Все, что используется для общения, небезопасно

Вот взять, например, известный всем и каждому Skype. Еще 10 лет назад это был удобный, отличный и вполне безопасный мессенджер. Взломать его не могли даже профессионалы из правительственных структур. Но после того как компания перешла в собственность «Майкрософт», очень многое изменилось. Сегодня специалисты по информационной безопасности, к сожалению, не дают гарантий безопасности указанного протокола и системы.

WhatsApp, через который каждый день проходит около 10 миллиардов сообщений, также отнюдь не безопасен, как об этом говорят создатели. О его многочисленных уязвимостях только в версиях приложения для Android каждый день пишут в соответствующих изданиях. Взять хотя бы недавние исследования – в них утверждается, что логи переписки, даже если они зашифрованы, успешно взламываются при помощи небольшого и несложного скрипта. Нет доверия к этому сервису еще и потому, что недавно компанию купила Facebook. Цукерберг заплатил миллиарды за технологии, но не за личную переписку пользователей.

Если кто-то думает, что у него безопасный мессенджер, то специалисты утверждают, что это не так. Сотрудники ФСБ РФ получают переписку из Viber проще, чем распечатку SMS от операторов мобильной связи. iMessage от Apple тоже не совсем надежно защищен. Так, любой желающий может получить переписку, а большие компании вряд ли захотят спорить с государством.

Но, как известно из школьного курса физики, на каждое действие существует противодействие – сам факт того, что пользователям приходится работать со слабо защищенными софтом для общения, привел к появлению решений, которые позиционируют себя как безопасный мессенджер.

Криптофоны

Android — сложная операционная система, а степень защиты любой системы соответствует таковой для самого слабозaщищенного компонента. Поэтому на рынке появляются криптофоны — максимально защищенные смартфоны. Silent Circle выпустила две версии Blackphone. BlackBerry создала Priv, а Macate Group представила в прошлом году GATCA Elite.

Парадокс в том, что, пытаясь сделать Android надежнее, все эти компании создают его более консервативную, усложненную… и менее надежную версию. Например, в Blackphone приходится использовать старые версии приложений из проекта AOSP, в которых накапливается много известных уязвимостей. Обновлять их вручную оперативно не получится, а ставить магазин приложений — это самому создавать брешь в охраннoм периметре.

Доходит до абсурда: предустановленное приложение для защищенной переписки SilentText долгое время использовало библиотеку libscimp, в которой давно выявлена утечка памяти. Достаточно было отправить модифицированное сообщение, чтобы его команды выполнились от локального пользователя и предоставили удаленный доступ к содержимому Blackphone.

Whatsapp

Значительно лучше оценки у пока еще самого популярного в России мессенджера Whatsapp. Как видно, претензии к нему возникли только по причине закрытого кода, который теоретически может скрывать уязвимости для хакеров или оставлять лазейки разработчикам каким-то образом получить доступ к переписке пользователе.

Однако, на наш взгляд, более слабое место WhatsApp в системе хранения сообщений. Они не хранятся на сервере, но резервная копия сохраняется на смартфоне и, если у пользователя телефон Android, то и на его Google Диске. Если Google-аккаунт пользователя защищен хорошим паролем и двойной аутентификацией, то взломать его сложно. Тем не менее, если не защищенный паролем телефон каким-то образом окажется в руках смышленых злоумышленников, то они смогут восстановить сообщения непосредственно с Google-диска. Впрочем, перейдя в Настройки, в пункте «Чаты» хранение резервных копий легко отключить. В то же время резервное копирование в память устройства отключить нельзя. То есть из соображений безопасности сам телефон должен быть зашифрован.

Звонки через мессенджер WhatsApp зашифрованы.

Павел Луцик, руководитель проектов направления информационной безопасности компании КРОК:

Большинство современных мессенджеров так или иначе стараются заботиться о безопасном обмене сообщениями или по крайней мере позиционировать себя именно так. Вообще защита (шифрование) передаваемого в интернете трафика — это общемировой тренд, которого придерживаются все крупнейшие разработчики.

На мой взгляд, наиболее безопасными мессенджерами можно считать следующие:

Telegram

Продукт использует сложный протокол шифрования MTProto и за его взлом обещают $200 тысяч. Ранее считался самым безопасным, но в последнее время в части защищенности в его сторону появляется все больше критики.

Threema

Использует для шифрования безопасный протокол, основанный на эллиптических кривых, а также механизм добавления новых контактов непосредственно при встрече (с помощью считывания QR-кодов).

