Сохранность персональной информации в теории не слишком заботит рядового пользователя, пока его не коснется кража конфиденциальных данных. Как минимум несколько раз в год хакерам удается взломать очередное облачное хранилище или защищенные мессенджеры и рассекретить пикантные фотографии знаменитостей из мира кинематографа, музыки и спорта.
Но если стремление увидеть самую выдающуюся часть тела Дженнифер Лопес можно понять, то, что же привлекает взломщиков в аккаунтах обычных людей? Ответ лежит на поверхности – это деньги, вернее сказать, возможности их получения. Какие данные могут получить злоумышленники, открыв для себя доступ к персональному профилю пользователя? Информации, которая может сослужить дурную службу своему законному владельцу, немало:
- Пин и CVV-коды банковских карточек;
- Номера расчетных счетов;
- Кодовые слова;
- Реквизиты вкладов и кредитных карт.
И на этом перечень опасной информации не ограничивается. Конечно, многие пользователи, увидев данный список, подумали про себя, что им не занимать бдительности, и разве что недалекий человек будет так свободно хранить в своем аккаунте в мессенджере пин-код от банковской карты. Безусловно, ситуации бывают разные.
Простой пример: фрилансер выполнил комплекс работ по договоренности и должен получить оплату своих услуг. Общение с заказчиком происходит через популярное приложение, и у исполнителя спрашивают номер карты или кошелька в системе электронной коммерции WebMoney. Знакомая ситуация? Необходимость передачи подобной информации возникает ежечасно по всему миру, именно поэтому мошенники постоянно находятся в поиске совершенных методов взлома.
Характеристики лучших защищенных мессенджеров
Риск разглашения конфиденциальных данных существует всегда, каким бы защищенным с технической точки зрения приложение не было. Однако это не значит, что в любой момент пользователь может обнаружить исчезновение денег со своей банковской карты.
Информация в оповещении сообщит название устройства, с которого выполнен вход, и предупредит о возможности смены пароля, если авторизацию произвел кто-то чужой. Описанная практика – лишь один из десятков методов обеспечения безопасности конфиденциальных данных. Между популярными мессенджерами наблюдается соперничество в данном аспекте. Чтобы сохранять активных пользователей и привлекать новую аудиторию, всемирно известные корпорации ежегодно тратят миллионы долларов на контроль безопасности систем.
Отличительная особенность самого безопасного мессенджера заключается в необходимости подтверждения входа в аккаунт с нового устройства. Обозначенная мера позволяет предотвратить хищение конфиденциальных данных. Суть метода такова: если злоумышленник похитит данные для входа в аккаунт пользователя и попытается ими воспользоваться, например, авторизоваться в профиле через свой смартфон, на электронную почту владельца аккаунта или привязанный номер телефона придет сообщение с уведомлением.
Согласно Фонду Электронных Рубежей (EFF), одной из наиболее известных правозащитных организаций в сфере высоких технологий, некоторые защищённые мессенджеры, предоставляют больший уровень безопасности против происков Большого Брата, чем другие аналоги. EFF провела свой собственный анализ существующих месседжеров по ряду внутренних критериев, среди которых попадались и такие, как «Является ли код открытым для независимого исследования?» или «Будут ли защищены данные, если ваши ключи будут украдены?».
Надо ли говорить, сколь малое число мессенджеров соответствовало вышеперечисленным требованиям?
И из этой пригоршни мессенджеров, полностью соответствовавших этим критериям, лишь немногие могли претендовать на звание «дружелюбный», по отношению к своим пользователям. Другими словами, это такие приложения, которые не требуют танцев с бубном при установке и наладке, и удобны для повседневного пользования для тех из нас, у кого нет диплома МГТУ или MIT. Нелишним будет отметить, что такие популярные мессенджеры, как WhatsApp , Facebook Messenger , Viber или Skype , находятся в самом низу этого списка, ввиду их выдающейся небезопасности. Впрочем, уже подрастает новое поколение приложений, в которых высокий уровень безопасности, органично сочетается с простотой применения.
