Останнім часом, зважаючи на неприємні новини з-за океану про відміну Конгресом США вимог щодо приватності метаданих відвідування інтернету, досить часто постає питання “а що ж робити?” Відклавши політичні та суспільні компоненти проблеми, якими най опікуються резиденти та громадяни Штатів, перейду до суто технічного розв’язання. Коли мова йде про вашого інтернет-сервіс провайдера (ISP), є два популярні та дієві способи приховати від нього практично всю вашу активність в мережі. Це Tor та VPN.
Tor здійснює трошки більше ніж просто приховування вашого трафіку. По суті це величезна розподілена мережа, яка шифрує трафік від вашого пристрою до точки виходу з неї (але не за її межами), та при цьому додає вашим діям відносної анонімності. Відносної, тому що абсолютної анонімності в інтернеті немає, проте Tor це непоганий варіант, якщо вашим опонентом є “вичіслітєль по ІР”, а не FBI чи ФСБ. Хоча щодо ФСБ в мене сумніви, але я б не радив ризикувати.
Віртуальна приватна мережа (VPN) анонімності не гарантує, але від прослуховування на обладнанні інтернет-провайдера захистить. Під’єднуючись до VPN, ви встановлюєте зашифрований тунель від вашого пристрою до серверу VPN-провайдера (або вашого власного VPN-серверу, якщо аж настільки припекло). Звісно ж, VPN-провайдери теж не янголи, але більшість з них отримує за послуги ваші гроші, а не гроші рекламодавців, жадібних до журналів ваших відвідувань. Отже, є VPN-провайдери з гарною репутацією, яких не соромно й друзям порадить.
Важливе зауваження. Ані Tor, ані VPN не гарантують вам приватності за межами мережі/тунелю. Отже, використовуючи ці технології, переконайтеся, що “завертаєте” в них лише комунікації, які самі по собі захищені шифруванням. Тобто, що відвідуєте веб-сайти по протоколу HTTPS та спілкуєтеся з друзями в програмах, які здійснюють шифрування даних. В противному випадку, особливо коли мова йде про Tor, ваші дані можуть опинитися навіть в більшій небезпеці, ніж зазвичай.
Очевидно, тепер до переліку суб’єктів, від нам яких слід приховувати метадані, треба додати й постачальників послуг, якими ми користуємось. Таких як, наприклад, Slack, що заблокував цілу купу користувачів, які нещодавно побували на підсанкціних територіях.
Originally published at blog.styran.com on April 8, 2017.
Напевно, всім знайомі оці прикольні “тести”, які видають вам правду жізні лишень отримавши “доступ до вашого профілю у Facebook та списку друзів”. Дехто навіть підозрює, що вони становлять загрозу приватності. Але більшість вважає, що їхнє ім’я та email не є великою таємницею, а список друзів можна подивитися в профілі, отже… в мене нема чого красти.
Розбазарювати чи ні список друзів, це окрема цікава тема, але сьогодні давайте поговоримо про ваш профіль. Якщо ви вважаєте, що творців подібних “тестів” цікавить хто ви є і як з вами зв’язатися — ви наївно помиляєтесь. Насправді їх цікавить, які сайти ви відвідуєте, які посилання на них клікаєте, та які дані в них вводите. “Але ж Фейсбук про це не знає!” — скажете ви. І це буде помилкою.
Кожен раз, коли ви заходите на веб-сайт, який має на ньому видиму (або не дуже) порцію коду з Facebook, ви ділитися з ним даними про це відвідування. Цей код може виглядати як кнопка поширення сторінки в ФБ, але для того, щоб ваш візит був зареєстрований в ФБ, вам не потрібно поширювати сторінку. Вам досить просто її відвідати. Щоб картинка була повною, додам, що для збирання цих даних ФБ зовсім не обов’язково, щоб ви були в ньому залогінені або навіть зареєстровані.
Дані про наші відвідування збираються та систематизуються у великих-превеликих базах даних, користуватись якими потім можуть клієнти Facebook — тобто ті, хто платить за це гроші. (Якщо ви вважали, що є клієнтами ФБ, мушу вас розчарувати: ви в цій схемі — товар. У вас навіть артикул є — це ваш рекламний ідентифікатор.) Отримавши доступ до цих даних, клієнти можуть тонко настроювати параметри реклами, яку вони поширюють через ФБ. Наприклад, націлюючи її на чоловіків у віці 18–35 років, які неодружені та полюбляють мотоцикли. Тобто відвідують веб-сайти мотоклубів та ділерів і не дай боже колись клікали посилання на весільні агентства або лайкали весільні фотки із своїм обличчям десь по центрі. Якщо ви колись опинялися в ситуації, коли шукали певний товар в інтернеті, а потім заходили в ФБ та одразу ж натикалися на рекламу цього товару — ось вона, магія таргетованої реклами.
