Transcription

Cześć, w tym odcinku opowiem o komunikatorze Signal. Przedstawię tutaj swoją perspektywę dlaczego uważam, że warto rozważyć używanie akurat tego szyfrowanego komunikatora. Opowiem o jego plusach i minusach, a także spróbuję wytłumaczyć, jak działają mniej znane funkcje tego programu. Pokazuję tutaj perspektywę użytkownika iPhone'a, wszystkie slajdy pochodzą więc z tego telefonu. Dodatkowo momentami stosuję uproszczenia tak, żeby był zrozumiały dla każdego. Możesz sobie zadawać pytanie, czy ja potrzebuję szyfrowanego komunikatora? Przecież nie jestem oszustem, nie mam nic do ukrycia. Powodów może być kilka. Po pierwsze mamy prawo do prywatności. Są elementy naszego życia, którymi nie chcemy się dzielić. Gdyby tak nie było, w mieszkaniach nie mielibyśmy firanek, zasłon, żaluzji. A jednak nie chcemy, aby inni widzieli niektóre fragmenty naszego życia. Intymne wiadomości z dziewczyną, chłopakiem, mężem czy żoną, według mnie powinny być prywatne. Drugi powód to dane. Coraz większą rolę w naszym życiu odgrywają algorytmy. To one decydują, jakie posty się nam wyświetlają, jakie filmy na YouTube widzimy, jakie reklamy zostaną nam pokazane. Te algorytmy potrzebują dany. Im bardziej dokładne one są, tym więcej reklamodawcy są w stanie za nie zapłacić. Możliwość procesowania naszych wiadomości to istna żyła złota. Jeśli ktoś ma dostęp do naszych wiadomości, to wie o nas wszystko. Wie, co chcemy kupić, o czym marzymy, o czym myślimy. To dlatego szyfrowany komunikator jest tak ważny. Raczej nie chcesz, aby ktoś miał do tych danych dostęp. Apple jakiś czas temu wprowadziło specjalną zakładkę w swoim sklepie, która dość jasno pokazuje, jakie i ile informacji zbierają konkretne, instalowane przez nas programy. Warto sprawdzić aplikacje, których używamy na co dzień, zwłaszcza te bezpłatne. I tak, wiem, że na rynku jest wiele komunikatorów. Dlaczego zatem Signal, a nie jakiś inny? Według mnie, aby komunikator miał sens, to musi być popularny. Po co Ci aplikacja, której nikt oprócz Ciebie nie używa? Według danych Google Play, Signal ma ponad 100 milionów pobren na samych tylko telefonach z systemem Android. Oczywiście nadal daleko mu do Messengera czy WhatsAppa, ale nie jest to już niszowy komunikator. Signal stara się tworzyć aplikacje tak, aby zbierać i przechowywać jak najmniej informacji o użytkownika. I robi to specjalnie. Nie oszukujmy się, komunikatory to okomy kąsek nie tylko dla reklamodawców, ale dla agencji wywiadowczych dużych krajów. Jeśli serwer producenta pośredniczy wymianie wiadomości, to wystarczy uzyskać nieautoryzowany dostęp do serwerów komunikatora i wtedy widzimy wszystko. Signal zdaje sobie sprawę z tego ryzyka. Specjalnie nie zapisuje więc żadnych niepotrzebnych danych na swoich serwerach. Jeśli nie ma się danych, albo są one zaszyfrowane, to ich kradzież nie ma większego sensu, bo jednak nie można ich odczytać. Albo ich odszyfrowanie jest po prostu finansowo nieopłacalne. I wiadomo na papierze można napisać wszystko. Firma może mówić, że robi A, a tak naprawdę robi B. I nie bardzo mamy jak to sprawdzić. Musimy im ufać na słowo, bo przecież nie sprawdzimy ich serwerów. Dlatego z naszej perspektywy ciekawe są dokumenty sądowe, które Signal publikuje na swojej stronie. Sąd może nakazać organizacji udostępnienie pewnych informacji. I tutaj kłamstwo ma poważne konsekwencje prawne. Nikt nie będzie ryzykował od siatki, aby chronić przestępców. I co udostępnia Signal? Date, kiedy konto zostało stworzone oraz date, kiedy konto ostatni raz łączyło się z ich serwerami. W Signalu nie ma żadnych reklam czy skryptów śledzących, a całość jest darmowa. Jak to możliwe? Signal jest organizacją non-profit, utrzymywaną wyłącznie przez ludzi, którzy używają i cenią aplikacje poprzez dobrowolne dotacje. To ważne, bo celem każdej firmy jest zarabianie. Firmy nie robią niczego charytatywnie, jeśli nie mają w tym zysku. Signal nie ma nad sobą akcjonariuszy, którzy oczekują na zwrot z inwestycji. Nie muszą więc zarabiać na aplikacji i to spora różnica pomiędzy Signalem a konkurencją. Nie musisz mi ufać w tym temacie, bo ja nie jestem ekspertem od kryptografii. Ale Signala poleca wiele osób, chociażby Edward Snowden, ale także znani w Polsce eksperci bezpieczeństwa. Do używania Signala przyznaje się na przykład Adam z zaufanej trzeciej strony. Signal na swojej stronie chwali Niebezpiecznik, czyli jeden z największych polskich portali o bezpieczeństwie. A to tylko trzy przykłady. Po tym webinarze gorąco zachęcam cię do samodzielnego zweryfikowania podanych przeze mnie tutaj informacji. Warto weryfikować wiadomości, zwłaszcza w dzisiejszych czasach. Ale to nie jest tak, że Signal jest idealny i nie ma żadnych minusów. Jest kilka elementów, które z perspektywy użytkowników mogą być po prostu niezrozumiałe albo nietypowe. Po pierwsze, aby wykorzystywać Signala trzeba mieć względnie nowy telefon z Androidem lub iOSem, więc stare Nokia tutaj niestety odpadają. Istnieje aplikacja na komputery, ale do swojego działania wymaga ona połączenia z telefonem, więc telefon jest wymagany. Z mojej perspektywy to nie jest minus, ale dlaczego o tym opowiem w dalszej części filmu. Według niektórych największym minusem Signala jest jednak to, że wymaga podania numeru telefonu podczas rejestracji. A więc jeśli chcesz korzystać z tej aplikacji musisz posiadać aktywną kartę SIM. Podczas rejestracji na podany przez nas numer przychodzi kod, aby potwierdzić, że to rzeczywiście my jesteśmy właścicielem tego numeru. I tak wiem, że to brzmi źle. Prywatny komunikator, który wymaga numeru telefonu? No cóż, to pewien kompromis twórców. Numer ogranicza liczbę oszustów, bo jeden numer to tylko jedno konto. W praktyce możesz skonfigurować aplikację tak, że nikt nie pozna twojego numeru, ale o tym będzie później. Ostatni z minusów, który przechodzi mi do głowy to fakt, że aplikacja nie pozwala na używanie wielu kont na jednym telefonie. Przeglądarki posiadają różne profile, gdzie możemy się przełączać pomiędzy stworzonymi przez nas personami. Tutaj niestety nie ma takiej możliwości. Jeśli chcesz mieć drugie konto, no to cóż, potrzebujesz drugiego telefonu. W praktyce to nie jest takie problematyczne, zwłaszcza po wprowadzeniu tzw. nazw użytkowników, ale o tym później. Jesteśmy przyzwyczajeni do wysłania wiadomości przez różne komunikatory. Wiele osób myśli, że telefony magicznie łączą się ze sobą i komunikują się ze sobą bezpośrednio, bez żadnych pośredników. W praktyce komunikacja w internecie wygląda bardziej tak. Po drodze przekazywane przez nas dane podróżują przez wiele serwerów i routerów pośredniczących tej transmisji. Z perspektywy zwykłego kowalskiego nie ma to większego znaczenia. Istotne jest to, że wszystko działa. Problem jednak w tym, że my nie