Какой мессенджер самый безопасный?

Безопасный мессенджер. Обзор самых защищенных мессенджеров

Сегодня даже если поискать, очень трудно найти тех людей, которые не общаются в Интернете при помощи мессенджеров. Статистика за прошлый год, например, показывает, что лишь только WhatsApp установлен у каждого второго человека – это более сотен миллионов устройств по всему миру. Один этот сервис каждый день помогает отправить и получить более 10 миллиардов сообщений. А ведь кроме популярного, но не самого безопасного WhatsApp существует и масса других инструментов для онлайн-общения. Это и Viber, и Skype, и даже ICQ. Также можно насчитать еще с дюжину популярных и удобных средств для связи – некоторые из них встроены в социальные сети, такие как мессенджер «ВКонтакте» или Facebook.

Вместе с популярностью онлайн-общения и соответствующих инструментов для этого у многих пользователей возникает вопрос о безопасности переписки. Эти беспокойства довольно абсурдны, ведь тот же Google знает о каждом человеке много и даже больше, однако иногда действительно возникают ситуации, когда беседа должна быть максимально приватной без каких-либо свидетелей.

Попробуем разобраться, можно ли вести виртуальное общение так, чтобы ни Большой Брат, ни АНБ не прочитали диалог, а также выясним, какой он – безопасный мессенджер.

Большой Брат следит за тобой…

Каждое сообщение, неважно, текстовое оно или голосовое, сохраняется локально на устройствах со стороны отправителя, и со стороны получателя. Кроме этого, все то же сообщение, до того как будет доставлено адресату, пройдет дальний маршрут по различным сетям и в придачу пройдет через серверное оборудование.

В первом случае историю сообщений можно немного контролировать. Во втором же оказать какое-либо влияние на тайну переписки просто не выйдет. Проблему конфиденциальности, конечно же, можно попробовать решить шифрованием, но в АНБ уже давно научились взламывать даже самые технологичные шифры. К тому же в шифровальных протоколах могут быть уязвимости, о которых знают спецслужбы.

Все, что используется для общения, небезопасно

Вот взять, например, известный всем и каждому Skype. Еще 10 лет назад это был удобный, отличный и вполне безопасный мессенджер. Взломать его не могли даже профессионалы из правительственных структур. Но после того как компания перешла в собственность “Майкрософт”, очень многое изменилось. Сегодня специалисты по информационной безопасности, к сожалению, не дают гарантий безопасности указанного протокола и системы.

WhatsApp, через который каждый день проходит около 10 миллиардов сообщений, также отнюдь не безопасен, как об этом говорят создатели. О его многочисленных уязвимостях только в версиях приложения для Android каждый день пишут в соответствующих изданиях. Взять хотя бы недавние исследования – в них утверждается, что логи переписки, даже если они зашифрованы, успешно взламываются при помощи небольшого и несложного скрипта. Нет доверия к этому сервису еще и потому, что недавно компанию купила Facebook. Цукерберг заплатил миллиарды за технологии, но не за личную переписку пользователей.

Если кто-то думает, что у него безопасный мессенджер, то специалисты утверждают, что это не так. Сотрудники ФСБ РФ получают переписку из Viber проще, чем распечатку SMS от операторов мобильной связи. iMessage от Apple тоже не совсем надежно защищен. Так, любой желающий может получить переписку, а большие компании вряд ли захотят спорить с государством.

Но, как известно из школьного курса физики, на каждое действие существует противодействие – сам факт того, что пользователям приходится работать со слабо защищенными софтом для общения, привел к появлению решений, которые позиционируют себя как безопасный мессенджер.

Иллюзия конфиденциальности

Для начала приведем список, в который попали все те сервисы, защищенность которых не соответствует заявлениям разработчиков или не дает гарантий, что невозможен перехват сообщения на пути к получателю. В обыкновенной жизни использовать эти популярные мессенджеры можно, но для партизанской работы они уже не подойдут.

Итак, подробнее о каждом.

Confide

Это по своему уникальный продукт. Сообщение выведется на экран смартфона в виде прямоугольников, под которыми скрыт текст. Чтобы прочитать, необходимо провести пальцем по этому прямоугольнику.

