Welke informatie slaan boodschappers op hun servers op. We gebruiken messengers met codering voor veilige communicatie

laat een reactie achter 6,950

01.11.18. De desktopversies van Signal en Telegram slaan informatie onversleuteld op. Durov legde uit waarom

De afgelopen week hebben beveiligingsonderzoekers ontdekt dat zowel de veiligste messengers, Signal als Telegram, berichten onversleuteld op de computer van een gebruiker opslaan. Signal doet dit bij het updaten van versies van de desktop-applicatie (om berichten in de nieuwe versie te importeren), en Telegram slaat alle chats eenvoudig zonder versleuteling op in de SQLite-database, waarin ze moeilijk te lezen zijn, maar het is mogelijk. Pavel Durov reageerde onmiddellijk op deze ontdekking in zijn telegramkanaal en legde uit dat dit geen bug was, maar een functie (meer precies, de normale gang van zaken). Immers, als aanvallers toegang krijgen tot uw computer, kunnen ze uw berichten nog steeds lezen. Het is waar dat Pavel niet vermeldde dat het voor hen zo gemakkelijk zou zijn om de berichten te lezen als ze het wachtwoord niet wisten dat kan worden ingesteld in de desktopversie van Telegram.

2018. Ultraveilige Signal Messenger slaat geschiedenis en coderingssleutels "in het geheim" op in leesbare tekst


IMatthew Suish deelde de ontdekking dat een van de veiligste crypto-boodschappers, Signal, een indrukwekkend varken op zijn gebruikers heeft gezet. De messenger, tijdens het migreren van een Chrome-extensie naar een volwaardige desktopclient, exporteert gebruikersberichten naar niet-versleutelde tekstbestanden. Het programma geeft geen waarschuwingen weer dat informatie wordt gedecodeerd en op schijf wordt opgeslagen. Dit moment is de sleutel tot de dreiging van het lekken van vertrouwelijke gegevens. Het ergste in deze situatie is dat niet-versleutelde berichten op de schijf blijven, zelfs nadat de upgrade is voltooid, en dat ze handmatig moeten worden verwijderd, als de gebruiker natuurlijk al raadt ...


Skype lanceerde een end-to-end encryptiesysteem voor alle Skype-gebruikers op Windows Desktop, Android, iOS, Mac en Linux. Om een ​​versleuteld gesprek te starten, moet u een gebruiker uit uw contactenlijst selecteren en op "Privégesprek starten" klikken. Hiervoor moeten beide gesprekspartners de laatste versie van Skype hebben. Alle berichten en oproepen in een privégesprek worden versleuteld tot het einde van het gesprek. Een gecodeerde chat is alleen beschikbaar voor de gebruiker op het apparaat waarop hij is gestart: als hij van computer naar smartphone overschakelt, moet hij een nieuw gesprek beginnen, alle verzonden en ontvangen berichten en bestanden blijven op de computer staan.

2018. Sberbank lanceerde zijn eigen messenger


Sberbank heeft zijn eigen messenger Dialogues toegevoegd aan zijn Sberbank Online mobiele applicatie. Waarom heeft een bank een eigen messenger nodig? Feit is dat het naast het overzetten van berichten heel gemakkelijk is om er geld in over te maken. De messenger is alleen ontworpen voor Sberbank-klanten: het telefoonnummer is gekoppeld aan de Sberbank-kaart. Opgemerkt wordt dat de correspondentie wordt beschermd door Sberbank-technologieën. Interessant is dat er in december 2017 geruchten waren dat Sberbank aan het onderhandelen was over de aankoop van Dialog, een messenger-ontwikkelaar voor bedrijfscommunicatie. Maar hoe de onderhandelingen zijn afgelopen, is niet bekend.

2017. Beschermde messenger Threema heeft een desktopversie ontvangen

Threema kondigt de release aan van de desktopversie van zijn beveiligde messenger Threema, waarmee de dienst op een desktopcomputer kan worden gebruikt. Net als de mobiele versie biedt de Threema-webclient een hoog niveau van informatiebeveiliging en worden niet-kritieke scenario's voor gegevensinteractie zoveel mogelijk beperkt. In plaats van een server te gebruiken om berichten te synchroniseren, brengt Threema een directe versleutelde verbinding tot stand tussen de browser en het mobiele apparaat met behulp van het SaltyRTC-protocol. Zo kunnen berichten worden gesynchroniseerd zonder dat er serververwerking nodig is. Als de browser en het mobiele apparaat met hetzelfde netwerk zijn verbonden, zullen de gegevens het niet verlaten.

2016. End-to-end-codering verschijnt op Facebook Messenger


Facebook Messenger heeft nu end-to-end versleutelde "geheime" chats. U kunt een "geheime" chat starten vanuit het menu voor het maken van een nieuw bericht door op de knop "Geheim" te klikken. Daarna zal de messenger aanbieden om te kiezen met welke van de gebruikers je gecodeerde correspondentie moet starten. Geheime chats zijn alleen beschikbaar op de apparaten waarop ze voor het eerst zijn geopend. Bovendien is het mogelijk om een ​​timer aan berichten toe te voegen - nadat de opgegeven tijdsperiode is verstreken, worden ze verwijderd. Tegelijkertijd is het verzenden van GIF's en video's niet beschikbaar in dergelijke chats, maar het is mogelijk om afbeeldingen en stickers te verzenden. Elke persoon in een gesprek moet zijn Messenger-app hebben bijgewerkt naar de nieuwste versie.

2016. Durov en Snowden hadden ruzie over de veiligheid van Telegram en WhatsApp


De maker van de boodschapper Pavel Durov en voormalig CIA-officier Edward Snowden maakten op Twitter ruzie over de veiligheid van boodschappers. Het begon allemaal met het feit dat Snowden het gebruik van de nieuwe messenger niet aanraadde (omdat hij correspondentie op de server opslaat), en vervolgens zei dat het betrouwbaarder was dan Telegram, omdat biedt standaard end-to-end-codering. Pavel kon hier natuurlijk niet omheen en maakte bezwaar dat in Telegram dezelfde codering desgewenst kan worden ingeschakeld, maar WhatsApps dwingt gebruikers om externe diensten te gebruiken om correspondentie op te slaan. Uiteindelijk waren beide het erover eens dat als de gebruiker onoplettend is of gewoon niet geeft om de vertrouwelijkheid van informatie, hij deze in elke messenger kan verliezen.

2016. Viber begon berichten te versleutelen en lanceerde geheime chats


In navolging van Telegram en WhatsApp introduceert de populairste messenger van ons land end-to-end encryptie. Nu zijn alle spraakoproepen, persoonlijke en groepschats, evenals overgedragen bestanden volledig beschermd. Tegelijkertijd ziet de service de inhoud van berichten niet en slaat geen archieven van correspondentie op. Op deze manier versleutelde correspondentie kan zelfs door de speciale diensten niet bij het bedrijf worden opgevraagd. Binnen een paar weken werkt de technologie op alle apparaten waarop de Viber-versie wordt geüpdatet naar 6.0 - dit geldt voor zowel mobiele als desktop-applicaties. De nieuwe versie van Viber ontving ook "geheime chats" met alleen toegang door een viercijferige pincode of door een vingerafdruk (iOS-versie), dus het lost het probleem van het verliezen van een smartphone door de eigenaar enigszins op.

2016. WhatsApp Messenger heeft volledige berichtversleuteling ingeschakeld


Messenger (eigendom van Facebook) heeft end-to-end-codering ingeschakeld voor alle gebruikers van zijn messenger. Om codering te implementeren, gebruikt WhatsApp de Signal Messenger-bibliotheek, die als een van de veiligste ter wereld wordt beschouwd. Het gebruik van deze bibliotheek zorgt ervoor dat niet alleen de gegevens op de tussenserver niet kunnen worden ontsleuteld, maar ook geen metadata-informatie wordt opgeslagen waarmee de gesprekspartners kunnen worden geïdentificeerd. Versleuteling is van toepassing op alle verzonden inhoud, inclusief chats, groepschats, foto's, bijlagen, spraakmemo's en spraakoproepen. Om een ​​veilig kanaal te creëren, moet u de QR-code van de ene telefoon naar de andere scannen. Een vergelijkbare end-to-end-coderingstechnologie wordt gebruikt in de Telegram-messenger van Pavel Durov, maar daarin werkt het alleen in zogenaamde "geheime chats" die zijn ontworpen voor twee gesprekspartners.

