Αίσθηση αλλά και πολλά ερωτηματικά προκαλεί δημοσίευμα της εφημερίδας Καθημερινή για την ύπαρξη εγγράφου της ΕΥΠ με θέμα την ασφάλεια των επικοινωνιών το οποίο έλαβαν κυβερνητικά στελέχη και στο οποίο επισημαίνεται ότι οι επικοινωνίες τους μέσω των γνωστών εφαρμογών επικοινωνίας δεν πρέπει να θεωρούνται ασφαλείς.
Ακόμη περισσότερες απορίες δημιουργεί η προτροπή της ΕΥΠ για κυβερνητικά ζητήματα και ειδικά για ευαίσθητα ζητήματα, να μην προτιμούν την επικοινωνία μέσω των εφαρμογών αυτών και τους συνιστά να τις υποκαταστήσουν με την λιγότερο δημοφιλή εφαρμογή Threema που έχει κατασκευαστεί στην Ελβετία.
Καλά ενημερωμένη πηγή αποκάλυψε στην «Κ» ότι στη σχετική επιστολή η ΕΥΠ προειδοποιεί τα κυβερνητικά στελέχη ότι οι τηλεφωνικές συνομιλίες τους καθώς και η ανταλλαγή γραπτών μηνυμάτων μέσω των ήδη γνωστών εφαρμογών κρυπτογραφημένης επικοινωνίας δεν θα πρέπει να θεωρούνται ασφαλείς και αδιάβλητες.
Την εφαρμογή που η ΕΥΠ υποδεικνύει στους Ελληνες υπουργούς ως ασφαλή χρησιμοποιούν για τις μεταξύ τους επικοινωνίες ήδη από τον Ιανουάριο του 2022 τα στελέχη των ενόπλων δυνάμεων της Ελβετίας, σύμφωνα πάντα με την Καθημερινή.
Το Τhreema είναι μια εφαρμογή για απευθείας μηνύματα και κλήσεις για smartphones και tablets. Αναπτύχθηκε από την Threema GmbH, εταιρεία με έδρα την Ελβετία. Το λογισμικό είναι διαθέσιμο για Android, iOS και Windows Phone στα αγγλικά, γερμανικά, γαλλικά, ισπανικά, ιταλικά, ρώσικα, πορτογαλικά και στα πολωνικά.
Εντύπωση προκαλεί όμως το γεγονός ότι η έγκυρη ιστοσελίδα theregister.com έγραφε τον περασμένο Ιανουάριο ότι το Τhreema είναι «μία υποτιθέμενη ασφαλής εφαρμογή ανταλλαγής μηνυμάτων που προτιμήθηκε από την ελβετική κυβέρνηση και τον στρατό είχε μολυνθεί με σφάλματα – πιθανώς για μεγάλο χρονικό διάστημα – πριν από έλεγχο από ερευνητές του ETH της Ζυρίχης».
Η ομάδα εφαρμοσμένης κρυπτογραφίας του πανεπιστημίου αυτή την εβδομάδα δημοσίευσε έρευνα, που περιγράφει επτά ευπάθειες στα εγχώρια κρυπτογραφικά πρωτόκολλα του Threema. Τα τρωτά σημεία, εάν εκμεταλλευόντουσαν, θα μπορούσαν να έχουν επιτρέψει σε κακούς να κλωνοποιήσουν λογαριασμούς και να διαβάσουν τα μηνύματά τους, καθώς και να κλέψουν ιδιωτικά κλειδιά και επαφές, ακόμη και να κατασκευάσουν παραβιαστικό υλικό για σκοπούς εκβιασμού.
Ενώ η εφαρμογή που εδρεύει στην Ελβετία –η οποία θεωρεί τον εαυτό της ως μια πιο ασφαλή και μη βασισμένη στις ΗΠΑ εναλλακτική λύση για το WhatsApp– δεν χρησιμοποιείται τόσο ευρέως όσο το Signal ή το Telegram, τα κέντρα δεδομένων της βρίσκονται στην επικράτεια των Άλπεων. Αυτό την καθιστά μια δημοφιλή εφαρμογή ανταλλαγής μηνυμάτων για χρήστες – όπως ο ελβετικός στρατός – που θέλουν να αποφύγουν πιθανές κατασκοπεύσεις από υπερπόντιες κυβερνήσεις. Διαθέτει περισσότερους από δέκα εκατομμύρια χρήστες και 7.000 πελάτες εντός εγκατάστασης – συμπεριλαμβανομένου του γερμανού καγκελάριου Όλαφ Σολτς.
Η Threema υποβάθμισε τα σφάλματα σε μια ανάρτηση ιστολογίου σχετικά με την έρευνα. Τα τρωτά σημεία βρέθηκαν σε ένα πρωτόκολλο που η Threema δεν χρησιμοποιεί πλέον, και ενώ τα σφάλματα μπορεί να είναι «ενδιαφέροντα από θεωρητικής σκοπιάς, κανένα από αυτά δεν είχε ποτέ σημαντικό αντίκτυπο στον πραγματικό κόσμο», σύμφωνα με την ανάρτηση.
