Під ковпаком: чому не існує безпечних месенджерів і хто має доступ до наших даних

Рішення Facebook змінити політику конфіденційності месенджера WhatsApp викликало хвилю обурення і критики з боку користувачів і ЗМІ. Користувачам не сподобалося, що компанія в лоб заявила про збір та передачу їхніх даних за запитом держав і в комерційних цілях. Компанію звинувачували в порушенні приватності, жадібності і пособництві спецслужбам. Однак, чи варто було так обурюватися? Адже Facebook і раніше це робила, просто негласно. І все ж месенджер втратив і продовжує втрачати тисячі підписників, які шукають безпечні альтернативні сервіси, де ніхто не прочитає їхніх повідомлень і не почує розмов. Фокус попросив Андрія Барановича, експерта з кібербезпеки, розповісти, яким чином сучасні комунікаційні платформи захищають призначені для користувача дані, які месенджери вважаються найнадійнішими на сьогодні і про те, чи варто довіряти WhatsApp.

Що таке шифрування і з яких причин воно використовується

До 70-х років шифрування здійснювалося за допомогою механічних машин, а з розвитком комп'ютерної техніки були розроблені алгоритми шифрування нового типу — програмного, — які виявилися більш дієвими і надійними. Однак, це викликало занепокоєння в держав і правоохоронних органів, які завважали, що якщо всі почнуть користуватися надійним шифруванням, то отримувати розвіддані, відстежувати діяльність злочинців тощо буде неможливо. З цієї причини розвиток так званої громадянської криптографії спробували затримати, вводячи експортні обмеження на початку 1980-х. Ці обмеження служили свого роду лазівкою для спецслужб, які могли отримувати доступ до даних, прослуховуючи розмови, витягуючи листування за необхідності. Але в той же час шифрування забезпечувало громадянам безпеку спілкування за допомогою телефонного та інтернет-зв'язку. Технологічні компанії, звісно, не були задоволені таким втручанням у їхню діяльність. У підсумку, між ними і силовиками вибухнули справжні криптографічні війни, що тривали аж до кінця 90-х. Коли обидві сторони втомилися воювати, було вирішено, що застосування шифрування з "чорним входом" (англ. Back door — дефект алгоритму, який навмисно вбудовується в нього розробником і дозволяє отримати доступ до даних, — ред.), як того хотіли силові структури, неможливо, тому що це зашкодить усім.

Як працює наскрізне шифрування

Після закінчення деякого часу технокомпанії почали використовувати наскрізне шифрування (далі по тексту НШ), коли сервер, через який ви спілкуєтеся, не "бачить" ваших листувань і не "чує" розмов. Усі дані він сприймає, як білий шум. При цьому вам та іншому абоненту дані доступні у вигляді аудіо-, відео-, графічних і текстових файлів, тому що ви володієте ключами до їхнього розшифрування. Принцип роботи наскрізного шифрування схожий на відправлення листів поштою — ви запечатуєте лист у конверті, і ніхто не може його прочитати, крім адресата, який має повне право розкрити конверт.

Однак, і такий спосіб криптографії викликав стурбованість спецслужб. І наразі в Англії, США, Євросоюзі розробляються законопроекти, які зобов'язали б розробників надавати дані на вимогу правоохоронців. Розробники противляться цьому, стверджуючи, що будь-яка схема із залученням посередника (у цьому випадку посередником є спецслужби), у якого теж є доступ до ключів, може завдати колосальної шкоди. Тому що немає гарантій, що ключі не будуть вкрадені хакерами або ворожими державами. І якщо таке станеться, то зловмисника будуть прослуховувати вже самі спецслужби. Також компанії розуміють, що якщо вони відмовляться від наскрізного шифрування своїх продуктів, вони втратять довіру користувачів, а значить і прибуток.

