Категорія: Кібербезпека

Signal (https://signal.org) в тренді після твіта Ілона Маска, і все більше людей звертають на нього увагу. Я не великий шанувальник Ілона, в тому сенсі, що мені дуже подобається те, що він робить, але не завжди подобається те, що він говорить. Та в цьому випадку я тішуся, що таке відбувається, бо чим більше людей користуються захищеними та приватними технологіями, тим краще для людства в цілому.

Use Signal

— Elon Musk (@elonmusk) January 7, 2021

Проте, на фоні цієї невеликої ейфорії, почастішали запитання від друзів, а чим, власне, Signal краще за… Telegram. Людині, яка займається кібербезпекою, таке питання звучить абсурдно. Тому не ображайся, якщо я реагую неочікувано – яке питання, така і відповідь. Але ж питають, тому мушу засунути его поглибше і відповідати.

Отже, на відміну від Telegram, Signal:

1. Забезпечує наскрізне шифрування (https://uk.wikipedia.org/wiki/Наскрізне_шифрування) з кінця в кінець – по замовчуванню. Вам не треба для цього створювати спеціальні “секретні” чати, вони там всі такі.
2. Забезпечує цілковиту пряму секретність (https://uk.wikipedia.org/wiki/Пряма_секретність) 
3. Шифрує метадані, тобто дані про те звідки, кому, скільки та як часто ви пересилаєте.
4. Шифрує мережевий трафік на транспортному рівні.
5. Не зберігає ваші повідомлення та файли на своїх серверах.
6. Не колекціонує дані про ваші IP-адреси та мітки часу повідомлень.
7. Як наслідок, сервери Signal не можуть читати ваші повідомлення.
8. Додатково, ви можете перевірити справжність контакту, в тому числі вручну.
9. Вам повідомлять про зміни контактів (новий телефон, новий номер тощо).
10. А ще в Signal, на відміну від Telegram, немає планів на монетизацію.
11. Він не походить з Росії. 
12. І він не належить Дурову.

Як бачите, міф про безпечність Телеграму грунтується здебільшого на заявах Павла Дурова. Це непоганий інструмент, але він скоріше нагадує соціальну мережу. Справді, мало є аналогів, де ви можете зібрати тисячі користувачів на канал чи в групу, та миттєво доставляти їм свої повідомлення. І в цьому сенсі, як інструмент соціалізації, Телеграм несе менше загроз приватності, ніж, скажімо, Facebook чи Instagram. Хоча і має при цьому низку вад, таких як слабка модерація та контроль за спамом. Щоправда, це компенсується його низькою популярністю. Але стверджувати, що Телеграм це захищений месенджер – це щонайменше перебільшення.

Вам навряд чи вдасться повністю відмовитись від використання Telegram. Але принаймні не користуватися ним для чогось більш-менш секретного може кожен. Серед інших рекомендованих інструментів можу назвати Wire (https://wire.com) та Keybase (https://keybase.io), щоправда, останній був куплений Zoom і останнім часом знаходиться в медичній комі. Більше даних для порівняння приватності месенджерів ви можете знайти за цим посиланням: https://www.securemessagingapps.com.

Декілька друзів звернулись до мене днями, вказуючи на статтю на одному з тупорилих пацакських вебсайтів про те, що ніби то Селебрайт зламав Сігнал і ми всі помремо.

Помремо, безумовно, але не від цього.

Ізраїльська фірма Cellebrite заробляє на тому, що розблоковує для копів, федералів та решти нишпорок вилучені у підозрюваних смартфони. І те, що їхню нещодавню заяву про нову можливість розблокування Signal пацакські клікбейтери висвітлюють під кутом “хакери зламали суперзахищений месенджер Сігнал” не може бути ще далі від правди. Офіційну заяву Селебрайту треба читати так:

0. Якщо у вас досить грошей на наш продукт
1. Якщо ви забрали у когось смартфон
2. Якщо наш (чи інший) продукт може його розлочити
3. Якщо Сігнал буде не оновлено до останньої версії
4. Ми для вас спи34имо локальні дані з додатка

Якщо такий сценарій входить у вашу модель загроз, то ви напевно наркобарон, терорист номер N (де 1<N<10) або професор-ядерник з Ірану. В будь-якому разі, у вас є серйозніші причини хвилюватись, ніж Селебрайт, який тепер вміє розшифровувати локальне сховище Сігнала.

Якщо ж ви просто крипто-панк, який хоче безпеку через спортивну злість, то можу порадити такі правила:

• Не читайте про кібербезпеку російською
• Ввімкніть скрізь тимчасові повідомлення
• Регулярно видаляйте застарілі чати
• Нічого не бекапте
• Не встановлюйте Сігнал на слабко захищені платформи (читати: не iOS)
• Намагайтесь не про16ати телефон

Якщо ж ваш телефон колись раніше потрапив до ручок ПОО та розвідвідомств, ну тоді в мене для вас погані новини…

Читати офіційний блог компанії.