Личные тайны: как защитить свою переписку в мессенджерах

Рассказывает руководитель проекта «Банки.ру — мобильная связь и интернет» Антонина Самсонова.

В закладки

Сейчас мы пользуемся тем, о чём раньше не могли и мечтать. Интернет на каждом шагу, гаджеты на любой вкус, электронные деньги, телемедицина, «умные» дома.

Но у любой медали есть обратная сторона. За цифровые блага мы вынуждены платить утратой конфиденциальности. В сети «гуляют» наши личные данные, злоумышленники могут залезть в электронный кошелёк, а личная переписка часто становится достоянием общественности.

Можно ли в таких условиях защитить свои тайны и личную жизнь? Давайте разбираться.

От кого мы защищаемся

Чтобы понять, насколько серьёзные методы защиты стоит применять, нужно определиться, от кого мы хотим защитить нашу переписку.

Все мы люди, ситуации и темы для обсуждения бывают разные, у всех есть личная жизнь. Если ваши близкие и коллеги не хакеры, а обычные пользователи, то достаточно простой защиты устройства. Пароль на вход и своевременное обновление операционной системы. И обязательно следить за тем, чтобы ваши устройства (полностью или частично) не попадали в чужие руки.

К примеру, вы общаетесь со смартфона и используете один из следующих мессенджеров: WhatsApp, Viber и Telegram. Сильная сторона этих программ (и их же слабость) — использование номера телефона в качестве уникального идентификатора.

Не имея доступа к номеру, никто в вашу переписку не заберётся. Но номер телефона — это ваша SIM-карта. Любой человек, у которого в руках оказался ваш телефон или сама SIM-карта, автоматически становится вами для мессенджера.

Если вспомнить, как часто злоумышленники совершают кражи данных с помощью перевыпуска SIM-карт, такой способ защиты уже не выглядит надёжным.

Тут нам приходит на помощь двухфакторная аутентификация: если защитить мессенджер ещё и паролем, никто, кроме вас, не доберётся до личных сообщений.

С этим разобрались. А кто ещё может читать ваши сообщения? Прежде всего, администраторы самих мессенджеров, спецслужбы и злоумышленники. И тут всё гораздо интереснее.

End-to-end-шифрование

Большинство специалистов по безопасности признают метод end-to-end-шифрования одним из самых надёжных. Он защищает практически от любого несанкционированного проникновения в переписку.

Данные передаются в сети и хранятся на сервере администратора мессенджера в зашифрованном виде, а ключи доступны только участникам разговора. Таким образом, ни спецслужбы, ни администрация мессенджера, ни злоумышленники доступа к ключам не получат.

Давайте разберёмся, как это работает. В начале сеанса связи у каждого из собеседников генерируются по два ключа. Один ключ — открытый — передаётся по сети собеседнику и работает для зашифровки сообщения.

Второй — закрытый — остаётся на устройстве. Закрытый ключ используется для расшифровки сообщений. Расшифровать данные можно только при помощи этого ключа. Он никуда не передаётся, переписка становится защищённой.

Все ли популярные мессенджеры автоматически используют end-to-end-шифрование? К сожалению, нет. И тут нам приходят на помощь специалисты по безопасности и обнаружению целенаправленных атак.

До недавнего времени большинство мессенджеров не шифровало сообщения. Так, в Telegram end-to-end-шифрование реализовано только в функции секретных чатов, которая появилась в конце 2013 года. В этом случае никто не сможет получить доступ к сообщениям или подменить информацию (ни провайдер, ни разработчик мессенджера).

Важно понимать, что секретные чаты, а значит и end-to-end-шифрование, доступны только пользователям мобильных устройств. В десктопных версиях эта функция отсутствует (исключением является macOS). Недавно end-to-end-шифрование на базе Signal стало использоваться другими программами: WhatsApp, Facebook Messenger и Google Allo.

Viber внедрил протокол Proteus, но это практически Signal. В целом, обычный пользователь может считать свою переписку в этих мессенджерах защищённой. Но от взлома путём кражи аккаунтов iCloud или Google Account эти мессенджеры не защитят, так как они делают резервные копии истории переписки в облаке в незашифрованном виде. Тогда как Signal, WIRE и Telegram не копируют историю переписки в облако.

