Wickr:重新定义消息平台,与联合创始人 Chris Howell 的访谈

作者:Petros Koutoupis
于 2019 年 6 月 14 日

在现代,消息应用程序是攻击者的持续目标,暴露漏洞,泄露民族国家的敏感信息以及内部员工的不当行为或做法。不断需要优先考虑一个人的网络安全,并将一个人的基础设施升级到最新和最出色的防御技术。然而,这些组织倾向于依赖的消息工具往往是最后才被保护的,甚至根本没有保护。这就是 Wickr 的用武之地。Wickr 是一款即时消息应用程序和平台,提供端到端加密和内容过期消息。其同名母公司认真对待安全,并构建了一款产品来展示这一点。我能够与联合创始人兼首席技术官 Chris Howell 聊天,他非常友善地向我提供了更多关于 Wickr 可以实现什么、如何工作以及谁将从中受益的信息。

Petros Koutoupis: 请介绍一下您自己,并告诉我们您在 Wickr 的角色。

Chris Howell: 我是联合创始人/首席技术官,负责技术战略、安全和产品设计。您可以在这里阅读我的完整简历。

Petros: 您认为当今消息应用程序的弱点是什么?

Chris: 到目前为止,至少在安全方面,几乎所有迄今为止的消息应用程序(以及所有其他应用程序和服务,实际上)的弱点在于,它们的构建都假设用户必须信任该服务。这种思维方式的问题在于,我们真的可以信任该服务吗? 这并不是说运行它们的人一定是坏人,但我们需要看到多少次违规行为(例如,2017 年 Equifax)或滥用行为(例如,2019 年 Snapchat)才能回答这个问题?一旦服务以这种方式构建,消息用户通常会遭受两种方式的损害。首先,在消息到达接收者的关键路径上的某个点,超出接收者范围的一些人可以读取消息。现在,该服务通常会指出各种安全认证和流程,让我们对此感到安心,但在大多数涉及人类的情况下,可能会发生的事情就会发生,并且为限制用户数据访问而采取的任何控制措施都只相当于一个口头承诺——当然,一旦打破承诺,就会给用户带来隐私和安全方面的损失。其次,由于如此受信任,该服务通常将“病毒式传播”和自身增长置于用户控制自身数据的需求之上,从而导致扫描消息内容以进行营销目的、比必要时间更长地保留消息以及滥用联系人以帮助服务增长等行为。

Petros: Wickr 如何帮助解决这个问题?

Chris: 当您想要安全时,考虑信任的正确方法是少即是多。“零信任”作为安全目标的概念,自我们在幼儿园保守秘密以来实际上并没有太大变化,理想情况下,如果您不需要信任某人,就不要信任,如果您不需要信任任何人,那就太好了。实际上,这意味着您需要信任处理对您重要的事物的人或事物越少,您通常就越好。Wickr 的构建就秉持这种零信任心态。我们的加密是真正的端到端加密,这意味着一旦消息离开发送者的应用程序,我们的消息实际上就无法解密,直到它们到达接收者的应用程序。您无需信任我们不会读取流经我们服务的消息,因为即使我们想读取,我们也无法读取。您也不需要信任链中的一大堆其他人,例如恶意的 5G 网络或受损的星巴克 Wi-Fi 网络上的攻击者。我们有意识地努力最大限度地减少我们收集和存储的与用户相关的信息类型,仅限于提供服务真正必要的,这再次颠倒了信任模型,使其与常态相反。我们不想收集用户信息,正是因为我们不想承担丢失或滥用它的风险,坦率地说,这实际上是用户的风险——他们将蒙受损失。

Petros: 谁最能从使用 Wickr 中受益?

Chris: 团队和企业应该特别密切地关注我们可以提供的产品。好吧,实际上任何人,只要想使用一种将用户安全和隐私利益置于一切之上的消息产品,都可以使用,但在过去一年多的时间里,我们一直在努力构建我们的 Pro 和 Enterprise 产品。我们收到的反馈非常棒,看到我们通过直接解决企业安全中经常被忽视和被认为是理所当然的方面,在那些将我们引入(首席信息安全官、总法律顾问、高管)的人眼中减少了多少净风险(又名令人头疼的问题),这真是令人惊叹。

Petros: Wickr 的未来会怎样?例如,用户在不久的将来可以或应该期待哪些令人兴奋的功能或功能?

Chris: 我认为我们最近悄然开发了两种功能,这两种功能刚刚开始在安全的团队和企业消息领域绽放出改变游戏规则的潜力。第一个是合规性,即支持企业治理和监管要求的能力,例如消息存档和数据泄露防护(DLP)等。这对于我们较大的客户来说尤其是一个巨大的需求,也是我们在安全方面需要解决的一个有趣的技术挑战。这也特别有意义,因为许多已经认识我们是即时消息应用程序的人坦率地(并且惊喜地)了解到我们现在可以同时提供这两种功能——即时消息和合规/托管消息。第二个是集成,这是另一个需要解决的有趣的技术挑战,它允许我们的客户将外部服务、API、聊天机器人等集成到 Wickr 中。这里的潜力是巨大的,我们已经看到客户以一些非常有创意的方式来运行它,例如与工作流程工具和人工智能引擎交互以及自动化内容交付。

Petros: 您还有什么想与我们的读者分享的吗?

Chris: 只是他们不应该害怕对他们的工具在隐私和安全方面有更高的期望,并且现在他们的企业和家庭有更好的沟通方式。没有必要牺牲您的安全。

要了解更多信息,请访问 wickr.com

Petros Koutoupis,LJ 特约编辑,目前是 Cray Lustre 高性能文件系统部门的高级性能软件工程师。他还是 RapidDisk 项目的创建者和维护者。Petros 在数据存储行业工作了十多年,并帮助开创了当今在野外释放的许多技术。

加载 Disqus 评论

近期文章

Stay Ahead of the Game: Essential Tools and Techniques for Linux Server Monitoring
保持领先地位:Linux 服务器监控的必备工具和技术
George Whittaker
Linux Meets AI: Top Machine Learning Frameworks You Need to Know
Linux 遇见 AI:您需要了解的顶级机器学习框架
George Whittaker
Linux Memory Management: Understanding Page Tables, Swapping, and Memory Allocation
Linux 内存管理:理解页表、交换和内存分配
George Whittaker
Mastering Software Package Management with Yum and DNF on CentOS and RHEL
掌握 CentOS 和 RHEL 上使用 Yum 和 DNF 的软件包管理
George Whittaker
Streamline Your Logs: Exploring Rsyslog for Effective System Log Management on Ubuntu
简化您的日志:探索 Rsyslog 以在 Ubuntu 上进行有效的系统日志管理
George Whittaker
Linux Networking Protocols: Understanding TCP/IP, UDP, and ICMP
Linux 网络协议:理解 TCP/IP、UDP 和 ICMP
George Whittaker