Facebook ответила ФБР созданием чата с открытым исходным кодом

Facebook ответила ФБР созданием чата с открытым исходным кодом

Facebook ответила ФБР созданием чата с открытым исходным кодом

Социальная сеть Facebook отреагировала на критику ФБР относительно функций шифрования данных на смартфонах, предоставив групповой чат с функцией шифрования с открытым исходным кодом.

Напомним, что во вторник Кристофер Рей, директор Федерального бюро расследований США, заявил о том, что для ведомства представляет проблему шифрование данных на мобильных устройствах. Премьер-министр Великобритании Тереза Мэй также призвала к установке бэкдоров в службах обмена сообщениями и социальных сетях.

Выпущенный Facebook вчера на GitHub проект, по словам компании, решает проблему защиты группового чата. Проект получил название ART или Asynchronous Ratcheting Tree.

Отмечается, что в ART решена проблема безопасности таких решений, как WhatsApp, Facebook Messenger и Signal, где используется более простой механизм передачи ключей («sender keys»). Для защиты групповых чатов ART получает групповой ключ для абонентов, который защищен, даже если некоторые из них не подключены к сети. Таким образом, даже после полной компрометации агент может участвовать в обмене сообщениями при помощи безопасного группового ключа.

В качестве схемы ART использует «asymmetric prekeys» — модель, созданную для TextSecure, а также одноразовый асимметричный ключ настройки. Ключ настройки генерируется создателем группового чата и используется только во время создания сеанса, позволяя администратору группы создавать секретные ключи для других участников чата.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru