Под колпаком: почему не существует безопасных мессенджеров и кто имеет доступ к нашим данным

Эксперт по кибербезопасности рассказал об особенностях шифрования данных, уязвимости резервных копий сообщений и вмешательстве государства в приватную жизнь пользователей.

 

Решение Facebook изменить политику конфиденциальности мессенджера WhatsApp вызвало волну негодования и критики со стороны пользователей и СМИ. Юзерам не понравилось, что компания в лоб заявила о сборе и передаче их данных по запросу государств и в коммерческих целях. Компанию обвиняли в нарушении приватности, жадности и пособничестве спецслужбам. Однако стоило ли так негодовать? Ведь Facebook и раньше это делала, просто негласно. И все же мессенджер потерял, и продолжает терять, тысячи подписчиков, которые ищут безопасные альтернативные сервисы, где никто не прочтет их сообщений и не услышит разговоров. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, рассказать, каким образом современные коммуникационные платформы защищают пользовательские данные, какие мессенджеры считаются самыми надежными на сегодняшний день и о том, стоит ли доверять WhatsApp.

 

Что такое шифрование и по каким причинам оно используется

До 70-х годов шифрование осуществлялось при помощи механических машин, а с развитием компьютерной техники были разработаны алгоритмы шифрования нового типа — программного, — которые оказались более действенными и надежными. Однако это внушало беспокойство государствам и правоохранительным органам, которые посчитали, что если все начнут пользоваться надежным шифрованием, то получать разведданные, отслеживать деятельность преступников и т.п. не представится возможным. По этой причине развитие так называемой гражданской криптографии попытались задержать, вводя экспортные ограничения в начале 1980-х. Эти ограничения служили своего рода лазейкой для спецслужб, которые могли получать доступ к данным, прослушивая разговоры, извлекая переписку при необходимости. Но в то же время шифрование обеспечивало гражданам безопасность общения посредством телефонной и интернет-связи. Технологические компании, естественно, не были довольны таким вмешательством в их деятельность. В итоге, между ними и силовиками разразились настоящие криптографические войны, продолжавшиеся вплоть до конца 90-х. Когда обе стороны устали воевать, было решено, что применение шифрования с "черным входом" (англ. back door — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить доступ к данным, — ред.), как того хотели силовые структуры, невозможно, потому что это навредит всем.



Как работает сквозное шифрование

По истечении некоторого времени технокомпании начали использовать сквозное шифрование (далее по тексту СШ), когда сервер через который вы общаетесь, не "видит" ваших переписок и не "слышит" разговоров. Все данные он воспринимает как белый шум. При этом вам и другому абоненту данные доступны в виде аудио-, видео-, графических и текстовых файлов, потому что вы обладаете ключами к их расшифровке. Принцип работы сквозного шифрования похож на отправку писем по почте — вы запечатываете письмо в конверте, и никто не может его прочесть, кроме адресата, который имеет полное право вскрыть конверт.

Однако и такой способ криптографии вызвал обеспокоенность спецслужб. И сейчас в Англии, США, Евросоюзе разрабатываются законопроекты, которые обязали бы разработчиков предоставлять данные по требованию правоохранителей. Разработчики противятся этому, утверждая, что любая схема с задействованием посредника (в данном случае посредником выступают спецслужбы), у которого тоже есть доступ к ключам, может нанести колоссальный ущерб. Потому что нет гарантий, что ключи не будут украдены хакерами или враждебными государствами. И если такое произойдет, то злоумышленники будут прослушивать уже сами спецслужбы. Также компании понимают, что если они откажутся от сквозного шифрования своих продуктов, они потеряют доверие пользователей, а значит и прибыль.

Пока что на законодательном уровне (в США, Англии, ЕС) вопрос о доступе спецслужб к мессенджерам окончательно не решен, потому как проекты законов имеют условия, ставящие под угрозу само их существование. Например, английские законодатели недавно презентовали законопроект, уполномочивающий Ofcom (британское неправительственное агентство, регулирующее работу теле- и радиокомпаний, — ред.) запрашивать доступ к любым коммуникациям. При этом любое шифрование данных политики пытаются подать как противодействие правоохранительным органам с соответствующими последствиями. В ЕС тоже пытались инициировать обсуждение проблемы доступа спецслужб к данным мессенджеров со специалистами отрасли, на что специалисты ответили, что достичь консенсуса не получится. В итоге, мы наблюдаем криптографические войны 2.0.



Самые опасные и безопасные мессенджеры

Несмотря на давление государств, BigTech пытается обеспечить юзерам хоть какую-то безопасность в Сети, пускай даже и эфемерную.

Например, Facebook Messenger, Instagram Direct, Viber располагают функцией СШ, однако она не активирована там по умолчанию — пользователи должны включать ее сами, но они часто забывают это сделать или просто не знают, как. Эти платформы шифруют данные между вами и главным сервером, а также между вами и другим абонентом, но промежуточные сервера видят всю переписку, что и делает пользовательские данные уязвимыми.

С Telegram та же история — СШ надо активировать самому. Более того, эта опция не доступна в десктопной версии приложения. А еще в старых версиях протокола шифрования были выявлены ошибки, и непонятно, были ли они допущены случайно, или сделаны намеренно. В любом случае, это не внушает доверия.