Silent Text (Silent Circle)

В его разработке принимает участие Филипп Циммерманн — автор известной технологии PGP. Важная особенность мессенджера — возможность удалить любое уже отправленное сообщение. При этом ни на одном устройстве не останется и следа.

WhatsApp – быстрый и многофункциональный мессенджер для безопасного и комфортного общения

WhatsApp — один из самых популярных мессенджеров

Бесплатная и общедоступная для пользования программа, которая абсолютно заслужено пользуется популярностью среди пользователей со всего мира. Есть широкий выбор стикеров. Все сообщения переписок хранятся в телефоне и на облачном сервере iCloud с поддержкой протокола шифрования групповых чатов. Содержание самих бесед не сохраняется, однако остаются известны телефонные номера, IP-адреса отправок и модели гаджетов, между которыми происходила коммуникация.

Использование трафика – минимальное, поэтому вы можете комфортно использовать программу даже через лимитированный мобильный интернет.

С весны 2016-го года WhatsApp внедрил опцию сквозного шифрования, поэтому все данные пользователей находятся в полной сохранности.

Программа доступна для скачивания на любое мобильное устройство, также есть версия для ПК.

Signal скомпрометирован

Израильская компания Cellebrite, разработчик шпионского ПО, заявила, что сумела взломать мессенджер Signal. По данным портала TechRadar и разработчика антивируса AVG, Signal – это самый защищенный мессенджер в мире.

Обойти защиту Signal специалисты Cellebrite смогли при помощи собственного программного инструмента Physical Analyzer, предназначенного для систематизации и обработки информации, полученной со смартфона.

Они постоянно работают над его усовершенствованием, и один из апдейтов позволил им, по их утверждению, взломать Signal.

В основе Signal лежит проприетарная система шифрования текста и контента Signal Protocol с открытым исходным кодом.

Полностью расшифрованная переписка в Signal. Теперь никто не застрахован от утечки сообщений

Эта система также используется компаниями Facebook и Microsoft в своих месседжерах, но в них она шифрует только текстовые сообщения, а не передаваемые файлы.

WhatsApp

Значок мессенджера WhatsApp

Наиболее популярной программой считается Ватсап.

Основные функции, которые доступны:

1 Можно скачать и установить на Android, iPhone, компьютеры Windows или Mac – скачивается и устанавливается легко.

2 Обмен сообщениями с помощью интернет-соединения: Wi-Fi или мобильного. В зависимости от оператора и выбранного тарифа может взиматься плата за передачу данных – я с этим не сталкивалась.

3 Групповой чат, в котором можно обмениваться сообщениями, фото и видео одновременно с 256 участниками – действительно, удобно.

4 Аудио и видео звонки – полный аналог телефонной связи и видео связи, но только с использованием Интернета (бесплатно и безлимитно по Wi-Fi, платно при использовании мобильного интернет трафика). Мобильный телефон при этом используется исключительно в режиме работы через Интернет, а не через сотовую связь.

5 WhatsApp Web клиент для компьютеров – на компьютере можно установить приложение, которое будет синхронизироваться с WhatsApp на мобильном телефоне. Тогда общаться с друзьями и знакомыми можно с использованием клавиатуры и монитора компьютера, хотя связь будет обеспечивать мобильный телефон.

По смартфону удобно общаться с помощью аудио или видео звонка. Для многих людей текстовые сообщения удобнее набирать и отправлять, используя компьютер или ноутбук. Чаты в ватсапе легко синхронизируются на всех устройствах.

6 Обмен файлами: фото, видео – быстрый обмен данными, не прибегая к помощи электронной почты.

Кроме того, используя встроенную камеру на смартфоне, можно сделать снимок и мгновенно отправить фото или видео. Даже при медленном интернете это неплохо работает.

7 Документы – отправка «прикрепленных файлов» также не прибегая к услугам электронной почты, прямо с помощью мессенджера.

Отправить можно любой файл до 100 Мегабайт: в формате PDF, документ, презентации, электронные таблицы и т.п.

Тут важно, чтобы получатель на своем телефоне или компьютере смог открыть прикрепленные файлы, чтобы у него были возможности для просмотра этих файлов. Иначе получатель не сможет  посмотреть, что ему прислали.

8 Голосовые сообщения – говоришь, но тебя не слушают сразу, а прослушивают присланное сообщение, когда появится возможность и время для этого.