2015. Rusland heeft zijn eigen beveiligde zakelijke messenger


Onlangs verscheen op Habré een goede vergelijkende analyse van de beveiliging van moderne instant messengers. De veiligste zijn Telegram, Signal, Tox, Jabber. Maar als voor u een belangrijke veiligheidsparameter van een messenger de binnenlandse oorsprong en plaatsing is, let dan op het nieuwe product - de Avirton zakelijke messenger. Het is ontwikkeld in Rusland en al zijn servers bevinden zich op het grondgebied van de Russische Federatie, zodat zelfs overheidsinstanties de messenger kunnen gebruiken zonder angst voor lekken. AES-technologie (gebruikt als standaard door de Amerikaanse overheid) wordt gebruikt om gegevens te versleutelen. Wat betreft de financiële zekerheid van het project, Avirton heeft al meer dan $ 1 miljoen aangetrokken van particuliere investeerders en verwacht tegen het einde van het jaar een extra investering van $ 5 miljoen en een bedrijfswaarde van $ 30 miljoen.

2015. Facebook lanceerde een zakelijke messenger


Eerder dit jaar lanceerde Facebook een zakelijke versie van zijn sociale netwerk Facebook at Work. Het punt is dat werknemers van één bedrijf werkaccounts kunnen krijgen (gescheiden van persoonlijke) en gezamenlijk werk kunnen organiseren op een gesloten bedrijfspagina, vergelijkbaar met hoe dit bijvoorbeeld wordt gedaan in de Bitrix24 live feed. Voor bedrijven die Facebook for Work gebruiken, is nu de Work Chat mobiele messenger beschikbaar, waarmee je veilig in realtime kunt communiceren zonder gebruik te maken van consumentenmessenger, zoals WhatsApp of Viber. Naast tekstberichten kun je met Work Chat foto's, bestanden en video's uitwisselen. U kunt individuele of groepschats maken. In plaats van een contactenlijst maakt de applicatie gebruik van de medewerkerslijst. Hoewel de enige versie van de messenger beschikbaar is voor Android, wordt binnenkort een versie voor iPhone verwacht.

2015. Tor-ontwikkelaars hebben een beveiligde messenger uitgebracht


Tor Browser-ontwikkelaars hebben Tor Messenger uitgebracht, dat is gebaseerd op dezelfde technologie voor het anonimiseren van gebruikers. Het draait op Windows, OS X, Linux en ondersteunt een breed scala aan diensten, waaronder AOL, Twitter, Yahoo Messenger, Google Talk, Facebook, Jabber, ICQ en IRC. In het Tor-netwerk, op de weg van de gebruiker naar de server en terug, passeert het verschillende knooppunten. Het principe van anonimisering is dat er geen informatie is over het adres van het vorige knooppunt op elk nieuw knooppunt waar de gegevens kwamen. Dus in theorie kan niemand achterhalen waar het verzoek aan de server vandaan kwam, dat wil zeggen, waar en vanaf welke pc iemand online ging.

2015. ViPNet Connect van Infotex zorgt voor de vertrouwelijkheid van mobiele communicatie

Infotex, een Russische ontwikkelaar van software, hardware en software VPN-oplossingen en cryptografische informatiebeveiligingstools, heeft de release aangekondigd van een nieuwe applicatie voor mobiele apparaten ViPNet Connect. Met het nieuwe product kunnen zakelijke gebruikers belangrijke zakelijke informatie uitwisselen via beveiligde kanalen met behulp van chat en spraakoproepen. ViPNet Connect is een alternatief voor het gebruik van instant messengers van openbare diensten Skype, Facebook, VKontakte, WhatsApp, Viber, enz. voor zakelijke doeleinden, die veel risico's met zich meebrengen voor de veiligheid van een organisatie. De ViPNet Connect-toepassing implementeert informatie-uitwisseling tussen gebruikers via een beveiligd ViPNet-netwerk, waarbij de mogelijkheid wordt uitgesloten om vertrouwelijke informatie te onderscheppen en valse informatie op te leggen. Een belangrijk verschil tussen het ViPNet Connect-softwarepakket en bekende messengers is de mogelijkheid om point-to-point-beveiliging te bieden, zonder tussenliggende servers te gebruiken bij het overbrengen van vertrouwelijke gegevens, aldus het bedrijf.

2008. Cisco gaat Unified Communications beschermen

SIP-beveiliging voor Unified Communications maakt gebruik van SIP in de Cisco IOS Firewall om spraakcommunicatie te beveiligen. Deze innovatie stelt bedrijven in staat om de visie van gedistribueerde ondernemingen te omarmen, de productiviteit te verhogen en de bedreigingen van spraakcommunicatie te minimaliseren. Deze update transformeert het CISCO Self-Defending Network in een bredere systeemoplossing die zowel algemene bescherming biedt voor netwerken als een breed scala aan eindpunten, applicaties en inhoud.

2007. Skype zet zich in om de beveiliging van zijn software te verbeteren

De populaire peer-to-peer IP-telefonieoperator Skype is van plan een samenwerkingsovereenkomst aan te gaan met FaceTime Communications, gespecialiseerd in de bescherming van instant messaging-netwerken. Volgens de Silicon News-publicatie zal Skype dus proberen meer controle te geven over IP-telefoniesessies om zijn diensten in het bedrijfsleven te promoten. Een aantal andere, vergelijkbare deals zullen naar verwachting volgen op deze overeenkomst. Het voornemen van Skype om van zijn software een openbaar beschikbaar hulpmiddel voor zakelijke communicatie te maken, vereiste een andere houding ten opzichte van de problemen van IT-managers van ondernemingen die het verkeer van het populaire telefoonsysteem niet konden regelen. Volgens officiële Skype-gegevens behoort ongeveer 30% van de 171 miljoen geregistreerde gebruikers tot de zakenwereld.

2006. Beveiligd instant messaging-systeem NTT

De technici van NTT Communications Corp. hebben een instant messaging-systeem ontwikkeld dat verzonden informatie kan opnemen en archiveren in overeenstemming met wettelijke vereisten, waaronder de Sarbanes-Oxley Act, en die ook kan communiceren met andere soortgelijke systemen. Het is gebaseerd op een server waardoor alle berichten worden verzonden, waar ook hun kopieën worden opgeslagen. Om ongeoorloofde onderschepping van informatie en spoofing te voorkomen, wordt de communicatie tussen de server en IM-clients uitgevoerd met behulp van Transport Layer Security-technologie. De oplossing van NTT verschilt van andere systemen waarin servers alleen worden gebruikt om de communicatie tussen verschillende clients te organiseren. Door een centrale server te gebruiken, kunt u beleidsregels instellen die de discipline van gebruikerscommunicatie en de soorten bestanden die worden overgedragen, bepalen. Het kan werken met clientsoftware voor Windows-pc en voor mobiele telefoons met Java iAppli, evenals met webinterfaces.

Het is paradoxaal, maar waar: met alle verscheidenheid aan boodschappers hoef je ze meestal niet te kiezen - mensen gebruiken gewoon wat hun vrienden en kennissen doen. Maar wat als geheimhouding er echt toe doet? In dit artikel zullen we de lijst met moderne instant messengers doornemen en zien welke bescherming ze allemaal hebben.

Nog niet zo lang geleden keek ik binnen en kwam een ​​peiling tegen "Welke boodschapper denk je dat de meest betrouwbare is?" Het meest populaire antwoord (Telegram) zette me op mijn hoede. Toen realiseerde ik me dat dit allemaal te ver was gegaan en dat gebruikers het contact met de realiteit al hadden verloren na de marketing-headcrab-aanval (foto).

