СЕРГЕЙ ВЛАСКО
CEO компании по защите личных вещей «mySafety Украина»
Вы уверены, что ваша переписка в мессенджере не интересует киберпреступников? Как бы не так. Обычно люди думают, что хакеры охотятся за переписками президентов и за аккаунтами директоров корпораций. Но госструктуры и корпорации выстраивают сложные системы безопасности и часто используют для общения закрытые каналы. А вот «рядовые» пользователи общаются в удобных и привычных мессенджерах — не особенно беспокоясь об их безопасности. Взломать их ничего не стоит, так что можно «щелкать» десятками в день.
Фото: eff.org
Следствие такой беспечности — взломы, утечки конфиденциальных фото, распространение вирусов, мошенничество. Чтобы защититься от злоумышленников, нужно понимать, какие мессенджеры наиболее уязвимы — и дважды думать, прежде чем обсуждать там свои секреты или кликать по ссылке в сообщении. Но перед тем, как составить рейтинг и оценивать безопасность мессенджеров, стоит определить критерии.
Шифрование сообщений
Чтобы разобраться, как работает шифрование, представим двух пользователей. Когда один отправляет другому сообщение в мессенджере, оно сначала попадает на сервер, а оттуда пересылается на устройство получателя. Так происходит в большинстве мессенджеров.
Сообщение не просто проходит сквозь сервер, но и хранится на нем. Если хакеры взломают сервер, они смогут прочитать все сообщения, которые там есть. Еще один способ «поймать» чужое сообщение — перехватить данные при отправке.
Чтобы защитить данные, компании-производители мессенджеров используют шифрование: даже если сообщение попадет в чужие руки, злоумышленник не сможет его прочесть без специального секретного ключа.
Как работает шифрование
Существуют разные подходы к шифрованию. Например, сквозное шифрование (End-to-End Encryption) — это механизм, при котором доступ к переписке имеют только отправитель и получатель. У обоих есть секретный ключ. Сквозное шифрование происходит по такому алгоритму:
- Отправитель набирает сообщение на своем телефоне — и программа зашифровывает его секретным ключом;
- в зашифрованном виде сообщение попадает на сервер;
- с сервера сообщение пересылается на телефон получателя;
- программа на телефоне получателя использует секретный ключ и расшифровывает сообщение, то есть получатель видит уже обычный текст.
Ни отправителю, ни получателю не надо знать ключ. Его знает сама программа. Но и здесь есть сложность: если ключ шифрования один, то его могут перехватить. Чтобы защититься от такого сценария, используют ассиметричное шифрование. В этом случае используется два ключа: один публичный, который можно пересылать по незащищенному каналу, а второй — частный и не пересылается в исходном виде, хранится на устройстве. Частные ключи у отправителя и получателя разные, они создаются независимо.
Резервное копирование переписки
Бэкапы (копии) сообщений хранятся на облачных серверах в зашифрованном виде, но на том же сервере может храниться и ключ для расшифровки. Это небезопасно и напоминает ситуацию, когда пароль от компьютера записывают на стикере и крепят к монитору, чтобы не забыть. Это как написать на банковской карточке ее PIN-код.
Представим, что пользователь уронил телефон в воду. В сервисном центре говорят: восстановлению не подлежит. А как мы помним, при более надежном ассиметричном шифровании частный ключ должен храниться в этом самом смартфоне. Человек покупает новый телефон, устанавливает на него мессенджер, вводит логин и пароль — и у него подгружается вся прошлая история переписки.
Такая ситуация доказывает, что на сервере хранились не только копии сообщений, но и копия ключа шифрования. Поэтому важно знать, на каких серверах мессенджер хранит историю переписки, надежна ли их защита.
Где хранят вашу переписку
Если бэкап хранится на сервере третьих лиц (например, Google), мессенджер снимает с себя ответственность за возможный взлом, перекладывая заботу о защите на другую компанию.