wiemy, jakie zamiary mają serwery znajdujące się po drodze. Wystarczy, aby tylko jeden z tych węzłów miał złe zamiary. Jeśli nasza komunikacja nie jest szyfrowana, to widzi wtedy wszystko to, co wysyłamy i wszystko to, co otrzymujemy. I właśnie tego chcemy uniknąć. Nie mamy wpływu na to, jakie serwery są po drodze. Dlatego stosujemy rozwiązania, które sprawiają, że nie ma znaczenia, czy ktoś po drodze podsłuchuje, czy też nie. Bo nawet jeśli to robi, dane, które w ten sposób pozyska są bezużyteczne. To dlatego signal jest komunikatorem szyfrowanym metodą end-to-end. Na język polski możemy to przetłumaczyć jako szyfrowanie od końca do końca. W praktyce oznacza to, że tylko osoby komunikujące się ze sobą mogą odczytać wiadomość w formie jawnej, czyli czytelnej dla człowieka. Potencjalni podsłuchiwacze widzą natomiast zaszyfrowany ciąg bajtów. Odczytanie zawartości bez odpowiednich kluczy jest praktycznie niemożliwe albo bardzo kosztowne i czasochłonne. To, co w przypadku signala jest ważne, to fakt, że każda wiadomość, każde połączenie jest szyfrowane metodą end-to-end i nie musisz niczego aktywować. Nie da się też tej opcji wyłączyć. Nie musisz niczego ustawiać. To duża różnica, bo inne komunikatory mogą mieć taką opcję, ale ona nie działa, dopóki np. obie osoby biorące udział w tej komunikacji jej nie ustawią. To bez sens. Wiadomo, że wtedy mało kto to po prostu uruchomi. Mam nadzieję, że ten webinar przekona Cię, że warto zainstalować ten komunikator. Instalacja wygląda tak samo jak w przypadku innych aplikacji na telefony. Warto jednak zwrócić uwagę na to, że instalujemy prawdziwą aplikację Signal. Będzie ona miała wiele tysięcy ocen i wiele milionów pobrań. Linki znajdziecie też na oficjalnej stronie producenta, czyli na signal.org. Wspominam o tym, bo od czasu do czasu zdarza się, że oszuści tworzą aplikacje, które próbują podszyć się pod ten komunikator. Warto więc być czujnym, aby nie popełnić błędu już w tym pierwszym, no dość ważnym kroku. Po instalacji pora na uprawnienia. Ponieważ to komunikator prosi Cię o możliwość wyświetlania powiadomień. To raczej dość standardowa funkcja, że chcemy widzieć komunikat, gdy pojawi się jakaś nowa wiadomość. Signal prosi też o dostęp do kontaktów. Nie musisz mu na to pozwalać. Jednak celem komunikatora jest przecież komunikacja. Dzięki dostępowi do kontaktów Signal potrafi odnaleźć osoby, które znasz, a które tak samo jak Ty używają tej aplikacji. I rozumiem, że możesz mieć obawy przed udostępnianiem tak cennego zasobu, jakim są swoje kontakty. Ja też mam przed tym opory. Zwłaszcza, że w przeszłości wiele firm pozyskiwało w ten sposób dane na temat naszych znajomych. Signal jednak opracował specjalny proces prywatnego odkrywania kontaktów. Dzięki temu serwer może sprawdzić, czy kontakty, które do niego prześlesz, używają Signala, ale równocześnie Fundacja Signal nie ma dostępu do tak przesłanych numerów. Od strony technicznej wykorzystywane są tutaj tzw. enklawy SGX. No i nie będę ukrywał, że kompletnie nie znam się na tej technologii. Z tego, co jednak udało mi się wyczytać, to taką enklawę można porównać do zabezpieczonej skrytki, czyli umieszczamy program w specjalnie zabezpieczonej części procesora. Nikt nie ma dostępu do tego kodu ani do danych, na których ten kod operuje. Enklawa wykonuje tylko wcześniej zadeklarowane operacje. Możemy więc przesłać do niej zaszyfrowane dane, czyli te nasze kontakty, które ta enklawa odszyfrowuje, porównuje z innymi kontaktami i przesyła nam zaszyfrowaną odpowiedź. Jeśli nic się po drodze nie zepsuje, to nikt nie wie, co tam w tej skrytce się działo i nikt nie ma dostępu do tych danych. Dochodzi tutaj jeszcze cała seria skomplikowanych problemów, które trzeba wziąć pod uwagę, np. to, że nawet jeśli pamięć RAM jest zaszyfrowana, to system operacyjny serwera może dowiedzieć się dużo tylko na podstawie obserwacji wzorców dostępu do pamięci. To już wyższa forma magii, zainteresowanych odsyłam do bloga Signala. Ponieważ to transmisja online, zachęcam Cię do zadawania pytań na czacie. Spróbuję odpowiedzieć na nie pod sam koniec tego nagrania. Dalej musimy podać nasz numer telefonu, na który SMS-em zostanie przesłany kod weryfikacyjny. Tak jak już mówiłem, aby założyć konto musimy mieć aktywny numer. Pamiętaj, że jeśli komuś udostępnisz ten kod z SMS-a, to może on wtedy założyć konto w Signalu na Twoje dane, czyli na Twój numer telefonu. Jeśli chcesz uzużywać Signala do komunikacji ze znajomymi, to podanie numeru telefonu nie powinno być jakimś wielkim problemem. Jeśli jednak nie ufasz tej usłudze, to możesz przecież kupić np. nową kartę SIM z nowym numerem telefonu, który nie będzie tak łatwy do powiązania z Twoją osobą. Niektóre sieci telefonii komórkowej pozwalają na wykopienie dodatkowego tzw. ekstra numeru do naszego numeru telefonu. Wtedy na jednej fizycznej karcie SIM mamy wiele wirtualnych numerów telefonów. Istnieje też cała masa firm pozwalających na wykupienie wirtualnych numerów. Wtedy SMS odbiera się po prostu w takiej specjalnej aplikacji na telefon. Pomijam tutaj nie do końca legalne opcje, takie jak np. kupno zarejestrowanej karty SIM na czyjeś dane, czy po prostu kupno karty SIM w innym kraju, gdzie rejestracja kart SIM nie jest jeszcze wymagana. Ciężko jednoznacznie określić, dlaczego akurat sygnał upiera się przy wymogu podawania numeru telefonu podczas rejestracji. Jeden z powodów, który udało mi się znaleźć pomiędzy słowami, to chęć ukrócenia spamu. I fakt, w ten sposób nie da się tworzyć wirtualnych kont tak jak np. na Gmailu czy Facebooku, no bo każde jedno nowe konto na sygnalu jest powiązane z jakimś jednym konkretnym numerem telefonu. Co ciekawe, ten element sprawia też, że utrzymanie sygnala jest bardzo drogie. Według danych z zeszłego roku, na same tylko SMS-y aktywacyjne, sygnał wydał ponad 6 milionów dolarów rocznie. Sporo, co nie? Po aktywacji w aplikacji czeka na nas ważny wybór, który można potem jeszcze zmienić w ustawienia. Musimy zdecydować, czy można nas znaleźć po numerze telefonu. Jeśli na to zezwolimy, to wtedy osoby, które znają nasz numer, zobaczą, że korzystamy z sygnala i mogą po prostu rozpocząć z nami czat. Jeśli na to nie pozwolimy, no to nikt nie zobaczy, że korzystasz z sygnala. Gdy ktoś spróbuje wyszukać Twój numer w wyszukiwarce w sygnalu, no to otrzyma błąd, że kontakt nie jest użytkowy. Możesz teraz pomyśleć, może ta opcja jest bezsensowna, bo skoro nie można Cię znaleźć, to jak masz pisać z innymi? Ale spokojnie, zaraz wszystko stanie się jasne. Sygnał pozwala na ustawienie tak zwanego profilu. Możemy zmienić zdjęcie, podać imię i nazwisko oraz informacje o nas. Pamiętaj jednak, że te dane będą widoczne dla osób, z którymi rozmawiasz. Podawanie tutaj swojego imienia czy nazwiska niekoniecznie dla osób, którego imienia czy nazwiska niekoniecznie dla wszystkich będzie dobrym pomysłem. Wprawdzie wiadomości te zobaczą dopiero kontakty sygnal, czyli osoby, którym już zaufałeś, zaufałaś, poprzez na przykład rozpoczęcie konwersacji, bądź zaakceptowanie prośby o kontakt. Jeśli jednak zależy Ci na pewnej anonimowości, być może lepszym pomysłem będzie po prostu podanie tutaj bardziej generycznych danych niż na przykład Twoje nazwisko. Dalej pewna nowość, która pojawiła się względnie niedawno, a była bardzo wyczekiwana przez użytkowników tej aplikacji, chodzi o możliwość ustawiania nazwy użytkownika. To właśnie dzięki nazwie użytkownika możemy prowadzić rozmowy z innymi bez podawania im naszego numeru telefonu. Czyli możesz ukryć swój numer telefonu, dzięki temu nie da się znaleźć Ciebie po tym numerze w sygnalu, a równocześnie możesz rozmawiać z innymi użytkownikami, podając im po prostu nazwę użytkownika. A ponieważ nazwę wymyśla się samodzielnie, to nie musi być ona powiązana z nami, jeśli wybierzemy na przykład jakiś losowy ciąg znaków. Warto tutaj wspomnieć, że nazwa użytkownika zawsze po kropce zawiera ciąg liczb. Może być więc kilku Adamów, Kacprów, Piotrów i każda z tych nazw użytkownika będzie inna, bo będzie się kończyć jakąś inną liczbą. Warto więc zwrócić uwagę, czy podczas inicjalizowania rozmowy podaliśmy odpowiedni, prawidłowy identyfikator. Ponieważ podczas przepisywania łatwo o pomyłkę, to sygnał pozwala na wygenerowanie kodu QR. Wystarczy go zeskanować i nie trzeba wtedy przepisywać nazwę użytkownika ręcznie przy pomocy klawiatury. Gdy ktoś próbuje się z Tobą skontaktować po raz pierwszy, to wyświetli Ci się tak zwana prośba o kontakt. Ta opcja pozwala Ci zablokować, zgłosić lub zaakceptować wiadomość od nowego kontaktu. Przed akceptacją widzisz imię i zdjęcie osoby, która chce z Tobą pisać. Pamiętaj, że jeśli zaakceptujesz taką prośbę, to wtedy osoba ta zobaczy Twoje imię i zdjęcie profilowe. Jest to więc taki prosty filtr antyspamowy, który ma ograniczyć spam od nieznanych numerów. Wszystkie rozmowy w sygnalu są automatycznie szyfrowane, to już wiesz. Ale musisz sprawdzić, czy osoba po drugiej stronie, z którą rozmawiasz jest tą, za którą rzeczywiście się podaje. Konto w sygnalu tworzy się na podstawie numeru telefonu. Hipotetycznie Twój znajomy może więc zgubić kartę SIM. Jeśli ktoś ją znajdzie i zna kod PIN do tej karty, to może wtedy zarejestrować konto wykorzystując ten numer telefonu. A Ty tego po prostu nie zauważasz. Sygnal stara się więc rozwiązać ten problem wykorzystując tak zwany numer bezpieczeństwa. Każda rozmowa 1 na 1 posiada unikalny numer bezpieczeństwa, który możesz sprawdzić w menu. To po prostu taki ciąg cyfr oraz kod QR. Jeśli więc chcesz zachować najwyższe standardy bezpieczeństwa dla bardzo wrażliwej komunikacji, to przed rozpoczęciem rozmowy warto zweryfikować właśnie ten numer. Najprostszym sposobem jest zeskanowanie kodu QR kontaktu lub porównanie po prostu tych cyfr. Najlepiej osobiście. Jeśli Wasze numery bezpieczeństwa są identyczne, to dopiero wtedy masz pewność, że komunikujesz się z właściwą osobą. Jeśli porównałeś numer bezpieczeństwa, to możesz wtedy oznaczyć taką rozmowę jako zweryfikowaną. Tak wygląda oznakowanie tego jako zweryfikowane. Gdy to zrobisz, wtedy w nagłówku rozmowy obok nazwy kontaktu pojawi się taki ptaszek. Pewno zastanawiasz się, ale po co to robić? Co to tak naprawdę daje? No cóż, sygnał powiadomi Cię o zmianie numeru bezpieczeństwa, wyświetlając odpowiedni komunikat. Zazwyczaj oznacza to po prostu, że Twój znajomy, znajoma po prostu zmienił telefon na nowy i ponownie zainstalował sygnała. Jednak może to też oznaczać potencjalny atak, gdzie ktoś próbuje potrzyć się pod Twój kontakt. Załóżmy na moment, że jesteś politykiem i posiadasz dostęp do tajnych dokumentów. Wtedy może się opłacać wyrobić duplikat karty SIM Twojego bliskiego znajomego. Potencjalny atakujący może się wtedy ponownie zarejestrować w sygnalu i spróbować do Ciebie pisać. Ale ponieważ zainstalował sygnał na nowym telefonie, no to wtedy zmienił się jego numer bezpieczeństwa. Jeśli zależy Cię więc na maksymalnym bezpieczeństwie lub jesteś osobą na eksponowanym stanowisku, to warto sprawdzić, oczywiście innym kanałem komunikacji, dlaczego ten numer bezpieczeństwa się zmienił. Dopóki się tego nie dowiesz, dlaczego tak się stało, po prostu nie pisz z osobą po drugiej stronie, bo nie masz pewności, czy to aby na pewno ta sama osoba. Zazwyczaj jednak ten komunikat wyświetla się po prostu, gdy użytkownik kupił nowy telefon i instaluje sygnała na nowo na nowym telefonie. Jeśli wybierze wtedy opcję zarejestruj bez przenoszenia, no to wtedy numer bezpieczeństwa się po prostu zmieni, bo z perspektywy sygnala to zupełnie nowy telefon, nowe urządzenie. Jeśli wybierze natomiast opcję przenieść, to wtedy numer bezpieczeństwa nie powinien się zmienić, bo wtedy wykonywana jest kopia 1 do 1 ze starego telefonu. Tą informację wydaje się potwierdzać ten tweet sprzed kilku lat, który niestety teraz jest już usunięty. W dokumentacji sygnala widnieje jedynie bardzo ogólna informacja, że powiadomienie dotyczące numeru bezpieczeństwa jest najczęściej wyświetlane, gdy kontakt zmienia telefon na nowy lub ponownie instaluje sygnał, ale te działania nie zawsze powodują zmianę numeru bezpieczeństwa. W zależności od konfiguracji sygnała, tak jak każdy inny komunikator na rynku może informować osobę po drugiej stronie, to jednocześnie tworzysz wiadomość, którą chcesz jej wysłać. W interfejsie graficznym jest to po prostu sygnalizowane przez takie trzy migające kropki. Dodatkowo sygnał może też wyświetlać potwierdzenie, gdy tylko osoba, do której wysłałeś wiadomość, ją odczytała. Jest to również sygnalizowane specjalną grafiką. Nie każdy chce, aby druga osoba wiedziała, że akurat odczytaliśmy wiadomość. Obie te funkcje możesz wyłączyć w ustawienia. Przy takiej konfiguracji sygnał zaczyna trochę przypominać zwykłego maila. Nie wiadomo, czy odczytałeś, odczytałaś wiadomość, nie wiadomo też, czy coś piszesz. Niektórzy wolą właśnie takie asynchroniczne podejście do komunikacji, gdzie nie zachodzi ona w czasie rzeczywistym. Gdy do sygnala wkleisz adres strony internetowej, to zazwyczaj pojawi się obok niej obrazek oraz tytuł tej strony. Taki link wygląda dużo lepiej, ale opcja ta wpływa w pewien sposób na prywatność. Dlaczego? Zastanówmy się, jak ona działa. Gdy wklejasz link, to aplikacja w tle wysyła żądanie HTTP pod ten adres. Robi to, bo chce pobrać tytuł i obrazek tej witryny. Musi więc pobrać tę stronę i ją przeanalizować, aby wyciągnąć tę informację, ale robi to wykorzystując twój adres IP, czyli upraszczając. Można powiedzieć, że wklejając adres w sygnalu, tak jakby otwierasz tę stronę w wirtualnej przeglądarce na