Мобильное приложение для зашифрованного корпоративного общения Anwork

Дата: 29.08.2022. Автор: Anwork. Категории: Главное по информационной безопасности, Обзоры средств защиты информации
Мобильное приложение для зашифрованного корпоративного общения Anwork

Зачем использовать защищенные корпоративные коммуникаторы?

По статистике, количество утечек по электронной почте в России в 2 раза ниже, чем в мире, в то время как через мессенджеры корпоративная информация утекает в 3 раза чаще. Решением этой проблемы являются специализированное ПО — защищенные корпоративные коммуникаторы.

Чаще всего к использованию таких сервисов прибегают ИТ-разработчики, работающие над проектами с высоким уровнем секретности (например, связанными с коммерческой тайной), компании, которым важно в ходе общения с клиентом сохранять максимальную конфиденциальность, такие как юридические и адвокатские конторы, финансовые и налоговые консультанты, медицинские учреждения. 

Кибератаки могут осуществляться по разным сценариям, поэтому для безопасности коммуникаций сервис должен надежно защищать доступ не только к информации о данных пользователей, сообщениям или пересылаемым документам, но и к истории обмена данными между пользователями, хранилищу данных, а также информации о том, с кем конкретно происходит общение.

Большинство из представленных на сегодняшний день на рынке решений либо выполняют эти условия частично, либо не выполняют совсем: одни требуют обязательной регистрации с привязкой по номеру телефона, другие – хранят пересылаемые данные на собственном сервере, который также может стать целью злоумышленников.

Anwork — мобильное приложение на базе криптографического протокола Signal, обеспечивающее конфиденциальный и защищенный обмен сообщениями в корпоративной среде. Помимо отправки текстовых сообщений в приложении можно отправлять фото, видео, документы, отчеты и другие файлы, совершать видео- и аудиозвонки, проводить зашифрованные аудиоконференции.



В чем уникальность Anwork?

Приложение создано для обеспечения максимально возможной информационной безопасности, начиная от анонимного входа в сервис через Еnd 2 Еnd шифрование всех передаваемых данных и заканчивая защитой данных в приложении от несанкционированного доступа на устройстве пользователя.

В приложении отсутствует общий список контактов, любой обмен данными происходит внутри закрытых групп, дающих дополнительный уровень изоляции. Особенность коммуникации – для начала взаимодействия обязательно создать закрытую группу, в которую можно пригласить любое количество человек – от 2-х до бесконечности.

Anwork относится к системам асимметричного канала связи. В приложении можно отправлять сообщения и получать их вне зависимости от того, в каком режиме находится другой пользователь — онлайн или оффлайн. Для обеспечения такого свойства требуется дополнительный участник системы — сервис доставки, то есть устройство, всегда подключенное к сети. 

В процессе обмена сообщениями пользователь отправляет информацию напрямую адресату, а если последний не в сети, то сообщение в зашифрованном виде отправляется на сервис доставки, который выполняет роль почтовой ячейки, где отправленное сообщение хранится в зашифрованном виде до тех пор, пока получатель не появится онлайн. 

На мобильных устройствах пользователей история сообщений хранится в зашифрованном виде. Время хранения сообщений внутри приложения определяется самим пользователем и составляет от 1 до 14 дней. После этого сообщения автоматически уничтожаются.

Безопасность работы приложения обеспечивается алгоритмами:

  • Double Ratchet Algorithm
  • Prekeys;
  • Расширенный протокол тройного обмена ключами Диффи-Хеллмана (3-DH)
  • Curve 25519;
  • AES-526;
  • HMAC-SHA256.

По умолчанию используется сквозное (Е2Е) шифрование для передачи всех видов данных (текст, аудио, видео, файлы). При этом, ключи для расшифрования сообщений хранятся на устройствах пользователей.

Мобильное приложение для зашифрованного корпоративного общения Anwork
Периметр защиты данных

Возможности приложения 

  • Общение в закрытых группах
  • Установка аватара и имени
  • Прикрепление и передача текстовых документов, аудио- и видеофайлов объемом до 128 Mб
  • Ответ на конкретное сообщение в чате
  • Индикатор информации о прочтении сообщения
  • Включение/отключение уведомлений о действиях и сообщениях участников
  • Создание заметок для себя и участников группы
  • Синхронизация заметок с календарем и возможность выбора исполнителя
  • Загрузка полученных файлов в память телефона 
  • Запрет на создание скриншотов на устройствах ОС Аndroid
  • Самоуничтожающиеся сообщения с возможностью установить таймер: 1, 3, 7, 14 дней хранения истории приложения
  • Экстренный PIN-код для быстрого удаления всей истории

Помимо текстовых чатов, в приложении также можно проводить аудиоконференции с подключением до 5 участников и видеозвонки на 2-х участников. 

Архитектура решения Anwork

Для того, чтобы начать работу в приложении, необходимо ввести лицензионный ключ и имя сервера или отсканировать QR-код, полученный от разработчика.

Приложение работает на базе дополненного криптографического протокола Signal. Пользователю не нужно регистрироваться и оставлять данные о себе. При первом входе в приложение для него генерируется сразу несколько ключей:

  • IDkey обезличенный ключ идентификации, не требующий личных данных и привязки к устройству;
  • Signed Prekey для генерации групповых ключей;
  • Набор one-time prekeys одноразовые ключи, используемые при приглашении новых людей в группу.

Открытые части связки этих ключей регистрируются на сервере после первого входа пользователя в приложение.

Для начала обмена сообщениями пользователь создает группу и отправляет приглашения в нее другим участникам коммуникации. 