Але це ще пів біди: вся ця кухня відбувається в межах ФБ та більш-менш контрольована. “Соціальна мережа” (а насправді — величезний оператор персональних даних про наші дії в інтернеті та не тільки) виступає ніби посередником між нами (товаром) та рекламодавцями (клієнтами). А тепер уявіть собі, що хтось крім ФБ “сидить” на тих самих вебсайтах та збирає ту саму інформацію, але не в змозі її співставити з вашою персоною. Аж раптом він отримує ваші персональні дані та рекламний ідентифікатор, причому майже безкоштовно. На цьому в мене все.
Коли я “проповідую” використання простих та доступних інструментів досягнення приватності в інтернеті, нерідко доводиться чути голоси поодиноких скептиків, які впевнені в тому, що ця приватність ілюзорна. Наприклад, що замінюючи Yandex або Mail.ru на GMail або іншу службу, що розташована в більш цивілізованій юрисдикції, ми не дуже й підвищуємо рівень приватності.
Поясню свою позицію.
По-перше, тримати будь-які дані, тим більше електронну пошту, в Росії — це ідіотизм. В тому числі якщо мова йде про її власних громадян.
По-друге, якщо чесно, в плані моніторингу даних та поводження з ними, я американському уряду довіряю більше, ніж українському. Тому для мене розташування електронної пошти в Штатах є більш прийнятним.
По-третє, якщо ви використовуєте електронну пошту в цілях, які вимагають підвищеної конфіденційності, тоді з вами щось дуже системно не так. Електронна пошта — це не засіб для приватного листування. Приватні розмови повинні відбуватися або ефемерно (без збереження будь-яких слідів, в ідеалі — tête-à-tête), або за допомогою більш прогресивних інструментів, ніж “мило” (якому цього року виповнюється сорок), або ж в зашифрованому вигляді. При цьому в останньому випадку ви: а) все одно залишите спецслужбам метадані повідомлень, яких зазвичай достатньо для з’ясування більшості обставин листування (кому, коли, і як часто ви пишете); та б) привернете до себе увагу тих самих спецслужб, тому що всі захищені криптою листи неодмінно потрапляють до їхнього фокусу.
До того ж багатьом, напевно, відомо, що ані США, ані більшість європейських країн не відрізняються повагою до приватності іноземців. Тому моя персональна порада — це, звичайно ж, protonmail.com. По-перше, він розташований у Швейцарії, якщо ви розумієте про що я. По-друге, всі листи в ньому шифруються додатково. Саме так, щоб отримати доступ до скриньки, треба ввести логін, пароль, та ще один ключ, який ви зберігаєте окремо на ваших пристроях. Додайте до цього шифрування засобами PGP, та ви отримаєте надійний захист від абсолютної більшості загроз приватності електронного листування.
Нещодавно в інтернеті знову набули популярності історії про шкідливі програми, які поширюються у SVG файлах, відправлених у Facebook. Ви можете дізнатися більше про цей вектор атаки та методи зловмисників в цьому пості, але мою увагу привернуло інше.
Як ви, напевно, знаєте, SVG це векторний графічний формат, який, по суті, є файлом XML, що містить інструкції з малювання різних зображень та, що декому може здатися дивним, може містити програмний код JavaScript. Ось приклад SVG, відкривши який в більшості сучасних браузерів, ви побачите синє коло та запустите зовнішній сценарій, на який вказує відредаговане посилання:
На щастя, це спрацює лише тоді, коли в адресному рядку браузера явно вказати URL SVG-файлу, або ж якщо файл буде відкрито з диска; <IMG SRC = більш не працює з очевидних причин.
Отже, коли тема поширення шкідливих програм у SVG піднялася знову, цього разу в контексті недостатньої фільтрації вмісту в Facebook Messenger, я подумав про наслідки для приватності, які несе цей (не дуже ефективний) захід безпеки. Я гадав, що було б гарною ідеєю використати JavaScript-код в зображенні SVG, щоб перевірити, як сучасні месенджери обробляють цей формат файлів.
