Спеціально для Delo.ua
Іноді листуванню не варто довіряти конфіденційну інформацію — багато популярних месенджерів можна прослухати або зламати
Месенджери настільки глибоко інтегровані в наше повсякденне життя, що стали її невіддільною частиною. Сучасний етикет приписує нам не телефонувати, а спочатку уточнити в месенджері, коли і як опонентові зручно поспілкуватися. У чатах ми обговорюємо особисті й робочі питання, витрачаючи на переписування левову частку часу.
Водночас усе примарнішими стають кордони безпеки: листуванням ми довіряємо тонни інформації, яка може бути комерційною таємницею або глибоко особистою. У цій статті поговоримо про те, наскільки небезпечні найпопулярніші месенджери й чому не варто довіряти листуванню конфіденційну інформацію.
Герої антирейтингу
Почнемо огляд із самого «проблемного» месенджера, який ставить під загрозу інформаційну безпеку компанії — Skype. У різний час у ньому були виявлені серйозні проблеми, через які можна було отримати повний віддалений контроль над комп’ютером. А після того, як у 2011 році месенджер викупила Microsoft, вона забезпечила його технологією законного прослуховування. Тепер підрядники Microsoft прослуховують розмови деяких користувачів нібито для поліпшення послуги вбудованого перекладача.
Та й українські спецслужби ще у 2012 році навчилися контролювати передачу інформації через Skype і поліпшили цей навик із початком бойових дій на Сході України. У 2014 році в СБУ поширили інформацію про листування сепаратистів зі своїми російськими кураторами через Skype. Також про можливість СБУ контролювати Skype свідчить рішення суду, у якому мова йде про те, як працівник «Укрпошти» передавав через Skype на непідконтрольну Україні територію Донецької області секретну інформацію, і був викритий СБУ.
Ми рекомендуємо заборонити встановлювати співробітникам Skype на робочі комп’ютери без гострої потреби, оскільки саме корпоративна безпека — слабке місце месенджера.
Друге місце антирейтингу можуть поділити продукти концерну Facebook — FB Messenger і WhatsApp. Попри те, що Facebook — одна з найпопулярніших соцмереж у світі, питання безпеки в компанії явно відсунуті на другий план. Месенджери компанії часто опиняються в центрі скандалів, пов’язаних із витоком особистих даних користувачів. Як, наприклад, гучна справа про збір Cambridge Analytica даних про 87 млн користувачів Facebook.
Аналітична компанія передавала персональні дані третім особам, які використовували їх для політичної реклами під час президентської кампанії в США й референдумах про Brexit. Головний мінус FB Messenger — обов’язковий мобільний додаток, який може копіювати листування з абонентом і передавати інформацію третій стороні. Зламавши ваш Facebook, людина відразу отдержує доступ до всього листування, включно зі смс (якщо ця функція активована).
Не краще йдуть справи й із дочірнім месенджером Facebook — WhatsApp. Недарма компанію покинули її засновники, назвавши однією з причин свого відходу — небезпечність месенджера. Впровадження широко розрекламованого наскрізного шифрування в WhatsApp збіглося із закликом створювати резервну копію даних у хмарі. Водночас розробники «забули» уточнити, що під час резервного копіювання повідомлення вже не захищені наскрізним шифруванням і стають доступні для злому.
А минулого року світові експерти з кібербезпеки заявили про те, що через WhatsApp можна легко стежити за користувачами, завдяки помилці в системі безпеки. Зламати будь-який смартфон можна було лише зателефонувавши на цей месенджер, після чого WhatsApp приймав дзвінок без відома користувача, і хакери заражали телефон ПО для крадіжки інформації.
Уже не секрет, що спецслужби багатьох країн використовують неофіційну можливість впливати на інтернет-провайдерів і отримують доступ до інформації в хмарі. В Україні таку інформацію силовики легалізують через суд і використовують її у своїх цілях.
До речі, про месенджер Viber. Він пропонує зберігати резервну копію повідомлень на Google Drive, але водночас розробники чесно попереджають, що не несуть відповідальності за приватність таких копій. Мовляв, там уже все залежить від Google. Як писали раніше ЗМІ, можливість зламувати Viber спецслужби розвинутих країн отримали ще у 2013 році. В Україні зараз також легко зламуються листування по Viber (дозвіл на розтин цього месенджера дається офіційне рішення суду). Про те, що національні спецслужби можуть одержувати інформацію з WhatsApp і Viber, розповів і директор НАБУ Артем Ситник.