Signal (оценка EFF - 7/7)
Сложно представить лучшую рекомендацию, чем тот факт, что этим мессенджером пользуется сам Эдвард Сноуден. Разработчик приложения, некоммерческая группа Open Whispers, не так давно объединила их защищённый мессенджер и криптостойкую голосовую платформу в одном приложении Signal.
Также изменениям подвергся и дизайн интерфейса, сделавший Signal универсальным приложением для всем, кто желает сохранить свои переговоры в тайне. Теперь у приложения есть защищенный чат, файлообменник и закодированная голосовая связь. При всём при этом, Signal выглядит, словно мессенджер-текстовик, который вы используете каждый день. К тому же, он предлагает шифрование типа «end-to-end» (прямая передача, от пользователя к пользователю) и функционал TOR’а.
Telegram (оценка EFF – 7/7)
Если нашего первого гостя рекомендует сам Эдвард Сноуден, то номер два нашего списка обожают плохие парни из радикальных организаций. И не мудрено, ведь благодаря этому творению Павла Дурова, АНБ и другим спецслужбам остаётся только кусать локти. Ведь даже тот факт, что они могут просканировать каждую линию связи, не поможет, если на выходе они получат совершеннейшую абракадабру, благодаря последним достижениям в области криптографии и шифрования. Плюс к этому, Telegram является мессенджером с децентрализованной инфраструктурой, что, по словам его разработчиков, делает его самым быстрым из всех мгновенных мессенджеров. Его дата-центры размещены по всему миру, благодаря чему, вы можете просто соединиться с ближайшим из них, экономя своё время. Также, по нашему мнению, это сильно осложняет процесс вашего отслеживания, через провайдера. Но даже это ещё не все его фичи. Помимо стандартных функций, вроде шифрования «end-to-end» или ликвидации всех ваших следов на серверах, вы также можете выставить период самоликвидации ваших сообщений, прямо с мобильного устройства. Так что, вы можете быть уверенными, что по завершению сессии, все ваши переговоры останутся в тайне.
Всё это безусловно радует доморощенных шпионов, но если вы захотите оставить свои сообщения на будущее, они могут быть запросто сохранены в специальном облачном хранилище, в которое вы сможете получить доступ с любого устройства на Android. И не забудьте про такую мелочь, как отсутствие ограничений на размер сообщений и длину разговорной цепочки, и тот факт, что вы можете передавать вместе с ними файлы, включая видео размером до 1Гб. Ну и конечно, там есть групповые чаты, в которых могут участвовать более ста человек, одновременно.
Threema (оценка EFF 6/7)
Threema, это мессенджер от одноимённой команды разработчиков из Германии, который может похвастать не только простым и элегантным дизайном, но и шифрованием «end-to-end» для всей вашей переписки, включая групповой чат, приватные сообщения и обмен файлами, а также располагает некоторым функционалом социальных сетей.
Именно в этом и заключается главное достоинство Threema. Он позволяет вам создавать скрытые группы для голосования, пересылать зашифрованные тексты и голосовые сообщения, подтверждать контактные данные, сканируя их личные QR-коды и многое другое. К тому же, вы можете обмениваться всевозможными файлами и ссылками, которые, можно предварительно просматривать, точно так же, как и на любом популярном мессенджере.
Wickr: Top-Secret Messenger (оценка EFF 5/7)
Wickr является детищем сумрачного разума известного хакера-активиста Nico Sell, появившегося на свет, в ходе одной из конференций DEFCON, с целью обеспечить активистов движения безопасной линией связи. В первую очередь, от правительственных спецслужб. В принципе, это удалось на славу, вот только использование армейских алгоритмов шифрования означает, что даже сами сервера Wickr не смогут идентифицировать владельцев аккаунтов. При всём, при этом, это приложение довольно известно: оно упоминалось в клипе на песню Игги Азалии «Black Widow», а также, в новостях проскальзывала информация, о том, что им пользуются некоторые австралийские политики, которые не хотят, чтобы их переговоры стали достоянием общественности.