Після низки повідомлень, відправлених моїй дружині та колегам, я сподіваюся, що мені не заборонять використовувати месенджери, які я використав під час тестування. І, звичайно ж, у мене є чим з вами поділитися.
Гарна новина полягає в тому, що Signal, Viber, WhatsApp, та Facebook Messenger і Telegram у своїх «секретних» режимах, не брешуть, стверджуючи, що шифрують повідомлення з кінця в кінець. Хоча, в разі WhatsApp і Telegram, вставлені в повідомлення URL викликали деяку активність з боку клієнта, крім цього ніхто більше не “з’явився” в журналах вебсервера.
Погана новина в тому, що на цьому хороші новини закінчуються.
Розпочнемо з очевидного: Slack здійснює активний перегляд вмісту за посиланням для того, щоб показати його в графічному інтерфейсі. Це круто, ми всі знаємо що так і потрібно, в цьому пості я просто використаю це як приклад того, як ця діяльність виглядає. Отже, коли ви відправляєте посилання, вебсервер, що його містить, реєструє в журналі ось такий запит:
Пояснюю. Спершу якийсь хост Facebook підтягує SVG-файл, а після цього відбувається низка запитів, які генеруються “вбудованим” у SVG скриптом, а це наочно демонструє, що сценарій насправді виконуються в якомусь “браузері”. Цілком можливо, що це і є елемент фільтрації вмісту, тому що це відбувається не кожного разу та виглядає як начебто поведінка “живого” користувача. Все одно, це якось дивно 🙂
Як не дивно, Google Hangouts не показав жодних ознак інтересу до мого посилання.
Це залишає багато запитань відкритими, проте, очевидно одне: політики конфіденційності нам не брешуть і ми насправді не є власниками даних, які ми пересилаємо за допомогою месенджерів, якщо наше спілкування не зашифроване з кінця в кінець.
Під час цих тестів я використовував дивовижний JavaScript-кейлоггер by John Leitch.
Якби у мене був Топ-10 питань, які задають мені свідомі громадяни, які не байдужі до власної інформаційної безпеки, то на першому місці безперечно було б
Які мобільні месенджери безпечні, а які ні?
Я спробую висловити свою професійну думку щодо цього та поширити її серед якомога ширшої аудиторії, в чому розраховую на допомогу читачів.
tl;dr
Як і на всі інші питання у Всесвіті, на це можна відповісти або одним реченням, або в декількох томах. Отже, коротка відповідь:
Messenger by Facebook використовує End-to-End шифрування, але не за замовчуванням, немає інформації щодо незалежного ревю
Дуже небезпечні –
Skype
SnapChat
WeChat
Yahoo! Messenger
BlackBerry Messenger
Тепер докладніше.
Навіщо нам безпека миттєвих повідомлень?
Спершу даймо відповідь на питання, навіщо нам безпека у програмах для обміну повідомленнями, якщо є така чудова мобільна послуга, як SMS.
По-перше, SMS — небезпечні. У своїй фундаментальній незахищеності від загроз прослуховування та втручання в спілкування абонентів, мобільні мережі перевершили навіть Інтернет. Перехоплення та підробка SMS вже давно не є задачею, яка під силу лише міжнародним шпигунам, а вартість необхідного для її здійснення обладнання весь час зменшується.
По-друге, SMS — це дорого. Місцями непристойно дорого. Спілкування за допомогою месенджерів через мобільний інтернет або WiFi набагато дешевше. При цьому воно не додає суттєвих ризиків якщо ви подбали про безпеку під час вибору інструменту спілкування.
Які вимоги до безпеки миттєвих повідомлень?
Щоб правильно вибрати програму для листування миттєвими повідомленнями, вам потрібно дати собі відповідь на три прості питання:
Чи слідкують за мною міжнародні шпигуни та/або правоохоронні органи?
Чи хочу я зберігати історію листування?
Які месенджери наразі популярні серед моїх друзів та знайомих або в моєму регіоні?
Отже, давайте по черзі.
1. Модель загроз
Як завжди перед вибором інструменту захисту варто поміркувати, що саме та від кого ми захищаємо.
Загалом є три основні категорії нападників у кіберпростір: опортуністи, яким більше нема чим зайнятися, кіберзлочинці, які крадуть в нас гроші або майно, та національні розвідувальні агенції, які таким чином нишпорять одне за одним, борються з тероризмом, та роблять ще багато того, про що нам краще не знати. Правильно обравши рівень нападника ви зможете більш вдумливо підійти до вибору програми-месенджера.
