Чи варто довіряти свої секрети Telegram і Viber, наскільки безпечний WhatsApp…
НВ розбиралося в рівнях безпеки різних месенджерів і визначило, який з них найзахищеніший.
Сьогодні месенджерами користуються всі. Від депутатів Верховної Ради до бабусь із сіл, які не на кожній карті знайдеш.
Хтось використовує месенджери для пересилання друзям приколів з інтернету, хтось підтримує зв’язок із близькими на іншому кінці світу, хтось використовує чат-ботів, а хтось шукає дівчину на вечір.
Але є й ті, хто користується месенджером для обговорення вельми делікатних особистих і фінансових питань.
І питання про те, хто і як може прочитати вашу переписку, для цих людей стоїть дуже гостро.
У користувачів виникає все більше сумнівів у тому, що месенджерам варто довіряти потаємне.
І не без підстав.
Незалежно від того, кого саме ви побоюєтеся — уряду, поліції, податкової, бізнес-конкурентів або ревнивої дружини, вам безумовно хочеться, щоб ваша переписка не потрапила в чужі руки.
Тим часом, стовідсоткову гарантію від витоків і зламів не надає жоден сервіс.
НВ розбиралося, який з найпопулярніших безкоштовних месенджерів — WhatsApp, FB, Telegram, Viber — найбезпечніший, та чи існують у природі месенджери, які можуть повністю захистити вашу переписку від сторонніх очей.
Щоб проаналізувати докладніше технічну частину безпеки різних месенджерів, ми поспілкувалися з кількома експертами: Павлом Білоусовим — експертом Школи цифрової безпеки DSS380; Назаром Гриником — директором агентства мобільного маркетингу LEAD9; Денисом Кудрявченко — Head of Security Risk&Compliance у GlobalLogic; Ярославом Яковенко — співзасновником групи IT-компаній Webmate. Також ми спиралися на незалежні дослідження в галузі криптографії та мережевої безпеки.
Кому довіряти?
Telegram
Створений у 2013-му засновниками соцмережі Вконтакте Павлом і Миколою Дуровими, цей месенджер швидко став популярним серед користувачів колишніх країн СНД. Величезну популярність Telegram додали його розбіжності з російською владою в особі Роскомнагляду, численні блокування в Росії, але, врешті-решт, відстоювання ключів шифрування повідомлень своїх користувачів перед спецслужбами РФ.
Бравада й епатаж Павла Дурова відіграють роль маркетингового «локомотива» для Telegram.
Месенджер знайшов ореол «прогресивності». Прийнято вважати, що користуватися «телегою» — значить, бути в тренді.
Це настільки сильна маркетингова оболонка, що працює навіть в Україні, де Telegram став шалено популярним, незважаючи на своє російське походження. І незважаючи на регулярні «вкидання» про те, що Telegram, як і популярний відеоблогер Юрій Дудь, є «ліберальним» проектом ФСБ.
Ну а якщо відкинути маркетингове лушпиння, чим же є Telegram з технічного погляду та чи можна вважати його безпечним месенджером?
Однією з головних переваг Telegram є власний протокол шифрування MTProto, який використовує одразу кілька технологій: стандарт, схвалений урядом CША — симетричне (для шифрування і розшифрування використовується однаковий ключ) шифрування AES з розмірами блоків 256 біт; асиметричне 2048-бітове шифрування RSA; класичний протокол обміну ключами Діффі-Хеллмана, який забезпечує міст між AES і RSA, дозволяючи передавати через відкритий канал тільки публічні ключі.
Цей метод шифрування є одним з найбезпечніших і називається наскрізним (еnd-to-end encryption), оскільки всі повідомлення шифруються на гаджеті відправника і розшифровуються на гаджеті одержувача.
Важливо розуміти, що така технологія шифрування працює в Telegram тільки в «секретних чатах». У звичайному режимі повідомлення в зашифрованому вигляді передаються через сервер. І теоретично, можуть бути «перехоплені» і прочитані там.
«Компанія стверджує, що це необхідно для того, щоб у вас були резервні копії в хмарі і доступ до історії чату на будь-якому пристрої», — пояснює Денис Кудрявченко.
Простіше кажучи, якщо ви хочете використовувати всю потужність шифрувальних технологій Telegram, вам потрібно користуватися винятково секретними чатами.
У них, до речі, заблоковано можливість робити скріншот. Простіше кажучи, є якийсь захист від того, що ваш співрозмовник може залишити собі на пам’ять вашу переписку у вигляді веселих картинок. Щоправда, звичайно, ніхто не завадить йому зробити фото екрана смартфона, тут уже нічого не вдієш.
До додаткових плюсів Telegram належать двофакторна аутентифікація за замовчуванням, яка дозволяє прив’язати ваш акаунт до номера телефону, і можливість обмежити доступ до самого застосунку.
Для обходу першого моменту зловмисникам доведеться вирішувати питання з доступом до вашої сім-картки, або ж клонувати її. А пароль на запуск програми в системі — ще один шар захисту на випадок, якщо зловмисники отримають доступ до вашого смартфона.
Павло Білоусов ставить під сумнів лише бізнес-модель Telegram, адже месенджер нібито надійно шифрує вашу переписку і не використовує персональні дані в рекламних цілях, але про способи його монетизації нічого невідомо.
Будемо сподіватися на альтруїзм від братів Дурових і на їхню нову криптовалюту, яка забезпечить стабільну модель заробітку, без спокуси продати дані користувачів рекламним агентствам.
Viber
Спочатку ізраїльська розробка віднедавна належить японській корпорації Rakuten. Проте Viber — це найпопулярніший месенджер в Україні, який, за різними даними, має приблизно 25 млн активних користувачів у нашій країні.
У застосунку є наскрізне шифрування, секретні чати зі схожими функціями автоматичного видалення повідомлень, заборони або відстеження скріншотів, захист від копіювання та пересилань повідомлень тощо.
Водночас, на відміну від Telegram, у Viber повне шифрування за замовчуванням включено для всіх чатів.
Загалом, з огляду на заяви розробників Viber, технології шифрування даних у месенджері дуже схожі на Telegram’івські. Ба більше, тут використовуються технології месенджера Signal, які вважають еталоном у цій сфері (докладніше про це нижче).
Однак, це не означає, що Viber слід вважати безпечним месенджером без застережень.
Зокрема, є питання до двофакторної аутентифікації, зберігання резервних копій чатів і ефективності технологій шифрування, про які заявляють у Viber.
Для створення резервних копій історії переписки Viber пропонує використовувати Google Drive. І Viber відкрито пише, що якщо ви створюєте такі бекапи, то програма не несе відповідальності за їхню приватність. Мовляв, там уже все залежить від Google.
«У месенджері використовують сучасні методи шифрування, але незалежного аудиту не проводили. Резервні копії чатів зберігаються у відкритому вигляді — що дуже ненадійно. Відсутність двофакторної аутентифікації — у 2019 році просто ганебно. Чи варто перестати користуватися таким месенджером? Якщо обговорювати по скільки скидатися на штори в школу — цілком годиться, а ось щось серйозне — спасибі, але ні», — відповів Павло Білоусов.
Що стосується бізнес-моделі, Viber непогано заробляє на корпоративних акаунтах і чат-ботах, але це може відштовхнути частину аудиторії, оскільки конкуренти пропонують ефективніші безкоштовні платформи для бізнесу.
Денис Кудрявченко нагадує, що деякі сервери компанії розміщені на території Росії і немає гарантії, що у спецслужб цієї країни немає доступу до листування користувачів.
Останнім часом цей месенджер зазнає серйозних іміджевих втрат: крім того, що один із засновників WhatsApp Брайан Ектон заявляв, що він «продав приватність користувачів», коли поступився своїм месенджером творцеві Facebook Марку Цукербергу в 2014 році за $16 млрд.
Нещодавно бойкотувати WhatsApp закликав і Павло Дуров. Що, втім, було розцінено багатьма експертами як «наїзд» на конкурента.
Так, всі незадоволені, що керівництво Facebook, всупереч своїм обіцянкам, втручається у діяльність WhatsApp і використовує платформу для збору персональних даних користувачів.
Але, принаймні ми знаємо, на які гроші існує цей месенджер, що важливо в питаннях безпеки.
Що стосується технологій шифрування — в месенджері можна увімкнути двофакторну аутентифікацію, наскрізне шифрування працює за замовчуванням, а також можна налаштувати обмежений доступ до застосунку.
Серед мінусів — відсутність секретних чатів, зберігання інформації на пристроях у відкритому вигляді і використання хмарних сховищ для даних резервного копіювання.
Фактично, тут немає серйозного захисту для сценарію, коли ваш смартфон потрапляє в руки зловмисників.
Знову ж, складно говорити про безпеку месенджера, який належить Facebook, чия бізнес-модель побудована на продажу метаданих користувача і поширенні реклами.
Заявлені технології шифрування також можна поставити під сумнів після нещодавнього злому WhatsApp, через який могли постраждати мільйони користувачів.
Хай там як, WhatsApp залишається найпопулярнішим месенджером у світі і йому належать дані приблизно 1,5 млрд користувачів.
Назар Гриник переконаний, що в цьому немає нічого дивного, оскільки тільки 5% користувачів обирають месенджер з міркувань безпеки, — інші розраховують на масовість і комфорт у використанні.
Facebook Messenger
Ще одне «підозріле» дитя Facebook через свою обов’язкову мобільну програму, але ненайкомфортніше управління має багато ненависників. Водночас ситуація з безпекою FB Messenger теж не така як слід.
У всякому разі, якщо ви використовуєте стандартні параметри. Бо вони не припускають особливої безпеки.
Для багатьох буде відкриттям, але, як зауважив Ярослав Яковенко, месенджер має секретний чат для передачі повідомлень від пристрою до пристрою, і навіть функцію автоматичного видалення повідомлень.
Якщо користуєтеся FB Messenger на смартфоні — краще розберіться з цією опцією, оскільки спочатку месенджер не шифрує ваші повідомлення.
Ну а прив’язку до акаунта Facebook, яка працює як двофакторна аутентифікація, можна вважати як плюсом, так і мінусом (все-таки, якщо хтось зламав ваш ФБ, то і доступ до месенджера отримує одразу).
Звісно, після скандалів з Cambridge Analytica загалом Facebook підірвав довіру до себе і своїх програм, попри те, що зараз у компанії заявляють про більшу увагу до безпеки персональних даних користувачів.
Сам Марк Цукерберг зізнався, що за останні кілька років його компанія втратила довіру аудиторії, і люди тепер не надто впевнені в Facebook.
Щоправда, він не уточнив, що саме збирається робити, щоб виправити ситуацію.
Інші
Колись популярний месенджер і сервіс відеодзвінків Skype, можливо, і втратив свої позиції в Україні та інших колишніх країнах СНД, але, по всьому світу це засіб спілкування досі залишається популярним і налічує близько 1,5 млрд користувачів.
Наскрізне шифрування в Skype працює за замовчуванням, але в політиці конфіденційності додатка вказано, що розробники можуть отримати доступ до особистої листуванні, наприклад, за запитом силових структур.
Перевагою також є те, що Skype не виконує резервне копіювання файлів на інші сервери (На відміну від того ж Viber).
На початку свого шляху Skype зарекомендував себе як простий і ефективний засіб зв’язку, але в 2011-му компанію викупив американський ТехноГігант Microsoft, і безпеку месенджера знову потрапила під сумнів.
Показовим був нещодавній витік, згідно з яким співробітники Microsoft могли прослуховувати розмови в Skype.
Втім, Microsoft ніколи не мала репутацію ікони безпеки і приватності. У більшості користувачів навіть згадка слів Microsoft і приватність в одному реченні може викликати посмішку.
Як і у випадку з Facebook, з огляду на недавні події.
Однак, є компанія, фанати якої щиро вірять в її непорочність.
Звісно ж, це Apple. Деякі користувачі iPhone вважають, що немає нічого безпечніше, ніж сервіси iMessage і Facetime.
Керівництво Apple постійно заявляє про те, що захист персональних даних своїх клієнтів є для компанії пріоритетом.
Повідомлення в цих додатках дійсно надійно зашифровані, але, проблема в тому, що ключі шифрування зберігаються на серверах Apple.
Так, компанія часто виступала на боці своїх користувачів, і навіть відстоювала приватність терориста, який влаштував масовий розстріл в Сан-Бернардіно в 2015-му, відмовляючи ФБР у передачі даних з його iPhone.
Але, в країнах на кшталт Росії та Китаю Apple передає ключі шифрування від акаунтів місцевих користувачів на державні сервера. Це, якщо можна так висловитися, подвійні стандарти безпеки.
Крім цього, надійність і безпеку Apple поставили під сумнів на початку 2019-го: тоді в Facetime виявили серйозну помилку, яка дозволяла абоненту чути і бачити свого співрозмовника до його відповіді на виклик.
Додаток навіть довелося деактивувати на час усунення помилки, але, найголовніше, — випадок довів, що навіть Apple не може повністю захистити своїх користувачів від вразливостей.
Які месенджери найбезпечніші?
Отже, всі поширені месенджери на планеті, як то кажуть, не без гріха.
