Сегодня трудно найти человека, который не пользуется интернет-мессенджерами. Впрочем, вместе с ростом популярности сервисов обмена сообщениями все чаще поднимается вопрос конфиденциальности переписки.
На сегодняшний день различные компании предлагают «безопасные мессенджеры», но действительно ли они являются надежными?
Некоммерческая организация EFF, которая занимается вопросами защиты гражданских прав в Интернете провела исследование и рассказала о сервисах, которые оказались на дне списка EFF.
Вы узнаете о наиболее распространенных системах обмена сообщениями, чтобы наверняка знать чем пользоваться не надо вообще ни в коем случае.
Предыстория
Организация EFF присуждала высокие и низкие оценки каждому сервису в семи категориях. В данную подборку попали сервисы, которые не набрали ни одного балла, а также те системы, которые удовлетворяют одному или двум критериям из списка:
- Шифруются ли данные при передаче?
- Защищены ли данные от чтения сервис-провайдерами?
- Может ли пользователь удостовериться в подлинности личности своего собеседника?
- Защищена ли история переписки от расшифровки при перехвате текущего ключа (в этом вопросе подразумевается, что ключ шифрования должен постоянно меняться, а использованные ключи безопасно удаляться вместе с теми случайными данными, на основе которых они были построены)?
- Открыт ли программный код решения?
- Описаны ли детально используемые методы шифрования?
- Проводился ли за последние 12 месяцев независимый аудит безопасности?
Семь положительных ответов набрали сервисы, следующие лучшим методикам защиты от шпионажа как со стороны правительства, так и со стороны преступников, а также сбора данных различными корпорациями. Единственная цель рейтинга — показать, какие из приложений систематически пренебрегают лучшими методами по защите пользователей. Выбор в любом случае за вами.
Очень плохо: ни одного балла
Ноль звездочек получили только два мобильных приложения — Mxit и QQ. Вероятно, вы никогда о них не слышали и тем более не использовали. И не начинайте: эти приложения вообще не защищают ваши данные. Даже шифровать сообщения в процессе передачи они не умеют.
Один балл, или Все еще очень плохо
К сожалению, четыре популярных приложения, которыми пользуются многие из нас, получили всего лишь одну звезду безопасности из семи.
Отстающий среди защищенных мессенджеров Yahoo шифрует переписку пользователей только во время передачи данных. Поэтому в компании Yahoo могут читать вашу переписку или передавать ее в правоохранительные органы (конечно, если будут вынуждены). Следует уточнить, что Yahoo ежегодно публикует открытые отчеты, где подробно рассказывается, сколько информации компания готова предоставить по запросу правительства.
Yahoo! Messenger не поддерживает верификацию контактов и не защищает историю переписки (злоумышленник, укравший текущий ключ, прочитает и старые сообщения). Код мессенджера Yahoo недоступен для оценки сторонними специалистами, а используемые методы шифрования нигде подробно не описаны. И наконец, компания уже больше года не приглашала специалистов для проведения независимого аудита безопасности Yahoo! Messenger.
Впрочем, будем справедливы по отношению к компании: в августе этого года Yahoo! и Google сообщили о совместной работе по шифрованию своих почтовых сервисов. Так что есть надежда, что в будущем Yahoo! Messenger, вероятно, станет ощутимо безопаснее.
Практически повсеместно используемый интернет-мессенджер и видеочат от Microsoft получил такую же низкую оценку, как и Yahoo! Messenger. Как и Yahoo, свою единственную звездочку Skype заработал за шифрование данных при их передаче — и ни одного балла более не получил. Мессенджер плохо показал себя в вопросе обеспечения целостности каналов связи. Кроме того, в адрес Skype звучали обвинения в содействии правительственному шпионажу — компания Microsoft все отрицала, но в такой ситуации глупо верить на слово.
Мессенджер BlackBerry оценили так же «высоко», как Yahoo! Messenger и Skype. Сервис, принадлежащий компании, ранее известной как RIM (или Research In Motion), шифрует данные при передаче (что хорошо), но поставщик услуг может прочесть ваши сообщения, сервис не позволяет пользователям верифицировать контакты и не защищает прошлую переписку на случай кражи ключей. BlackBerry также не предоставляет код для оценки третьей стороне, не ведет подробную документацию по методам защиты данных и не проводила независимую проверку безопасности весь последний год.
AIM, он же America Online Instant Messenger, пользовался бешеной популярностью с конца 90-х и до середины 2000-х. Сейчас его популярность сократилась, особенно среди молодого поколения, но множество людей все еще пользуются AIM. К сожалению, как и другие упомянутые выше и ниже мессенджеры, система передачи сообщений от AOL шифрует данные при передаче, но не более.
Отметим еще несколько менее популярных, но не менее небезопасных систем. Кросс-платформенное приложение Secret позиционирует себя как безопасное, а почтовый клиент от Hushmail именует себя приватным, хотя оба решения шифруют данные только при передаче. Платформы Kik и eBuddy XMS также шифруют данные только при передаче, хотя и вводят пользователей в заблуждение рекламными заявлениями о своей безопасности.
Два балла: уже лучше, но есть куда расти
Популярный сервис для обмена видеосообщениями и картинками SnapChat заработал две звезды: за шифрование данных при передаче от отправителя к получателю и за проведение в прошлом году независимого аудита. Как и многие другие решения в этом списке, SnapChat стал объектом серьезной критики: не столько из-за безопасности работы, сколько из-за неспособности удержать поведение пользователей в рамках собственной концепции этики.
