Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Как пользоваться мессенджерами для конфиденциальной переписки | Блог Касперского
Сравнение шести наиболее распространенных мессенджеров: какой из них наиболее безопасен?
Мы неоднократно сравнивали защищенные мессенджеры со сквозным шифрованием, рекомендовали настройки и описывали дефекты таких приложений. А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием «Что является безопасным?» (What Is Secure).
В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.
Что изучали
Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров. Пользователям предлагали такие популярные приложения:
- Apple iMessage;
- Meta (Facebook) Messenger*;
- Messages by Google;
- Signal;
- Telegram;
- WhatsApp.
При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».
Главный вывод
Сквозное шифрование — только часть безопасности. Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой. Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника? Для многих ответ на все эти вопросы — «нет», и тогда зашифрованный мессенджер сам по себе дает достаточную защиту. Но даже если ваш ответ — «да», это не повод отказываться от шифрования и безопасного мессенджера: просто они должны стать частью общего ряда мер эшелонированной защиты.
В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.
Общие рекомендации по безопасной переписке
Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.
Не принимайте решения вслепую. Пользователи сознательно прилагают усилия, чтобы защитить свою конфиденциальность, но часто ориентируются на «фольклор про безопасность», а не достоверные источники информации. Также мало кто читает документы, связанные с приложениями: условия использования, отчет о прозрачности и взаимодействии с властями. Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер, кому выдает (и уже выдавал) эти данные. Об этом пишут в отчетах о прозрачности, а также в прессе.
Хорошо изучите настройки мессенджера. Разберитесь, что означает каждая из них и включите максимально безопасные варианты всех нужных настроек. Учтите, что часть настроек безопасности может быть разбросана по общим настройкам телефона (особенно для iMessage на iPhone и Messages by Google на Android) или другим подразделам приложения (характерно для Telegram).
Не пользуйтесь гибридными режимами. В ряде мессенджеров возможна как шифрованная, так и нешифрованная переписка. В iMessage и Messages by Google можно посылать открытые SMS или шифрованные сообщения прямо в рамках одного чата. Это самое неудачное решение, такие сообщения вечно путают. В Messenger* и Telegram есть отдельные шифрованные и нешифрованные чаты, причем по умолчанию используется режим без шифрования. Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.
Больше функций — больше риск. Если мессенджер имеет много дополнительных функций — сториз, боты, связь с соцсетями — то появляются и дополнительные потенциальные каналы слежки и разглашения информации. Стоит отключить всю ненужную функциональность или вообще не пользоваться подобным мессенджером.
Отключайте предварительный просмотр ссылок, обмен геолокацией, гифки. Иногда эти функции удобны, но через них отследить вас могут самые разные стороны, включая тот веб-сайт, на который ведет ссылка. Еще одной функцией, потенциально создающей канал утечки, является поиск GIF для отправки в чат.
Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail. По информации в отчете, WhatsApp и Signal также планируют создание такой функции.
Пользуйтесь исчезающими сообщениями. Для особо чувствительных тем нужно активировать автоматическое удаление переписки через короткий срок (например, 1 минута). К сожалению, такие настройки есть не во всех мессенджерах, кое-где минимальный срок видимости — 24 часа. Исчезающие сообщения слабо защищают от скриншотов и других способов сохранить переписку, доступных собеседнику. В основном они помогут, если в вашем телефоне спустя какое-то время будут ковыряться посторонние.
Шифруйте резервные копии чатов. Стандартные резервные копии в облако нередко становятся каналом утечки, поэтому важно убедиться, что они имеют дополнительное шифрование (его нужно вручную включать в WhatsApp и iMessage), либо же ведутся локально (например, на SD-карту в смартфонах Android), либо вообще отключены. Локальные резервные копии тоже должны быть зашифрованы.
Сверяйте ключи шифрования с важными собеседниками. Эта процедура в разных приложениях называется Сontact Key Verification (iMessage), Safety Numbers (Signal), Security Code (WhatsApp), Encryption key (Telegram). Она позволяет убедиться, что вы переписываетесь с нужным человеком на нужном устройстве. Проверка осуществляется для каждого конкретного чата либо по указанному коду, либо при личной встрече.
Защищайтесь от угона аккаунтов— включайте двухфакторную аутентификацию. Она может называться по-разному — Two-Step Verification, Registration PIN и так далее, — но ее суть неизменна: для входа в аккаунт на новом устройстве требуется дополнительное подтверждение.
Обучайте своих собеседников. Особенно это важно для групп, общающихся в чатах по «чувствительной» тематике. В них важно солидарное соблюдение правил этики и безопасности:
- не пересылать приватную информацию дальше;
- не делать скриншотов или других копий информации из чата;
- поддерживать в сообществе культуру соблюдения конфиденциальности;
- грамотно пользоваться настройками мессенджера;
- отключать в чатах потенциально небезопасные функции.
Какой мессенджер самый безопасный?
По итогам исследования, в общем зачете явно лидирует Signal, но невозможность использовать его без раскрытия своего номера телефона немного осложняет ситуацию. Сравнение ключевых функций безопасности мессенджеров приведено в таблице, а самый безопасный вариант в каждой строке выделен зеленым.
Apple iMessage | Meta Messenger* | Google Messages | Signal | Telegram | ||
Сквозное (End-to-end) шифрование в личном чате | Иногда** | В спец. чате | Иногда** | Всегда | В «секретном чате» | Всегда |
Сквозное (End-to-end) шифрование в группе | Иногда** | В спец. группе | Иногда** | Всегда | Никогда | Всегда |
Проверенный протокол шифрования | Нет | Да | Да | Да | Нет | Да |
Шифрование резервных копий | Да, опционально | Не делает копий | Нет | Да, по умолчанию | Не делает копий | Да, опционально |
Возможность ручной сверки ключей шифрования | Да | Да | Нет | Да | Да | Да |
Регистрация без номера телефона | Да | Да (трудно) | Нет | Нет | Нет | Нет |
Скрытие номера телефона от контактов | Да | Да | Нет | Нет | Да | Нет |
Связь с другими сервисами или аккаунтами в других сервисах | Да | Да | Нет | Нет | Нет | Да |
Скрытие метаданных*** | Частично | Частично | Частично | Да | Частично | Частично |
Хранение метаданных*** | Да | Да | Да | Нет | Да | Да |
Исчезающие сообщения | Нет | От 5 с. | Нет | От 1 с. | От 1 с. | От 24 ч. + разовый просмотр |
Отключение просмотра ссылок | Нет | Нет | Нет | Да | В «секретном чате» | Нет |
Блокировка скриншотов | Нет | Нет | Нет | Да | В «секретном чате» | Нет |
Предупреждение о скриншотах | Нет | Да | Нет | Нет | Нет | Нет |
** Функция доступна, если все участники беседы используют одну платформу (iOS/Android) и корректные настройки приложения.
*** Настройки приватности, чтобы не показывать частично или целиком другим пользователям следующие метаданные: фото пользователя, другие контакты пользователя, информация об участии в чатах и группах, IP-адрес и время переписки.
*Meta (Facebook) Messenger принадлежит компании Meta, признанной экстремистской организацией в России.
Источник: Лаборатория Касперского
26.07.2023