Статья Что делает мессенджер безопасным?

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.112
Репутация
11.695
Реакции
61.895
RUB
50
Как защитить свою переписку на телефоне и почему одного шифрования недостаточно.


Мы неоднократно сравнивали со сквозным шифрованием, и описывали . А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием .

В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.

✅ Что изучали​

Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров.

▶️ Пользователям предлагали такие популярные приложения:
  • Apple iMessage;
  • Meta (Facebook) Messenger*;
  • Messages by Google;
  • Signal;
  • Telegram;
  • WhatsApp.
При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».

✅ Главный вывод​

Сквозное шифрование — только часть безопасности. Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой. Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника? Для многих ответ на все эти вопросы — «нет», и тогда зашифрованный мессенджер сам по себе дает достаточную защиту.

Но даже если ваш ответ — «да», это не повод отказываться от шифрования и безопасного мессенджера: просто они должны стать частью общего ряда мер эшелонированной защиты.

В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.

✅ Общие рекомендации по безопасной переписке​

- Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.

- Не принимайте решения вслепую. Пользователи сознательно прилагают усилия, чтобы защитить свою конфиденциальность, но часто ориентируются на «фольклор про безопасность», а не достоверные источники информации. Также мало кто читает документы, связанные с приложениями: условия использования, отчет о прозрачности и взаимодействии с властями. Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер, кому выдает (и уже выдавал) эти данные. Об этом пишут в отчетах о прозрачности, а также в прессе.

- Хорошо изучите настройки мессенджера. Разберитесь, что означает каждая из них и включите максимально безопасные варианты всех нужных настроек. Учтите, что часть настроек безопасности может быть разбросана по общим настройкам телефона (особенно для iMessage на iPhone и Messages by Google на Android) или другим подразделам приложения (характерно для Telegram).

- Не пользуйтесь гибридными режимами. В ряде мессенджеров возможна как шифрованная, так и нешифрованная переписка. В iMessage и Messages by Google можно посылать открытые SMS или шифрованные сообщения прямо в рамках одного чата. Это самое неудачное решение, такие сообщения вечно путают. В Messenger* и Telegram есть отдельные шифрованные и нешифрованные чаты, причем по умолчанию . Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.

- Больше функций — больше риск. Если мессенджер имеет много дополнительных функций — сториз, боты, связь с соцсетями — то появляются и дополнительные потенциальные каналы слежки и разглашения информации. Стоит отключить всю ненужную функциональность или вообще не пользоваться подобным мессенджером.

- Отключайте предварительный просмотр ссылок, обмен геолокацией, гифки. Иногда эти функции удобны, но через них могут самые разные стороны, включая тот веб-сайт, на который ведет ссылка. Еще одной функцией, потенциально создающей канал утечки, является поиск GIF для отправки в чат.

- Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail. По информации в отчете, WhatsApp и Signal также планируют создание такой функции.

- Пользуйтесь исчезающими сообщениями. Для особо чувствительных тем нужно активировать автоматическое удаление переписки через короткий срок (например, 1 минута). К сожалению, такие настройки есть не во всех мессенджерах, кое-где минимальный срок видимости — 24 часа. Исчезающие сообщения слабо защищают от скриншотов и других способов сохранить переписку, доступных собеседнику. В основном они помогут, если в вашем телефоне спустя какое-то время будут ковыряться посторонние.

- Шифруйте резервные копии чатов. Стандартные резервные копии в облако нередко становятся каналом утечки, поэтому важно убедиться, что они имеют дополнительное шифрование (его нужно вручную включать в WhatsApp и iMessage), либо же ведутся локально (например, на SD-карту в смартфонах Android), либо вообще отключены. Локальные резервные копии тоже должны быть зашифрованы.

- Сверяйте ключи шифрования с важными собеседниками. Эта процедура в разных приложениях называется Сontact Key Verification (iMessage), Safety Numbers (Signal), Security Code (WhatsApp), Encryption key (Telegram). Она позволяет убедиться, что вы переписываетесь с нужным человеком на нужном устройстве. Проверка осуществляется для каждого конкретного чата либо по указанному коду, либо при личной встрече.

- Защищайтесь от угона аккаунтов— включайте . Она может называться по-разному — Two-Step Verification, Registration PIN и так далее, — но ее суть неизменна: для входа в аккаунт на новом устройстве требуется дополнительное подтверждение.

- Обучайте своих собеседников. Особенно это важно для групп, общающихся в чатах по «чувствительной» тематике.

▶️ В них важно солидарное соблюдение правил этики и безопасности:
  • не пересылать приватную информацию дальше;
  • не делать скриншотов или других копий информации из чата;
  • поддерживать в сообществе культуру соблюдения конфиденциальности;
  • грамотно пользоваться настройками мессенджера;
  • отключать в чатах потенциально небезопасные функции.

✅ Какой мессенджер самый безопасный?​

По итогам исследования, в общем зачете , но невозможность использовать его без раскрытия своего номера телефона немного осложняет ситуацию. Сравнение ключевых функций безопасности мессенджеров приведено в таблице, а самый безопасный вариант в каждой строке выделен зеленым.

Apple iMessageMeta Messenger*Google MessagesSignalTelegramWhatsApp
Сквозное (End-to-end) шифрование в личном чатеИногда**В спец. чатеИногда**ВсегдаВ «секретном чате»Всегда
Сквозное (End-to-end) шифрование в группеИногда**В спец. группеИногда**ВсегдаНикогдаВсегда
Проверенный протокол шифрованияНетДаДаДаНетДа
Шифрование резервных копийДа, опциональноНе делает копийНетДа, по умолчаниюНе делает копийДа, опционально
Возможность ручной сверки ключей шифрованияДаДаНетДаДаДа
Регистрация без номера телефонаДаДа (трудно)НетНетНетНет
Скрытие номера телефона от контактовДаДаНетНетДаНет
Связь с другими сервисами или аккаунтами в других сервисахДаДаНетНетНетДа
Скрытие метаданных***ЧастичноЧастичноЧастичноДаЧастичноЧастично
Хранение метаданных***ДаДаДаНетДаДа
Исчезающие сообщенияНетОт 5 с.НетОт 1 с.От 1 с.От 24 ч. + разовый просмотр
Отключение просмотра ссылокНетНетНетДаВ «секретном чате»Нет
Блокировка скриншотовНетНетНетДаВ «секретном чате»Нет
Предупреждение о скриншотахНетДаНетНетНетНет

** Функция доступна, если все участники беседы используют одну платформу (iOS/Android) и корректные настройки приложения.

*** Настройки приватности, чтобы не показывать частично или целиком другим пользователям следующие метаданные: фото пользователя, другие контакты пользователя, информация об участии в чатах и группах, IP-адрес и время переписки.

 
Ни один из этих мессенджеров не поддерживает обфускацию траффика. Потому на уровне сети ни один из них не является анонимным. Что касается шифрования, то в целом, оно работает хорошо в наше время. Хоть и существует много побочных каналов для перехвата ключей или банального открытия сторонней сессии.
 
Можно ли удаленные смс вообще восстановить? хранятся они на серверах мессенджеров? если да, то смысл тогда автоудаления?
 
  • Теги
    apple imessage meta signal telegram whatsapp безопасный мессенджер
  • Сверху Снизу