Мессенджеры не дают людям ту защищенность, которая им нужна – Степан Коршаков, экс-Telegram

Степан Коршаков, основатель корпоративного мессенджера Actor и экс-разработчик Telegram, написал для ЦП колонку о том, в чем изначальная ошибка всех споров о защищенной переписке, и о том, что дело совсем даже не только в шифровании трафика, а в возможности получения злоумышленником физического доступа к устройству.

Когда заходит речь о том, какой мессенджер защищеннее, говорят обычно о шифровании трафика, совершая при этом большую ошибку: из-за шифрования напрочь забывают о других важнейших составляющих, и это превращается в спор, оторванный от реальной жизни. В которой получить доступ к вашей переписке могут не только перехватывающие трафик: источником утечки может быть и кто-то с физическим доступом к устройству, и даже вы сами.

Простой сценарий: вы в мессенджере пытаетесь переслать важное сообщение одного из ваших собеседников другому, но из-за того, что вы участвуете в нескольких оживленных чатах, список последних диалогов постоянно меняется — и когда вы кликаете, под вашим курсором вместо желаемого адресата внезапно оказывается беседа с десятками посторонних участников. Получается, каким бы невероятным ни было шифрование такого мессенджера, на практике он ненадежный из-за интерфейсного решения.

И в жизни подобные вещи могут оказываться куда важнее шифрования. Одна и та же девушка может отказываться прислать парню откровенные фотографии личным сообщением в соцсети, но в то же время легко делать это в приложении для парочек Couple. Потому что в соцсети легко переслать сообщение кому-то, да и вообще там ее бабушка сидит, а в приложении интимная обстановка для двоих. При этом у соцсети трафик может быть защищеннее, но для девушки это ничего не меняет. И при этом парень все равно технически имеет возможность переслать фотографии кому-то, то есть ключевой оказывается не принципиальная невозможность нарушения приватности (которую пытаются получить шифрованием), а атмосфера.

В Telegram, помимо шифрования, задумывались о таких вещах (поэтому, например, нельзя пересылать сообщения из secret chats), однако там есть свои проблемные места.

Если кто-то получил физический доступ к вашему незаблокированному смартфону, он может авторизоваться за вас на своем устройстве, и благодаря синхронизации вся ваша переписка пойдет и к нему.

Понятно, что со стороны мессенджера сложно полностью обезопасить пользователя от такого, но существует простейшая мера предосторожности: показывать в настройках список устройств, у которых в данный момент есть доступ к аккаунту. Этой мерой пренебрегли, сделав лишь кнопку «terminate all sessions», которой теоретически можно отключить всех злоумышленников, но уже на следующий день никаких гарантий снова не будет.

С secret chats, которые не синхронизируются между устройствами, в Telegram отдельная история: нет однозначных правил, какое из устройств принимает входящий запрос начала чата. Если у вас айфон и Android-планшет, и друг решил создать секретный диалог с вами, то планшет может за вас одобрить запрос, а вы на айфоне увидите уведомление о чате, ведущее в никуда, не поймете, что это было, и пропустите важную беседу. Но это не худший вариант, хуже, если в этот момент под вашим аккаунтом где-то залогинен недруг: он может принять запрос и поговорить с кем-то от вашего имени, а вы об этом даже не узнаете.

Если лично вас сейчас кто-то захочет взломать, он скорее будет использовать подобные вещи, чем расшифровывать трафик. Поэтому и защищаться надо от физического доступа. Как именно? Вот, например, метод защиты: чтобы при запуске мессенджера он выглядел полностью функционирующим, но на самом деле отображал только часть диалогов, и необходимо было сделать еще одну неочевидную операцию, чтобы показал также скрытые. В этом случае, если кто-то физически возьмет ваш смартфон, он увидит милую переписку о погоде и с высокой вероятностью даже не догадается, что это не всё имеющееся. Это напрашивается, но почему-то в этом направлении толком идет только индийский Hike.

