Улучшение безопасности WhatsApp: зашифрованные резервные копии

WhatsApp, компания, принадлежащая Facebook, представляет собой мобильное приложение, позволяющее пользователям отправлять текстовые сообщения, совершать голосовые вызовы и обмениваться документами с другими пользователями WhatsApp. Вы можете удивиться, почему название приложения кажется вам знакомым. Скорее всего, это связано с атакой на Джеффа Безоса в 2018 году, когда его телефон был взломан, и злоумышленник похитил несколько гигабайт персональных данных. Это привело к публикации компрометирующих фотографий Безоса с любовницей, громкому разводу и… шутка Криса Рока на церемонии вручения премии «Оскар», всё из-за кибератаки на WhatsApp. WhatsApp работает над улучшением своей репутации в сфере безопасности с момента атаки на Безоса в 2018 году.

10 сентября 2021 года WhatsApp объявил он будет развертывать поддержку для сквозного зашифрованный Резервное копирование чатов в облаке для пользователей Android и iOS, открывая путь к хранению информации, такой как сообщения чата и фотографии, в Apple iCloud или Google Drive в криптографически Безопасным способом. При правильной реализации сквозное шифрование может помешать сотрудникам WhatsApp следить за пользователями. Обычно это не является проблемой, но когда WhatsApp получает повестку, они обязаны её выполнить, если это возможно. Сквозное шифрование не позволяет даже сотрудникам WhatsApp перехватывать и передавать историю чатов властям.

Предыдущая функция безопасности

Еще в 2016, WhatsApp поддерживает сквозное подключение Шифрование (E2EE) для личных сообщений, звонков, видеочатов и медиаконтента между отправителями и получателями. Проблема этого решения E2EE связана с резервным копированием данных пользователей в облаке. При передаче разговоров или данных с пользовательских устройств аналогичная защита E2EE была невозможна, что делало резервные копии доступными для сотрудников WhatsApp, государственных органов по повестке, самих поставщиков облачных услуг и даже хакеров внутри сетей облачных провайдеров.

Новая функция

Дополнительная функция будет запущена в сентябре 2021 года, но будет работать только на основных устройствах, привязанных к учётной записи пользователя, а не на сопутствующих устройствах, таких как настольные компьютеры или ноутбуки, которые просто дублируют контент WhatsApp на телефонах. WhatsApp сделал заявление в официальном документе:

«С внедрением сквозного шифрования резервных копий WhatsApp создал хранилище резервных ключей на базе HSM (аппаратного модуля безопасности) для безопасного хранения ключей шифрования каждого пользователя для резервных копий в защищенном от несанкционированного доступа хранилище, тем самым обеспечивая более надежную защиту истории сообщений пользователей».

При включенном сквозном шифровании резервных копий перед сохранением в облаке приложение шифрует сообщения чата и все данные переписки (тексты, фотографии, видео и т. д.) с помощью случайного ключа, сгенерированного на устройстве пользователя. Сгенерированный устройством ключ шифрования резервной копии защищается паролем, предоставленным пользователем, который хранится в хранилище для легкого восстановления в случае кражи устройства.

В качестве альтернативы пользователи могут предоставить 64-значный ключ шифрования вместо пароля, но в этом случае ключ шифрования придётся сохранять вручную, поскольку он больше не будет отправляться в хранилище резервных ключей HSM. Когда владельцу учётной записи потребуется доступ к своей резервной копии, это можно сделать с помощью пароля или 64-значного ключа, который затем используется для извлечения ключа шифрования из хранилища резервных ключей и расшифровки резервных копий.

Хранилище географически распределено по пяти центрам обработки данных и отвечает за обеспечение проверки пароля, а также делает ключ недоступным после определенного количества неудачных попыток входа в систему, что снижает вероятность атаки грубой силы. 

Что делать сейчас?

Если вы являетесь пользователем WhatsApp, вам следует воздержаться от его использования до тех пор, пока эта новая функция не будет запущена. После её запуска CyberHoot рекомендует включить эту дополнительную функцию, чтобы снизить вероятность утечки конфиденциальных данных.

Важные рекомендации для малого и среднего бизнеса от CyberHoot

Пока вы ждете выхода новой функции безопасности What's App E2EE, крайне важно выполнить следующие рекомендации CyberHoot: 

• Принять Password Manager для лучшей гигиены личных/рабочих паролей
• Требовать двухфакторная аутентификация на всех Решения SaaS и критические счета
• Требуйте пароли длиной 14+ символов в вашем аккаунте Политика управления и технологические конфигурации
• Обучаем сотрудников чтобы обнаружить и избежать электронных писем фишинг нападки
• Проверьте, что сотрудники может обнаружить и избежать фишинговых писем
• Резервное копирование данных с помощью 3-2-1 метод
• Включите Принцип наименьших привилегий
• Выполнить оценка риска каждые два-три года
• Наймите профессионального виртуального директора по информационной безопасности (vCISO) для консультирования, руководства и разработки вашей программы кибербезопасности за малую часть стоимости найма штатного сотрудника.

источники:

Hacker News

мята

Дополнительная литература: 

Джефф Безос и уязвимость безопасности WhatsApp

Как Facebook подрывает защиту конфиденциальности 2 миллиардов своих пользователей WhatsApp

Узнайте, как CyberHoot может защитить ваш бизнес.

График демо