Вашето приложение за съобщения наистина ли е сигурно?
Приложенията за съобщения са едни от най-големите - ако не на най-важните приложения, които използваме всеки ден. Независимо дали става въпрос за поддържане на връзка със семейството и приятелите си по целия свят, контакт с колеги или стартиране на бизнес операции, приложения за съобщения като WhatsApp, iMessage, Skype и Facebook Messenger играят важна роля в ежедневните ни комуникации.
Често споделяме неща като лични снимки, бизнес тайни и правни документи в приложения за съобщения, информация, която не искаме да предоставяме на погрешни хора. Но докъде можем да се доверим на вашите приложения за съобщения, за да защитим всички наши поверителни съобщения и чувствителна информация?
Следват някои указания, които ще ви помогнат да оцените нивото на сигурност, което ще ви осигури любимото ви приложение за съобщения.
Няколко думи за шифроване
Разбира се, всички платформи за съобщения твърдят, че криптират данните ви. Шифроването използва математически уравнения, за да премества данните ви в преход, за да попречи на подслушвачите да могат да четат съобщенията ви.
Правилното криптиране гарантира, че само подателят и получателят на съобщението ще бъдат запознати със съдържанието му. Но не всички видове криптиране са равни.
Най-сигурните приложения за съобщения са тези, които предлагат шифроване от край до край (E2EE). E2EE приложенията съхраняват ключове за дешифриране само на устройствата на потребителите. E2EE не само защитава вашите комуникации от подслушватели, но също така гарантира, че компанията, която е домакин на приложението, няма да може да чете вашите съобщения. Това също означава, че вашите съобщения ще бъдат защитени от нарушения на данните и натрапчиви заповеди от трибуквени агенции.
Все повече и повече приложения за съобщения предоставят от край до край криптиране. Signal беше една от първите платформи, които поддържаха E2EE. През последните години други приложения са приели протокола за криптиране на Signal или са разработили собствена технология E2EE. Примерите включват WhatsApp, Wickr и iMessage.
Facebook Messenger и Telegram също поддържат E2EE съобщения, въпреки че по подразбиране не са активирани, което ги прави по-малко сигурни. Наскоро Skype добави и опция „Частни разговори“, която ви дава възможност да шифрирате от един край до един по ваш избор.
Hangouts на Google не поддържа шифроване от край до край, но компанията предлага приложения за Allo и Duo, текстови съобщения и видеоконференции, които са криптирани от край до край.
Изтриване на съобщение
Има повече сигурност, отколкото просто криптиране на съобщения. Какво ще стане, ако устройството ви или устройството на човека, с който говорите, се хакне или попадне в неподходящи ръце? В този случай шифроването няма да е от полза, защото злонамереният участник ще може да вижда съобщения в некриптиран формат.
Най-добрият начин да защитите съобщенията си е да се отървете от тях, когато вече не се нуждаете от тях. Това гарантира, че дори ако устройството ви стане компрометирано, зловредните актьори няма да получат достъп до поверителните ви и чувствителни съобщения.
Всички приложения за съобщения осигуряват някаква форма на изтриване на съобщения, но отново не всички функции за премахване на съобщения са еднакво сигурни.
Например Hangouts и iMessage ви позволяват да изчистите историята на разговорите си. Но докато съобщенията ще бъдат премахнати от устройството ви, те ще останат на устройствата на хората, с които сте в чата.
Следователно, ако устройствата им бъдат компрометирани, все още ще загубите чувствителните си данни. В своя интерес Hangouts има опция за деактивиране на историята на разговорите, която автоматично ще премахва съобщенията от всички устройства след всяка сесия.
В Telegram, Signal, Wickr и Skype можете да изтривате съобщения за всички участници в разговор. Това може да гарантира, че чувствителните комуникации не остават в нито едно от устройствата, участващи в разговор.
WhatsApp също добави опция „изтрий за всички“ през 2017 г., но можете да я използвате за изтриване само на съобщенията, които сте изпратили през последните 13 часа. Facebook Messenger също добави функция „unsend“ съвсем наскоро, въпреки че работи само 10 минути след като изпратите съобщение.
Signal, Telegram и Wickr осигуряват и функция за самоунищожение, която незабавно премахва съобщенията от всички устройства след преминаване на конфигуриран период от време. Тази функция е особено добра за чувствителни разговори и ви спестява усилията за ръчно изтриване на съобщения.
Metadata
Всяко съобщение идва с допълнителна информация, известна също като метаданни, като идентификатори на подателя и получателя, времето, когато съобщението е изпратено, получено и прочетено, IP адреси, телефонни номера, идентификатори на устройства и т.н..
Сървърите за съобщения съхраняват и обработват този вид информация, за да се уверят, че съобщенията се доставят на правилните получатели и навреме и да се даде възможност на потребителите да разглеждат и организират своите журнали за чат..
Докато метаданните не съдържат текст на съобщението, в неправилни ръце, той може да бъде много вреден и да разкрива много неща за комуникационните модели на потребителите, като например географското им местоположение, времето, когато те използват техните приложения, хората, с които комуникират и т.н..
В случай че услугата за съобщения стане жертва на нарушаване на данните, този вид информация може да проправи пътя за кибератаки като фишинг и други схеми за социално инженерство..
Повечето услуги за съобщения събират множество метаданни и за съжаление няма сигурен начин да се знае какъв тип услуги за съхранение на информационни съобщения. Но от това, което знаем, сигналът има най-добрата история. Според компанията, нейните сървъри регистрират само телефонния номер, с който сте създали профила си и последната дата, в която сте влезли в профила си.
прозрачност
Всеки разработчик ще ви каже, че приложението им за съобщения е сигурно, но как можете да сте сигурни? Откъде знаеш, че приложението не крие задната врата, имплантирана от правителството? Откъде знаете, че разработчикът е свършил добра работа при тестването на приложението?
Приложенията правят публично достъпен изходния код на приложението им, известен също като „отворен код“, и са по-надеждни, защото независимите експерти по сигурността могат да проверят и потвърдят дали са сигурни или не.
Signal, Wickr и Telegram са приложения за съобщения с отворен код, което означава, че те са прегледани от независими експерти. Сигналът в частност има подкрепата на експерти по сигурността като Брус Шнайер и Едуард Сноуден.
WhatsApp и Facebook Messenger са със затворен код, но те използват сигнала от отворен код за шифроване на своите съобщения. Това означава, че можете поне да сте сигурни, че Facebook, който притежава двете приложения, няма да търси в съдържанието на вашите съобщения.
За напълно затворени приложения, като iMessage на Apple, трябва напълно да се доверите на разработчика, за да избегнете катастрофални грешки в сигурността.
За да бъде ясно, отвореният код не означава абсолютна сигурност. Но поне можете да се уверите, че приложението не крие нищо гадно под капака.