11 небезопасных систем обмена сообщениями

Организация EFF недавно оценила популярные мобильные и Интернет-мессенджеры с точки зрения безопасности и приватности переписки. Встречайте список «двоечников»

11 Unsecure Mobile and Internet Messaging Apps

Чуть больше недели назад мы рассказали вам о самых безопасных системах обмена сообщениями, выбранных по результатам исследования некоммерческой организации EFF, занимающейся вопросами защиты гражданских прав в Интернете. Пришло время поговорить о сервисах, попавших на самое дно списка EFF.

Интересно, что в опубликованном неделю назад списке чатов, создатели которых позаботились о приватности пользовательской переписки, названия были малоизвестными. К сожалению, с системами общения из новой подборки, менее трепетно относящимися к понятию «тайна переписки», ситуация ровно обратная — они у всех на слуху. Поэтому мы подробно расскажем о наиболее распространенных системах обмена сообщениями, хотя упомянем и парочку менее популярных, но совсем уж небезопасных чат-систем — просто чтобы вы знали, чем пользоваться не надо вообще ни в коем случае.

Предыстория

Организация EFF присуждала высокие и низкие оценки каждому сервису в семи категориях. В данную подборку попали сервисы, которые не набрали ни одного балла, а также те системы, которые удовлетворяют одному или двум критериям из списка:
1. Шифруются ли данные при передаче?
2. Защищены ли данные от чтения сервис-провайдерами?
3. Может ли пользователь удостовериться в подлинности личности своего собеседника?
4. Защищена ли история переписки от расшифровки при перехвате текущего ключа (в этом вопросе подразумевается, что ключ шифрования должен постоянно меняться, а использованные ключи безопасно удаляться вместе с теми случайными данными, на основе которых они были построены)?
5. Открыт ли программный код решения?
6. Описаны ли детально используемые методы шифрования?
7. Проводился ли за последние 12 месяцев независимый аудит безопасности?

Семь положительных ответов набрали сервисы, следующие лучшим методикам защиты от шпионажа как со стороны правительства, так и со стороны преступников, а также сбора данных различными корпорациями. Следует отметить, что ни EFF, ни Kaspersky Daily не лоббируют интересы кого-либо из конкретных разработчиков представленных в списке программ. Единственная цель рейтинга — показать, какие из приложений систематически пренебрегают лучшими методами по защите пользователей. Выбор в любом случае за вами.

Очень плохо: ни одного балла

Ноль звездочек получили только два мобильных приложения — Mxit и QQ. Вероятно, вы никогда о них не слышали и тем более не использовали. И не начинайте: эти приложения вообще не защищают ваши данные. Даже шифровать сообщения в процессе передачи они не умеют.

Один балл, или Все еще очень плохо

К сожалению, четыре популярных приложения, которыми пользуются многие из нас, получили всего лишь одну звезду безопасности из семи.

11 Unsecure Mobile and Internet Messaging Apps - Yahoo!

Отстающий среди защищенных мессенджеров Yahoo шифрует переписку пользователей только во время передачи данных. Поэтому в компании Yahoo могут читать вашу переписку или передавать ее в правоохранительные органы (конечно, если будут вынуждены). Следует уточнить, что Yahoo ежегодно публикует открытые отчеты, где подробно рассказывается, сколько информации компания готова предоставить по запросу правительства.

Yahoo! Messenger не поддерживает верификацию контактов и не защищает историю переписки (злоумышленник, укравший текущий ключ, прочитает и старые сообщения). Код мессенджера Yahoo недоступен для оценки сторонними специалистами, а используемые методы шифрования нигде подробно не описаны. И наконец, компания уже больше года не приглашала специалистов для проведения независимого аудита безопасности Yahoo! Messenger.

Впрочем, будем справедливы по отношению к компании: в августе этого года Yahoo! и Google сообщили о совместной работе по шифрованию своих почтовых сервисов. Так что есть надежда, что в будущем Yahoo! Messenger, вероятно, станет ощутимо безопаснее.

11 Unsecure Mobile and Internet Messaging Apps - Skype

Практически повсеместно используемый интернет-мессенджер и видеочат от Microsoft получил такую же низкую оценку, как и Yahoo! Messenger. Как и Yahoo, свою единственную звездочку Skype заработал за шифрование данных при их передаче — и ни одного балла более не получил. Мессенджер плохо показал себя в вопросе обеспечения целостности каналов связи. Кроме того, в адрес Skype звучали обвинения в содействии правительственному шпионажу — компания Microsoft все отрицала, но в такой ситуации глупо верить на слово.