Також, подумайте про цінність даних, які передаються, та приватність учасників листування. В нашому житті багато різних людей та рівень секретності наших стосунків з ними також різний. Конфіденційність ділового листування можна порівняти з приватністю особистих повідомлень. Дані, які передаються, адресати, які їх отримують, та навіть самі факти здійснення обміну повідомленнями нерідко є предметом цікавості людей, які можуть використати їх не на вашу користь.
2. “2 peer or not 2 peer…”
Миттєві повідомлення в різних месенджерах наразі передаються двома принципово різними способами: напряму відправником адресату (peer-to-peer), або через сервер. Причому модель ця дуже образна: насправді месенджер може фізично передавати повідомлення через сервер, але при цьому вміст повідомлення буде зашифрований з кінця в кінець (end-to-end). Тобто сервер (та його оператор) не матиме змоги отримати до нього доступ, а отже цей процес буде майже так само безпечний, як і при справжньому peer-to-peer спілкуванні. “Майже”, тому що факти обміну повідомленнями все одно будуть реєструватися на сервері, а це за певних умов може бути загрозою приватності.
Як бачите, тут виникає один з класичних конфліктів між безпекою та зручністю програмного забезпечення. З одного боку, ми не хотіли б, щоб Google, Facebook та решта майкрософтів мали доступ до нашого листування. Бо хто зна, що собі думають їхні адміни, і взагалі, з ким вони потім цими даними діляться. Але з іншого боку, ми хотіли б зберегти історію листування та мати змогу відновити її на новому пристрої або після перевстановлення операційної системи або додатку месенджера.
Звичайно, під час обміну повідомленнями з увімкненим end-to-end шифруванням збереження історії можливе лише на пристроях учасників листування. Про це треба пам’ятати як перед вибором засобу листування, так і перед переїздом на нову платформу або пристрій. Багато месенджерів зберігають історію в резервних копіях, які вони створюють самостійно, або за допомогою стандартних засобів ОС.
3. В безпеці та не на самоті
Популярність месенджерів штука дивна та залежить від багатьох факторів, серед яких важливу роль відіграють вік користувачів та їхній ареал. Якщо у Південній Америці абсолютно усі користуються WhatsApp, то в Східній Європі найбільш поширені Viber та Telegram, причому Messenger не далеко відстав. Отже, обираючи засіб спілкування, поцікавтеся, які у цього вибору об’єктивні перспективи, щоб уникнути ролі одинака в пустелі.
Підсумуємо. З врахуванням цінності листування, приватності його учасників, та релевантних загроз, ви можете використати (або ні) повне (end-to-end) шифрування, в якому зберігається (або ні) анонімність учасників та історія повідомлень. У разі гострої потреби в захисті, ви можете звернути увагу на те, чи проводилось для месенджера формальне дослідження безпеки з позитивним висновком.
Нижче я навожу таблицю з відомими мені характеристиками популярних месенджерів. Сподіваюся, ці результати стануть вам в пригоді під час прийняття рішення про початок або продовження використання того чи іншого засобу спілкування.
Звертаю вашу увагу на “культурні особливості” деяких популярних месенджерів. Як бачите, в залежності від того, який режим спілкування ви обрали, Telegram та Messenger можуть реєструвати ваші повідомлення на сервері, або ні. Також, у WhatsApp за замовчуванням не увімкнені повідомлення про зміни даних співрозмовників: якщо ваш контакт перевстановить додаток або іншим чином змінить ключі шифрування, WhatsApp про це промовчить. Я раджу увімкнути такі застереження в пункті меню Settings -> Account -> Security.
Цілком нормально використовувати декілька різних месенджерів для різних цілей: для спілкування по роботі, з друзями та в сім’ї. А підтримка балансу між безпекою та зручністю — вашою та ваших співрозмовників — завжди є гарною ідеєю.
Особисто я використовую Viber та Messenger для спілкування з друзями та близькими, та Signal — для листування з клієнтами та колегами.
Залишайтеся в безпеці.
Оновлено 2017–01–12
Через знайдені в них вразливості реалізації та бізнес-логіки, Viber та Telegtam “понижено” в рейтингу.
Виправлена історична несправедливість: WhatsApp, як продукт, що використовує Signal API, відправлений в першу категорію.
Додано Google Allo, який використовує Signal API в Incognito Mode.
Додано деякі пояснення щодо (не)безпеки окремих месенджерів.
Якщо ви хочете дізнатися більше про безпеку месенджерів, я рекомендую цей виступ.
