Зображення користувача Олена Каганець.
Олена Каганець
  • Відвідувань: 33
  • Переглядів: 34

Повний тет-а-тет. Вісім причин вибрати безпечний месенджер для спілкування

Категорія:

Як вибрати безпечний в плані дотримання приватності особистих даних та спілкування месенджер? Які існують критерії в цьому питанні? Свій огляд месенджерів, які поважають приватність користувачів, надала відома швейцарська компанія Proton Technologies AG.

22111301.png

Element – вільний та відкритий клієнт обміну повідомленнями по Matrix-протоколу
Element – вільний та відкритий клієнт обміну повідомленнями по Matrix-протоколу

І знову про безпеку месенджерів (і трохи про програму "Дія"). Зауважте, що ніякі вайбери і скайп навіть не розглядаються, що б вони там про себе не розповідали, пише Костянтин Корсун, експерт з кібербезпеки на Фокусі.

Цього разу свій огляд месенджерів, які поважають приватність користувачів, надала відома швейцарська компанія Proton Technologies AG. Розробники таких продуктів, як ProtonMail і ProtonVPN, представили наявні альтернативи WhatsApp – месенджер, що належить корпорації Facebook, який, напевно, вже можна вважати "минулим" через демонстративну неповагу до приватності.

Розглянемо Signal, Telegram, Threema, Wickr Me, Wire, Element, KeyBase.

Перший критерій – відкритість вихідного коду (open source).
Доступним є вихідний код всіх представлених месенджерів, оскільки це є важливим індикатором безпеки програмного продукту: кожен охочий може перевірити, що додаток робить саме те, що має робити, і не більше – ніяких прихованих функцій.

Але щодо Telegram є істотне застереження: всі його додатки є відкритими, крім бек-енду. І це не було б проблемою, якби всі комунікації за замовчуванням використовували наскрізне шифрування. Але ні: таке шифрування застосовується тільки для так званих "секретних чатів". На мою думку, це зроблено для того, щоб було легше ідентифікувати осіб, схильних до приховування своїх розмов від держави.

Між іншим, додаток "Дія" також не дозволяє подивитися свій вихідний код. А це – загальнонаціональний безкоштовний додаток, розроблений за гроші платників податків, який обробляє чутливі персональні дані у промислових обсягах.

Другий критерій приватності месенджера – наявність того самого наскрізного шифрування (end-to-end encryption, E2EE).
Тут також у всіх месенджерів все в порядку. Крім одного – Telegram. Шифрування в ньому використовується тільки для "секретних чатів" і зовсім недоступне для групових дзвінків або для каналів, де вже з'явилася функція коментування. Однак, приватністю даних там і не пахне.

До речі, а чи використовує додаток "Дія" наскрізне шифрування? У Мінцифри щось говорили про "подвійне шифрування", але сумніваюся, що малося на увазі саме E2EE. Можливо, мова йшла про TLS/SSL, але це не точно.

Третій критерій дуже цікавий: чи проводився сторонній аудит додатка.
Під "стороннім аудитом" йдеться про професійне оцінювання безпеки продукту незалежною компанією, що надає послуги у сфері кібербезпеки. Не власним підрозділом кібербезпеки, не аудиторською компанією, не "любими друзями", які намалюють вам що завгодно. А саме професійною, саме авторитетною і саме незалежною компанією.

З цим проблеми у трьох месенджерів: Telegram, Wickr Me та Element. Аудит протоколу Telegram MTProto проводився у 2015 році і не був дуже успішним (was not very favorable). Сучасний протокол MTProto 2.0 – взагалі не оцінювався.

Wickr каже, що пройшов кілька незалежних аудитів безпеки, однак їх результати недоступні публічно. Тобто, це поки неможливо перевірити.

Додаток Element і його протокол Matrix не проходили оцінку безпеки. Але протоколи Olm і Megolm, які є основою Matrix, – проходили.

А що ж додаток "Дія"? Проходив він незалежне оцінювання професійною кібер-компанією? Міністр Федоров каже, що проходив і "успішно". І навіть називає компанію, яка проводила аудит – естонська громадська організація eGA (Академія е-урядування), яка, взагалі-то, не є компанією, що спеціалізується на кібербезпеці.