Ik besloot een lijst met instant messengers samen te stellen en te kijken hoe elk van hen het doet met beveiliging. De lijst bevat zowel populaire als veelbelovende programma's op het gebied van beveiliging. Ik waarschuw je meteen dat we ons zo diep in de technische kant zullen verdiepen als nodig is voor de gemiddelde gebruiker, niet verder.

Criteria voor het kiezen van een veilige messenger

Wordt de broncode van de messenger verspreid onder de voorwaarden van een van de gratis licenties? Zo ja, is het open source ontwikkeling? Hoe nauw hebben ontwikkelaars contact met de gemeenschap? Accepteren pull-verzoeken? Dit alles is belangrijk om te overwegen bij het kiezen.

Centralisatiegraad

Een van de drie opties is hier mogelijk:

Mogelijkheid tot anonieme registratie en gebruik

Voor sommige services is de telefoon mogelijk alleen nodig om te beschermen tegen spam tijdens de registratie, dus het is heel eenvoudig om sms-nummerverhuurservices te gebruiken.

In andere gevallen is de boodschapper stevig vastgebonden aan de telefoon. Dit is slecht, want als tweefactorauthenticatie niet is ingeschakeld, kunt u, wanneer u toegang krijgt tot dit nummer, naar uw account gaan en alle gegevens samenvoegen. Maar zelfs als two-factor is ingeschakeld, heb je nog steeds de mogelijkheid om alle gegevens uit je account te verwijderen. En natuurlijk is dit, overweeg registratie met een paspoort (we gebruiken de realiteit van de Russische Federatie, andere werden niet afgeleverd).

Maar zo erg is het allemaal niet. Er zijn instant messengers waarmee u zich kunt registreren met uw mailbox of sociale netwerkaccount. Er zijn er ook waar een account in de messenger zelf kan worden aangemaakt zonder ergens aan vast te zitten.

End-to-end-codering (E2EE)

Sommige messengers hebben deze functie standaard, andere kunnen het inschakelen, maar er zijn er ook waar end-to-end-codering gewoon niet beschikbaar is.

E2EE-chats synchroniseren

Nogmaals, deze functie wordt nog niet zo vaak aangetroffen als we zouden willen. Zijn aanwezigheid vereenvoudigt het leven enorm.

E2EE Afdrukverificatiebericht

Bij het starten van E2EE-chats bieden sommige boodschappers aan om de afdrukken van de gesprekspartners te controleren, andere bieden dit niet openlijk aan. Maar niet alle messengers hebben een vingerafdrukverificatiefunctie.

Geen screenshots van geheime chat

Niet de meest handige functie, want om het verbod te omzeilen is het voldoende om bijvoorbeeld een tweede telefoon bij de hand te hebben.

E2EE groepschats

Groep E2EE-chats zijn meestal niet zo'n noodzakelijke functie, maar ze zijn best handig. De regel "meer dan twee - spreek hardop" moet voor kinderen worden overgelaten.

E2EE-vingerafdrukverificatiemelding in groepschats

Bij het toevoegen van een nieuwe gesprekspartner met wie vingerafdrukken niet zijn geverifieerd aan een geheime groepschat, bieden niet alle messengers aan om zijn vingerafdrukken te controleren. Door deze omissie gaat de betekenis van geheime chats verloren.

De sociale grafiek beschermen

Sommige instant messengers verzamelen informatie over de contacten van de gebruiker en andere metadata, bijvoorbeeld wie de gebruiker heeft gebeld, hoe lang ze hebben gepraat. Er is over dit onderwerp.

We hebben slechts enkele van de criteria geselecteerd die een rol kunnen spelen bij het kiezen van een messenger. Er zijn er meer, maar die hebben niet altijd met veiligheid te maken. Een groep wetenschappers van Europese universiteiten heeft goed werk verricht om de zaken op een rijtje te zetten in Obstacles to the adoptie van veilige communicatiemiddelen (). Het is ook altijd een goed idee om kennis te nemen van de resultaten van een eventuele onafhankelijke audit. In het geval van Signal is bijvoorbeeld een dergelijke audit uitgevoerd ().

Een overzicht van veilige (en niet zo) messengers

Telegram

De messenger, gemaakt door het team van Pavel Durov, is gebouwd op de MTProto-coderingstechnologie. Op dit moment is het gedeeltelijk geblokkeerd op het grondgebied van Rusland, maar deze blokkering is een apart gespreksonderwerp.

De boodschapper is dubbelzinnig. Er is veel herrie om hem heen, maar is hij terecht? Er is geen toegang tot de broncode, chats zijn standaard niet gecodeerd, er is geen sociale grafiekbescherming (al uw contacten worden opgeslagen op Telegram-servers), er zijn geen E2EE-groepschats, E2EE-chats worden niet ondersteund in de desktopversie van het programma, alleen op de mobiel, de messenger is gecentraliseerd, berichten worden opgeslagen op de server (en ze zijn, zoals al opgemerkt, niet gecodeerd), en met dit alles is er geen mogelijkheid tot anonieme registratie.

Als u Telegram wilt gebruiken, vergeet dan niet om geheime chats te maken om uw correspondentie te beschermen. In de mobiele versie moet je de opdracht Nieuwe geheime chat selecteren. Van de desktopversies ondersteunen slechts enkele geheime chats (bijvoorbeeld een van de twee clients voor macOS).

In een geheime chat worden berichten versleuteld en niet opgeslagen op de servers van de messenger. Het is ook onmogelijk om een ​​screenshot te maken van een geheime chat, maar niets weerhoudt je ervan om een ​​foto van zo'n chat vanaf het scherm te nemen.

  • Vergunning: formeel - GPLv3. Een belangrijk deel van de ontwikkeling is echter gesloten. Als je naar de repositories kijkt, kun je zien dat de laatste tijd alleen in de webversie enige beweging is waargenomen. Helaas is het in deze vorm eerder een illusie van openheid.
  • Centralisatiegraad: gecentraliseerd
  • Nee
  • E2EE-beschikbaarheid: uitgevoerd, maar als aanvulling. Chats zijn standaard niet versleuteld
  • E2EE-chats synchroniseren: Nee. Geheime chat kan alleen worden gebruikt vanaf één apparaat, het is niet langer toegankelijk vanaf een ander
  • Nee. Gebruikers kunnen zelf naar instellingen gaan om afdrukken te vergelijken
  • ja, maar werkt niet op alle apparaten
  • E2EE groepschats: Nee
  • Bescherming van sociale grafieken: Nee

Signaal

De Signal messenger is ontwikkeld door de Amerikaanse startup Open Whisper Systems, waar naast de twee oprichters nog maar een paar mensen werken. Om berichten te versleutelen, wordt een speciaal gemaakt cryptografisch protocol gebruikt - Signal Protocol. Het wordt gebruikt voor end-to-end-codering van oproepen (spraak en video), evenals voor gewone berichten. Sindsdien wordt het Signal-protocol gebruikt door andere messengers: WhatsApp, Facebook Messenger, Google Allo.

Het lijkt erop dat in dit geval elke messenger net zo veilig kan worden als Signal. Maar, zoals de praktijk laat zien, nee. In tegenstelling tot Signal, waar codering standaard is ingeschakeld, is deze in deze messengers uitgeschakeld. Om het in Facebook Messenger in te schakelen, moet je Secret Conversations activeren en in Google Allo - Incognito Mode.

Bovendien is Signal gedecentraliseerd en zijn de broncodes open source. Er is ondersteuning voor groep E2EE-chats, er is bescherming van de sociale grafiek, ze worden ondersteund.

Verwar bescherming echter niet met anonimiteit. Signaal is niet anoniem: bij het registreren moet je het telefoonnummer aangeven waaraan de messenger is gekoppeld. Wat betreft verdwijnende berichten, deze functie is ook te vinden in andere messengers, bijvoorbeeld in Viber en Telegram (selecteer in het geheime chatmenu de opdracht Stel zelfvernietigingstimer in).

