Прослушать каждого: рейтинг надежности мобильных мессенджеров
ЛІГАБізнесІнформ опросила четверых специалистов в области кибербезопасности и выяснила, какие мессенджеры наиболее защищены от прослушки и воровства данных пользователей. На основании характеристик, которые опрошенные эксперты дали каждому из приложений, ЛІГАБізнесІнформ составила их сводный рейтинг.
Все эксперты сошлись во мнении, что безопаснее всего общаться с помощью мессенджеров RedPhone, WhatsApp и Telegram. Немного хуже защищены данные у Skype и Facebook Messenger. Viber и Zello замыкают рейтинг надежности.
Читайте также: Большой брат: как соцсети делятся информацией со спецслужбами
Соавтор приложения для борьбы со спамом NumBuster Евгений Гнутко подробно расписал, как "мобильная рация" и любое другое мобильное приложение для коммуникаций по умолчанию "видит" и "анализирует" содержимое контакт-листа пользователя. "Неважно, что это - WhatsАpp, Viber, клиент Facebook, клиент ВКонтакте, Zello и т.д.: они все имеют доступ к вашим контактам, именам и номерам телефонов, - пишет Гнутко. - Все перечисленное в любой момент из админки нарисует географический и социальный охват любого сегмента своей аудитории. Особенно если это задача не единомоментная, а поставлена систематически".
По информации Гнутко, ряд сервисов, которые принято считать на 100% "западными", на самом деле таковыми не являются: команда поддержки, разработчики или серверы расположены в России. "Официальный мобильный клиент Facebook контролируется российской группой поддержки. Все сведения выдадут по запросу локальных спецслужб. Обязаны. Использование любого неофициального клиента ничего не решит", - поясняет Гнутко. Кроме мессенджера Facebook в зону риска, по его мнению, попадают Viber и 4Talk. "Viber - группы разработчиков РФ + Минск, фаундер - белорус, офис в Москве есть, прописка юрика - Израиль, инвестор - Япония, - рассказывает Гнутко. - 4Talk - отличный продукт, удобный, быстрый. Разработан и администрируется в Москве".
Руководитель департамента информационной безопасности одного из отечественных банков не согласен с Гутко, что наличие офиса, технического персонала или серверов на территории РФ автоматически компрометирует приложение. "Российская команда Viber вовсе не означает, что данные регулярно сливаются в ФСБ. Любое изъятие информации спецслужбами - это удар по репутации компании и стоимости акций. А ведь Viber работает не только в постсоветском пространстве, но и в странах Запада. Поэтому компания, скорее всего, будет сопротивляться "выемкам", как сопротивлялся Дуров во время Евромайдана.
Читайте также: Создатель ВКонтакте отказался сотрудничать с ФСБ по Евромайдану
В то же время специалист по кибербезопасности считает, что спецслужбы страны-агрессора - не единственный источник угроз. "Если объект слежки особо ценен, для взлома его канала коммуникаций могут написать индивидуальный вирус или эксплойт. Здесь на передний план выходит не наличие персонала или серверов в России, а защищенность самого сервиса от перехвата и атак извне".
С ним согласен руководитель центра управления инцидентами инфобезопасности компании Crytek Ukraine Дмитрий Коржевин. "В идеале вся передаваемая информация, включая ссылки, файлы, чаты, аудио- и видеозвонки, должна шифроваться с использованием стойких криптоалгоритмов. Для шифрования должен использоваться ключ, доступ к которому есть только у вас и вашего собеседника. У провайдера и компании, предоставляющей услугу защиты передаваемой информации, не должно быть доступа к ключам шифрования данных. Кроме того, код приложения должен быть доступен для независимого аудита".
Тезис о важности стороннего аудита подтверждает и Павел Ткачев, независимый эксперт в области кибербезопасности. По его мнению, в открытом доступе должен быть исходный код не только приложения, но и алгоритма шифрования, который в нем применяется. "Если мессенджер использует закрытый протокол, нет никакой гарантии, что он действительно защищен". Еще одна слабая сторона архитектуры - централизованный сервер, хранящий пересылаемую информацию. По мнению Ткачева, сервер коммуникационного сервиса должен выполнять исключительно функции адресации. Однако ряд популярных сервисов (например, Skype) сохраняет на сервере недоставленные сообщения, которые доставляет, когда адресат подключается к сети.
Не забывайте главный принцип защиты информации: даже самая стойкая архитектура или криптоалгоритм не спасают от дурака или предателя. Очень часто намного проще и дешевле завербовать информатора, чем взламывать систему связи.