Рейтинг найнадійніших та менш захищених месенджерів
25.01.2015
Минулого тижня радник голови СБУ Маркіян Лубківський рекомендував не користуватися в зоні проведення АТО "мобільного рацією" Zello, оскільки персональні дані користувачів цього сервісу можуть потрапити в руки російських спецслужб і терористів.
"Російські спецслужби володіють значними обсягами актуальною технічної інформації про користувачів згаданого сервісу - ім'я, дані з профілів, інші псевдоніми, які авторизувалися з одного телефонного терміналу; IMEI мобільних терміналів, їх IP-адреси і т.д.", - пояснив Лубківський.
За його словами, СБУ отримала від одного з колишніх бойовиків докази того, що терористи можуть ідентифікувати користувачів інтернет-сервісу Zello і знаходити патріотів для розправи. Заява Лубківського викликало в середовищі IT-фахівців активне обговорення питання, наскільки захищені від прослуховування інші рації і месенджери.
Українські журналісти з ЛІГАБізнесІнформ опитали чотирьох фахівців в області кібербезпеки і з'ясували, які месенджери найбільш захищені від прослуховування. На підставі характеристик журналісти склали рейтинг захищеності додатків.
Всі експерти зійшлися на думці, що найбезпечніше спілкуватися за допомогою месенджерів RedPhone, WhatsApp і Telegram. Трохи гірше захищені дані у Skype і Facebook Messenger. Viber і Zello замикають рейтинг надійності.
Співавтор програми для боротьби зі спамом NumBuster Євген Гнутко детально розписав, як "мобільна рація" і будь-який інший мобільний додаток для комунікацій за замовчуванням "бачить" і "аналізує" вміст контакт-листа користувача.
"Неважливо, що це - WhatsАpp, Viber, клієнт Facebook, клієнт ВКонтакте, Zello та інші .: вони всі мають доступ до ваших контактів, імен і номерів телефонів, - пише Гнутко. - Все перераховане в будь-який момент з адмінки намалює географічне і соціальне охоплення будь-якого сегменту своєї аудиторії".
Таким чином спецслужби, отримавши доступ до "адмінки" (тобто до керуючого обладнанню або ПО на боці сервісу), можуть отримати повний профіль користувача, включаючи дані про його контакти, пристроях, історію активності в онлайні і карту переміщень.
За інформацією Гнутко, ряд сервісів, які прийнято вважати на 100% "західними", насправді такими не є: команда підтримки, розробники або сервери розташовані в Росії.
"Офіційний мобільний клієнт Facebook контролюється російською групою підтримки. Всі відомості видадуть за запитом локальних спецслужб. Використання будь-якого неофіційного клієнта нічого не вирішить", - пояснює Гнутко.
Крім месенджера Facebook в зону ризику, на його думку, потрапляють Viber і 4Talk. "Viber - група розробників РФ + Мінськ, ФАУНДЕР - Білорусь, 4Talk - відмінний продукт, зручний, швидкий. Розроблений й адмініструється в Москві", - розповідає Гнутко.
Керівник департаменту інформаційної безпеки одного з вітчизняних банків не згоден з Гутко, що наявність офісу, технічного персоналу або серверів на території РФ автоматично компрометує додаток.
«Російська команда Viber зовсім не означає, що дані регулярно зливаються в ФСБ. Будь-яке вилучення інформації спецслужбами - це удар по репутації компанії та вартості акцій. Адже Viber працює не тільки в пострадянському просторі, але і в країнах Заходу. Тому компанія, швидше за все, буде пручатися "виїмкам", як пручався Дуров під час Євромайдану».
У той же час фахівець з кібербезпеки вважає, що спецслужби країн-агресора - не єдине джерело загроз:
"Якщо об'єкт стеження особливо цінний, для злому його каналу комунікацій можуть написати індивідуальний вірус або експлойт. Тут на передній план виходить не наявність персоналу або серверів в Росії, а захищеність самого сервісу від перехоплення і атак ззовні".
З ним згоден керівник центру управління інцидентами інфобезпеки компанії Crytek Ukraine Дмитро Коржевін. "В ідеалі вся передана інформація, включаючи посилання, файли, чати, аудіо-і відеодзвінки, повинна шифруватися з використанням стійких криптоалгоритмів. Для шифрування повинен використовуватися ключ, доступ до якого є тільки у вас і вашого співрозмовника. У провайдера і компанії, що надає послугу захисту переданої інформації, не повинно бути доступу до ключів шифрування даних. Крім того, код додатку повинен бути доступний для незалежного аудиту ".
Теза про важливість стороннього аудиту підтверджує і Павло Ткачов, незалежний експерт в області кібербезпеки. На його думку, у відкритому доступі повинен бути вихідний код не тільки додатку, але й алгоритму шифрування, який в ньому застосовується.
"Якщо месенджер використовує закритий протокол, немає ніякої гарантії, що він дійсно захищений". Ще одна слабка сторона - централізований сервер, який зберігає інформацію, що пересилається. На думку Ткачова, сервер комунікаційного сервісу має виконувати виключно функції адресації. Однак ряд популярних сервісів (наприклад, Skype) зберігає на сервері недоставлені повідомлення, які доставляються коли адресат підключається до мережі.