Более жесткий вариант — для тех, кто боится, что однажды у него под дулом пистолета потребуют показать всю переписку со всеми скрытыми диалогами. Для них можно сделать так, чтобы при определенных действиях (условно, ввести пароль задом наперед) все помеченные секретными сообщения тут же навсегда удалялись, а остальные выводились.

В таком случае не возникнет даже подозрений «у него должен быть диалог с таким-то»: сам диалог останется и будет выглядеть правдоподобным.

Другая важная вещь, о которой недостаточно говорят: возможность перехода между защищенностью и удобством. Защищенность представляют абсолютным добром для пользователя, но это не так, потому что она требует больших жертв. В Confide сообщения можно читать только по одному слову, водя пальцем по экрану, после чего они удаляются, и при всей надежности это страшно неудобно. Как и веб-версия WhatsApp, которую можно использовать только в связке с Android-смартфоном и при ряде условий: это ради end-to-end шифрования, хотя многие пользователи охотно расстались бы с ним во имя удобной веб-версии.

Как показывают истории с почтой Хиллари Клинтон и тому подобным, люди выбирают удобство коммуникации даже тогда, когда правила прямо предписывают им другой вариант, так что защищенность может быть недостатком.

Зачастую в связи с этим решают «надо найти золотую середину». Но правильнее был бы другой подход: гибкая смена настроек в зависимости от ситуации. Одному и тому же пользователю нужно то «чтобы точно никто не узнал», то «чтобы я потом в истории сообщений это найти мог» (а любое сохранение истории уже бьет по защите). Если бы он мог просто «переводить рычажок» между тремя разными положениями (в идеале в рамках одного и того же диалога), могли бы быть и волки сыты, и овцы целы.

Особенно актуально это при использовании мессенджера в организации: там уже могут существовать разные уровни допуска к информации, и режимы могли бы им соответствовать. В офлайне давно поняли, что для документов полезны разные варианты «secret» и «top secret», а в мессенджерах пока не понимают. Но это еще и технически сложно реализовать: в диалогах «один на один» такой рычажок не проблема встроить, а вот с групповыми чатами совсем другое дело.

В итоге ни Threema, ни TextSecure при своих словах о защищенности не дают людям то, что им реально от защищенности нужно. В эту сторону пошел лишь тот же Telegram, разделив обычные диалоги и secret chats, но тоже недалеко ушел. Во-первых, два варианта — недостаточно гибко, во-вторых, Telegram не доносит внятно до пользователей разницу этих вариантов. Это приводит к тому, что рядовой пользователь считает всю свою переписку там максимально зашифрованной, и может очень неприятно удивиться, узнав, что по умолчанию об end-to-end речи не идет.

В общем, тут еще есть, чем заняться — и при этом мне кажется, что многие мессенджеры, до недавнего времени реализовывавшие стандартную функциональность, теперь более-менее разобрались с ней и готовы перейти к чему-то большему. Поэтому на этом рынке нас в ближайшие годы ждет много интересного.

0
48 комментариев
Написать комментарий...
Tim Gribanov

Сейчас все ломануться делать супер защищенные мессенджеры😂

Ответить
Развернуть ветку
Tim Gribanov

ломанутся*

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Stepan Korshakov

Так разве не уже?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Пейджи Ларр

Ключевой затык еще в том, что сейчас волна помешанности на конфидециальности. А на самом деле 95, если не 99% юзеров она нахрен не нужна. Потому что нет у них ничего такого ради чего кто то будет ломать протоколы.

Ответить
Развернуть ветку
Ирина Черкасова

Все уже давно делают защищенные мессенджеры, а не только Дуров)
Вон даже Воцап апгрейдят
Плюс некоторые мессенджеры изначально были созданы, как защищенные для бизнеса больше
К примеру TigerText или VIPole

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Юлия Котенко

а потому что спички детям не игрушка ))

Ответить
Развернуть ветку
Георгий Лобушкин

Описанное, конечно, относится ко всем типам коммуникаций, не только к защищенным мессенджерам. Но, скажем, если у меня есть опасения, что переписку прочитают на стороне провайдера, то защищенность протокола исключает такой сценарий. Всё остальное — демагогия. Едва ли носитель инсайда при обмене сведениями допускает физический доступ к устройству.