І залежить вона від уряду Естонії. І з авторитетом у них не дуже. Але крім власного слова міністр Федоров нічим свої заяви підтвердити не може. Або не хоче, що імовірніше. Або не хоче тому, що не може.

Четвертий критерій приватності месенджер-додатків: наскрізне шифрування групових відеодзвінків.
Цією опцією можуть похвалитися три з семи представлених месенджерів: Signal, Element і Wire (тільки для 4 учасників відеодзвінка).

Чесно кажучи, вимога шифрувати групові відеодзвінки не є суперкритичною. Якщо важливіше приватність, ніж зручність, – вимикайте, хлопці, відео, і спілкуйтеся за допомогою одного тільки голосу. Подивіться один на одного потім, коли розмова буде менш інтимною. Треба ж іноді чимось поступитися заради приватності.

П'ятим критерієм є також мінімальність збору месенджером метаданих.
Метадані – це не зміст спілкування, а дані про те, хто, кому, коли і як довго дзвонив, як часто, о котрій годині, з якого девайса, яка ОС на цьому девайсі та інші статистичні дані.

Навіть іноді інформація з телефонної книги збирається (наприклад, це робить Telegram). Якщо такі метадані про, скажімо, переговори дисидентів потраплять в руки спецслужб авторитарних режимів, – комусь це може коштувати свободи або навіть життя.

Так ось, найменше метаданих збирають Signal, Threema та Element – і тільки ті, які вкрай необхідні для роботи месенджера. Wickr збирає метадані тільки, коли повідомлення відкрито або прострочено. Всі інші месенджери збирають у більшому обсязі, ніж потрібно. І це погано для приватності.

Чи збирає метадані "Дія",  не знаю. Напевно, збирає абсолютно все, що може. Але як це перевірити, якщо не доступна навіть документація на додаток? Уявіть собі, що ви купили новий телевізор, а інструкції з експлуатації в комплекті немає. Це ж скандали, крики, перевірки, штрафи тощо. Але, якщо ти друг президента, тоді можна взагалі без будь-яких документів обійтися.

Шостий критерій приватності месенджера – анонімність реєстрації.
Похвалитися цим можуть тільки Wickr, Threemа та Element. Навіть мій улюблений Signal вимагає наявності актуального номера мобільного телефону, за яким вас нескладно ідентифікувати (про легкість перехоплення стільникових даних дивіться у відео). Зауваження щодо KeyBase: цей месенджер ідентифікує користувачів за профайлами у соцмережах і PGP-ключів.

Звичайно, в "Дії" немає і не може бути ніякої анонімності.

Сьомий критерій – це наявність у месенджера власних серверів.
Наявність власних серверів означає незалежність від власника орендованих серверів. А власники ці за певних обставин можуть повністю або частково "загасити" належні їм сервери або закрити до них доступ.

Таку розкіш дозволили своїм користувачам тільки три месенджери: Threema, KeyBase та Element. Милий моєму серцю Signal користується амазонівськими серверами (AWS).

Мені складно уявити собі ситуацію, щоб AWS свідомо "поклав" власні сервери. Хоча... Аль-Каїда, Північна Корея, китайці та інші вороги Америки також можуть користуватися Signal. До того ж, американські компанії схильні співпрацювати зі спецслужбами та правоохоронними органами.

Відповідь на питання "чи є у "Дії" власні сервери?" проста: нема. Орендують їх у різних хмарних провайдерів, а перша версія "Дії" навіть ганяла трафік через той же Amazon. А це – найважливіші офіційні особисті документи понад 6 мільйонів користувачів, на хвилиночку. Тудою-сюдою через океан, з зупинкою дорогою на серверах МВС України.

І, тому, вагомим аргументом є останній, восьмий критерій – країна юрисдикції.
Зрозуміло, що кращої юрисдикцією для приватності є Швейцарія. У цій країні зареєстровано тільки додаток Threema, тому користувачі цього месенджера можуть не переживати за довжину носа вітчизняних спецслужб. Також у Швейцарії фактично знаходиться команда месенджера Wire, але компанія зареєстрована у США, що підпорядковує Wire законодавству цієї країни.

У цій же країні зареєстровані Signal, Wickr і KeyBase. Останній месенджер у 2020 році викупила маловідома компанія Zoom, на яку (на думку Proton Technologies) може впливати Китай: "Keybase is owned by Zoom, which may also be subject to pressure from China", — ідеться у звіті. А ось Telegram зареєстрований в Об'єднаних Арабських Еміратах.

