Czy Cypherdog to przełom w komunikacji?

Cypherdog to przełom w komunikacji

Dla kogo bezpieczna komunikacja jest istotna?

Jeśli powiem, że dla wszystkich – to prawda. Są jednak grupy zawodowe czy też branże, dla których bezpieczeństwo jest kluczowe – należą do nich prawnicy, osoby związane z bankowością prywatną, kluczowi menadżerowie odpowiedzialni za transakcje idące w miliony, maklerzy, zarządzający przedsiębiorstwami, osoby odpowiedzialne za finanse spółek… można wymieniać długo. Wystarczy pomyśleć, co stałoby się, gdyby informacja, którą przesyłamy trafiła w ręce konkurencji czy przeciwną stronę w procesie sądowym. Chronione szczególnie powinny być wyciągi bankowe firm, projekty badawczo-rozwojowe, oferty i umowy handlowe. Na pewno dotyczy to też osób, dla których sposób życia czy też prywatność kontaktów są istotnym elementem egzystencji.

Bolączki komunikatorów

Na rynku istnieje całkiem sporo rozwiązań pozwalających czy to na szyfrowanie danych czy to na komunikację mobilną. W czym tkwią ich bolączki? W używaniu SMSa albo maila do potwierdzania tożsamości odbiorcy czy w momencie odzyskiwania zapomnianego hasła. SMS pochodzi od teleoperatora, a jego zabezpieczenia mogą również zostać złamane – i tutaj często nie myślę o technicznych, a złamaniu procedur chociażby w uzyskaniu duplikatu karty SIM. A poczta elektroniczna? To jeden z najprostszych do obejścia systemów komunikacji.

Co jeszcze boli? Boli to, że w momencie uruchomienia aplikacji do komunikacji uzyskuje ona dostęp do naszej książki kontaktów, po czym przesyła ją na serwer aplikacji!

Problemem jest również to, że nie wiadomo jak działają popularne aplikacje do komunikacji. Kod źródłowy nie jest udostępniony. A zastanawialiście się może dlaczego te aplikacje są darmowe? Przecież ich utrzymanie kosztuje, gdzieś są hostowane, ktoś wspiera rozwiązanie. I to nie są kwoty domowego budżetu. Można mieć przypuszczenie, że ktoś ma w tym po prostu interes. Interes z analizy danych, które są przesyłane albo pozwalające na profilowanie. Nawet jeden z marszałków naszego parlamentu sugerował, że pewne rzeczy robi się dla idei 😉

Ufacie Facebook Messengerowi? Ja nie – dziesiątki razy widziałem przejęte konta znajomych, gdzie ktoś publikował różne rzeczy na ich wallu. Dokładnie w ten sam sposób może mieć dostęp do komunikatora. Słyszeliście pewnie o wyłudzeniach „na wnuczka” – gdy ktoś podszywał się pod nasz kontakt, prosił o przelanie 200 złotych na konto, po czym okazywało się, ze rozmawialiśmy nie z tą właściwą osobą, a kimś kto „ukradł” jej tożsamość. Wiecie jak wygląda API Facebooka? Im więcej zapłacisz jako kooperant, tym więcej informacji o użytkownikach uzyskujesz. Co ciekawe oni sami się na to godzą.

Jak przesłać plik?

Pewnie nie raz mieliście konieczność przesłania pliku do Waszego kontrahenta, wspólnika, współpracownika, klienta, dostawcy. Co robicie – zazwyczaj używacie maila i przesyłacie takowy plik. Można oczywiście skompresować plik za pomocą ZIPa i zabezpieczyć hasłem, po czym hasło wysłać SMSem. Ale … złamanie takiego zabezpieczenia jest równie proste co otwarcie zamka w VW Golf II, a SMSy nie są również bezpieczną formą komunikacji.

Jak jest duży to używacie pewnie super-niebezpiecznych rozwiązań w postaci wetransfer albo Google Drive i przesyłacie link do zasobu mailem do swojego kooperanta. Aczkolwiek nigdy nie wiemy czy dostęp do skrzynki ma tylko on i czy on to on. A do samego pliku dostęp na każda osoba posiadająca do niego link. Na rynku dostępne są również narzędzia z dzielonym kluczem prywatnym, podobno gwarantujące 100% bezpieczeństwo – ale niestety po przechwyceniu linka jesteśmy w stanie odczytać zaszyfrowany przetransferowany plik.

Cypherdog

Cypherdog jest odpowiedzią na wszystkie te bolączki – zawiera cztery funkcjonalności – pozwala na wysyłanie zaszyfrowanych plików dowolnej wielkości, szyfrowanie lokalne plików i folderów, szyfrowany synchronizowany storage w chmurze oraz bezpieczny komunikator tekstowy i głosowy.

Z czego składa się to rozwiązanie? Z aplikacji FX do wysyłania i odbierania plików pracującej na komputerze osobistym (notebooku albo blaszaku) połączonym z komunikatorem pracującym pod kontrolą Windows, Linux albo iOS. Oprócz tego mamy komunikator mobilny, który występuje w wersji Android i iOS.

