Лого vc.ru

Мессенджеры не дают людям ту защищенность, которая им нужна – Степан Коршаков, экс-Telegram

Мессенджеры не дают людям ту защищенность, которая им нужна – Степан Коршаков, экс-Telegram

Степан Коршаков, основатель корпоративного мессенджера Actor и экс-разработчик Telegram, написал для ЦП колонку о том, в чем изначальная ошибка всех споров о защищенной переписке, и о том, что дело совсем даже не только в шифровании трафика, а в возможности получения злоумышленником физического доступа к устройству.

Поделиться

Когда заходит речь о том, какой мессенджер защищеннее, говорят обычно о шифровании трафика, совершая при этом большую ошибку: из-за шифрования напрочь забывают о других важнейших составляющих, и это превращается в спор, оторванный от реальной жизни. В которой получить доступ к вашей переписке могут не только перехватывающие трафик: источником утечки может быть и кто-то с физическим доступом к устройству, и даже вы сами.

Простой сценарий: вы в мессенджере пытаетесь переслать важное сообщение одного из ваших собеседников другому, но из-за того, что вы участвуете в нескольких оживленных чатах, список последних диалогов постоянно меняется — и когда вы кликаете, под вашим курсором вместо желаемого адресата внезапно оказывается беседа с десятками посторонних участников. Получается, каким бы невероятным ни было шифрование такого мессенджера, на практике он ненадежный из-за интерфейсного решения.

И в жизни подобные вещи могут оказываться куда важнее шифрования. Одна и та же девушка может отказываться прислать парню откровенные фотографии личным сообщением в соцсети, но в то же время легко делать это в приложении для парочек Couple. Потому что в соцсети легко переслать сообщение кому-то, да и вообще там ее бабушка сидит, а в приложении интимная обстановка для двоих. При этом у соцсети трафик может быть защищеннее, но для девушки это ничего не меняет. И при этом парень все равно технически имеет возможность переслать фотографии кому-то, то есть ключевой оказывается не принципиальная невозможность нарушения приватности (которую пытаются получить шифрованием), а атмосфера.

В Telegram, помимо шифрования, задумывались о таких вещах (поэтому, например, нельзя пересылать сообщения из secret chats), однако там есть свои проблемные места.

Если кто-то получил физический доступ к вашему незаблокированному смартфону, он может авторизоваться за вас на своем устройстве, и благодаря синхронизации вся ваша переписка пойдет и к нему.

Понятно, что со стороны мессенджера сложно полностью обезопасить пользователя от такого, но существует простейшая мера предосторожности: показывать в настройках список устройств, у которых в данный момент есть доступ к аккаунту. Этой мерой пренебрегли, сделав лишь кнопку «terminate all sessions», которой теоретически можно отключить всех злоумышленников, но уже на следующий день никаких гарантий снова не будет.

С secret chats, которые не синхронизируются между устройствами, в Telegram отдельная история: нет однозначных правил, какое из устройств принимает входящий запрос начала чата. Если у вас айфон и Android-планшет, и друг решил создать секретный диалог с вами, то планшет может за вас одобрить запрос, а вы на айфоне увидите уведомление о чате, ведущее в никуда, не поймете, что это было, и пропустите важную беседу. Но это не худший вариант, хуже, если в этот момент под вашим аккаунтом где-то залогинен недруг: он может принять запрос и поговорить с кем-то от вашего имени, а вы об этом даже не узнаете.

Если лично вас сейчас кто-то захочет взломать, он скорее будет использовать подобные вещи, чем расшифровывать трафик. Поэтому и защищаться надо от физического доступа. Как именно? Вот, например, метод защиты: чтобы при запуске мессенджера он выглядел полностью функционирующим, но на самом деле отображал только часть диалогов, и необходимо было сделать еще одну неочевидную операцию, чтобы показал также скрытые. В этом случае, если кто-то физически возьмет ваш смартфон, он увидит милую переписку о погоде и с высокой вероятностью даже не догадается, что это не всё имеющееся. Это напрашивается, но почему-то в этом направлении толком идет только индийский Hike.

Более жесткий вариант — для тех, кто боится, что однажды у него под дулом пистолета потребуют показать всю переписку со всеми скрытыми диалогами. Для них можно сделать так, чтобы при определенных действиях (условно, ввести пароль задом наперед) все помеченные секретными сообщения тут же навсегда удалялись, а остальные выводились.

В таком случае не возникнет даже подозрений «у него должен быть диалог с таким-то»: сам диалог останется и будет выглядеть правдоподобным.