Наприклад, суд виправдав по одній із кримінальних справ мера Одеси через незаконне втручання силовиків у його листування в Viber. Ну й зовсім анекдотичний випадок c листуванням у Viber стався в тій же Одесі, де суд покарав особу, яка нецензурно висловлювалася в цьому месенджері. Не відстає від Одеси й Київ. У 2016 році до кримінальної відповідальності було притягнуто жінку за сутенерство, яка організувала через Viber кілька груп для звідництва та занять проституцією.
Замикає п’ятірку найнебезпечніших месенджерів WeChat. Це — суто китайський продукт на ринку месенджерів, у нього багатий функціонал, яким не можуть похвалитися аналогічні платформи. Але безпеки на цьому майданчику ви не знайдете. WeChat збирає на своїх серверах неймовірну кількість даних, і це просто подарунок для держави. У Китаї додаток у реальному часі показує уряду «карти» користувачів.
Вони дозволяють отримати доступ до даних кожного окремого користувача. Крім того, WeChat не має цифрового кодування, тому користувач захищає доступ до свого облікового запису паролем, а цей захист можна легко обійти. Українські силовики, як правило детективи НАБУ, дуже цікавляться листуванням у WeChat і просять слідчих суддів Вищого антикорупційного суду України дозволу на доступ до інформації в цьому месенджері на комп’ютерах або інших носіях електронної інформації, вилучених під час обшуків.
Ще один популярний месенджер — Signal. У ньому є баг, який активує мікрофон у телефоні під час дзвінка. Причому й ініціювати дзвінок, і прийняти його на смартфоні користувача може сам зловмисник. І нехай такий сценарій працює тільки для аудіозвінків, ваші розмови в цьому месенджері можуть бути почуті.
Крім того, судова практика підтверджує, що доступ до листування в Signal наші силовики мають та ідентифікують через вилучені телефони номери абонентів. А Верховний Суд у своєму рішенні від 9 квітня 2020 року визнав правомірним огляд телефонів, вилучених слідством, й ознайомлення з листуванням у месенджерах без спеціального дозволу слідчих суддів на тимчасовий доступ до об’єктів у телефоні інформації.
Але загалом параметри безпеки у Signal непогані: месенджер використовує шифрування з відкритим вихідним кодом. Користувачі можуть встановити часовий інтервал, після якого їх повідомлення автоматично видаляються. Це гарантує вам конфіденційність, навіть якщо хтось інший отримає доступ до вашого смартфону. А якщо ви будете додавати контакти не з телефонної книги, а під час зустрічі з людиною, скануючи QR-код з ідентифікатором з екранів один одного, їм буде присвоєно максимальний рівень верифікації та безпеки.
Про відеозв’язок
Поговоримо про сервіси для проведення відеоконференцій. На піку популярності зараз сервіс для проведення відеоконференцій Zoom. Із введенням карантину цікавість до додатка сильно виросла, його звантажували до 600 тисяч разів щодня. Компанія явно не була готова до такого навантаження й підвищеного інтересу до параметрів безпеки сервісу.
Проблема Zoom — у його простоті. Він не вимагає установки пароля для конференцій і дає змогу будь-якому учаснику «ділитися» своїм екраном. Усе вищевказане свідчить про ненадійність цього месенджера для ведення конфіденційних зустрічей і конференцій. Наприклад, у квітні цього року тало відомо, що у відкритому доступі виявилися 15 тисяч сесій в Zoom — і глибоко особисті бесіди, і корпоративні наради, а в мережі не вщухають скарги на онлайн-тролів, які незаконно підключаються до бесіди.
Аналогічний сервіс Google Meet постарався врахувати проблеми Zoom і посилив заходи безпеки. Спілкуватися на платформі можуть тільки ті учасники, у яких є обліковий запис Google. Треті особи або анонімні користувачі участі в конференції взяти не зможуть. Усі трансляції в Google Meet шифруються, що значно знижує ризик хакерського злому або витоку особистої інформації користувачів.
Оскільки сервіс був запущений недавно, публічної інформації про недоліки безпеки Google Meet вкрай мало. Але деякі експерти рекомендують користувачам використовувати загальні псевдоніми, а не унікальні логіни або справжні імена й застосовувати віртуальний фон під час нарад. Фахівці також попереджають про те, що не варто викладати в соцмережі скріншоти з віртуальних нарад, оскільки на підставі таких зображень можна ідентифікувати 80 % користувачів.
Зауважимо, що фахівці лабораторії Kaspersky високо оцінили команду «безпечників» Google, зазначивши, що вони «здатні розв’язувати проблеми до того, як вони завдадуть реальних неприємностей».