Ответить
Развернуть ветку
Евгений Трифонов
Автор

Пока Степа спит, поотвечаю за него, потому что у нас близкая позиция :)

Написанное тобой хорошо подходит к случаю, когда у человека доступ к гостайне. Но современные мессенджеры очевидно пытаются привлечь гораздо более массовую аудиторию, для которой важнее не проблема «АНБ прочитает мой секретный план», а проблема «ревнивый человек тайно читает переписку собственного супруга/супруги». Сложно не допустить физического доступа к устройству у человека, с которым живешь.

Ответить
Развернуть ветку
Фёдор Скуратов

В таком случае можно или не писать того что бы нельзя было показать или не жить с таким человеком .)
Если серьезно, не в вакууме, то за исключением крайних случаев, подозрительность идет от недоинформированности. Если что-то надо скрыть от партнера, в 99% случаев в быту это связано с изменой, а тут уже вопрос - а что тут надо защищать - право на приватность или право на информированность?

Ответить
Развернуть ветку
Евгений Трифонов
Автор

А еще вопрос, нужно вообще шифрование, или оно террористам поможет. Но защищенные мессенджеры-то уже выбрали во всех этих вопросах сторону, заявив, что право на приватность. Пусть тогда будут последовательными.

Ответить
Развернуть ветку
Pavel Fedorov

Лично мне жизненно важно, чтобы никто не прочитал спам от незнакомцев у меня в аккаунте.

Ответить
Развернуть ветку
Gosha Gordeev

Было бы что скрывать) 99% переписок, да и переписывающихся никому даром не сдались. Не спорю, например, о корпоративном сегменте, но для частных лиц вся эта тема порой приобретает форму паранойи.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Konstantin Loginov

Felix, давайте расскажу увлекательную историю: я не постил никаких безобидных котиков или текстов с карапузами, но вернувшись из отпуска мою квартиру обчистили (причем случалось это неоднократно, т.ч. еще и ДО появления инстаграмма и вконтактика).

Ответить
Развернуть ветку
Nikolay Ryazantsev

Да, Константин, я тоже думаю, что выкладывать полную информацию о себе в сеть абсолютно безопасно.
Можно рассказывать куда и насколько уезжаешь, хвастаться дорогими машинами и интерьером.
Константин, просто для разминки вот такая штука.
Очень богатые люди никогда ничего о себе не сообщают публично. Ты никогда не узнаешь где они сейчас находятся, что делают и какие у них покупки.
Потому что боятся. И правильно делают.

Ответить
Развернуть ветку
Gosha Gordeev

Вы серьезно думаете, что кто-то следил за его перепиской, чтобы обчистить квартиру?))) Речь идет именно о переписке, а не о глупом и непредусмотрительном распространении личной информации. Забитый подъездный почтовый ящик не менее достоверный источник информации) А запретить всем домашним вк переписываться это как раз и есть паранойя)))

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Илья Туменко

Вы представляете как пересекается множество ограбленных с теми, у кого в семье есть хотя бы один пользователь соцсетей?
Я так думаю, процентов на 98%. Тем более обчищают квартиры обеспеченного среднего класса, а там везде смартфоны и компьютеры.

