέα πολλές φορές μετά από μερικές λανθασμένες εκκινήσεις, χωρίς να προσφέρει πολλές εξηγήσεις – όπως το 2018 όταν ο ιστότοπος φαινόταν να είναι
δοκιμάζοντας ένα χαρακτηριστικό που δεν κυκλοφόρησε ποτέ
. Τέλος, όμως, η εφαρμογή bluebird έχει κρυπτογράφηση — όπου τα δεδομένα κωδικοποιούνται κατά την αποστολή ενός DM και αποκωδικοποιούνται στο σημείο παραλαβής.
Για μεγάλο απόρρητο στο διαδίκτυο, είναι αναμφίβολα καλό. Αλλά η έκδοση κρυπτογράφησης του Twitter συνοδεύεται από ορισμένες σημαντικές προειδοποιήσεις. Πρώτον, είναι διαθέσιμο μόνο σε «επαληθευμένους» χρήστες, δηλαδή σε όσους έχουν πρόσβαση
σχεδόν αποκλειστικά άτομα που είναι πρόθυμα να πληρώσουν 8 $
ένα μήνα για το Twitter Blue. Και τα δύο μέρη σε μια κρυπτογραφημένη ανταλλαγή Twitter πρέπει να επαληθευτούν για να λειτουργήσει η λειτουργία.
Δεύτερον, είναι “opt-in”, που σημαίνει ότι οι χρήστες πρέπει να επιλέγουν συνειδητά την κρυπτογράφηση κάθε φορά. Αυτό είναι αντίθετο
το χρυσό πρότυπο ασφαλείας της προεπιλεγμένης κρυπτογράφησης. Facebook/Meta, για παράδειγμα, αντιμετωπίζουν
χρόνια ταλαιπωρίας από ειδικούς σε θέματα ιδιωτικότητας
μέσω της δικής της κρυπτογράφησης από άκρο σε άκρο του Messenger, η οποία
μόλις πρόσφατα έγινε η προεπιλεγμένη ρύθμιση
.
Στη συνέχεια, υπάρχουν οι περιορισμοί χρήστη. Η έκδοση του Twitter για τα ασφαλή DM επιτρέπει μόνο τη μετάδοση κειμένου. Τα μηνύματα εικόνας και άλλα μηνύματα πολυμέσων δεν μπορούν επί του παρόντος να κρυπτογραφηθούν στην πλατφόρμα. Καλύπτονται μόνο οι συνομιλίες ένας προς έναν, τα ομαδικά μηνύματα όχι. Δεν υπάρχει τρόπος αναφοράς καταχρηστικών κρυπτογραφημένων μηνυμάτων. Όλα αυτά είναι χαρακτηριστικά άμεσα διαθέσιμα σε άλλες, αξιοσέβαστες πλατφόρμες κρυπτογραφημένων μηνυμάτων όπως
Σήμα
,
Messenger του Meta
και
WhatsApp
. Επιπλέον, καμία από αυτές τις επιλογές δεν κοστίζει χρήματα.
Για
Μάθιου Γκριν
, επιστήμονας υπολογιστών και κρυπτογράφος στο Πανεπιστήμιο Johns Hopkins, τα προαναφερθέντα ζητήματα συμμετοχής, πληρωμής για παιχνίδι και περιορισμένης χρηστικότητας καθιστούν την προσφορά κρυπτογράφησης του Twitter χειρότερη από πολλά από αυτά που είναι διαθέσιμα αλλού. «Η κρυπτογράφηση είναι ένα σημαντικό χαρακτηριστικό ασφαλείας», είπε στο Gizmodo σε τηλεφωνική επικοινωνία. «Δυστυχώς, θα παρέχουν ασφάλεια μόνο στους ανθρώπους που έχουν πληρώσει».
