2022 год стремительно превращается в год цензуры: российские власти блокируют независимые СМИ, запрещают отдельные слова и заводят уголовные дела после незаконной прослушки телефонных разговоров.
Можем ли мы сохранить приватность и почему в этом точно не поможет Telegram? Разбираемся с экспертом по информационной безопасности и CEO компании Security Services Group Юрием Мелащенко.
Что не так с Telegram
Вера в защищенность Telegram во многом основана на отказе Павла Дурова передать ключи для расшифровки переписки пользователей ФСБ.
Однако мессенджер не шифрует сообщения по умолчанию, хотя это делает даже WhatsApp. Сквозное шифрование можно включить вручную и только в персональных чатах.
«Обычные и групповые чаты не защищены сквозным шифрованием, то есть Telegram видит ваши переписки, и более того — сохраняет их на серверах. Если вы используете этот мессенджер, создавайте «секретные чаты», включайте автоматическое удаление переписки и запрет на создание скриншотов. Но помните, что даже эти ограничения можно обойти с помощью второго телефона с камерой», — объясняет Юрий Мелащенко.
Никто не может гарантировать, что содержание обычных чатов не попадет в руки третьих лиц. Код серверов Telegram закрыт: проверить его безопасность не получится.
Создать аккаунт можно только по номеру телефона. Это позволяет злоумышленникам перехватывать SMS для входа в учетные записи и ассоциировать пользователей друг с другом.
Мессенджер популярен благодаря интуитивно понятному интерфейсу и большому количеству функций. Однако в отношении безопасности и конфиденциальности у него есть несколько достойных альтернатив.
Пять зашифрованных мессенджеров
Критериев оценки очень много. Мы выбрали основные: наличие бесплатной версии, сквозного шифрования, открытого исходного кода, двухфакторной аутентификации, зашифрованных звонков, автоудаления сообщений.
«Это основные параметры. Кроме них важны возможность развертывания на собственном сервере, противодействие атаке «человек посередине» и устойчивость к получению данных с помощью Cellebrite UFED, Elcomsoft, Oxygen Software.
Такие комплексы позволяют считать данные устройства, включая удаленные файлы и переписки. Просто включите авиарежим и откройте мессенджер: все, что вы увидите, можно достать», — комментирует CEO Security Services Group.
В этой статье мы рассмотрим пять бесплатных мессенджеров, которые соответствуют всем или большинству приведенных выше критериев.
1. Signal — мессенджер компании Open Whisper Systems с открытым исходным кодом. Команда проекта разработала одноименный протокол, которым пользуется в том числе WhatsApp.
Все чаты и звонки в Signal защищены сквозным шифрованием. Пользователи могут настроить автоудаление сообщений и вход по пин-коду. Сервис прошел несколько сторонних аудитов.
«Signal считается самым безопасным мессенджером. Но и у него есть недостатки: вам нужно регистрироваться по номеру телефона и доверять владельцу сервера, который владеет ключами шифрования. Мы несколько раз пробовали развернуть собственный сервер, но попытки не увенчались успехом.
Мессенджер защищает пользователей лучше, чем Telegram: если злоумышленник перехватит SMS, он не получит доступ к истории переписки — ее нет на серверах Signal. Зато она хранится на устройстве, поэтому стоит задать пин-код на вход в приложение. Это поможет защитить данные в случае подбора пароля к телефону или компьютеру", — отмечает Юрий Мелащенко.
Платформы: iOS, Android, Windows, Mac и Linux.
2. Wire — мессенджер со сквозным шифрованием, самоудаляющимися сообщениями и открытым исходным кодом.
Разработчик приложения — швейцарская компания Wire Swiss — ориентируется на корпоративный рынок, однако предоставляют бесплатную версию Wire Personal для частных лиц.
Для создания учетной записи понадобится персональная информация: номер телефона или адрес электронной почты. Аудит Wire проводили сотрудники компаний Kudelski Security и X41 D-Sec.
Платформы: iOS, Android, Windows, Mac, Linux и Web.