Другая важная вещь, о которой недостаточно говорят: возможность перехода между защищенностью и удобством. Защищенность представляют абсолютным добром для пользователя, но это не так, потому что она требует больших жертв. В Confide сообщения можно читать только по одному слову, водя пальцем по экрану, после чего они удаляются, и при всей надежности это страшно неудобно. Как и веб-версия WhatsApp, которую можно использовать только в связке с Android-смартфоном и при ряде условий: это ради end-to-end шифрования, хотя многие пользователи охотно расстались бы с ним во имя удобной веб-версии.

Как показывают истории с почтой Хиллари Клинтон и тому подобным, люди выбирают удобство коммуникации даже тогда, когда правила прямо предписывают им другой вариант, так что защищенность может быть недостатком.

Зачастую в связи с этим решают «надо найти золотую середину». Но правильнее был бы другой подход: гибкая смена настроек в зависимости от ситуации. Одному и тому же пользователю нужно то «чтобы точно никто не узнал», то «чтобы я потом в истории сообщений это найти мог» (а любое сохранение истории уже бьет по защите). Если бы он мог просто «переводить рычажок» между тремя разными положениями (в идеале в рамках одного и того же диалога), могли бы быть и волки сыты, и овцы целы.

Особенно актуально это при использовании мессенджера в организации: там уже могут существовать разные уровни допуска к информации, и режимы могли бы им соответствовать. В офлайне давно поняли, что для документов полезны разные варианты «secret» и «top secret», а в мессенджерах пока не понимают. Но это еще и технически сложно реализовать: в диалогах «один на один» такой рычажок не проблема встроить, а вот с групповыми чатами совсем другое дело.

В итоге ни Threema, ни TextSecure при своих словах о защищенности не дают людям то, что им реально от защищенности нужно. В эту сторону пошел лишь тот же Telegram, разделив обычные диалоги и secret chats, но тоже недалеко ушел. Во-первых, два варианта — недостаточно гибко, во-вторых, Telegram не доносит внятно до пользователей разницу этих вариантов. Это приводит к тому, что рядовой пользователь считает всю свою переписку там максимально зашифрованной, и может очень неприятно удивиться, узнав, что по умолчанию об end-to-end речи не идет.

В общем, тут еще есть, чем заняться — и при этом мне кажется, что многие мессенджеры, до недавнего времени реализовывавшие стандартную функциональность, теперь более-менее разобрались с ней и готовы перейти к чему-то большему. Поэтому на этом рынке нас в ближайшие годы ждет много интересного.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Сейчас все ломануться делать супер защищенные мессенджеры😂

Ключевой затык еще в том, что сейчас волна помешанности на конфидециальности. А на самом деле 95, если не 99% юзеров она нахрен не нужна. Потому что нет у них ничего такого ради чего кто то будет ломать протоколы.

0

Все уже давно делают защищенные мессенджеры, а не только Дуров)
Вон даже Воцап апгрейдят
Плюс некоторые мессенджеры изначально были созданы, как защищенные для бизнеса больше
К примеру TigerText или VIPole

0

Фишка с само-удаляющимися сообщениями, напомнила person of interest. (*перехватили и прочитали сообщение, через секунду оно удалилось*, -удаляющиеся сообщения, хм, умно)

> Если кто-то получил физический доступ к вашему незаблокированному смартфону...
Степан, наверное, до 25 февраля написал ЦП, потому как уже есть попытка решить такую проблему (через Passcode или Touch ID):
telegram.org/blog/photo-editor-and-passcodes#passcode-lock


> ...на практике он ненадежный из-за интерфейсного решения.
На злобу дня: tjournal.ru/paper/yandex-ok-group

Писал действительно раньше, но проблема все равно остается. Типичный пользователь Телеграма не читает внимательно блог с описанием всех нововведений, а смотрит главную страницу сайта, где написано просто «private» и «secure». Его успокаивают словами про защищенность протокола и ничего не говорят ему о том, почему полезно такое включить. Даже в FAQ в вопросе «What if I’m more paranoid than your regular user» об этом ни слова: telegram.org/faq#q-what-if-im-more-paranoid-than-your-regular-user

В итоге опять получается ситуация, когда де-юре проект защищенный, а де-факто данные многих пользователей могут пострадать.

0

Пользователь видит нововведения в обновлениях программы и при установке программы. Как минимум, подобный текст перед глазами мелькает, а читать его - личное дело каждого.

