2022 рік стрімко перетворюється на рік цензури: російська влада блокує незалежні ЗМІ, забороняє окремі слова і заводить кримінальні справи після незаконного прослуховування телефонних розмов.
Чи можемо ми зберегти приватність і чому в цьому точно не допоможе Telegram? Розбираємося з експертом з інформаційної безпеки та CEO компанії Security Services Group Юрієм Мелащенком.
Що не так із Telegram
Віра в захищеність Telegram багато в чому ґрунтується на відмові Павла Дурова передати ключі для розшифровки листування користувачів ФСБ.
Однак месенджер не шифрує повідомлення за замовчуванням, хоча це робить навіть WhatsApp. Наскрізне шифрування можна увімкнути вручну і тільки в персональних чатах.
"Звичайні та групові чати не захищені наскрізним шифруванням, тобто Telegram бачить ваші листування, і більше того — зберігає їх на серверах. Якщо ви використовуєте цей месенджер, створюйте "секретні чати", вмикайте автоматичне видалення листування і заборону на створення скріншотів. Але пам’ятайте, що навіть ці обмеження можна обійти за допомогою другого телефону з камерою", — пояснює Юрій Мелащенко.
Ніхто не може гарантувати, що вміст звичайних чатів не потрапить до рук третіх осіб. Код серверів Telegram закритий: перевірити його безпеку не вийде.
Створити акаунт можна тільки за номером телефону. Це дає змогу зловмисникам перехоплювати SMS для входу до облікових записів і асоціювати користувачів один з одним.
Месенджер популярний завдяки інтуїтивно зрозумілому інтерфейсу і великій кількості функцій. Однак щодо безпеки та конфіденційності у нього є кілька гідних альтернатив.
П’ять зашифрованих месенджерів
Критеріїв оцінки дуже багато. Ми вибрали основні: наявність безкоштовної версії, наскрізного шифрування, відкритого вихідного коду, двофакторної аутентифікації, зашифрованих дзвінків, автовидалення повідомлень.
"Це основні параметри. Крім них, важливими є можливість розгортання на власному сервері, протидія атаці "людина посередині" та стійкість до отримання даних за допомогою Cellebrite UFED, Elcomsoft, Oxygen Software.
Такі комплекси дають змогу зчитати дані пристрою, включно з віддаленими файлами та листуванням. Просто увімкніть авіарежим і відкрийте месенджер: усе, що ви побачите, можна дістати", — коментує CEO Security Services Group.
У цій статті ми розглянемо п’ять безкоштовних месенджерів, які відповідають усім або більшості наведених вище критеріїв.
1 Signal — месенджер компанії Open Whisper Systems з відкритим вихідним кодом. Команда проекту розробила однойменний протокол, яким користується, зокрема, WhatsApp.
Усі чати і дзвінки в Signal захищені наскрізним шифруванням. Користувачі можуть налаштувати автовидалення повідомлень і вхід за пін-кодом. Сервіс пройшов кілька сторонніх аудитів.
"Signal вважається найбезпечнішим месенджером. Але і в нього є недоліки: вам потрібно реєструватися за номером телефону і довіряти власнику сервера, який володіє ключами шифрування. Ми кілька разів пробували розгорнути власний сервер, але спроби не увінчалися успіхом.
Месенджер захищає користувачів краще, ніж Telegram: якщо зловмисник перехопить SMS, він не отримає доступ до історії листування — її немає на серверах Signal. Зате вона зберігається на пристрої, тому варто задати пін-код на вхід у застосунок. Це допоможе захистити дані в разі підбору пароля до телефону або комп’ютера", — зазначає Юрій Мелащенко.
Платформи: iOS, Android, Windows, Mac і Linux.
2. Wire — месенджер із наскрізним шифруванням, повідомленнями, що самоудаляються, і відкритим вихідним кодом.
Розробник застосунку — швейцарська компанія Wire Swiss — орієнтується на корпоративний ринок, проте надають безкоштовну версію Wire Personal для приватних осіб.
Для створення облікового запису знадобиться персональна інформація: номер телефону або адреса електронної пошти. Аудит Wire проводили співробітники компаній Kudelski Security і X41 D-Sec.
Платформи: iOS, Android, Windows, Mac, Linux і Web.
3. Element — месенджер із відкритим вихідним кодом і децентралізованою структурою. Він використовує відкритий стандарт Matrix, який розробляє британська некомерційна організація The Matrix.org Foundation.
Сервіс дає змогу створювати анонімні акаунти і надсилати повідомлення в інші месенджери. Усі чати і дзвінки в застосунку захищені наскрізним шифруванням.
