Новини про те, що WhatsApp обмінюється великими обсягами персональних даних з Facebook з 2016 року, змусили велику кількість нещасних користувачів шукати альтернативний додаток для обміну повідомленнями, який справді поважає їх конфіденційність.
У месенджері повинно бути наскрізне шифрування як основна вимога до будь-якої програми обміну повідомленнями, яка претендує на безпеку та приватність. Це означає, що повідомлення шифруються на Вашому пристрої і можуть бути дешифровані лише на пристрої передбачуваного одержувача.
WhatsApp використовує наскрізне шифрування, тому фактичні повідомлення, таким чином, захищені на платформі. Але це нічого не заважає Facebook зловживати метаданими: інформація про те, з ким Ви спілкуєтесь, звідки, в який час, як часто та з якого пристрою.
Відкритий вихідний код – ще один важливий показник безпеки служби. Публічно публікуючи код програми, кожен може вивчити його, щоб переконатися, що програма робить те, що повинна робити. Відкритий код є одним із найкращих показників того, що додатку можна довіряти.
Пропонуємо перелік найкращих альтернатив WhatsApp, які використовують наскрізне шифрування (E2EE).
Signal
Плюси:
- Безкоштовний;
- Дуже добре шифрування;
- Майже відсутні метадані;
- Незалежний аудит;
- Безшовні для використання на Android;
- Зникаючі повідомлення;
- Текстовий, голосовий та відеогруповий чат E2EE.
Мінуси:
- Потрібен діючий номер телефону для реєстрації;
- Розміщений на веб-сервісах Amazon (AWS).
Протокол обміну повідомленнями Signal – це наскрізний протокол обміну повідомленнями, розроблений Signal Foundation, неприбутковою організацією, заснованою криптографом та активістом конфіденційності Моксі Марлінспайк. Протокол Signal є відкритим вихідним кодом, він пройшов професійний аудит на наявність уразливостей у системі безпеки і широко вшановується своєю криптографічною надійністю.
Через якість протоколу Signal він використовується різними сторонніми програмами обміну повідомленнями для забезпечення надійного наскрізного шифрування повідомлень. До них належать WhatsApp, Facebook Messenger і Skype, на відміну від WhatsApp та інших сторонніх додатків, що реалізують протокол Signal, однак програма Signal від Signal Foundation на 100% є відкритою.
Що важливо, програма Signal та Signal Foundation майже не зберігають метаданих, пов’язаних із використанням програми. Лише “дата та час, коли користувач зареєструвався в Signal, і остання дата підключення користувача до служби Signal”.
На відміну від WhatsApp, Signal призначений замінити звичайний додаток для обміну SMS-повідомленнями Вашого телефону на Android (а не iOS). Тексти, якими обмінюються інші користувачі Signal, наскрізно зашифровуються, а тексти іншим користувачам Signal – ні. Signal попередить вас, коли повідомлення надсилаються незашифрованими.
Це робить Signal дуже прозорим у використанні, але той факт, що користувачі повинні зареєструватися з дійсним номером телефону, щоб зв’язати контакти, також є основним джерелом критики, яку отримує програма. Однак слід зазначити, що контакти зберігаються лише локально, і Signal Foundation не може отримати до них доступ.
На додаток до повідомлень, Signal підтримує зникаючі повідомлення, групові голосові чати E2EE, а тепер групові відеочати до восьми користувачів. Signal – це некомерційна організація, яка покладається на пожертви для діяльності.
Telegram
Плюси:
- Безкоштовний;
- Канали для трансляції повідомлень;
- Боти для управління групами;
- Синхронізація між кількома пристроями (не E2EE);
- Опитування, наклейки, обмін локацією в реальному часі, управління ідентифікацією;
- E2EE 1-1 текстовий, голосовий та відеочат.
Мінуси:
- Проблеми з шифруванням;
- Тільки секретні чати – це E2EE;
- Групові чати (текстові чи голосові) не є E2EE;
- Збирає безліч метаданих;
- Немає групових відеочатів;
- Потрібен діючий номер телефону для реєстрації;
- Штаб-квартира знаходиться в ОАЕ, яка не відома правами людини та приватністю.
З більш ніж 200 мільйонами користувачів Telegram є дуже популярною альтернативою WhatsApp. Великою частиною цієї популярності є поширене уявлення про те, що Telegram є надзвичайно безпечним, лише низка урядів, зокрема Індонезії, Росії та Ірану, намагаються заблокувати або заборонити програму.
