Чому я сказав своїм друзям припинити використання WhatsApp та Telegram

Навіть із наскрізним шифруванням Big Brother все ще є у вашому телефоні: метадані

Сьогодні вранці я сказав своїм друзям припинити використання WhatsApp і надіслав їм запрошення перейти до програми обміну повідомленнями Signal.

Ось чому.

Протоколи шифрування: Протокол сигналів проти MTProto Telegram

Можливо, ви цього не усвідомлюєте, але, напевно, ви вже використовуєте Протокол сигналів - разом із понад 1 мільярдом людей щодня.

Протокол сигналів використовується WhatsApp, Facebook Messenger, Google Allo та власною програмою обміну повідомленнями Signal.

Але що таке Протокол сигналів?

Протокол сигналів - це не федеративний криптографічний протокол, який забезпечує наскрізне шифрування для розмов миттєвими повідомленнями. - Вікіпедія

Наскрізне шифрування гарантує, що ваше повідомлення перетворюється на секретне повідомлення початковим відправником, а потім декодується лише кінцевим одержувачем.

Ось що WhatsApp почав використовувати кілька місяців тому, коли вони відображали це повідомлення у вашій розмові:

Протокол передачі сигналів був побудований Open Whisper System, некомерційною групою, яку заснувала в 2013 році колишня глава безпеки Twitter Моксі Марлінспайк. Ще в 2011 році 140-символьна платформа обміну повідомленнями придбала Marlinspike першу компанію з безпечних повідомлень Whisper System.

Система Open Whisper зосереджена на розробці протоколу Signal, а також підтримує програму обміну повідомленнями під назвою Signal. Некомерційна організація фінансується за рахунок поєднання пожертв та грантів.

У жовтні 2016 року протокол Signal був розглянутий міжнародною групою дослідників безпеки та отримав яскраві відгуки.

Читаючи вищезазначене, ви можете подумати, що у вас все добре, оскільки WhatsApp, Facebook Messenger і Google Allo також використовують протокол сигналів.

Ну ти ні.

Facebook Messenger і Google Allo за замовчуванням не вмикають наскрізне шифрування. Користувачі Facebook Messenger мають увімкнути "Таємні розмови", а користувачі Google Allo - режим анонімного перегляду.

Telegram, додаток на 100 мільйонів користувачів, створений засновником соціальної мережі VK Павлом Дуровим, використовує власний протокол шифрування: MTProto. Telegram був предметом деяких незначних суперечок щодо свого протоколу шифрування. Потім у 2015 році дослідник безпеки опублікував статтю, де детально описував теоретичні слабкі місця * в MTProto. Цей документ спростував Telegram у своєму блозі, де вони пояснили, чому MTProto в безпеці.

Тоді ми маємо WhatsApp та Signal - єдині дві програми, які використовують протокол сигналу за замовчуванням для всіх надісланих повідомлень *.

Ви можете запитати - чому б тоді не дотримуватися WhatsApp?

Причина криється в колекції метаданих WhatsApp.

Збір даних та метаданих

Метадані та збір даних часто були в центрі дискусій, при цьому сторони часто заявляли про деякі твердження, подібні до:

Ми не можемо слухати / читати вміст вашого повідомлення, оскільки ми використовуємо наскрізне шифрування, ми можемо збирати лише метадані .

Метадані часто були розмитим терміном. Для вашої зручності нижче наведено уточнене визначення метаданих:

Якщо вам все ще незрозуміло, що таке метадані, прочитайте допис від EFF Курта Опсаля. Він наводить приклади того, що знають компанії чи уряди, коли збирають метадані:

Вони знають, що ви зателефонували на телефонну секс-службу о 02:24 та говорили 18 хвилин. Але вони не знають, про що ви говорили. Вони знають, що зателефонували на гарячу лінію із запобігання самогубствам із мосту Золоті Ворота. Але тема дзвінка залишається таємницею: вони знають, що ви поговорили зі службою тестування на ВІЛ, потім лікарем, а потім медичною страховою компанією тієї ж години. Але вони не знають, про що йшлося.

Тепер, коли ви знаєте, що таке метадані, дозвольте ще раз наголосити: використання наскрізного шифрування не заважає службам обміну повідомленнями збирати метадані.

Давайте подивимося, що збирають ці хлопці:

WhatsApp

Поширені запитання про WhatsApp зазначають, що його програма має доступ до всіх телефонних номерів у вашій адресній книзі та збирає безліч інформації про вас.