Автомобили оборудованы, например, ремнями безопасности (и наверняка в инструкциях написано о них), но никто не гарантирует, что владелец будет ездить по правилам и вообще пристёгиваться.

Тут дело скорее в неком воспитании и организованности. Тот же человек может писать текст и допускать ошибки, но внимательный перечитает (вдумается?) и исправит их. Другой — проигнорирует.

Пользователь, который установит программу после следующего апдейта, ничего уже не увидит, если не захочет читать чейнджлог за всю историю проекта.

Раз вы считаете корректной аналогию с ремнями безопасностями, рассмотрим ее: во-первых, это правило и за его неисполнение штрафуют, во-вторых, по всему миру делают социальную рекламу, донося до пользователей, как важно пристегиваться. То есть по вашей собственной логике получается, что мессенджеры сейчас поступают неправильно, ничего не требуя и не донося.

Можно переносить всю ответственность на пользователя и говорить «не читал инструкцию — сам дурак». Но мне не очень понятно, зачем, если можно вместо этого облегчить пользователю жизнь, надежнее его защитить без требования курить мануалы, снизить реальное количество утечек — и тем самым получить конкурентное преимущество.

> по всему миру делают социальную рекламу
А если реклама в виде текста? И её пользователь не прочтёт? Без отдачи пользователя - будут пустые попытки донести информацию в любом виде. Не смотрит рекламу - не услышал про безопасность.

> мессенджеры сейчас поступают неправильно, ничего не требуя и не донося
Не понимаю как вы такой вывод сделали, я про неправильность ничего не говорил. Я вел свой монолог в сторону того, что о ремнях безопасности водители знают, но пользоваться им выбирают самостоятельно. Хотя было бы классно, если бы машины не заводились без ремня.

> надежнее его защитить без требования курить мануалы
Я думаю, что это можно сделать, если, например, при установке будет показываться обучающее видео, которое нельзя пропустить (система «анти-неосведомленный пользователь»), где и будет описано что нужно предпринять для самозащиты.

0

«Без отдачи пользователя - будут пустые попытки донести информацию в любом виде»
Ну да. И вот в случае с мессенджерами сейчас информацию вроде как публикуют, но так, что отдача будет минимальной. А можно повысить.

«будет показываться обучающее видео, которое нельзя пропустить»
Да пусть даже можно пропустить, но по умолчанию запускается, уже большая разница будет. В случае с массовым пользователем крайне важно дефолтное значение. Если информация доступна, но за ней надо куда-то лезть, он не лезет. А если она вот уже перед глазами в наглядном виде, то во многих случаях с интересом ознакомится.

Скажите пожалуйста, почему вы все время вставляете "типичный пользователь", бесконечно аппелируя к массовой аудитории, которая толком то и не понимает что такое защищенный мессенджер?

Защищенный мессенджер, в отличие от мессенджеров в принципе, сам по себе нишевой продукт, который подразумевает использование определенной аудиторией.

К чему эти бесконечные отсылки к большинству? По-вашему так и на выборы не ходить, и за выборами не следить, раз большинство все решило. (сорри за политический пример)

0

Недавно WhatsApp для защищенности ввел end-to-end.

Более массового мессенджера не существует в мире.

0

По поводу Телеграма - не так давно кто-то как обычно заявил, что смог получить зашифрованные сообщения, имея рут доступ к устройству. Реакция на это со стороны Телеграма (офицальная или нет, не знаю) была в духе "аа ну вы тоже конечно сказали, рут, под рутом и не то можно делать, это не считается". Блин да вы тогда пишите на сайте огромными буквами про это, и убирайте вообще все слова про зашищенность, шифрование и приватность. У меня как у пользователя, который ничего не понимает в криптографии и как там все, было полное впечатление, что единственное слабое место - алгоритм шифрования и возможные ошибки в программе, а оказалось, что ты хоть зашифруйся, все равно Гугл главный

От рута не спастись никому, ну вы чего. Это как джейл на iOS — кому-то твики и тески оформления, а кому-то безлимитный доступ ко всему устройству.

Это повод хранить ключи плейнтекстом?

0

А как ключи хранить иначе? Зашифровать? А ключ к зашифрованным ключам как хранить? Плейнтекстом?
Это бесконечный цикл. Лучше всего ключ делить — часть в устройстве, часть в голове.

...а оказалось, что если недруг заглядывает вам через плечо, то хоть ты зашифруйся... Чтобы это понять не надо быть гуру в криптографии, вы чего?

Было бы что скрывать) 99% переписок, да и переписывающихся никому даром не сдались. Не спорю, например, о корпоративном сегменте, но для частных лиц вся эта тема порой приобретает форму паранойи.