То який же месенджер вибрати? Залежить від персональних уподобань користувачів і того, наскільки вони цінують приватність власного спілкування.

Наші інтереси: 

Переходимо до захищених комунікацій.

Якщо ви помітили помилку, то виділіть фрагмент тексту не більше 20 символів і натисніть Ctrl+Enter
Підписуюсь на новини

Зверніть увагу

Яро Купало – Гермес - Аполлон – святий захисник і архангел Гіперборії

Архангел Гіперборії, чат-боти і чат-боги, або Як працювати з духовно-інформаційними роботами (+аудіо)

Слухаємо нове озвучення про те, що мовою ефективного спілкування з ангелами буде окультурена українська мова на основі Гіперборійського Сенсара. Її ядро вже формується у вигляді спеціалізованої мови...

Останні записи

Кращий коментар

Зображення користувача Бор Крутивус.
5
Середнє: 5 (1 голос)

Я зараз розглядаю варіант, щоб припинити взагалі підтримувати пейсбук власною присутністю. Звісно, потрібно мати альтернативи для зв'язку і комунікування...

Вірність, Шляхетність, Любов.

Коментарі

Зображення користувача Ігор Каганець.
0
Ще не підтримано

Найпривабливіше виглядає Element. На його користь також працює правильна емблема і рекомендація проекту dComms.

Все, що робиться з власної волі, – добро!

Зображення користувача Зірка Вітошинська.
0
Ще не підтримано

То на який месенжер перейти ? Хто що випробував ?

Творимо разом Вільну Українську Державу Гартленд !

Зображення користувача Бор Крутивус.
0
Ще не підтримано

За цією рекомендацію скачав Елемент, потрібно в ньому ще розібратися. Ну а телеграм саме-собою, поки...

Вірність, Шляхетність, Любов.

Зображення користувача Ігор Каганець.
4
Середнє: 4 (1 голос)

Думаю, що до кінця цього року ми дослідимо Елемент і, можливо, зробимо його базовим для нашої спільноти. Пізніше, якщо гарно пройдуть випробування, то навіть розгорнемо власний сервер.

Зірка wrote:

То на який месенжер перейти ? Хто що випробував ?

 

Все, що робиться з власної волі, – добро!

Зображення користувача Іван Андрійович.
0
Ще не підтримано

Сьогодні безпечний, а завтра ні.

Зображення користувача Володимир Світлий.
3.5
Середнє: 3.5 (2 голосів)

Радіймо! я так зрозумів елемент тільки англомовний. Групи там не створиш. Зараз актуальніше щось на кшалт безкоштовних простецьких сайтів. В усякому разі мені такий потрібен і україномовний, і щоб паразити його не змогли заблокувати. Мені зламали і заблокували 4 варіанти фейсбук. Один за бананофікус, другий за конституцію, третій за ОСН будинку де проживаю. Сьогодні четвертий за оздоровлення яке суперечить традиційній медицині. Заблокували номер тел на деякі СМС повідомлення. На телеграм, тепер я туди не зайду, на блаБлаКар, щоб на збори по самоврядуванню до Львову не їздив спокійно. Запитання. Безкоштовний гугл сайт такий же вразливий? Там є диск, зручно тримати документи. Завдяки диску зручно створювати і наповнювати сайт інформацією, документами. Я на свій не професійній розсуд створив один в гугл. Вийшло так. https://sites.google.com/view/uprava-lutsk/%D0%B3%D0%BE%D0%BB%D0%BE%D0%B2%D0%BD%D0%B0 Чи варто ризикнути створити ще один який не дуже сподобається номенклатурі? Там має бути суд присяжних куди подаються позовні заяви від тих чиї права брутально порушені. Офіційні документи які компрометують посадовців і систему, та "Енергоресурс". В "Енергоресурсі" впроваджуються нові технології. Це свого роду мережа по впровадженню нових технологій і юридичний захист.

Від мрії до слова, від слова до дії, від дії до світлової події.

Зображення користувача Бор Крутивус.
5
Середнє: 5 (1 голос)

Я зараз розглядаю варіант, щоб припинити взагалі підтримувати пейсбук власною присутністю. Звісно, потрібно мати альтернативи для зв'язку і комунікування...