Для этого пользователь генерирует код группового приглашения для каждого из участников. После этого код отправляется на сервер (время хранения 1 час) и приглашенному участнику. 

Для входа в группу участник отправляет код приглашения на сервер. Для этого достаточно нажать на кнопку “Вступить по приглашению” и ввести код приглашения вручную, либо отсканировать QR-код с помощью камеры устройства.

Если код действителен, то приглашенный получает публичную часть ключей приглашающего пользователя (публичные части ID-Кеу и Signed Ргекеу, РКх — один из 10 ргekеуs, который удаляется сразу же после использования). 

Ключи хранятся в специально защищенных аппаратных хранилищах мобильных устройств: Keychain (iOS) или Keystore (Android). Метаданные шифруются с помощью протокола TLS и механизма двустороннего SSL pinning.

Приглашенный участник использует полученные от сервера ключи для установления соединения с пользователем и обменивается с ним специальными ключами SKDM, каждый из которых уникален для комбинации «пользователь-группа».

С помощью SKDM-ключей пользователь и участник могут шифровать (расшифровывать) данные, отправляемые на сервер. Сам сервер при этом выполняет функцию почтового ящика, то есть не может «читать» передаваемые данные.

Интерфейс приложения

На главном экране отображается список участников выбранной группы и основные

элементы управления участниками и группами.

В нижней части экрана расположены кнопки вызова основных функций приложения:

1. «Участники» — функции управления “Участниками” и “Группами”

2. «Чат» — обмен сообщениями с другими членами группы и получение системных сообщений.

3. «Заметки» — создание заметок каждым участником группы и статуса об их завершении.

4. «Профиль» — функции, связанные с работой приложения, возможностью индивидуальной настройки и выбора необходимых параметров.

В верхней и нижней частях экрана находятся элементы управления участниками и группами:

5. Выбрать группу.

6. Создать новую группу.

7. Присоединиться к группе по буквенно-цифровому или QR коду.

8.  Пригласить в группу нового участника.

В центральной части экрана:

9. Список участников текущей группы.

В интерфейс приложения добавлены только необходимые функции по настройке аккаунта. Например, изменение имени и аватара пользователя, установка максимального срока хранения данных в приложенииили выбор цвета и символа группы позволяет не спутать ее с другими, в случае если пользователь создал ихнесколько.

Предусмотрена система заметок и задач, с помощью которой можно поставить задачу любому из участников группы, обозначив дату и время дедлайна, а после выполнения отметить ее как выполненную.   

Roadmap 

Согласно дорожной карте, в следующих версиях продукта будут добавлены такие функциональные возможности, как:

  • голосовые сообщения
  • длительное хранение файлов (пользователь сам удаляет содержимое чата)
  • браузерная версия приложения для работы на ПК.

Тестирование на уязвимости

Технологии, реализованные в приложении, проверены Group-IB — одним из ведущих мировых разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети.

Специалисты компании проверили защищенность внешнего и внутреннего периметра приложения, которое было выпущено сначала для домашних пользователей, а также уровень компетентности наших специалистов в вопросах ИБ, используя максимальное количество векторов атак.

Был проведен комплексный технический аудит для платформ Android и iOS, а также оценка уровня защищенности сегмента DMZ.  

По результатам анализа был представлен детальный технический отчет с перечнем обнаруженных уязвимостей, примерами их эксплуатации и ранжированием по уровню риска.  После устранения всех выявленных уязвимостей специалисты Group-IB провели повторную проверку.

Мобильное приложение для зашифрованного корпоративного общения Anwork
Выдержка из отчета Group-IB по аудиту защищенности
Мобильное приложение для зашифрованного корпоративного общения Anwork
Выдержка из отчета Group-IB по аудиту защищенности
Мобильное приложение для зашифрованного корпоративного общения Anwork
Выдержка из отчета Group-IB по аудиту защищенности

Согласно оценке корректности устранения уязвимостей по результатам анализа защищенности:

1. Выявленные ранее уязвимости устранены;

2. Приложение имеет высокий уровень защиты и безопасности;

3. Дистанционный доступ к данным невозможен.

Варианты поставки и особенности интеграции 

Anwork доступно на маркетплейсах Apple Store или Google Play, а также в виде APK-файла, который можно скачать на сайте компании. Приложение можно использовать на любых мобильных устройствах под управлением ОС iOS и Android. Оно поддерживает семь языков: английский, немецкий, русский, испанский, арабский, турецкий и китайский.

Для активации приложения необходимо приобрести лицензионный ключ на необходимое количество пользователей и подписку на сервис. С подробной информацией о тарифах можно ознакомиться на сайте.  

Решение не требует дополнительных усилий и затрат на интеграцию в корпоративные системы. 

Почему Anwork безопаснее сервисов — аналогов?

1. Приложение не требует регистрации и передачи каких-либо личных данных.

2. Приложение не имеет центрального хранения данных пользователей (сервера хранения данных). Вся информация в зашифрованном виде находятся только на устройствах пользователей. Обмен данными между пользователями зашифрован и происходит напрямую между участниками одной группы.

3. Сервер служит лишь для обмена ключами и зашифрованными сообщениями между пользователями одной группы.

4. Безопасность приложения подтверждена авторитетными ИБ-экспертами.

Сравнение с продуктами-аналогами

Получить дополнительную информацию о приложении можно на сайте или обратившись в компанию по адресу: info@anwork.eu

Об авторе Anwork

Программное обеспечение для безопасного корпоративного общения и обмена данными
Читать все записи автора Anwork

Добавить комментарий

Ваш адрес email не будет опубликован.