Az elmúlt időszakban bőven voltak olyan események, amelyek hatására úgy gondolnánk, az egyszerű felhasználókban, de méginkább cégek vezetőiben is felmerül a kérdés, mennyire biztonságos az a csatorna, amin kommunikál.

Főleg a Snowden-botrány által napfényre került kormányzati lehallgatások miatt kezdték el biztonsági szakemberek szorgalmazni, és megpróbálták ösztönözni a hétköznapi felhasználókat is arra, hogy jobban figyeljenek oda a saját adataik, üzeneteik kezelésére és védjék a saját kommunikációikat (telefonbeszélgetések, sms-ek, stb.) is. Legutóbb épp a Gemalto SIM-kártyagyártó botránya világított rá, mennyire sérülékenyek azok a rendszerek, amelyeken nap mint nap kommunikálunk.

Gemalto-botrány

Mint az februárban kiderült, az amerikai Nemzetbiztonsági Ügynökség (NSA) és a brit kormány kommunikációs figyelőszolgálata (GCHQ) a SIM-kártyákat gyártó Gemalto holland céget megcélozva nagy mennyiségben lopta el mobiltelefonok titkosító kulcsát, lehetővé téve ezzel, hogy észrevétlenül és bármilyen bírósági végzés nélkül hallgassák le a felhasználók kommunikációját. A Gemalto megerősítette, hogy 2010-ben és 2011-ben támadások érték a rendszerét, és valószínűnek tartják, hogy valóban az NSA és a GCHQ állt az akciók mögött, cáfolták viszont, hogy a támadók ellopták volna a SIM-kártyák titkosítási kulcsait.

Megdöbbentő eredmény

Az Electronic Frointier Foundation (EFF) - a digitális világban az alapvető szabadságjogok védelmével foglalkozó amerikai jogvédő nonprofit szervezet - nemrégiben közzé tett egy elemzést, amelyben a legszélesebb körben használt üzenetküldő alkalmazásokat - beleértve szöveges üzenetküldő, emailes, és videotelefonos appokat - vizsgálta, köztük olyan Magyarországon is népszerű alkalmazásokét is, mint például a Skype, a Viber, a WhatsApp vagy a Facebook chat. (A Secure Messaging Scorecard című elemzést állandóan frissítik, így az alkalmazásoknál történt pozitív illetve negatív fejleményeket nyomon lehet követni - a szerk.) A felmérés egyik legmegdöbbentőbb eredménye az volt, hogy a vizsgált alkalmazások töredéke felelt csak meg az EFF által vizsgált fontos biztonsági szempontoknak.

Alapvető állampolgári jog a magán és üzleti adatok védelme, ehhez képest sokszor igen könnyelműen bánunk velük. Olyan megoldásokra bízzuk bizalmas adatainkat, amelyek nem készültek fel azok biztonságos továbbítására - vélekedett Kun Szabolcs, a CryptTalk titkosító alkalmazást kifejlesztő Arenim Technologies AB vezérigazgatója lapunk kérdésére. Ebben a hozzáállásban viszont némi változás azért kezd már látszani: az elmúlt időszak botrányai élesztgetik az emberekben is az igényt a biztonságos kommunikációra - tette hozzá a szakember.

Annak ellenére, hogy a számítógépes vírusok elleni védelmet már szinte természetesnek veszi mindenki, addig ez nem így van a hang és szöveges üzenetek védelménél. Pedig, ha már üzleti titkok kikerüléséről van szó, így is lehet óriási veszteséget szenvedni. Emögött részben az húzódik, hogy a technológiai fejlődés és az adatok védelme között tátong egy legalább 15 éves szakadék, vagyis az adatvédelem nem vette fel a technológiai fejlődés sebességét.

Ez az elmaradás ugyanakkor már áthidalható például a budapesti fejlesztőközponttal működő svéd Arenim Technolgies termékével is, a CrypTalk hívástitkosítóval. Kun Szabolcs elmondása szerint a fejlesztés a legszigorúbb biztonsági követelményeknek is megfelel, hiszen olyan technológiát használ, amelyekben a világ legjelentősebb kormányzatai és katonai szervezetei is megbíznak. A Gemalto-botrányhoz kapcsolódóan a szakember rámutatott: ha beigazolódik a gyanú, és olyan SIM-kártyák kerültek forgalomba, amelyeknek titkosítási kulcsát feltörték, akkor ha a tulajdonosaik például CryptTalk segítségével indítanak és fogadnak hívásokat, beszélgetéseik lehallgathatatlanok maradnak. A vezérigazgató szerint ugyanis az Arenim Technologies, mint szolgáltató, az ügyfelekről semmilyen olyan adattal nem tud szolgálni, ami az ügyfelet "elárulhatná", hiszen ezekkel az adatokkal a cég nem rendelkezik. A titkosítás és a kommunikáció közvetlenül a hívásban résztvevő felek között történik. Mivel a titkosítási kulcshoz csakis a kommunikációban résztvevő felek férhetnek hozzá, az átvitt adatokat csak a hívásban résztvevők tudják visszafejteni, azok tartalmához harmadik fél nem férhet hozzá.

Az EFF elemzésében vizsgált ingyenes üzenetküldő alkalmazások többsége ráadásul a telefonkönyvünk adatairól másolatot készít. Ez ugyan kényelmessé teszi a kapcsolatteremtést az ismerősökkel, cserébe azonban egy harmadik személy is hozzáférést kap a partnerlistánkhoz.

Mindezt az alapítók azzal spékelik meg, hogy Svédországban jegyezték be a vállalatot, a szolgáltatást is onnan nyújtják, a svéd jogszabályi környezet által nyújtott jogbiztonsággal is erősítve a szolgáltatást. Ott ugyanis nagyon erős a magán és üzleti adat védelmének intézménye.

Ez annyit jelent, hogy egy ügyfélről csak nagyon megalapozott indokkal adnak ki információt, a hatóságoknak is a nagyon szigorú svéd törvényeknek kell eleget tenniük ahhoz, hogy bármilyen adathoz hozzáférjenek. Kun ugyanakkor azt is hangsúlyozta, hogy a szolgáltatás korlátlan használata csak addig szól, amíg az ügyfél "legális terepen mozog". Abban a pillanatban ugyanis, ha egy ügyfél súlyos törvénysértő cselekedete miatt, például terrorizmus vádjával keresi meg a hatóság a céget - mivel nem hozzáférhetőek a beszélgetések, így azokat visszafejteni sem lehet -, azonnal kizárják a rendszerből.