Спілкування під час війни: Telegram, Viber чи щось краще

Слава Україні! Я Юлія Забіяка, ІТ-фахівчиня з 20-річним стажем. Протягом останнього місяця деякі з моїх родичів і друзів переходили з одного додатка для обміну повідомленнями на інший та сперечалися про найбезпечніші налаштування. У той самий час, інші навіть не могли зрозуміти, з чим пов’язана стурбованість, і спокійно радились між собою в Telegram, як краще чинити опір оркам.

Оскільки я працювала над системою централізованого контролю доступу в Google та допомагала різним компаніям захищати їхні комунікації та дані, то вирішила використати свій досвід, щоб наочно освітлити цю нову, але насправді важливу для нас всіх тему.

Ризики комунікацій під час війни

Зробити свідомий вибір серед широкого спектру додатків для спілкування з родиною, друзями та колегами може бути важко. Більшість робить свій вибір, керуючись наявними функціями, можливостями і модними трендами. Однак у воєнний час безпека спілкування має стати одним з пріоритетів.

Наприклад, ви з іншими волонтерами доставляєте ліки та їжу теробороні. Якщо ФСБ прочитає або прослухає ваше спілкування, вони зможуть мати уявлення про місцеперебування українських військових і волонтерів.

Можливо, ви зводите барикади і надсилаєте фотографії своїм друзям з результатами. Ці дані, якщо їх побачать окупанти, можуть бути використані для планування чергових нападів.

Можливо, ви зараз організовуєте чи берете участь у демонстраціях на окупованій території. За допомогою вашого цифрового сліду орки зможуть розпізнати стратегічні місця вашого опору, і вас самих.

Я не намагаюся відмовляти вас від опору окупантам (бо я вам вдячна і пишаюсь вашою відвагою), а лише хочу допомогти вам зрозуміти ризики та обрати безпечніший додаток для спілкування. Розглянемо Viber, Telegram і Signal. Viber і Telegram нам всім дуже знайомі, а Signal, мабуть, знайомий тільки тим, хто спілкується з українською армією або наближені до військових.

В чому саме полягає небезпека?

В усіх перелічених вище сценаріях окупантам вдалося побачити зміст вашого спілкування. Якщо орки фізично не забрали ваш телефон (хоча ми і до такого знаємо як підготуватися), то за яких обставин вони отримали доступ до ваших повідомлень? Є дві найвірогідніші вразливості:

1. повідомлення може бути перехоплено під час доставки — коли воно йде між цифровими каналами;
2. повідомлення також можна прочитати, отримавши доступ до серверів, додатків обміну повідомленнями (наприклад, Telegram або Viber), якщо вони там зберігаються.

Багато систем для обміну повідомленнями намагаються уникнути обох сценаріїв, використовуючи наскрізне шифрування, однак деякі використовують лише шифрування під час передачі даних, захищаючи, таким чином, лише від першої вразливості. Нижче наведено візуальне зображення різниці між двома видами шифрування.

Як бачите, для того, щоб надіслане вами повідомлення дійшло до адресата, воно спочатку має пройти через сервери додатків — це стосується практично всіх сучасних месенджерів, які покладаються на інтернет. Усі три програми (як і більшість програм обміну повідомленнями) шифрують дані під час їх передачі. Це означає, що навіть якщо дані будуть перехоплені, їх неможливо буде розшифрувати.

Таким чином, використання всіх трьох додатків загалом захищає нас від уразливості першого типу.

А навіщо вони це все зберігають?

Щодо другого типу вразливості, сервіси значно відрізняються. На жаль, деякі з них зберігають усі розмови та дані про них (географічне місце, тривалість, частоту) на своїх серверах. Цю інформацію можуть дістати хакери або працівники, які під тиском або й охоче співпрацюють з російським урядом.

Джерело: *privacy-not-included/telegram

Ви можете бачити на зображенні їх сервера, що Telegram зберігає усі розмови протягом 10 років і ще досить багато вашої персональної інформації. Tе, що повідомлення зберігаються на сервері, ще не означає, що вони читабельні. Однак, якщо повідомлення не зашифровані, їх можна читати.

Якщо ви, як і більшість користувачів, не створили «секретний» чат для кожного зі своїх контактів, усі ваші комунікації будуть незашифрованими та доступними для співробітників і співробітниць Telegram, які мають доступ до сервера бази даних та хакерів. Зауважимо, що «секретний» чат навіть за бажання неможливо створити для більш ніж двох осіб, тобто спілкування в усіх групових чатах та каналах є незашифрованим.

