Самый безопасный мессенджер в мире 2018

Самый безопасный мессенджер в мире 2018

Но он очень близок к этому званию.

Компания Artezio провела исследование более 20 популярных мессенджеров. Главной целью было выявить наиболее безопасные из них. В тройке лидеров оказался Telegram. Но первое и второе места достались Signal и Wickr соответственно.

Компания оценивала мессенджеры сразу по тридцати критериям. Среди них были качество шифрования, готовность раскрыть личные данные, двойная аутентификация и другие меры безопасности. Вот некоторые из критериев:

Если ваша бровь удивлённо приподнялась, поскольку вы не увидели десктопную версию Telegram, то расстрою вас: она не считается защищённой. Источник: Artezio

А вот список, распределённый по местам:

  1. Signal;
  2. Wickr;
  3. Telegram;
  4. Confide;
  5. Viber;
  6. Line;
  7. WhatsApp;
  8. iMessage.

Мессенджер Signal получил наивысшую оценку «за наличие двухфакторной идентификации, шифрование по умолчанию, высокое качество протокола шифрования и готовность к раскрытию персональных данных».

Я обратился в Artezio с вопросом, что означает пункт «готовность к раскрытию персональных данных». Вот, что мне ответили:

Безусловно, речь идёт о готовности раскрытия информации по запросу со стороны государственных органов. Это могут быть силовые структуры или специальные организации, которые имеют право требовать исполнения своих запросов. Учитывая, что мессенджерами управляют юридические лица, они подчиняются законодательным требованиям, включая необходимость обработки запросов со стороны государственных органов и силовых ведомств. Во многих странах существует законодательная обязанность удовлетворения подобных запросов на раскрытие персональных данных. Однако некоторые компании придерживаются политики, которая направлена на сохранение данных пользователей в тайне.

Чем выше оценка, тем более защищены пользовательские данные от распространения. В данном случае это лучше для пользователей. Максимальная оценка 5 означает, что мессенджеры не предоставляют информацию по запросу.

Но у этого мессенджера есть и минусы: отсутствие защиты от скриншотов и возможности удаления контента.

Wickr был близок к Signal, но ему скинули несколько баллов за не очень функциональную бесплатную версию. Зато за 25 баксов в месяц, по мнению Artezio, можно получить отличный корпоративный мессенджер.

А вот самым небезопасным эксперты признали Facebook Messenger. Во многом тут вина и самого Facebook, за последнее время очень сильно замаравшего себе репутацию соцсети, готовой сливать личные данные пользователей практически куда угодно. То есть выходит, их Messenger не только неудобный?

UPD: дополнен комментарий представителя Artezio.

Содержание статьи

Недавно на «Хакере» был опрос «Какой мессенджер ты считаешь самым надежным для хакера?», и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Крабе отаке!!1

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрали другие критерии — на наш взгляд, более важные.

Критерии

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

  • централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
  • федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: электронная почта, Jabber (XMPP), Riot Matrix;
  • децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Читайте также:  Как войти в стим без пароля

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Читайте также:  Хоме клаб бытовая техника

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Viber

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
Уведомление о проверке отпечатков E2EE: нет
Запрет на скриншоты секретных чатов: есть
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Операционные технологии управляют оборудованием в критически важных инфраструктурах. И они отделены от традиционных ИТ-сетей. Их интеграция — одна из основ Индустрии 4.0. Но 90% компаний отдаляются от цели, потому что не могут обеспечить безопасность ОТ-сетей.

  • Как минимизировать риски и научиться извлекать максимальную прибыль?
  • Как научиться идентифицировать все устройства в своих сетях?
  • Как правильно управлять идентификацией и доступом?

Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас.

ОТ-системы, управляющие оборудованием в КИИ — под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной — цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры — к данным.

  • С какими угрозами борются компании с ОТ-сетями?
  • Какие ОТ-протоколы чаще всего страдают от атак?
  • У каких поставщиков ICS/SCADA есть иммунитет от преступников?
Читайте также:  Xbox 360 controller emulator как пользоваться

Зарегистрируйтесь, чтобы скачать бесплатно исследование о тенденциях в сфере безопасности операционных технологий прямо сейчас.

