Безопасность в сети: почему не стоит доверять мессенджерам

107

Мессенджеры настолько глубоко интегрированы в нашу повседневную жизнь, что стали ее неотъемлемой частью. Современный этикет предписывает нам не звонить, а сначала уточнить в мессенджере, когда и как оппоненту удобно пообщаться. В чатах мы обсуждаем личные и рабочие вопросы, тратя на переписку львиную долю времени.

При этом все призрачнее становятся границы безопасности: перепискам мы доверяем тонны информации, которая может быть коммерческой тайной или глубоко личной. В этой статье поговорим о том, насколько небезопасны самые популярные мессенджеры и почему не стоить доверять переписке конфиденциальную информацию.

Герои антирейтинга

Начнем обзор с самого "проблемного" мессенджера, который ставит под угрозу информационную безопасность компании — Skype. В разное время в нем были обнаружены серьезные бреши, через которые можно было получить полный удаленный контроль над компьютером. А после того, как в 2011 году мессенждер выкупила Microsoft, она снабдила его технологией законного прослушивания. Теперь подрядчикики Microsoft прослушивают разговоры некоторых пользователей якобы для улучшения услуги встроенного переводчика.

Да и украинские спецслужбы еще в 2012 году научились контролировать передачу информации через Skype и улучшили этот навык с начавшимися с боевыми действиями на Востоке Украины. В 2014 году в СБУ распространили информацию о переписке сепаратистов со своими российскими кураторами через Skype. Также о возможности СБУ контролировать Skype свидетельствует решение суда, в котором речь идет о том, как работник "Укрпочты" передавал через Skype на неподконтрольную Украине территорию Донецкой области секретную информацию, и был разоблачен СБУ.

Мы рекомендуем запретить устанавливать сотрудникам Skype на рабочие компьютеры без острой необходимости, поскольку именно корпоративная безопасность — слабое место мессенджера.

Второе место антирейтинга могут поделить продукты концерна Facebook — FB Messenger и WhatsApp. Несмотря на то, что Facebook — одна из самых популярных соцсетей в мире, вопросы безопасности в компании явно отодвинуты на второй план. Мессенджеры компании часто оказываются в центре скандалов, связанных с утечкой личных данных пользователей. Как, например, громкое дело о сборе Cambridge Analytica данных о 87 млн пользователей Facebook.

Аналитическая компания передавала персональные данные третьим лицам, которые использовали их для политической рекламы во время президентской кампании в США и референдумах о Brexit. Главный минус FB Messenger — обязательное мобильное приложение, которое может копировать переписку с абонентом и передавать информацию третьей стороне. Взломав ваш Facebook, человек сразу получает доступ ко всей переписке, включая смс (если эта функция активирована).

Не лучше обстоят дела и с дочерним мессенджером Facebook — WhatsApp. Недаром компанию покинули ее основатели, назвав одной из причин своего ухода — небезопасность мессенджера. Внедрение широко разрекламированного сквозного шифрования в WhatsApp совпало с призывом создавать резервную копию данных в облаке. При этом разработчики "забыли" уточнить, что при резервном копировании сообщения уже не защищены сквозным шифрованием и становятся доступны для взлома.

А в прошлом году мировые эксперты по кибербезопасности заявили о том, что через WhatsApp можно легко следить за пользователями, благодаря ошибке в системе безопасности. Взломать любой смартфон можно было всего лишь позвонив на этот мессенджер, после чего WhatsApp принимал звонок без ведома пользователя, и хакеры заражали телефон ПО для кражи информации.

Уже не секрет, что спецслужбы многих стран используют неофициальную возможность влияния на интернет-провайдеров и получают доступ к информации в облаке. В Украине полученную информацию силовики легализируют через суд и используют ее в своих целях.

Кстати, о мессенджере Viber. Он предлагает хранить резервную копию сообщений на Google Drive, но при этом разработчики честно предупреждают, что не несут ответственности за приватность таких копий. Мол, там уже все зависит от Google. Как писали ранее СМИ, возможность взламывать Viber спецслужбы развитых стран получили еще в 2013 году. В Украине сейчас также легко взламывается переписка по Viber (разрешение на вскрытие этого мессенджера дается официальное решение суда). О том, что национальные спецслужбы могут получать информацию с WhatsApp и Viber, рассказал и директор НАБУ Артем Сытник.