Ответить
Развернуть ветку
Евгений Кувшинов

Феерический бред статья конечно. "Если пользователь рукожоп, он может отправить что то не туда, и там все это увидят"
Девушка не отправляет интимные фото в соц сети и отправляет в Коупл? Реально? Это не единичный случай? Есть статистика какая то?
"Телеграм не доносит до пользователей" Для пользователей до которых, нужно что либо доносить есть вотсапп. ТГ все таки более гиковский вариант и все эти степени защиты нужны тем, кто уже озадачился этим вопросом. А если человек озадачился, значит он сам разберется.
В общем, мои мысли, что повышенная "приватность" и "секретность" нужна (реально) очень мало кому. А люди кому она реально нужна, она нужна только для защиты своей информации от государства. И они сами разберутся как им эту информацию защитить

Ответить
Развернуть ветку
Евгений Трифонов
Автор

«Это не единичный случай? Есть статистика какая то?»
Посмотрите график роста Snapchat в первый год существования, это примерно и будет ваша статистика.

Ответить
Развернуть ветку
A Glevsky

По поводу Телеграма - не так давно кто-то как обычно заявил, что смог получить зашифрованные сообщения, имея рут доступ к устройству. Реакция на это со стороны Телеграма (офицальная или нет, не знаю) была в духе "аа ну вы тоже конечно сказали, рут, под рутом и не то можно делать, это не считается". Блин да вы тогда пишите на сайте огромными буквами про это, и убирайте вообще все слова про зашищенность, шифрование и приватность. У меня как у пользователя, который ничего не понимает в криптографии и как там все, было полное впечатление, что единственное слабое место - алгоритм шифрования и возможные ошибки в программе, а оказалось, что ты хоть зашифруйся, все равно Гугл главный

Ответить
Развернуть ветку
Вадим Пушш

...а оказалось, что если недруг заглядывает вам через плечо, то хоть ты зашифруйся... Чтобы это понять не надо быть гуру в криптографии, вы чего?

Ответить
Развернуть ветку
Pavel Fedorov

От рута не спастись никому, ну вы чего. Это как джейл на iOS — кому-то твики и тески оформления, а кому-то безлимитный доступ ко всему устройству.

Ответить
Развернуть ветку
Alexey Kudinkin

Это повод хранить ключи плейнтекстом?

Ответить
Развернуть ветку
Daniil Kirichenko

А как ключи хранить иначе? Зашифровать? А ключ к зашифрованным ключам как хранить? Плейнтекстом?
Это бесконечный цикл. Лучше всего ключ делить — часть в устройстве, часть в голове.

Ответить
Развернуть ветку
Shamil Nigmatzyanov

Фишка с само-удаляющимися сообщениями, напомнила person of interest. (*перехватили и прочитали сообщение, через секунду оно удалилось*, -удаляющиеся сообщения, хм, умно)

Ответить
Развернуть ветку
Вячеслав Володин

Статья и правда такая себе.
Если кто-то решил прочитать именно ВАШУ переписку, и вы - домохозяйка средних лет, а злоумышленник - специалист, который может получить физический доступ к устройству, то вашу переписку прочитают, в чем бы вы ее не писали.

Ответить
Развернуть ветку
Devoops

Пользоваться мессенжером на телефоне из-под полузакрытых осей и важно рассуждать о защищенности- ну ну.

Ответить
Развернуть ветку
Andrey Harchenko

Помойму тема раздута. Каков процент пользователей мессенджеров реально заинтересован в супер-защищеном решении? Женатик скрывает переписку с 23х летней подругой?

Ответить
Развернуть ветку
Злой Одуванчик
23х летней подругой?

Учитывая, что вы пропускаете дефисы - имелась в виду 2-3-летняя?

Ответить
Развернуть ветку
Антон Тихомиров

Хо-хо-хооооо! Я прям даже... слегка покраснел)

Ответить
Развернуть ветку
Роман Косов
Если кто-то получил физический доступ к вашему незаблокированному смартфону...

Степан, наверное, до 25 февраля написал ЦП, потому как уже есть попытка решить такую проблему (через Passcode или Touch ID):
https://telegram.org/blog/photo-editor-and-passcodes#passcode-lock

...на практике он ненадежный из-за интерфейсного решения.