«Κάποια κρυπτογράφηση είναι καλύτερη από μη κρυπτογράφηση», σημείωσε ο Green. Ωστόσο, όλη η κρυπτογράφηση δεν είναι ίση, και από την αφετηρία του Twitter, «ίσως είναι δύσκολο να τα καταφέρουμε
Καλός
κρυπτογράφηση». Με την ευρεία έννοια, ο ειδικός σε θέματα απορρήτου είπε ότι είναι ενθουσιασμένος για την κίνηση του Twitter προς την αύξηση της ασφάλειας των μηνυμάτων: «Είναι ένα από τα λίγα θετικά χαρακτηριστικά που έχω δει να βγαίνει από το Twitter τους τελευταίους μήνες». Αλλά έχει επιφυλάξεις – από το επίπεδο της επιφάνειας μέχρι την ίδια τη βάση του χαρακτηριστικού.
Προς το παρόν, υποστηρίζει ότι η καλύτερη χρήση των μηνυμάτων Twitter είναι η ανταλλαγή ενός αριθμού WhatsApp ή Signal. “Αυτή είναι η καλύτερη χρήση των μηνυμάτων ηλεκτρονικού ταχυδρομείου στο Twitter μέχρι να μάθει κανείς πόσο καλό είναι αυτό το πράγμα.”
Μια βαθύτερη κατάδυση στις αποτυχίες κρυπτογράφησης του Twitter
Πέρα από τις απογοητεύσεις που αντιμετωπίζουν οι χρήστες, στο back-end, υπάρχουν επιπλέον αδύναμα σημεία στη νέα ρύθμιση ασφαλείας του Twitter. Προς τιμή της εταιρείας, είναι εκ των προτέρων ότι το πρώτο της μαχαίρι σε κρυπτογραφημένα DM δεν είναι τέλειο. «Όσον αφορά τα Direct Messages, το πρότυπο θα πρέπει να είναι, αν κάποιος μας βάλει ένα όπλο στο κεφάλι, δεν μπορούμε να έχουμε πρόσβαση στα μηνύματά σας», αναφέρει το blogpost της Τετάρτης, παραθέτοντας
προηγούμενο tweet
από τον Musk. «Δεν έχουμε φτάσει ακόμα εκεί», συνεχίζει.
Όπως επισημαίνει το Twitter στη δήλωσή του, η έκδοση κρυπτογράφησης δεν προστατεύει απαραίτητα από επιθέσεις “man-in-the-middle”. Αυτό σημαίνει ότι ένας τεχνικά ικανός κακός ηθοποιός ή το ίδιο το Twitter θα μπορούσε θεωρητικά να υποκλέψει μηνύματα χωρίς να το γνωρίζει ο αποστολέας. Λόγω αυτής της αδυναμίας, η έκδοση κρυπτογράφησης του Twitter δεν είναι απαραίτητα
από άκρη σε άκρη
—και πάλι ένα χρυσό πρότυπο ασφάλειας που προσφέρουν τα Signal, WhatsApp, Messenger και άλλα.
Οι επιθέσεις Man-in-the-Middle είναι μια «περίπτωση αιχμής» ασφαλείας, είπε ο Green, που πιθανότατα δεν χρειάζεται να ανησυχείτε. «Είναι μια περίπλοκη επίθεση που, ναι, τεχνικά θα μπορούσε να συμβεί», αλλά είναι λιγότερο πιθανή από όλες τις
άλλο πλήθος
τρόπους ανταλλαγής μηνυμάτων απόρρητο
θα μπορούσε να τεθεί σε κίνδυνο. Το Twitter λέει ότι σχεδιάζει να εργαστεί για τη βελτίωση αυτής της ευπάθειας προς τα εμπρός. Παρόλα αυτά, είναι άλλο ένα ντινγκ ενάντια στην πλατφόρμα του Μασκ. Ωστόσο, πολύ πιο ανησυχητικό για τον Green, είναι η έλλειψη από το Twitter ενός άλλου γενικά τυπικού μηχανισμού κρυπτογράφησης που ονομάζεται “προώθηση μυστικότητας”, που επίσης σημειώνεται στο blog της εταιρείας.