Например, суд оправдал по одному из уголовных дел мэра Одессы из-за незаконного вмешательства силовиков в его переписку в Viber. Ну и совсем анекдотичный случай c перепиской в Viber произошёл в той же Одессе, где суд наказал лицо, которое нецензурно высказывалось в этом мессенджере. Не отстает от Одессы и Киев. В 2016 году к уголовной ответственности была привлечена женщина за сутенерство, которая организовала через Viber несколько групп для сводничества и занятий проституцией.

Замыкает пятерку самых небезопасных мессенджеров WeChat. Это — чисто китайский продукт на рынке мессенджеров, у него богатый функционал, которым не могут похвастаться аналогичные платформы. Но безопасности на этой площадке вы не найдете. WeChat собирает на своих серверах невероятное количество данных, и это просто подарок для государства. В Китае приложение в реальном времени показывает правительству "карты" пользователей.

Они позволяют получить доступ к данным каждого отдельного пользователя. Кроме того, WeChat не имеет цифрового кодирования, поэтому пользователь защищает доступ к своему аккаунту паролем, а эту защиту можно легко обойти. Украинские силовики, как правило детективы НАБУ, очень интересуются перепиской в WeChat и просят следственных судей Высшего антикоррупционного суда Украины разрешения доступ к информации в этом мессенджере на компьютерах или других носителях электронной информации, изъятых во время обысков.

Еще один популярный мессенджер — Signal. В нем есть баг, который активирует микрофон в телефоне во время звонка. Причем и инициировать звонок, и принять его на смартфоне пользователя может сам злоумышленник. И пусть такой сценарий работает только для аудиозвонков, ваши разговоры в этом мессенджере могут быть услышаны.

Кроме того, судебная практика подтверждает, что доступ к переписке в Signal наши силовики имеют и идентифицируют через изъятые телефоны номера абонентов. А Верховный Суд в своем решении от 9 апреля 2020 года признал правомерным осмотр телефонов, изъятых следствием, и ознакомление с перепиской в мессенджерах без специального разрешения следственных судей на временный доступ к находящейся в телефоне информации.

Но в целом параметры безопасности у Signal неплохие: мессенджер использует шифрование с открытым исходным кодом. Пользователи могут установить временной интервал, после которого их сообщения автоматически удаляются. Это гарантирует вам конфиденциальность, даже если кто-то другой получит доступ к вашему смартфону. А если вы будете добавлять контакты не из телефонной книги, а при встрече с человеком, сканируя QR-код с идентификатором с экранов друг друга, им будет присвоен максимальный уровень верификации и безопасности.

Про видеосвязь

Поговорим о сервисах для проведения видеоконференций. На пике популярности сейчас сервис проведения видеоконференций Zoom. С введение карантина интерес к приложению сильно вырос, его скачивали до 600 тысяч раз ежедневно. Компания явно не была готова к такой нагрузке и повышенному интересу к параметрам безопасности сервиса.

Проблема Zoom –– в его простоте. Он не требует установки пароля для конференций и позволяет любому участнику "делиться" своим экраном. Все вышеуказанное свидетельствует о ненадёжности этого мессенджера для ведения конфиденциальных встреч и конференций. Например, в апреле этого года тало известно, что в открытом доступе оказались 15 тысяч сессий в Zoom — и глубоко личные беседы, и корпоративные совещания, а в сети не утихают жалобы на онлайн-троллей, которые незаконно подключаются к беседе.

Аналогичный сервис Google Meet постарался учесть проблемы Zoom и усилил меры безопасности. Общаться на платформе могут только те участники, у которых есть учетная запись Google. Третьи лица или анонимные пользователи участия в конференции принять не смогут. Все трансляции в Google Meet шифруются, что значительно снижает риск хакерского взлома или утечки личной информации пользователей.

Поскольку сервис был запущен недавно, публичной информации о недостатках безопасности Google Meet крайне мало. Но некоторые эксперты рекомендуют пользователям использовать общие псевдонимы, а не уникальные логины или настоящее имена и применять виртуальный фон во время совещаний. Специалисты также предупреждают о том, что не стоит выкладывать в соцсети скриншоты с виртуальных совещаний, поскольку на основании таких избражений можно идентифицировать 80% пользователей.

Заметим, что специалисты лаборатории Kaspersky высоко оценили команду "безопасников" Google, отметив, что они "способны решать проблемы до того, как они причинят реальные неприятности".

