Чи можемо ми зберегти приватність і чому в цьому не допоможе Telegram? Розбираємось з експертом з інформаційної безпеки та CEO компанії Security Services Group Юрієм Мелащенко.
Що не так з Telegram
Віра в захищеність Telegram багато в чому ґрунтується на відмові Павла Дурова передати ключі для розшифровування листування користувачів ФСБ.
Однак месенджер не шифрує стандартні повідомлення, хоча це робить навіть WhatsApp. Наскрізне шифрування можна увімкнути вручну і лише в персональних чатах.
«Звичайні та групові чати не захищені наскрізним шифруванням, тобто Telegram бачить ваші листування, і навіть зберігає їх на серверах. Якщо ви використовуєте цей месенджер, створюйте «секретні чати», включайте автоматичне видалення листування та заборону створення скріншотів. Але пам'ятайте, навіть ці обмеження можна обійти за допомогою другого телефону з камерою», — пояснює Юрій Мелащенко.
Ніхто не може гарантувати, що зміст звичайних чатів не потрапить до рук третіх осіб. Код серверів Telegram закрито: перевірити його безпеку не вдасться.
Створити обліковий запис можна лише за номером телефону. Це дозволяє зловмисникам перехоплювати SMS для входу в облікові записи та асоціювати користувачів один з одним.
Месенджер популярний завдяки інтуїтивно зрозумілому інтерфейсу та великій кількості функцій. Однак щодо безпеки та конфіденційності він має кілька гідних альтернатив.
П'ять зашифрованих месенджерів
Критеріїв оцінки дуже багато. Ми вибрали основні: наявність безкоштовної версії, наскрізного шифрування, відкритого вихідного коду, двофакторної автентифікації, зашифрованих дзвінків, видалення повідомлень.
«Це основні параметри. Крім них важливими є можливість розгортання на власному сервері, протидія атаці «людина посередині» та стійкість до отримання даних за допомогою Cellebrite UFED, Elcomsoft, Oxygen Software.
Такі комплекси дозволяють зчитати дані пристрою, включаючи видалені файли та листування. Просто увімкніть авіарежим та відкрийте месенджер: все, що ви побачите, можна дістати», - коментує CEO Security Services Group.
У цій статті ми розглянемо п'ять безкоштовних месенджерів, які відповідають усім або більшості наведених вище критеріїв.
1. Signal — месенджер компанії Open Whisper Systems з відкритим вихідним кодом. Команда проекту розробила однойменний протокол, яким користується WhatsApp.
Всі чати та дзвінки в Signal захищені наскрізним шифруванням. Користувачі можуть налаштувати видалення повідомлень та вхід за пін-кодом. Сервіс пройшов кілька сторонніх аудитів.
«Signal вважається найбезпечнішим месенджером. Але й у нього є недоліки: вам потрібно реєструватися за номером телефону та довіряти власнику сервера, який має ключі шифрування. Ми кілька разів намагалися розгорнути свій сервер, але спроби не увінчалися успіхом.
Месенджер захищає користувачів краще, ніж Telegram: якщо зловмисник перехопить SMS, він не отримає доступу до історії листування – її немає на серверах Signal. Зате вона зберігається на пристрої, тому варто встановити пін-код на вхід до програми. Це допоможе захистити дані у разі підбору пароля до телефону чи комп'ютера», - зазначає Юрій Мелащенко.
Платформи: iOS, Android, Windows, Mac та Linux.
2. Wire — месенджер з наскрізним шифруванням, самовидаляючимися повідомленнями і відкритим вихідним кодом.
Розробник програми - швейцарська компанія Wire Swiss - орієнтується на корпоративний ринок, проте надають безкоштовну версію Wire Personal для приватних осіб.
Для створення облікового запису знадобиться персональна інформація: номер телефону або адреса електронної пошти. Аудит Wire проводили співробітники компаній Kudelski Security та X41 D-Sec.
Платформи: iOS, Android, Windows, Mac, Linux та Web.
3. Element — Месенджер з відкритим вихідним кодом і децентралізованою структурою. Він використовує відкритий стандарт Matrix, який розробляє британська некомерційна організація The Matrix.org Foundation.