На злобу дня: http://tjournal.ru/paper/yandex-ok-group

Ответить
Развернуть ветку
Евгений Трифонов
Автор

Писал действительно раньше, но проблема все равно остается. Типичный пользователь Телеграма не читает внимательно блог с описанием всех нововведений, а смотрит главную страницу сайта, где написано просто «private» и «secure». Его успокаивают словами про защищенность протокола и ничего не говорят ему о том, почему полезно такое включить. Даже в FAQ в вопросе «What if I’m more paranoid than your regular user» об этом ни слова: https://telegram.org/faq#q-what-if-im-more-paranoid-than-your-regular-user

В итоге опять получается ситуация, когда де-юре проект защищенный, а де-факто данные многих пользователей могут пострадать.

Ответить
Развернуть ветку
Роман Косов

Пользователь видит нововведения в обновлениях программы и при установке программы. Как минимум, подобный текст перед глазами мелькает, а читать его - личное дело каждого.

Автомобили оборудованы, например, ремнями безопасности (и наверняка в инструкциях написано о них), но никто не гарантирует, что владелец будет ездить по правилам и вообще пристёгиваться.

Тут дело скорее в неком воспитании и организованности. Тот же человек может писать текст и допускать ошибки, но внимательный перечитает (вдумается?) и исправит их. Другой — проигнорирует.

Ответить
Развернуть ветку
Евгений Трифонов
Автор

Пользователь, который установит программу после следующего апдейта, ничего уже не увидит, если не захочет читать чейнджлог за всю историю проекта.

Раз вы считаете корректной аналогию с ремнями безопасностями, рассмотрим ее: во-первых, это правило и за его неисполнение штрафуют, во-вторых, по всему миру делают социальную рекламу, донося до пользователей, как важно пристегиваться. То есть по вашей собственной логике получается, что мессенджеры сейчас поступают неправильно, ничего не требуя и не донося.

Можно переносить всю ответственность на пользователя и говорить «не читал инструкцию — сам дурак». Но мне не очень понятно, зачем, если можно вместо этого облегчить пользователю жизнь, надежнее его защитить без требования курить мануалы, снизить реальное количество утечек — и тем самым получить конкурентное преимущество.

Ответить
Развернуть ветку
Роман Косов
по всему миру делают социальную рекламу

А если реклама в виде текста? И её пользователь не прочтёт? Без отдачи пользователя - будут пустые попытки донести информацию в любом виде. Не смотрит рекламу - не услышал про безопасность.

мессенджеры сейчас поступают неправильно, ничего не требуя и не донося

Не понимаю как вы такой вывод сделали, я про неправильность ничего не говорил. Я вел свой монолог в сторону того, что о ремнях безопасности водители знают, но пользоваться им выбирают самостоятельно. Хотя было бы классно, если бы машины не заводились без ремня.

надежнее его защитить без требования курить мануалы

Я думаю, что это можно сделать, если, например, при установке будет показываться обучающее видео, которое нельзя пропустить (система «анти-неосведомленный пользователь»), где и будет описано что нужно предпринять для самозащиты.

Ответить
Развернуть ветку
Евгений Трифонов
Автор

«Без отдачи пользователя - будут пустые попытки донести информацию в любом виде»
Ну да. И вот в случае с мессенджерами сейчас информацию вроде как публикуют, но так, что отдача будет минимальной. А можно повысить.

«будет показываться обучающее видео, которое нельзя пропустить»
Да пусть даже можно пропустить, но по умолчанию запускается, уже большая разница будет. В случае с массовым пользователем крайне важно дефолтное значение. Если информация доступна, но за ней надо куда-то лезть, он не лезет. А если она вот уже перед глазами в наглядном виде, то во многих случаях с интересом ознакомится.

Ответить
Развернуть ветку
Макс Лукьянов

Скажите пожалуйста, почему вы все время вставляете "типичный пользователь", бесконечно аппелируя к массовой аудитории, которая толком то и не понимает что такое защищенный мессенджер?

Защищенный мессенджер, в отличие от мессенджеров в принципе, сам по себе нишевой продукт, который подразумевает использование определенной аудиторией.

