Топ-4 мессенджера для параноиков
#hackandsecurity
Также читайте меня тут: Telegram и Вконтакте
У каждого из нас по закону есть право на неприкосновенность частной жизни (если это не переходит юридические нормы), и в этой связи уверен, что большинству хотелось бы этого и от переписки. Поэтому я решил сделать небольшой обзор четырех мессенджеров, которые, на мой взгляд, крайне неплохо справляются с этой задачей.
Цель статьи не копаться в технических характеристиках приложений, а всего лишь показать несколько возможных вариантов мессенджеров для тех, кто хочет быть уверен в том, что их переписка никуда не утечет и данные не попадут в третьи руки. По этой причине, если данный пост читают специалисты в области ИБ или IT, убедительная просьба: не цепляйтесь к формулировкам, так как я намеренно постараюсь не касаться технической стороны вопроса. По крайней мере, по большей части.
PS: Статья также будет интересна различным специалистам, чей род деятельности напрямую или косвенно связан с защитой персональных данных (например, для служб безопасности, HR, банковских работников или просто собственников бизнеса).
PSS: Вторую часть с более продвинутыми вариантами мессенджеров смотрим тут.
Главные требования к надежному мессенджеру
- End-to-end шифрование (E2ЕE) — сквозное. Технология предполагает, что мессенджер хранит ключи шифрования только на устройстве пользователя, не отправляя их на сервер. То есть в процесс обмена информацией включено только два объекта: отправитель и получатель, без третьих лиц.
2. Надежный протокол шифрования.
3. Степень централизации. Есть три варианта: централизованный (требует отдельного сервера) — к примеру vk, telegram; федеративный (сеть из серверов) — к примеру Riot.im; децентрализованный (каждый клиент и есть отдельный сервер) — к примеру Briar.
4. Возможность анонимной регистрации и использования.
Помимо этих критериев, сюда так же можно отнести следующее: открытый исходный код, запрет на скриншот экрана в секретных чатах, наличие групповых Е2ЕЕ чатов и прочее.
Signal
Данный бесплатный мессенджер, по мнению Эдварда Сноудена, является одним из самых защищенных на сегодняшний день. Приложение обладает открытым кодом, что позволило специалистам со всего мира потестить его реальную безопасность. Мессенджер использует криптографический протокол ZRTP и алгоритм AES с длиной ключа 128 бит. Как в теории, так и на практике, данную защиту обойти практически нереально даже с помощью группы подготовленных людей с хорошим оборудованием. Есть версия и для IOS, и для Android.
Помимо всего прочего, в Signal также надежно можно общаться с помощью аудиовызова, и там есть куча интересных фишек для усиления безопасности. К примеру, одна из таких: по умолчанию в приложении нельзя сделать скриншот экрана (данную функцию можно отключить в настройках).
Так же вы можете подтвердить личность людей, с которыми общаетесь, чтобы убедиться, что их ключ шифрования не был изменён во время загрузки на ключ шифрования другого лица. Верификацию необходимо проводить в живую с вашим собеседником.
Единственный минус, который я вижу — это то, что при регистрации Signal запрашивает ваш номер телефона и список контактов, чтобы определить, с кем из вашего списка контактов вы можете вести переписку (проще говоря, у кого он тоже установлен). То-есть он не является полностью анонимным, хотя протоколы защиты очень серьезные.
PS: В Signal была найдена уязвимость, которая затрагивает все версии приложения до 2.23.1.1. При определенной последовательности действий проблема позволяет обойти защиту паролем и TouchID. Сейчас, вроде как, все устранили и ничего страшного не произошло, но лучше всего обновиться до последней версии, чтобы точно не было никаких проблем.
Wickr
Данный мессенджер возник так же, как и Signal, после заявления об утечке данных АНБ. Дата основания — 2013 год. В то время был вообще пик возникновения приложений с качественным шифрованием.