Андрей Воронов
технический директор Cezurity

Опасные и безопасные сети

Сейчас много разговоров ведётся о небезопасности открытых Wi-Fi. О том, что при использовании конфиденциальных данных в общих сетях следует соблюдать осторожность. Это, безусловно, так.

Особенное внимание надо уделить платёжным данным. Не рекомендуется использовать мобильный банк в общей сети Wi-Fi, так как пароль легко перехватить (а также подсмотреть через плечо).

А что же с мессенджерами? Как ни странно, открытые Wi-Fi-сети не представляют никакой угрозы тайне вашей переписки, если мессенджер использует end-to-end-шифрование. Если же ваши данные не шифруются, то легко могут «утечь» в сеть.

Большой брат следит за тобой

Любимая страшилка со времен разоблачений Сноудена состоит в том, что спецслужбы, хоть наши, хоть чужие, постоянно за всеми следят.

На этой волне люди начинают защищаться любыми доступными способами: заклеивают глазки камер на устройствах, удаляются из социальных сетей, используют вымышленные аккаунты. Тайна переписки в таких условиях становится ещё важнее для пользователя.

Давайте взглянем трезво, могут ли спецслужбы получить доступ к нашей переписке?

Предположим, администрация мессенджера не использует end-to-end-шифрование, но шифрует данные, передаваемые по сети. То есть перехватывать их нет смысла.

Но на сервере мессенджера они хранятся в открытом, либо в легко дешифруемом администрацией виде. Значит, при необходимости у администрации эти данные можно запросить. И она имеет право их предоставить.

Не стоит забывать также и о том, что, как я уже писала выше, получить данные можно, просто завладев устройством пользователя или получив к нему удалённый доступ. Поэтому современные антивирусы, своевременное обновление ПО и оригинальные пароли защитят ваше устройство и вашу личную жизнь от большинства угроз.

Но если всего вышеперечисленного вам недостаточно, чтобы чувствовать себя защищённым, то вот совет от директора департамента анализа защищенности Digital Security Алексея Тюрина.

Если вам нужно максимально безопасно использовать конкретный мессенджер, который не поддерживает end-to-end-шифрование, единственный рабочий и проверенный вариант — использовать шифрование PGP. Это специальная программа и библиотека функций, позволяющая не только шифровать текст, но и использовать цифровую подпись для файлов и данных.

Зашифрованные PGP данные представляют собой текст, который можно отправить в мессенджере, по почте, распечатать на принтере и передать лично. Ни администраторы мессенджера, ни злоумышленники не смогут посмотреть содержимое вашей переписки.

Но нужно помнить о метаданных: им всё ещё доступен список собеседников, время отправки сообщений и IP-адрес, по которому можно установить ваше местоположение с точностью до города.

Алексей Тюрин
директор департамента анализа защищенности Digital Security

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Антонина Самсонова", "author_type": "self", "tags": [], "comments": 13, "likes": 25, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 29780, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 29780, "author_id": 38001, "diff_limit": 1000, "urls": {"diff":"\/comments\/29780\/get","add":"\/comments\/29780\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/29780"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

13 комментариев 13 комм.

Популярные

По порядку

Написать комментарий...
4

Во-первых, не двухфакторная, а двухшаговая.
Во-вторых, не идентификация, а аутентификация.
В-третьих, пароль мобильного банка нельзя перехватить прослушивая Wi-Fi сеть, так как для передачи данных используются безопасные протоколы типа HTTPS.

Ответить
1

Думаю все таки двухфакторная, так как имеется ввиду два фактора аутентификации (фактор знания - пароль, и фактор владения - номер телефона).

Ответить
0

Совершенно верно, однако предполагается именно физическое владение. Выясняется, что физически сим карта вроде в твоём телефоне, но оператор сделал перевыпуск SIM-карты по поддельному документу и всё. Ты уже не владеешь.

Ответить
–1

Распространитель wi-fi сети может подменить dns сервер и заменить сайт банка на свое зеркало. При этом все будет происходить через https.