telefonie. Tak wygląda to z perspektywy serwera. Widać tutaj, że gdy modyfikowałem link w wiadomości sygnal, to sygnał komunikował się wtedy z moim serwerem. Jeśli twój telefon komunikuje się z jakimś zewnętrznym serwerem, no to ten serwer widzi twój adres IP. Jeśli więc dzielisz się jakimiś linkami ze znajomymi, to warto być świadomym, że twój adres IP pojawia się wtedy w logach strony. Sama znajomość adresu IP jeszcze niewiele mówi, no bo nie istnieje jakaś prosta metoda połączenia adresu IP z konkretną osobą. Jeśli jednak nie chcesz zostawiać śladów wklejając linki w tym komunikatorze, to możesz wyłączyć podgląd w ustawieniach czatów. Wtedy ten link wyświetli się w czasie bez obrazka i tytułu, a sygnał nie wyśle żądania pod taki adres. Ale sygnał to nie tylko wiadomości 1 na 1, ale także rozmowy grupowe. Sygnał nie wie w jakich grupach jesteś, nie wie jakie są ich nazwy. Jednak bezpieczeństwo grup zależy tak naprawdę od bezpieczeństwa jej uczestników. Wiadomości w grupie są szyfrowane podobnie jak zwykłe wiadomości 1 na 1. To oznacza, że wiadomość zobaczą tylko członkowie grupy. Jednak sygnał jak inne bezpieczne komunikatory tak naprawdę chroni tylko komunikację w tranzycie, czyli sprawia, że nawet jak ktoś podsłuchuje, to nie dowie się co przesyłamy. Jeżeli jednak ktoś przejmie kontrolę nad Twoim telefonem, no to wtedy będzie miał dostęp do tych wiadomości, bo one na Twoim urządzeniu są odszyfrowane, przecież musimy je czytać. Jeśli więc na przykład telefon zostanie zaatakowany systemem podobnym do Pegasusa, no to wtedy takie wiadomości da się odczytać, bo wtedy atakujący uzyskuje dostęp do Twojego telefonu. Ale umówmy się, nikt nie stosuje tak zaawansowanych i drogich systemów na zwykłych kowalskich. W takich przypadkach im więcej uczestników, tym po prostu trudniej zachować bezpieczeństwo, bo grupa na sygnalu jest tak silna jak jej najsłabszy uczestnik. Nie wiesz bowiem, czy ktoś z grupy nie zrobi zrzutu ekranu wiadomości i po prostu nie podzieli się tą wiadomością z innymi. Na takim zrzucie przecież wiadomość jest już odszyfrowana. Grupy mają więc swoje minusy, ale to świetne rozwiązanie do rozmów z wieloma osobami naraz. Grupa ma swoją nazwę i może mieć swoją grafikę. Podczas tworzenia możemy też ustawić tak zwane znikające wiadomości. Gdy ta opcja jest włączona, to wiadomość zniknie po upływie ustawionego czasu. Warto jednak, abyś dokładnie zrozumiał, jak ta funkcja działa. Ta opcja nie daje ci żadnej gwarancji, zwłaszcza jeśli osoby, z którymi rozmawiasz, nie są do ciebie przyjaźnie nastawione. Jeśli jednak w grupie jest jakaś osoba, która nie jest do ciebie przyjaźnie nastawiona, no to może przecież zrobić zdjęcie ekranu, zanim taka wiadomość zostanie usunięta. Ta funkcja chroni cię w nieco inny sposób. Zakładamy, że ktoś może uzyskać nieautoryzowany dostęp do naszego telefonu, a tym samym do wiadomości, które się na nim znajdują. Chcemy więc zminimalizować liczbę informacji, które znajdują się w naszym telefonie. Czyli rozmawiasz z kimś o czymś bardzo tajnym. Po jednym dniu wiadomości znikają, no bo tak ustawiłeś sygnala. Jeśli teraz ktoś ukradnie ci telefon i zna do niego kod, to nie zobaczy tych wiadomości, bo ich tam po prostu nie ma. One zostały automatycznie usunięte. Oczywiście zakładamy tutaj, że ta funkcja sygnala działa prawidłowo i wiadomości usuniętych w ten sposób nie da się odtworzyć w jakiś inny sposób. Dodatkowo w niektórych krajach, gdy przekraczasz ich granicę, to służba graniczna może ci po prostu poprosić o odblokowanie telefonu. No i wtedy będą mogli odczytać twoje wiadomości. A jeśli one automatycznie po prostu znikają, no to cóż, mają wtedy mniej do czytania. Znikające wiadomości są tutaj oznaczane osobną ikonką. W ogóle na stronie dokumentacji jest taka pełna lista ikonek. Wraz z ich wyjaśnieniami warto zapoznać się z tą listą. A więc wiadomości mogą znikać same, gdy ustawimy odpowiednią opcję. Ale możemy też usuwać konkretne wiadomości. Wystarczy wiadomość nieco dłużej przytrzymać palcem, wtedy pojawia się specjalne menu. Jedną z dostępnych tutaj opcji jest opcja Usuń. Wiadomość możemy usunąć z naszego urządzenia, ale możemy także usunąć ją wszędzie. Czyli teoretycznie usunąć tą wiadomość u wszystkich osób z danej grupy. Ta opcja jest możliwa przez pierwsze 24 godziny od wysłania takiej wiadomości. Gdy skorzystamy z tej opcji, to wtedy u innych osób z grupy pojawi się taki oto prosty komunikat, że ta wiadomość została usunięta. Jednak ponownie pamiętaj, ktoś mógł już wcześniej zrobić zrzut ekranu tej wiadomości. Poza tym to nie jest jakaś magiczna opcja, że klikasz i nagle u wszystkich osób z grupy ta wiadomość magicznie znika. No nie. Signal musi poinformować uczestników grupy, że mają usunąć tą konkretną wiadomość. Jeśli więc na przykład twój znajomy ma wyłączony internet na telefonie, to u niego ta wiadomość nie zniknie, dopóki ponownie nie uruchomi internetu na telefonie. Poza tym signal pozwala na wykonywanie kopii zapasowej. Jeśli taka kopia została wykonana przed twoją próbą usunięcia, no to cóż, ta wiadomość w takiej kopii dalej pozostanie. Krótka przerwa na autopromocję. Jeśli podoba ci się mój styl przekazywania wiedzy, to sprawdź moje płatne materiały edukacyjne na stronie sklep.szurek.tv. Znajdziesz tam zarówno mniej techniczne kursy, dzięki którym dowiesz się jak podnieść swoje bezpieczeństwo na co dzień, jak i takie bardziej techniczne, dzięki którym podszkolisz się na przykład z testowania bezpieczeństwa aplikacji webowych. Do 20 września w sprzedaży znajduje się kurs Bezpieczny Programista. To kurs dla każdego kto chce zacząć swoją przygodę z bezpieczeństwa aplikacji webowych, ale nie wie od czego zacząć. W szczególności kurs dedykowany jest programistom i testerom oprogramowania, bo pokazuje w nim jakie błędy bezpieczeństwa można często popełnić w kodzie, no i jak te błędy naprawić. Całość to ponad 100 ćwiczeń praktycznych i 17 godzin materiału wideo. Do tego zadania domowe i specjalny kanał na Discordzie dla uczestników szkolenia. Jeśli więc masz dość szukania materiału w internecie i po prostu chcesz się uczyć, to sprawdź moją ofertę na sklep.szurek.tv. Nie wiem czy wiesz, ale pod numer telefonu można się potrzeć, to tak zwany spoofing. To sprawia, że nie możesz ufać numerowi, który wyświetla się na wyświetlaczu twojego telefonu. Na telefonie pojawi się informacja, że na przykład dzwoni twoja mama, ale tak naprawdę może to być ktoś inny, kto tylko po prostu podszywa się pod numer twojej mamy. Dodatkowo zwykłe rozmowy telefoniczne mogą być podsłuchiwane. Podsłuchiwane legalnie przez różne służby. W Polsce według fundacji Panoptikon policja zakłada około 10 tysięcy takich podsłuchów rocznie. Signal pozwala nie tylko na pisanie wiadomości, ale także na połączenia głosowe i na