Telegrama anónimo: a verdade sobre a segurança das comunicações virtuais
2016-10-18 19:39:07
Em:
É possível garantir o anonimato absoluto das comunicações nos dias de hoje? Esta questão tornou-se ainda mais atual após as revelações de Snowden. Foi este conceito de segurança que Pavel Durov teve em mente ao criar o anonymous Telegram com o seu irmão Nikolai. De acordo com a declaração feita pelos criadores, este mensageiro é capaz de fornecer segurança tanto contra hackers comuns como contra as acções das agências de inteligência governamentais. Mas será que a situação é mesmo assim? Vamos descobrir a seguir.
Parâmetros básicos de segurança da informação
A aplicação é baseada no desenvolvimento inovador - é o protocolo MTProto que envolve a utilização de vários protocolos de encriptação. Os seguintes algoritmos são utilizados para a segurança dos dados:
DH-2048, RSA-2048 (para autorização e autenticação);
AES (para as mensagens encaminhadas);
SHA-1, MD5 (algoritmos de hash criptográficos).
Durante a transmissão das mensagens, a encriptação é efectuada através do algoritmo AES com uma chave conhecida pelo cliente e pelo servidor. Ao mesmo tempo, a proteção contra a interceção de mensagens pelo servidor só é assegurada num modo especial de Telegrama anónimo, denominado Conversas Secretas, em que os participantes têm uma chave comum que só eles conhecem. Ao contrário de um modo normal, a encriptação de extremo a extremo exclui a possibilidade de desencriptação das mensagens e o histórico das conversas é armazenado apenas nos dispositivos dos utilizadores.
Organização de concursos de procura de falhas
Desde que este mensageiro anónimo entrou no mercado (agosto de 2013), os seus criadores e Pavel Durov em particular começaram a organizar concursos entre especialistas em criptografia para revelar falhas de segurança.
O primeiro projeto deste tipo teve lugar no final de 2013. A tarefa dos concorrentes consistia em desencriptar a conversa de Pavel Durov e do seu irmão num chat secreto, utilizando a troca de dados encriptados entre o servidor e a aplicação. Apenas alguns dias após o início do concurso, um dos participantes conseguiu encontrar uma falha no sistema. O problema é que um utilizador recebeu os parâmetros de uma chave do servidor sem verificação. Esta falha reduziu a integridade criptográfica e permitiu a execução de um ataque MITM oculto. Embora essa pessoa não tenha conseguido desencriptar a conversa entre Pavel e Nikolai, foi-lhe paga metade do prémio, 100 mil dólares em particular.
Independentemente da sociabilidade dos programadores e do esforço para revelar falhas de segurança através de esforços combinados, muitos especialistas são cépticos em relação a este tipo de concursos. A ausência dos vencedores não é ainda uma garantia de segurança absoluta, uma vez que as condições são definidas por um programador, mas a análise é frequentemente efectuada por pessoas aleatórias. Além disso, 200 mil dólares é uma pequena soma de dinheiro para os peritos em criptografia, pelo que é pouco provável que os melhores representantes participem nestes concursos.
O Telegram anónimo permite garantir a segurança total das comunicações?
O argumento básico dos oponentes da aplicação em questão consiste em vincular um utilizador ao seu número de telefone. A questão em questão é se este mensageiro pode ser considerado anónimo se o servidor contém dados de telefonia que podem dizer praticamente tudo sobre uma pessoa, incluindo as seguintes informações:
nome completo;
coordenadas geográficas exactas;
contactos;
dados pessoais, etc.
A autenticação é efectuada por meio de uma mensagem de texto em que é indicado um código de verificação de início de sessão único. A ausência de uma palavra-passe é ainda mais alarmante. Por outras palavras, basta que o utilizador introduza um código da mensagem para iniciar sessão. O serviço é caracterizado por muitos algoritmos de encriptação complicados, mas não tem uma palavra-passe elementar. Assim, é possível entrar na conta do cliente através da interceção de mensagens de texto (o que não é uma questão de extrema dificuldade para as agências de inteligência).