С помощью этого приложения вы можете обмениваться сообщениями или файлами, с функцией самоуничтожения, которая может выставляться в переделах от нескольких секунд до шести дней. Причем, если вам нужно, данный период можно выставить индивидуально для каждого сообщения. Его создательница, Nico Sell, попыталась сделать своё творение максимально дружелюбным к своим пользователям, подарив ему быстрый и аккуратный интерфейс и до предела упрощённый процесс установки, при этом сохранив высочайший уровень защищённости передаваемой информации. Так что он запросто заменит все ваши WhatsApp, Facebook Messenger, Viber или Skype, сохранив, при этом, всё их сессии в виде ссылок-превью.
ChatSecure (оценка EFF 7/7)
Этот мессенджер расположился внизу списка, несмотря на высочайшие оценки EFF, из-за своего дизайна, который язык не поворачивается назвать «дружелюбным». Нет, он вполне комфортабелен для работы и полностью отвечает всем требованиям EFF, вплоть до «Должным образом ли задокументированы все данные по безопасности?», как и первая пара, но всё-таки, по части удобства до лидеров ему далековато.
В сущности, ChatSecure – это защищенный чат с открытым кодом, поддерживающим шифрование «off-the-Record», поверх XMPP. И, что самое привлекательное в его установке, вы сможете повысить защищенность своих Facebook- или Google-аккаунтов, создав новые на серверах XMPP или воспользовавшись сетью Tor, или же, как вариант, создав свой собственный сервер, для повышения защищенности.
Являясь приложением с открытой лицензией, ChatSecure может работать с любой другой платформой, поддерживающей OTR или XMPP, вроде Adium, Jitsi и им подобные. Среди его недостатков - некоторая сложность в установке и настройке, по сравнению с остальными программами, но без сомнения, это один из наиболее защищенных мессенджеров на Android Market .
Проблема с подобными приложениями состоит не в шифровании, а в протоколировании метаданных. Какой из мессенджеров лучше, вы узнаете из блока на следующей странице. Сам Сноуден рекомендует программу Signal. Его выбор необычайно хорош - к такому же мнению пришли и исследователи проблем безопасности из Оксфордского, Квинслендского университетов и университета Макмастера.
И все же сегодня и WhatsApp, и Facebook делают ставку не только на собственные приложения, но и на протокол Signal. Благодаря этому данные полностью и надежно шифруются по принципу end-to-end (сквозное шифрование). В Facebook Messenger вам придется, однако, сначала активировать эту функцию в меню «Я | Секретные переписки».
Оптимизация. В Facebook Messenger сквозное шифрование сначала необходимо задействовать через пункт «Секретные переписки»
У WhatsApp и Facebook сами сообщения не могут быть отслежены, однако Facebook целиком сохраняет метаданные. В связи с этим мы рекомендуем склонить всех своих знакомых к переходу на приложение Signal. И все же, несмотря на предостережения, многие спокойно могут продолжать пользоваться WhatsApp и другими приложениями.
В WhatsApp необходимо дополнительно убедиться, чтобы как можно меньше информации проходило через серверы компании. Для этого зайдите в настройки приложения и отключите в разделе «Приватность» первые три опции. Не забудьте избавиться и от «Отчетов о прочтении». Так на серверы WhatsApp попадет минимальное количество метаданнных.
Если вам повезет, вы сможете уговорить собеседников, с которыми вы общаетесь чаще всего, перейти на использование приложения Signal. По отношению к безопасности и приватности на данный момент у него нет конкурентов. Существуют версии программы для iOS и Android. В ближайшее время разработчики планируют выпустить обновление, в котором интерфейс в плане удобства использования ориентирован на WhatsApp.