Можно быстро записать голосовое сообщение и сразу же его отправить. Подойдет тем, кто любит общение голосом, но не любит набирать текстовые сообщения. Но не подойдет тем, кто не любит прослушивать присланные сообщения. Такие сообщения не найдут своего благодарного слушателя, их попросту не будут слушать.

Threema

Если для регистрации в предыдущих мессенджерах необходимо указывать номер телефона, то Threema работает совершенно анонимно. Приложение было создано в Швейцарии и используется правительством государства. О законах защиты персональных данных в этой стране говорить излишне.

Threema не запрашивает никакой информации о пользователе в начале работы, присваивая индивидуальный случайный идентификатор. Копии сообщений здесь не сохраняются.

Мессенджер по умолчанию шифрует как любую коммуникацию, так и ваш статус. Присутствует возможность запаролить определенные чаты и скрыть к ним доступ.

Единственный минус Threema – сервис платный, хотя подписка и не требует обновления. При регистрации придется заплатить около $3.

Signal и его аналоги

Предоставляемое Signal сквозное шифрование сегодня применяется как в одноименном мессенджере от Open Whisper Systems, так и во многих сторонних: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat — все они используют оригинальную или слегка модифицированную версию Signal Protocol, иногда давая им собственные названия. Например, у Viber это протокол Proteus — по сути, тот же Signal с другими криптографическими примитивами.

Однако при схожей реализации сквозного шифрования приложение может компрометировать данные другими способами. Например, WhatsApp и Viber имеют функцию резервного копирования истории переписки. Вдобавок WhatsApp отправляет статистику общения на серверы Facebook. Защита у локальной и облачной копии переписки формальная, а метаданные вообще никак не шифруются — об этом открыто говорится в лицензионном соглашении.

По метаданным видно, кто с кем общается и как часто, какие устройства для этого использует, где при этом находится и так далее. Это огромный пласт косвенной информации, которую можно использовать против собеседников, считающих свой канал связи защищенным

Например, АНБ неважно, какими именно словами подозреваемый поздравил Ассанжа с оставлением Обамы в дураках и что Джулиан ему ответил. Важно то, что они переписываются

Как уже говорилось выше, все мессенджеры периодически меняют сессионные ключи шифрования, и это нормальный процесс. Основной же ключ может смениться, если собеседник перебрался на другое устройство, надолго ушел в офлайн… или кто-то начал писать от его имени, угнав аккаунт.

В оригинальном приложении Signal всем участникам беседы в таком случае отправляется уведомление о смене ключа. В WhatsApp и других мессенджерах эта настройка по умолчанию отключена, так как она не несет большинству пользователей значимой информации. Также ключ меняется при долгом отсутствии собеседника онлайн — это и баг, и фича одновременно.

Включение уведомления о смене ключа в WhatsApp

Как писал по этому поводу исследователь из Калифорнийского университета в Беркли Тобиас Бёлтер (Tobias Boelter), при атаке на сервис возможно создать новый ключ и получить сообщения вместо адресата. Более того, то же самое могут сделать и сами операторы серверов WhatsApp — например, по запросу спецслужб.

Разработчики протокола Signal опровергают выводы Бёлтера и встают на защиту WhatsApp. По их словам, подмена ключа дает доступ только к недоставленным сообщениям. Слабое утешение.

Включить уведомление о смене ключа можно в настройках, вот только на практике этот режим параноика вряд ли что-то даст. Мессенджер уведомляет о смене ключа только после повторной отправки сообщений. Считается, что так удобнее самим пользователям.

Gliph — мессенджер и кошелек

Цена: бесплатно. Платформа: браузер, iOS, Android.

Мобильный мессенджер Gliph, помимо обеспечения безопасной переписки, дает возможность защитить еще и свою платежную историю — правда, только в случае использования криптовалюты Bitcoin. В приложение можно интегрировать учетные записи в системах Coinbase и Blockchain.info, после чего отправлять «монеты» людям из своего контактного листа или использовать для оплаты покупок, сканируя QR-коды в работающих с Bitcoin магазинах. Конечно, это можно делать только жителям других стран: в России Bitcoin запрещено использовать в качестве платежного средства.

Gliph — мессенджер, через который можно оплачивать покупки

Мессенджер имеет версии для мобильных устройств на Android и iOS, а также веб-версию для работы в любом браузере. С ее помощью можно создать через браузер защищенный канал связи с любым человеком, даже если у него не установлено само приложение Gliph.