połączenia wideo. Takie połączenia są szyfrowane w podobny sposób jak przesyłane wiadomości. A więc słyszą cię tylko uczestnicy grupy, z którymi rozmawiasz. Ponadto tutaj podszycie się nie jest takie łatwe. Wszystko ze sprawą numerów bezpieczeństwa, o których już wcześniej mówiłem. Szczerze, jeśli osoba do której chcesz zadzwonić już korzysta z signala, no to nie bardzo widzę sens, aby tego po prostu nie robić. Ona ma pewność, że to ty dzwonisz, ty masz pewność, że dzwonisz do niej, a dodatkowo wasza komunikacja jest prywatna i szyfrowana. Pamiętaj jednak, że nadal osoba po drugiej stronie może nagrywać się na przykład zwykłym dyktafonem, tak jak w przypadku zwykłej rozmowy. Signal jest połączony z aplikacją telefon na iPhonie. To powoduje, że takie połączenia przez signal będą widoczne na liście ostatnich połączeń z poziomu telefonu z systemem iOS. Możesz to oczywiście wyłączyć. Wtedy takie połączenia nie będą się zapisywały w tej historii, historii ostatnich połączeń. Całe bezpieczeństwo aplikacji nie ma jednak większego znaczenia, jeśli my nie dbamy o bezpieczeństwo naszego telefonu. Odpowiednio długi i skomplikowany kod blokowanych radu to po prostu podstawa. Jeśli bardzo zależy Ci na bezpieczeństwie, no to ustaw też kasowanie danych z telefonu po kilku nieudanych próbach podania kodu. Oczywiście nie wspominam tutaj o tak podstawowych elementach jak aktualizacja telefonu na przykład na bieżąco. Jeśli ten temat Cię interesuje, to zapraszam do zapoznania się z długim filmem Bezpieczeństwo i prywatność iPhona. Tam opisuję różne opcje dużo dokładniej. Na początku Signal prosił nas o możliwość wyświetlania powiadomień. Te powiadomienia mogą wyglądać różnie w zależności od konfiguracji programu. Zwróć na to uwagę, bo treść powiadomienia może zawierać imię nadawcy oraz samą treść wiadomości. Wyobraź sobie, że Twój telefon jest zablokowany i leży na stole, a Ty gdzieś poszedłeś. Otrzymujesz nową wiadomość, więc pojawia się powiadomienie i błędna konfiguracja może sprawić, że ktoś po prostu podniesie zablokowany telefon i spojrzy na ekran. Zobaczy wtedy treść wiadomości i to bez podawania kodu blokady telefonu. Warto więc odpowiednio skonfigurować i tą opcję. W przypadku iPhone'ów mamy dwa miejsca, na które warto zwrócić uwagę. Pierwsze miejsce to ustawienia w signalu. Drugie miejsce to ustawienia powiadomień signala, ale z poziomu ustawień telefonu, czyli ustawień iPhona. Wiadomości mogą być szyfrowane, ale sporo o nas mogą powiedzieć też tak zwane metadany, czyli dane o danych. Kto, kiedy, do kogo dzwonił, pisał? Podam Ci pewien przykład. Wiem, że dzwoniłeś, dzwoniłaś na numer pogotowia ratunkowego. Nie znam treści rozmowy, ale mogę domniemywać, że wydarzyło się coś złego, bo zazwyczaj wtedy właśnie dzwoni się na przykład po karetkę. Albo w Twojej książce telefonicznej znajduje się numer do osoby, która handluje nie do końca legalnymi substancjami. Na tej podstawie możemy domniemywać, że być może spożywasz po prostu takie specyfiki, no bo po co Ci taki numer w książce telefonicznej? To powodu dlaczego signal przechowuje Twój socjogram w zaszyfrowanej formie. Niestety wypadki się zdarzają i czasami nasz telefon może się po prostu zepsuć albo możemy go zgubić. Chcemy wtedy na nowo zainstalować signala na nowym telefonie i odzyskać nasze kontakty i niektóre ustawienia. Zazwyczaj inne komunikatory po prostu przechowują te informacje na swoich serwerach w postaci niezaszyfrowanej. No i wtedy wystarczy, że potwierdzisz, że Ty to Ty, no i wtedy te dane można po prostu odzyskać. Ale nie signal. Signal chroni te informacje przy pomocy specjalnego pinu signal. Warto więc ustawić ten kod w ustawieniach aplikacji. Jeśli interesuje Cię maksymalna ochrona to możesz stworzyć kod alfanumeryczny, gdzie zamiast samych cyfr pin też może wtedy zawierać litery. Tu pojawia się jednak pewien problem. To nie jest pin do aplikacji. Nie podajemy tego kodu podczas otwarcia signala. Musimy go podać tylko w bardzo rzadkiej sytuacji, gdy na nowo instalujemy signala, bo na przykład nasz telefon się po prostu zepsuł. Umówmy się, my jako ludzie jesteśmy słabi w zapamiętywaniu losowych cyfr. Jeśli więc nie zapiszesz sobie tego pinu, na przykład w menedżerze haseł, no to jest spora szansa, że go po prostu zapomnisz. Twórcy aplikacji to rozumieją, dlatego istnieje opcja przypominania pinu. Gdy jest ona uruchomiona, to aplikacja wtedy co jakiś czas wyświetla taki oto komunikat. Prosi nas wtedy profilaktycznie o nasz pin signal i sprawdza, czy podaliśmy prawidłowy pin. W ten sposób aplikacja upewnia się, że pamiętasz ten pin, pomimo że tak naprawdę na co dzień go nie wykorzystujesz. Ale ten pin signal pełni też drugą ważną rolę. Wiesz, że aby założyć konto wystarczy numer telefonu. Ludzie gubią karty SIM do telefonów, więc operatorzy pozwalają na wyrobienie duplikatów takich kart. Przestępca może więc teoretycznie pójść do salonu operatora, użyć fałszowego dowodu osobistego i spróbować wyrobić duplikat naszej karty SIM. I wtedy nasza karta SIM przestaje działać, a zaczyna działać ta nowa u przestępcy. No i wtedy ma dostęp do naszego numeru telefonu. Może więc zarejestrować się w signalu używając naszego numeru telefonu. To oczywiście bardzo mało prawdopodobna sytuacja, ale jednak jest możliwa. Przed tym właśnie chroni blokada rejestracji. Gdy jest włączona, to podczas rejestracji zostaniesz poproszony o kod PIN. Dopiero gdy będzie on prawidłowy, to konto zostanie założone. Ale to też powoduje pewien problem, bo co w sytuacji, gdy ty zapomnisz tego PIN-u? Wtedy zostaniesz odcięty od swojego konta na 7 dni. Dopiero po 7 dniach będzie można na nowo założyć konto na ten sam numer, jeżeli oczywiście zapomniałeś, zapomniałaś PIN-u. Signal wychodzi tutaj z założenia, że przez tydzień na pewno zauważysz, że twój telefon nie działa i będziesz jakoś w stanie zareagować. No a z drugiej strony ludzie na pewno zapominają tego kodu, więc musi istnieć jakieś alternatywne rozwiązanie dostępu do naszego konta. Mówiłem już, że ważne jest bezpieczeństwo naszego telefonu. Jeśli dasz komuś swój odblokowany telefon, to może on otworzyć aplikację Signal i odczytać wiadomości, które się tam znajdują. Możesz tego uniknąć uruchamiając tzw. blokadę ekranu w ustawieniach aplikacji. Wtedy ktoś musi mieć fizyczny dostęp do twojego odblokowanego telefonu, a następnie jeszcze raz musi go odblokować podczas uruchomienia aplikacji. Jeśli używasz iPhona i Face ID, będzie się to działo praktycznie automatycznie, no bo wtedy całość po prostu odblokowujesz swoją twarzą. Ale dla niektórych może to po prostu być zbyt uciążliwa opcja. Na telefonach mamy zazwyczaj uruchomione wiele aplikacji w tle. Możemy się przełączać pomiędzy otwartymi aplikacjami wykonując gest ręką. iPhone wyświetla wtedy zrzut ekranu