Избавляемся от прослушки
Для повседневных разговоров с использованием смартфонов не обязательно покупать криптофон, который по умолчанию шифрует беседу. В большинство мессенджеров уже интегрировано приложение для бесплатных звонков. Его преимущество заключается не только в шифровании, а еще и в том, что его использование не будет стоить вам ни копейки.
Для максимального сокращения расхода трафика на телефонные разговоры активируйте «Экономию данных»
Все, что вам требуется, - это подключение к Интернету. Однако не забывайте, что при этом расходуется примерно 1 Мбайт трафика в минуту. Если разговаривать таким способом в среднем час в день, в месяц у вас уйдет 1,8 Гбайт. Для долгих бесед советуем пользоваться открытыми сетями Wi-Fi.
Впрочем, с помощью одного трюка вы можете сократить расход трафика. В разделе «Настройки | Данные» поставьте флажок рядом с опцией «Экономия данных». Теперь в приложении не будет использоваться технология HD-Voice, при этом качество звонка ухудшится, но потребление трафика понизится.
Если применить все советы, представленные в данной статье, вы практически идеально убережете свою информацию от атак. В большинстве случаев после этого даже у секретных служб не останется шансов добраться до ваших данных.
Понятно, что стопроцентной защиты не существует. Но теперь для просмотра потребуется приложить неимоверные усилия, поскольку данные оптимальным образом зашифрованы и защищены, даже когда разведки Великобритании и США проводят полномасштабную слежку.
Самый безопасный мессенджер
> WhatsApp После поглощения сервисом Facebook базы данных компаний все сильнее объединяются. В будущем информация всех пользователей WhatsApp будет автоматически синхронизироваться с Facebook, что позволит этой службе создавать точные профили. При этом сам мессенджер в принципе очень надежен. Внедрение сквозного шифрования для всех клиентов и видео- и аудиотелефонии было встречено на ура.
> Signal Самым безопасным мессенджером на данный момент является Signal. Отличное шифрование и оптимальные профили приватности: приложение сохраняет лишь момент регистрации и последнего использования. Разработчикам, однако, еще нужно серьезно поработать над удобством обслуживания.
> Threema Гораздо комфортнее работать со швейцарским продуктом Threema. Полное шифрование, незначительный сбор информации и качественная помощь пользователю объясняют звание лучшего мессенджера.
Нюанс: пока у этого приложения еще слишком мало фанатов. Но ситуация может измениться: после выборов в США был зарегистрирован прирост пользователей почти на 40 процентов.
Фото: компании-производители; vchalup, tashatuvango, Scanrail, Oleksandr Delyk, 2nix/Fotolia.com
Все чаще с разных уголков мира доносятся вести о том, что хакеры или спецслужбы получили доступ к переписке высокопоставленных лиц, знаменитостей, сотрудников государственных органов и так далее. Даже из событий последних дней можно навскидку привести несколько примеров.
Почему важно защищать переписку
Пресловутые «русские хакеры»
В начале июня 2017 года американское издание под названием «The Intercept» опубликовало информацию из секретного отчета АНБ США о расследовании попыток взлома систем голосования накануне резонансных выборов Президента США в 2016 году. Сотрудникам АНБ удалось установить, что некоторая группа хакеров атаковала, как минимум, одного изготовителя систем электронного голосования.Естественно, хакеров предположительно считают российскими, хотя доказательств этому пока не найдено. Однако факт остается фактом – хакерам, кем бы они ни были, оказалось под силу забраться в «святая святых» американской демократии.