  • Vergunning: AGPLv3
  • Centralisatiegraad: gedecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: Nee. Behalve het telefoonnummer zijn er geen andere opties. Het gebruik van een tijdelijke zal tot hetzelfde resultaat leiden als in het geval van Telegram
  • E2EE-beschikbaarheid: er is. Gebruikt - een berichtversleutelingsprotocol dat speciaal voor deze messenger is ontwikkeld
  • E2EE-chats synchroniseren: er is
  • Kennisgeving E2EE-vingerafdrukverificatie: Nee. Gebruikers worden aangemoedigd om elkaars QR-codes te scannen of vingerafdrukken te vergelijken
  • Schermafbeeldingen van geheime chats verbieden: kan worden in- of uitgeschakeld
  • E2EE groepschats: er is
  • Nee
  • Bescherming van sociale grafieken: er is

Viber

Viber is een interessante boodschapper. Aan de ene kant is het bedrijfseigen, gecentraliseerd, alleen gekoppeld aan een telefoonnummer en biedt het geen bescherming voor de sociale grafiek. Aan de andere kant is end-to-end-codering gebaseerd op het Signal-protocol en standaard ingeschakeld, zelfs in de desktopversie. Voor extra veiligheid zijn er geheime chats met de mogelijkheid om als groep te communiceren.

Met geheime chats kunt u een zelfvernietigingstimer instellen voor elk bericht: het wordt na een bepaalde tijd na het bekijken verwijderd - zowel van uw apparaat als van alle ontvangende apparaten. Geheime chatberichten zijn beveiligd tegen doorsturen en screenshots zijn verboden of laten een melding achter op het chatscherm.

Om over te schakelen naar een geheime chat, moet je een chat openen met een gebruiker en de opdracht "Overschakelen naar een geheime chat" selecteren in het menu. Zo'n chat wordt gemarkeerd met een hangslot.

Bovendien kunt u met Viber verborgen geheime chats maken - ze worden niet weergegeven in de algemene lijst. Om toegang te krijgen tot de verborgen chat, moet u de eerder ingestelde pincode invoeren. Dit is een extra bescherming voor het geval de telefoon in verkeerde handen valt.

  • Vergunning: eigendomsrecht
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: alleen op telefoonnummer
  • E2EE-beschikbaarheid: is, standaard. Er zijn ook geheime en verborgen chats die extra veiligheid bieden
  • E2EE-chats synchroniseren: Nee. De geheime chat die in de mobiele versie was gemaakt, werd niet weergegeven in de desktopversie
  • Kennisgeving E2EE-vingerafdrukverificatie: om de vingerafdrukken te controleren, wordt voorgesteld om de gesprekspartner te bellen, uw identiteitsbewijs te verstrekken en vervolgens de juistheid ervan te bevestigen, maar er is geen melding dat dit nodig is voor uw eigen veiligheid
  • Schermafbeeldingen van geheime chats verbieden: er is
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: Nee
  • Bescherming van sociale grafieken: Nee

Whatsapp

WhatsApp maakt gebruik van het Signaalprotocol, maar dat alleen biedt geen garanties. Natuurlijk is deze messenger interessant omdat hij je berichten niet op zijn servers opslaat. In plaats daarvan worden berichten op de telefoon opgeslagen (evenals de cloudservices waarmee deze wordt gesynchroniseerd, zoals iCloud). Ook wordt E2EE standaard gebruikt met ondersteuning voor groepschats.

Hoewel WhatsApp de correspondentie zelf niet ontvangt, hebben de eigenaren toegang tot metadata, waaronder het verzamelen van telefoonnummers uit het adresboek, het tijdstip van het verzenden van berichten en oproepen, enzovoort. Stel je voor dat je om 2.30 uur 'seks aan de telefoon' belde en dat je gesprek 24 minuten duurde. Nou ja, niemand zal precies weten hoe het gesprek verliep, maar in dit geval is het ook niet echt nodig.

Bovendien verzamelt WhatsApp tonnen informatie over een gebruiker: hun telefoonmodel, besturingssysteem, informatie ontvangen van de browser, IP-adres, mobiel nummer, enzovoort.

Voeg daarbij de propriëtaire code, en je krijgt verre van de beste optie op het gebied van anonimiteit. Misschien zal niemand je berichten onderscheppen, maar de boodschapper zelf zal veel over je weten.

  • Vergunning: eigendomsrecht
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: alleen op telefoonnummer
  • E2EE-beschikbaarheid: standaard
  • E2EE-chats synchroniseren: er is
  • Kennisgeving E2EE-vingerafdrukverificatie: er is alleen als de gesprekspartner de sleutel verandert. Om een ​​melding te ontvangen, moet je naar de instellingen gaan en deze functie inschakelen. Wanneer de chat start, zijn er geen meldingen
  • Schermafbeeldingen van geheime chats verbieden: Nee
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: Nee
  • Bescherming van sociale grafieken: Nee

De aanwezigheid van end-to-end encryptie is nog geen garantie dat de correspondentie niet wordt onderschept. Je kunt het omzeilen of een soort kwetsbaarheid uitbuiten, zoals bij WhatsApp het geval was.

Briar

Briar is geen erg populaire boodschapper en ik wed dat niet al onze lezers van het bestaan ​​ervan weten. Het is echter goed: het is gebaseerd op de technologie van gedecentraliseerde netwerken (mesh), het kan werken via Bluetooth of Wi-Fi, of via internet, maar in dit geval maakt het verbinding via Tor.

Briar-bronnen zijn open, er is de mogelijkheid van anonieme registratie en gebruik, en chats zijn standaard gecodeerd en ze worden niet opgeslagen op de servers van Briar (dat wil zeggen, uw berichten worden alleen in gecodeerde vorm op uw telefoon opgeslagen). Er is bescherming van de sociale grafiek (niemand lekt je adresboek aan iemand), er zijn E2EE-groepschats, maar er is geen synchronisatie van E2EE-chats tussen apparaten, omdat het onmogelijk is om hetzelfde account op verschillende apparaten te gebruiken.

In vergelijking met alle andere messengers ziet Briar er erg goed uit als je anonimiteit van communicatie nodig hebt. Maar het heeft ook nadelen: er is geen versie voor de iPhone, er is geen mogelijkheid tot spraakoproepen. Als je het gebrek aan oproepen nog steeds kunt verdragen, dan zal zonder een versie voor een van de grote platforms de communicatiecirkel nog kleiner zijn.

  • Vergunning: GPLv3
  • Centralisatiegraad: gedecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: er is
  • E2EE-beschikbaarheid: ja, standaard
  • E2EE-chats synchroniseren: Nee
  • Kennisgeving E2EE-vingerafdrukverificatie: wanneer u een contactpersoon toevoegt, moet u de QR-code van de gesprekspartner scannen vanaf het scherm van zijn telefoon, er is geen andere optie om deze toe te voegen. We denken dat er een melding is
  • Schermafbeeldingen van geheime chats verbieden: er is
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: in een groepschat kunt u alleen de gesprekspartner toevoegen van degenen wiens QR-codes al zijn geverifieerd. We zijn ook van mening dat er een melding is
  • Bescherming van sociale grafieken: er is

Daar daar

Toen TamTam werd gemaakt, richtte niemand zich op veiligheid, en dit moet worden onthouden. Alleen de mogelijkheid om te registreren via Google mail of Odnoklassniki kan de aandacht trekken. Berichtencryptie wordt echter niet ondersteund (of de ontwikkelaars rapporteren dit niet) en er is geen sociale grafiekbescherming. Dat wil zeggen, hoe je je ook inschrijft, zonder aanvullende maatregelen is het toch duidelijk wie je bent. Over het algemeen is deze messenger, zelfs als vervanging voor Telegram, niet geschikt, ondanks alle ambities van zijn ontwikkelaars.

  • Vergunning: eigendomsrecht
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: registratie is mogelijk via Google mail of via Odnoklassniki
  • E2EE-beschikbaarheid: Nee
  • Bescherming van sociale grafieken: Nee

In contact met

We komen weer langs: bijna niemand die bij zijn volle verstand is, zou eraan denken om Vkontakte te gebruiken als middel voor anonieme communicatie. Berichten worden opgeslagen op de servers van het sociale netwerk, ze zijn niet gecodeerd, registratie is alleen op telefoonnummer - in het algemeen een complete set van wat we hier proberen te vermijden.

  • Vergunning: eigendomsrecht
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: alleen op telefoonnummer
  • E2EE-beschikbaarheid: Nee
  • Bescherming van sociale grafieken: Nee

Facebook messenger

De aan Facebook gekoppelde messenger is bovenop het open MQTT-protocol gebouwd. Voor het geval dat, wil ik u eraan herinneren dat dit precies het berichtenprotocol is - niet te verwarren met het coderingsprotocol. Nu Messenger werd verplaatst naar een zelfstandige app op mobiele telefoons, hadden Facebook-gebruikers weinig andere keuze dan deze ook te installeren. U kunt zich echter in Messenger registreren zonder een FB-account.

Als we chats op Vkontakte en Facebook Messenger vergelijken, blijkt de tweede een stuk hoger te zijn. Ten eerste kunt u zich registreren met anonieme e-mail. Ten tweede worden E2EE-chats ondersteund, maar niet standaard. Om berichtversleuteling in te schakelen, moet u Geheime gesprekken activeren.

Houd er echter rekening mee dat Facebook veel allerlei soorten informatie over de gebruiker verzamelt, dus het is onwaarschijnlijk dat deze geschikt is voor anonieme communicatie. Synchronisatie van E2EE-chats en vele andere dingen wordt ook niet ondersteund (zie hierboven). Als je je afvraagt ​​welke informatie Facebook verzamelt, lees deze dan (als je geen account hebt, kan dat ook).

Draad

Wire is een van de meest anonieme boodschappers. Het is gebaseerd op het Wire Swiss-protocol op basis van Signal. Waar is het goed voor? Ten eerste is er de mogelijkheid van anonieme registratie. Ten tweede wordt end-to-end-codering standaard ondersteund, met de mogelijkheid om gecodeerde chats te synchroniseren. Ten derde is er sociale grafiekbescherming, worden groepsgecodeerde chats (tot 128 personen) en beveiligde telefonische vergaderingen (tot 10 personen) ondersteund. We zagen iets soortgelijks in Briar, maar Wire heeft ook een enorme selectie aan ondersteunde platforms: Android, iOS, Windows, macOS, Linux.

Moet er een vlieg in de zalf zijn? Hij is er: de boodschapper wordt betaald en kost zes euro per maand (vier als betaald voor een jaar). De ontwikkelaars beweren dat dit een pluspunt is: zo'n bedrijfsmodel is in ieder geval een soort garantie dat ze niet zullen proberen geld te verdienen met je gegevens. Aan de andere kant gaan geldtransacties niet goed samen met anonimiteit. Maar er is een proefperiode van een maand!

  • Vergunning: GPLv3
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: er is. Via e-mail
  • E2EE-beschikbaarheid: ja, standaard
  • E2EE-chats synchroniseren: er is
  • Kennisgeving E2EE-vingerafdrukverificatie: nee, maar er is een mogelijkheid
  • Schermafbeeldingen van geheime chats verbieden: Nee
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: er is. Als een van de gebruikers een bericht verzendt naar een geheime groepschat vanaf een apparaat dat niet is geverifieerd door de andere gebruiker, verschijnt er een waarschuwing voor hem wanneer de tweede een bericht probeert te verzenden, waarin staat dat de eerste een nieuwe apparaat
  • Bescherming van sociale grafieken: er is

Jabber (OMEMO)

Als het oude Jabber zich onderscheidt van het gezelschap van moderne instant messengers met grappige stickers en spraakoproepen, dan is het qua privacy nog grotendeels onmisbaar. Het is federatief, ondersteunt anonieme registratie, E2EE-codering (hoewel je de OMEMO-extensie nodig hebt), inclusief groep.

Ja, de mogelijkheden zijn niet geweldig, maar Jabber is beproefd en heeft ook implementaties op alle mogelijke platforms. ChatSecure voor iOS, Conversations voor Android, Pidgin voor Linux, enzovoort, de lijst is enorm.

Oproer (matrix)

Wat de makers van deze messenger niet ontbreekt, is het vermogen om toffe namen te bedenken. Eigenlijk is Matrix een communicatieprotocol en is Riot een clienttoepassing (er zijn er enkele - ook voor de console). U kunt zowel de webversie als programma's voor iOS en Android gebruiken.

Over het algemeen is dit een andere weinig bekende federatieve messenger met ondersteuning en synchronisatie van E2EE-chats, inclusief groepschats. Registratie is anoniem, zonder verwijzing naar een mobiel telefoonnummer of e-mail. Spraakcommunicatie en videogesprekken worden ondersteund.

Riot-codering kan worden in- of uitgeschakeld, zoals aangegeven door het slotpictogram naast het veld voor het verzenden van berichten. Als een gebruiker in een geheime groepschat verschijnt, wiens apparaten niet door andere gebruikers zijn geverifieerd, krijgen de gesprekspartners hierover een melding te zien wanneer ze een bericht proberen te verzenden.

Over het algemeen lijkt Matrix een interessante optie; alleen de nieuwigheid ervan, gecombineerd met het feit dat het protocol anders is, kan je in verwarring brengen.

  • Vergunning: Apache
  • Centralisatiegraad: federatief
  • Mogelijkheid tot anoniem inschrijven en werken: er is
  • E2EE-beschikbaarheid: ja, door gebruiker te selecteren
  • E2EE-chats synchroniseren: er is
  • Kennisgeving E2EE-vingerafdrukverificatie: er is
  • Schermafbeeldingen van geheime chats verbieden: Nee
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: er is
  • Bescherming van sociale grafieken: er is

Toestand

Status is meer dan alleen een boodschapper. Het kan natuurlijk alleen worden gebruikt voor communicatie, maar het is alsof je Windows voor Kladblok installeert. En het is niet erg handig om hier te communiceren, je kunt niet eens een foto sturen, om nog maar te zwijgen van zo'n luxe als een sticker. Maar direct in de chat kun je ETH verzenden en een verzoek indienen om het te ontvangen.

De app is nog in beta-testing. Ja, nog geen storingen. Geïnstalleerd op twee telefoons (Samsung en Android). Op een van de telefoons werkte de applicatie prima, op de tweede faalde de autorisatie voortdurend en moest je elke keer dat je de messenger gebruikte een wachtwoord invoeren (telling, na elke schermvergrendeling) - het was niet erg handig.

Soms weet je niet of er een bug voor je ligt of een onverklaarbare functie. Toen ik op beide telefoons accounts aanmaakte (je hebt niets nodig - voer gewoon een naam in) en scande de QR-code op het scherm van de ene telefoon met de andere, de tweede toonde een heel andere naam, die ik voor het eerst zag - Nietige morele Gonolek. Pas na het toevoegen van de gebruiker aan contacten, werd de naam normaal. In dit geval wordt de naam van de eerste gesprekspartner normaal gesproken helemaal weergegeven.

Aangezien het mogelijk is om anoniem te registreren en alle chats standaard versleuteld zijn, kunnen we ervan uitgaan dat elke chat in Status geheim is. Er is ook synchronisatie van geheime chats, maar alleen inkomende berichten worden gesynchroniseerd, maar berichten die vanaf hetzelfde account worden verzonden, maar vanaf verschillende apparaten, niet.

Een ander mogelijk nadeel: berichten worden zowel op de telefoon als op de server van de messenger opgeslagen, maar de ontwikkelaars beweren dat ze versleuteld zijn. Maar je contactenboek wordt niet samengevoegd met de servers van de messenger, wat tegenwoordig veel waard is. Over het algemeen is hier veiligheid en de mogelijkheid om cryptocurrency over te zetten zal waarschijnlijk iemand plezieren. Maar Status is nog steeds meer een interessante curiositeit dan een werkinstrument.

  • Vergunning: MPLv2
  • Centralisatiegraad: gedecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: er is
  • E2EE-beschikbaarheid: standaard
  • E2EE-chats synchroniseren: gedeeltelijk (zie beschrijving)
  • Kennisgeving E2EE-vingerafdrukverificatie: ja (om een ​​dialoog met een gebruiker te starten, moet u zijn ID invoeren of scannen vanaf het smartphonescherm)
  • Schermafbeeldingen van geheime chats verbieden: Nee
  • E2EE groepschats: Nee
  • Bescherming van sociale grafieken: er is

driema

Threema is een eigen gecentraliseerde messenger met servers in Zwitserland. Naast tekstcommunicatie hebben gebruikers toegang tot spraakoproepen, de mogelijkheid om hun locatie te verzenden, spraakberichten en bestanden. Groepschats tot 50 personen worden ondersteund.

Berichten worden hier volledig en gedecentraliseerd versleuteld op de apparaten van de gebruiker, niet op de Threema-server. De server fungeert eerder als een switch: berichten worden er wel doorgestuurd, maar niet permanent opgeslagen. Voor details over welke gegevens worden bewaard en voor hoe lang, kunt u inlezen.

Om u te registreren, hoeft u geen gegevens te verstrekken die kunnen helpen bij het vaststellen van een identiteit - noch een telefoonnummer, noch een e-mail. Bij de eerste lancering van het programma wordt willekeurig een gebruikers-ID gegenereerd, op basis daarvan wordt een QR-code gegenereerd. Dit alles zorgt voor de anonimiteit van de communicatie.

Om een ​​dialoog met de gesprekspartner te starten, moet u zijn identifier invoeren. Threema heeft drie niveaus van gebruikersvertrouwen. Het hoogste zal zijn bij het scannen van de ID vanaf het smartphonescherm en het laagste bij het handmatig invoeren ervan. Ergens in het midden is contactsynchronisatie. Het verificatieniveau van elk contact wordt weergegeven als stippen naast de naam.

In tegenstelling tot WhatsApp of bijvoorbeeld Facebook Messenger registreert Threema niet wie met wie communiceert en slaat het adresboek van de gebruiker niet op zijn servers op. Alle berichten op de apparaten van de gebruiker worden versleuteld opgeslagen. De coderingsmethode is afhankelijk van het apparaat. IOS gebruikt iOS-gegevensbescherming, Android en Windows Phone gebruiken AES-256. Berichten, afbeeldingen en andere gegevens die tussen gebruikers worden verzonden, zijn versleuteld. Meer informatie is beschikbaar in de whitepaper ().

Al met al laat Threema een goede indruk achter. Berichten kunnen niet worden ontsleuteld - zelfs niet door een gerechtelijk bevel, omdat ze alleen op de telefoon worden opgeslagen en Threema geen toegang heeft tot de geheime sleutels van gebruikers. De servers van Threema weten alleen wie het bericht verzendt en naar wie, maar ze loggen deze informatie niet en kunnen de inhoud van het bericht niet ontsleutelen.

Door naar de nadelen. Ten eerste is het de noodzaak om een ​​keer te betalen. 2,6 euro eenmalig - niet God weet wat, maar het feit van betaling kan ongewenst zijn. Ook betekent het gebrek aan synchronisatie en opslag van berichten dat u de geschiedenis alleen zelf kunt opslaan door een back-up te maken.

  • Vergunning: gepatenteerd voor toepassingen, AGPLv3 voor webclient
  • Centralisatiegraad: gecentraliseerd
  • Mogelijkheid tot anoniem inschrijven en werken: er is. U kunt een account aanmaken zonder gebonden te zijn aan een telefoonnummer of e-mail. De gebruiker krijgt een unieke ID die kan worden gewijzigd
  • E2EE-beschikbaarheid: ja, standaard
  • E2EE-chats synchroniseren: nee: voor elk apparaat wordt een aparte ID gegenereerd
  • Kennisgeving E2EE-vingerafdrukverificatie: er is. Berichten in groepschats worden afzonderlijk naar elke gesprekspartner verzonden en een dialoog kan alleen worden gestart met degene wiens ID is bevestigd
  • Schermafbeeldingen van geheime chats verbieden: Nee
  • E2EE groepschats: er is
  • E2EE-vingerafdrukverificatiemelding in groepschats: er is
  • Bescherming van sociale grafieken: er is. Het adresboek wordt standaard niet naar de server geüpload, maar indien gewenst kan de gebruiker er toegang toe verlenen

resultaten

Het probleem met dergelijke toepassingen is niet de versleuteling, maar het loggen van metadata. Welke messenger het beste is uit het blok ontdek je op de volgende pagina. Snowden raadt Signal zelf aan. Zijn keuze is buitengewoon goed - een soortgelijke mening werd gedeeld door beveiligingsonderzoekers van Oxford, Queensland en McMaster University.

En toch wedden tegenwoordig zowel WhatsApp als Facebook niet alleen op hun eigen applicaties, maar ook op het Signal-protocol. Dit zorgt ervoor dat gegevens volledig en veilig end-to-end (end-to-end encryptie) worden versleuteld. Op Facebook Messenger moet u deze functie echter eerst activeren in het menu "Ik | Geheime correspondentie".

Optimalisatie. In Facebook Messenger moet end-to-end-codering eerst worden ingeschakeld via het item "Geheime berichten"

Bij WhatsApp en Facebook zijn de berichten zelf niet te volgen, maar Facebook bewaart de volledige metadata. In dit opzicht raden we je aan al je vrienden te overtuigen om over te schakelen naar de Signal-applicatie. En toch, ondanks de waarschuwingen, kunnen velen veilig WhatsApp en andere apps blijven gebruiken.

In WhatsApp moet je er bovendien voor zorgen dat zo min mogelijk informatie door de servers van het bedrijf gaat. Ga hiervoor naar de applicatie-instellingen en schakel de eerste drie opties in het gedeelte "Privacy" uit. Vergeet ook niet om Leesbevestigingen te verwijderen. Dit zal de minimale hoeveelheid metadata op WhatsApp-servers krijgen.

Als je geluk hebt, kun je de mensen met wie je het vaakst chat, overhalen om over te schakelen naar de Signal-app. Op het gebied van veiligheid en privacy heeft het momenteel geen concurrenten. Er zijn versies van het programma voor iOS en Android. De ontwikkelaars zijn van plan om in de nabije toekomst een update uit te brengen, waarbij de interface qua bruikbaarheid op WhatsApp is gericht.

Aftappen stoppen

Voor alledaagse gesprekken met smartphones is het niet nodig om een ​​cryptofoon te kopen, die het gesprek standaard versleutelt. De meeste instant messengers hebben al een geïntegreerde applicatie voor gratis bellen. Het voordeel ligt niet alleen in de codering, maar ook in het feit dat het gebruik ervan u geen cent kost.

Activeer "Gegevens opslaan" om het verkeersverbruik voor telefoongesprekken te minimaliseren

Het enige wat je nodig hebt is een internetverbinding. Houd er echter rekening mee dat dit ongeveer 1 MB verkeer per minuut zal verbruiken. Als je op deze manier gemiddeld een uur per dag praat, heb je 1,8 GB per maand nodig. Voor lange gesprekken raden we aan om open wifi-netwerken te gebruiken.

Met één truc kunt u echter uw verkeer verminderen. In de sectie "Instellingen | Gegevens "vink het vakje aan naast de optie" Gegevens opslaan ". Nu zal de applicatie geen HD-Voice-technologie gebruiken en zal de gesprekskwaliteit verslechteren, maar het verkeersverbruik zal afnemen.

Als u alle tips in dit artikel toepast, beschermt u uw gegevens bijna perfect tegen aanvallen. In de meeste gevallen zullen daarna zelfs de geheime diensten geen kans meer hebben om bij uw gegevens te komen.

Het is duidelijk dat honderd procent bescherming niet bestaat. Maar nu zal het een ongelooflijke inspanning kosten om de gegevens te bekijken, aangezien de gegevens optimaal worden versleuteld en beveiligd, zelfs wanneer de inlichtingendiensten van het VK en de Verenigde Staten volledige bewaking uitvoeren.

De veiligste boodschapper

> Whatsapp Sinds de overname van Facebook worden de databases van bedrijven steeds meer geconsolideerd. In de toekomst wordt de informatie van alle WhatsApp-gebruikers automatisch gesynchroniseerd met Facebook, waardoor deze dienst nauwkeurige profielen kan maken. Tegelijkertijd is de messenger zelf in principe zeer betrouwbaar. De implementatie van end-to-end encryptie voor alle klanten en video- en audiotelefonie werd met een knal ontvangen.

> Signaal De veiligste messenger op dit moment is Signal. Uitstekende codering en optimale privacyprofielen: de app slaat alleen het moment van registratie en laatste gebruik op. Ontwikkelaars moeten echter nog serieus werk maken van de bruikbaarheid.

> driema Het is veel comfortabeler om met het Zwitserse product Threema te werken. Volledige codering, onbeduidende verzameling van informatie en hoogwaardige hulp aan de gebruiker om de titel van de beste messenger uit te leggen.

Nuance: terwijl deze app nog te weinig fans heeft. Maar de situatie kan veranderen: na de Amerikaanse verkiezingen was er een toename van het aantal gebruikers met bijna 40 procent.

Foto: productiebedrijven; vchalup, tashatuvango, Scanrail, Oleksandr Delyk, 2nix / Fotolia.com

Alle grote en kleine bedrijven werken samen met wetshandhavingsinstanties, met inachtneming van de wetten van de landen waarin ze actief zijn. Google, Apple, Facebook, Skype, WhatsApp, Viber en vele andere sociale netwerken en instant messengers delen een bepaalde hoeveelheid gebruikersgegevens met de autoriteiten. Iemand fuseert meer, iemand minder, maar de bittere waarheid is dat iedereen het doet.

Showcase vrijheidsstrijders zullen al je geheimen prijsgeven zonder een oog dicht te doen. Zo voldeden de makers van de populaire Viber-messenger, die volgens de Russische wet verplicht waren servers naar het grondgebied van de Russische Federatie te verplaatsen, eind vorig jaar aan de eisen van de autoriteiten. Officieel wordt deze stap verklaard door de noodzaak om persoonlijke gegevens op servers in het land op te slaan, maar we kennen allemaal de ware motieven: het punt is de wens van de speciale diensten om toegang te krijgen tot de correspondentie.

Met "gemakkelijker" bedoelen we in dit geval dat surveillance niet eens interactie vereist met operators van mobiele netwerken: alle benodigde tools staan ​​ter beschikking van de relevante autoriteiten. Hetzelfde geldt voor WhatsApp, Skype en andere instant messengers, om nog maar te zwijgen van gewone sms. Bovendien kunnen niet alleen speciale diensten uw correspondentie lezen, maar ook concurrenten, vijanden en in het algemeen iedereen die gebruik maakt van de diensten van speciale diensten. Ze zijn goedkoop en gemakkelijk te googlen op aanvraag "SMS-afdruk".

Onder een van onze artikelen over het onderwerp sms bieden ondernemende zakenmensen hun diensten aan

Wanneer wetshandhavingsinstanties de gegevens die ze nodig hebben niet kunnen krijgen met de invloed die ze hebben, nemen ze drastische maatregelen. Letterlijk begin maart werd de vice-president van de Latijns-Amerikaanse tak van Facebook gearresteerd omdat hij weigerde samen te werken met de Braziliaanse politie. Het onderwerp van controverse was informatie over gebruikers van het sociale netwerk, naar verluidt betrokken bij de distributie van drugs.

In december 2015 blokkeerde een Braziliaanse rechtbank WhatsApp (eigendom van Facebook) in het land nadat het weigerde informatie te verstrekken over de correspondentie van de vermeende criminelen. Als gevolg daarvan leed iedereen: de politie sloot ongeveer 100 miljoen lokale gebruikers af, wat een gewelddadige reactie op sociale netwerken veroorzaakte en de verontwaardiging van het hoofd van Facebook, Mark Zuckerberg.

Nog onthullender in de strijd om de privacy van persoonsgegevens is de confrontatie met de FBI, die nog niet is opgelost. De geheime diensten praten over het voorkomen van terroristische aanslagen en het waarborgen van de nationale veiligheid, niet willen toegeven dat misdaad op deze manier niet te verslaan is. Tijdens de hoorzittingen van het congres zei de belangrijkste juridische adviseur van Apple dat zelfs als de inlichtingendiensten de kans zouden krijgen om een ​​iPhone te hacken, de criminelen toch manieren zouden vinden om geheime communicatie te voeren, en noemde de Telegram-messenger als voorbeeld.

Er is een truc tegen schroot

De Apple-vertegenwoordiger heeft gelijk: er zijn veel veilige correspondentiemethoden en ze zijn niet gisteren uitgevonden. Het geesteskind van Pavel Durov, Telegram is de eerste die in je opkomt vanwege zijn populariteit en onbreekbare reputatie: niemand heeft nog een prijs van $ 200.000 ontvangen voor het hacken van gecodeerde Telegram-correspondentie, die in 2013 werd benoemd.

Deze onkwetsbaarheid wordt verklaard door het werkingsprincipe van beveiligde messengers in het algemeen en Telegram in het bijzonder. Die laatste maakt gebruik van het speciaal ontwikkelde MTProto-protocol en tweelaagse encryptie met een 256-bit AES-sleutel: ze zorgen voor hoge snelheid en betrouwbaarheid. En in Telegram zijn er naast reguliere chats zogenaamde Secret Chats. Daarin wordt correspondentie gecodeerd zonder tussenkomst van de server en worden alle berichten rechtstreeks van het apparaat van de afzender naar het apparaat van de ontvanger verzonden (peer-to-peer). Zelfs als we aannemen dat de gegevens kunnen worden onderschept, is het simpelweg onmogelijk om deze te ontsleutelen zonder de sleutels die zijn opgeslagen op de apparaten van de deelnemers aan het gesprek.

Een ander voordeel van P2P-transmissie is dat de messenger niet kan worden geblokkeerd: als er geen servers zijn, valt er gewoon niets te blokkeren.

De regeringen van autoritaire landen zondigen vaak door ongewenste diensten te blokkeren. Iedereen weet bijvoorbeeld dat Facebook bijna overal in China is geblokkeerd. In oktober vorig jaar werd het, vanwege de weigering om gebruikers te bespioneren, eerst gedeeltelijk en vervolgens volledig geblokkeerd in Iran. Dergelijke situaties kunnen worden vermeden met een P2P-verbinding, die Pavel Durov na dit incident beloofde te implementeren.

Een vergelijkbare aanpak wordt gebruikt in verschillende beveiligde messengers met end-to-end-codering. De methode voor het overdragen van sleutels kan verschillen, maar het principe blijft hetzelfde: informatie wordt rechtstreeks van apparaat naar apparaat verzonden zonder tussenkomst van tussenliggende servers.

Zoiets kan binnenkort ook op Facebook Messenger verschijnen. Journalisten van The Information hebben een aantal behoorlijk interessante opmerkingen gevonden in de iOS-toepassingscode. Ze verwijzen naar een bepaald analoog van Apple Pay, waarmee u goederen kunt betalen en geld naar gebruikers kunt sturen, evenals de bijbehorende functionaliteit van geheime chats. Het is nog steeds moeilijk om te beoordelen hoe dergelijke gesprekken worden geïmplementeerd: Facebook kan het Telegram-pad volgen en codering implementeren, of het kan eenvoudig de mogelijkheid toevoegen om individuele correspondentie en contacten te verbergen. Hoe dan ook, zelfs als de beslissing wordt genomen in het voordeel van de eerste optie, zal het niet zo gemakkelijk zijn om gebruikers aan te trekken en hen te bewijzen dat geheime chats in Messenger echt veilig zijn.

