Приватное общение в интернете: мессенджеры и чаты в соцсетях
Что значит «приватное общение»?
В статьях, посвященной шифрованию, мы говорили, что общаясь в интернете, ты часто передаешь собеседнику информацию, не предназначенную для других людей. Например, ты собираешь деньги на подарок однокласснице и отправляешь номер карты. Или обсуждаешь с другом потрясающую идею стартапа, на которой вы планируете заработать миллионы долларов. Может быть, ты пользуешься через мессенджер услугами психолога. Короче говоря, общаясь в интернете, ты ожидаешь, что никто, кроме тебя и собеседника, прочитать твои сообщения не сможет. Иными словами, ты ожидаешь, что твое общение будет приватным.
Я читал ваши статьи! У меня безопасный Wi-Fi и сильные пароли. Что может пойти не так?
Недавно произошла интересная история. На одном американском сайте знакомств для подростков обнаружилась проблема: любой человек мог прочитать переписку любого другого пользователя без его разрешения, просто угадав его уникальный номер, который, видимо, назначался в порядке регистрации (как id страницы в VK). Любой человек, немного разбирающийся в программировании, мог бы перебрать все номера и получить все переписки. Возможно, кто-то так и сделал. Такое может произойти с любым сайтом, который недостаточно ответственно относится к хранению переписок своих пользователей. Поэтому обсуждать что-то более личное, чем погода, на таких ресурсах не стоит.
Я пользуюсь личными сообщениями в Instagram/VK/Twitter. Это приватно?
Современные соцсети используют HTTPS-протокол для передачи сообщений. Это значит, что когда ты отправляешь сообщение, оно зашифровывается и в таком виде отправляется на сервер. Там сообщение расшифровывается и сохраняется в базе данных (на серверах). Когда твой собеседник хочет его прочитать, оно снова зашифровывается и окончательно расшифровывается на его устройстве. Таким образом, злоумышленник, решивший перехватить твою переписку в процессе передачи, не сможет ее прочитать.
Обрати внимание, что на сервере соцсети сообщение какое-то время живет в расшифрованном виде. Это значит, что владелец соцсети или мессенджера может прочитать твое сообщение. Для защиты от утечек сообщения в базе данных тоже, как правило, шифруют, но владелец соцсети имеет ключ для расшифровки.
Зачем владельцу соцсети иметь доступ к моим сообщениям?
В первую очередь – для твоего удобства. Когда ты получаешь новый смартфон, ты ожидаешь, что вся твоя переписка в соцсетях, которую ты вел на старом смартфоне, останется доступна, равно как она должна быть доступна и через веб-сайт. Если бы соцсеть не хранила копии сообщений, при смене устройства ты бы терял всю переписку. Но за удобство, однако, приходится платить. Например, владельцы соцсетей могут анализировать сообщения для того, чтобы показывать тебе рекламу с учетом их содержимого: например, раньше так делал Google на основе электронных писем из Gmail.
Ок! А кто кроме меня и соцсети может получить доступ к моей переписке?
Конечно же, мошенники. Они могут, например, с помощью фишинговых рассылок в почте или тех же соцсетях, украсть пароль от твоего аккаунта и получить доступ ко всем твоим сообщениям. В крайнем случае, мошенник может прибегнуть к социальной инженерии, и под видом обычного человека, который «постучал» тебе в ЛС пообщаться, попытаться разузнать про твои интересы и, вооружившись этой информацией, попробовать взломать пароль. Поэтому мы рекомендуем не общаться с посторонними людьми, которые пытаются завязать с тобой диалог, а также воспользоваться советами из нашей статьи про безопасность аккаунтов и придумать надёжный пароль. Так вот, для передачи действительно важных данных (вроде того же номера кредитки) соцсети не подходят.
А можно сделать так, чтобы никто, кроме меня и моего друга не мог расшифровать переписку?
Можно. Существуют мессенджеры, поддерживающие так называемое end-to-end (или сквозное) шифрование. Работает оно так: перед началом общения вы с другом обмениваетесь ключами, которые затем используются, чтобы зашифровывать сообщения. Таким образом, через какую бы сеть ни шел трафик, только вы и ваш друг можете прочитать сообщения – никакой расшифровки на серверах мессенджера не происходит и он не видит о чём вы переписываетесь.
И что это за мессенджеры?