Неугодный Павел Дуров
В конце мая 2017 года широко известный в России Павел Дуров, бывший генеральный директор социальной сети Вконтакте, а ныне – создатель и руководитель проекта Telegram, недавно получил от сервиса Google сообщение о попытке взломать его аккаунт «проправительственными хакерами». Причем, на своей страничке в «Twitter» Дуров поспешил огорчить спецслужбы сообщением о том, что он не пользуется сервисом Google для важной переписки.Казахстанский режиссер на митинге
Весной 2017 года казахстанский кинорежиссер Марат Телеуов рассказал о своем опыте общения с сотрудниками правоохранительных органов. С полицейскими Марат «познакомился» из-за участия в митинге против передачи земли иностранцам в мае 2016 года. Этот вопрос оказался злободневным для современного Казахстана, на митинг вышло большое количество людей, а правоохранители ответили массовыми задержаниями.Во время допроса режиссеру продемонстрировали скриншоты его переписок из электронной почты и социальных сетей, угрожая посадить за призыв к митингу. К счастью, Телеуов в действительности не призывал соотечественников к беспорядкам, и в результате смог доказать свою невиновность. Однако наглое вторжение в его личную жизнь, давление во время допросов и 8 часов, проведенные без еды и питья, запомнились ему надолго.
Каждый находится под угрозой
Перечисленные выше примеры показывают, что никто: от государственной службы до обычного человека – не застрахован от ситуаций, когда данные взломанной переписки будут использованы против него. Вы можете подумать, что обычному человеку, не знаменитости, не сотруднику государственных органов, не политическому активисту, бояться нечего. Однако в действительности ваша частная жизнь в любой момент может быть вывернута наизнанку и превращена в доводы обвинения.При этом стоит помнить, что ваша переписка также очень интересует злоумышленников. Мошенники могут использовать ее для получения доступа к вашей банковской карте, шантажа и других малоприятных способов выудить из вас деньги. И даже более безобидные случаи, когда почтовые ящики или аккаунты в социальных сетях взламывают просто ради рассылки вирусов или спама, причиняют их владельцам немало неудобств.
Если вы хотите, чтобы ваша частная жизнь таковой и оставалась, и чтобы никакой чужой человек не посмел в нее вмешаться, необходимо развивать культуру безопасного использования мессенджеров, почтовых сервисов, социальных сетей и т.п. И главное правило информационной безопасности – использовать для важных, конфиденциальных, личных переписок только защищенные мессенджеры. Сегодня эта тема достаточно популярна, и потому ту или иную степень защиты данных гарантируют довольно многие приложения. Оценим уровень безопасности каждого из них.
Шесть самых защищенных мессенджеров (по версии SECRETVPN)
Signal (ранее назывался RedPhone)
В AppStore приложение появилось в июле 2014 года, а в Google Play – в ноябре 2015 года. Над созданием мессенджера трудились члены некоммерческой организации OWS (Open Whisper Systems). Приложение можно использовать для обмена звонками и сообщениями с абонентами, чьи контакты значатся в вашей телефонной книге.
Signal использует технологию сквозного шифрования «Double Ratchet». Пользователи Signal, которые начинают переписку, сразу же инициируют создание двух ключей шифрования, которые существуют только на их телефонах. А при попытке позвонить пользователи видят на своих экранах случайно выбранные словосочетания, которые должны совпадать.
На серверах приложения не хранится никаких ключей, равно как и информации о полученных абонентом сообщениях и звонках. Поклонником Signal, равно как и других проектов OWS, является широко известный Эдвард Сноуден. (твит от эдварда сноудена)
Wire
Это приложение создали разработчики из Microsoft, Skype, Nokia и Apple. Первая версия мессенджера появилась в 2014 году и сразу стала кроссплатформенной: установить Wire можно на Android, iOS и даже Mac OS. Изначально программа отличалась от аналогов, преимущественно, звездным составом разработчиков. Ее можно использовать для передачи сообщений и голоса, выполнения групповых звонков и чатов, а также для отправки музыки и видео.
Однако в 2016 году Wire был дополнен шифрованием по алгоритму «end-to-end». Это, опять же, принцип, в соответствии с которым все ключи для шифрования и расшифровки данных создаются только на устройствах участников переписки. Любая информация, которую один абонент передает другому, имеет абсолютно нечитаемый вид до тех пор, пока она не достигнет адресата. По сути, это то же шифрование, которое использует Signal.