Viber

Пожалуй, самый популярный на просторах бывшего СССР. (В мире лидирует WhatsApp, но он до последнего времени был платным, что не очень привлекательно для нашего человека.) Мессенджер Viber имеет богатый функционал — помимо привычных всем опций, он даже позволяет осуществлять перевод денег через систему Western Union. Раньше Viber “хромал” по части безопасности, но в последнее время разработчики хорошо потрудились, чтобы сделать из него действительно безопасный мессенджер — например, добавили скрытые чаты и сквозное шифрование. Правда, последнее работает еще не во всех странах. Из имеющихся недостатков можно отметить то, что сообщения хранятся на сервере компании (что дает возможность их чтения не только отправителем и адресатом), а также отсутствие пароля при входе в приложение.

А если запретят вообще всё?!

Даже тогда смартфон и компьютер выбрасывать не стоит. Без интернета и базовых станций мобильных сетей тоже есть жизнь.

Анонимные сети

Полноценные анонимные сети тоже уже построены. Пример – AnoNet. Сеть децентрализованная, работает на основе VPN и программных BGP-маршрутизаторов, позвляет анонимно размещать службы IPv4 и IPv6.

В AnoNet вас знают только по IP-адресу в диапазоне 21.0.0.0/8, и этот IP-адрес не привязывается к информации, которая может помочь вас идентифицировать – номеру телефона, аккаунту в социальной сети и т. п.

Подключение на Windows:

  1. Заходите на https://openvpn.net/ и скачиваете OpenVPN.
  2. С сайта http://ix.ucis.nl/ucis-ix-client.ovpn загружаете файл конфигурации.
  3. Копируете его в папку установки OpenVPN (по умолчанию C:\Program Files\OpenVPN\config\).
  4. В основном меню вызываете консоль («Выполнить»), запускаете services.msc, выбираете OpenVPN Service из списка и нажимаете Start.

На macOS:

  1. Устанавливаете tunnelblick.
  2. Загружаете файл конфигурации http://ix.ucis.nl/ucis-ix-client.ovpn в папку ~/Library/Application Support/Tunnelblick/Configurations/.
  3. В tunnelblick подключаетесь к anocp VPN.

Больше информации: http://wiki.ucis.nl/Anonet и http://ix.ucis.nl/clientport.php.

Mesh-сети

Сети ячеистой топологии предполагают, что каждый узел имеет такой же приоритет, как и все остальные. Командного центра нет, а значит, заблокировать mesh-сеть крайне сложно.

Mesh-сети – универсальное решение против любой цензуры. Если один узел сети не сможет принять пакет, примет другой.

Популярные mesh-сети:

  • Freifunk — некоммерческая инициатива по созданию свободной децентрализованной mesh-сети, немецкое свободное радио. Прошивки Freifunk основаны на OpenWRT и OLSR или B.A.T.M.A.N.
  • Guifi — европейская mesh-сеть, которая включает более 22 тыс. Wi-Fi узлов и 25 км оптоволоконных линий.
  • LibreVPN — виртуальная mesh-сеть с конфигурационными скриптами, позволяющими поднять собственный mesh-VPN.

Да и вообще mesh-сети – хороший выход даже в случае войны или, к примеру, падения провайдера.

Звонки без базовых станций

И такое возможно. Так, Serval Project позволяет осуществлять звонки между мобильными телефонами без базовых станций. Единственное условие – чтобы в сети можно было найти хотя бы один (не обязательно прямой) маршрут между участниками.

Текстовые сообщения и другие данные могут передаются с использованием системы хранения и пересылки Rhizome. Она позволяет общаться на неограниченных расстояниях и без стабильной связи в режиме реального времени.

Проект разработал приложение Serval Mesh для Android. Приложение состоит из двух компонентов: пользовательский интерфейс Batphone и основной сетевой интерфейс Serval DNA, который включает шифрование и совместное использование файлов.

Tor и не только

В «луковой» сети можно ходить на сайты даркнета, а можно и свои поднимать. Запретить Tor Роскомнадзор, конечно, пытался, но браузер и ресурсы в нём по-прежнему доступны.

Другой вариант – платформа Freenet с открытым исходным кодом. Она позволяет анонимно обмениваться файлами и публиковать сайты, которые будут доступны только во Freenet. Кроме того, во Freenet работают сотни чатов и форумов. Скачать решение можно на официальном сайте.

Ещё один пример – сеть распределённых децентрализованных веб-сайтов ZeroNet. Работает она на основе протокола биткоина.

