[ Inicio ] [ Hacking ] [ CTFs ] [ Rant ]
.:: Brenn0 Weblog ::.

Título : Sobre a nova criptografia que está sendo usada pelo Whatsapp
Autor : brennords
Data : 19/11/2014
            

Ontem, enquanto bebia cerveja e vagava pela internet ao som dessa inspiradora música, dei de cara com essa notícia: “WhatsApp adota criptografia para proteger mensagens em trânsito”.

Com pouca confiança, fui verificar que criptografia era essa. Então, logo após ler o início da notícia, fiquei surpreso com o que dizia:

Uma ferramenta que evita que as mensagens enviadas pelo aplicativo WhatsApp sejam espionadas foi anunciada nesta terça-feira (18) por empresas vinculadas ao setor. Apoiado por Edward Snowden, o projeto criptografa todo o conteúdo trocado pelo app enquanto ele viaja pela internet. A empresa Open Whisper Systems anunciou uma aliança com o Facebook, dono do WhatsApp, com a finalidade de usar um protocolo de textos seguros (TextSecure) para codificar mensagens em trânsito e escondê-las de olhares indiscretos. O WhatsApp confirmou o anúncio à agência France Presse, mas se recusou a fazer mais comentários.

Hum, TextSecure? Open Whisper Systems? Apoiado por Edward Snowden? Era difícil acreditar ao ver isso vindo de uma companhia que foi recentemente comprada pelo Facebook.

Então, resolvi pesquisar para saber se era realmente possível confiar nessa criptografia.

Descobri que a implementação da Open Whisper Systems é sim coisa séria. Que são eles os desenvolvedores do famoso (e open source) aplicativo TextSecure e que realmente ganharam a indicação do Edward Snowden.

Depois de confirmar os fatos, bastava saber como tudo isso iria funcionar em conjunto com o Whatsapp.

O protocolo TextSecure é baseado no OTR. O que significa que faz o uso de uma forma de encriptação “end-to-end”, ou seja, as mensagens são criptografadas no dispositivo da pessoa que envia e só são descriptografadas no dispositivo da pessoa que recebe, fazendo com que seja praticamente impossível para quem estiver no meio da conexão (provedores de internet e até mesmo a própria empresa) tenha acesso as informações trocadas. A explicação técnica sobre o funcionamento do protocolo é bem foda e longa demais para esse post. Caso se interesse, há esse link onde eles contam tudo em detalhes e até as diferenças fundamentais entre o TextSecure e o OTR: https://whispersystems.org/blog/advanced-ratcheting/

O sistema de criptografia está disponível por enquanto apenas para a versão do Android e não funciona para conversas em grupo e nem as mídias trocadas durante as conversas mas, de acordo com os desenvolvedores, em breve o sistema funcionará em todos dispositivos e formas de mensagens.

Foi uma surpresa para todos ver uma empresa que tem o Facebook como sua dona dar um passo desse tamanho para aumentar a privacidade dos usuários. Enquanto lia os comentários de vários sites que noticiavam o quase incoerente evento, vi bastante ceticismo. Será mesmo que dá para confiar no Whatsapp e sua nova forma de criptografia?

Na minha humilde e bêbada opinião, pode se acreditar sim no novo sistema de criptografia. Mas talvez não da forma que muita gente possa definir confiança, afinal, o Whatsapp ainda é um aplicativo de código fechado e claro que eles podem implementar um pequeno backdoor para o caso de funcionários da NSA queiram saber sobre a possível infidelidade de seus cônjugues. Mas isso é só uma teoria conspiratória de quem desconfia de tudo de uma forma muito saudável (essa frase é para você mesmo, Raíza Rodrigues).

Não podemos esquecer também que privacidade nas comunicações enquanto elas não são feitas de forma anônima é inútil para muita gente, como jornalistas por exemplo.

Mas mesmo que o pior cenário seja real e houvesse um backdoor ou coisa do tipo que permitisse que a companhia acessasse as informações, ainda estaríamos protegidos contra qualquer um que tente farejar nossas conexões (provedores de internet, governos autoritários, parceiros ciumentos…) e isso é obviamente uma coisa boa para a privacidade.

Ainda vi muitas pessoas comentando que essa ação não combina muito com o “modelo de negócios” do Facebook (gravamos tudo e monetizamos a porra toda) e por isso não se podia confiar. Mas essas pessoas esqueceram que são apenas o conteúdo das conversas que serão criptografadas. Não vamos esquecer o valor dos metadados dos seus usuários para uma empresa como o Facebook.

E dos milhares de comentários que vi, esse foi o melhor:

Bom saber que agora minhas piadas estão encriptadas e seguras.