Ответить

Комментарий удален

2

Верно.
Но есть способ вроде 301 редиректа на другой домен с юникод символом вместо одной из букв (как было с apple.com / аpple.com)

info: https://en.wikipedia.org/wiki/IDN_homograph_attack

Ответить
0

На счёт подмены DNS, а как сайт сможет обмануть проверку подлинности сертификата браузером?

Ответить
–1

Например поддельные ssl сертификаты. Поищите информацию про скандал с Symantec.
Второй вариант - бэкдоры. Heartbleed и другие.

Ответить
2

Статья — вероятно, попытка собрать целевой трафик. Если это экспертиза, то откровенно слабая. Способов доступа к личным данным существенно больше, чем перечисляет автор.

Например, атака на Андроид сегодня практически бесполезна, по соотношению затраты\результат. Вместе с тем, весьма успешными являются атаки на устройства. Прямо сейчас, когда я пишу этот комментарий, топовые смартфоны одного из лидеров мирового рынка, отдают переписку и WhatsApp, и Viber — в открытом виде, из базы на устройстве. С помощью штатной утилиты, доступной у них на сайте. Без специальных знаний, без номера телефона, без SIM.

И таких открытий у автора впереди ещё много...

Ответить

Комментарий удален

1

Hidden-сервис (prop224 с HidServAuth) на VPS в нейтральной стране, джаббер с авторизацией по клиентскому сертификату и плагином, не пропускающем нешифрованые сообщения, сообщения между клиентами шифруются GPG, история не сохраняется, вся клиентская сторона хранится в стегано-контейнере внутри порнофильма. Ничего не забыл? Да, главное - не болтать.

Ответить
1

[…Telegram… использование номера телефона в качестве уникального идентификатора…]
Мда, так публично обоср***** это надо уметь.

Ответить
1

Если никто не знает что разговоры ведете именно вы, то никто не сможет их отслеживать. Вы скажите что с вашего устройства будете чатится именно вы? Правильно сейчас это так, но это наводит на идею мессенджера который ведет одновременно 1000 разговоров с 1000 мессенджеров из вашего города и других городов и стран. Причем 999 из бесед ведут чат боты между собой, только 1 ведете вы с реальным собеседником. Кто замутит стартап или добавит себе фичу?

Ответить
0

1. Кроме Телеграм есть более защищённые мессенджеов корп. класса. Краем уха слышал про VIPole (не реклама) - там вроде можно свой сервак поднять локальный и работать с ним через VPN.
2. VPN как святая святых: нормально настроить правила и запретить прямое «локальное» взаимодействие девайсов (proxy-arp) - только с доверенными узлами интрасети и интернетом через общий NAT с необходимыми оговорками.
3. Голос: тот же локальный, сурово «кастрированный» от любых прибамбашек Asterisk внутри интрасети с доступом только при VPN-подключении - гарантия защиты от прослушки на уровне конечных провайдеров «последней мили» каждого из польщователей (как минимум разговоров между пользователями будут по шифрованным каналам бегать ). Звонки во внешний мир - также через заищённый канал до поставщика терминации и приучить сотрудников «фильтровать базар», т.к. на узле поставщика терминации 100% установлен СОРМ).
И думать головой когда фоткаешься где попало (геопозиция и фон сверху/вокруг - всё давно анализируется и формирует стереотипы поведения, «любимые места» и прочие «наводящие метки» о вас).
И это далеко не всё.. :)

Ответить
0

Кстати, давным-давно в Европе/США существуют сервисы, продающие виртуальные сим-карты. Тот же Телеграм легко регится (код по смс приходит - через web-интерфейс его можно вытащить сразу), затем аннулируешь сим и досвидос! Но скорее всего очень скоро это тоже будет отслеживаться.
И вообще: кому есть что скрывать всерьёз - через интернет не общается )) Знаю пару крупных бизнесменов, которые «назло врагу» (какому?) ходят со старыми Нокиями (без 3G). И не меняют их годами, что наводит на определённые мысли...

Ответить

Комментарий удален

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления