Наверное, мессенджеры одни из немногих приложений, созданных за последние десятилетия, существенно влияющие на психологию и поведение пользователей. По сути мессенджеры полностью переписали правила общения и изменили наши эмоции во время разговоров. Но если раньше больше внимания разработчики уделяли разным «фишкам», специальным возможностям, интересному и удобному интерфейсу в погоне за потребителем, то сейчас на первое место выходит безопасность.
Украинские эксперты определили топ безопасных мессенджеров для личного и профессионального общения. Особенно это стало актуально в условиях ведения войны России против Украины.
Signal
Как сообщает Орхан Гасимов, Technology Director, GlobalLogic, самым безопасным бесплатным мессенджером является Signal. Приложение разработал американский исследователь по вопросам кибербезопасности Мокси Марлинспайк. Мессенджер использует технологию сквозного шифрования – то есть сообщения доступны только для отправителя и получателя, их нельзя прочесть, даже перехватив.
Signal — это программа для обмена мгновенными сообщениями, впервые ставшая популярной, когда Илон Маск порекомендовал его еще в январе 2021 года в простом твите.
Программа мессенджера, доступная как для Android, так и настольных компьютеров, работает на основе протокола Signal с открытым исходным кодом. Запущенный в 2013 году, Signal теперь управляется некоммерческой организацией Signal Foundation, получившей пожертвование в размере 50 миллионов долларов от Брайана Эктона. По иронии судьбы именно он является основателем WhatsApp. В настоящее время Эктон является временным генеральным директором Signal Messenger LLC.
Все разговоры, отправленные и полученные через службу Signal, защищены. Ни компания, ни кто-либо еще на пути между отправителем и получателем не может читать сообщения, просматривать фотографии или прослушивать звонки. Сообщение расшифровывается только после того, как оно достигает устройства предполагаемого получателя.
Signal собирает только телефонный номер, необходимый для регистрации. В то же время ваше имя и фотография, если вы решите загрузить их, не будут доступны представителям компании. Это обеспечивает максимально высокий уровень конфиденциальности.
Сломали ли Signal?
К экспертной команде Госспецсвязи участились обращения военных с вопросами: «Мы слышали, что сломали Signal. Что делать?». Действительно ли это так?
Как заверили специалисты Госспецсвязи, по состоянию на лето 2023 – нет. Был инцидент летом 2022 года, о котором сообщила сама компания. В заявлении Signal отмечалось, что удалось сломать 1900 аккаунтов, а это очень немного. На аккаунты сотрудников компании Twilio, предоставляющей услуги SMS-проверки для Signal, совершили фишинговую атаку, в ходе которой хакерам удалось получить доступ к конфиденциальной информации.
Сломать Signal возможно, но для этого есть ряд сложных предпосылок:
- Зная ваш номер телефона, российские злоумышленники могут перехватить SMS с кодом доступа в приложение на телефон российскими средствами РЕБ и подставными станциями мобильной связи (возможны даже на беспилотниках). Такой риск достаточно высок в приграничных районах и зоне боевых действий.
- Самым популярным способом является взлом через компьютерную версию Signal – через отправку документа Word/Excel или других исполняемых файлов в архиве через Signal и злоумышленники смогут скрыто следить за экраном, делать скриншоты и перехватывать нажатие клавиш на клавиатуре. Также российские хакеры могут украсть сессию компьютерной версии Signal и скрыто следить за сообщениями в аккаунте и группах; и даже эксплуатируя доверие между абонентами отправкой сообщений легитимным абонентам (опять же для дальнейшего продвижения и захвата других компьютеров и аккаунтов).
В настоящее время наблюдаются активные попытки проникновения по социальной инженерии, особенно в Signal-версии для компьютера.
- Немаловажно не принимать и не доверять незнакомым контактам, их нужно сразу блокировать. Во время целенаправленных атак против конкретных руководителей и офицеров — злоумышленники проводят детальный сбор информации и имеют достаточно контактов знакомых и друзей, притворяясь которыми, просят совершить определенные действия.
Перезвонить даже по незащищенной связи, но для валидации абонента – лучше, чем принимать и доверять сообщениям подобно описанию на скриншоте выше.
Не доверяйте файлам в архивах. Обязательно используйте антивирус на компьютере.
Threema
Также в список безопасных мессенджеров эксперты добавляют платное приложение Threema. Его можно использовать полностью анонимно, без добавления телефонного номера и других данных. Мессенджер шифрует все сообщения, не хранит информацию на сервере и не собирает персональные данные пользователей.
Есть возможность сгенерировать индивидуальный идентификатор, максимальный уровень верификации достигается путем добавления контактов с помощью QR-кода.
Threema разработана в Швейцарии и запущена в 2012 году.
В январе 2022 года стало известно, что швейцарским военным запретили использовать Telegram, WhatsApp и Signal. Вооруженные силы Конфедерации могут скачать приложение Threema. Основной причиной ограничения явилась безопасность данных.
Как говорится в статье Swiss Info, серверы Threema расположены в Швейцарии и не подпадают под действие законодательства в других странах, в частности в США, где так называемый CLOUD Act (или «закон о облаках») обязывает американские технологические фирмы предоставлять данные по юридическому запросу.
А как насчет других популярных мессенджеров?
