Война в Донбассе быстро научила украинских защитников бдительности. Неосторожный пост в соцсети, отметка геолокации, фотография позиций - все это может привести к боевым потерям. Поневоле начнешь фильтровать онлайн-активность.

Однако совсем без привычных смартфонов, чатов и мессенджеров не получается. Бойцам хочется держать связь с семьями, понимать, что творится в родном городе, не выпадать из информационного потока. Не будешь же в 2018 году писать домой письма-треугольнички. Но здесь прячется риск.

Каким бы хорошим ни было любое рыночное приложение, у него есть ряд недостатков, особенно с безопасностью. Понимая это, украинские разработчики предложили альтернативу - мессенджер MilChat. Создатели позиционируют его, как первый защищенный украинский мессенджер с особыми полезными функциями для военных. И хотят передать его в ведение Министерства обороны.

LIGA.net выяснила, чем выделяется MilChat среди других мессенджеров и есть ли у него шансы стать официальным приложением для наших военных.

Проблема на поверхности

“Обычными мессенджерами пользуются не только гражданские, но и военные - и это ни для кого не секрет. Я даже проводил опросы: почему-то многие бойцы сидят на Viber, меньше на Telegram. WhatsApp - совсем второстепенно”, - рассказывает руководитель проекта Ярослав Шерстюк.

Масла в огонь периодически подливают новости. На днях Telegram обновил политику конфиденциальности. Теперь там есть пункт, что по решению суда администрация мессенджера может выдавать спецслужбам IP-адрес и номер телефона пользователя. И хотя о переписке здесь речь не идет, а Павел Дуров в своем канале сообщил, что какие-либо обращения от российских служб мессенджер не рассматривает, повод для беспокойства остался.

Шерстюк - сам в прошлом офицер-артиллерист. MilChat изначально появился как часть другой разработки - программного комплекса управления огнем ArtOS, который стоит на вооружении в ВСУ и Национальной гвардии. Сейчас мессенджер пробуют выделить в отдельный проект.

Ярослав Шерстюк презентует ArtOS на выставке. Фото - Facebook

По мнению руководителя разработки, никакие сторонние мессенджеры нельзя считать защищенными. Тем более, для переписок военных. Тем более, если мессенджеры финансируются другими государствами.

“В первую очередь, у военного должна быть возможность в случае необходимости нормально и безопасно делиться тактической информацией с сослуживцами. И, конечно же, спокойно общаться со своей семьей”, - объясняет Ярослав Шерстюк.

Технические фишки

Над проектом разработчики трудятся уже около 7 месяцев. В основном составе - 8 человек. Проект MilChat, как и ArtOS - это разработка Noosphere Engineering School из Днепра.

Одно из главных отличий MilChat - работа с картой. Так как мессенджер изначально разрабатывался для военных, в частности артиллеристов, Шерстюк подумал, что хорошо было бы организовать для них удобный инструмент, где можно делиться тактической информацией.

“Это как переписка в групповом чате. Только вместо чата - слой карты, а вместо слов участники “группы” наносят на карту тактические обозначения - развединформацию. Сейчас мы работаем над штабным комплектом, который собирает всю информацию с нескольких мессенджеров, анализирует ее и передает ArtOS для нанесения удара”, - рассказывает Шерстюк.

Для шифрования команда использует протокол мессенджера Signal, который в разных рейтингах считается одним из наиболее защищенных (например, в этой сравнительной таблице). А сам код лежит в открытом доступе. Шерстюк обещает позже выложить в общий доступ ядро и исходный код MilChat, чтобы специалисты убедились в его безопасности.

История переписки в зашифрованном виде лежит локально на устройстве. До прочтения зашифрованные сообщения лежат на сервере. А после попадают на смартфон, где расшифровываются. С сервера при этом они удаляются.

Экран работы со слоем карты в MilChat. Источник - Youtube

Мессенджер уже работает под Android, началась работа над версией для владельцев iPhone. Помимо фишки с групповой картой в нем можно просто переписываться, отправлять файлы, создавать группы. Разработчики также анонсируют каналы, как в Telegram. Пока что приложение в активном тестировании.

“Самый основной момент - регистрация по электронной почте. Можете завести временную, с помощью нее войти и пользоваться MilChat. В отличие от других мессенджеров мы абсолютно не владеем номерами телефонов пользователей”, - рассказывает Ярослав Шерстюк.

По его утверждению, взлом почты ничего не даст - она нужна только для регистрации и активации аккаунта. Даже если кто-то влезет в ящик, сменит через него пароль от мессенджера и зайдет в приложение на своем смартфоне, то увидит, в лучшем случае, непрочитанные сообщения. Ведь вся история хранится локально на исходном смартфоне.

Синхронизацию между устройствами команда пока не делала. Но обещает продумать все возможные варианты, чтобы ее не мог инициировать злоумышленник.

Выходит, что один из лучших способов взлома - получить физический доступ к разблокированному устройству. На это в приложении есть пин-код на вход в сам мессенджер и несколько планов по механизмам выявления злоумышленника.

Вопросы в лоб

“Самая большая сложность - не функционал, а обеспечение его [мессенджера] защищенности, секретности и выживаемости. И это не будет дешево. Все будет зависеть от того, какую сферу применения ему отведут”, - считает Александр Ольшанский, глава холдинга Internet Invest. По его мнению, продукт вполне может занять свою нишу, но точно не на поле боя.

Ольшанский напоминает: мероприятия по обеспечению секретности - не только технические. Нужно и проверять людей, и специальным образом организовывать процесс верификации кода, и т.п.