Користувачі можуть підключатися до наявних серверів і створювати власні. Останнє може виявитися недоліком, якщо власник сервера припуститься помилки під час налаштування і подальшої експлуатації.
Платформи: Android, iOS, Windows, Mac, Linux і Web.
4. Briar — P2P-месенджер для Android з відкритим вихідним кодом. За замовчуванням використовує мережу Tor, але за відсутності інтернет-з’єднання відправляє повідомлення по Wi-Fi або Bluetooth.
Користувачі можуть спілкуватися в чатах, приватних групах і на форумах, а також вести блоги. Для реєстрації потрібно придумати ім’я користувача і пароль.
Додавати контакти потрібно вручну — за допомогою QR-кодів або посилань-запрошень. Якщо ви видалите додаток або забудете дані для входу, то втратите доступ до листування.
Мінуси Briar — робота тільки на одній платформі, сильний розряд батареї і доставка повідомлень, тільки коли обидва користувачі в мережі. Крім того, Briar не дозволяє додавати ті самі контакти за новими посиланнями: це свідчить про наявність централізованої бази даних.
Платформи: Android.
5. Kryptos Private Messenger — месенджер із наскрізним шифруванням, анонімною реєстрацією та приватними зовнішніми посиланнями. Він підтримує функцію "подвійне дно": користувач може створити два акаунти і входити в них за різними паролями.
Сервер Kryptos Private Messenger не бере участі в поширенні ключів. Месенджер створює пару ключів для кожного користувача і зберігає їх на пристрої в зашифрованому вигляді. Такий підхід унеможливлює проведення атаки "людина посередині".
Листування користувачів перебуває в оперативній пам’яті й автоматично видаляється під час згортання застосунку, щоб його було неможливо прочитати під час фізичного доступу до телефону або комп’ютера.
Месенджер використовує власну віртуальну клавіатуру і генератор псевдовипадкових чисел Fortuna, створений Брюсом Шнайєром і Нільсом Фергюсоном. Він зчитує дані гіроскопа, таймера і користувацького введення, щоб уникнути потенційних вразливостей системних ГВВЧ.
"Віртуальна клавіатура — додатковий засіб протидії пристроям UFED. Вбудовані клавіатури запам’ятовують усі слова, які ви коли-небудь вводили на пристрої. З доступом до телефону можна отримати цей словник, навіть якщо ви писали повідомлення в месенджері з наскрізним шифруванням", — розповідає CEO Security Services Group.
Kryptos Private Messenger перебуває на початковій стадії розробки: він підтримує текстові та голосові спілкування, надсилання файлів, персональні чати і групи.
Наразі команда Kryptos шукає інвестиції для створення проекту з федеративною системою серверів і приватною криптовалютою.
Розробники планують додати в месенджер підтримку дзвінків, доопрацювати інтерфейс і повністю відкрити код програми.
Платформи: iOS, Android і Web.
Загальні поради щодо цифрової безпеки
- Завантажуйте додатки тільки з офіційних магазинів, при цьому вибирайте месенджери з наскрізним шифруванням.
- Не давайте зайвої інформації про себе: реєструйте акаунти на віртуальні телефонні номери та одноразові поштові скриньки. Якщо використовуєте реальні дані, зробіть профіль доступним тільки для ваших контактів.
- Якщо вам написали з незнайомого акаунта, обов’язково передзвоніть, щоб підтвердити особу співрозмовника.
- Не переходьте за посиланнями і не завантажуйте файли, навіть якщо їх надіслав ваш знайомий. Запитайте телефоном або в іншому месенджері, чи дійсно це був він.
- Вимкніть надсилання резервних копій листування в хмару — не всі додатки зберігають їх у зашифрованому вигляді.
- Задайте пін-код або пароль для входу в месенджер. Налаштуйте двофакторну аутентифікацію, якщо додаток підтримує таку функцію.
- Не надсилайте чутливу інформацію в месенджерах. Ви не знаєте, чи видаляє листування співрозмовник, і чи мають до нього доступ треті особи.
Схожі статтi:
Як зниження нагороди за блок для майнерів у 2016 році вплине на біткоїн
Як колапс FTX і Alameda Research вплине на криптоіндустрію
Що таке пропозиція про оновлення біткоїна (BIP)?
Що таке ETF на криптовалюти?
Юрист побачив можливість для криптовалют у США після поразок SEC
Що таке EOS?
Хто такий ютубер і як ним стати?
Що таке PancakeSwap? Огляд аналога Uniswap у мережі Binance Smart Chain
Екзит-скам, якого не було? Німецький проект Savedroid дав жорстокий урок ICO-інвесторам
Що таке криптовалюта простими словами?