terça-feira, 19 de julho de 2016

Como o Signal Supera o WhatsApp na Batalha dos Aplicativos de Mensagem Segura

End to End Encription
Nos tempos recentes, os aplicativos de mensagem de texto se tornaram muito mais seguros. Em abril de 2016, o mais famoso serviço de mensagens, o WhatsApp, anunciou que iria adotar mensagens criptografadas ponto a ponto por padrão para todos os usuários, tornando virtualmente impossível para qualquer um interceptar as conversas privadas no WhatsApp, mesmo para quem trabalha para o Facebook, que é o dono do WhatsApp, ou a mais poderosa agência de espionagem do mundo, a NSA. Então, em maio de 2016, o Google anunciou um novo aplicativo de mensagens chamado Allo que também suporta mensagens criptografadas ponto a ponto.

Tornando o quadro ainda melhor do ponto de vista da privacidade, tanto o WhatsApp como o Allo, usam o amplamente respeitado protocolo de mensagens seguras desenvolvido pela Open Whisper Systems, uma instituição de São Francisco (EUA) criadora do aplicativo de mensagens Signal.

Para recapitular, existem pelo menos três diferentes aplicativos de mensagem que usam uma criptografia robusta: WhatsApp, Signal e Allo. Como alguém que se preocupa com sua privacidade pode escolher entre eles?

Neste artigo, iremos comparar o WhatsApp, Signal e o Allo sob a perspectiva da privacidade.

Enquanto os três aplicativos utilizam o mesmo protocolo de mensagens seguras, diferem-se em qual informação é encriptada e qual metadados são coletados e, o que exatamente é salvo nas nuvens - e teoricamente disponível para pelo menos o governo americano acessar e rastrear hackers.

Ao fim, iremos defender que o Signal é a melhor opção que pode ser escolhida - mesmo que essa não seja a opção que você gostaria que fosse.

Download >> Signal Private Messenger - Chrome Web Store - Google << Download
Download >> Signal Private Messenger – Apps para Android no Google Play << Download
Download >> Signal - Private Messenger na App Store - iTunes - Apple << Download

Sobre o WhatsApp

WhatsApp
Com mais de 1 bilhão de usuários, o WhatsApp é o aplicativo de mensagens mais popular do mundo. O que faz com que seja relevante a notícia de que em 2015, eles anunciaram uma parceria com a Open Whisper Systems para integrar o protocolo Signal em seu produto. A implementação foi gradual, iniciando somente na versão do Android e somente para mensagens de texto, mas em abril de 2016 o WhatsApp anunciou que estava usando o protocolo do Signal para encriptar todas as mensagens, incluindo conteúdos multimidia, chats em grupo, para todos os usuários incluindo os de iOS, por padrão.

Tudo foi implementado de tal forma, que até mesmo se um governo solicitar o conteúdo de mensagens (como aconteceu já 3 vezes no Brasil), o WhatsApp é incapaz de entregar - as mensagens são criptografadas e o próprio WhatsApp não possui as chaves.

Mas é importante ter em mente que, até mesmo com o protocolo do Signal, os servidores do WhatsApp ainda conseguem ver as mensagens que os usuários mandam. Eles não podem ler o que está dentro das mensagens, mas podem ver quem está mandando, para quem e quando. E de acordo com os termos da política de privacidade do WhatsApp, a companhia reserva o direito de gravar essas informações, também conhecidas como metadados, e entregá-las para órgãos governamentais.

O WhatsApp pode reter informações de datas e horários associados a mensagens entregues e os números de telefone envolvidos nessas mensagens, assim como qualquer outra informação que o WhatsApp pode ser legalmente compelido a coletar.
Um representante do WhatsApp disse ao Comitê de Proteção a Jornalistas que "O WhatsApp não mantem logs de transações no curso padrão do serviço prestado". Porém, a empresa não promete nada e ainda pode gravar facilmente e entregar metadados em resposta a uma solicitação governamental sem que isso fira sua política.