Hoe te zijn

Voor degenen voor wie de betrouwbaarheid van het communicatiekanaal een belangrijke rol speelt, moet je letten op beveiligde messengers met de genoemde encryptie. Ze zijn niet alleen handig voor paranoïde mensen, maar ook voor iedereen die met zaken te maken heeft en toegang heeft tot min of meer belangrijke informatie die niet bedoeld is voor nieuwsgierige blikken. Er is een enorm aantal beschikbare oplossingen, maar we zullen ze niet allemaal overwegen, maar zullen ons concentreren op de drie handigste.

Geheime Telegram-chats

Dankzij het wijdverbreide gebruik van de messenger kunnen geheime chats een ideale optie worden genoemd. Ze garanderen de veiligheid van de verzonden informatie, hebben de functie van zelfvernietigende berichten (inclusief foto's en bestanden) na een bepaalde tijd en laten geen correspondentie naar andere mensen toe. Voor extra veiligheid met één gebruiker kunt u meerdere gesprekken maken en verschillende onderwerpen daarin bespreken.

Een geheime chat maken is eenvoudig: klik op het pictogram Nieuw bericht → Nieuwe geheime chat en selecteer het gewenste contact. Het is mogelijk om een ​​correspondentie te starten zodra de persoon op het web verschijnt. Door het ontbreken van tussenliggende servers is het onmogelijk om offline een bericht te versturen. Bovendien worden alle niet-verzonden berichten alleen op uw apparaat opgeslagen. U kunt begrijpen dat de chat geheim is en niet gewoon, door het slotpictogram naast de naam van de contactpersoon.

In tegenstelling tot Telegram was het oorspronkelijk ontworpen voor maximale veiligheid. De messenger is ook behoorlijk populair in zijn niche, het is gratis en heeft clients voor alle desktop- en mobiele platforms. Confide maakt gebruik van end-to-end-codering en slaat berichten nergens anders op dan op de apparaten van de afzender en ontvanger. Bovendien toont de messenger niet eens de volledige tekst van het ontvangen bericht, maar verdeelt het in blokken en toont het in delen wanneer je de cursor beweegt of met je vinger aanraakt. Gelezen berichten worden direct vernietigd. Degenen die de inhoud willen opslaan met behulp van een screenshot van het scherm, zullen falen: de tekst wordt onmiddellijk verwijderd en de afzender ontvangt een melding over de mislukte poging van de gesprekspartner.

Een account in Confide is gekoppeld aan een e-mail, na registratie kunt u uw sociale netwerken verbinden en toegang verlenen tot contacten. Als iemand die je kent de applicatie heeft geïnstalleerd, kun je veilig corresponderen, foto's en documenten sturen.

En deze applicatie is al voor de echte paranoïde. Het is betaald, niet zo handig, heeft een minder gebruiksvriendelijke interface, maar is nog meer gericht op veiligheid en werkt alleen met directe encryptie. Hier wordt geen telefoonnummer of e-mailadres gebruikt. Om Threema te laten werken, hebt u een paar sleutels nodig die u zelf genereert wanneer u voor het eerst begint: een ervan is privé en wordt opgeslagen op uw apparaat, de andere is openbaar en wordt naar uw gesprekspartner gestuurd. Daarna krijgt u een identificatienummer toegewezen waarmee u gevonden kunt worden. U kunt een contactpersoon toevoegen via e-mail of telefoon (als een persoon deze aan een account heeft gekoppeld), maar ook door persoonlijk een QR-code te scannen (dit is de veiligste optie).

Met Threema kunt u niet alleen tekstberichten uitwisselen, maar ook foto's, video's, documenten en geotags. Er zijn apps voor iOS, Android en Windows Phone.

Signaal

Wat vind je van veilige messengers: is het de moeite waard om naar hen over te schakelen of is het alleen voor de paranoïde? Vertel ons of je beveiligde chats gebruikt, en zo ja, welke je voorkeur heeft en waarom.

Elke messenger kan worden gehackt, maar bij sommige gebeurt het vaker. Met welke, zeiden ze tegen het bedrijf Solar Security. Hier zijn de meest interessante feiten uit hun onderzoek.

Wat is er mis met messengers op Android?

Uit een onderzoek van Solar Security bleek dat zwakke hashing-algoritmen, onveilige SSL-implementaties, het gebruik van lege wachtwoorden, zwakke versleutelingsalgoritmen en onveilige versleutelings-padding-algoritmen de meest problematische gebieden zijn van messenger-apps voor het Android-platform.

Wat betekent dit voor ons? Dit alles verhoogt het risico op het compromitteren van de informatie die op het apparaat is opgeslagen, wat betekent dat het het risico van het kapen van gebruikersaanmeldingen en wachtwoorden, en ook van al zijn correspondentie, vergroot. Het volstaat om de trojan op uw smartphone op te halen en uw vrienden vragen zich al af waarom u een lening vraagt ​​of vreemde links stuurt.

Maar dat is niet alles... Een onveilige SSL-implementatie leidt ertoe dat de applicatie bij het tot stand brengen van een beveiligde verbinding niet alle certificaatparameters controleert, wat betekent dat het gemakkelijk is om gegevens te vervalsen en te onderscheppen die via de messenger worden verzonden.

Wat betekent dit voor ons? Als je nog steeds openbare wifi gebruikt (en waarom je dat beter niet kunt lezen, lees je), kunnen slechte mensen deze kwetsbaarheid gebruiken om al het verkeer tussen de messenger van het slachtoffer en de server zelf te laten verlopen, wat betekent dat al je berichten iemand anders gelezen worden.

Het is ook niet eenvoudig met iOS-versies van messengers.

Dezelfde kwetsbaarheden worden het vaakst aangetroffen in berichtentoepassingen voor het iOS-platform - een zwak hash- en encryptie-algoritme, een onveilige SSL-implementatie.

Maar de kwetsbaarheden van de applicatie zelf, die de beveiliging van opgeslagen en verwerkte informatie verzwakken, zijn minder gevaarlijk voor het iOS-platform. Tenzij je natuurlijk niet toegeeft aan jailbreak.

Als gevolg hiervan bleek de veiligste messenger te zijn ...

De meeste punten in de Solar Security-studie werden gescoord door de Signal messenger, en in de versie voor Android. Het is in publiek natuurlijk niet vergelijkbaar met monsters als WhatsApp of Viber, maar er zijn geen ernstige kwetsbaarheden in gevonden, waardoor kan worden beweerd dat het te zwaar is voor Trojaanse paarden of bekende exploits, en de gebruikersgegevens in het is zoals in de Zwitserse bank. Geen wonder dat Snowden het in het algemeen aanbeveelt. Met de iOS-versie is alles een beetje slechter, hier staat Signal op de vierde plaats, maar de kloof is niet groot.

Een vergelijkbare reeks kwetsbaarheden werd gevonden in Facebook Messenger, Slack, Telegram, Skype, Viber en WhatsApp voor Android, maar deze kwetsbaarheden kwamen minder vaak voor in Facebook Messenger en Slack, waardoor ze in de top drie konden worden opgenomen. Dit komt door de hogere scores van Facebook Messenger en Slack - respectievelijk 1,8 en 1,7 punten.

Goede kwaliteit van de code werd aangetoond door Facebook Messenger in de versie voor iOS, gevolgd door Viber en Skype in de ranglijst van de meest veilige messengers voor iPhones - echter met niet de hoogste scores voor beveiliging.

En het is beter om deze boodschappers niet te gebruiken.

De Chinese boodschappers QQ International en WeChat zijn echte verliezers geworden. Beide applicaties worden ontwikkeld door Tencent Holdings, die het duidelijk onzorgvuldig doet - het aantal ontdekte kwetsbaarheden daarin is erg groot.

Hoe boodschappers werden beoordeeld

Codebeveiligingsanalyse werd automatisch uitgevoerd met behulp van de Solar inCode-oplossing - een speciaal softwareproduct voor het controleren van de beveiliging van applicaties. Na analyse van de applicaties, genereerde Solar inCode rapporten die het algehele beveiligingsniveau van de applicatie beoordeelden met behulp van een vijfpuntensysteem, en een lijst opleverden van gedetecteerde bladwijzers, kwetsbaarheden en fouten, gerangschikt op ernst.



© Copyright 2017, https://qzoreteam.ru