tej otwartej aplikacji, no i wtedy widać ostatni ekran z tej aplikacji, czyli czasami może być widoczna treść naszej wiadomości. Można to wyłączyć opcją Ukryj ekran w przełączniku aplikacji. Wtedy sygnał będzie widoczny po prostu jako taka niebieska aplikacja z logiem. Wtedy treści wiadomości nie będą się już na tym podglądzie wyświetlały, chociaż ta opcja jest bardziej dla zaawansowanych użytkowników, bo raczej nie oddajemy swojego odblokowanego telefonu osobom, którym po prostu nie ufamy. Jest jeszcze kilka opcji zaawansowanych. Są one istotne, gdy jesteś w krajach, które blokują sygnała. Bo tak, istnieją kraje, które blokują tą aplikację. Wtedy możesz próbować z niej korzystać ustawiając odpowiednie przełączniki. Jednak w naszym kraju komunikator ten nie jest jeszcze blokowany, więc na ten moment żadne dodatkowe ustawienia nie są tutaj konieczne. Wracając jeszcze do grup, bo wydaje mi się, że jest to jedna z najważniejszych opcji tego komunikatora. Jak widzisz osoby możesz znajdować po numerze użytkownika lub po numerze telefonu w zależności od osobistych konfiguracji tych osób. Ale grupa może być też dodatkowo chroniona poprzez mechanizm akceptowania nowych członków. Do grupy można dołączyć wykorzystując specjalny link. Jednak nawet jeśli ktoś wejdzie w posiadanie takiego linku, no to wtedy nie zobaczy wiadomości do momentu, aż nie zostanie zaakceptowany przez administratora grupy. To więc dodatkowa warstwa ochrony grupy przed niepożądanymi osobami. W ustawieniach grupy można ustawić kto ma jakie uprawnienia lub nawet kto może wysyłać wiadomości w takiej grupie. A więc jest tutaj całkiem sporo ustawień, które dość dobrze pokrywają się z popularnymi potrzebami. Zwłaszcza jeżeli używa się komunikatora. A tak to wygląda z perspektywy osoby, która próbuje dołączyć do grupy, która ma włączone akceptowanie nowych członków. A więc najpierw otrzymujemy informację, że dołączając do grupy udostępnimy swoje imię i zdjęcie. Wspominałem o tym, gdy opowiadam o profilu. Dlatego warto tutaj posługiwać się jakimś pseudonimem, a niekoniecznie używać prawdziwego nazwiska. Gdy dołączymy do grupy, to jeszcze nie widzimy wiadomości. Równocześnie u administratora tej grupy pojawia się prośba o przyjęcie. Dopiero gdy on zaakceptuje nasze zaproszenie, to dopiero wtedy stajemy się pełnoprawnymi uczestnikami takiej konwersacji. Signal posiada też relacje, chociaż nie będę ukrywał, że nie jestem jakimś strasznym zwolennikiem tej konkretnej opcji. Jest to po prostu kopia instagramowych relakcji, gdzie możemy udostępniać pewne nagrania, które po prostu znikają po jednej dobie. Różnica jest taka, że te relacje możemy udostępniać pojedynczym osobom czy grupom. Jeśli tak jak ja nie potrzebujesz po prostu tej funkcji, możesz ją po prostu wyłączyć. Stracisz wtedy możliwość udostępniania i wyświetlania relacji? No cóż, coś za coś. Ale zakładam, że to opcja popularna zwłaszcza wśród młodszych użytkowników tego komunikatora. Opcji tutaj jest naprawdę sporo, wyświetlam je tutaj z kronikarskiego obowiązku. Na samym początku tego materiału jako jeden z minusów podałem fakt, że Signal ma aplikację na komputery, ale i tak wymaga ona połączenia z telefonem. A więc najpierw instalujesz i tworzysz konto na telefonie, a potem możesz je połączyć z aplikacją na komputerze. Ale szczerze, jeśli nie musisz tego robić, to ja osobiście odradzam używanie aplikacji na komputerze. Dlaczego? W mojej opinii Signal Desktop jest po prostu mniej bezpieczny niż aplikacje na telefony i wynika to z prostego faktu, że aplikacje pod Windowsem zazwyczaj mają dostęp do wszystkich zasobów twojego komputera. Jeśli więc na komputerze uruchomisz na przykład złośliwe oprogramowanie, to zazwyczaj ma ono dostęp do wszystkich plików, które znajdują się na dysku twardym. To powoduje, że malware może mieć dostęp do twoich czatów. Na telefonach jest nieco inaczej. Android czy iOS były tworzone z myślą o tym, że użytkownicy będą na nich instalowali wiele niepowiązanych aplikacji, więc każda aplikacja jest uruchamiana w pewnego rodzaju piaskownicy. Te aplikacje nie mają dostępu do całego telefonu czy innych aplikacji, a tylko do pewnego wycinka naszego telefonu. To tweet, który nie tak dawno sprawił, że w mediach pojawiła się nie do końca prawdziwa informacja, że sygnał jest niebezpieczny. Dlaczego jest niebezpieczny? Bo mając dostęp do komputera, na którym uruchomiony jest sygnał desktop, można poznać klucz, którym szyfrowana jest baza danych, a tym samym odczytać wszystkie wiadomości i zdjęcia. I to nie jest nic nowego. To instrukcja sprzed trzech lat, pochodząca z Centrum Cyberprzestępczości Departamentu Obronu USA. W kilku zdaniach informuje ona, jak łatwo można odczytać wiadomości, jeśli tylko mamy dostęp do komputera, gdzie zainstalowany jest desktop sygnał. Większość danych przechowywana jest w bazie danych SQLite, która jest zaszyfrowana. Ale klucz do tej bazy historycznie znajdował się w pliku config.json. A więc z perspektywy informatyki śledczej wystarczyło odczytać klucz z pliku config.json, a następnie otworzyć tak zaszyfrowaną bazę, wykorzystując na przykład program DB Browser. No i już wtedy widzieliśmy wszystkie wiadomości jak na tacy. I możesz teraz pomyśleć. Rany, jakie to niebezpieczne. Wszyscy chwalą sygnału, a tutaj taka wielka wpadka? No nie do końca. Mówiłem już, że sygnał stara się chronić komunikację w tranzycie, gdzie wiadomości podróżują przez niezaufany internet. Sygnał nie twierdzi natomiast, że stara się chronić treść na urządzeniu końcowym, czyli na przykład na telefonie czy na komputerze. Bo to jest już bardzo skomplikowane i trochę zależne od urządzenia. Tutaj możemy zwiększyć swoją ochronę, po prostu szyfrując dysk twardy komputera, używając na przykład systemu BitLocker od Microsoftu. W przypadku iPhone'ów nie musimy w ogóle nic robić, bo pamięć iPhone'ów i tak jest automatycznie szyfrowana i bez kodu blokady niewiele da się z tym zrobić. Zresztą w internecie można znaleźć komentarze autorów tej aplikacji, gdzie po prostu tłumaczą bardzo dokładnie, dlaczego podjęli takie, a nie inne decyzje projektując tę aplikację. No ale ta mini-drama była kontynuowana, bo okazało się też, że gdy skopiuje się cały katalog z danymi aplikacji na inny komputer, no to sygnał myśli, że to nadal ten sam komputer. Czyli w teorii ktoś, kto ma dostęp fizyczny albo niekoniecznie w ogóle dostęp do plików na naszym komputerze, mógł skopiować te pliki na swój komputer no i wtedy próbować się pod nas potrzeć. I jeśli ma się choć niewielkie pojęcie o programowaniu, no to nie jest to nic odkrywczego. W katalogu z danymi znajdują się przecież wszystkie klucze prywatne wykorzystywane do komunikacji, więc gdy się te klucze skopiuje, to cóż, sygnał po prostu myśli, że to ten sam komputer. I