Quando você instala o WhatsApp pela primeira vez, você é encorajado (não obrigado), a compartilhar a sua agenda de contatos do telefone. Isso ajuda ao WhatsApp a te conectar com outros usuários de forma rápida e fácil. Um representante do WhatsApp confirmou que a companhia retém informações das listas de contato, o que significa que o WhatsApp pode entregar sua lista de contatos também sob uma solicitação judicial.

Por fim, os backups online são uma grande falha de segurança no WhatsApp. Mensagens criptografadas ponto a ponto simplesmente refere-se a como as mensagens são encriptadas enquanto enviadas de um usuário para outro, não como são gravadas em seu telefone. Uma vez que as mensagens estejam em seu telefone, eles confiam da segurança (por ventura criptografia) de seu telefone para fazer a segurança (por isso que é importante usar criptografia e uma senha forte nos telefones). Se você escolhe gravar um backup nas nuvens, em sua conta do Google se você for usuário Android ou no iCloud se for usuário de iPhone, então você está confiando suas mensagens aos servidores de armazenamento nas nuvens.

Por padrão, o WhatsApp grava as mensagens de um jeito que permite que sejam backapeadas paras as nuvens. O WhatsApp permite que você remova as conversas desses servidores de backup nas nuvens se você desejar, o que é recomendado que seja feito se você usa o WhatsApp para discutir assuntos confidenciais.

Sobre o Allo

Snowden Sobre Allo
Snowden Sobre Allo
Em primeiro lugar, devemos entender que o Google está habilitado a acessar as suas mensagens a menos que você utilize o protocolo Signal, ativando o mode incógnito, que será mais seguro mas com menos opções e funcionalidades.

AlloEstamos em 2016, nós deveríamos estar vivenciando um futuro onde as conversas por celular sejam privadas, mas a falta de criptografia por padrão no Allo significa um retrocesso do aplicativo. O Google ao lançar um aplicativo de mensagens sem criptografia ponto a ponto por padrão é como a Tesla anunciar que você só pode ativar o sistemas de aribags se desabilitar o modo de entretenimento. Assim como Snowden declarou, os padrões do Allo são inseguros e perigosos.

Por outro lado,  o Google está tentando lançar uma nova marca, aplicando técnicas de aprendizado de máquina que acessa diretamente suas mensagens. Allo está ligado ao sistema de inteligência artificial do Google, A  de Google Assistant, que lê suas mensagens e sugere respostas, de acordo com o que você mesmo escreveu. Por exemplo, o Google consegue saber se você e seu amigo estão procurando por um restaurante e então sugerir um restaurante a fazer até mesmo uma reserva sem sair do aplicativo.

A inteligencia artificial do Google então, impede mensagens criptografadas ponto a ponto, uma vez que ela é alimentada pelo conteúdo de suas mensagens. Um representante do Google informou que o Google não está pronto para informar onde e como as mensagens serão armazenadas até o Allo estiver totalmente pronto.

A tecnologia por trás do Allo parece bem interessante, mas está indo para a direção errada com relação a privacidade. Se privacidade é importante para você, você deveria usar aplicativos com mensagens criptografadas ponto a ponto de forma padrão.

Junto com o Allo, o Google também está desenvolvendo um novo aplicativo de chamadas por video chamado Duo. Diferente do Allo, todas as chamadas de video serão encriptadas ponto a ponto por padrão. O Google não está liberando maiores detalhes de como a criptografia irá funcionar (como o usuário poderá atestar a criptografia, quais metadados coletados etc).

Allo e Duo são cobertos pela Política de Privacidade do Google e infelizmente essa política não diz muito a respeito da privacidade especificamente para estes produtos.


E finalmente... Sobre o Signal:

Signal
A primeira coisa que diferencia o Signal do WhatsApp e do Allo é que ele é open source. O código do aplicativo é abertamente disponível para que especialistas inspecionem o código em busca de falhas ou backdoors em sua segurança. Outra coisa que torna o Signal único é seu modelo de negócio: Não há um modelo de negócio. Em alto contraste com o Facebook ou o Google que fazem dinheiro vendendo propagandas, a Open Whisper Systems é inteiramente suportada por doações e trabalhos voluntários. Sem propagandas, a companhia grava o mínimo possível de informações dos dados de seus usuários.