Сервіс дозволяє створювати анонімні акаунти та надсилати повідомлення до інших месенджерів. Всі чати та дзвінки в програмі захищені наскрізним шифруванням.
Користувачі можуть підключатися до існуючих серверів та створювати власні. Останнє може виявитися недоліком, якщо власник сервера припуститься помилки при налаштуванні та подальшій експлуатації.
Платформи: Android, iOS, Windows, Mac, Linux та Web.
4. Briar — P2P-месенджер для Android з відкритим вихідним кодом. За замовчуванням використовує мережу Tor, але за відсутності інтернет-з'єднання надсилає повідомлення по Wi-Fi або Bluetooth.
Користувачі можуть спілкуватися в чатах, приватних групах та форумах, а також вести блоги. Для реєстрації потрібно вигадати ім'я користувача та пароль.
Додавати контакти потрібно вручну – за допомогою QR-кодів або запрошень. Якщо ви видалите програму або забудете дані для входу, втратите доступ до листування.
Мінуси Briar – робота тільки на одній платформі, сильний розряд батареї та доставка повідомлень, лише коли обидва користувачі в мережі. Крім того, Briar не дозволяє додавати ті ж контакти за новими посиланнями: це говорить про наявність централізованої бази даних.
Платформи: Android.
5. Kryptos Private Messenger — месенджер з наскрізним шифруванням, анонімною реєстрацією та приватними зовнішніми посиланнями. Він підтримує функцію «подвійне дно»: користувач може створити два облікові записи і входити в них за різними паролями.
Сервер Kryptos Private Messenger не бере участі у розповсюдженні ключів. Месенджер створює пару ключів для кожного користувача та зберігає їх на пристрої у зашифрованому вигляді. Такий підхід унеможливлює проведення атаки «людина посередині».
Переписка користувачів знаходиться в оперативній пам'яті і автоматично видаляється при згортанні програми, щоб її неможливо було прочитати при фізичному доступі до телефону або комп'ютера.
Месенджер використовує власну віртуальну клавіатуру та генератор псевдовипадкових чисел Fortuna, створений Брюсом Шнайєром та Нільсом Фергюсоном. Він зчитує дані гіроскопа, таймера та користувацького введення, щоб уникнути потенційних вразливостей системних ГПСЧ.
«Віртуальна клавіатура – додатковий засіб протидії пристроям UFED. Вбудовані клавіатури запам'ятовують усі слова, які ви коли-небудь вводили на пристрої. З доступом до телефону можна отримати цей словник, навіть якщо ви писали повідомлення в месенджері з наскрізним шифруванням», — розповідає CEO Security Services Group.
Kryptos Private Messenger знаходиться на початковій стадії розробки: він підтримує текстові та голосові спілкування, відправлення файлів, персональні чати та групи.
На даний момент команда Kryptos шукає інвестиції для створення проекту з федеративною системою серверів та приватною криптовалютою.
Розробники планують додати в месенджер підтримку дзвінків, доопрацювати інтерфейс та повністю відкрити код програми.
Платформи: iOS, Android та Web.
Загальні поради щодо цифрової безпеки
- Завантажуйте програми лише з офіційних магазинів, при цьому вибирайте месенджери з наскрізним шифруванням.
- Не давайте зайвої інформації про себе: реєструйте акаунти на віртуальні телефонні номери та одноразові поштові скриньки. Якщо ви використовуєте реальні дані, зробіть профіль доступним лише для ваших контактів.
- Якщо вам написали з незнайомого облікового запису, обов'язково передзвоніть, щоб підтвердити особистість співрозмовника.
- Не переходьте за посиланнями і не завантажуйте файли, навіть якщо їх відправив ваш знайомий. Запитайте по телефону або в іншому месенджері, чи це справді він.
- Вимкніть надсилання резервних копій листування в хмару – не всі програми зберігають їх у зашифрованому вигляді.
- Введіть пін-код або пароль для входу в месенджер. Налаштуйте двофакторну автентифікацію, якщо програма підтримує таку функцію.
- Не надсилайте чутливу інформацію в месенджерах. Ви не знаєте, чи видаляє листування співрозмовник, і чи мають до нього доступ треті особи.