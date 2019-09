Технический специалист считает, что высшие должностные лица не должны использовать WhatsApp и Telegram, поскольку они небезопасны. По его мнению, любая из этих двух программ лучше, чем СМС или телефоны без кодирования, но для людей в правительстве их использование может оказаться рискованным.

Facebook, владеющая WhatsApp «слой за слоем» снимает с мессенджера защиту и при этом заверяет, что не может слушать разговоры, так как те остаются зашифрованными. Но в действительности, уверяет Сноуден, такие программы никогда не использовались для общественной безопасности, ведь здесь идёт речь о власти, влиянии, о том, как изменить ход событий в мире в нужном русле для людей, управляющих разработками.

Однако с точкой зрения Сноудена поспорил бы спецпредставитель президента РФ по вопросам цифрового и технологического развития Дмитрий Песков. При всей ситуации с Telegram в России он отдаёт предпочтение мессенджеру Павла Дурова, а не продукту WhatsApp, хотя использует обе программы. Песков объяснил своё решение безопасностью коммуникаций.

При этом, по его словам, пока не создан квантовый мессенджер, абсолютно безопасных средств связи не существует. Однако с подобной разработкой для своих госслужащих Россия пока не намерена торопиться.

Но как же тогда чиновникам общаться друг с другом, если популярные мессенджеры считают небезопасными? Специалист считает, что лучшим решением станут Signal (он уже давно известен как «любимый мессенджер Сноудена») и Wire. News.ru разобрался, почему бывший сотрудник американских спецслужб видит безопасную альтернативу именно в этих программах.

Signal — программное обеспечение с открытым исходным кодом. Проще говоря, любой разбирающийся в этом ремесле человек может самостоятельно увидеть, как работает мессенджер. Приложение поддерживается Signal Foundation, некоммерческой организацией, которая была основана Брайаном Эктоном, бывшим работником Yahoo и соучредителем WhatsApp. Программист покинул Facebook из-за разногласий с руководством, в частности, с самим Марком Цукербергом, о будущем направлении мессенджера. Спустя некоторое время Эктон основал Signal Foundation с Мокси Марлинспайком.

В приложении используется специальный алгоритм сквозного (end-to-end) шифрования Signal Protocol, который в дальнейшем появился в ряде таких продуктов, как WhatsApp, Facebook Messenger и Skype. Первое, с чем столкнётся человек при входе в Signal — необходимость ввести телефонный номер, что уже лишает программу полной анонимности, в том числе и потому, что юзер через список контактов может увидеть, кто пользуется мессенджером.

Общение в приложении ничем не отличается от современных аналогов. Но Signal включает в себя ряд защитных особенностей для конспирологов. Например, блокировку экрана с помощью кода или биометрии, отсутствие превью экрана в переключателе приложений или так называемые исчезающие сообщения. Пользователь может настроить мессенджер таким образом, чтобы он автоматически удалял полученные и отправленные предложения через определённое время (от пяти секунд до одной недели). Собеседник при этом не может воспрепятствовать этому процессу. К слову, следует сказать, что Signal в этом плане не уникален, и у Telegram имеется подобный функционал в секретных чатах.

Второй механизм защиты — Safety Numbers («Безопасные номера»), позволяющий подтвердить безопасность сквозного шифрования с контактом. Каждая беседа содержит уникальный код, который и нужно сравнить с комбинацией собеседника, чтобы убедиться, что вы общаетесь именно с этим человеком. Правда, тогда пользователям придётся обратиться к другим средствам связи для подтверждения. Более лёгким способом может стать сканирование созданного QR-кода на телефоне другого юзера. Или наоборот.

В конце 2018 года Signal пытались приписать бреши в безопасности. Хакер и исследователь безопасности Мэтт Суич заметил, что при переходе от расширения для Chrome до десктоп-версии мессенджер экспортирует сообщения пользователя в виде незашифрованных текстовых файлов. При этом ПО создавало папки для каждого доступного контакта с его именем и контактным номером. Все разговоры хранились в формате JSON.

I created a GitHub issue for the record: https://t.co/XzEHZPMYX0 Here is a screenshot of the exported data, including exlusive logs with @thegrugq - Insane. Totally insane. pic.twitter.com/gA8dPTaJrR

Находку позже подтвердил сайт BleepingComputer , который подметил, что никаких соответствующих предупреждений Signal не показывал. Вся информация оставалась на диске даже после завершения обновления, поэтому неосведомлённый о проблеме человек мог стать жертвой злоумышленников, но при одном важном условии — они должны были получить локальный доступ к устройству.

Другой специалист по безопасности Кит Маккаммон заметил ещё одну неприятную особенность десктопной версии Signal. Проблема была похожа на предыдущую, но касалась вышеупомянутой функции исчезающих сообщений — медиафайлы, которые должны были быть удалены, всё равно оставались в системе.

Wire стал разработкой бывших сотрудников Skype. Важное отличие мессенджера от Signal — отсутствие необходимости вводить номер телефона. Вместо него пользователь может использовать электронную почту. Wire также присваивает каждому устройству уникальный отпечаток ключа, с помощью которого верифицируются девайсы и разговоры.

Кроме того, мессенджер можно заблокировать через 10 секунд после перехода в фоновый режим. Для получения доступа юзеру нужно ввести либо код доступа, либо воспользоваться сканером отпечатков пальцев. У Wire открытый исходный код, а сквозное шифрование (с декабря 2014 года по март 2016 года шифрование осуществлялось только между клиентом и сервером компании) обеспечивается протоколом Proteus, разработанным на основе Signal Protocol.