Под колпаком: почему не существует безопасных мессенджеров и кто имеет доступ к нашим данным

смартфон, мессенджеры, данные, кибербезопасность
Фото: Getty Images

Эксперт по кибербезопасности рассказал Фокусу об особенностях шифрования данных, уязвимости резервных копий сообщений и вмешательстве государства в приватную жизнь пользователей.

Решение Facebook изменить политику конфиденциальности мессенджера WhatsApp вызвало волну негодования и критики со стороны пользователей и СМИ. Юзерам не понравилось, что компания в лоб заявила о сборе и передаче их данных по запросу государств и в коммерческих целях. Компанию обвиняли в нарушении приватности, жадности и пособничестве спецслужбам. Однако стоило ли так негодовать? Ведь Facebook и раньше это делала, просто негласно. И все же мессенджер потерял, и продолжает терять, тысячи подписчиков, которые ищут безопасные альтернативные сервисы, где никто не прочтет их сообщений и не услышит разговоров. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, рассказать, каким образом современные коммуникационные платформы защищают пользовательские данные, какие мессенджеры считаются самыми надежными на сегодняшний день и о том, стоит ли доверять WhatsApp.

Что такое шифрование и по каким причинам оно используется

До 70-х годов шифрование осуществлялось при помощи механических машин, а с развитием компьютерной техники были разработаны алгоритмы шифрования нового типа — программного, — которые оказались более действенными и надежными. Однако это внушало беспокойство государствам и правоохранительным органам, которые посчитали, что если все начнут пользоваться надежным шифрованием, то получать разведданные, отслеживать деятельность преступников и т.п. не представится возможным. По этой причине развитие так называемой гражданской криптографии попытались задержать, вводя экспортные ограничения в начале 1980-х. Эти ограничения служили своего рода лазейкой для спецслужб, которые могли получать доступ к данным, прослушивая разговоры, извлекая переписку при необходимости. Но в то же время шифрование обеспечивало гражданам безопасность общения посредством телефонной и интернет-связи. Технологические компании, естественно, не были довольны таким вмешательством в их деятельность. В итоге, между ними и силовиками разразились настоящие криптографические войны, продолжавшиеся вплоть до конца 90-х. Когда обе стороны устали воевать, было решено, что применение шифрования с "черным входом" (англ. back door — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить доступ к данным, — ред.), как того хотели силовые структуры, невозможно, потому что это навредит всем.

Telegram, мессенджер, смартфон Fullscreen
Эксперты по кибербезопасности не рекомендуют полностью доверять Telegram
Фото: unsplash.com

Как работает сквозное шифрование

По истечении некоторого времени технокомпании начали использовать сквозное шифрование (далее по тексту СШ), когда сервер через который вы общаетесь, не "видит" ваших переписок и не "слышит" разговоров. Все данные он воспринимает как белый шум. При этом вам и другому абоненту данные доступны в виде аудио-, видео-, графических и текстовых файлов, потому что вы обладаете ключами к их расшифровке. Принцип работы сквозного шифрования похож на отправку писем по почте — вы запечатываете письмо в конверте, и никто не может его прочесть, кроме адресата, который имеет полное право вскрыть конверт.

Однако и такой способ криптографии вызвал обеспокоенность спецслужб. И сейчас в Англии, США, Евросоюзе разрабатываются законопроекты, которые обязали бы разработчиков предоставлять данные по требованию правоохранителей. Разработчики противятся этому, утверждая, что любая схема с задействованием посредника (в данном случае посредником выступают спецслужбы), у которого тоже есть доступ к ключам, может нанести колоссальный ущерб. Потому что нет гарантий, что ключи не будут украдены хакерами или враждебными государствами. И если такое произойдет, то злоумышленники будут прослушивать уже сами спецслужбы. Также компании понимают, что если они откажутся от сквозного шифрования своих продуктов, они потеряют доверие пользователей, а значит и прибыль.