Цікаво те, що WhatsApp не зберігає ваші повідомлення на своїх серверах. Натомість ваші повідомлення зберігаються на вашому телефоні, а згодом - на серверах, на яких ви робите резервну копію телефону. Наприклад, якщо ви використовуєте iPhone, усі ваші повідомлення WhatsApp зберігаються в iCloud, якщо ви використовуєте його як резервну копію.

Що стосується інформації, яку WhatsApp збирає про те, коли, де і з ким ви спілкуєтесь, вона набагато розмитіша. Ось що вони кажуть:

Інформація про використання та журнал. Ми збираємо інформацію, пов’язану з обслуговуванням, діагностикою та ефективністю. Сюди входить інформація про вашу діяльність (наприклад, про те, як ви користуєтесь нашими Службами, як взаємодієте з іншими за допомогою наших Послуг тощо), файли журналів, а також журнали та звіти про діагностику, збої, веб-сайт та продуктивність.

WhatsApp також збирає інформацію про пристрій, коли ви встановлюєте, отримуєте доступ до них або використовуєте їхню послугу - наприклад, модель вашого телефону, його операційну систему та інформацію з вашого браузера, IP-адреси та мобільної мережі, включаючи ваш номер телефону.

І якщо вони не можуть зібрати цю інформацію через ваш телефон, вони отримають її, коли люди надішлють вам повідомлення, оскільки WhatsApp також має доступ до даних про активність ваших друзів.

Окрім незашифрованих резервних копій, Electronic Frontier Foundation зазначила інші занепокоєння щодо сповіщення про зміну ключів, веб-програми WhatsApp та обміну даними з Facebook, який придбав WhatsApp у 2014 році.

Якщо говорити про Facebook ...

Facebook Messenger

MIT Technology Review писав:

Facebook збирає найширший набір даних, коли-небудь зібраний про соціальну поведінку людини.

Мені не потрібно розбивати, які дані збирає Facebook. Facebook - ваш друг, тому вони дуже легко зрозуміли, наскільки вони близькі:

Google Allo

Експерти з безпеки широко критикували Google Allo.

Google не тільки може насправді прочитати кожне ваше повідомлення, але і збереже всі розмови.

Це так просто.

Ось реклама Едварда Сноудена для Allo:

Телеграма

Повідомлення, фотографії, відео та документи шифруються та зберігаються на серверах Telegram (за винятком повідомлень Secret Chat , які не зберігаються на серверах Telegram). Як і WhatsApp та Facebook, Telegram отримує доступ та зберігає ваш список контактів на своєму сервері. Ось так вони можуть надсилати вам сповіщення, коли хтось із ваших контактів приєднується до Telegram.

Сигнал

Єдиними даними, які зберігає Signal, є номер телефону, за яким ви реєструєтесь і коли ви востаннє входили на їх сервер.

Це все.

Навіть не фіксується година, хвилина чи секунда - лише день.

Якщо ви почуваєтесь пустотливим, у Signal навіть зникають повідомлення.

І сигнал безкоштовний. Дійсно безкоштовно. Це означає, що вони не намагаються перетворити ваші очні яблука в продукт для рекламодавців, таких як Facebook або Google, які хочуть робити зі своїми програмами обміну повідомленнями. Ви можете пожертвувати Signal тут.

До речі, сигнальний код безкоштовний та з відкритим кодом, доступний на GitHub для перевірки.

WhatsApp вибрав зручність, а не конфіденційність та безпеку, але ось як ви можете це виправити

Кілька тижнів тому The Guardian повідомив про так званий "бэкдор" WhatsApp. medium.freecodecamp.com

Чому ви повинні дбати про свою конфіденційність?

У вас може виникнути спокуса сказати щось на зразок:

Хто дбає? Мені нема чого приховувати.

Якщо ви не думаєте, що конфіденційність - це все так важливо:

  • Перегляньте виступ TED Глена Грінвальда про те, чому конфіденційність важлива .
  • Прочитайте статтю Квінсі Ларсона про те, як зашифрувати своє життя менш ніж за годину.
  • І ось детальніше про те, чому шифрування - це право людини від Амула Калії, Фонду електронних прикордонних служб.

Редагувати 24.01.2017: * раніше ми заявляли, що „протокол шифрування [Telegram] [не був] захищений”. Telegram Messenger представив деякі роз’яснення, опублікувавши запис у блозі, в якому коментується знахідка Й. Якобсена.