К чему эти бесконечные отсылки к большинству? По-вашему так и на выборы не ходить, и за выборами не следить, раз большинство все решило. (сорри за политический пример)

Ответить
Развернуть ветку
Евгений Трифонов
Автор

Недавно WhatsApp для защищенности ввел end-to-end.

Более массового мессенджера не существует в мире.

Ответить
Развернуть ветку
Юлия Котенко

то, что среднестатистический юзер рукожоп и раздолбай, и защищать его надо не от мифического большого брата, а в первую очередь от самого себя - об этом все спецы по безопасности говорили еще лет 10 назад. да только их мало кто слушал. ну вот наконец Телеграм озаботился реальными нуждами людей - молодцы, они и заработают на этом. а нужды у людей просты и даже примитивны: чтоб им задницы подтирали и руки перед едой мыть заставляли.

Ответить
Развернуть ветку
Nikolay Ryazantsev

Юлия, не 10 лет назад, а всегда.
Почитайте хотя бы Кевина Митника - героя 80-х годов

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иљя Коробов

Всё это ерунда, главное что бы у вас в заднице не оказался включенный паяльник, тогда вы не только все пароли скажите, но и всю переписку, включая удалённую.

Ответить
Развернуть ветку
Андрей Мима

Недавняя история с "доступом" с сообщениям Телеграма через рут андроида характерна. Я бы даже усилил идею Степы: дело не в физическом доступе к телефону (этого можно физически же избегать), а в том что мобильные операционки слишком легко рутануть дистанционно (возможно это изменилось, я не слежу внимательно). Никакой защищенный мессенджер вас не спасет от утечки информации, если достаточно просто зайти на страницу в интернете чтобы кто-то получил доступ ко всему телефону, а не только к сообщениям в мессенджере. Проблема физического доступа решается биометрической разблокировкой, которая скоро будет везде. А к руту системы будут оставаться уязвимыми еще долго.

Из двух независимых достаточно надежных источников знаю что спецслужбы этим активно пользуются - никто не пытается расшифровать трафик (это нужно только для массового слежения за всеми одновременно, аля Сноуден). Нужным людям просто незаметно рутуют телефон и следят вообще за любой активностью.

Ответить
Развернуть ветку
Dima Tez

iOS без джейла тоже рутуют?

Ответить
Развернуть ветку
Илья Туменко

А как рутуют?
Вроде, максимум со стороны можно завладеть бейсбандом, но у него, вроде бы, нет возможности поменять прошивку на основной системе.
Максимум - включить какой-нибудь резервный микрофон без ведома владельца и отправить запись куда надо, но это чисто теории.

Ответить
Развернуть ветку
Татьяна Швецова

очевидно же что тема волнует только экс-разрабов мессенджеров
nuff said

Ответить
Развернуть ветку
Алексей Красноперов

забавно, что у молодого телеграма уже появляются экс)

Ответить
Развернуть ветку
Антон Тихомиров

Давно хотел спросить: что такого особо секретного обсуждают люди, что нужна ТАКАЯ защищенность? Вроде у нас переизбыток юристов, а не кгбешников...

Ответить
Развернуть ветку
Макс Лукьянов

"Простой сценарий: вы в мессенджере пытаетесь переслать важное сообщение одного из ваших собеседников другому, но из-за того, что вы участвуете в нескольких оживленных чатах, список последних диалогов постоянно меняется — и когда вы кликаете, под вашим курсором вместо желаемого адресата внезапно оказывается беседа с десятками посторонних участников."

— Все это вилами по воде. Удивительно, что разработчик такого мессенджера не видит или не хочет видеть реального применения таким технологиям на черном рынке.

Ответить
Развернуть ветку
Vasiliy Pro

Есть уже с таким функционалом месанджер
https://itunes.apple.com/us/app/anytalk-messenger/id964490549?ls=1&mt=8

Ответить
Развернуть ветку
45 комментариев
Раскрывать всегда