І знову про безпеку месенджерів (і трохи про програму "Дія"). Зауважте, що ніякі вайбери і скайп навіть не розглядаються, що б вони там про себе не розповідали, пише Костянтин Корсун, експерт з кібербезпеки на Фокусі.
Цього разу свій огляд месенджерів, які поважають приватність користувачів, надала відома швейцарська компанія Proton Technologies AG. Розробники таких продуктів, як ProtonMail і ProtonVPN, представили наявні альтернативи WhatsApp – месенджер, що належить корпорації Facebook, який, напевно, вже можна вважати "минулим" через демонстративну неповагу до приватності.
Розглянемо Signal, Telegram, Threema, Wickr Me, Wire, Element, KeyBase.
Перший критерій – відкритість вихідного коду (open source).
Доступним є вихідний код всіх представлених месенджерів, оскільки це є важливим індикатором безпеки програмного продукту: кожен охочий може перевірити, що додаток робить саме те, що має робити, і не більше – ніяких прихованих функцій.
Але щодо Telegram є істотне застереження: всі його додатки є відкритими, крім бек-енду. І це не було б проблемою, якби всі комунікації за замовчуванням використовували наскрізне шифрування. Але ні: таке шифрування застосовується тільки для так званих "секретних чатів". На мою думку, це зроблено для того, щоб було легше ідентифікувати осіб, схильних до приховування своїх розмов від держави.
Між іншим, додаток "Дія" також не дозволяє подивитися свій вихідний код. А це – загальнонаціональний безкоштовний додаток, розроблений за гроші платників податків, який обробляє чутливі персональні дані у промислових обсягах.
Другий критерій приватності месенджера – наявність того самого наскрізного шифрування (end-to-end encryption, E2EE).
Тут також у всіх месенджерів все в порядку. Крім одного – Telegram. Шифрування в ньому використовується тільки для "секретних чатів" і зовсім недоступне для групових дзвінків або для каналів, де вже з'явилася функція коментування. Однак, приватністю даних там і не пахне.
До речі, а чи використовує додаток "Дія" наскрізне шифрування? У Мінцифри щось говорили про "подвійне шифрування", але сумніваюся, що малося на увазі саме E2EE. Можливо, мова йшла про TLS/SSL, але це не точно.
Третій критерій дуже цікавий: чи проводився сторонній аудит додатка.
Під "стороннім аудитом" йдеться про професійне оцінювання безпеки продукту незалежною компанією, що надає послуги у сфері кібербезпеки. Не власним підрозділом кібербезпеки, не аудиторською компанією, не "любими друзями", які намалюють вам що завгодно. А саме професійною, саме авторитетною і саме незалежною компанією.
З цим проблеми у трьох месенджерів: Telegram, Wickr Me та Element. Аудит протоколу Telegram MTProto проводився у 2015 році і не був дуже успішним (was not very favorable). Сучасний протокол MTProto 2.0 – взагалі не оцінювався.
Wickr каже, що пройшов кілька незалежних аудитів безпеки, однак їх результати недоступні публічно. Тобто, це поки неможливо перевірити.
Додаток Element і його протокол Matrix не проходили оцінку безпеки. Але протоколи Olm і Megolm, які є основою Matrix, – проходили.
А що ж додаток "Дія"? Проходив він незалежне оцінювання професійною кібер-компанією? Міністр Федоров каже, що проходив і "успішно". І навіть називає компанію, яка проводила аудит – естонська громадська організація eGA (Академія е-урядування), яка, взагалі-то, не є компанією, що спеціалізується на кібербезпеці.
І залежить вона від уряду Естонії. І з авторитетом у них не дуже. Але крім власного слова міністр Федоров нічим свої заяви підтвердити не може. Або не хоче, що імовірніше. Або не хоче тому, що не може.
Четвертий критерій приватності месенджер-додатків: наскрізне шифрування групових відеодзвінків.
Цією опцією можуть похвалитися три з семи представлених месенджерів: Signal, Element і Wire (тільки для 4 учасників відеодзвінка).
Чесно кажучи, вимога шифрувати групові відеодзвінки не є суперкритичною. Якщо важливіше приватність, ніж зручність, – вимикайте, хлопці, відео, і спілкуйтеся за допомогою одного тільки голосу. Подивіться один на одного потім, коли розмова буде менш інтимною. Треба ж іноді чимось поступитися заради приватності.
П'ятим критерієм є також мінімальність збору месенджером метаданих.
Метадані – це не зміст спілкування, а дані про те, хто, кому, коли і як довго дзвонив, як часто, о котрій годині, з якого девайса, яка ОС на цьому девайсі та інші статистичні дані.
