11 небезопасных систем обмена сообщениями

356

Автор: Brian Donohue

“Лаборатория Касперского” опубликовала статью о наиболее распространенных системах обмена сообщениями, которые, несмотря на их популярность, не являются безопасными и не слишком трепетно относятся с понятию тайны переписки.

Предыстория

Организация EFF присуждала высокие и низкие оценки каждому сервису в семи категориях. В данную подборку попали сервисы, которые не набрали ни одного балла, а также те системы, которые удовлетворяют одному или двум критериям из списка:

  1. Шифруются ли данные при передаче?
  2. Защищены ли данные от чтения сервис-провайдерами?
  3. Может ли пользователь удостовериться в подлинности личности своего собеседника?
  4. Защищена ли история переписки от расшифровки при перехвате текущего ключа (в этом вопросе подразумевается, что ключ шифрования должен постоянно меняться, а использованные ключи безопасно удаляться вместе с теми случайными данными, на основе которых они были построены)?
  5. Открыт ли программный код решения?
  6. Описаны ли детально используемые методы шифрования?
  7. Проводился ли за последние 12 месяцев независимый аудит безопасности?

Семь положительных ответов набрали сервисы, следующие лучшим методикам защиты от шпионажа как со стороны правительства, так и со стороны преступников, а также сбора данных различными корпорациями. Следует отметить, что ни EFF, ни Kaspersky Daily не лоббируют интересы кого-либо из конкретных разработчиков представленных в списке программ. Единственная цель рейтинга — показать, какие из приложений систематически пренебрегают лучшими методами по защите пользователей. Выбор в любом случае за вами.

Очень плохо: ни одного балла

Ноль звездочек получили только два мобильных приложения — Mxit и QQ. Вероятно, вы никогда о них не слышали и тем более не использовали. И не начинайте: эти приложения вообще не защищают ваши данные. Даже шифровать сообщения в процессе передачи они не умеют.

Один балл, или Все еще очень плохо

К сожалению, четыре популярных приложения, которыми пользуются многие из нас, получили всего лишь одну звезду безопасности из семи.

Yahoo Messenger

Отстающий среди защищенных мессенджеров Yahoo шифрует переписку пользователей только во время передачи данных. Поэтому в компании Yahoo могут читать вашу переписку или передавать ее в правоохранительные органы (конечно, если будут вынуждены). Следует уточнить, что Yahoo ежегодно публикует открытые отчеты, где подробно рассказывается, сколько информации компания готова предоставить по запросу правительства.

Yahoo! Messenger не поддерживает верификацию контактов и не защищает историю переписки (злоумышленник, укравший текущий ключ, прочитает и старые сообщения). Код мессенджера Yahoo недоступен для оценки сторонними специалистами, а используемые методы шифрования нигде подробно не описаны. И наконец, компания уже больше года не приглашала специалистов для проведения независимого аудита безопасности Yahoo! Messenger.

Впрочем, будем справедливы по отношению к компании: в августе этого года Yahoo! и Google сообщили о совместной работе по шифрованию своих почтовых сервисов. Так что есть надежда, что в будущем Yahoo! Messenger, вероятно, станет ощутимо безопаснее.

skype

Практически повсеместно используемый интернет-мессенджер и видеочат от Microsoft получил такую же низкую оценку, как и Yahoo! Messenger. Как и Yahoo, свою единственную звездочку Skype заработал за шифрование данных при их передаче — и ни одного балла более не получил. Мессенджер плохо показал себя в вопросе обеспечения целостности каналов связи. Кроме того, в адрес Skype звучали обвинения в содействии правительственному шпионажу — компания Microsoft все отрицала, но в такой ситуации глупо верить на слово.

Blackberry Messenger

Мессенджер BlackBerry оценили так же «высоко», как Yahoo! Messenger и Skype. Сервис, принадлежащий компании, ранее известной как RIM (или Research In Motion), шифрует данные при передаче (что хорошо), но поставщик услуг может прочесть ваши сообщения, сервис не позволяет пользователям верифицировать контакты и не защищает прошлую переписку на случай кражи ключей. BlackBerry также не предоставляет код для оценки третьей стороне, не ведет подробную документацию по методам защиты данных и не проводила независимую проверку безопасности весь последний год.

America Online Instant Messenger

AIM, он же America Online Instant Messenger, пользовался бешеной популярностью с конца 90-х и до середины 2000-х. Сейчас его популярность сократилась, особенно среди молодого поколения, но множество людей все еще пользуются AIM. К сожалению, как и другие упомянутые выше и ниже мессенджеры, система передачи сообщений от AOL шифрует данные при передаче, но не более.

Отметим еще несколько менее популярных, но не менее небезопасных систем. Кросс-платформенное приложение Secret позиционирует себя как безопасное, а почтовый клиент от Hushmail именует себя приватным, хотя оба решения шифруют данные только при передаче. Платформы Kik и eBuddy XMS также шифруют данные только при передаче, хотя и вводят пользователей в заблуждение рекламными заявлениями о своей безопасности.

Два балла: уже лучше, но есть куда расти

Популярный сервис для обмена видеосообщениями и картинками SnapChat заработал две звезды: за шифрование данных при передаче от отправителя к получателю и за проведение в прошлом году независимого аудита. Как и многие другие решения в этом списке, SnapChat стал объектом серьезной критики: не столько из-за безопасности работы, сколько из-за неспособности удержать поведение пользователей в рамках собственной концепции этики.

Snapchat

Основная «фишка» SnapChat в «эфемерности» общения: сообщения, фото или видео доступны только в определяемый отправителем период времени, по истечении которого данные самоуничтожаются. Тем не менее получатель может сделать скриншот (хотя в этом случае отправитель получит соответствующее уведомление). Больше беспокойства вызывает приложение SnapHack, способное полностью дискредитировать это общение без обязательств: SnapHack позволяет получателям сохранять «снэпы» (так называют сообщения в SnapChat). Наконец, исследователи неоднократно сообщали, что изображения никогда полностью и не уничтожались, так что при желании «снэпы» можно восстановить.

Hangouts

Кросс-платформенное приложение Google, входящее в топ-3 по популярности среди мессенджеров в списке EFF, также получило две звезды. Hangouts — это не только встроенный в Gmail и Google Plus чат, но и установленное по умолчанию приложение для обмена сообщениями во всех Android-устройствах. Google шифрует ваши сообщения при передаче, и компания проводила независимый аудит в прошлом году. И тем не менее интернет-гигант может читать вашу переписку, пользователи Hangouts не могут проверить, кто является их собеседником, в Hangouts не реализована PFS, код остается закрытым, а система безопасности чата не задокументирована должным образом.

Facebook Messenger

Facebook Messenger — новая мобильная версия сервиса обмена сообщениями от социальной сети Facebook, также получила две звезды. Популярный чат-сервис от Facebook шифрует данные при передаче и недавно проходил аудит, но не более того.

viber

Viber, пожалуй, наименее популярный чат среди решений, заработавших две звезды. Хотя этот мессенджер называют приватным, в действительности он только шифрует данные при передаче и проводил аудит в прошлом году.

WhatsApp

Многообещающая ситуация складывается вокруг WhatsApp, невероятно популярного (и очень дорогого) сервиса обмена сообщениями для мобильных устройств. WhatsApp считается своего рода альтернативой SMS-сообщениям (хотя и работает по сети Интернет, а не по сети мобильной сотовой связи). Хотя EFF наградила сервис всего двумя звездами, велика вероятность, что со временем WhatsApp подтянется.

На этой неделе WhatsApp объявил о сотрудничестве с криптографической фирмой Open Whisper Systems. Это партнерство действительно может значительно повысить безопасность WhatsApp в считаные месяцы, ведь такие решения компании Whisper Systems, как Signal, RedPhone, SilentText и SilentPhone, заработали все семь звездочек в рейтинге EFF.

И это хорошая новость: если один из наиболее популярных сервисов обмена сообщениями в мире уже готов стать плюс ко всему еще и одним из наиболее безопасных, вероятно, конкуренты последуют его примеру.

Источник

Фото (с) ЛК