Однак є кілька великих застережень щодо безпеки, яку Telegram пропонує своїм користувачам. Звичайні “хмарні повідомлення” за замовчуванням, до яких можна отримати доступ на будь-якому пристрої користувача, зашифровуються в процесі передачі та зберігаються на серверах Telegram, але вони не шифруються наскрізним способом . Тільки “секретні чати” від клієнта до клієнта шифруються наскрізно. Секретні чати недоступні для груп чи каналів.
Власне внутрішнє шифрування MTProto, що використовується для захисту зв’язку в Telegram (незалежно від E2EE чи іншим чином), зазнало критики з боку експертів із безпеки, хоча нова версія ( MTProto 2.0 ) ще не була офіційно перевірена. API Telegram та всі програми Telegram є відкритими, але його серверна сторона – ні.
Інша проблема полягає в тому, що Telegram збирає велику кількість метаданих від користувачів: “Ми можемо збирати такі метадані, як Ваша IP-адреса, пристрої та програми, які Ви використовували, історія змін імені користувача тощо”.
Окрім міркувань безпеки, ключовою особливістю, що сприяє популярності Telegram (особливо в таких репресивних країнах, як Іран, де ним користується понад 40 мільйонів користувачів, незважаючи на спроби уряду регулювати використання сервісу), є підтримка “каналів”. Користувачі можуть створювати канали та публікувати їх на будь-якій кількості інших користувачів.
Громадські канали можуть створюватися за допомогою псевдоніма та URL-адреси, на яку може підписатися кожен, що робить Telegram потужним інструментом організації опору та розповсюдження інформації в репресивних країнах.
Telegram фінансується за рахунок пожертв (зокрема, від його власного засновника Павла Дурова ), хоча можливо, функції монетизації через додаток будуть введені в майбутньому.
Threema
Плюси:
- Для реєстрації не потрібен номер телефону або електронна адреса;
- Майже відсутні метадані;
- Незалежний аудит;
- Швейцарський із власними серверами;
- Відповідає вимогам GDPR;
- Текстовий та голосовий чат групи E2EE;
- Групові опитування та списки розповсюдження (лише для Android).
Мінуси:
- Не безкоштовний;
- Порівняно невелика база користувачів;
- Групові відеодзвінки відсутні.
Threema базується в Швейцарії, країні з дуже суворим законодавством про конфіденційність даних і незалежною від США та Європейського Союзу. Він також володіє власною серверною інфраструктурою, розташованою в Швейцарії.
Усі програми Threema використовують бібліотеку криптографії NaCl із відкритим кодом для кінцевого шифрування всіх комунікацій, і всі вони нещодавно були перевірені (у 2020 році) професіоналами безпеки.
Адреса електронної пошти або номер телефону не потрібні для реєстрації облікового запису, і можна придбати Threema для Android анонімно, використовуючи біткоїни. Threema стверджує, що це дозволяє Вам надсилати текстові повідомлення та здійснювати дзвінки анонімно.
Той факт, що додаток не безкоштовний, для когось, напевно, буде болісним явищем, але приблизно в 3 долари США (одноразова покупка), навряд чи це призведе до великих фінансових втрат. Однак це може сприяти одному з найбільших мінусів Threema: його користувацька база порівняно невелика.
Додаток Android має списки розповсюдження, які дозволяють надсилати повідомлення кільком окремим одержувачам. На додаток до повністю групових текстових та голосових дзвінків E2EE, Threema пропонує функцію групового опитування. Відеодзвінки E2EE підтримуються, але не для груп.
Wickr Me
Плюси:
- Безкоштовний;
- Створений для короткочасного обміну повідомленнями;
- Особливість антицензури;
- Текстовий та голосовий чат групи E2EE;
- Для реєстрації не потрібен номер телефону або електронна адреса.
Мінуси:
- Самі програми не є відкритими;
- Аудити безпеки не публікуються;
- Відсутній відеочат (хоча доступний у безкоштовній Pro-версії програми).
Існує три програми Wickr, причому безкоштовна версія Wickr Me є версією, призначеною для особистого користування. Найнижчий рівень більш схожого Wickr Pro також безкоштовний, хоча він вимагає підтвердження Вашої особи під час запуску.
Wickr Me розміщує короткочасні обміни повідомленнями, причому повідомлення зникають як з пристроїв, що надсилають, так і в одержувачів через встановлений проміжок часу (за замовчуванням шість днів).