Программа не хранит историю, поэтому, даже получив доступ к устройству, прочитать что-нибудь очень сложно. Если пользователь захочет снять скриншот в момент общения, то попадет в контакт-лист, а собеседник получит сообщение. Разработчики утверждают, что прочесть все-таки можно, но сохранить – нет. Правда, при желании процесс чтения можно снять на камеру или сделать фото.

Здесь видно, что создается только иллюзия безопасности. Этот сервис годится для тех, кто хочет просто поиграть в партизан. Для всех остальных подойдет мессенджер “ВКонтакте”.

Wickr

Это далеко не изящный, но достаточно амбициозный инструмент. Он обещает, что на устройстве не останется никаких следов истории сообщений – все стирается без возможности восстановления как со смартфона, так и с серверов. Данные надежно защищены «военным алгоритмом шифрования», пользователь может контролировать время доступа к сообщениям, а участники диалога не могут скопировать переписку.

Но вот о том, чтобы снять процесс переписки на камеру, которой сегодня не оснащены только утюги, производитель не подумал.

Мессенджер Telegram

Говоря о защищенности переписки, нельзя не сказать об этом сервисе. Это наверное, самый известный и популярный продукт изо всех защищенных. Как же он смог оказаться в этой категории? Ведь им пользовались террористы ИГИЛ?

Все потому, что еще никто так и не смог толком подтвердить, что протокол и система действительно так защищены, как о них говорят. За взлом Telegram обещают выплатить 200 тысяч долларов, и это убедительно говорит о надежности. Однако хакерам в этом конкурсе необходимо расшифровать сообщение, и это предложение похоже на тест танковой брони обыкновенным пистолетом, хотя боле честным было бы использовать противотанковую управляемую ракету.

Другими словами, для того чтобы в тестовом режиме взломать мессенджер Telegram, не дается достаточно средств. Блогеры утверждают, что сервис построен на крайне ненадежном и неэффективном алгоритме, который полностью игнорирует все серьезные исследования по криптографии. Создателям мессенджера следует пригласить настоящего аудитора в этой области.

Есть еще одна небольшая деталь. Если не брать во внимание сложный протокол, который заложен в данном сервисе, он не выстоит перед одной очень простой атакой. При регистрации, пользователь получит SMS с кодом активации, если получить доступ к этому сообщению, то не составит никакого труда активировать копию приложения этим чужим кодом. Так злоумышленник может легко читать все сообщения.

Чем этот так называемый самый безопасный мессенджер всех времен и народов хорош, так это высокой скоростью работы. Быстрый да, а безопасный ли? Только условно.

Хорошая защищенность: Thremma

В этой категории мы постарались разместить те сервисы, уровень защиты которых может гарантировать затрудненный доступ третьих лиц к переписке или истории сообщений.

И первый, о ком пойдет речь, – Thremma. Это безопасный мессенджер из Швейцарии, который стал популярным на волне сообщений о продаже WhatsApp. Разработчики гарантируют высокую безопасность за счет шифрования на базе алгоритма Elliptic Curve Cryptography. Также здесь защищенный механизм добавления контактов.

Silent Text

Это один из тех немногих проектов, над разработкой которых трудятся серьезные специалисты по безопасности и криптографии. В нем используется собственный протокол. Среди особенностей – удаление отправленного сообщения. Еще одна особенность – хорошее шифрование. И если для обсуждения каких-либо вопросов мессенджер “Фейсбук” уже не походит, тогда можно воспользоваться этим решением.

Text Secure

В отличии от всех остальных продуктов, данный инструмент для общения бесплатен. Разработчиков хвалил сам Сноуден. Это максимально простой мессенджер без ненужных наворотов. Шифрованию тут подвергаются все сообщения.

Signal

Какой мессенджер безопаснее? Наверное, это Signal. Его рекомендует Эдвард Сноуден, а это кое-что значит. Здесь применена система сквозного шифрования, однако кроме отправки файлов и текстовых сообщений можно совершать голосовые звонки. Программа привязывается к телефонному номеру. Это отличный выбор для настоящих параноиков.

“ВКонтакте”

В компании сообщили, что начата разработка нового приложения для обмена сообщениями, в котором будет реализован новый протокол шифрования. Так что все те, кому не нравится мессенджер “Фейсбук”, уже скоро могут воспользоваться отечественным инструментом. Надеемся, что его можно будет отнести к безопасным.

Шифруйся грамотно! Выбираем мессенджер для безопасной и приватной переписки

Содержание статьи

Недавно на «Хакере» был опрос «Какой мессенджер ты считаешь самым надежным для хакера?», и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Крабе отаке!!1

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрали другие критерии — на наш взгляд, более важные.

Критерии

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

• централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
• федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: электронная почта, Jabber (XMPP), Riot Matrix;
• децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Viber

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
Уведомление о проверке отпечатков E2EE: нет
Запрет на скриншоты секретных чатов: есть
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Валерия Губарева

Аналитик в компании Digital Security (@DSecRU)

Какие мессенджеры наиболее безопасны?

Абсолютно безопасных нет, а те, что лучше других, зачастую проигрывают им по иным параметрам.

Бывший сотрудник американских спецслужб Эдвард Сноуден в разговоре с журналистами французской радиостанции France Inter заявил, что не советовал бы крупным политикам общаться в WhatsApp или Telegram, поскольку уровень безопасности в этих мессенджерах оставляет желать лучшего.

«Facebook является владельцем WhatsApp, он купил компанию и слой за слоем удаляет различные уровни защиты приложения. Они говорят: «Нет-нет, мы не слушаем разговоры, потому что они закодированы». Но они пытаются слушать эти разговоры, когда этого требует национальная безопасность», – сказал Сноуден.

Вместо них он предложил присмотреться к Wire или Signal, как к наиболее защищенным.

Попробуем разобраться, какая разница в шифровании в основных мессенджерах и какие из них наиболее защищены. Но для этого сначала придется разобраться с терминами.

Сперва нужно понять, что такое система мгновенного обмена сообщениями, которой мессенджер и является. По сути, это клиентский сервис, позволяющий передавать текст в режиме онлайн через серверы компании-производителя. То есть текст, видео и картинки идут не напрямую получателю, а сначала проходят через централизованную систему.

Сейчас читают

Далее идет криптографический протокол – это такая «дорожная карта» для всего мессенджера. Их много, и они определяют, как будут передаваться сообщения – через сервер, облако, через какие адреса, кто получит доступ к этому каналу, в сжатом ли виде файл дойдет до адресата или в оригинальном и так далее. Среди них есть протоколы безопасности (security protocol), которые как раз призваны создать приватность беседы – их смысл в том, чтобы не дать никому, кроме участников чата, получить к нему доступ.

Объясним на примере WhatsApp. В апреле мессенджер включил для всех пользователей сквозное шифрование, которое означало, что участники каждой беседы получали свои уникальные ключи, применимые конкретно к ней. Протокол безопасности при этом подразумевал, что даже серверы WhatsApp не могли декодировать эти ключи – такая возможность была только у участников беседы. Потом, правда, специалисты отмечали, что Facebook, чтобы хоть как-то монетизировать огромную аудиторию мессенджера, все же пытался создать уязвимости (бэкдоры) в его протоколе, чтобы данные можно было продать рекламщикам.

Сквозное шифрование тоже придется разобрать подробнее, поскольку это ключевой момент в безопасности. Сообщения по такой схеме кодируются таким образом, что доступ к ним сейчас и в будущем должен быть только у отправителя и получателя. Такие алгоритмы в идеале должны гарантировать, что никто, кроме участников беседы, не получит к ней доступ. Для этого используется аутентификация пользователей и защита уникальных ключей от подмены.

Такой вид шифрования можно атаковать по-разному. Во-первых, протоколы безопасности внедряют непосредственно сами сервисы, и они же могут оставить в них специальные лазейки для того, чтобы получить данные о содержании переписки.

Так, в 2011 году в Skype была целая группа программистов, создавших бэкдор для обхода сквозного шифрования.

Благодаря этому компания передавала данные о переговорах Агентству национальной безопасности. Бэкдор легко можно внедрить и сейчас – причем, оказывается, сделать это могут и сторонние разработчики, чьи алгоритмы использует мессенджер.

Во-вторых, хакеры могут попытаться вмешаться в чат, выдав себя за одного из его участников, и, подменив ключ, получить доступ к переписке. Для того, чтобы этого избежать, и нужна продвинутая аутентификация пользователей – пароли, коды, отпечатки пальца и прочее.