Поки що на законодавчому рівні (у США, Англії, ЄС) питання про доступ спецслужб до месенджерів остаточно не вирішене, оскільки проекти законів мають умови, що ставлять під загрозу саме існування. Наприклад, англійські законодавці недавно презентували законопроект, який уповноважує Ofcom (британське неурядове агентство, що регулює роботу теле- і радіокомпаній, — ред.) запитувати доступ до будь-яких комунікацій. При цьому будь-яке шифрування даних політики намагаються подати як протидію правоохоронним органам з відповідними наслідками. У ЄС теж намагалися ініціювати обговорення проблеми доступу спецслужб до даних месенджерів з фахівцями галузі, на що фахівці відповіли, що досягти консенсусу не вийде. У підсумку, ми бачимо криптографічні війни 2.0.

Найнебезпечніші і безпечні месенджери

Незважаючи на тиск держав, BigTech намагається організувати користувачам хоч якусь безпеку в мережі, нехай навіть і ефемерну.

Наприклад, Facebook Messenger, Instagram Direct, Viber розташовують функцією НШ, однак вона не активована там за замовчуванням — користувачі повинні вмикати її самі, але вони часто забувають це зробити або просто не знають як. Ці платформи шифрують дані між вами і головним сервером, а також між вами та іншим абонентом, але проміжні сервери бачать усе листування, що і робить призначені для користувача дані уразливими.

З Telegram та ж історія — НШ треба активувати самому. Більше того, ця опція не доступна в десктопній версії додатку. А ще в старих версіях протоколу шифрування були виявлені помилки, і незрозуміло, чи були вони допущені випадково, чи зроблені навмисно. У будь-якому випадку це не дає довіри.

Signal вважається одним з найнадійніших месенджерів, тому що НШ там працює за замовчуванням. Його протокол неодноразово намагалися зламати, але зробити це поки нікому не вдалося. І це викликає довіру. Також цей месенджер не збирає метадані про користувачів. Навіть коли Signal отримує від держав запит на їх видачу, усе, що в нього є, — це дата реєстрації, нікнейм користувача. А більш важливу інформацію сервіс просто не зберігає.

Безпечним є і Jabber — відкритий, вільний для використання протокол для миттєвого обміну повідомленнями, що підтримує передачу голосу, відео і різного роду файлів. З плагіном "off the record" він забезпечує надійне шифрування.

Ще варто згадати Threema і Wire, які добре зарекомендували себе.

Перейшовши за посиланням ви побачите порівняльну таблицю месенджерів, рекомендованих і не рекомендованих до використання. Джерело даних: securemessagingapps.com

Чому користувачі відмовляються від WhatsApp

Раніше BigTech-компанії збирали призначені для користувача дані в комерційних цілях негласно. Однак, після кількох скандалів, пов'язаних з порушенням приватності, і після спроб держав врегулювати комунікації, Facebook заявила прямо, що може і буде використовувати дані користувачів як у комерційних цілях, так і передавати їх за запитом держав (з 15 травня 2021 року нові правила політики конфіденційності вступили в силу, — ред.). Саме це розлютило користувачів. Проте, діяльність Facebook регулюється жорсткими правилами, що не дозволяють передавати інформацію будь-кому. Але якщо вам не подобаються такі умови, ви можете скористатися послугами того ж Signal.

Наскільки безпечний WhatsApp

Наскрізне шифрування в WhatsApp працює за замовчуванням. Але ось, що цікаво: нещодавно Telegram звинуватив WhatsApp у тому, що сторонні компанії можуть мати доступ до призначених для користувача чатів. Це так, але частково. Коли робиться резервна копія даних, вона зберігається на хмарних серверах: у випадку Apple — на iCloud, у випадку Google — на Google Drive. Однак, якщо хтось отримав доступ до вашого Google-акаунту або Apple ID, він побачить усе, що міститься в резервних копіях.

Варто пам'ятати, що месенджери захищають дані шифруванням тільки в процесі їх передачі. Коли вони "осідають" на хмарних серверах у вигляді резервних копій, за їхнє збереження відповідають Apple або Google. І якщо ви не хочете, щоб ці компанії мали до них доступ, просто зупиніть синхронізацію з Google Drive/iCloud. (Нещодавно стало відомо, що WhatsApp тестує функцію шифрування резервних копій на Google Drive та iCloud, — ред.).

Ідеального месенджера не існує, тому варто підбирати сервіс, виходячи з власних уявлень про зручність і безпеку.