Действительно ли надежны «надежные» мессенджеры?
То, что абоненты сотовых операторов все меньше и меньше пользуются СМС, — давно не новость. Многие используют для переписки сторонние мессенджеры, считая их более надежными и безопасными. Однако недавняя громкая история взлома Telegram оппозиционных гражданских активистов Олега Козловского и Георгия Албурова показала, что даже к защищенным средствам обмена сообщениями можно найти подход.
До недавних пор единственным широко распространенным мессенджером, использующим end-to-end-шифрование (или «сквозное шифрование» — термин означает, что доступ к сообщениям возможен только участникам чата), был Telegram Павла Дурова, изначально разрабатывавшийся как защищенное средство связи. Однако впоследствии другие игроки рынка добавили эту функцию в свои продукты.
На сегодняшний день сообщения шифруют все популярные мессенджеры: Viber, WhatsApp, ICQ. Разработчики других приложений для общения также так или иначе обозначили, что работают в направлении защиты пользователей от перехвата переписки. Но даже если все сообщения между пользователями шифруются, это не означает, что к ним нельзя получить доступ.
Взлом и его последствия
Произошедшему на данный момент посвящен целый сайт. Жертвы обвиняют сотового оператора МТС в пособничестве взломщикам: по их мнению, тот намеренно отключил на время взлома услугу передачи СМС, чтобы владельцы Telegram-аккаунта не смогли получить сообщение с кодом авторизации, и передал данные для авторизации злоумышленникам.
Google оценил Telegram более чем в 1 млрд долларов
Основатель мессенджера Telegram Павел Дуров встречался в мае 2015 года с гендиректором американской компании Google Сундаром Пичаи, рассказал «Секрету Фирмы» источник, близкий к Telegram, и подтвердили несколько инвесторов на венчурном рынке.
Мнения экспертов по этому вопросу разделились. Кто-то открыто обвиняет оператора, кто-то, наоборот, встает на его защиту. Вокруг сложившейся ситуации гораздо больше вопросов, чем ответов. Если же абстрагироваться от попыток обличить виновного, становится очевидной довольно простая вещь: от взлома не способны спасти даже защищенные средства связи.
Никакое end-to-end-шифрование вместе с продвинутыми криптографическими алгоритмами не смогут защитить от подобной «лобовой атаки».
Можно сколько угодно доказывать, что если на стороне злоумышленника оказывается сотовый оператор — пользователь обречен. Однако проведенный Банки.ру экспресс-опрос экспертов в области информационной безопасности показал, что даже если из уравнения исключить «помощь» оператора, найдется как минимум пара способов провернуть аналогичный трюк: шпионское ПО на мобильном устройстве абонента или действия внедренного инсайдера в МТС. «Чем удобнее организован доступ к обмену информацией, тем большему риску эта информация подвергается», — считает главный аналитик Zecurion Владимир Ульянов.
Где спасение
Как ни странно, спасение — в изменении отношения к средствам обмена информацией. Несмотря на то что многие из них декларируются как «защищенные», пользователи не прибегают ко всем предоставляемым ими средствам защиты. К примеру, не пользуются двухфакторной аутентификацией. Если бы у жертв упомянутого взлома была включена эта функция, заполучить доступ к их аккаунтам оказалось бы сложнее. А сохранение истории общения — то самое удобство, которое способно скомпрометировать переписку.
Еще один совет, который многие неоднократно слышали и успешно игнорировали, — использование антивирусного ПО. Самый простой способ получения доступа к любой переписке пользователя на любом устройстве — заражение этого самого устройства. Путей для этого существует такое количество, что простой осторожности тут мало. Нужно использовать как минимум бесплатные антивирусные решения.
Гарантии безопасности
Но даже если оставить в стороне описанные выше методы получения доступа к содержимому переписки, могут ли мессенджеры в полной мере гарантировать неприкосновенность данных, достаточно ли просто использовать современные криптографические средства? В качестве подтверждения «стойкости» Telegram Павел Дуров не раз объявлял конкурс с внушительным денежным призом тому, кому удастся взломать переписку.
В одном из случаев пользователю удалось провести атаку на секретный чат. Но так как доступ к переписке взломщик получить так и не смог, сумма выплаченного вознаграждения была уменьшена вдвое. После этого в программу были внесены необходимые изменения, что исключило возможность повтора подобной атаки, поэтому следующий аналогичный конкурс остался без победителя.
Надо сказать, что некоторые эксперты считают, что в подобных «соревнованиях» больше популизма, чем желания подвергнуть алгоритмы защиты серьезной проверке. По их мнению, суммы призов слишком малы, чтобы окупить работу профессиональных криптоаналитиков: у профессионалов отрасли нет стимула участвовать в подобных мероприятиях — их работа попросту не окупится. А то, что никто не выиграл конкурс, означает лишь, что его никто не выиграл, это никак не может являться доказательством надежности ПО.
Кроме всего прочего, существует и конспирологическая теория, гласящая, что государственные структуры США приложили руку к разработке стандартов шифрования, использующихся в том числе в программах для обмена сообщениями. Согласно теории, разработчики стандартов шифрования оставили в них «бэкдоры», позволяющие получать доступ к зашифрованным данным.
Пусть это и звучит банально, но лучшим способом защиты информации остается использование всех возможных средств для ее хранения и передачи. Кроме того, важны вспомогательные средства защиты системы в целом. Практика показывает, что игнорировать эти старые истины слишком дорого.