В-третьих, метаданные. Это информация, сопровождающая любую переписку. То есть не сообщения из нее, а все стороннее – кто написал, кому, когда, где находился в тот момент, когда было снято отправленное фото. Так вот – большинство популярных протоколов безопасности не запрещают компаниям собирать метаданные. WhatsApp, например, вообще не шифрует их – но ведь и они могут дать заинтересованным лицам исчерпывающую информацию: если не о содержании беседы, то о ее участниках.

Кроме того, некоторые мессенджеры предлагают своим пользователям делать резервное копирование чатов – затем вся эта информация хранится на облачных серверах, где уровень защиты может быть очень невысок.

Самые безопасные мессенджеры

Так вот – большая часть популярных мессенджеров сегодня работает либо прямо на протоколе безопасности Signal, либо на его вариациях. Среди них – WhatsApp, Viber, Facebook Messenger, Google Allo, Skype, Wire и сам Signal, созданный разработчиками протокола. Вопрос в том, кто и насколько добросовестно его использует. Одно дело – беззаветно лишить себя соблазнов продать данные рекламодателям или даже вынужденно передать их спецслужбам, а другое – намеренно пойти на такой шаг, создав для себя лазейки в шифровании. Причем протокол Signal позволяет всем сервисам не шифровать метаданные, а спецслужбам зачастую достаточно только их: например, чтобы подтвердить, что подозреваемый знаком с кем-либо из экстремистов, содержание переписки и не требуется – достаточно лишь факта, что она вообще имела место.

С Telegram, который безопасным считают даже в Кремле, все несколько сложнее – в этом мессенджере есть два вида чатов: секретные и облачные. В первых есть сквозное шифрование, во вторых – нет. То есть обычные переписки хранятся в сетевом облачном хранилище – по уверениям разработчиков, в зашифрованном и «распределенном по разным юрисдикциям» виде. Это-то и ставят в претензию создатели других мессенджеров. Они сомневаются, что обычные чаты хоть как-то защищены, ведь «шифрования по умолчанию» в них нет, а значит, огромный пласт переписок может быть доступен для кого угодно.

«Если речь идет о безопасности, я бы рекомендовал отдавать предпочтение в первую очередь мессенджерам с открытым исходным кодом.

В таких мессенджерах значительно ниже вероятность наличия бэкдоров. В целом все современные протоколы безопасности используют довольно высокий уровень защиты. Так что в целом (при выборе) есть два фактора: мессенджер должен быть распространенным, а также обладать открытым исходным кодом – возможно, проверенным энтузиастами-аудиторами», – говорит Тарас Татаринов, эксперт по информационной безопасности компании «Монитор безопасности».

Обоим критериям соответствует мессенджер Signal, созданный авторами одноименного протокола. Его код неоднократно проверяли аудиторы, которые ни разу не нашли уязвимостей. Это тот самый клиент, который настойчиво рекомендует Сноуден, и которому 50 миллионов долларов пожертвовал один из основателей WhatsApp Брайан Эктон после своего скандального ухода из компании. Считается, что сейчас он наиболее безопасен. Но есть и минусы, о которых мы писали выше. При этом у мессенджера не самый удобный интерфейс, и вы не сможете пользоваться им с нескольких устройств одновременно, как и синхронизировать между ними переписку. Кроме того, восстановить переписку при покупке, например, нового телефона вам тоже не удастся.

«Ни один мессенджер небезопасен, поскольку все они бесплатные и никто не берет на себя обязательств защищать данные пользователей, как ракетную базу, – сказал эксперт по информационной безопасности Александр Власов. – Поэтому, на мой взгляд, все разговоры о том, что Signal или Telegram все такие безопасные, зашифрованные и защищенные – это хороший маркетинговый ход. Бесплатных безопасных ресурсов не бывает».

В США с 1990 года существует Фонд электронных рубежей, к созданию которого приложил руку Стив Возняк, сооснователь Apple. Фонд занимается правозащитой на фоне множащегося числа новых технологий, и с 2014 года он публиковал рейтинг приложений, сформированный на основе качеств их безопасности. Пару лет назад в фонде отказались от этой затеи, поскольку слишком много факторов оказались незатронутыми. То есть универсального сервиса не существует, и зачастую приходится выбирать – либо приватность, либо удобство использования.