Як спеціалісти і очікували від розробки, в якій безпека не є пріоритетом, «багато чого поганого і може трапитись, i вже трапилось через користування Telegram» (див. також 1, 2, 3). До того ж нещодавно заступник голови комітету госдуми з інформаційної політики Олег Матвєйчев пояснив, що досягнутий «компроміс» із ФСБ дозволить Telegram продовжувати роботу в Росії. Компроміс робить можливим полювання за «терористами», тож усі українські чати можуть бути доступні для перевірки та добування даних агентам Кремля.

Джерело: *privacy-not-included/signal, джерело: *privacy-not-included/viber

Повернімося до Viber і Signal. Обидві програми зберігають повідомлення в зашифрованому вигляді і тільки протягом мінімально необхідного часу для доставки адресатам. Після доставки, повідомлення видаляються з сервера.

В разі недосяжності абонента Viber намагатиметься повторити доставку протягом 14 днів, а Signal — протягом 3-х місяців, після чого обидва додатки видалять недоставлені повідомлення.

І Viber, і Signal шифрують ваші повідомлення за допомогою наскрізного шифрування, тож навіть якщо їхні співробітники знайдуть доступ і перевірять комунікаційну чергу, ваші повідомлення вони прочитати не зможуть.

Signal пішов на крок далі і шифрує навіть ідентифікатор відправника! Однак існує велика різниця між Viber і Signal у тому, скільки додаткових даних про вас зберігається. Як бачимо, Viber зберігає набагато більше інформації про вас і використовує її для таргетування реклами. Ця додаткова інформація є менш захищеною і до неї легше отримати доступ.

Як упевнитися в правдивості цієї інформації?

Ще одна суттєва відмінність між нашими трьома додатками полягає в тому, що тільки у Signal програмне забезпечення є відкритим і кожен має змогу перевірити їх початковий код. Це означає, що зовнішні спеціалісти постійно перевіряють гарантії цифрової безпеки Signal.

Telegram і Viber є приватними компаніями, які дозволяють дуже обмежений доступ як до свого програмного забезпечення, так i до своїх криптографічних протоколів. Тому, на жаль, навіть за умови періодичної зовнішньої перевірки деяких частин їх коду немає гарантії, що після перевірки код відразу не зміниться.

To ж краще перейти у Signal!

Я погоджуюсь із роз’ясненням Electronic Frontier Foundation щодо різних потреб безпеки, і що рекомендація «найбільш безпечного» додатка залежить від ситуації. Пропоную прочитати їх посібник, особливо якщо ваша ситуація відрізняється від сценаріїв, які я розглянула на початку статті.

Проте, враховуючи ситуацію в Україні, я наполегливо раджу використовувати Signal для безпечного зв’язку під час війни. Якщо ви використовуєте Telegram або Viber і ще не готові перейти на Signal, то рекомендую віддати перевагу Viber. І попри все, для важливої інформації, будь ласка, не використовуйте звичайні дзвінки на мобільний телефон або SMS!

Якщо я випадково збентежила вас сумнівами в безпеці месенджерів і ви замість них вирішили дзвонити по «Київстар» або Vodafone і навіть згодні платити за SMS, то хочу нагадати, що це був би найнебезпечніший варіант зв’язку. Стільникові дзвінки і тексти не шифруються, і їх можна легко перехопити і прочитати чи прослухати. Тільки згадайте російського генерала, який загинув в Україні через телефонний дзвінок (і через те, що був окупантом).

Я сподіваюсь, що ви серйозно поставитесь до своєї безпеки. Навіть якщо ваші нинішні комунікації не мають особливого інтересу для агресора, оскільки майже все населення України допомагає теробороні та біженцям і протидіє окупації, я вважаю, що має сенс переключити всі групові і приватні бесіди на надійний додаток. Ви можете завантажити Signal з їхньої офіційної сторінки.

Signal високо котується світовою спільнотою фахівців з безпеки, але якщо ви хочете перевірити інші надійні програми спілкування, то подивіться на Threema і Wire зі Швейцарії. Однак майте на увазі, що, на відміну від Signal, ці додатки доступні за невелику плату.

Джерела

У цій статті я покладалась на ряд незалежних авторитетних НПО, серед яких найвизначнішими є:

• Electronic Frontier Foundation
• проєкт від Mozilla Foundation *конфіденційність не включена. На ньому ви можете знайти огляди Telegram, Viber і Signal та інших популярних програм, як-от Facebook Messenger і WhatsApp.