Защищённые мессенджеры
В безопасности ли ваши данные и переписка?

~ 6 минут чтения
Дослушал "Surveillance State: Inside China's Quest to Launch a New Era of Social Control". Книга о том, как Компартия Китая контролирует и направляет жизни миллионов людей с помощью AI и сбора данных. В одной части Китая это позволяет создавать удобные и эффективные умные города. В другой — выстраивать цифровые концлагеря.

Я не эксперт в теме, но и Россия, кажется, активно двигается в том же направлении: сбор биометрии (пока добровольный), закон о суверенном интернете, рекомендации силовикам наращивать использование ИИ — те же шаги, что проходил Китай на своём пути длиною в тысячу антиутопических ли.

Сие очередное соприкосновение с темой личной цифровой безопасности подтолкнуло, наконец, сесть и сформулировать мысли про степень защищённости переписки в популярных мессенджерах.
Информация в статье по состоянию на февраль 2024. Алгоритмы, протоколы, условия работы мессенджеров со временем меняются.
Почему защищённость и конфиденциальность вашей переписки важны?
"Я не пишу ничего криминального, кому моя переписка вообще нужна...?"

Нужна она многим.

  • Корпорациям интересно получить доступ к вашим разговорам — это позволит им лучше таргетировать рекламу и дороже продавать ваши персональные данные третьим компаниям.
  • Мошенники, хакеры и прочие злоумышленники используют ваши технические уязвимости, чтобы прикинуться вами, получить доступ к вашим банковским счетам и важной информации, обманом выпросить денег у ваших друзей и родственников и тд.
  • Силовикам и правительству в целом всегда интересно знать, что вы на самом деле думаете, распространяете и делаете. Как наглядно продемострировали события в РФ за минувшие годы, сегодня вы пишете что-то вполне безобидное, а завтра это экстремизм.

Если вы используете недостаточно защищённый мессенджер, то любые из перечисленных выше групп лиц в той или иной степени могут получить доступ к вашей переписке.

Помогающим практикам ещё аккуратно напомню про этические кодексы в терапии, коучинге и других методах/профессиях. Как правило, в кодексах есть пункт а-ля "обеспечиваю конфиденциальность, безопасность и тайну коммуникации с клиентом, стремлюсь правильно использовать возникающие и развивающиеся технологии в своих услугах"...

А если ещё шире взять: насколько вообще может существовать доверие и возможность свободного осознанного выбора в мире без конфиденциального (читай свободного) обмена информацией?

Ладно, я это всё к чему. Какому мессенджеру доверить детали жизни своей и клиентской — имеет значение.
Три мессенджера
В этой статье ограничусь сравнением трёх мессенджеров:
  1. WhatsApp, самый популярный мессенджер в мире, и в Южной Америке в частности.
  2. Telegram, популярен в русскоговорящей среде по всему миру.
  3. Signal, наиболее популярный из мессенджеров с высоким уровнем защиты.
Критерии сравнения
Итоговая табличка ниже. Но сначала уточню, что подразумеваю под каждым критерием. По сути это список базовых характеристик, которыми должен обладать защищённый мессенджер.
1) Шифрование

Сообщения должны быть зашифрованы таким образом, чтобы только корректные, преднамеренные получатели могли увидеть их содержание.

Золотой стандарт — end-to-end encryption. В этом случае ни у кого, кроме вас и получателя, нет ключей для расшифровки сообщений. Даже если к компании-владельцу мессенджера придёт товарищ майор с ордером, компания чисто технически не сможет показать ему вашу переписку, т.к. они не смогут её расшифровать.

В остальных случаях (привет, обычные чаты в Telegram), у компании-владельца есть ключи от вашей переписки. Как они решат этой властью распорядиться — уже не ваша зона контроля.
2) Открый (open-source) код

Публикация кода мессенджера в открытом доступе считается проявлением честности и прозрачности. Когда код доступен для просмотра, изучения и изменения, это позволяет убедиться в отсутствии неприемлемых для пользователя функций, быстрее заметить и исправить ошибки, слабые места и уязвимости.

При прочих равных, к мессенджеру с открытым кодом больше доверия, чем к мессенджеру с закрытым. В этичность и безопасность последнего можно лишь верить наслово.
3) Самоуничтожающиеся сообщения (disappearing / self-destructing messages)

Самоуничтожающиеся сообщения это функция, позволяющая пользователям отправлять сообщения, которые автоматически исчезают через определенный период времени, например через день или через месяц. Сообщения не хранятся постоянно в телефоне пользователя или на серверах компании. Это повышает конфиденциальность и безопасность переписки.
4) Компания-владелец и её заинтересованность в сборе данных