Мессенджер зарегистрирован в Швейцарии – стране, законодательство которой славится своим уважением к тайне частной жизни. Кроме того, Wire обеспечивает надежное шифрование данных вне зависимости от того, какое устройство и ОС использует абонент.
Silent Phone
Этот мессенджер представляет собой один из инструментов пакета Silent Circle, к использованию которого в своих интервью все так же призывает Эдвард Сноуден. Компания Silent Circle занимается разработкой различных продуктов для безопасной связи. У ее истоков стоят известные специалисты по шифрованию: Джон Каллас, Фил Зиммерман, Майк Джэнке.По своему функционалу мессенджер Silent Phone довольно стандартен: с его помощью можно писать сообщения и совершать звонки, а также передавать различные файлы. Кроме того, пользователи могут «отзывать» сообщения, которые уже были отправлены, стирая все доказательства их существования в приложении. Передача данных выполняется через пиринговые компьютерные сети повышенной устойчивости, при этом информация шифруется по протоколу SCIMP – собственной разработке компании.
Технология SCIMP, в свою очередь, основана на протоколе ZRTP. Суть его применения сводится к следующему (на примере звонков):
- при вызове абонента генерируется публичный ID;
- этот ID используется для формирования ключей, с помощью которых текущий разговор будет зашифровываться;
- по завершении разговора пара ключей, сформированная в его начале, уничтожается;
- после разговора никто не может расшифровать содержание сессии извне.
Threema
Threema – это защищенный мессенджер швейцарского производства, который достаточно популярен среди сотрудников российских правоохранительных органов, бизнесменов и государственных служащих. Функционал приложения стандартен: обмен текстовыми и голосовыми сообщениями, открытие групповых чатов, передача различных файлов, синхронизация контактов и т.п.
До недавних пор некоторые эксперты нарекали Threema чуть ли ни самым защищенным мессенджером из существующих. Приложение использует все тот же механизм сквозного шифрования, благодаря которому ключи, необходимые для раскодирования информации, существуют только на устройствах пользователей. Кроме того, для использования Threema не нужно вводить адрес электронной почты или даже номер телефона, что делало приложение максимально анонимным.
В России к этому мессенджеру с недавних пор относятся с опаской, поскольку Роскомнадзор внес его в Реестр организаторов распространения информации. Насколько старательно будут следовать российскому законодательству создатели приложения, и повлияет ли это на украинских пользователей – неизвестно, однако многие поклонники Threema теперь предпочитают вести конфиденциальные беседы в других мессенджерах.
WhatsApp, можно назвать одним из наиболее популярных приложений для бесплатного обмена звонками и сообщениями, ведения групповых чатов, отправки файлов и тому подобных операций. Нельзя сказать, что это самый защищенный мессенджер, однако в 2016 году он обзавелся механизмом сквозного шифрования данных для всех своих пользователей.Для этих целей руководство WhatsApp договорилось с представителями OWS, которые предоставили им свой фирменный Signal Protocol. Ключи для шифрования информации не только формируются лишь на устройствах абонентов, но и периодически меняются, чтобы даже при взломе одного ключа злоумышленник не смог прочитать всю переписку. Участие в разработке этой системы принимал Мокси Марлинспайк, один из создателей мессенджера Signal.
Стоит отметить, что WhatsApp изначально не позиционировался как безопасный мессенджер. Появившийся на рынке одним из первых, он завоевал пользователей, в первую очередь, благодаря возможности бесплатно писать сообщения и звонить другим абонентам, используя лишь подключение к интернету. Поэтому говорить о максимальной защищенности мессенджера не приходится, особенно с учетом его закрытого кода, не позволяющего любознательным пользователям помогать разработчикам WhatsApp в поиске и устранении уязвимостей.
Однако на сегодняшний день приложение шифрует данные пользователей гораздо более основательно, чем пару лет назад.