Александр Федиенко, глава Интернет ассоциации Украины и управляющий партнер компании ИМК, говорит о том же: содержать такие платформы - не дешевое удовольствие. И нужен или спонсор, или государственная программа финансирования. “А зачем это спонсору? Какую в последующем выгоду он будет извлекать из этого? От этого напрямую зависит и вопрос безопасности”, - акцентирует Федиенко.

Бывший руководитель и основатель CERT-UA, директор Бережа Секьюрити Константин Корсун тоже задается вопросами:

  • какой алгоритм и протокол шифрования end-to-end?
  • какая компания его разрабатывает? за чьи деньги?
  • какая квалификация разработчиков?
  • используются ли во время разработки практики безопасного кодинга OWASP?
  • есть ли уже стабильный релиз? если да, тестировался ли он на безопасность? если тестировался, какой независимой компанией? каким был отчет (если был)?

"Ответы на эти вопросы дадут основу для первых выводов и допущений", - говорит Корсун.

Александр Федиенко уверен: военные не должны пользоваться любыми мессенджерами - за исключением закрытых каналов и мессенджеров, которые разработаны самими военными или находятся в ведении самих военных. “То есть, система должна быть полностью закрыта и подконтрольна. Возможен вариант разработки продукта, передачи военным и потом возможность смены криптоключа”, - рассуждает глава ИнАУ.

Деньги и мотивы

По словам Ярослава Шерстюка, проект полностью финансируется ассоциацией Noosphere, основанной выходцем из Украины Максимом Поляковым. Сам разработчик от озвучивания затрат воздерживается.

LIGA.net обратилась за комментарием в Noosphere. Там ответили, что в проект вложено свыше $500 000. Речь идет обо всем “военном блоке” - без разграничения затрат отдельно на ArtOS, отдельно на MilChat. И это только стоимость разработки. Аппаратные комплексы для ArtOS идут другой статьей.

MilChat

“Мотивы - это наша страна, и мы не отдадим ее на растерзание. Это наша гражданская позиция и социальная ответственность. Все будет передаваться военным бесплатно, но без права продажи”, - говорит Михаил Рябоконь, руководитель ассоциации Noosphere и сооснователь Noosphere Engineering School.

По его словам, если продукт вызовет заинтересованность других стран (не принадлежащих к “оси зла”: Россия, Иран, ИГИЛ, Северная Корея), компания готова реализовывать MilChat. Как и делают многие частные компании во всем мире.

Под зонтик Минобороны

Как и в случае с ArtOS, у Ярослава Шерстюка и команды есть желание передать MilChat полностью в ведение Министерства обороны Украины. Руководитель проекта делает акцент: наши военные смогут пользоваться разработкой спокойно и свободно. Делиться важной информацией с группой или командиром. Агентура может работать в тылу и тоже передавать разведданные через мессенджер.

По его словам, сейчас у Минобороны нет какого-то инструмента для защищенной переписки между людьми. Команда мессенджера готова перенести MilChat на серверы Минобороны и передать ключи.

“Ведь было бы круто, если бы был наш украинский мессенджер, и серверы находились не где-то по всему миру, а здесь, в Минобороны, под контролем нашей страны”, - считает Ярослав Шерстюк.

Однако тут же и поправляется. Мол, в Главном управлении связи Генштаба пока не заинтересованы ни в каких подобных разработках. Только отдельные личности готовы сотрудничать. Но и тех съедает бюрократия.

Журналист LIGA.net здесь уточнил: верно ли, что в случае перехода с рыночных мессенджеров на подконтрольный Минобороны MilChat пользователи просто сменят “надзирателей” за серверами?

“В принципе, да. Потому что свободного интернета никогда не будет. Если бы все было так просто, криптовалютой уже можно было бы рассчитываться за хлеб”, - отвечает Шерстюк.

Говорят военные

В поисках полевой информации журналист обратился к своему знакомому старшему лейтенанту, который служит в механизированных войсках. Тот сразу сделал ссылку на субъективность мнения, потому что использование средств передачи информации разнится от подразделения к подразделению.

“Знаю, что многие наши ребята пользовались MilChat, артиллеристы и пехота, но, насколько знаю, отказались. Точно не скажу причину, но какие-то заявленные функции не работали, поэтому многие попереходили на то, чем пользовались раньше”, - делится собеседник.

Он подтверждает слова Шерстюка: мессенджеры используются абсолютно любые, как то Viber, Telegram, WhatsApp, Facebook Messenger и даже Instagram Direct. Но, как правило, информация в них гуляет сугубо бытовая. А вся информация, которая касается боевой работы и засекреченная, в 95% передается из рук в руки. Особенно, если у подразделения хватает колесной и легковой техники.

Вспоминает старший лейтенант и то, что прошлым летом отдельные группы артиллеристов обменивались разведданными в Telegram-чатах. Но к осени-зиме 2017 года оставили эту практику. И перешли на другую платформу.

“Вообще в зоне проведения операции Объединенных сил запрещено использование мобильных устройств и интернета. Но люди хотят быть на связи с близкими и не отрываться от цивилизации. Поэтому пользуются. Конкретно в нашем подразделении есть специально обученные люди, которые следят за тем, чтобы никто не выкладывал в соцсети ничего, что может повредить секретности проведения операции”, - резюмирует собеседник.

Уже после публикации материала пришел ответ от Минобороны. Там прокомментировали, что команда MilChat официально не обращалась к МОУ по вопросам тестирования и практического применения мессенджера MilChat.

"Программное обеспечение мессенджера может быть установлено и протестировано на серверах МОУ после принятия соответствующего решения руководящим составом МОУ и проведения дополнительной проверки на киберуязвимость", - отметили в Минобороны.