Основная «фишка» SnapChat в «эфемерности» общения: сообщения, фото или видео доступны только в определяемый отправителем период времени, по истечении которого данные самоуничтожаются. Тем не менее получатель может сделать скриншот (хотя в этом случае отправитель получит соответствующее уведомление).
Больше беспокойства вызывает приложение SnapHack, способное полностью дискредитировать это общение без обязательств: SnapHack позволяет получателям сохранять «снэпы» (так называют сообщения в SnapChat). Наконец, исследователи неоднократно сообщали, что изображения никогда полностью и не уничтожались, так что при желании «снэпы» можно восстановить.
Кросс-платформенное приложение Google, входящее в топ-3 по популярности среди мессенджеров в списке EFF, также получило две звезды. Hangouts — это не только встроенный в Gmail и Google Plus чат, но и установленное по умолчанию приложение для обмена сообщениями во всех Android-устройствах. Google шифрует ваши сообщения при передаче, и компания проводила независимый аудит в прошлом году. И тем не менее интернет-гигант может читать вашу переписку, пользователи Hangouts не могут проверить, кто является их собеседником, в Hangouts не реализована PFS, код остается закрытым, а система безопасности чата не задокументирована должным образом.
Facebook Messenger — новая мобильная версия сервиса обмена сообщениями от социальной сети Facebook, также получила две звезды. Популярный чат-сервис от Facebook шифрует данные при передаче и недавно проходил аудит, но не более того.
Viber, пожалуй, наименее популярный чат среди решений, заработавших две звезды. Хотя этот мессенджер называют приватным, в действительности он только шифрует данные при передаче и проводил аудит в прошлом году.
Многообещающая ситуация складывается вокруг WhatsApp, невероятно популярного (и очень дорогого) сервиса обмена сообщениями для мобильных устройств. WhatsApp считается своего рода альтернативой SMS-сообщениям (хотя и работает по сети Интернет, а не по сети мобильной сотовой связи). Хотя EFF наградила сервис всего двумя звездами, велика вероятность, что со временем WhatsApp подтянется.
На этой неделе WhatsApp объявил о сотрудничестве с криптографической фирмой Open Whisper Systems. Это партнерство действительно может значительно повысить безопасность WhatsApp в считаные месяцы, ведь такие решения компании Whisper Systems, как Signal, RedPhone, SilentText и SilentPhone, заработали все семь звездочек в рейтинге EFF.
И это хорошая новость: если один из наиболее популярных сервисов обмена сообщениями в мире уже готов стать плюс ко всему еще и одним из наиболее безопасных, вероятно, конкуренты последуют его примеру.
Продуктов для «обеспечения информационной безопасности» на рынке большое количество. Но мы давно поняли, что это скорей дань моде для многих. Статья, которую Вы прочли, - очередное тому подтверждение. Именно поэтому мы решили выдать свое решение, выпустить свой мессенджер. Находясь на конечном этапе тестирования безопасного мессенджера SafeUM, мы уже готовы ответить на вопросы.
- Шифруются ли данные при передаче? Да, шифруются. И не только данные, но и каналы передачи информации. Даже мы не можем прочесть вашу информацию, она находится на серверах в зашифрованном виде. Нам доступна только открытая информация: время сессии и IP адрес. Все действия внутри системы прозрачны и исключают человеческий фактор.
- Защищены ли данные от чтения сервис-провайдерами? Да защищены. Ваша информация в зашифрованном виде находится в оперативной памяти серверов, которые не имеют жестких дисков и защищены от изъятия.
- Может ли пользователь удостовериться в подлинности личности своего собеседника? Да, может. Все пользователи проходят процедуру верификации и каждый из них имеет уникальную цифровую подпись. Подпись генерируется на основе Секретной фразы, которая не находится в виде файла ни на сервере, ни на Вашем устройстве. В случае смены ключа одним из собеседников, Вы будете уведомлены об этом.
- Защищена ли история переписки от расшифровки при перехвате текущего ключа? Да, защищена. Ключом нельзя завладеть, он находится только в оперативной памяти устройства и никуда не передается. Ключ не «ходит» в канале связи. Получить доступ к переписке нельзя. Сессионные ключи шифруют каждое Ваше сообщение в чате и для того, чтобы расшифровать чат, нужно подбирать ключи к каждому сообщению, а для этого понадобятся десятки лет и все вычислительные мощности планеты. Подробнее о Ключах безопасности SafeUM.
- Открыт ли программный код решения? Нет, для максимальной безопасности наших пользователей никто не имеет доступа к исходному коду приложения. Команда разработчиков реализовала уникальные гибридные схемы шифрования, которые мы хотели бы сохранить в тайне и из соображений коммерческой тайны тоже.
- Описаны ли детально используемые методы шифрования? Да. Детально о методах и алгоритмах шифрования Вы можете прочитать ЗДЕСЬ.
- Проводился ли за последние 12 месяцев независимый аудит безопасности? Пока нет, но мы ведем переговоры с лучшими специалистами в области шифрования и уже получили от многих согласие. Аудит обязательно будет проведет независимыми и авторитетными экриптографами-практиками.