Навіть іноді інформація з телефонної книги збирається (наприклад, це робить Telegram). Якщо такі метадані про, скажімо, переговори дисидентів потраплять в руки спецслужб авторитарних режимів, – комусь це може коштувати свободи або навіть життя.
Так ось, найменше метаданих збирають Signal, Threema та Element – і тільки ті, які вкрай необхідні для роботи месенджера. Wickr збирає метадані тільки, коли повідомлення відкрито або прострочено. Всі інші месенджери збирають у більшому обсязі, ніж потрібно. І це погано для приватності.
Чи збирає метадані "Дія", не знаю. Напевно, збирає абсолютно все, що може. Але як це перевірити, якщо не доступна навіть документація на додаток? Уявіть собі, що ви купили новий телевізор, а інструкції з експлуатації в комплекті немає. Це ж скандали, крики, перевірки, штрафи тощо. Але, якщо ти друг президента, тоді можна взагалі без будь-яких документів обійтися.
Шостий критерій приватності месенджера – анонімність реєстрації.
Похвалитися цим можуть тільки Wickr, Threemа та Element. Навіть мій улюблений Signal вимагає наявності актуального номера мобільного телефону, за яким вас нескладно ідентифікувати (про легкість перехоплення стільникових даних дивіться у відео). Зауваження щодо KeyBase: цей месенджер ідентифікує користувачів за профайлами у соцмережах і PGP-ключів.
Звичайно, в "Дії" немає і не може бути ніякої анонімності.
Сьомий критерій – це наявність у месенджера власних серверів.
Наявність власних серверів означає незалежність від власника орендованих серверів. А власники ці за певних обставин можуть повністю або частково "загасити" належні їм сервери або закрити до них доступ.
Таку розкіш дозволили своїм користувачам тільки три месенджери: Threema, KeyBase та Element. Милий моєму серцю Signal користується амазонівськими серверами (AWS).
Мені складно уявити собі ситуацію, щоб AWS свідомо "поклав" власні сервери. Хоча... Аль-Каїда, Північна Корея, китайці та інші вороги Америки також можуть користуватися Signal. До того ж, американські компанії схильні співпрацювати зі спецслужбами та правоохоронними органами.
Відповідь на питання "чи є у "Дії" власні сервери?" проста: нема. Орендують їх у різних хмарних провайдерів, а перша версія "Дії" навіть ганяла трафік через той же Amazon. А це – найважливіші офіційні особисті документи понад 6 мільйонів користувачів, на хвилиночку. Тудою-сюдою через океан, з зупинкою дорогою на серверах МВС України.
І, тому, вагомим аргументом є останній, восьмий критерій – країна юрисдикції.
Зрозуміло, що кращої юрисдикцією для приватності є Швейцарія. У цій країні зареєстровано тільки додаток Threema, тому користувачі цього месенджера можуть не переживати за довжину носа вітчизняних спецслужб. Також у Швейцарії фактично знаходиться команда месенджера Wire, але компанія зареєстрована у США, що підпорядковує Wire законодавству цієї країни.
У цій же країні зареєстровані Signal, Wickr і KeyBase. Останній месенджер у 2020 році викупила маловідома компанія Zoom, на яку (на думку Proton Technologies) може впливати Китай: "Keybase is owned by Zoom, which may also be subject to pressure from China", — ідеться у звіті. А ось Telegram зареєстрований в Об'єднаних Арабських Еміратах.
То який же месенджер вибрати? Залежить від персональних уподобань користувачів і того, наскільки вони цінують приватність власного спілкування.
Переходимо до захищених комунікацій.
Я зараз розглядаю варіант, щоб припинити взагалі підтримувати пейсбук власною присутністю. Звісно, потрібно мати альтернативи для зв'язку і комунікування...
Вірність, Шляхетність, Любов.
Коментарі
Найпривабливіше виглядає Element. На його користь також працює правильна емблема і рекомендація проекту dComms.
Все, що робиться з власної волі, – добро!
То на який месенжер перейти ? Хто що випробував ?
Творимо разом Вільну Українську Державу Гартленд !
За цією рекомендацію скачав Елемент, потрібно в ньому ще розібратися. Ну а телеграм саме-собою, поки...
Вірність, Шляхетність, Любов.
Думаю, що до кінця цього року ми дослідимо Елемент і, можливо, зробимо його базовим для нашої спільноти. Пізніше, якщо гарно пройдуть випробування, то навіть розгорнемо власний сервер.
Все, що робиться з власної волі, – добро!
Сьогодні безпечний, а завтра ні.
