Мессенджеры для параноика — часть вторая

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: и

Это будет продолжением очень популярной статьи, просмотры и прочтения от которой, до сих отображаются у меня в статистике, хотя написал я ее аж в апреле 2018 года. Если вкратце, речь идет о подборке из 4 мессенджеров, которые можно использовать для конфиденциальной переписки или пересылки важных файлов.

В общем такая читаемость толкает меня на мысли о том, что есть запрос на сохранение конфиденциальности своих данных, в частности переписки. Именно поэтому я решил расширить список мессенджеров еще 4 вариантами, которые можно использовать для анонимного и безопасного общения. Приятного прочтения 👍🏻

PS: Данный пост не является призывом к нарушению каких-либо законов, а является всего лишь обзором на существующие продукты.

Главные требования к надежному мессенджеру

На всякий случай повторим более-менее основные критерии для определения, что есть безопасный и анонимный мессенджер (это разные понятия).

  1. End-to-end шифрование (E2ЕE) — сквозное. Технология предполагает, что мессенджер хранит ключи шифрования только на устройстве пользователя, не отправляя их на сервер. То есть в процесс обмена информацией включено только два объекта: отправитель и получатель, без третьих лиц.
  2. Надежный протокол шифрования.
  3. Степень централизации. Есть три варианта: централизованный (требует отдельного сервера) — к примеру vk, telegram; федеративный (сеть из серверов) — к примеру Riot.im; децентрализованный (каждый клиент и есть отдельный сервер) — к примеру Briar.
  4. Возможность анонимной регистрации и использования.

Помимо этих критериев, сюда так же можно отнести следующее: открытый исходный код, запрет на скриншот экрана в секретных чатах, наличие групповых Е2ЕЕ чатов и прочее.

Ну и вы должны понимать еще пару важных вещей:

1. Наличие сквозного шифрования в продукте совсем не гарантирует того, что переписка “не уйдет” в третьи руки. При очень большом желании его можно обойти, либо просто проэксплуатировать какую-то внутреннюю “дырку” мессенджера. Таких примеров мы знаем много (WhatsAp, Facebook Messenger и другие).

2. Групповые чаты всегда менее безопасны, чем личная переписка с одним пользователем. Чем больше человек в чате, тем слабее безопасность. Это происходит из-за более простого перераспределения ключей.

Riot.im

Image for post
Image for post

Я почти уверен, что большинство из вас вряд ли слышало хотя бы про один из перечисленных тут мессенджеров. Приведенные варианты не сверх популярные, но однозначно одни из самых защищенных и анонимных по разным причинам. Оговорюсь, , сложные технические термины я приводить не буду, иначе пост может оказаться полезным только для узкого круга читателей.

Итак Riot.Im (в дальнейшем просто Riot для простоты). Иногда его еще называют Matrix. Забавно, что протокол безопасности у Riot свой и он как раз называется Matrix.

По своему устройству он федеративный. Это означает, что есть сеть из нескольких серверов, которые постоянно “общаются” друг с другом.

При регистрации не нужно оставлять почту или номер телефона. Никакой привязки нет, что делает его анонимным. Вопрос возникает только к безопасности, так как протокол Matrix относительно новый, да и сам мессенджер пока еще в новинку для большинства. Грубо говоря, пока что не сформировалось доверие. Но это просто шаблон, на мой взгляд. Факты на сегодняшний день говорят о том, что ни в одной версии утечек или “дырок” обнаружено не было за все время существования Riot.

Из минусов (хоть это и спорно) можно выделить только тот факт, что шифрование в чатах нужно включать самому, если есть необходимость. По умолчанию оно там не стоит, поэтому есть опасность в нужный момент просто про это забыть.

Групповые Е2ЕЕ чаты тут тоже есть. Аудио и видео вызовы присутствуют, как и везде, но о надежности их говорить сложно.

Riot мультиплатформенный и даже есть веб версия, что очень удобно. С такими крутыми характеристиками мессенджер редко бывает на всех платформах сразу. Ну и он бесплатный.

В общем если к нему привыкнуть, то это точно одно из лучших решений.

Wire

Image for post
Image for post

Wire очередной сильно анонимный и защищенный мессенджер. В техническом смысле, если составить рейтинг мессенджеров, то он бы шел после Riot с небольшим отрывом, но вот на практике, я бы, как минимум, отдал бы им одно и тоже место. Давайте разберемся почему.

Wire имеет свой протокол безопасности Wire Swiss. По сути это не ноу-хау, так как основан он на протоколе Signal. Для тех, кто не в курсе, это, пожалуй, один из самых защищенных протоколов на сегодняшний день и он лежит в основе многих мессенджеров. Про Signal .

Тут, как и в любом мессенджере параноика, есть возможность анонимной регистрации. Номер телефона оставлять не нужно, но почту обязательно. На всякий случай оговоримся, что если ваша цель анонимность, то есть смысл для регистрации создать отдельную почту. И, желательно, чтобы в ней не было ваших данных по типу ФИО или года рождения. Это я, конечно, издеваюсь. Суть вы уловили.

Е2ЕЕ шифрование тут включено по умолчанию, в отличие от того же Riot.im, к примеру. Причем, как в частной переписке, так и в групповых чатах (они могут быть очень большие). Так же тут очень хорошая аудио связь в плане защиты. По этой причине, можно создавать небольшие конференции, если вам необходимо обсудить что-то конфиденциальное. По поводу видео связи сказать сложно, данных почти нет. Но, я бы не рекомендовал доверять ей на 100%

Ну и на закуску: Wire полностью мультиплатформенный и бесплатный. Можно использовать с любого устройства и ОС. Так же, он очень user friendly — максимально простой и с хорошим интерфейсом. Этого как раз не достает Riot.im.