Signal считается одним из самых надежных мессенджеров, потому что СШ там работает по умолчанию. Его протокол неоднократно пытались взломать, но сделать это пока никому не удалось. И это вызывает доверие. Также данный мессенджер не собирает метаданные о пользователях. Даже когда Signal получает от государств запрос на их выдачу, все, что у него имеется, — это дата регистрации, никнейм пользователя. А более важную информацию сервис просто не хранит.


Безопасным является и Jabber — открытый, свободный для использования протокол для мгновенного обмена сообщениями, поддерживающий передачу голоса, видео и разного рода файлов. С плагином "off the record" он обеспечивает надежное шифрование.

Еще стоит упомянуть Threema и Wire, как хорошо зарекомендовавшие себя мессенджеры.

 

Почему пользователи отказываются от WhatsApp

Раньше BigTech-компании собирали пользовательские данные в коммерческих целях негласно. Однако после нескольких скандалов, связанных с нарушением приватности, и после попыток государств урегулировать коммуникации, Facebook заявила прямо, что может и будет использовать данные пользователей как в коммерческих целях, так и передавать их по запросу государств (с 15 мая 2021 года новые правила политики конфиденциальности вступили в силу, — ред.). Именно это разозлило юзеров. Тем не менее, деятельность Facebook регулируется жесткими правилами, не позволяющими передавать информацию кому попало. Но если вам не нравятся такие условия, вы можете воспользоваться услугами того же Signal.

 

Насколько безопасен WhatsApp

Сквозное шифрование в WhatsApp работает по умолчанию. Но вот, что интересно: недавно Telegram обвинил WhatsApp в том, что сторонние компании могут иметь доступ к пользовательским чатам. Это так, но отчасти. Когда делается резервная копия данных, она сохраняется на облачных серверах: в случае Apple — на iCloud, в случае Google — на Google Drive. Однако если кто-то получил доступ к вашему Google-аккаунту или Apple ID, он увидит все, что содержится в резервных копиях.

Стоит помнить, что мессенджеры защищают данные шифрованием только в процессе их передачи. Когда они "оседают" на облачных серверах в виде резервных копий, за их сохранность отвечают Apple или Google. И если вы не хотите, чтобы эти компании имели к ним доступ, просто отключите синхронизацию с Google Drive/iCloud. (Недавно стало известно, что WhatsApp тестирует функцию шифрования резервных копий на Google Drive и iCloud, — ред.).

Идеального мессенджера не существует, поэтому стоит подбирать сервис, исходя из собственных представлений об удобстве и безопасности.
 

Фокус


Наши новости

В Украине создан "Клуб защиты журналистов"

27 февраля 2021 года

26 февраля 2021 года состоялось учредительное собрание представителей СМИ Украины и объявлено о создании "Клуба защиты журналистов".

Объединение специалистов по PR и Конкурентной разведке Украины и Кыргызстана

24 сентября 2020 года

В сентябре 2020 года подписано соглашение между Агентством конфликтного PR - /PR i Z/ и Аналитическим центром «Стратегия Восток-Запад» (Кыргызстан) о сотрудничестве.

Агентство конфликтного PR - /PR i Z/ теперь в Республике Беларусь!

28 августа 2020 года

Агентство конфликтного PR - /PR i Z/ официально закрепляет партнёрские взаимоотношения с коллегами из Беларуси.

Жертвы медиатерроризма. Кто несет ответственность и за что

10 августа 2020 года

05 августа в информационном агентстве «Интерфакс-Украина» прошла пресс-конференция с громким названием: «Влияние медиатерроризма на репутацию. Где заканчивается журналистика и начинается уголовная ответственность».

Конфликтные новости

В Украине не работают сайты Рады, Кабмина и некоторых министерств

Капитал

23 февраля 2022 года

Официальные сайты Верховной Рады, Кабинета министров, Министерства иностранных дел и Министерства реинтеграции оккупированных территорий в настоящее время не открываются.

За скандальным конкурсом по выбору главы правления "Укрэксимбанка" стоит Евгений Мецгер и Оляна Гордиенко - СМИ

Апостроф

23 февраля 2022 года

Конкурс по выбору нового главы "Укрэксимбанка" находится под контролем бывшего главы правления банка Евгения Мецгера и главы набсовета банка Оляны Гордиенко, которые имеют влияние на главу HR-фирмы Korn Ferry Романа Бондаря и проводят нужных им кандидатов.

Компания Dragon Capital и банк Credit Suisse помогли обмануть инвесторов агрохолдинга "Мрия", – расследования OCCRP и "РБК-Украина"

Украинские новости

22 февраля 2022 года

"Мрия Агрохолдинг" обанкротилась после того, как ее украинские владельцы из семьи Гута, вывели более 100 млн долларов на счета сторонних компаний. Об этом стало известно из расследования Международной сети журналистов-расследователей OCCRP "Счет в Credit Suisse использовали в схеме, обанкротившей украинскую агропромышленную компанию".

Цена "Европы". Почему в Украине закручивают гайки бизнесу под видом евроинтеграции

Фокус

22 февраля 2022 года

Проводимая сегодня в Украине евроинтеграционная повестка, внедряя внешне полезные регуляции и требования законодательства, практически полностью игнорирует простой вопрос: а сколько это стоит гражданину и бизнесу?