Радіймо! я так зрозумів елемент тільки англомовний. Групи там не створиш. Зараз актуальніше щось на кшалт безкоштовних простецьких сайтів. В усякому разі мені такий потрібен і україномовний, і щоб паразити його не змогли заблокувати. Мені зламали і заблокували 4 варіанти фейсбук. Один за бананофікус, другий за конституцію, третій за ОСН будинку де проживаю. Сьогодні четвертий за оздоровлення яке суперечить традиційній медицині. Заблокували номер тел на деякі СМС повідомлення. На телеграм, тепер я туди не зайду, на блаБлаКар, щоб на збори по самоврядуванню до Львову не їздив спокійно. Запитання. Безкоштовний гугл сайт такий же вразливий? Там є диск, зручно тримати документи. Завдяки диску зручно створювати і наповнювати сайт інформацією, документами. Я на свій не професійній розсуд створив один в гугл. Вийшло так. https://sites.google.com/view/uprava-lutsk/%D0%B3%D0%BE%D0%BB%D0%BE%D0%B2%D0%BD%D0%B0 Чи варто ризикнути створити ще один який не дуже сподобається номенклатурі? Там має бути суд присяжних куди подаються позовні заяви від тих чиї права брутально порушені. Офіційні документи які компрометують посадовців і систему, та "Енергоресурс". В "Енергоресурсі" впроваджуються нові технології. Це свого роду мережа по впровадженню нових технологій і юридичний захист.
Від мрії до слова, від слова до дії, від дії до світлової події.
Я зараз розглядаю варіант, щоб припинити взагалі підтримувати пейсбук власною присутністю. Звісно, потрібно мати альтернативи для зв'язку і комунікування...
Вірність, Шляхетність, Любов.
Гугл диск менше вразливий, але з часом роботи розберуться у змісті твого диску і теоретично можуть заблокувати акаунт, в залежності від поточної політики Гугла. Хоча наразі твоя тематика виглядпє нейтральною для Гугл.
Є варіант розгортання власного файлового сервера на базі NextCloud.
Можна встановити навіть вдома на якомусь Raspberry Pi. А можна орендувати хостинг десь.
Nextcloud розгортається досить просто.
Signal має українську версію і там можна створювати групи. Далі не досліджував
Від мрії до слова, від слова до дії, від дії до світлової події.
Як я бачу, Елемент теж має україномовну версію.
Якщо зайти у налаштування можна вибрати мову.
Вірність, Шляхетність, Любов.
А варто досліджувати, тому, що Вайбер, схоже, проглядається наскрізь і сумно, що більшість населення сидить там, виставивши [приватність] у кватирку.
Signal досить простий і не такий зручний, як Вайбер. Але він надає достатньо надійні засоби захисту
З огляду на цей дуже корисний матеріал варто зауважити, що влада зеленої шантропи планує протягти законодавчо так зване електронне голосування через додаток "Дія"....
Уявляєте собі рівень плінтусу цієї влади і ступінь ризику фальсифікації виборів?
"Елемент" ще хороший тим, що дозволяє кожній громаді легко створювати власний сервер. Після цього громади, які довіряють одна одній, можуть налагоджувати між собою захищене спілкування.
Ще одна перевага "Елемент" – можливість гарно структурувати колективні дискусії: там можна створювати тематичні "простори" і "кімнати".
Все, що робиться з власної волі, – добро!
Причому власний сервер можна створити на Raspberry Pi. Не певен лише щодо структурування. Там є платні опції з цього приводу. Досить кусючі.
Я так зрозумів, що Елемент буде використовуватись в андроїді. У мене є досвід відносно "правоохоронних" служб. Можу сказати, що вони не погано навчаються в протидії самоорганізації населення. Останній їх варіант блокувати по номеру телефону, пошті, використовувати родичів з якими проживаєш для визначення дислокації. Як би не ховався все рівно під ковпаком. Найкраще бути в прямому ефірі і мати стовідсоткову правосуб'єктність в міжнародній системі. Це єдине чого паразити поки бояться. Ще, чудо відбулося сьогодні, відновили доступ до фейсебука.
Від мрії до слова, від слова до дії, від дії до світлової події.
Елемент працює на будь-якій платформі, в тому числі і на WEB.
А з приводу Англійської мови додатку, то соромно зараз її не знати.
На вибір месенджера впливає ще один вирішальний фактор: якими месенджерами користується коло родичів, друзів, знайомих і товаришів по роботі. Приведу простий приклад: всі вище перераховані з мого кола використовують Вайбер і Телеграм. І тільки троє Сигнал, паралельно з Вайбер і Телеграм. У мене стоять месенджери: Вайбер, Телеграм, Сигнал і Зум, а також Фейсбук.
Воїн Світла ніколи не грає за правилами, написаними для нього іншими!
Хоч спершу я завантажив сповісник "Елемент", але з ним щось в мене не склалось. Врешті решт мій вибір зупинився на "Сигналі". Він простий і добре підходить на зміну "Телеграму".
Вірність, Шляхетність, Любов.