Флагмани безпеки
Серед месенджерів є й ті, спілкування в яких максимально захищено розробником. До них належать Telegram, Threema і FaceTime.
Відкриває трійку безпечних месенджерів Telegram. Потрапив він сюди через унікальну технологію шифрування секретних чатів. Telegram використовує власний протокол end-to-end encryption, коли всі повідомлення шифруються на гаджеті відправника й розшифровуються на гаджеті одержувача. Ця технологія реалізована тільки для секретних чатів, а звичайні повідомлення теоретично можуть бути перехоплені. Жоден із серверів Telegram не перебуває на території Росії, а сам Дуров виїхав із РФ у 2014 році, купивши собі громадянство іншої держави.
Зламати Telegram складно: для цього зловмисникові доведеться «зеркалити» (створювати копію сім-карти й отримувати доступ до додатка) ваш телефон або використовувати підставних осіб. Показовим є випадок, описаний у рішенні Рівненського міськсуду. Спецслужби використовували свідка, який почав листуватися з Telegram з цікавою для слідства особою, який і без «злому» аккаунту передав правоохоронцям усе листування із суб’єктом. Але якщо дотримуватися належної обережності, листування в Telegram буде захищене.
Створення Threema стало наслідком зростаючої тривоги користувачів із приводу безпеки й таємниці листування. Розробники цього месенджера врахували всі побажання користувачів, тому Threema швидко набув популярності. Threema — платний месенджер, щоби його завантажити, потрібно заплатити близько $2. Сервер компанії розташований у Швейцарії й використовується для технічної підтримки, а не для зберігання даних. У Threema відсутня прив’язка до номера телефону, що значно ускладнює силовикам ідентифікацію особи, яка використовує месенджер. У месенджері можна зареєструватися анонімно, а повідомлення шифруються на пристроях користувача.
У Threema є так званий «рейтинг довіри»: щоби почати діалог із користувачем, необхідно ввести його ідентифікатор. Найнебезпечніше просканувати QR-код наживо з телефону співрозмовника або ввести його ідентифікатор вручну, що менш безпечно. Ще одна корисна функція Threema — шифрування кожного окремого чату за допомогою PIN-коду.
З погляду безпеки, Threema є одним із найнадійніших месенджерів. До Вашого листування неможливо отримати легальний доступ ніяким способом, а навіть якщо Ваш телефон потрапить до чужих рук, то функції кодування PIN-кодом і тимчасового видалення повідомлень надійно захистять інформацію. Тим більше, що після десяти невдалих спроб введення секретного слова всі дані в додатку будуть стерті.
Ще один досить надійний месенджер — це FaceTime. Хоча наприкінці січня 2019 року навколо FaceTime розгорівся скандал про те, що співрозмовника можна прослухати під час групових викликів ще до того, як він прийняв дзвінок у додатку, компанія швидко виправила цю помилку та поліпшила параметри конфіденційності.
Apple використовує «наскрізне» шифрування для захисту даних під час їх передачі між двома пристроями, тож перехоплювати закриті пакети на шляху проходження безглуздо, оскільки розшифрувати їх буде вкрай проблематично. Наскрізне шифрування втрачає свою актуальність, тільки якщо ваш смартфон вкрали.
Втім, його завжди можна заблокувати через спеціальний додаток. Дзвінки не записуються й не зберігаються на серверах компанії. Навіть урядові установи США не можуть дістати до них доступ, через що неодноразово виникали претензії до Apple. Проте фахівцям силових відомств США недавно вдалося розшифрувати дані додатку, але цей випадок швидше виняток.
FaceTime просто так не зламати, і він захищає персональну інформацію користувачів. Усі повідомлення на пристроях з watchOS, iOS і iPadOS зберігаються в закодованому вигляді, тому їх неможливо прочитати без вашого пароля. Ви можете налаштувати автоматичне видалення ваших листувань через 30 днів або через рік, а можете зберігати їх постійно.
Висновок
Які б Ви секретні або надійні месенджери Ви не використовували, завжди є ризик бути прослуханими. Жоден розробник не гарантує таємницю повідомлень, які шифруються найсучаснішими технологіями, якщо інформація передається за допомогою мікрофона або камери смартфона.
Спецслужби багатьох країн навчилися обходити перешкоди, негласно підключаючись до мікрофона й відеокамери гаджета та отримують у такий спосіб потрібну інформацію. Максимально убезпечити себе допоможе використання надійних месенджерів із секретними чатами, які будуть зареєстровані на іноземний номер.
Олег Вдовичен, керуючий партнер
АО “Вдовичен та партнери”