Разработчики Wickr с самого начала заявляли, что это самый защищенный мессенджер в мире, хотя код приложения закрытый и его нельзя потестить разным специалистам, как в случае с Signal. Wickr осуществляет закодированную передачу почти любой информации, включая фото, аудио, текст и видео. Оно не позволяет копировать или пересылать сообщения или контент третьим лицам, и там тоже нельзя сделать скриншот. В приложении используются стандарты шифрования AES 256, ECDH 521, RSA 4096 TLD. Большой его плюс, что при регистрации вы придумываете уникальный ID и пароль. Регистрироваться через привязку телефонного номера не обязательно.
Отдельно хочется отметить интерфейс. Он сложнее, чем в Signal, но у этого есть логическое объяснение. У Wickr есть несколько пакетов (Wickr pro и Wickr ent), в том числе платные, для организаций. Поэтому многие фирмы, особенно европейские, используют данный мессенджер как корпоративный.
“Wickr me” (обычная версия) бесплатный и реализован как для IOS, так и для Android. Недавно появилась русская версия и было убрано большое количество багов, которые присутствовали ранее.
Discord
Это самый странный мессенджер из всей подборки. Дело в том, что Discord — это, прежде всего, Voice chat для геймеров. Изначально Discord предоставляет защиту от любой попытки “ддоса” игрока и предотвращает возможность узнать “айпи” игрока. В общем, если упростить, то с защитой у приложения все более-менее, в особенности с тем, что связано с голосовыми сообщениями и вообще аудио. Именно по этой причине я решил внести его в список. Есть люди, которым неудобно использовать сообщения, а проще позвонить. Конечно, это можно сделать с помощью Signal или Wickr, но альтернатива всегда должна быть. Ну а то, что здесь довольно специфический интерфейс, думаю, не должно вас особо напрягать, так как изначально Discord, все же, создавался для тех, кто играет в компьютерные игры.
PS: По разговорам с разными своими коллегами, я понял, что им активно пользуются хакеры. По каким-то причинам в данном мессенджере большинство из них чувствует себя весьма комфортно. Одна из самых очевидных, на мой взгляд, — это то, что о нем просто практически никто не знает, особенно в России.
Confide
Один из самых малоизвестных мессенджеров, но при этом, как по мне, безумно интересный. Основная его особенность заключается в связке сквозного шифрования с необычной системой скрытия сообщений на экране пользователя. Сообщения приходят в виде прямоугольников, и чтобы прочитать текст, нужно будет проводить по ним пальцами.
Также большой плюс приложения в том, что оно хорошо адаптировано под экран мониторов и у него есть платная версия для организаций, как и в случае с Wickr. Ареал распространения у приложения более 180 стран, и о нем писали очень крупные издания, такие как Forbes, Bloomberg, Fortune, Washington Post и другие. Это также говорит о многом.
Он есть почти для всех систем.
Если бы я выставлял оценки, то для меня данный продукт явно тянет на 10 из 10, впрочем, как и все вышеперечисленные.
В заключении хочу сказать, что данный список мессенджеров является субъективным и выбирал я их из опыта использования, а также с точки зрения того, что за историю их существования не было найдено пока ни одной серьезной уязвимости, связанной с утечкой личных данных (за исключением Signal, но там очень быстро решили проблему и ничего критичного не произошло).
Как говорил в начале, есть еще и вторая часть. Читаем тут.
Ну и повторюсь, я намеренно не сильно влезал в технические характеристики по причине того, что большинству наверняка они были бы не столь интересны. Если у вас возникнет желание, то все можно найти в открытом доступе на сайтах разработчиков или в обзорах в сети. Цель была больше обзорная, так как в большинстве своем мало кто вообще знает о существовании данных приложений, особенно у нас в стране.
PS: Данный пост не является призывом к нарушению каких-либо законов, а является всего лишь обзором на существующие продукты.
Всем мира!