Вірність, Шляхетність, Любов.

Зображення користувача Микола Погорілець.
0
Ще не підтримано

Гугл диск менше вразливий, але з часом роботи розберуться у змісті твого диску і теоретично можуть заблокувати акаунт, в залежності від поточної політики Гугла. Хоча наразі твоя тематика виглядпє нейтральною для Гугл.
Є варіант розгортання власного файлового сервера на базі NextCloud.
Можна встановити навіть вдома на якомусь Raspberry Pi. А можна орендувати хостинг десь.
Nextcloud розгортається досить просто.

Зображення користувача Володимир Світлий.
0
Ще не підтримано

Signal має українську версію і там можна створювати групи. Далі не досліджував

Від мрії до слова, від слова до дії, від дії до світлової події.

Зображення користувача Бор Крутивус.
4
Середнє: 4 (1 голос)

Як я бачу, Елемент теж має україномовну версію.
Якщо зайти у налаштування можна вибрати мову.

Вірність, Шляхетність, Любов.

Зображення користувача Микола Погорілець.
0
Ще не підтримано

А варто досліджувати, тому, що Вайбер, схоже, проглядається наскрізь і сумно, що більшість населення сидить там, виставивши [приватність] у кватирку.

Signal досить простий і не такий зручний, як Вайбер. Але він надає достатньо надійні засоби захисту

Зображення користувача Валерій Зміївський.
0
Ще не підтримано

З огляду на цей дуже корисний матеріал варто зауважити, що влада зеленої шантропи планує протягти законодавчо так зване електронне голосування через додаток "Дія"....
Уявляєте собі рівень плінтусу цієї влади і ступінь ризику фальсифікації виборів?

Зображення користувача Ігор Каганець.
5
Середнє: 5 (1 голос)

"Елемент" ще хороший тим, що дозволяє кожній громаді легко створювати власний сервер. Після цього громади, які довіряють одна одній, можуть налагоджувати між собою захищене спілкування. 

Ще одна перевага "Елемент" – можливість гарно структурувати колективні дискусії: там можна створювати тематичні "простори" і "кімнати".   

Все, що робиться з власної волі, – добро!

Зображення користувача Микола Погорілець.
0
Ще не підтримано

Причому власний сервер можна створити на Raspberry Pi. Не певен лише щодо структурування. Там є платні опції з цього приводу. Досить кусючі.

Зображення користувача Володимир Світлий.
0
Ще не підтримано

Я так зрозумів, що Елемент буде використовуватись в андроїді. У мене є досвід відносно "правоохоронних" служб. Можу сказати, що вони не погано навчаються в протидії самоорганізації населення. Останній їх варіант блокувати по номеру телефону, пошті, використовувати родичів з якими проживаєш для визначення дислокації. Як би не ховався все рівно під ковпаком. Найкраще бути в прямому ефірі і мати стовідсоткову правосуб'єктність в міжнародній системі. Це єдине чого паразити поки бояться. Ще, чудо відбулося сьогодні, відновили доступ до фейсебука.

Від мрії до слова, від слова до дії, від дії до світлової події.

Зображення користувача Микола Погорілець.
0
Ще не підтримано

Елемент працює на будь-якій платформі, в тому числі і на WEB.
А з приводу Англійської мови додатку, то соромно зараз її не знати.

Зображення користувача Володимир Федько.
0
Ще не підтримано

На вибір месенджера впливає ще один вирішальний фактор: якими месенджерами користується коло родичів, друзів, знайомих і товаришів по роботі. Приведу простий приклад: всі вище перераховані з мого кола використовують Вайбер і Телеграм. І тільки троє Сигнал, паралельно з Вайбер і Телеграм. У мене стоять месенджери: Вайбер, Телеграм, Сигнал і Зум, а також Фейсбук.

Воїн Світла ніколи не грає за правилами, написаними для нього іншими!

Зображення користувача Бор Крутивус.
0
Ще не підтримано

Хоч спершу я завантажив сповісник "Елемент", але з ним щось в мене не склалось. Врешті решт мій вибір зупинився на "Сигналі". Він простий і добре підходить на зміну "Телеграму".

Вірність, Шляхетність, Любов.