É certo que o armazenamento de informações nas plataformas de servidores protegidos dos EUA oferece algumas garantias aos utilizadores. No entanto, o simples facto de as informações pessoais de um cliente poderem ficar disponíveis para terceiros contradiz a ideia de anonimato absoluto. Além disso, os recentes acontecimentos nos EUA (quando uma conta de correio eletrónico pertencente a Hillary Clinton, uma candidata à presidência, foi pirateada devido a um ataque de hackers) são indicativos da vulnerabilidade dos modernos sistemas de segurança informática.
Conclusão
Sem dúvida, o Telegram possui algoritmos de encriptação complexos que permitem alcançar um elevado nível de segurança dos dados quando se comunica no modo de chat secreto. Ao mesmo tempo, a vinculação do número de telefone não permite falar de segurança absoluta e confirmar que as informações não serão acessíveis a terceiros como resultado de um ataque de hackers.
Em resumo: vale a pena utilizar a aplicação em causa? É uma variante perfeita para os utilizadores que pretendem obter um serviço rápido e prático para fins de comunicação privada. No entanto, quando se trata de pessoas com um estado de espírito paranoico que querem ter a certeza da segurança absoluta da conversa e dos dados pessoais, o Telegram não o pode garantir. Por outro lado, a existência de qualquer outro mensageiro que ofereça tais garantias continua a ser duvidosa atualmente.
Durante a transmissão das mensagens, a encriptação é efectuada através do algoritmo AES com uma chave conhecida pelo cliente e pelo servidor. Ao mesmo tempo, a proteção contra a interceção de mensagens pelo servidor só é assegurada num modo especial de Telegrama anónimo, denominado Conversas Secretas, em que os participantes têm uma chave comum que só eles conhecem. Ao contrário de um modo normal, a encriptação de extremo a extremo exclui a possibilidade de desencriptação das mensagens e o histórico das conversas é armazenado apenas nos dispositivos dos utilizadores.
Independentemente da sociabilidade dos programadores e do esforço para revelar falhas de segurança através de esforços combinados, muitos especialistas são cépticos em relação a este tipo de concursos. A ausência dos vencedores não é ainda uma garantia de segurança absoluta, uma vez que as condições são definidas por um programador, mas a análise é frequentemente efectuada por pessoas aleatórias. Além disso, 200 mil dólares é uma pequena soma de dinheiro para os peritos em criptografia, pelo que é pouco provável que os melhores representantes participem nestes concursos.
A autenticação é efectuada por meio de uma mensagem de texto em que é indicado um código de verificação de início de sessão único. A ausência de uma palavra-passe é ainda mais alarmante. Por outras palavras, basta que o utilizador introduza um código da mensagem para iniciar sessão. O serviço é caracterizado por muitos algoritmos de encriptação complicados, mas não tem uma palavra-passe elementar. Assim, é possível entrar na conta do cliente através da interceção de mensagens de texto (o que não é uma questão de extrema dificuldade para as agências de inteligência).
É certo que o armazenamento de informações nas plataformas de servidores protegidos dos EUA oferece algumas garantias aos utilizadores. No entanto, o simples facto de as informações pessoais de um cliente poderem ficar disponíveis para terceiros contradiz a ideia de anonimato absoluto. Além disso, os recentes acontecimentos nos EUA (quando uma conta de correio eletrónico pertencente a Hillary Clinton, uma candidata à presidência, foi pirateada devido a um ataque de hackers) são indicativos da vulnerabilidade dos modernos sistemas de segurança informática.
Em resumo: vale a pena utilizar a aplicação em causa? É uma variante perfeita para os utilizadores que pretendem obter um serviço rápido e prático para fins de comunicação privada. No entanto, quando se trata de pessoas com um estado de espírito paranoico que querem ter a certeza da segurança absoluta da conversa e dos dados pessoais, o Telegram não o pode garantir. Por outro lado, a existência de qualquer outro mensageiro que ofereça tais garantias continua a ser duvidosa atualmente.