Павел ШОШИН,
Действительно ли надежны «надежные» мессенджеры? То, что абоненты сотовых операторов все меньше и меньше пользуются СМС, — давно не новость. Многие используют для переписки сторонние мессенджеры, считая их более надежными и безопасными. Однако недавняя громкая история взлома Telegram оппозиционных гражданских активистов Олега Козловского и Георгия Албурова показала, что даже к защищенным средствам обмена сообщениями можно найти подход. До недавних пор единственным широко распространенным мессенджером, использующим end-to-end-шифрование (или «сквозное шифрование» — термин означает, что доступ к сообщениям возможен только участникам чата), был Telegram Павла Дурова, изначально разрабатывавшийся как защищенное средство связи. Однако впоследствии другие игроки рынка добавили эту функцию в свои продукты. На сегодняшний день сообщения шифруют все популярные мессенджеры: Viber, WhatsApp, ICQ. Разработчики других приложений для общения также так или иначе обозначили, что работают в направлении защиты пользователей от перехвата переписки. Но даже если все сообщения между пользователями шифруются, это не означает, что к ним нельзя получить доступ. Взлом и его последствия Произошедшему на данный момент посвящен целый сайт. Жертвы обвиняют сотового оператора МТС в пособничестве взломщикам: по их мнению, тот намеренно отключил на время взлома услугу передачи СМС, чтобы владельцы Telegram-аккаунта не смогли получить сообщение с кодом авторизации, и передал данные для авторизации злоумышленникам. Google оценил Telegram более чем в 1 млрд долларов Основатель мессенджера Telegram Павел Дуров встречался в мае 2015 года с гендиректором американской компании Google Сундаром Пичаи, рассказал «Секрету Фирмы» источник, близкий к Telegram, и подтвердили несколько инвесторов на венчурном рынке. Мнения экспертов по этому вопросу разделились. Кто-то открыто обвиняет оператора, кто-то, наоборот, встает на его защиту. Вокруг сложившейся ситуации гораздо больше вопросов, чем ответов. Если же абстрагироваться от попыток обличить виновного, становится очевидной довольно простая вещь: от взлома не способны спасти даже защищенные средства связи. Никакое end-to-end-шифрование вместе с продвинутыми криптографическими алгоритмами не смогут защитить от подобной «лобовой атаки». Можно сколько угодно доказывать, что если на стороне злоумышленника оказывается сотовый оператор — пользователь обречен. Однако проведенный Банки.ру экспресс-опрос экспертов в области информационной безопасности показал, что даже если из уравнения исключить «помощь» оператора, найдется как минимум пара способов провернуть аналогичный трюк: шпионское ПО на мобильном устройстве абонента или действия внедренного инсайдера в МТС. «Чем удобнее организован доступ к обмену информацией, тем большему риску эта информация подвергается», — считает главный аналитик Zecurion Владимир Ульянов. Где спасение Как ни странно, спасение — в изменении отношения к средствам обмена информацией. Несмотря на то что многие из них декларируются как «защищенные», пользователи не прибегают ко всем предоставляемым ими средствам защиты. К примеру, не пользуются двухфакторной аутентификацией. Если бы у жертв упомянутого взлома была включена эта функция, заполучить доступ к их аккаунтам оказалось бы сложнее. А сохранение истории общения — то самое удобство, которое способно скомпрометировать переписку. Еще один совет, который многие неоднократно слышали и успешно игнорировали, — использование антивирусного ПО. Самый простой способ получения доступа к любой переписке пользователя на любом устройстве — заражение этого самого устройства. Путей для этого существует такое количество, что простой осторожности тут мало. Нужно использовать как минимум бесплатные антивирусные решения. Гарантии безопасности Но даже если оставить в стороне описанные выше методы получения доступа к содержимому переписки, могут ли мессенджеры в полной мере гарантировать неприкосновенность данных, достаточно ли просто использовать современные криптографические средства? В качестве подтверждения «стойкости» Telegram Павел Дуров не раз объявлял конкурс с внушительным денежным призом тому, кому удастся взломать переписку. В одном из случаев пользователю удалось провести атаку на секретный чат. Но так как доступ к переписке взломщик получить так и не смог, сумма выплаченного вознаграждения была уменьшена вдвое. После этого в программу были внесены необходимые изменения, что исключило возможность повтора подобной атаки, поэтому следующий аналогичный конкурс остался без победителя. Надо сказать, что некоторые эксперты считают, что в подобных «соревнованиях» больше популизма, чем желания подвергнуть алгоритмы защиты серьезной проверке. По их мнению, суммы призов слишком малы, чтобы окупить работу профессиональных криптоаналитиков: у профессионалов отрасли нет стимула участвовать в подобных мероприятиях — их работа попросту не окупится. А то, что никто не выиграл конкурс, означает лишь, что его никто не выиграл, это никак не может являться доказательством надежности ПО. Кроме всего прочего, существует и конспирологическая теория, гласящая, что государственные структуры США приложили руку к разработке стандартов шифрования, использующихся в том числе в программах для обмена сообщениями. Согласно теории, разработчики стандартов шифрования оставили в них «бэкдоры», позволяющие получать доступ к зашифрованным данным. Пусть это и звучит банально, но лучшим способом защиты информации остается использование всех возможных средств для ее хранения и передачи. Кроме того, важны вспомогательные средства защиты системы в целом. Практика показывает, что игнорировать эти старые истины слишком дорого. Павел ШОШИН,