Assim como o WhatsApp, todas as mensagens enviadas pelo Signal são criptografadas ponto a ponto e a equipe da Open Whisper Systems não possuem as chaves para descriptografá-las. E com relação aos metadados e backups nas nuvens?

A política de privacidade do Signal é curta e direta. Diferente do WhatsApp, o Signal não grava nenhum metadado das mensagens. O criptoanalista e fundador da Open Whisper Systems, Moxie Marlinspike, diz que a única informação de metadado guardada pelo aplicativo é a última vez que o usuário se conectou ao servidor e a informação só fica guardada ṕor um só dia (24hrs).

Os usuários do Signal precisam compartilhar sua lista de contatos com o aplicativo para achar outros usuários. No WhatsApp, isso é opcional mas recomendado. Mas os Signal não manda sua lista de contatos diretamente para o servidor. Os invés disso, ele usa uma hash de criptografia para esconder os números antes de enviá-los para o servidor, escondendo assim os números. O servidor responde com uma lista de contatos que você tem em comum e então imediatamente descarta as informações de acordo com Moxie.

Se você fizer um backup de seu telefone no Google ou no iCloud, o Signal não envia nenhuma de suas mensagens nesse backup. A falha de segurança de backup do WhatsApp, simplesmente não existe no Signal e não há riscos de acidentalmente entregar suas mensagens a nenhuma outra empresa.

Frederic Jacobs about Signal

E é claro que isso não significa que não existe um jeito de fazer backup de seu Signal nas nuvens - funcionalidade que muitos usuários consideram útil. Se você perder seu telefone ou formatá-lo, você simplesmente perderia todo seu histórico. A versão em Android do Signal permite os usuários localmente exportarem e importarem as informações do aplicativo. Porém, a versão no iOS não possui essa funcionalidade.

Basicamente, se um governo solicita para a Open Whisper Systems entregar todo o conteúdo ou metadado de um usuário do Signal, não há nada para ser entregue! E o governos somente pode ter alguma sorte se requisitar o backup do Signal no para o Google ou a Apple.

De uma perspectiva de privacidade, o Signal é claramente o vencedor, mas isso não significa que não tenha seus pontos negativos.

Comparado com o WhatsApp (com 1 bilhão de usuários) a base de usuários do Sinal é minúscula. Moxie diz que eles não publicam estatísticas de quantos usuários do Sinal existem. Mas o Google Play guarda relatórios de quantas vezes o signal foi baixado e, no caso, o número está entre 1 e 5 milhões de vezes. O iPhone App Store não publica essas informações.

Isso significa que se você instalar o Signal, a chance de poder se comunicar com amigos, família e colegas de forma altamente segura, dependerá da sua capacidade de convencê-los a instalar o aplicativo também. Se você instalar o WhatsApp, as chances de a maior parte dos seus contatos já estarem utilizando ele são muito grandes e você poderá iniciar conversas criptografadas com um mínimo de esforço.

O Signal também tem poucas funcionalidades e seu desenvolvimento é mais lento do que de seus concorrentes. Por exemplo, uma versão do Signal para desktop só foi liberada no final de 2015 e somente para usuários de Android. O suporte para iPhone ainda não foi desenvolvido e não está claro o quando será liberado. O WhatsApp tem uma versão desktop não importa qual tipo de telefone você utilize.

Moxi diz que a Open Whisper System tem somente 3 funcionários full time. Dois desenvolvedores e uma pessoa para suporte aos usuários e gerenciamento de projetos. Com recursos incrivelmente limitados, é surpreendente o que eles conseguem entregar.

Texto traduzido por Téchne Digitus. Extraído de https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp/


Download >> Signal Private Messenger - Chrome Web Store - Google << Download
Download >> Signal Private Messenger – Apps para Android no Google Play << Download
Download >> Signal - Private Messenger na App Store - iTunes - Apple << Download

Dica Adicional: Saindo do Telegram

Para deletar sua conta do Telegram de forma definitiva, basta acessar o link: https://my.telegram.org/deactivate e seguir as instruções.

Delete Telegram Account