rozwiązanie tego problemu jest skomplikowane, bo z jednej strony chcemy, aby aplikacja operowała na zaszyfrowanych danych, ale z drugiej strony chcemy też, aby klucz, który to wszystko szyfruje, był w jakiś sposób tajny i nie był dostępny dla innych procesów. Istnieje na to pewne rozwiązanie, tak zwany moduł TPM. Nowoczesne komputery posiadają na płycie głównej specjalny, osobny układ w Windowsie, nazywany czasami procesorem zabezpieczeń. I ten układ pozwala na wykonywanie operacji kryptograficznych, więc w teorii wystarczy użyć tego rozwiązania i już problem załatwiony. W praktyce nie jest tak prosto, bo jest jeszcze masa starych komputerów, które na przykład tego czipu po prostu nie posiadają. Poza tym inaczej wygląda to pod Windowsem, inaczej pod Linuxem, a jeszcze inaczej pod Maciem. I wszystko się komplikuje. Niemniej jednak sygnał ostatnio zaczął wdrażać pewne poprawki, które adresują w pewien sposób te problemy. A na końcu aplikacja przecież i tak wyświetla wiadomości na ekranie. Wystarczy więc proste, złośliwe oprogramowanie, które co jakiś czas robi zrzut ekranu użytkownika, no i cóż, dane można w ten sposób wykraść. Dlatego więc jeśli nie musisz, w mojej ocenie, nie używaj sygnala na komputerze, po prostu pozostań przy telefonie. To oczywiście tylko część funkcji sygnala. Nie opowiadałem tutaj o obrazkach, które znikają po wyświetleniu albo obsłudze naklejek, no bo nie sposób opisać wszystko w tak krótkim materiale. Będę wdzięczny, jeśli wypełnisz anonimową ankietę, która pozwala mi ulepszać moje szkolenie i webinary. Znajdziesz ją pod adresem l.szurek.tv.a1 Link ten jest też w opisie do tego filmu. Jestem tylko człowiekiem i pomimo moich starań w materiale mogły się znaleźć jakieś błędy, zwłaszcza, że jest on nagrywany na żywo. Jeśli tak się stało, popraw mnie w komentarzu. Z góry dziękuję. Moje webinary nie są dostępne publicznie na YouTubie. Można jednak oglądać za darmo. Wystarczy się zarejestrować na stronie webinar.szurek.tv. W ten sposób do 10 września możesz zobaczyć nagranie o podstawach protokołu HTTP. W praktyce zobaczysz, jak wyglądają żądanie odpowiedź HTTP oraz nauczysz się, jak wykorzystywać program BURP, który jest przydatny podczas testu bezpieczeństwa. Zapisy na webinar.szurek.tv. Jestem ciekaw, czy po tym odcinku przekonałem Cię do komunikatora Signal. Daj znać w komentarzu, co o nim sądzisz. Będę również wdzięczny, jeśli prześlesz ten film dalej do znajomych, jeśli uważasz oczywiście, że jest on warty polecenia. Szukasz innych osób, które interesują się bezpieczeństwem? Sprawdź Discord od zera do Pentestera. Możesz dołączyć za darmo, wykorzystując to zaproszenie. Wystarczy wejść pod adres odzeradopentestera.pl ukośnik Discord. To też szybki sposób kontaktu ze mną. Jeśli więc masz jakieś pytania, na przykład odnośnie tego odcinka, chcesz podyskutować na tematy powiązane z bezpieczeństwem, to dobre miejsce. Ten materiał Ci się spodobał? Interesujesz się bezpieczeństwem i zastanawiasz się nad rozpoczęciem swojej przygody właśnie z tym tematem? Sprawdź moje inne szkolenia. Znajdziesz je pod adresem sklep.szurek.tv. Teraz spróbuję odpowiedzieć na Wasze pytania z czatu, ale uprzedzam, nie wiem wszystkiego. I tak wiem, że dla niektórych osób może to być naprawdę zaskakujące, że jest to webinar na żywo. Sprawdźmy więc, jakie macie do mnie pytania. Czy jest jakakolwiek alternatywa do Signal'a z taką funkcjonalnością? Wydaje mi się, że pewną alternatywą do Signal'a może być po prostu iMessage, który jest dostępny na urządzenia systemem iOS. Ale jedynym problemem z iMessage jest taki, że działa tylko na telefonach, które są iPhone'ami. Więc jeżeli Twoi znajomi nie posiadają iPhone'ów, no to cóż, niestety trzeba szukać jakichś alternatywnych rozwiązań, które są po prostu multiplatformowe. Dlatego Instagram wydaje się to być naprawdę spoko rozwiązaniem. Jest jeszcze Signal CLI, który działa na komputerze bez telefonu, ale to nie jest oficjalny klient, więc radzę uważać. Tak, ja staram się nie polecać rozwiązań, które nie są oficjalne. Nie do końca mi ufam. Nie do końca wiadomo, kto za takimi nieoficjalnymi rozwiązaniami stoi. Ja staram się polecać rozwiązania sprawdzone, które działają od lat. No i osobiście po prostu unikam nieoficjalnych klientów. Więc według mnie, zwłaszcza w tak ważnej sprawie, jak prywatność naszej komunikacji, warto używać sprawdzonych rozwiązań, czyli komunikatorów, które są po prostu sprawdzone. Jeśli tak, zacznę sobie jeszcze od początku czatu. Jeśli macie jakieś pytania, to gorąco zachęcam. Cześć, korzystam z Signala do przechowywania różnych rzeczach w notatkach ważniejszy. No rzeczywiście tak, Signal ma taką opcję notatek i tam można po prostu pisać wiadomości do siebie, więc tak, jest to sposób na przechowywanie notatek w pewien sposób bezpiecznych. Więc tak, fajnie, że o tym wspomniałeś. Jest to fajne rozwiązanie. Czy myślę, że rządy zaczną się interesować takimi komunikatorami? Osobiście uważam, że rządy nie lubią, że istnieją takie szyfrowane komunikatory, które umożliwiają bezpieczną komunikację osób. I to już widać, bo jak zaczniecie czytać o Signalu, to nagle się okaże, że już istnieją na świecie kraje, które go po prostu zablokowały. I według mnie to pokazuje tylko, że Signal jest bezpieczny, bo gdyby dało się podsłuchiwać Signala, to po co go blokować w jakichś krajach, które są bardziej opresyjne? No wtedy jeżeli dałoby się odczytywać te informacje, to po co go blokować? Możemy po prostu czytać te wiadomości już. A jeśli się go blokuje, no to dla mnie jest to pewien wyznacznik, że Signal nie jest taki prosty do odczytania, jak mógłby ktoś twierdzić. Myślę, że wiadomości RCS mogą być też alternatywą dla Signal, ale tu jest problem z drugą stroną, tylko Android. No tak, mogą być, ale na razie nie są. Na ten moment Signal wydaje się być najlepszym komunikatorem, który jest po prostu popularny z mojej perspektywy. Zrobisz film na temat Windows Recall? Nie będę robił filmu na ten temat. Wydaje mi się, że Microsoft na ten moment trochę tę funkcję, nie wiem, porzucił ze względu na naciski opinii publicznej, która mówiąc bardzo delikatnie stwierdziła, że nie podoba się jej pomysł wprowadzony przez Microsoft. Zobaczymy, jeśli ta funkcja wyjdzie. Może wtedy jakiś materiał się pojawi, ale na ten moment nie zamierzam robić filmu na ten temat. Co sądzę o Telegramie? Sądzę, że jeżeli interesujesz się bezpieczeństwem i chcesz komunikować się w sposób prywatny z innymi osobami, to używanie Telegrama nie jest dobrym pomysłem. Ja polecam posłuchać pułkownika Wojewódzkiego z kontrwywiadu, co mówi na temat tych wszystkich bezpiecznych i tajnych komunikatorów. Coś takiego po prostu nie istnieje. Każdą rzecz da się złamać, ale my tutaj mówimy o perspektywie zwykłego Szarego Kowalskiego, który