В чем же минус? Создала его частная компания и она монетизируется за счет продажи платных корпоративных версий продукта. То-есть, мессенджер по своему устройству централизованный. Как показывает практика, такие компании могут закрываться по разным причинам.

Лично для меня — это вообще не минус.

Briar

Image for post
Image for post

Из всей моей подборки — это выбор реально настоящего параноика. Если смотреть по всем параметрам, то Briar нет равных как в области безопасности, так и в области анонимности.

Briar относится к децентрализованному типу мессенджера. Это означает, что каждый пользователь и есть отдельный сервер (P2P). Briar работает внутри сети Tor. То-есть помимо стандартного E2EE шифрования, трафик тут шифруется еще и протоколом Tor. Плюс шифрование еще ведется и на самом устройстве. В общем сплошное шифрование повсюду :)

Из-за P2P тут в принципе не возможны никакие блокировки, DDos-атаки, “уход” вашей переписки к третьим лицам и прочее. Единственный вариант — полностью заблокировать Tor на территории страны, как в Китае. Тогда, возможно, у Briar начнутся перебои.

Естественно, при регистрации тут не требуется ни номера телефона, ни почты. Все полностью анонимно.

Особенное ноу-хау Briar — это добавление контактов. Чтобы добавить контакт и общаться с ним, необходимо встретиться лично и с помощью QR-кодов “подтвердить” вашу дружбу. Это дико неудобно, но безумно надежно. Такая же история и с групповыми чатами. Если вы находитесь в каком-то чате и кого-то из участников нет в ваших друзьях, сообщения не будут видны обеим сторонам.

Image for post
Image for post

Естественно, у приложения открытый исходный код, поэтому все, что я описал, подтвердилось уже много раз.

Минус, как по мне, только один — пока что Briar есть только под андроид и он еще сырой. Там есть проблемы с интерфейсом и небольшие баги, но это можно списать на то, что проект еще очень молодой, но безумно перспективный.

В общем если вы андроид пользователь — в вашем распоряжении есть самое крутое средство связи. Всем остальным остается надеяться на то, что Briar когда-нибудь сделают мультиплатформенным.

Threema

Image for post
Image for post

Название говорит само за себя: “Threema — Seriously secure messaging”.

Если пройтись по ключевым техническим требованиям, то тут все есть: возможность анонимной регистрации, включенное по умолчанию для всех видов чатов Е2ЕЕ шифрование, при первом запуске приложения генерируется случайный идентификатор пользователя и прочее. Сообщения шифруются децентрализованным способом и только на устройствах пользователя. Телефонная книга с вашими контактами не “уходит” на сервера компании, что сегодня большая редкость.

По своем устройству Threema централизованный мессенджер с серверами в Швейцарии.

Из интересного: в Threema есть так называемый “рейтинг доверия”. Чтобы начать диалог с пользователям, необходимо ввести его идентификатор. Сделать это можно разными способами, но самый верный и безопасный — просканировать QR-код вживую с телефона собеседника. Если такой возможности нет, можно просто ввести его идентификатор вручную, но, как мы с вами понимаем, это менее безопасно.

Так же есть прикольная функция шифрования каждого отдельного чата с помощью PIN-кода. Иногда это очень полезно.

В общем если подвести итог — это очень не плохой вариант. Вашу переписку не возможно получить ни как, так как сервера компании регистрируют только факты передачи сообщений, а не внутренностей.

Threema — мультиплатформенный, но, как по мне, реализация не самая лучшая.

Из минусов: он платный и у него плохая система синхронизации чатов между вашими устройствами. Если вы, к примеру, одновременно используете Threema и со смартфона, и с PC, могут быть проблемы.

Давайте подведем небольшой итог по двум статьям. Мы рассмотрели всего 8 мессенджеров: Signal, Wickr, Discord, Confide, Riot.im, Wire, Briar и Threema. Самое логичное, на мой взгляд — это составить некий рейтинг, основанный на главных требованиях к безопасному и анонимному мессенджеру. Это субъективный взгляд, имейте ввиду.

  1. Briar. Это однозначное первое место с точки зрения технических характеристик. Огромный его минус только в том, что пока он только под андроид.
  2. Riot.im и Wire. Riot сложнее для пользователя, чем Wire с точки зрения интерфейса, но обладает более гибкой настройкой в контексте безопасности. Поэтому, мне кажется, что они явно разделяют второе место.
  3. Signal и Threema. На основе протокола безопасности Signal работают большинство мессенджеров, но в нем есть привязка к номеру телефона, что перестает делать его анонимным. Это нивелируется другими вещами, но в той же Threema, к примеру, привязки к номеру нет.
  4. Все остальные по выбору.

Зачем же я рассказал про другие варианты, если они не попали в этот рейтинг? Во-первых, одна из целей обеих статей заключалась в том, чтобы рассказать вам, что помимо WhatsAp, Viber и Telegram есть огромное количество других продуктов, зачастую более качественных, но менее распиаренных. Почему, ни один из трех перечисленных выше мессенджеров не находится в нашем списке, тема для отдельной статьи. Как-нибудь напишу и об этом.

Во-вторых, у каждого мессенджера, в основном, есть какая-то своя фишка, которая для вас может перебить все его минусы. Поэтому все всегда зависит от ваших целей и задач. Я просто дал вам варианты.

Чем же пользуюсь я сам?

Для работы: Signal и Riot.im. Сейчас начинаю пробовать Wire и, скорее всего, полностью перейду на него в контексте важных задач.

Для обычного общения — WhatsAp и Telegram, как и многие из вас.

На этом все. Всем мира ✋🏻

Также читайте меня тут: и

Written by

Investigations, OSINT, cybersecurity, profiling, self defense.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store