Напевне, месенджери одні з небагатьох додатків, створених за останні десятиліття, які суттєво впливають на психологію та поведінку користувачів. По суті, месенджери повністю переписали правила спілкування та змінили наші емоції під час розмов. Але якщо раніше більше уваги розробники приділяли різним «фішкам», спеціальним можливостям, цікавому та зручному інтерфейсу у гонитві за споживачем, то зараз на перше місце виходить безпека.
Українські експерти визначили топ безпечних месенджерів для особистого та професійного спілкування. Особливо це стало актуально в умовах ведення війни росії проти України.
Signal
Як повідомляє Орхан Гасімов, Technology Director, GlobalLogic, найбезпечнішим безкоштовним месенджером є Signal. Застосунок розробив американський дослідник з питань кібербезпеки Моксі Марлінспайк. Месенджер використовує технологію наскрізного шифрування – тобто повідомлення доступні лише для відправника та отримувача, їх не можна прочитати, навіть перехопивши.
Signal — це програма для обміну миттєвими повідомленнями, яка вперше стала популярною, коли Ілон Маск порекомендував його ще в січні 2021 року у простому твіті.
Програма месенджера, доступна як для Android, так і для настільних комп’ютерів, працює на основі протоколу Signal з відкритим вихідним кодом. Запущений у 2013 році, Signal тепер управляється некомерційною організацією Signal Foundation, яка отримала пожертву у розмірі 50 мільйонів доларів від Брайана Ектона. За іронією долі, саме він є засновником WhatsApp. Наразі Ектон є тимчасовим генеральним директором Signal Messenger LLC.
Всі розмови, надіслані та отримані через службу Signal, захищені. Ні компанія, ні хтось ще на шляху між відправником та одержувачем не може читати повідомлення, переглядати фотографії або прослуховувати дзвінки. Повідомлення розшифровується тільки після того, як воно досягає пристрою передбачуваного одержувача.
Signal збирає лише номер телефону, який необхідний для реєстрації. У той же час, ваше ім’я та фотографія, якщо ви вирішите завантажити їх, не будуть доступні представникам компанії. Це забезпечує максимально високий рівень конфіденційності.
Чи зламали Signal?
До експертної команди Держспецзв’язку почастішали звернення військових, із запитаннями: “Ми чули, що зламали Signal. Що робити?”. Чи дійсно це так?
Як запевнили спеціалісти Держспецзв’язку, станом на літо 2023 року – ні. Був інцидент влітку 2022 року, про який повідомила сама компанія. У заяві Signal зазначалося, що вдалося зламати 1 900 акаунтів, а це дуже небагато. На акаунти працівників компанії Twilio, що надає послуги SMS-перевірки для Signal, здійснили фішингову атаку, під час якої хакерам вдалося дістати доступ до конфіденційної інформації.
Зламати Signal можливо, але для цього є низка складних передумов:
- Знаючи ваш номер телефону, російські зловмисники можуть перехопити SMS із кодом доступу на додаток на телефон російськими засобами РЕБ та підставними станціями мобільного зв’язку (які можливі навіть на безпілотниках). Такий ризик доволі високий у прикордонних районах та зоні бойових дій.
- Найпопулярнішим способом є злом через комп’ютерну версію Signal – через надсилання документа Word / Excel або інших файлів у архіві через Signal, які виконаються, і зловмисники зможуть приховано стежити за екраном, робити скриншоти та перехоплювати натискання клавіш на клавіатурі. Також російські хакери можуть викрасти сесію комп’ютерної версії Signal та приховано стежити за повідомленнями в обліковому записі та групах; та навіть експлуатуючи довіру між абонентами надсиланням повідомлень легітимним абонентам (знову ж – для подальшого просування та захоплення інших комп’ютерів та акаунтів).
Наразі спостерігаються активні спроби проникнення шляхом соціальної інженерії, особливо в Signal-версії для комп’ютера.
- Неабияк важливо не приймати й не довіряти незнайомим контактам, їх потрібно одразу блокувати. Під час цілеспрямованих атак проти конкретних керівників та офіцерів – зловмисники проводять деталізований збір інформації та мають достатньо контактів знайомих і друзів, прикидаючись якими, просять вчинити певні дії.
Передзвонити навіть по незахищеному зв’язку, але для валідації абонента – краще, ніж приймати й довіряти повідомленням подібно до опису на скриншоті вище.
Не довіряйте файлам в архівах. Обов’язково використовуйте антивірус на комп’ютері.
Threema
Також до списку безпечних месенджерів експерти додають платний застосунок Threema. Його можна використовувати повністю анонімно, без додавання номеру телефону й інших даних. Месенджер шифрує всі повідомлення, не зберігає інформацію на сервері та не збирає персональні дані користувачів.
Є можливість згенерувати індивідуальний ідентифікатор, максимальний рівень верифікації досягається шляхом додавання контактів за допомогою QR-коду.
Threema розроблена у Швейцарії і запущена 2012 року.
У січні 2022-го стало відомо, що швейцарським військовим заборонили використовувати Telegram, WhatsApp і Signal. Збройні сили Конфедерації можуть завантажити додаток Threema. Основною причиною обмеження стала безпека даних.
Як ідеться у статті Swiss Info, сервери Threema розташовані у Швейцарії і не підпадають під дію законодавства в інших країнах, зокрема у США, де так званий CLOUD Act (або “закон про хмари”) зобов’язує американські технологічні фірми надавати дані за юридичним запитом.
А як щодо інших популярних месенджерів ?