В то же время Whatsapp и Facebook Messenger называют наименее защищенными – мессенджеры могут дешифровать и прочитать копии сообщений пользователей на сервере и передавать данные или переписки посторонним лицам, спецслужбам или правоохранительным органам. Самые популярные мессенджеры 
среди украинцев – Telegram и Viber – также менее безопасны. Так, например, технология сквозного шифрования в Telegram доступна только секретным чатам. Viber хоть и шифрует сообщения, однако ключи для дешифрования и истории переписки приложение сохраняет на сервере. Это означает, что сообщения могут быть расшифрованы третьими лицами в любой момент.
Дополнительно Telegram и Viber собирают персональные данные пользователей – как номер телефона и ир-адрес, и по запросу могут передать их третьим сторонам.
Чтобы безопасно передавать файлы в мессенджерах и обмениваться информацией, эксперты советуют обращать внимание на сквозное шифрование – например, создать секретный чат в Telegram или выбрать более безопасный мессенджер. При этом пользователям не советуют сохранять историю сообщений на устройстве, где установлен мессенджер.
Безопасность общения военнослужащих
Во многих странах мира некоторым должностным лицам и военным запрещают пользоваться определенными мессенджерами из-за открытости данных, собираемых такими мессенджерами на своих серверах.
Так, например, в США американским военным морякам и сотрудникам Госдепа запрещено пользоваться соцсетью TikTok. Ее серверы расположены в Китае, следовательно, правительство этой страны может собирать информацию о перемещении американского флота или путешествиях дипломатов.
В начале 2022 года Швейцария запретила использование WhatsApp, Telegram, Signal и других иностранных мобильных мессенджеров своим военным. Вместо этого им было предложено перейти на швейцарское приложение Threema.
Дело в том, что в конце 2021 специалисты организации Property of the People узнали, как американские правоохранители работают с мобильными мессенджерами. Когда этот документ подробно изучили, оказалось, что WhatsApp каждые 15 минут (практически в режиме реального времени) передает 
информацию об отправителе и адресате каждого сообщения в ответ на запрос наблюдателя. Сходные данные передает и iMessage. Хотя Signal может предоставить только дату и время регистрации и дату последнего входа в приложение. Telegram же при запросах, касающихся борьбы с терроризмом, может раскрыть номер телефона и IP-адрес пользователя. Приложение Viber также передает информацию об аккаунте.
Индийская армия разработала мессенджер SAI – его серверы размещаются в Индии, а код могут менять местные разработчики в соответствии со своими потребностями.
Во Франции для секретных коммуникаций используется открытый протокол Matrix, который можно запустить на собственном сервере. По состоянию на начало 2021 года у Matrix было 28 млн пользователей.
О безопасности Украины и РОЗМОВА
Для Украины вопрос интернет-безопасности военнослужащих сейчас более чем актуален. Следует вспомнить хотя бы довоенные атаки на украинские государственные сайты, которые сначала выглядели как дефейс, а затем оказались гораздо более серьезной угрозой.
В начале 2022 года стало известно, что по пути создания собственного мессенджера пошла и Украина. Специалисты Госспецсвязи разрабатывают специальный защищенный мессенджер «Розмова» для украинских военных.
Перед началом полномасштабного вторжения мессенджер «Розмова» для обмена информацией между отечественными военными находился на стадии активного тестирования. Специальная рабочая группа установила разговор на своих смартфонах и изучала его. А также планировалось развернуть соответствующую серверную платформу. Уникальность программы состоит в том, что все ее технологические компоненты находятся под контролем Госспецсвязи. То есть информация не гуляет по другим серверам в мире. Это, в сущности, корпоративный мессенджер, в котором основной прицел сделан на надежность.
В службе называли следующие преимущества мессенджера «Розмова» перед популярными приложениями:
— все данные будут храниться на собственном сервере на территории Украины;
— переписка будет защищаться сквозным шифрованием с помощью криптографических протоколов и сертифицированных сеансовых ключей;
— пользоваться мессенджером могут только те, кто будет иметь личные учетные записи, созданные администратором;
— для работы с мессенджером нужно будет пройти аутентификацию пользователя по логину и паролю;
— возможность для служащих звонить по телефону на стационарные рабочие телефоны системы межведомственной телефонной связи.
Кроме того, разработчики «Разговора» заявляли, что их приложение будет иметь почти все функции, которые есть у других:
— возможность отправки текстовых и графических сообщений,
— создание сеансов аудио и видеосвязи
— push-сообщение.
В дальнейшем функционал планировалось расширить. Но на сегодняшний день о судьбе тестирования и внедрении информации нет.
По словам Юрия Щиголя, главы Госспецсвязи, сегодня военным рекомендуют отказаться от WhatsApp или Telegram и использовать платный швейцарский мессенджер Threema. Он стоит $5.
И, в заключение, советы, как безопасно пользоваться мессенджерами
1) Укажите никнейм вместо телефонного номера, если такая возможность есть в мессенджере.
2) Регистрируйте аккаунт на номер другой страны, с высоким уровнем защиты и развития демократии. К примеру, на Германию.
3) Доверяйте гигантам меньше, они ведь собирают персональные данные.
4) Операционная система Apple имеет лучшую защиту, чем Android. Если у вас Android, из поисковых систем используй только Google.
5) Не оставляйте включенное устройство без присмотра. Установите надежный пароль.
6) Отправляйте конфиденциальную информацию только знакомым людям.
Signal / интеллектуальная собственность / кибербезопасность / мессенджеры