Но даже когда мессенджер использует собственные сервера для хранения переписки, все равно есть дополнительные риски. В этом случае многое зависит от лояльности руководства, скажем, к властям. Госструктуры вполне могут запросить доступ к переписке пользователей.
Например, в 2015 году, вскоре после атаки ИГИЛ в Париже, мессенджер Telegram обвинили в том, что этот канал связи используют для общения террористы. Тогда компания закрыла каналы террористов, но отказалась давать больше информации спецслужбам.
Разработчики заявили, что физически не смогли бы выдать ключи для расшифровки сообщений в каналах, так как ключи разбиваются на несколько частей, хранящихся на серверах по всему миру. Таким образом, чтобы дешифровать одно сообщение, силовикам нужно было бы получить разрешение на доступ у правительств нескольких стран. По крайней мере, такой была версия компании.
Анонимность при регистрации и использовании
Еще один важный критерий — данные, которые используются при регистрации. Если аккаунт мессенджера привязан к номеру телефона, это дает злоумышленникам довольно простой путь для перехвата пароля. Перехват СМС осуществить проще, чем пытаться расшифровывать переписку.
Даже двухфазная аутентификация не защищает от риска, что злоумышленник удалит все данные из аккаунта, нанеся этим ущерб.
Обзор защищенности мессенджеров
Теперь оценим самые популярные мессенджеры среди украинцев по выбранным критериям. Все данные взяты из открытых источников: статей авторитетных СМИ, официальной документации самих мессенджеров.
Viber
Фото: vlasti.net
Viber — самый популярный мессенджер в Украине, программой пользуется более 20 млн украинцев.
Сквозное шифрование: да — основано на протоколе Signal и включено по умолчанию, даже в версии для компьютера.
Сообщения хранятся: на серверах Apple iCloud и Google Drive (как мы помним, это не очень хорошо).
Секретные чаты: да.
Возможность анонимной регистрации и работы: нет.
Telegram
Фото: eurorussians.com
Сквозное шифрование: да, но по умолчанию чаты не шифруются (доступно только для секретных чатов).
Сообщения хранятся: на собственных серверах, расположенных в разных странах (по заявлению представителей компании, ни один из серверов Telegram не находится на территории России).
Секретные чаты: да.
Возможность анонимной регистрации и работы: нет.
Facebook Messenger
Фото: chatbotsmagazine.com
Сквозное шифрование: да, для секретных чатов.
Сообщения хранятся: в собственных дата-центрах.
Секретные чаты: да, но не по умолчанию. Начать секретный чат можно при помощи кнопки Secret при старте диалога.
Возможность анонимной регистрации и работы: нет.
Фото: theverge.com
Сквозное шифрование: да.
Сообщения хранятся: на сторонних серверах iCloud, Google.
Секретные чаты: нет.
Возможность анонимной регистрации и работы: нет.
Как защитить свои данные от перехвата киберпреступниками
Пожалуй, безопаснее всего выбирать более защищенные мессенджеры — вроде Signal, Threema или Confide. Но эти приложения не очень-то популярны среди украинских пользователей, поэтому пользователи рискуют остаться в гордом одиночестве и тишине.
Но есть несколько способов сделать общение в «традиционных» мессенджерах более безопасным:
- Если есть возможность, давайте малознакомым людям не номер телефона, а никнейм.
- Заведите аккаунт в мессенджере на отдельный телефонный номер, который не привязан к онлайн-банкингу и другим важным сервисам.
- Настройте пароль для разблокировки смартфона и не оставляйте телефон без присмотра в общественном месте. Некоторые телефоны позволяют установить отдельный пароль на доступ к приложению.
В целом, нужно помнить, что ни один мессенджер не может обеспечить 100% гарантии безопасности. Поэтому конфиденциальную информацию лучше передавать тет-а-тет. Кому-то такой подход покажется паранойей, но ведь беспечность и безопасность — несовместимы.
ВАС ЗАИНТЕРЕСУЕТ — Если Telegram не работает: пять сервисов для безопасной переписки