chce w miarę bezpiecznie rozmawiać ze swoją żoną, ze swoimi znajomymi. Jeżeli nie jesteśmy oszustami, przestępcami, to z mojej perspektywy, z perspektywy innych osób, które po prostu sygnały polecają, wydaje się to być spoko rozwiązanie. A jeżeli mówimy tutaj o tematach wojskowych, to to jest zupełnie inny przestrzeń. Wojsko rządzi się swoimi sprawami. Ja tutaj nikomu nie mówię i nie próbuję wmawiać, że z perspektywy wojskowej sygnał to jest świetne rozwiązanie. No nie, bo z perspektywy wojskowej istnieją zupełnie inne rozwiązania, które są dla wojska. Tu mówimy o komunikatorze dla zwykłych osób, które chcą w miarę prywatnie się komunikować. Czy można odpiąć numer telefonu od sygnał? Nie można odpiąć numeru telefonu od sygnał. Możesz usunąć konto, ale to wtedy po prostu usuwasz konto. Tak jak mówiłem na samym początku, jednym z minusów sygnala na ten moment jest to, że wymaga on numeru telefonu i nie da się tego numeru telefonu odpiąć. Owszem, niedawno wprowadzili te nazwy użytkowników, czyli oprócz numeru telefonu można się znajdować po nazwie użytkownika, ale dalej, żeby zarejestrować konto w sygnalu, musisz użyć numeru telefonu, a potem tego numeru telefonu nie da się odpiąć. Oczywiście ty możesz po prostu nie przedłużyć tego numeru telefonu albo w ogóle nie używać tego numeru telefonu, ale musisz też zdawać sobie sprawę, że jeżeli potem ten numer telefonu wróci do puli i ktoś go otrzyma, no bo co jakiś czas może się zdarzyć taka sytuacja, że stare nieaktywne numery wracają do puli aktywnych numerów i kupując nowy starter telefonu komórkowy i po prostu ktoś dostanie ten twój stary nieużywany numer, no to wtedy on będzie mógł zarejestrować nowe konto. Bo numer jest używany jako identyfikator użytkownika w sygnalu. A czy jest teoretyczna możliwość złamania sygnala, czy tylko brud force wchodzi w grę? Istnieje teoretyczna możliwość łamania kluczy prywatnych, które są używane do komunikacji, no ale na ten moment w większości zastosowań jest to po prostu nieopłacalne, bardzo drogie i trwałoby zbyt długo. Jeżeli ja piszę z żoną na temat tego co kupić albo ze znajomymi na temat tego gdzie się spotkamy, no to po co ktoś miałby to łamać wydając kupę pieniędzy. Zawsze da się coś próbować łamać. Klucz prywatny to tylko klucz prywatny. Możemy używać na nim metody brud force i próbować odnaleźć klucz prywatny, ale z perspektywy czasowej i ekonomicznej jest to po prostu nieopłacalne. Można zablokować numer telefonu i nikt nie założy konta na numer, który wrócił do puli. Nie do końca. W Signal jest coś takiego jak blokada rejestracji, ale blokada rejestracji działa maksymalnie 7 dni. Jeżeli nie znasz kodu PIN, PIN Signal, to po 7 dniach i tak będziesz w stanie założyć nowe konto na ten numer telefonu bez kodu Signal, jeżeli tylko posiadasz dostęp do SMS-ów, które przychodzą na ten numer telefonu. A może materiał o nowoczesnym szyfrowaniu? Nie chcę tworzyć materiału o szyfrowaniu, bo nie czuję się mocny z teoretycznej strony kryptograficznej i nie chcę gadać głupot. W ogóle przygotowując się do tego materiału na temat Signala doszedłem do momentu matematyki, gdzie na blogu Signala niektóre rzeczy są opisane tak bardziej praktycznie, no i też to jest ciężko zrozumieć bez pewnych podstaw. Ja starałem się ten materiał wypośrodkować, czyli przekazać maksimum wiedzy, ale w takiej mam nadzieję zrozumiałej formie, aby wszyscy zrozumieli. Też nie tłumaczyć bardzo dokładnie jak to szyfrowanie działa, bo z perspektywy zwykłego użytkownika on ma totalnie w nosie jak to szyfrowanie działa. Z jego perspektywy ważne jest to, że może rozmawiać ze znajomymi i wszystko po prostu działa. Zapytam ostatni raz o ten TeleGuard, nie znam tego rozwiązania, więc nie bardzo mogę się na ten temat wypowiadać, bo go po prostu nie znam. Dowód matematyczny, że klucza prywatnego nie da się złamać byłby dowodem NPP, a to jeden z problemów milionarnych, więc dowodu nie ma, no dokładnie tak. Czyli tak naprawdę z komunikatorów Signal jest najlepszy ze wszystkich. No tak, w mojej opinii tak, ale tak jak już mówiłem podczas webinaru, nie ufajcie mojej ocenie, nie ufajcie ocenie innych youtuberów, nie ufajcie ocenie innych osób, które piszą na temat bezpieczeństwa, tylko weryfikujcie te informacje w różnych źródłach w internecie, bo my możemy się mylić, ja mogę się mylić. Warto samodzielnie weryfikować te informacje. Ja wam tutaj przedstawiłem to, co udało mi się na temat Signala dowiedzieć, to co wyczytałem, spędziłem bardzo wiele czasu, spędziłem wiele różnych materiałów i zebrałem to dla was w jedną całość, ale po tym webinarze gorąco zachęcam, żeby samodzielnie sprawdzić te źródła, które podałem, samodzielnie wejść na stronę Signala, samodzielnie poczytać ich bloga i samodzielnie wyrobić sobie jakiś osąd, a niekoniecznie brać, że nie wiem, Kacper powiedział, że Signal jest super, więc na pewno tak jest. Nie, ja też mogę się mylić. A czy zniknięte, znikające wiadomości są przechowywane na telefonie? Wydaje mi się, że znikające wiadomości są usuwane, ale jak to z perspektywy implementacyjnej wygląda, no tego nie sprawdzałem. Musimy tutaj ufać, że one są usuwane w taki sposób, że nie da się ich potem odtworzyć, no ale usuwanie czegokolwiek z nośników danych nie jest takie proste. Tak jak na przykład pod Windowsem. Jeżeli macie jakiś plik i usuniecie ten plik, on trafia do kosza, potem opróżniacie kosz i wiele osób myśli, że ten plik nie zniknął. No nie, istnieją programy, które pozwalają odtworzyć zazwyczaj ten plik pod pewnymi warunkami i tak samo jest zapewne w przypadku Signala, więc ja bym jakoś strasznie tym znikającym wiadomościom nie ufał. Jeżeli chcesz, aby jakaś wiadomość pozostała prywatna, to po prostu nie wysyłaj ją przez internet. Nieprawda? Trzeba znać stary pin do Signala, aby zarejestrować konto ponownie na numer, który wrócił do puli? SMS nie wystarczy. Sprawdź sobie na stronie Signala. Tak, trzeba znać kod pinsignal, ale maksymalnie 7 dni. Po 7 dniach pin nie jest już potrzebny i można na to samo konto zarejestrować. Sprawdź sobie. Tak to niestety działa. Dobrze, wydaje mi się, że to wszystkie wiadomości. Jeżeli ktoś ma jeszcze jakieś pytania, to postaram się odpowiedzieć. Mam nadzieję, że ten odcinek się wam spodobał. Jeśli tak, to zachęcam do rozesłania tego odcinka znajomym, do zachęcenia i do tego, aby przejść na bezpieczne komunikatory, które rzeczywiście są szyfrowane, a nie komunikatory, które tylko szyfrowanie udają albo dbajmy o naszą prywatność. Mamy prawo do prywatności, więc czemu z tego nie skorzystać? Jeszcze raz zachęcam was do sprawdzenia mojej oferty na sklep.szurek.tv i do wypełnienia ankiety, którą znajdziecie w opisie do tego odcinka. Dobrze, to wszystko z mojej strony. Bardzo serdecznie dziękuję wam za obecność. Trzymajcie się i cześć!