Восемь стражей безопасности

Аналитический отдел российской компании Artezio, входящий в группу компаний «Ланит», провел исследование популярных мессенджеров с целью выявления наиболее безопасных из них. Специалисты протестировали 20 распространенных приложений и выбрали восемь самых защищенных из них.

Методика отбора и тестирования кандидатов

Аналитики Artezio отбирали мессенджеры, представленные исключительно на платформах Apple iOS и Google Android – прочие мобильные ОС, включая Microsoft Windows 10 Mobile, занимают близкую к нулю долю рынка, и новые приложения под них практически не пишутся.

Все отобранные утилиты специалисты оценивались по 30 различным критериям, среди которых – наличие алгоритмов шифрования данных и их надежность, готовность к раскрытию персональных данных по запросу третьих лиц, степень защиты от нестандартных методов перехвата информации и уровень защиты личных данных пользователя. Особую роль в оценке степени безопасности мобильных мессенджеров играли именно качество шифрования данных и наличие двухфакторной аутентификации.

Результаты тестирования

Из 20 участников тестирования первичный отбор не прошло больше половины – в 12 сервисах выявлены серьезные несоответствия даже минимальным требованиям безопасности. В итоговом рейтинге осталось восемь приложений, и первое место в Топ-8 по версии Artezio занял мессенджер Signal.

Продукт получил наивысшую оценку за наличие двухфакторной авторизации, по умолчанию активированное шифрование данных и высокое качество алгоритмов шифрования. Но Signal нельзя считать идеальным мессенджером, поскольку определенные недоработки в системе безопасности у него имеются: в частности, у него нет защиты от создания снимков экрана (скриншотов). Также Signal не позволяет пользователям удалять сообщения на устройствах собеседников.

На втором месте в рейтинге Artezio расположился мессенджер Wickr, получивший «серебро» в первую очередь за разделение на платную и бесплатную версии с различным набором функций. Замыкает тройку лидеров популярный в России Telegram. Также в рейтинге с четвертого по воьмое места представлены приложения Confide, Viber, Line, WhatsApp и Apple iMessage.

Artezio не приводит список первоначальных 20 участников тестирования, но упоминает присутствие в нем приложения Facebook Messenger – официального мессенджера социальной сети Facebook. Данный сервис признан экспертами самым небезопасным и не рекомендуемым для ведения личной и тем более корпоративной переписки. В Facebook Messenger выявлен целый ряд недостатков: к примеру, Facebook предоставляет все без исключения личные данные пользователя по первому же требованию властей или спецслужб.

Некорректности исследования

Artezio также указала платформы, на которых работают изучаемые мессенджеры, однако предоставленная информация корректна не на 100%. Так, Telegram, по мнению экспертов, существует только под Android и iOS, хотя в действительности приложение вышло также под Windows Phone, Windows, Chrome OS, Linux и Apple macOS. Аналогичная ситуация с WhatsApp: он тоже существует как в веб-, так и в настольной версии, а Apple iMessage разрабатывается не только под macOS и iOS, но еще и под watchOS.

Идеальная защита – это миф

Приложений со стопроцентной гарантией защиты личной информации не существует – на любую защиту найдется свой механизм воздействия, делающий ее полностью бесполезной. Иногда это давление со стороны властей, а иногда – некачественный программный код с заранее допущенными недочетами.

Как ни странно, но нелюбимый российскими властями и обожаемый российскими пользователями Telegram, вошедший в тройку самых безопасных мессенджеров по версии Artezio – самый яркий тому пример. В октябре 2018 г. стало известно, что версия сервиса для настольных ПК хранит всю переписку в незащищенном виде, и злоумышленник может добраться до нее, не используя дополнительные программные средства. То же самое относится и к настольной версии Signal.

Мессенджер WhatsApp, на удивление, не может похвастаться надежностью работы алгоритмов сквозного шифрования: хотя перехват сообщений непосредственно во время общения пока невозможен, однако на резервную копию диалогов, выгружаемую в облако Google, шифрование не распространяется – вся переписка хранится там в незащищенном виде.

Ссылка на основную публикацию
Adblock detector