W jaki sposób zabezpieczone są dane przed przejęciem – oczywiście szyfrowanie end-to-end, asymetryczne 3072 bity, symetryczne AES-256. Amerykańska NSA uważa, że do 2030 roku żaden superkomputer nie będzie w stanie złamać szyfrowania za pomocą klucza publicznego 3072 bity. Jedną z najistotniejszych gwarancji bezpieczeństwa rozwiązania jest brak „zaufanej trzeciej strony” (Google, Microsoft, Facebook czy teleoperator, czy też wystawca certyfikatu bezpieczeństwa).

Oczywiście sam Cypherdog nie ma dostępu do danych, które są transferowane. Nie występuje wysyłanie książki telefonicznej i danych osobowych użytkowników na serwer. Ciekawostką jest użycie technologii blockchain do przechowywania kluczy publicznych, tak więc nie są one przechowywane w „tradycyjnej” strukturze bazy danych ale klucze publiczne są zaszyfrowane i znajdują się w rozproszonych blokach danych. Bardzo ciekawie wygląda autoryzacja tożsamości: metodologia generowania kluczy oraz fizyczne spotkanie – wymiana danych przez Bluetooth lub NFC.

Kolejna kwestia to brak autoryzacji przez SMS albo e-mail, brak opcji „przypomnij” / „zresetuj” hasło. Zazwyczaj dzięki takiej opcji hakerzy przejmują kontrolę nad kontem aplikacji. Jak to zrobić – stosując „podmienioną” stronę, udającą oryginał. Nieświadomy użytkownik podaje wtedy swoje dane identyfikacyjne i więcej nie trzeba.

W komunikatorze następuje kasowanie historii rozmów (po określonym czasie, po zamknięciu sesji, po wygaszeniu ekranu) i w przypadku braku odbioru komunikatu. Treści rozmów nie są zapisywane w pamięci urządzenia, treści rozmów na dyskach serwerów tylko w pamięci operacyjnej.

Zastosowane rozwiązanie zapewnia, że brak jest możliwości sprawdzenia IP stron konwersacji. Bezpieczeństwo gwarantuje nam przechowywanie klucza prywatnego jedynie na stacji roboczej albo telefonie użytkownika (i co ważne – klucz prywatny nie jest dzielony, którego połowa staje się właściwie publiczna jak w rozwiązaniu konkurencji). Funkcja odczytu pliku dostępna jest jedynie przez posiadacza klucza prywatnego (nie można współdzielić dostępu, przekazywać hasła itd.).

Co ciekawe odszyfrowanie i odczyt przesłanej wiadomości jest zupełnie darmowe, użytkownik odbierający informacje korzysta z darmowej licencji. Licencja staje się płatna dopiero w momencie, kiedy chcemy zaszyfrować plik.

Przykładowe zastosowania

Gdzie zastosować można Cypherdog? Wymienię kilka zastosowań. Chociażby jako narzędzie do wysyłania faktur w miejsce maili z załączoną fakturą w PDF do Waszych klientów. Na pewno o uszy obiła Wam się historia chociażby LOT czy jednej ze spółek zbrojeniowych w Polsce, gdzie płatność (odpowiednio 2.6 MLN PLN i ponad 4MLN) dokonana została na konto złodzieja na podstawie maila ze zmienionym numerem konta, czy to w samej wiadomości pocztowej czy na podstawie faktury z podmienionym kontem wewnątrz dokumentu.

Narzędzie do prowadzenia korespondencji związanej z ofertą projektową, w której uczestniczą przedstawiciele firmy, kancelarii prawnej, banku. Gdy chodzi o miliony złotych, informacja na temat działań konkurencji jest bardzo cenna i na pewno dotarcie do informacji o szczegółach oferty pozwala na odpowiednie dopasowanie się do wymogów klienta.

Medycyna – do dnia dzisiejszego większość stacji diagnostycznych przekazuje wyniki badań w wersji elektronicznej jako załączniki pdf albo też jako link do repozytorium dokumentów znajdujących się na serwerze owej instytucji. Dane z wynikami badań, karty historii chorób, informacje o ojcostwie są dość cennym nabytkiem chociażby dla dziennikarzy czy oponentów politycznych, którzy mogą skompromitować czy to polityka czy celebrytę.

Bankowość i finanse – nierzadko firma zobligowana jest do wysyłania dokumentów finansowych dotyczących swojej organizacji – czy to do uzyskania kredytu kupieckiego, czy to, jako spółka publiczna zobligowana jest do terminowej publikacji wyników finansowych. Tak istotne dane nie powinny znaleźć się w niepowołanych rękach, w szczególności w przypadku spółek giełdowych, gdzie informacja o wynikach finansowych, która wypłynęła wcześniej może być podstawą do wymierzenia kary dla spółki akcyjnej, nie mówiąc już o możliwości manipulowania kursem czy „odpowiednim” zaangażowaniem inwestorów.

Autor: Przemysław Kucharzewski

Pobierz aplikacje