Когда лучше использовать Tor и какой мессенджер самый безопасный

Расширение для браузеров Adblock Plus позволяет блокировать рекламные баннеры. Оно входит в топ самых скачиваемых приложений в Google Play. «Сноб» встретился с директором по коммуникациям компании Adblock Plus Лаурой Дорнхайм и поговорил с ней об анонимности в сети, безопасных мессенджерах и умных гаджетах

1 октября 2019 16:43

Ɔ. Выполняют ли приложения для блокировки рекламы какие-то функции, помимо эстетической?

Да. Это один из способов сделать серфинг в интернете более безопасным. Рекламные баннеры не только раздражают, но и следят за вами, используя вашу историю поиска и файлы-cookie. Вам показывают рекламные объявления, которые потенциально могли бы вас заинтересовать. Они нарушают границы вашего личного пространства. Adblock Plus позволяет избежать этой слежки.

Ɔ. Можно ли сохранять полную анонимность в интернете?

Теоретически это возможно, но требует таких усилий, что мне трудно представить человека, который соблюдал бы все меры предосторожности в повседневной жизни. Для этого нужно как минимум купить новый девайс, причем не в онлайн-магазине, а в обычном и за наличные деньги. И после покупки не заходить с него ни в один из своих старых аккаунтов, установить VPN, выходить в интернет только через браузер Tor. Это нецелесообразно для простого человека.

Ɔ. Какие меры предосторожности предпринять обычному пользователю, который беспокоится о безопасности своих данных?

Во-первых, как я уже говорила, поставить приложение для блокировки рекламы. Отключить плагины социальных сетей. Например, если на сайте вы видите кнопку Facebook, значит, соцсеть «знает», что вы посещали этот сайт. Даже если вы не нажимали на саму кнопку. Жутковато, правда? Вообще, я бы не советовала использовать авторизацию через аккаунты Facebook или Google на сторонних сайтах. Лучше потратить пару минут и создать отдельный аккаунт. И пароль не придумывать самостоятельно, а воспользоваться генератором паролей.

И конечно, если вы ищете какую-то деликатную информацию, например информацию о серьезных заболеваниях, следует, по крайней мере, использовать приватный поиск в браузере, а еще лучше — воспользоваться браузером Tor, через него крайне сложно отследить человека.

Расплачиваясь в интернете своей картой, всегда имейте в виду, что эту транзакцию могут отследить. Внимательно читайте пользовательские соглашения, устанавливая приложения на свой мобильный телефон. Есть много бесплатных приложений, например игр, которые предупреждают, что приложение может использовать ваш микрофон, хотя для игры он не нужен. Периодически такие «программы-шпионы» записывают фрагменты происходящего и потом на основе этого предлагают контекстную рекламу. А вся информация о вас хранится где-то на сервере, и неизвестно, кто еще и с какой целью может ее использовать.

Ɔ. Вы пользуетесь функциями голосовых помощников?

Я бы никогда не стала пользоваться Siri или любым другим голосовым помощником. В моем доме нет ни одного «умного» девайса. Да, это может быть удобно, но вы становитесь уязвимым.

Ɔ. Остались ли в интернете безопасные места?

Да, есть Tor, есть достаточно надежные мессенджеры, например Signal.

Ɔ. А Telegram?

Я не уверена в Telegram на 100 процентов. Это мессенджер не с открытым исходным кодом. Не до конца понятно, кто за ним стоит. Вообще, мы с вами много говорим о рисках, но от этого интернет не становится менее прекрасным. На мой взгляд, это одно из величайших изобретений человечества. Достаточно просто соблюдать меры предосторожности.

Ɔ. Взрослый человек может их соблюдать, а ребенок? Многие родители запрещают детям пользоваться интернетом по этой причине.

Я не думаю, что это правильно. В интернете же есть не только угрозы и информационный мусор, но и много полезной информации, в том числе для детей. Да, есть исследования, которые показывают, что у людей, которые с детства пользуются интернетом, другое восприятие реальности — но ведь сама реальность тоже меняется. Получается, они с детства приспосабливаются к жизни в новом мире. Просто не нужно бросать детей в свободное плавание, даже если на берегу вы объясните им, как плыть.

Ɔ. Что вы имеете в виду?