Лично мне жизненно важно, чтобы никто не прочитал спам от незнакомцев у меня в аккаунте.

Описанное, конечно, относится ко всем типам коммуникаций, не только к защищенным мессенджерам. Но, скажем, если у меня есть опасения, что переписку прочитают на стороне провайдера, то защищенность протокола исключает такой сценарий. Всё остальное — демагогия. Едва ли носитель инсайда при обмене сведениями допускает физический доступ к устройству.

Пока Степа спит, поотвечаю за него, потому что у нас близкая позиция :)

Написанное тобой хорошо подходит к случаю, когда у человека доступ к гостайне. Но современные мессенджеры очевидно пытаются привлечь гораздо более массовую аудиторию, для которой важнее не проблема «АНБ прочитает мой секретный план», а проблема «ревнивый человек тайно читает переписку собственного супруга/супруги». Сложно не допустить физического доступа к устройству у человека, с которым живешь.

В таком случае можно или не писать того что бы нельзя было показать или не жить с таким человеком .)
Если серьезно, не в вакууме, то за исключением крайних случаев, подозрительность идет от недоинформированности. Если что-то надо скрыть от партнера, в 99% случаев в быту это связано с изменой, а тут уже вопрос - а что тут надо защищать - право на приватность или право на информированность?

0

А еще вопрос, нужно вообще шифрование, или оно террористам поможет. Но защищенные мессенджеры-то уже выбрали во всех этих вопросах сторону, заявив, что право на приватность. Пусть тогда будут последовательными.

0

Феерический бред статья конечно. "Если пользователь рукожоп, он может отправить что то не туда, и там все это увидят"
Девушка не отправляет интимные фото в соц сети и отправляет в Коупл? Реально? Это не единичный случай? Есть статистика какая то?
"Телеграм не доносит до пользователей" Для пользователей до которых, нужно что либо доносить есть вотсапп. ТГ все таки более гиковский вариант и все эти степени защиты нужны тем, кто уже озадачился этим вопросом. А если человек озадачился, значит он сам разберется.
В общем, мои мысли, что повышенная "приватность" и "секретность" нужна (реально) очень мало кому. А люди кому она реально нужна, она нужна только для защиты своей информации от государства. И они сами разберутся как им эту информацию защитить

«Это не единичный случай? Есть статистика какая то?»
Посмотрите график роста Snapchat в первый год существования, это примерно и будет ваша статистика.

Статья и правда такая себе.
Если кто-то решил прочитать именно ВАШУ переписку, и вы - домохозяйка средних лет, а злоумышленник - специалист, который может получить физический доступ к устройству, то вашу переписку прочитают, в чем бы вы ее не писали.

у сотрудника андроид смартфон с доступом к корпоративной почте. Смартфон заставляет менять пароль раз в три месяца. Недавно он пароль поменял но забыл сказать малолетнему сыну, сын хотел поиграть и ввел 5 раз старый неправильный пароль - телефон стер всю инфу, все контакты и все фотки. Синхронизировать обратно с акаунта гогла не вышло, чувак две недели набивал контакты заново.

Пользоваться мессенжером на телефоне из-под полузакрытых осей и важно рассуждать о защищенности- ну ну.

Всё это ерунда, главное что бы у вас в заднице не оказался включенный паяльник, тогда вы не только все пароли скажите, но и всю переписку, включая удалённую.

то, что среднестатистический юзер рукожоп и раздолбай, и защищать его надо не от мифического большого брата, а в первую очередь от самого себя - об этом все спецы по безопасности говорили еще лет 10 назад. да только их мало кто слушал. ну вот наконец Телеграм озаботился реальными нуждами людей - молодцы, они и заработают на этом. а нужды у людей просты и даже примитивны: чтоб им задницы подтирали и руки перед едой мыть заставляли.

Юлия, не 10 лет назад, а всегда.
Почитайте хотя бы Кевина Митника - героя 80-х годов

Недавняя история с "доступом" с сообщениям Телеграма через рут андроида характерна. Я бы даже усилил идею Степы: дело не в физическом доступе к телефону (этого можно физически же избегать), а в том что мобильные операционки слишком легко рутануть дистанционно (возможно это изменилось, я не слежу внимательно). Никакой защищенный мессенджер вас не спасет от утечки информации, если достаточно просто зайти на страницу в интернете чтобы кто-то получил доступ ко всему телефону, а не только к сообщениям в мессенджере. Проблема физического доступа решается биометрической разблокировкой, которая скоро будет везде. А к руту системы будут оставаться уязвимыми еще долго.