Побочная, но тоже важная характеристика. Насколько можно доверять компании владельцу мессенджера? Например, Meta (ex Facebook) или Google, зарабатывающие на сборе и торговле поведенческими данными своих пользователей, могут не иметь доступа к содержимому ваших сообщений, но при этом собирать данные о том, откуда, в какое время, с какого девайса и кому вы что-то пишете... Замечали, что сегодня вы списались с кем-то новым в WhatsApp, а завтра Facebook предлагает вам добавить этого человека в друзья, при том что в Facebook вы с этим человеком никак не связаны, и не имеете общих знакомых...? Вот-вот.
5) Доступность на разных платформах

Браузеры тоже могут собирать ваши метаданные, даже в режиме Incognito (да, Google Chrome?). Лучше, когда у мессенджера есть родное приложение для всех операционных систем.
6) Стоимость

Нужно ли что-то платить за пользование мессенджером?
7) Итоговый рейтинг безопасности (субъективно)

Собрались мы здесь изначально, чтобы оценить уровень защищённости каждого мессенджера. В этом пункте моя итоговая субъективная и неэкспертная оценка именно безопасности. Независимо от других возможностей и плюшек мессенджера.
8) Оптимальное применение (субъективно)

Грааля не существует, каждый мессенджер будет более хорош для чего-то одного, и менее хорош для чего-то другого. В этом пункте стараюсь подсветить основной сценарий использования для каждого.

Ну что ж, разобрались с критериями.

Теперь сравнительная табличка.
Сравнение
Характеристики
WhatsApp
Telegram
Signal
Шифрование
End-to-end для всех сообщений, файлов, звонков
End-to-end только для секретных чатов. В обычных чатах и группах шифрование не end-to-end, т.е. Telegram владеет ключами
End-to-end для всех сообщений, файлов, звонков
Открый (open-source) код
нет
частично
да, полностью
Самоуничтожение сообщений
да
да, но только в секретных чатах
да
Компания-владелец и её заинтересованность в сборе данных
Meta Platforms (ex Facebook), зарабатывает преимущественно продажей таргетированной рекламы, т.е. имеет конфликт интересов с пользователями мессенджера
Telegram зарабатывает на нетаргетированной рекламе и премиум-подписке, нет конфликта интересов с пользователями мессенджера
Signal Foundation, НКО, поддерживается донатами пользователей, нет конфликта интересов с пользователями мессенджера
Доступность на разных платформах
Официально: Mac, Windows, iOS, Android, Web.
Linux только через сторонние клиенты
Официально: Mac, Windows, Linux, iOS, Android, Web.
Официально: Mac, Windows, Linux, iOS, Android, Web.
Стоимость
бесплатно
бесплатно / премиум-подписка (больше функций)
бесплатно / донейшн (нет разницы в функциях)
Итоговый рейтинг безопасности (субъективно)
Средний
Да, во всех чатах по умолчанию end-to-end шифрование, но у Meta есть конфликт интересов пользователями, и у WhatsApp есть другие уязвимости, например низкая защищённость бэкапа сообщений
Средний / Низкий
Telegram владеет ключами от ваших обычных переписок, а секретные чаты неудобно использовать. Хотя Telegram утверждает, что не сотрудничает с правительствами и силовиками, но технически такая возможность у него есть
Высокий
Мессенджер с изначальным фокусом на конфиденциальности и безопасности. End-to-end шифрование во всех чатах, открытый код, отсутствие конфликта интересов
Оптимальное применение (субъективно)
2 млрд пользователей. Почти у каждого, с кем вы хотите списаться, от ваших друзей в азиатской или амазонской деревне до пожилых родственников в СНГ, есть WhatsApp. Хороший базовый уровень защиты. Отлично подходит для первичного контакта с людьми
Худшая в тройке этих мессенджеров защита. Но больше всего функций и плюшек. Отлично подходит для ведения каналов и публикаций на широкую аудиторию. Но для обсуждения щепетильных тем нужно создавать отдельные и неудобные секретные чаты
Высочайший по сравнению с WhatsApp и Telegram уровень защиты на всех уровнях, безупречная репутация, отсутствие конфликта интересов, но не такой богатый функционал, как в Telegram. Подходит для важных и конфиденциальных разговоров, но не для рассылки мемасиков с котиками
Напоследок
Конечно, кибербезопасность это бездонная тема. Но даже в ней можно продвигаться микро-шажками. Чтобы лучше защитить свою переписку (и тем самым защитить себя, своих близких и клиентов), не нужно быть техническим гиком или инженером-программистом систем безопасности. Насколько это возможно, мессенджеры типа Signal, ставящие во главу угла конфиденциальность и безопасность пользователей, взяли все технические сложности на себя. Использовать Signal не сложнее, чем любой другой популярный мессенджер.

Закруглюсь словами Эдварда Сноудена:
"Утверждать, что вас не волнует право на неприкосновенность частной жизни (privacy), потому что вам нечего скрывать, — всё равно что утверждать, что вас не волнует свобода слова, только потому что сегодня вам нечего сказать".

Какой микро-шажок в сторону безопасности вы готовы сделать сегодня?

Adiós!


A
11.02.2024
Молинари, Аргентина