Без социальных сетей тоже не останемся. Например, есть распределенная социальная сеть Tonika, где можно общаться с друзьями напрямую. Социальная сеть в браузере Vole лишена центрального сервера и задействует Bittorrent, Go и Ember.js, а также Bittorrent Sync.

Threema

Швейцарский мессенджер исключительно прост и безопасен. При первом запуске вас попросят поводить пальцем по экрану, чтобы создать уникальный идентификатор.

Группы и контакты в Threema хранятся исключительно на устройстве пользователя, а сообщения удаляются сразу после доставки. Шифрование также выполняется непосредственно на устройстве. Так что даже если выдать сотрудникам ФСБ ключи шифрования, читать им будет нечего.

Передавать контакты можно при встрече, сканируя QR-код – идеальная защита от спама. Но есть и функции синхронизации контактов или ввода ID вручную.

Threema запущен для iOS, Android, Windows.

Единственный минус – приложение платное. Правда, стоит чуть больше трёх долларов. Нормальная цена за безопасное общение.

FireChat

FireChat может обходиться вообще без интернета. Это приложение мгновенного обмена сообщениями в децентрализованной сети, разработанное выпускниками мехмата МГУ. Есть версии для iOS и Android.  Поддерживается передача открытых и личных сообщений.

Данные в FireChat передаются с помощью Bluetooth и Wi-Fi. Смартфоны с предустановленным приложением могут обнаружить друг друга в радиусе до 60-70 м. Причём каждое устройство становится ретранслятором для других устройств и частью mesh-сети (о них читайте ниже). Приложение позволяет создавать и собственные сети.

FireChat удобно использовать для общения на природе, масштабных мероприятиях, на пляже. Но популярность оно получило в ходе массовых протестов в Гонконге и во время ограничения доступа к интернету в Ираке.

Почему пользователи отказываются от WhatsApp

Раньше BigTech-компании собирали пользовательские данные в коммерческих целях негласно. Однако после нескольких скандалов, связанных с нарушением приватности, и после попыток государств урегулировать коммуникации, Facebook заявила прямо, что может и будет использовать данные пользователей как в коммерческих целях, так и передавать их по запросу государств (с 15 мая 2021 года новые правила политики конфиденциальности вступили в силу, — ред.). Именно это разозлило юзеров. Тем не менее, деятельность Facebook регулируется жесткими правилами, не позволяющими передавать информацию кому попало. Но если вам не нравятся такие условия, вы можете воспользоваться услугами того же Signal.

Как работает сквозное шифрование

По истечении некоторого времени технокомпании начали использовать сквозное шифрование (далее по тексту СШ), когда сервер через который вы общаетесь, не «видит» ваших переписок и не «слышит» разговоров. Все данные он воспринимает как белый шум. При этом вам и другому абоненту данные доступны в виде аудио-, видео-, графических и текстовых файлов, потому что вы обладаете ключами к их расшифровке. Принцип работы сквозного шифрования похож на отправку писем по почте — вы запечатываете письмо в конверте, и никто не может его прочесть, кроме адресата, который имеет полное право вскрыть конверт.

Однако и такой способ криптографии вызвал обеспокоенность спецслужб. И сейчас в Англии, США, Евросоюзе разрабатываются законопроекты, которые обязали бы разработчиков предоставлять данные по требованию правоохранителей. Разработчики противятся этому, утверждая, что любая схема с задействованием посредника (в данном случае посредником выступают спецслужбы), у которого тоже есть доступ к ключам, может нанести колоссальный ущерб. Потому что нет гарантий, что ключи не будут украдены хакерами или враждебными государствами. И если такое произойдет, то злоумышленники будут прослушивать уже сами спецслужбы. Также компании понимают, что если они откажутся от сквозного шифрования своих продуктов, они потеряют доверие пользователей, а значит и прибыль.

Пока что на законодательном уровне (в США, Англии, ЕС) вопрос о доступе спецслужб к мессенджерам окончательно не решен, потому как проекты законов имеют условия, ставящие под угрозу само их существование. Например, английские законодатели недавно презентовали законопроект, уполномочивающий Ofcom (британское неправительственное агентство, регулирующее работу теле- и радиокомпаний, — ред.) запрашивать доступ к любым коммуникациям. При этом любое шифрование данных политики пытаются подать как противодействие правоохранительным органам с соответствующими последствиями. В ЕС тоже пытались инициировать обсуждение проблемы доступа спецслужб к данным мессенджеров со специалистами отрасли, на что специалисты ответили, что достичь консенсуса не получится.

от admin

Добавить комментарий

Ваш адрес email не будет опубликован.