Сквозное шифрование по умолчанию включено, среди прочих, в iMessage, WhatsApp, Viber, Signal и Wire. Другие популярные мессенджеры, например, Telegram, Skype и Facebook Messenger, тоже предоставляют возможность включить end-to-end-шифрование в так называемых секретных чатах (названия в разных мессенджерах может отличаться). По умолчанию, однако, сквозное шифрование в этих мессенджерах отключено. Snapchat и сообщения в таких соцсетях, как Instagram, VK и Twitter, сквозное шифрование не поддерживают.
Обратите внимание, что безопасные чаты с включенным сквозным шифрованием доступны только с того устройства, с которого вы его начали – только на этом устройстве хранится ключ, необходимый для расшифровки сообщений. Поэтому, например, секретный чат из Telegram нельзя продолжить в веб-версии. Веб-версия WhatsApp позволяет это сделать – сообщения расшифровываются на телефоне, а затем снова зашифровываются и передаются в веб-интерфейс, то есть для использования этого интерфейса онлайн должны быть и телефон, и компьютер.
Значит, со сквозным шифрованием моя переписка полностью защищена?
К сожалению, абсолютной защиты не существует. Например, на твоем устройстве может быть вирус, который считывает то, что показывается сейчас на экране – в таком случае о приватности переписки речи не идет, так что не забудь защитить смартфон и компьютер антивирусом. WhatsApp, если не отключить эту функцию, сохраняет копии твоей переписки в облачные хранилища, чтобы ты мог иметь к ней доступ после смены устройства – для максимальной приватности такой возможностью лучше не пользоваться.
Кроме того, злоумышленник, когда вы устанавливаете защищенное соединение, может вклиниться между вами, расшифровывать сообщения, читать и отправлять, зашифровывая заново. Это очень сложно, но гипотетически возможно: злоумышленнику потребуется перехватить ключи, которыми приложения обмениваются в начале разговора и которыми будет шифроваться переписка, и отправить вам вместо них свои собственные. Чтобы избежать такой ситуации, следует проверить (желательно лично или по альтернативному защищенному каналу), что ваши ключи совпадают.
Не забывай, что самый простой способ получить доступ к содержимому твоего смартфона, в том числе к переписке – физический доступ. Поэтому обязательно включи защиту с помощью пин-кода, отпечатка пальца, а лучше – надежного пароля. Шифрование памяти устройства Android и Windows также не повредит – с зашифрованного устройства прочесть данные не получится, даже если его у тебя украдут.
Ну и самое очевидное – установи сильный пароль не только на вход в соцсеть, но и в мессенджер и включи двухфакторную аутентификацию, многие мессенджеры предоставляют эту возможность. Потому что даже если переписка взломщику будет недоступна, получив доступ к аккаунту, он сможет общаться с людьми от твоего имени.
А я могу быть уверен, что само приложение не ведет себя неправильно?
Нет. Ты должен сам решить, доверять ли приложению свою переписку. В первую очередь, никогда не используй неофициальные приложения (даже если они обещают дополнительные функции вроде режима невидимости, скачивания музыки или эксклюзивных стикеров) – они могут намеренно сливать на свои сервера всю информацию о тебе.
Кроме того, устанавливать приложения можно только из официальных источников (Google Play, App Store, официальные сайты). Внимательно следи за тем, чтобы случайно не скачать подделку, которая тоже может воровать твои сообщения.
Наконец, доверяешь ли ты самому сервису? Во-первых, ни одно приложение не идеально, и в мессенджерах время от времени находят уязвимости. Во-вторых, некоторые люди принципиально не доверяют коммерческим приложениям, исходный код которых закрыт (то есть его не может прочитать любой желающий). В то же время исходный код, например, Signal открыт – любой может изучить его и проверить, что в нем нет, например, скрытой возможности по отключению шифрования.
Подводя итог
Если ты хочешь обсудить что-то важное через интернет – увы, стопроцентного рецепта безопасности не существует. Но следуя простым правилам, ты можешь значительно повысить шансы, что твоя переписка останется между тобой и собеседником:
- Начни с защиты устройства. Включи шифрование данных, поставь сильный пароль и установи антивирус.
- Ты должен доверять сети, в которой находишься. Если не доверяешь – используй VPN.
- Защити переписку на уровне приложения. Не используй неофициальные приложения, не скачивай приложения из неофициальных источников, установи сильный пароль и двухфакторную аутентификацию на вход в аккаунт.
- Для разных тем обсуждения подойдут разные сервисы. Максимальный уровень защиты обеспечивает end-to-end-шифрование.
- Если тебя заинтересовала эта тема, советуем почитать про шифрование электронной почты и о том, как поднять собственный сервер для обмена сообщениями на основе XMPP