Сейчас дети начинают пользоваться интернетом задолго до того, как будут в состоянии воспринять родительские наставления. Например, моему сыну три года. Однажды он попросил меня показать ему, как смотреть картинки с героями его любимого мультфильма. Как смотреть видео, он разобрался сам. Я не оставляю своего ребенка наедине с гаджетами, чтобы контролировать то, чему он учится, и чтобы он четко осознавал границы между реальным и виртуальным миром. Когда он станет чуть старше, я, конечно, объясню ему, как безопасно пользоваться интернетом. Точно так же, как детям объясняют, что нельзя садиться в машину к незнакомым людям.

Ɔ. Кого в интернете стоит бояться больше всего: террористов, корпорации или спецслужб?

Всех, в зависимости от того, чем занимаешься и где живешь. Наверное, в России я бы больше всего боялась слежки со стороны государства.

Какой мессенджер самый безопасный?

Платформу можно назвать полностью безопасной только в том случае, если она на всех участках зашифрована. В этом случае только вы и получатель можете прочитать отправленное сообщение. Только в этом случае владелец сервиса физически не может ничего толкового (читабельного) передать сторонним структурам.

Мне не нравится, что государства, управляемые нечистоплотными людьми, хотят читать мои сообщения с мобильного или настольного компьютера. Именно поэтому я никогда не пользуюсь SMS, которые никак не защищены, а операторы сливают все требуемые данные по первому требованию (но все по закону, да-да). И по этой же причине я ищу альтернативы незащищенным системам обмена сообщениями. Ниже предлагаю вам монолог Джулиана Бааса, владельца сайта Secure Messaging Services, посвященного анализу безопасных систем сообщений, о ситуации с безопасностью в данной нише.

Стоит сказать, что то же ANB, которой сливают данные по требованию и социальные сети в юрисдикции США, и Google, и Apple, — не самая большая наша проблема. Можно сказать, что нам даже немного повезло, и решения, скрывающие ваши сообщения от нехороших людей, есть и их много.

Платформу можно назвать полностью безопасной только в том случае, если она на всех участках зашифрована. В этом случае только вы и получатель можете прочитать отправленное сообщение. Только в этом случае владелец сервиса физически не может ничего толкового (читабельного) передать сторонним структурам.

Например, у Apple система iMessage передает зашифрованные сообщения. Но их бекапы в iCloud нет. Добавьте к этому удовольствие, с которым Apple сотрудничает с National Security Agency в различных ее программах. Решение о безопасности этой службы, для вас персонально, принимайте сами.

Есть альтернативы. Это Threema, Wickr и другие WhatApp-подобные службы для iOS и Android. Вот что они предлагают в плане безопасности:

• Threema позволяет проверять вручную ключи, полученные от вашего собеседника, и точно убедиться в его подлинности.
• Wickr предлагает «самоуничтожение» любых видов сообщений. Вы можете выбирать, как долго сообщение «проживет» или вручную уничтожить. Сервис предлагает шифрование.

Еще можно использовать ChatSecure, который серьезно шифрует сообщения на мобильном в популярных службах Facebook Messages, Google Hangouts и других. Приложение должно быть и у вас, и у вашего собеседника.

Также, весьма защищенным является открытый протокол eXtensible Messaging and Presence Protocol (XMPP). На сервере может быть установлено SSL-шифрование для присоединяемых абонентов. Пользователи могу шифровать каждое сообщение, например, в мессенджере Pidgin, в которое нужно установить плагин Off-The_Record или Pretty Good Privacy (PGP) на мессенджер PSI.

Также существуют на enterprise-рынке службы сообщений, вроде Hall. Целевые заказчики этой компании — средние и большие бизнесы, для которых подобная безопасность обязательна, и решение его обеспечивает.

Возможно, у вас есть опыт в данном вопросе? Будем рады, если вы им поделитесь.

Какие мессенджеры наиболее удобные и безопасные?

Специалисты Роскачества провели исследование наиболее популярных в России мобильных мессенджеров. В испытаниях участвовали 49 приложений: 25 для iOS и 24 для Android. Мессенджер Telegram был исключен из-за ограничений доступа к нему на территории страны. Также исследование не затронуло корпоративные мессенджеры и приложения, которые используются для проведения финансовых транзакций.