3. Element — мессенджер с открытым исходным кодом и децентрализованной структурой. Он использует открытый стандарт Matrix, который разрабатывает британская некоммерческая организация The Matrix.org Foundation.
Сервис позволяет создавать анонимные аккаунты и отправлять сообщения в другие мессенджеры. Все чаты и звонки в приложении защищены сквозным шифрованием.
Пользователи могут подключаться к существующим серверам и создавать собственные. Последнее может оказаться недостатком, если владелец сервера допустит ошибку при настройке и дальнейшей эксплуатации.
Платформы: Android, iOS, Windows, Mac, Linux и Web.
4. Briar — P2P-мессенджер для Android c открытым исходным кодом. По умолчанию использует сеть Tor, но при отсутствии интернет-соединения отправляет сообщения по Wi-Fi или Bluetooth.
Пользователи могут общаться в чатах, приватных группах и на форумах, а также вести блоги. Для регистрации нужно придумать имя пользователя и пароль.
Добавлять контакты нужно вручную — с помощью QR-кодов или пригласительных ссылок. Если вы удалите приложение или забудете данные для входа, то потеряете доступ к переписке.
Минусы Briar — работа только на одной платформе, сильный разряд батареи и доставка сообщений, только когда оба пользователя в сети. Кроме того, Briar не позволяет добавлять те же контакты по новым ссылкам: это говорит о наличии централизованной базы данных.
Платформы: Android.
5. Kryptos Private Messenger — мессенджер со сквозным шифрованием, анонимной регистрацией и приватными внешними ссылками. Он поддерживает функцию «двойное дно»: пользователь может создать два аккаунта и входить в них по разным паролям.
Сервер Kryptos Private Messenger не участвует в распространении ключей. Мессенджер создает пару ключей для каждого пользователя и хранит их на устройстве в зашифрованном виде. Такой подход делает невозможным проведение атаки «человек посередине».
Переписка пользователей находится в оперативной памяти и автоматически удаляется при сворачивании приложения, чтобы ее было невозможно прочитать при физическом доступе к телефону или компьютеру.
Мессенджер использует собственную виртуальную клавиатуру и генератор псевдослучайных чисел Fortuna, созданный Брюсом Шнайером и Нильсом Фергюсоном. Он считывает данные гироскопа, таймера и пользовательского ввода, чтобы избежать потенциальных уязвимостей системных ГПСЧ.
«Виртуальная клавиатура — дополнительное средство противодействия устройствам UFED. Встроенные клавиатуры запоминают все слова, которые вы когда-либо вводили на устройстве. С доступом к телефону можно получить этот словарь, даже если вы писали сообщения в мессенджере со сквозным шифрованием», — рассказывает CEO Security Services Group.
Kryptos Private Messenger находится на начальной стадии разработки: он поддерживает текстовые и голосовые общения, отправку файлов, персональные чаты и группы.
В данный момент команда Kryptos ищет инвестиции для создания проекта с федеративной системой серверов и приватной криптовалютой.
Разработчики планируют добавить в мессенджер поддержку звонков, доработать интерфейс и полностью открыть код приложения.
Платформы: iOS, Android и Web.
Общие советы по цифровой безопасности
- Скачивайте приложения только из официальных магазинов, при этом выбирайте мессенджеры со сквозным шифрованием.
- Не давайте лишней информации о себе: регистрируйте аккаунты на виртуальные телефонные номера и одноразовые почтовые ящики. Если используете реальные данные, сделайте профиль доступным только для ваших контактов.
- Если вам написали с незнакомого аккаунта, обязательно перезвоните, чтобы подтвердить личность собеседника.
- Не переходите по ссылкам и не скачивайте файлы, даже если их отправил ваш знакомый. Спросите по телефону или в другом мессенджере, действительно ли это был он.
- Отключите отправку резервных копий переписки в облако — не все приложения хранят их в зашифрованном виде.
- Задайте пин-код или пароль для входа в мессенджер. Настройте двухфакторную аутентификацию, если приложение поддерживает такую функцию.
- Не отправляйте чувствительную информацию в мессенджерах. Вы не знаете, удаляет ли переписку собеседник, и имеют ли к ней доступ третьи лица.