Telegram
Новый проект Павла Дурова, впервые увидевший свет летом 2013 года, является самым разрекламированным защищенным мессенджером на постсоветском пространстве. Telegram позволяет отправлять сообщения, обмениваться файлами, вести групповые чаты. Также в мессенджере можно редактировать сообщения, удалять их и настраивать самоуничтожение по истечении определенного периода времени. Аккаунт привязан к номеру мобильного телефона, хотя связываться с пользователями можно и по их псевдонимам.В качестве метода шифрования использован протокол MTProto, разработанный Николаем Дуровым(братом основателя Вконтакте) и другими специалистами из команды Telegram. Этот протокол объединяет в себе несколько популярных протоколов: RSA-2048 для аутентификации и авторизации, DH-2048 для кодирования данных, AES при пересылке сообщений и т.д.
Хотя приложение действительно отличается высокой степенью защиты данных, говорить о том, что Telegram – это самый защищенный мессенджер, все же не стоит. К примеру, критике подвергается привязка аккаунта к номеру телефона, а также тот факт, что содержимое обычных чатов (не секретных) и телефонной книги на протяжении некоторого времени хранится на серверах Telegram.
Мэтью Грин, профессор по криптографии из Университета Джона Хопкинса, как и ряд других специалистов, ставит под сомнение целесообразность использование собственного протокола шифрования. Особенно недоумевает профессор по поводу того, что разработкой протокола занимались не криптографы, а математики, которые не могут безошибочно убедиться в отсутствии уязвимостей в его механизме.
Позиция властей или на что обратить внимание
Представители руководства различных государств, как правило, высказываются против повышения уровня защищенности мессенджеров. В России это «пакет Яровой», в Великобритании – заявление главы МВД Эмбер Радд о недопустимости кодирования информации в WhatsApp после теракта 22 марта 2017 года, в США – разрешение на использование любых данных с телефонов подозреваемых, и так далее.В большинстве случаев чиновники оправдывают свою позицию борьбой с терроризмом и преступностью. И далеко не все IT-компании ценят безопасность данных своих пользователей больше, чем «дружбу» с властями. Поэтому использование защищенных мессенджеров, которые шифруют данные так, чтобы раскодировать их могли только сами пользователи, становится насущной необходимостью в современных условиях.
Выбор конкретного приложения за вами, однако не забывайте держать руку на пульсе событий. Необходимо бдительно следить за тем, как развиваются отношения разработчиков выбранного мессенджера с представителями государственного руководства.
Надеемся наша статья помогла вам определится с тем какой мессенджер выбрать, также рекомендуем использовать
Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится - люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.
Недавно на «Хакере» был опрос « », и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?
Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.
Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard , но выбрали другие критерии - на наш взгляд, более важные.
Критерии
FOSS
Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.
Степень централизации
Здесь возможен один из трех вариантов:
Возможность анонимной регистрации и использования
Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.
В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).
Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.
Наличие End-to-End Encryption (E2EE)
Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.
Синхронизация E2EE-чатов
Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.
Уведомление о необходимости проверки отпечатков E2EE
При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.
Запрет делать скриншот секретного чата
Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.
Групповые E2EE-чаты
Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух - говори вслух» стоит оставить для детей.
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах
При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.
Защита социального графа
Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть .
WWW
Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).
Telegram
Лицензия:
формально - GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации:
централизованный
нет
Наличие E2EE:
реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов:
нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
есть, но работает не на всех устройствах
Групповые чаты E2EE:
нет
Защита социального графа:
нет
Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка - отдельная тема для разговора.
Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.
Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).
В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.
Signal
Лицензия:
AGPLv3
Степень централизации:
централизованный
Возможность анонимной регистрации и работы:
нет. Кроме номера телефона, других вариантов нет
Наличие E2EE:
есть
Синхронизация E2EE-чатов:
есть
Уведомление о проверке отпечатков E2EE:
нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов:
можно включить или выключить
Групповые чаты E2EE:
есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах:
нет
Защита социального графа:
есть
Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол - Signal Protocol . Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.
Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, - нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo - режим инкогнито (Incognito Mode).
Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения .
Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).