Ви також можете встановити таймер запису після прочитання, щоб визначити, скільки часу існує повідомлення перед самознищенням після його прочитання. Якщо його не прочитати, воно знищиться в кінці довжини таймера повідомлення. Усі метадані очищаються після відкриття або закінчення терміну дії повідомлення.
Wickr рекламує себе як програмне забезпечення з відкритим кодом, але є кілька основних застережень до цього твердження. Код основного наскрізного протоколу шифрування wickr-crypto-c, який лежить в основі всіх програм Wickr, доступний на Github для ознайомлення кожному, але обмеження ліцензування означають, що його не можна по-справжньому описати як відкритий код.
Однак з точки зору безпеки більш серйозним є те, що, хоча основний криптопротокол доступний, код самих програм Wickr – ні. Wickr каже, що його код пройшов безліч незалежних перевірок безпеки, але повні результати цих перевірок не є загальнодоступними.
Для реєстрації в службі не потрібен номер телефону або електронна адреса. До кімнати або наскрізного зашифрованого текстового або голосового групового чату можна запросити до 10 людей. Відеоконференції недоступні в Wickr Me, хоча вони підтримуються в додатку Wickr Pro (включаючи груповий чат E2EE з усіма учасниками кімнати).
Wickr розміщується у мережах загальнодоступних серверів (таких як Google та AWS), але співпрацює з Psiphon, щоб запропонувати Wickr Open Access, потужну функцію проти цензури.
Wickr Me безкоштовний, але фінансується за допомогою преміальних додатків Wickr Pro та Enterprise.
Wire
Плюси:
- Є безкоштовний варіант;
- E2EE текстові, голосові та відео (чотири учасники) групові чати;
- Синхронізується до восьми пристроїв;
- Розширені функції відеоконференцій.
Мінуси:
- Досить багато метаданих, що реєструються (і, можливо, зберігаються у відкритому тексті);
- Номер телефону або електронна адреса, необхідні для реєстрації.
Wire стверджує, що базується в Швейцарії, але належить американській компанії, тобто вона повинна відповідати запитам США. Wire зберігає досить багато метаданих.
Протягом багатьох років Wire зберігав список усіх користувачів, з якими клієнт контактував у відкритому тексті на своїх серверах, доки обліковий запис не буде видалено, і незрозуміло, чи продовжується така практика. Однак довідка про конфіденційність Wire дає зрозуміти, що реєструє такі дані, як учасники групового чату та визначені користувачем папки, що використовуються для організації чатів.
Функціональна перевага цього полягає в тому, що це дозволяє Wire працювати на кількох пристроях так, як це робить більшість програм обміну повідомленнями E2EE (включаючи Signal).
Wire використовує протокол Proteus для забезпечення наскрізного шифрування текстових повідомлень. Протей – це ранній форк від коду, який надалі став протоколом сигналів. Proteus та всі додатки Wire пройшли публічний аудит.
Голосові та відеодзвінки наскрізно зашифровуються за допомогою DTLS із рукостисканням SRTP. Для досягнення наскрізного шифрування для групових відеодзвінків кожен потік даних незалежно шифрується. Однак це вимагає великої пропускної здатності, тому відео-чати обмежені чотирма учасниками.
Додаток підтримує вдосконалені функції відеоконференцій, які сподобаються діловим користувачам, зокрема, спільний доступ до екрану, запис та розширене планування зустрічей.
Wire прагне підштовхнути користувачів до своїх преміальних продуктів Pro та Enterprise, але доступна безкоштовна версія, яка пропонує функції, подібні до програми Pro.
Element (був Riot.im)
Плюси:
- Є безкоштовний варіант;
- “Мости” для сумісності з іншими програмами;
- E2EE текстовий, голосовий та відео (без обмежень) груповий чат;
- Для реєстрації не потрібен номер телефону або електронна адреса.
Мінуси:
- Питання щодо надійності мережі серверів Matrix;
- Не повністю перевірений.
Усі інші програми обміну повідомленнями, про які йдеться в цій статті, покладаються на централізовану серверну мережу для функціонування (хоча, як і у випадку використання AWS, це може бути високо розподілена мережа).
Натомість Element побудований так, що користувачі можуть налаштувати власні сервери, використовуючи протокол зв’язку Matrix, або підключитися до серверів Matrix, налаштованих іншими користувачами.
Сервери Matrix сумісні, тому будь-який користувач будь-якого клієнта Matrix (Element – найпопулярніший з них) може спілкуватися з будь-яким іншим користувачем Matrix. “Мости” матриці навіть дозволяють спілкуватися з користувачами інших популярних платформ обміну повідомленнями, таких як Signal, Slack або навіть WhatsApp.