Всі опитані експерти визнають, що у кожного з популярних комунікаційних сервісів були прецеденти з виявленням великих "дірок" в безпеці. У той же час, в якості додатку найбільш стійкою до злому, фахівці назвали RedPhone. Однак цей месенджер існує тільки для платформи Android і не так зручний у користуванні, як масові Skype або Viber.
Не забувайте головний принцип захисту інформації: навіть найстійкіша програма або криптоалгоритм не рятують від дурня або зрадника. Дуже часто набагато простіше і дешевше завербувати інформатора, ніж зламувати систему зв'язку.
Нагадаємо, що ще раніше СБУ попередила користувачів Вконтакті, Однокласників, та інших російських соцмереж, про можливий збір інформації про користувачів російськими спецслужбами.
Співавтор програми для боротьби зі спамом NumBuster Євген Гнутко детально розписав, як "мобільна рація" і будь-який інший мобільний додаток для комунікацій за замовчуванням "бачить" і "аналізує" вміст контакт-листа користувача.
"Неважливо, що це - WhatsАpp, Viber, клієнт Facebook, клієнт ВКонтакте, Zello та інші .: вони всі мають доступ до ваших контактів, імен і номерів телефонів, - пише Гнутко. - Все перераховане в будь-який момент з адмінки намалює географічне і соціальне охоплення будь-якого сегменту своєї аудиторії".
Таким чином спецслужби, отримавши доступ до "адмінки" (тобто до керуючого обладнанню або ПО на боці сервісу), можуть отримати повний профіль користувача, включаючи дані про його контакти, пристроях, історію активності в онлайні і карту переміщень.
За інформацією Гнутко, ряд сервісів, які прийнято вважати на 100% "західними", насправді такими не є: команда підтримки, розробники або сервери розташовані в Росії.
"Офіційний мобільний клієнт Facebook контролюється російською групою підтримки. Всі відомості видадуть за запитом локальних спецслужб. Використання будь-якого неофіційного клієнта нічого не вирішить", - пояснює Гнутко.
Крім месенджера Facebook в зону ризику, на його думку, потрапляють Viber і 4Talk. "Viber - група розробників РФ + Мінськ, ФАУНДЕР - Білорусь, 4Talk - відмінний продукт, зручний, швидкий. Розроблений й адмініструється в Москві", - розповідає Гнутко.
Керівник департаменту інформаційної безпеки одного з вітчизняних банків не згоден з Гутко, що наявність офісу, технічного персоналу або серверів на території РФ автоматично компрометує додаток.
«Російська команда Viber зовсім не означає, що дані регулярно зливаються в ФСБ. Будь-яке вилучення інформації спецслужбами - це удар по репутації компанії та вартості акцій. Адже Viber працює не тільки в пострадянському просторі, але і в країнах Заходу. Тому компанія, швидше за все, буде пручатися "виїмкам", як пручався Дуров під час Євромайдану».
У той же час фахівець з кібербезпеки вважає, що спецслужби країн-агресора - не єдине джерело загроз:
"Якщо об'єкт стеження особливо цінний, для злому його каналу комунікацій можуть написати індивідуальний вірус або експлойт. Тут на передній план виходить не наявність персоналу або серверів в Росії, а захищеність самого сервісу від перехоплення і атак ззовні".
З ним згоден керівник центру управління інцидентами інфобезпеки компанії Crytek Ukraine Дмитро Коржевін. "В ідеалі вся передана інформація, включаючи посилання, файли, чати, аудіо-і відеодзвінки, повинна шифруватися з використанням стійких криптоалгоритмів. Для шифрування повинен використовуватися ключ, доступ до якого є тільки у вас і вашого співрозмовника. У провайдера і компанії, що надає послугу захисту переданої інформації, не повинно бути доступу до ключів шифрування даних. Крім того, код додатку повинен бути доступний для незалежного аудиту ".
Теза про важливість стороннього аудиту підтверджує і Павло Ткачов, незалежний експерт в області кібербезпеки. На його думку, у відкритому доступі повинен бути вихідний код не тільки додатку, але й алгоритму шифрування, який в ньому застосовується.
"Якщо месенджер використовує закритий протокол, немає ніякої гарантії, що він дійсно захищений". Ще одна слабка сторона - централізований сервер, який зберігає інформацію, що пересилається. На думку Ткачова, сервер комунікаційного сервісу має виконувати виключно функції адресації. Однак ряд популярних сервісів (наприклад, Skype) зберігає на сервері недоставлені повідомлення, які доставляються коли адресат підключається до мережі.
Всі опитані експерти визнають, що у кожного з популярних комунікаційних сервісів були прецеденти з виявленням великих "дірок" в безпеці. У той же час, в якості додатку найбільш стійкою до злому, фахівці назвали RedPhone. Однак цей месенджер існує тільки для платформи Android і не так зручний у користуванні, як масові Skype або Viber.
Не забувайте головний принцип захисту інформації: навіть найстійкіша програма або криптоалгоритм не рятують від дурня або зрадника. Дуже часто набагато простіше і дешевше завербувати інформатора, ніж зламувати систему зв'язку.
Нагадаємо, що ще раніше СБУ попередила користувачів Вконтакті, Однокласників, та інших російських соцмереж, про можливий збір інформації про користувачів російськими спецслужбами.