Kto szyfruje, a kto nie?

Porządne szyfrowanie zapewnia bezpieczną i prywatną komunikację – oczywiście o ile przy tym szyfrowaniu ktoś wcześniej nie majstrował. Zatem firmy, które korzystają z wydajnego szyfrowania powinny kojarzyć się z poufnością

Porządne szyfrowanie zapewnia bezpieczną i prywatną komunikację – oczywiście o ile przy tym szyfrowaniu ktoś wcześniej nie majstrował. Zatem firmy, które korzystają z wydajnego szyfrowania powinny kojarzyć się z poufnością i bezpieczeństwem klientów.

Istnieje pewna organizacja – Electronic Frintier Foundation – która powstała po to, by monitorować, w jaki sposób firmy z branży telekomunikacyjnej i technologicznej dbają o dane swoich użytkowników. Organizacja ta nie stroni od tworzenia list firm (wraz z dokładnymi nazwami), które zaniedbują ten aspekt w sposób rażący.

Opublikowany niedawno przez EFF raport „Encrypt the Web” powstał właśnie w tym celu. Możemy tam przeczytać, że firmy takie jak Google, SonicNet, Drobpox czy SpiderOak świetnie dbają o dane klientów szyfrując je przy pomocy silnych algorytmów. Te cztery firmy to wielcy zwycięzcy raportu EFF – otrzymały akceptację we wszystkich pięciu kategoriach: szyfrowanie odnośników w centrach danych, obsługa HTTPS i HSTS, forward secrecy oraz STARTTLS. Mówiąc w skrócie, szyfrowanie linków w centrach danych oznacza, że np. Google szyfruje dane, które przepływają między centrami danych firmy – brak tej funkcji to słaby punkt, który już nie raz był wykorzystywany przez cyberprzestępców. Stosowanie HTTPS zapewnia, że cała komunikacja między użytkownikiem a daną stroną odbywa się za pośrednictwem bezpiecznego, szyfrowanego kanału. HSTS (HTTP Strict Transport Security) to swego rodzaju zabezpieczenie serwera WWW, które dba o to, by komunikacja z użytkownikami odbywała się zawsze poprzez protokół HTTPS. Forward secrecy lub perfect forward secrecy to funkcja szyfrowania, która gwarantuje, że jeden skompromitowany klucz nie będzie stanowił zagrożenia dla dalszych transmisji. STARTTLS to rozszerzenie dla poczty elektronicznej, które dodaje szyfrowanie do wysyłanych wiadomości niezależnie od tego, z jakiego programu pocztowego korzysta użytkownik.

W swoim raporcie EFF wspomina także o Facebooku, który warunkowo otrzymał akceptację we wspomnianych pięciu kategoriach. Warunkowo, ponieważ król portali społecznościowych dopiero pracuje nad wdrożeniem funkcji szyfrowania. Twitter zaliczył wszystkie kategorie z wyjątkiem STARTTLS.

LinkedIn, Foursquare oraz Tumblr znalazły się w połowie tabeli, zaliczając trzy kategorie. Yahoo dostało jedną gwiazdkę i drugą warunkowo, ponieważ dopiero pracuje nad nowymi politykami. Apple otrzymał tylko jeden punkt – za stosowanie protokołu HTTPS w swojej chmurowej usłudze iCloud. Microsoft, Myspace oraz WordPress także otrzymały po jednej gwiazdce.

Firmy, które nie przykładają żadnej wagi do szyfrowania to wg. EFF Amazon, AT&T, Comcast oraz Verizon – nie zaliczyły one żadnego testu.

Wcześniej w tym roku, pewna grupa promująca cyfrowe środowisko także opublikowała podobny raport – „Who’s Got Your Back?” – i wnioski były podobne. Raport ten miał na celu wykazanie, które firmy z branży technologicznej i telekomunikacyjnej potajemnie gromadzą dane dla rządu, a które rzeczywiście dbają o swoich użytkowników. W obydwóch raportach doceniono starania firm takich jak Twitter, Google, SonicNet oraz SpiderOak. Podobnie, w tych dwóch raportach dostało się następującym firmom: Apple, Yahoo, Verizon, AT&T, Comcast oraz Amazon.

Oczywiście w czasie między publikacją raportów wiele się zmieniło – wiemy teraz o wiele więcej o wysiłkach rządów w śledzeniu wszystkich. Patrząc na wyniki można dojść do wniosku, że niektóre firmy coraz lepiej zabezpieczają siebie i swoich klientów przed szpiegowaniem (niezależnie od tego, kto szpieguje). Niestety widać także, że pewne organizacje mają swoje zdanie na ten temat i niekoniecznie jest ono korzystne dla użytkowników.

„Mamy nadzieję, że wyniki naszego raportu zmotywują firmy, które nie przykładają dużej wagi do bezpieczeństwa i szyfrowania, do zmiany podejścia” – powiedział Kurt Opsahl z EFF.

Aby raport mógł powstać EFF wysyłała do poszczególnych firm ankiety. Nie wszystkie firmy odpowiedziały. Możemy się zatem domyślać, że z bezpieczeństwem nie jest u nich najlepiej…

A co to wszystko oznacza dla nas, zwykłych użytkowników komputerów i internetu? Cóż, nie jest naszym celem mówienie wam, jakich usług online macie używać a jakich nie. Myślę jednak, że każdy z nas – łącznie z ludźmi z EFF – niechętnie będzie polegał na serwisach które bezpieczeństwo i szyfrowanie omijają szerokim łukiem. Ważne, byśmy podejmowali świadome decyzje, posiadając jak najwięcej informacji.

 

Porady