Матриця (і, отже, Element) використовує реалізацію Olm алгоритму Double Ratchet, а Megolm використовується для групових комунікацій. Усі додатки Element, а також сам протокол Matrix є відкритими, але не були офіційно перевірені.
Електронна адреса або номер телефону не потрібні для реєстрації в Element, хоча їх можна додати, щоб полегшити узгодження контактів.
Усі текстові, голосові та відеочати наскрізно зашифровані (з повною підтримкою групових відеочатів, які також дозволяють спільний доступ до екрану).
Keybase
Плюси:
- Безкоштовний (модель фінансування незрозуміла);
- Текстові чати E2EE з підтримкою громадських та приватних каналів;
- Може зв’язуватися з людьми через їхні профілі в соціальних мережах із підтвердженням PGP;
- Синхронізується на кількох пристроях;
- Повідомлення, що самознищуються;
- Криптовалютні гаманці;
- 250 ГБ безкоштовного сховища на користувача.
Мінуси:
- Належить Zoom;
- Багато метаданих реєструється (більшість із них ділиться в загальнодоступному блокчейні);
- Немає голосового або відеочат.
Keybase – це абсолютно безкоштовний месенджер з відкритим кодом (FOSS), який наскрізно шифрує всі тексти. Голосові та відеодзвінки не підтримуються, але груповий чат E2EE з підтримкою приватних та загальнодоступних “Команд” (тобто каналів) є. Файли та документи, що надсилаються між користувачами, шифруються та зберігаються на серверах Keybase (якщо Ви не робите їх загальнодоступними, і в цьому випадку вони не зашифровуються), але вони не шифруються наскрізним способом.
Keybase примітний тим, що дозволяє Вам підключатися до інших, використовуючи їхні ідентифікаційні дані в соціальних мережах (Twitter, GitHub, Reddit, Hacker News та Mastodon), які перевіряються за допомогою ключів шифрування PGP. Номер телефону або електронна адреса не потрібні, і програма синхронізуватиметься на кількох пристроях.
Наскрізне шифрування на основі PGP, яке використовує Keybase, є надійним та пройшло повний незалежний аудит у 2019 році. Додаток також пропонує повідомлення про самознищення; боти для автоматизації завдань Keybase; Гаманці Bitcoin, Zcash та Stellar; повна підтримка PGP для шифрування та дешифрування повідомлень та файлів; та 250 ГБ безкоштовного сховища на користувача.
Однак повідомлення зберігаються на централізованих серверах (базуються в США), на яких реєструється тривожна кількість особистих даних.
Можливо, ще більше викликає занепокоєння те, що зараз Keybase належить Zoom – компанії, яку широко критикують за численні порушення конфіденційності та безпеки, і яка може зазнавати тиску з боку китайського уряду. Той факт, що незрозуміло, яку мету переслідує Zoom, пропонуючи Keybase безкоштовно, також може викликати занепокоєння.
Заключні думки
Як заміна WhatsApp як месенджера загального призначення, який щиро поважає вашу конфіденційність, Signal є очевидним вибором. Проблеми безпеки, пов’язані з Telegram, ускладнюють рекомендацію, хоча функція “каналів” залишається потужним інструментом організації опору в обмежених країнах.
Інші обговорені вище програми пропонують корисні функції, які сподобаються тим, хто їх потребує, будь то анонімна реєстрація, інструменти ділової співпраці чи федерація серверів. Коли Ви повертаєте свою конфіденційність у цифрову епоху, все, що Ви робите для переміщення більшої кількості своїх особистих даних за надійним шифруванням, є важливим кроком на шляху створення Інтернету, який ставить людей на перше місце.
У чому полягає небезпека використання WhatsApp?
З 2016 року, WhatsApp має переважну більшість транзакційних даних своїх користувачів і метадані з Facebook. Нова декларація про конфіденційність, з якою користувачі повинні погодитись до 15 травня 2021 року або використовувати доступ до своїх облікових записів, “роз’яснює” цю ситуацію.
Інформація, яку WhatApp надає Facebook, включає Вашу IP-адресу, ідентифікатор пристрою, операційну систему, деталі браузера, інформацію про мобільну мережу, кому Ви надсилаєте повідомлення, як довго і як часто Ви взаємодієте з ними, дані про транзакції та платежі тощо.
Джерело: Protonmail
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.