Як же тоді листуватися про особисте та сокровенне?
Ми попросили фахівців з безпеки даних скласти список найкращих месенджерів з позиції їх захищеності. Очевидним лідером серед усіх виявився Signal.
Він є продуктом маленького американського стартапу Open Whisper Systems. Незважаючи на те, що в ньому працює всього кілька людей, саме цей стартап створив криптографічний протокол, який де-факто є еталоном для індустрії.
Всі опитані НВ експерти вказали на те, що чати в цьому месенджері зашифровані за замовчуванням, і навіть творці програми не можуть дізнатися, про що ви спілкуєтеся, коли і з ким.
Крім того, за допомогою GitHub будь-який охочий може подивитися відкритий вихідний код цього додатка. Це зводить шанси на наявність будь-яких «бекдорів» до нуля, як і у випадку з операційними системами open-source на ядрі Linux.
Неможливо приховати що-небудь від очей безрозмірної спільноти розробників у світі додатків з відкритим вихідним кодом.
«У компанії Artezio порівняли понад 20 популярних месенджерів за різними критеріями безпеки. Перше місце здобув Signal, друге — Wickr, а третє — Telegram. Найнебезпечнішим виявився месенджер Facebook. Фахівці рекомендують взагалі не використовувати його для конфіденційного листування», — пояснює Назар Гриник.
Звичайно, справедливим буде зауваження Дениса Кудрявченка про те, що «в Signal ви навряд чи знайдете багатьох ваших родичів і друзів». Аж надто специфічний цей гіківський месенджер.
За його словами, хорошою альтернативою Signal є Threema, де всього за кілька доларів розробники гарантують абсолютну конфіденційність даних, завдяки наскрізному шифруванню даних, зберіганню всієї інформації виключно на пристроях користувачів, можливісті не вказувати свій особистий номер, секретним чатам і багато чому іншому.
Серед інших маловідомих месенджерів, які гарантують високий ступінь безпеки, експерти виділяють Confide, Wickr і Briar.
«У Confide всі повідомлення приходять у вигляді прямокутників і щоб розшифрувати їх, необхідно клікати на повідомлення пальцем. Wickr шифрує всі види інформації, зокрема фото, аудіо, текст і відео. Месенджер також не дозволяє копіювати або пересилати повідомлення/контент третім особам і забороняє робити скріншот. Briar — зараз найзахищеніший месенджер, але правда доступний тільки на ОС Android», — пояснює Ярослав Яковенко.
Насамкінець
Варто врахувати, що проаналізовані найпопулярніші месенджери — Telegram, Viber, WhatsApp і FB — мають низку спільних недоліків на кшталт відсутності наскрізного шифрування групових чатів, проблем з монетизацією сервісу тощо. У таких масових і безкоштовних месенджерах безпека залежить від обох сторін, адже якщо ваш співрозмовник не використовує необхідних функцій захисту — листування все одно залишається вразливим і дані про нього зберігаються на серверах.
Часто популярні онлайн-сервіси для спілкування створюють так звані бекдори, — умисні помилки в вихідному коді програми, які дають можливість отримати доступ до акаунта будь-якого користувача. Іноді це є вимогою спецслужб як у найдемократичніших, так і в найавторитарніших країнах.
«Загалом всі популярні месенджери не є безпечними, адже їхні алгоритми шифрування і підходи до безпеки досить швидко стають доступними для зловмисників. І тут тільки питання часу і ресурсів, щоб отримати доступ до даних. А зламати можна все, питання тільки — як швидко і наскільки це потрібно», — каже Назар Гриник.
Керівник агентства мобільного маркетингу LEAD9 згадує і про проблему державного моніторингу: в Росії, наприклад, система СОРМ надає доступ до всього електронного листування абонентів (окрім зашифрованої end-to-end, за що і намагаються тиснути на Telegram). Можливо, подібна система існує і в Україні.
Безумовно, різні месенджери потрібні для різних цілей. Погодьтеся, буде просто незручно спілкуватися з рідними в Signal, де не можна скрінити або пересилати повідомлення іншим членам сім’ї. Ну а надсилати свої банківські реквізити в повідомленнях Viber, очевидно, не найкраща ідея.
«Ідеального месенджера не існує, тому — потрібно підбирати за ситуацією. А взагалі, якщо необхідно обговорити щось справді серйозне — робіть це віч-на-віч у чистому полі, подалі від технологій», — впевнений Павло Білоусов.