Пока что на законодательном уровне (в США, Англии, ЕС) вопрос о доступе спецслужб к мессенджерам окончательно не решен, потому как проекты законов имеют условия, ставящие под угрозу само их существование. Например, английские законодатели недавно презентовали законопроект, уполномочивающий Ofcom (британское неправительственное агентство, регулирующее работу теле- и радиокомпаний, — ред.) запрашивать доступ к любым коммуникациям. При этом любое шифрование данных политики пытаются подать как противодействие правоохранительным органам с соответствующими последствиями. В ЕС тоже пытались инициировать обсуждение проблемы доступа спецслужб к данным мессенджеров со специалистами отрасли, на что специалисты ответили, что достичь консенсуса не получится. В итоге, мы наблюдаем криптографические войны 2.0. 

Signal, мессенджер Fullscreen
Мессенджер Signal признан одним из лучших в плане безопасности
Фото: androidauthority.com

Самые опасные и безопасные мессенджеры

Несмотря на давление государств, BigTech пытается обеспечить юзерам хоть какую-то безопасность в Сети, пускай даже и эфемерную.

Например, Facebook Messenger, Instagram Direct, Viber располагают функцией СШ, однако она не активирована там по умолчанию — пользователи должны включать ее сами, но они часто забывают это сделать или просто не знают, как. Эти платформы шифруют данные между вами и главным сервером, а также между вами и другим абонентом, но промежуточные сервера видят всю переписку, что и делает пользовательские данные уязвимыми.

С Telegram та же история — СШ надо активировать самому. Более того, эта опция не доступна в десктопной версии приложения. А еще в старых версиях протокола шифрования были выявлены ошибки, и непонятно, были ли они допущены случайно, или сделаны намеренно. В любом случае, это не внушает доверия.

Signal считается одним из самых надежных мессенджеров, потому что СШ там работает по умолчанию. Его протокол неоднократно пытались взломать, но сделать это пока никому не удалось. И это вызывает доверие. Также данный мессенджер не собирает метаданные о пользователях.

Безопасным является и Jabber — открытый, свободный для использования протокол для мгновенного обмена сообщениями, поддерживающий передачу голоса, видео и разного рода файлов. С плагином "off the record" он обеспечивает надежное шифрование. 

Еще стоит упомянуть Threema и Wire, как хорошо зарекомендовавшие себя мессенджеры.

Перейдя по ссылке вы увидите сравнительную таблицу мессенджеров, рекомендованных и не рекомендованных к использованию. Источник данных: securemessagingapps.com

Почему пользователи отказываются от WhatsApp

Раньше BigTech-компании собирали пользовательские данные в коммерческих целях негласно. Однако после нескольких скандалов, связанных с нарушением приватности, и после попыток государств урегулировать коммуникации, Facebook заявила прямо, что может и будет использовать данные пользователей как в коммерческих целях, так и передавать их по запросу государств (с 15 мая 2021 года новые правила политики конфиденциальности вступили в силу, — ред.). Именно это разозлило юзеров. Тем не менее, деятельность Facebook регулируется жесткими правилами, не позволяющими передавать информацию кому попало. Но если вам не нравятся такие условия, вы можете воспользоваться услугами того же Signal.

Насколько безопасен WhatsApp

Сквозное шифрование в WhatsApp работает по умолчанию. Но вот, что интересно: недавно Telegram обвинил WhatsApp в том, что сторонние компании могут иметь доступ к пользовательским чатам. Это так, но отчасти. Когда делается резервная копия данных, она сохраняется на облачных серверах: в случае Apple — на iCloud, в случае Google — на Google Drive. Однако если кто-то получил доступ к вашему Google-аккаунту или Apple ID, он увидит все, что содержится в резервных копиях.

Стоит помнить, что мессенджеры защищают данные шифрованием только в процессе их передачи. Когда они "оседают" на облачных серверах в виде резервных копий, за их сохранность отвечают Apple или Google. И если вы не хотите, чтобы эти компании имели к ним доступ, просто отключите синхронизацию с Google Drive/iCloud. (Недавно стало известно, что WhatsApp тестирует функцию шифрования резервных копий на Google Drive и iCloud, — ред.).

Идеального мессенджера не существует, поэтому стоит подбирать сервис, исходя из собственных представлений об удобстве и безопасности.