Водночас Whatsapp та Facebook Messenger називають найменш захищеними – месенджери можуть дешифрувати та прочитати копії повідомлень користувачів на сервері та передавати дані або переписки стороннім особам, спецслужбам або правоохоронним органам. Найпопулярніші месенджери серед українців 
– Telegram та Viber – також менш безпечні. Так, наприклад, технологія наскрізного шифрування в Telegram доступна лише для секретних чатів. Viber хоч і шифрує повідомлення, проте ключі для дешифрування та історію переписки застосунок зберігає на сервері. Це означає, що повідомлення можуть бути розшифровані третіми особами в будь-який момент.
Додатково Telegram та Viber збирають персональні дані користувачів – як-то номер телефону та ір-адресу, та за запитом можуть передати їх третім сторонам.
Щоб безпечно передавати файли в месенджерах і обмінюватись інформацією, експерти радять звертати увагу на наскрізне шифрування – наприклад, створити секретний чат в Telegram, або обрати більш безпечний месенджер. При цьому користувачам не радять зберігати історію повідомлень на пристрої, де встановлений мессенджер.
Безпека спілкування військовослужбовців
У багатьох країнах світу деяким посадовцям та військовим забороняють користуватися певними месенджерами через відкритість даних, які такі месенджери збирають на своїх серверах.
Так, наприклад, у США американським військовим морякам та співробітникам Держдепу заборонено користуватися соцмережею TikTok. Її сервери розташовані в Китаї, отже, уряд цієї країни може збирати інформацію про переміщення американського флоту чи подорожі дипломатів.
На початку 2022 року Швейцарія заборонила використання WhatsApp, Telegram, Signal та інших іноземних мобільних месенджерів своїм військовим. Натомість їм було запропоновано перейти на швейцарський додаток Threema.
Справа в тому, що наприкінці 2021 року фахівці організації Property of the People дізналися, як американські правоохоронці працюють з мобільними месенджерами. Коли цей документ детально вивчили, виявилось, що WhatsApp кожні 15 хвилин (практично в режимі реального часу) передає інформацію про відправника та адресата кожного повідомлення у відповідь на запит спостерігача. Подібні дані передає і iMessage. Хоча 
Signal може надати лише дату й час реєстрації користувача та дату останнього входу в додаток. Telegram же при запитах, що стосуються боротьби з тероризмом, може розкрити номер телефону та IP-адресу користувача. Додаток Viber також передає інформацію про акаунт.
Індійська армія розробила месенджер SAI – його сервери розміщуються в Індії, а код можуть змінювати місцеві розробники відповідно до своїх потреб.
У Франції для секретних комунікацій використовують відкритий протокол Matrix, який можна запустити на власному сервері. Станом на початок 2021-го у Matrix було 28 млн користувачів.
Про безпеку України та РОЗМОВУ
Для України питання інтернет-безпеки військовослужбовців зараз є більш ніж актуальним. Варто пригадати хоча б довоєнні атаки на українські державні сайти, які спочатку виглядали як дефейс, а потім виявились набагато більш серйозною загрозою.
На початку 2022 року стало відомо, що шляхом створення власного месенджера пішла й Україна. Фахівці Держспецзв’язку розробляють спеціальний захищений месенджер «Розмова» для українських військових.
Перед початком повномасштабного вторгнення, месенджер «Розмова» для обміну інформацією між вітчизняними військовими, знаходився на стадії активного тестування. Спеціальна робоча група встановила «Розмову» на своїх смартфонах та вивчала його. А також, планувалось розгорнути відповідну серверну платформу. Унікальність програми в тому, що усі її технологічні компоненти перебувають під контролем Держспецзв’язку. Тобто інформація не гуляє по інших серверах у світі. Це, по суті, корпоративний месенджер, в якому основний приціл зроблено на надійність.
У службі називали такі переваги месенджера «Розмова» перед популярними додатками:
- усі дані зберігатимуться на власному сервері на території України;
- листування захищатиметься наскрізним шифруванням за допомогою криптографічних протоколів та сертифікованих сеансових ключів;
- користуватися месенджером зможуть лише ті, хто матиме особисті облікові записи, створені адміністратором;
- для роботи з месенджером потрібно буде пройти аутентифікацію користувача за логіном та паролем;
- можливість для службовців телефонувати на стаціонарні робочі телефони системи міжвідомчого телефонного зв’язку.
Крім того розробники «Розмови» заявляли, що їхній додаток матиме майже всі функції, які є у інших:
- можливість відправки текстових та графічних повідомлень,
- створення сеансів аудіо та відеозвʼязку
- push-повідомлення.
У подальшому функціонал планували розширити. Але на сьогоднішній день про долю тестування та впровадження застосунку інформації немає.
За словами Юрія Щиголя, голови Держспецзв’язку, сьогодні військовим рекомендують відмовитися від WhatsApp чи Telegram та використовувати платний швейцарський месенджер Threema. Він коштує $5.
І, на останок, поради, як безпечно користуватися месенджерами
- Зазначайте нікнейм замість номеру телефона, якщо така можливість є в месенджері.
- Реєструйте акаунт на номер іншої країни, з високим рівнем захисту та розвитку демократії. Наприклад, на Німеччину.
- Довіряйте гігантам менше, адже вони збирають персональні дані.
- Операційна система Apple має кращий захист, ніж Android. Якщо у вас Android, з пошукових систем використовуй тільки Google.
- Не залишайте увімкнений пристрій без нагляду. Налаштуйте надійний пароль.
- Надсилайте конфіденційну інформацію лише знайомим людям.
Signal / інтелектуальна власність / кібербезпека / месенджери