Флагманы безопасности

Среди мессенджеров есть и те, общение в которых макчимально защищено разработчиком. К ним относятся Telegram, Threema и FaceTime.

Открывает тройку безопасных мессенджеров Telegram. Попал он сюда из-за уникальной технологии шифрования секретных чатов. Telegram использует собственный протокол end-to-end encryption, когда все сообщения шифруются на гаджете отправителя и расшифровываются на гаджете получателя. Эта технология реализована только для секретных чатов, а обычные сообщения теоретически могут быть перехвачены. Ни один из серверов Telegram не находится на территории России, а сам Дуров выехал из РФ в 2014 году, купив себе гражданство другого государства.

Взломать Telegram сложно: для этого злоумышленнику придется "зеркалить" (создавать копию сим-карты и получить доступ к приложению) ваш телефон или использовать подставных лиц. Показательным является случай, описанный в решении Ровенского горсуда. Спецслужбы использовали свидетеля, который вступил в переписку по Telegram с интересующим следствие лицом, который и без "взлома" аккаунта передал правоохранителям всю переписку с интересующим субъектом. Но если если соблюдать должную осторожность, переписка в Telegram будет защищена.

Создание Threema стало следствием усиливающейся тревоги пользователей по поводу безопасности и тайны переписки. Разработчики этого мессенджера учли все пожелания пользователей, поэтому Threema быстро обрел популярность. Threema — платный мессенджер, чтобы его скачать, нужно заплатить около $2. Сервер компании находится в Швейцарии и используется для технической поддержки, а не для хранения данных. У Threema отсутствует привязка к номеру телефона, что значительно усложняет силовикам идентификацию лица, использующего мессенджер. В мессенджере можно зарегистрироваться анонимно, а сообщения шифруются на устройствах пользователя.

В Threema есть так называемый "рейтинг доверия": чтобы начать диалог с пользователем, необходимо ввести его идентификатор. Бесзопаснее всего просканировать QR-код вживую с телефона собеседника или ввести его идентификатор вручную, что менее безопасно. Еще одна полезная функция Threema — шифрование каждого отдельного чата с помощью PIN-кода.

С точки зрения безопасности, Threema является одним из самых надежных мессенджеров. К Вашей переписке невозможно получить легальный доступ никаким способом, а даже если Ваш телефон попадет в чужие руки, то функции кодирования сообщений PIN-кодом и временного удаления сообщений надежно защитят информацию. Тем более, что после десяти неудачных попыток ввода секретного слова все данные в приложении будут стёрты.

Еще один достаточно надежный мессенджер — это FaceTime. Хотя в конце января 2019 года вокруг FaceTime разгорелся скандал о том, что собеседника можно прослушать при групповых вызовах ещё до того, как он принял звонок в приложении, компания быстро исправила эту ошибку улучшив параметры конфиденциальности.

Apple используют "сквозное" шифрование для защиты данных во время их передачи между двумя устройствами, так что перехватывать закрытые пакеты на пути следования бессмысленно, так как расшифровать их будет крайне проблематично. Сквозное шифрование теряет свою актуальность, только если ваш смартфон украли.

Впрочем, его всегда можно заблокировать через специальное приложение. Звонки не записываются и не хранятся на серверах компании. Даже правительственные учреждения США не могут получить к ним доступ, из-за чего неоднократно возникали претензии к Apple. Тем не менее специалистам силовых ведомств США недавно удалось расшифровать данные приложения, но этот случай скорее исключение.

FaceTime просто так не взломать, и он защищает персональную информацию пользователей. Все сообщения на устройствах с watchOS, iOS и iPadOS хранятся в закодированном виде, поэтому их невозможно прочитать без вашего пароля. Вы можете настроить автоматическое удаление ваших переписок через 30 дней или через год, а можете хранить их постоянно.

Вывод

Какие бы Вы секретные или супернадёжные мессенджеры Вы не использовали, всегда есть риск быть прослушанным. Ни один разработчик не гарантирует тайну сообщений, которые шифруются самыми современными технологиями, если информация передается с помощью микрофона или камеры смартфона.

Спецслужбы многих стран научились обходить преграды, негласно подключаясь к микрофону и видеокамере гаджета, получая таким образом нужную информацию. Максимально обезопасить себя поможет использование надежных мессенджеров с секретными чатами, которые будут зарегистрированы на иностранный номер.

Источник: delo.ua