Тестирование проводилось по 68 критериям, каждый из которых имел свой «вес» в общей сумме баллов. Рекомендацию к использованию от Роскачества получили мессенджеры, итоговый результат которых перешагнул отметку в 4 балла. Результатом исследования стал рейтинг лучших приложений для обмена сообщениями.

Какие приложения оказались самыми функциональными?

По данным исследования, больше всего функций способны выполнять мессенджеры «ТамТам» (4,51 балла), ICQ (4,38) и «Mail.ru Агент» (4,38). Самая низкая функциональность, в том числе по части опций, связанных с безопасностью, была отмечена у приложения Kik.

Как эксперты оценивали функциональность мессенджеров?

Специалисты проверили наличие целого ряда функций, позволяющих легко и эффективно обмениваться сообщениями, а также выполнять видео- и аудиозвонки. Также в Роскачестве обратили внимание на такие функции, как архивация, «чат с собой», подписка на тематические каналы, «о себе», отображение текущего статуса пользователя, черный список, возможность поделиться контактом, перевод текста с иностранного языка на русский внутри чата, счетчик непрочитанных сообщений, офлайн-доступ, настройка внешнего вида приложения, отображение миниатюры веб-страницы, а также настройка уведомлений чата, автозагрузки медиаконтента через мобильную сеть и автоматического сохранения медиаконтента.

Эксперты установили, что возможность ответа на конкретное сообщение есть в 73% проверенных мессенджеров. Переслать сообщение другому пользователю с информацией об авторе и дате оригинала можно лишь в 20% приложений. Полностью отсутствует функция пересылки у Kik, Wickr Me, Instagram, Snapchat и Discord.

Возможность передачи графических файлов большого объема из самого приложения, а также их редактирования есть у 49% исследованных приложений. Отправка геолокации возможна в 67% приложений, а стикеров и анимированных картинок — в 55% исследованных программ.

Почти все исследованные мессенджеры (67%) позволяют создавать аудиоконференции с тремя и более участниками. Больше всего возможностей для видеозвонков предлагают приложения Messenger (Facebook), ICQ, «Агент Mail.ru» и «Одноклассники». Их оценивали по таким критериям, как возможность групповых звонков по видеосвязи, а также наличие виртуальных масок.

Почти все проверенные Роскачеством приложения позволяют отправлять аудиосообщения. Лишь у Hangouts, Kik и Discord нет данной опции. Ускорить воспроизведение полученной записи можно в WhatsApp, Signal, Threema, Wire, BiP, «ВКонтакте», «Одноклассниках» и Instagram, а перевести аудио в текст — в «Агенте Mail.ru» и ICQ для Android.

Эксперты также проверили мессенджеры на возможность создания групповых чатов с тремя и более участниками, возможность закрепления сообщений, управления сообществом и др. Лучшие оценки в данной категории получили приложения ICQ, «ТамТам» и «Агент Mail.ru».

Более 40% мессенджеров информируют своих пользователей о том, доставлено и прочитано ли их сообщение. Однако эта возможность полностью отсутствует у WeChat и Snapchat.

Отредактировать уже отправленное сообщение можно в 45% мессенджеров, но высший бал за данную функцию смогли получить лишь 20% приложений. Максимальную оценку получили мессенджеры, которые позволяют изменять сообщения только в течение 48 часов после их отправки собеседнику, а также указывают в чате на факт редактирования записи. По этим же критериям оценивалась функция удаления сообщений для всех участников. В итоге лучшую оценку получил мессенджер WhatsApp. Нельзя удалять сообщения в приложении Hangouts от Google.

Поиск по истории переписки есть у 80% мессенджеров. Не могут искать сообщения лишь пользователи Hangouts, Kik, imo, Instagram и Snapchat. Добавление сообщений в избранное имеется только у WhatsApp, WeChat и Snapchat.

Какие мессенджеры оказались самыми удобными?

При оценке удобства использования мессенджеров специалисты оценивали простоту и качество навигации, наличие функции «помощи» и специальных параметров для людей с ограничениями по здоровью и др.

Предельно удобными и понятными оказались 22% от всех исследованных приложений. Наивысшие баллы получили такие приложения для iOS, как Messenger (Facebook) (4,85), Threema (4,85) и Skype (4,7), для Android — Threema (4,79), «ВКонтакте» (4,68) и Skype (4,64). А самым сложным в использовании было признано приложение Wire.