Из двух независимых достаточно надежных источников знаю что спецслужбы этим активно пользуются - никто не пытается расшифровать трафик (это нужно только для массового слежения за всеми одновременно, аля Сноуден). Нужным людям просто незаметно рутуют телефон и следят вообще за любой активностью.

iOS без джейла тоже рутуют?

0

А как рутуют?
Вроде, максимум со стороны можно завладеть бейсбандом, но у него, вроде бы, нет возможности поменять прошивку на основной системе.
Максимум - включить какой-нибудь резервный микрофон без ведома владельца и отправить запись куда надо, но это чисто теории.

0

Помойму тема раздута. Каков процент пользователей мессенджеров реально заинтересован в супер-защищеном решении? Женатик скрывает переписку с 23х летней подругой?

>23х летней подругой?
Учитывая, что вы пропускаете дефисы - имелась в виду 2-3-летняя?

Хо-хо-хооооо! Я прям даже... слегка покраснел)

0

забавно, что у молодого телеграма уже появляются экс)

0

Давно хотел спросить: что такого особо секретного обсуждают люди, что нужна ТАКАЯ защищенность? Вроде у нас переизбыток юристов, а не кгбешников...

0

очевидно же что тема волнует только экс-разрабов мессенджеров
nuff said

"Простой сценарий: вы в мессенджере пытаетесь переслать важное сообщение одного из ваших собеседников другому, но из-за того, что вы участвуете в нескольких оживленных чатах, список последних диалогов постоянно меняется — и когда вы кликаете, под вашим курсором вместо желаемого адресата внезапно оказывается беседа с десятками посторонних участников."

— Все это вилами по воде. Удивительно, что разработчик такого мессенджера не видит или не хочет видеть реального применения таким технологиям на черном рынке.

0

Есть уже с таким функционалом месанджер
itunes.apple.com/us/app/anytalk-messenger/id964490549?ls=1&mt=8

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Dmitriy Kuts

Марс можно делать как базу для полета к поясу астероидов, которые представляют идеальный строительный материал для создания космических кораблей, а так же как перевалочную станцию для полетов к дальним планетам солнечной системы. Это для Наса, или Роскосмоса. Частным компаниям там делать нечего, им лучше осваивать Луну.

Элон Маск анонсировал систему межпланетных перелётов и представил план колонизации Марса
0
Андрей
webmasters.kz

Предпринимательство это круто, но не в России. Тут ты дойная корова.

«Предпринимательство — это не про деньги, славу и IPO»: мнение бывшего бизнесмена о преимуществах наёмного труда
0
Dmitriy Kuts

Даже если завтра отменят все космические программы и перестанут спонсировать армии, то дети в Африке не перестанут голодать.

Элон Маск анонсировал систему межпланетных перелётов и представил план колонизации Марса
0
Anastasia Baryshnikova
 Riot Games

Тимур, не вижу причин нам работать вместе.
Самому освоить дикцию, пиар, ораторское мастерство и менеджмент - отличный совет для тех, у кого в запасе бесконечная голда, да и времени своего не жалко ;) То, что так будут делать самые умные, тоже верится слабо.
Не то чтобы я не пожалела об этой дискусси, но, правда, рассчитывала узнать что-то новое о стримерах.

Продюсер проекта Sports.ru о киберспорте Ярослав Комков запустил сеть киберспортивных клубов GamerStadium
0
Виталий Подольский

Имею максимальную верификацию на аккаунт. Раньше нравились их карты, но после толи тиньков карту пометил как скомпроментированную, толи они сами. Давно уже той карты нет, выпустили новую и процессинг у них свой. Могу нормально платить в магазинах, в интернете вообще ничего с новой карты не оплатишь. Я часто плачу через пейпел, их карта привязана к кошельку. Пришлось звонить в саппорт, чтобы платеж прошел.

Вот теперь думаю, может выкинуть этот кусок пластика? Есть карты полноценных банков. Ну и про то, что пытался из штатов пару сотен баксов на их карту закинуть, ничего не вышло, не дружат они с забугорными банками. На тот-же Альфа банк в течении суток деньги спокойно проходят из-за рубежа, у этих зачислить даже не возможно! Ну и зачем они нужны? Для особенных яндекс-понтов?

«Яндекс.Деньги» остановили обслуживание выданных вместе с «Тинькофф банком» карт и перешли на собственный процессинг
0
Показать еще