“Ολα τα [cryptography] οι άνθρωποι που ξέρω είναι κάπως μπερδεμένοι με αυτό», είπε στο Gizmodo. Με το απόρρητο προώθησης, το κλειδί κρυπτογράφησης που προστατεύει το απόρρητο ενός χρήστη αλλάζει με κάθε μήνυμα. Στην πράξη, σημαίνει ότι εάν το τηλέφωνο ή ο υπολογιστής σας παραβιαστεί και ο δράστης αποκτήσει πρόσβαση στο υπάρχον κλειδί επικοινωνίας και αποκρυπτογράφησης, τουλάχιστον δεν θα μπορεί να υποκλέψει ή να δει μελλοντικά μηνύματα. «Είναι ένα είδος στοιχήματος τραπεζιού για όλα τα σύγχρονα πρωτόκολλα κρυπτογράφησης», είπε ο Green.
Όχι όμως για το Twitter. Η εταιρεία λέει περαιτέρω ότι δεν έχει πρόθεση να θεσπίσει ένα προωθητικό πρωτόκολλο απορρήτου. «Δεν σκοπεύουμε να αντιμετωπίσουμε αυτόν τον περιορισμό», έγραψε.
Για τον Γκριν, είναι «μια μεγάλη κόκκινη σημαία». Η σύγχρονη κρυπτογράφηση βασίζεται γενικά στον ανοιχτό κώδικα
Πρωτόκολλο σήματος
. Εάν το Twitter λειτουργούσε όπως βασικά κάθε άλλη εταιρεία τεχνολογίας, θα είχε χρησιμοποιήσει αυτόν τον άμεσα διαθέσιμο, ισχυρό και καλά δοκιμασμένο πόρο κώδικα για να αναπτύξει την κρυπτογράφηση του. Αυτό θα εξασφάλιζε την αλλαγή των κλειδιών κρυπτογράφησης. Το γεγονός ότι η πλατφόρμα δεν το έκανε είναι «υπερμυστηριώδες». Από μόνη της, η έλλειψη εμπιστευτικότητας προς τα εμπρός είναι «κάπως κακή», είπε ο Green, αλλά η ευρύτερη υπόνοια ότι το Twitter έγινε εντελώς εσωτερικό και σχεδίασε τη δική του κρυπτογραφία είναι ακόμη πιο ανησυχητική.
Από όσο γνωρίζει, το Twitter δεν έχει πολλούς ειδικούς κρυπτογράφησης στο προσωπικό. Μετά την εκκαθάριση του Μασκ, η πλατφόρμα
δεν έχει τόσους πολλούς ανθρώπους στο προσωπικό, τελεία
. Η κρυπτογράφηση είναι «ένα πολύ δύσκολο πράγμα να γίνει σωστά», είπε ο Green. Εάν το Twitter δεν βασιζόταν στην υπάρχουσα τεχνογνωσία ανοιχτού κώδικα που είναι ευρέως διαθέσιμη, «ίσως το έφτιαξαν μόνοι τους και εκεί είναι που οι άνθρωποι κάνουν μεγάλα λάθη», πρόσθεσε ο καθηγητής JHU.
Τόσο ο Green όσο και το blogpost της εταιρείας εξέφρασαν ελπίδες ότι η δυνατότητα κρυπτογράφησης του Twitter θα βελτιωθεί στη συνέχεια. Όμως, η αποτυχία του μελλοντικού απορρήτου δίνει στον ειδικό σε θέματα ασφάλειας παύση. Εάν το Twitter έχει κάνει λάθη αναπτύσσοντας ανεξάρτητα αυτήν την πρώτη έκδοση ασφαλών μηνυμάτων, αυτά τα ζητήματα θα αντηχούν σε όλη την πλατφόρμα στο διηνεκές. «Φαίνεται ότι έκαναν κάποιες βασικές επιλογές που μπορεί να μην είναι εξαιρετικές», είπε ο Green. «Αν χτίσεις ένα κακό υπόγειο σε ένα σπίτι, θα παλεύεις για πάντα με τα προβλήματα».