Получить советы по использованию программы могут пользователи «ВКонтакте» и Threema. Самыми удобными для людей с ограниченными возможностями были признаны Viber, Messenger (Facebook), WeChat, Threema, Skype, iMessage и Instagram для iOS. Совсем не подходят для людей с нарушениями зрения ICQ, «Агент Mail.ru», SOMA и VIPole для iOS.

Перенести чаты на другие устройства позволяют все исследованные программы. Веб-версии также имеются у всех приложений, кроме Kik, Zangi, SOMA и Instagram (имеет веб-версию, но она не позволяет обмениваться сообщениями). Возможностью использования на умных часах обладают Viber, Messenger (Facebook), WeChat для обеих платформ, iMessage для iOS и Threema для Android.

Какие приложения были признаны наиболее безопасными?

Наиболее защищенными приложениями для iOS были признаны Wickr Me (4,73), Viber (4,57), WhatsApp (4,40) и Wire (4,31), для Android — Wickr Me (4,73), Viber (4,57), Threema (4,57) и Signal (4,35).

Однако эксперты предупреждают, что использование мессенджеров нельзя считать самой безопасной альтернативой другим способам связи. Директор ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков напомнил, что возможность удаления и редактирования сообщений лишает пользователя доказательной базы, если он решит напомнить собеседнику о договоренностях. А получить доступ к переписке могут не только сами пользователи и IT-корпорации, но и спецслужбы, рассказал заместитель руководителя Роскачества Илья Лоевский. Кроме того, пользователей данных приложений могут подслушивать, для того чтобы потом предложить им таргетированную рекламу.

Как оценивалась безопасность мессенджеров?

Основным критерием при оценке безопасности мессенджеров является использование сквозного (end-to-end) шифрования. Благодаря этому доступ к исходному тексту есть только у отправителя и получателя, при этом он недоступен даже серверам, которые передают данные. Шифрование и дешифровка происходят на устройствах собеседников, что значительно повышает конфиденциальность переписки. Эта функция используется для всех чатов в приложениях Viber, WhatsApp, Signal, Threema, Wire, Zangi, SOMA, Wickr Me и VIPole. Для отдельных чатов шифрование можно установить в Messenger (Facebook) и Skype, а в ICQ и «Агенте Mail.ru» эта функция применяется для аудио- и видеозвонков. Кроме того, в приложении iMessage для iPhone сквозное шифрование применяется для сообщений в синих «облачках».

Специалисты Роскачества также оценили возможность установки пароля на вход в приложение или определенный чат, поддержку доступа по биометрическим данным, использование двухфакторной аутентификации, настройки приватности, отсутствие вредоносных программ и запрос согласия на обработку персональных данных.

Какие мессенджеры оказались самыми надежными?

Надежность мессенджеров определялась устойчивостью к внешним прерываниям, стабильностью и корректностью работы, а также их размером. По итогам испытаний все программы продемонстрировали корректную и стабильную работу. Сложности при регистрации возникли лишь с мессенджером WeChat.

Лучшие баллы за производительность достались приложениям для iOS Threema, imo, iMessage и VIPole (5 баллов), для Android — Threema и «ТамТам».

Больше всего памяти занимает программа WeChat для Android (свыше 300 МБ). Меньше всего — Threema, imo и VIPole для iOS и Threema и «ТамТам» для Android (менее 50 МБ).

Как выглядит рейтинг лучших мессенджеров?

По совокупности всех критериев лучшими для Android признаны следующие мессенджеры:

1. WhatsApp — 4,410 балла;
2. Viber — 4,361;
3. Threema — 4,283;
4. VIPole — 4,183;
5. Skype — 4.177;
6. Signal — 4,044;
7. «ТамТам» — 4,003;
8. Wire — 4,003;
9. ICQ — 3,942;
10. «Агент Mail.ru» — 3,942.

Лучшими для iOS стали следующие приложения:

1. WhatsApp — 4,498 балла;
2. Viber — 4,422;
3. Skype для iPhone — 4,183;
4. Threema — 4,165;
5. Wire — 4,127;
6. VIPole — 4,013;
7. Messenger (Facebook) — 3,978;
8. «ТамТам» — 3,976;
9. ICQ — 3,921;
10. Signal — 3,908.