11 Unsecure Mobile and Internet Messaging Apps - Blackberry Messenger

Мессенджер BlackBerry оценили так же «высоко», как Yahoo! Messenger и Skype. Сервис, принадлежащий компании, ранее известной как RIM (или Research In Motion), шифрует данные при передаче (что хорошо), но поставщик услуг может прочесть ваши сообщения, сервис не позволяет пользователям верифицировать контакты и не защищает прошлую переписку на случай кражи ключей. BlackBerry также не предоставляет код для оценки третьей стороне, не ведет подробную документацию по методам защиты данных и не проводила независимую проверку безопасности весь последний год.

11 Unsecure Mobile and Internet Messaging Apps - AIM

AIM, он же America Online Instant Messenger, пользовался бешеной популярностью с конца 90-х и до середины 2000-х. Сейчас его популярность сократилась, особенно среди молодого поколения, но множество людей все еще пользуются AIM. К сожалению, как и другие упомянутые выше и ниже мессенджеры, система передачи сообщений от AOL шифрует данные при передаче, но не более.

Отметим еще несколько менее популярных, но не менее небезопасных систем. Кросс-платформенное приложение Secret позиционирует себя как безопасное, а почтовый клиент от Hushmail именует себя приватным, хотя оба решения шифруют данные только при передаче. Платформы Kik и eBuddy XMS также шифруют данные только при передаче, хотя и вводят пользователей в заблуждение рекламными заявлениями о своей безопасности.

Два балла: уже лучше, но есть куда расти

11 Unsecure Mobile and Internet Messaging Apps - Snapshot

Популярный сервис для обмена видеосообщениями и картинками SnapChat заработал две звезды: за шифрование данных при передаче от отправителя к получателю и за проведение в прошлом году независимого аудита. Как и многие другие решения в этом списке, SnapChat стал объектом серьезной критики: не столько из-за безопасности работы, сколько из-за неспособности удержать поведение пользователей в рамках собственной концепции этики.

Основная «фишка» SnapChat в «эфемерности» общения: сообщения, фото или видео доступны только в определяемый отправителем период времени, по истечении которого данные самоуничтожаются. Тем не менее получатель может сделать скриншот (хотя в этом случае отправитель получит соответствующее уведомление). Больше беспокойства вызывает приложение SnapHack, способное полностью дискредитировать это общение без обязательств: SnapHack позволяет получателям сохранять «снэпы» (так называют сообщения в SnapChat). Наконец, исследователи неоднократно сообщали, что изображения никогда полностью и не уничтожались, так что при желании «снэпы» можно восстановить.

11 Unsecure Mobile and Internet Messaging Apps - Google Hangouts

Кросс-платформенное приложение Google, входящее в топ-3 по популярности среди мессенджеров в списке EFF, также получило две звезды. Hangouts — это не только встроенный в Gmail и Google Plus чат, но и установленное по умолчанию приложение для обмена сообщениями во всех Android-устройствах. Google шифрует ваши сообщения при передаче, и компания проводила независимый аудит в прошлом году. И тем не менее интернет-гигант может читать вашу переписку, пользователи Hangouts не могут проверить, кто является их собеседником, в Hangouts не реализована PFS, код остается закрытым, а система безопасности чата не задокументирована должным образом.

11 Unsecure Mobile and Internet Messaging Apps - Facebook Messenger

Facebook Messenger — новая мобильная версия сервиса обмена сообщениями от социальной сети Facebook, также получила две звезды. Популярный чат-сервис от Facebook шифрует данные при передаче и недавно проходил аудит, но не более того.

11 Unsecure Mobile and Internet Messaging Apps - Viber

Viber, пожалуй, наименее популярный чат среди решений, заработавших две звезды. Хотя этот мессенджер называют приватным, в действительности он только шифрует данные при передаче и проводил аудит в прошлом году.

11 Unsecure Mobile and Internet Messaging Apps - Whatsapp

Многообещающая ситуация складывается вокруг WhatsApp, невероятно популярного (и очень дорогого) сервиса обмена сообщениями для мобильных устройств. WhatsApp считается своего рода альтернативой SMS-сообщениям (хотя и работает по сети Интернет, а не по сети мобильной сотовой связи). Хотя EFF наградила сервис всего двумя звездами, велика вероятность, что со временем WhatsApp подтянется.

На этой неделе WhatsApp объявил о сотрудничестве с криптографической фирмой Open Whisper Systems. Это партнерство действительно может значительно повысить безопасность WhatsApp в считаные месяцы, ведь такие решения компании Whisper Systems, как Signal, RedPhone, SilentText и SilentPhone, заработали все семь звездочек в рейтинге EFF.

И это хорошая новость: если один из наиболее популярных сервисов обмена сообщениями в мире уже готов стать плюс ко всему еще и одним из наиболее безопасных, вероятно, конкуренты последуют его примеру.

Гостиничная ИТ-безопасность: камо грядеши?

Недавно обнаруженная APT-кампания Darkhotel, безусловно, привлекла пристальное внимание к системам безопасности гостиничных сетей во всем мире. Даже с первого взгляда в них легко различить массу уже известных проблем. Например, еще

Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.