Η δήλωση της ελβετικής εταιρείας: «Πέρυσι, ένας φοιτητής στο Τμήμα Επιστήμης Υπολογιστών στο ETH Ζυρίχης έγραψε τη διατριβή του για το πρωτόκολλο επικοινωνίας της Threema. Το πανεπιστήμιο έχει πλέον δημοσιεύσει τη δουλειά του ως έγγραφο/προεκτύπωση. Ωστόσο, το έγγραφο βασίζεται σε ένα παλιό πρωτόκολλο που δεν χρησιμοποιείται πλέον. Τα ευρήματα που παρουσιάζονται δεν ισχύουν για το τρέχον πρωτόκολλο επικοινωνίας της Threema “Ibex” ή έχουν ήδη αντιμετωπιστεί. Κανένα από αυτά δεν είχε ποτέ σημαντικό αντίκτυπο στον πραγματικό κόσμο».
Οι τρεις ερευνητές -ο καθηγητής πληροφορικής Kenneth Paterson και οι διδακτορικοί φοιτητές Matteo Scarlata και Kien Tuong Truong– σημείωσαν σε έναν ιστότοπο σχετικά με τα ελαττώματα ασφαλείας της Threema ότι αρχικά αποκάλυψαν τα ευρήματά τους στην εταιρεία τον Οκτώβριο του 2022 και αργότερα συμφώνησαν σε μια δημόσια αποκάλυψη στις 9 Ιανουαρίου. ημερομηνία.
Η Threema κυκλοφόρησε το πρωτόκολλό της Ibex στα τέλη Νοεμβρίου «για να μετριάσει περαιτέρω τις επιθέσεις μας» και οι ερευνητές σημείωσαν ότι δεν έχουν ελέγξει αυτό το νέο πρωτόκολλο, το οποίο κυκλοφόρησε μετά την έρευνά τους. Ωστόσο, «πιστεύουν ότι όλα τα τρωτά σημεία που ανακαλύψαμε έχουν μετριαστεί από τις πρόσφατες ενημερώσεις κώδικα του Threema», έγραψαν οι ερευνητές.
Σε ένα email στο The Register, ο Paterson σημείωσε ότι το παλιό πρωτόκολλο «ενημερώθηκε μόνο στη “νέα” έκδοση λόγω της έρευνάς μας».
Η δήλωση του Threema «είναι εξαιρετικά παραπλανητική», πρόσθεσε. «Είναι πολύ απογοητευτικό που απεικόνισαν την τρέχουσα κατάσταση με αυτόν τον εξαιρετικά παραπλανητικό τρόπο».
Ενώ οι ερευνητές παραδέχονται ότι αυτά τα συγκεκριμένα σφάλματα δεν αποτελούν πλέον απειλή για τους πελάτες της Threema, η ανακάλυψή τους εξακολουθεί να υπογραμμίζει τη δυσκολία στην αξιολόγηση των «αξιώσεων ασφαλείας που γίνονται από προγραμματιστές εφαρμογών που βασίζονται σε ειδικά κρυπτογραφικά πρωτόκολλα».
«Ιδανικά, κάθε εφαρμογή που χρησιμοποιεί νέα κρυπτογραφικά πρωτόκολλα θα πρέπει να συνοδεύεται από τις δικές της επίσημες αναλύσεις ασφαλείας (με τη μορφή αποδεικτικών στοιχείων ασφαλείας) προκειμένου να παρέχει ισχυρές διασφαλίσεις ασφαλείας», πρόσθεσαν. «Μια τέτοια ανάλυση μπορεί να βοηθήσει στη μείωση της αβεβαιότητας σχετικά με το εάν εξακολουθούν να υπάρχουν περαιτέρω σοβαρές κρυπτογραφικές ευπάθειες στο Threema».
Συμβουλές για αποφυγή του Threema
Σε ένα άλλο ιστότοπο, η συμβουλή που δίνεται στους χρήστες του Threema από τον https://www.goincognito.co, είναι να μην υποθέτουν ποτέ ότι μια εφαρμογή είναι απολύτως ασφαλής και να βεβαιωθούν και να βεβαιωθούν ότι χρησιμοποιούν τις πιο πρόσφατες εκδόσεις. Και επισημαίνει τα προβλήματα, που είχαν εντοπιστεί.
Αξίζει να σημειωθεί ότι η ΕΥΠ ως Αρχή ασφάλειας πληροφοριών είναι αρμόδια για τη σύνταξη πολιτικών ασφάλειας και την προστασία κρατικών φορέων σε θέματα επικοινωνιών και πληροφοριών.
Υποβαθμίζουν το έγγραφο
Κυβερνητικά στελέχη επιβεβαιώνουν την ύπαρξη του εγγράφου, λέγοντας ωστόσο ότι είναι στο πλαίσιο των τακτικών ενημερώσεων που παρέχονται από την ΕΥΠ για την ασφάλεια των επικοινωνιών.
Οπως επεσήμαναν, θέλοντας να υποβαθμίσουν το θεμα, οι οδηγίες δίνονται στο πνεύμα της γενικότερης επαγρύπνησης για τις ασφαλείς επικοινωνίες.
Πηγές: Καθημερινή, ΠΟΝΤΙΚΙ