Перейти к содержанию

Как пользоваться мессенджерами для конфиденциальной переписки | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Мы неоднократно сравнивали защищенные мессенджеры со сквозным шифрованием, рекомендовали настройки и описывали дефекты таких приложений. А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием «Что является безопасным?» (What Is Secure).

В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.

Что изучали

Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров. Пользователям предлагали такие популярные приложения:

  • Apple iMessage;
  • Meta (Facebook) Messenger*;
  • Messages by Google;
  • Signal;
  • Telegram;
  • WhatsApp.

При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».

 

Посмотреть статью полностью

Umnik

Umnik

Опубликовано
Опубликовано
Quote

Meta (Facebook) Messenger*;

*Meta (Facebook) Messenger принадлежит компании Meta, признанной экстремистской организацией в России.

Решил глянуть, что там исследовали другие организации и встречаю с порога вот это. И в голове мысль "автор, ты в курсе, что Whatsapp - это тоже Meta?". Смотрю, то автор - а это Стан Каминский. И всё во мне сразу напряглось. Этому автору вообще не удаются статьи, ему нужно искать себя в другой сфере. Но вряд ли это он поставил сноску, скорее это редактор. Так что обращаюсь к редактору статьи - Вотсапп тоже принадлежит Мете.

 

Возвращаясь к Стану, я уверен, что тот налажает в базовых вещах и будет натягивать сову на глобус, пытаясь выдать одно за другое. Ну и наверняка ещё на СПО наедет.

 

Quote

Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой.

Капец, спасибо. Никто ведь не знает, что шифрование переписки - это один из множества _обязательных_ этапов обеспечения безопасности. Примерно как не жрать с пола и не бросать в рот все ягоды, которые встретишь. Эти 2 правила не решат всех проблем, но они _тоже_ необходимы.

 

Quote

Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника?

https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

Quote

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

В общем, описанное — это про модель угроз и модель нарушителя. Это я так, чтобы читатель моего ответа просто узнал пару терминов. Ну а тот, кто выбирает мессенджер, должен прикинуть модели угроз и нарушителя.

 

Quote

В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.

Ошибочный посыл. Не знаю, кто неправ  - авторы статьи или тот, кто нам её пересказывает своими словами. Исследование про _мессенджеры_. То есть если берёшь с собой телефон, даже отдельный, там будет мессенджер с перепиской и его точно также могут изъять. Так зачем схема с двумя телефонами, когда нарушитель имеет физический доступ к устройству и может принудить к разблокированию. При чём второе сводит на нет даже отсутствие телефона - если нарушитель может принудить разблокировать, то он может принудить залогиниться на том телефоне, который сам и предоставит.

 

Quote

Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.

Опять же, нужно рассматривать модель угроз. Добавим в угрозы отказ от обязательств стороны, если нет документального подтверждения. То есть нет переписки - вторая сторона скажет "мы не договаривались и никакой личной встречи не было", что тогда? Модель угроз - это не только "телефон могут украсть".

 

Quote

Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер

Где это почитать? Стан, расскажи мне, что где и как хранит компания обо мне? Всё, со мной связанное, включая информацию о моих файлах, которая попала в KSN. Не расскажешь?

 

Quote

Об этом пишут в отчетах о прозрачности, а также в прессе.

Стан, а можно мне отчёт о прозрачности ЛК? :) Этот "трансперенси репорт" - это такая модная штука, которая во-первых вообще не обязана существовать, во-вторых отчёты могут быть улучшены по просьбе "кого надо", в-третьих обращения некоторых вообще идут мимо отчётов о прозрачности, т.к. происходят вне оговорённых процедур. Вон, Цукер проболтался на подкасте одном, что сотрудники ФБР прям ногами приходили в офис, прям физически подходили к сотрудникам и говорили, чтобы информация о Хантере Байдене в Фейсбуке не всплывала. Такие подходы не попадут в отчёт о прозрачности, потому что они были не официальными. Просто для Цукера это настолько привычно (Фейсбук и ФБР суть одна контора уже), что он даже не понял, ЧТО ИМЕННО он только что сказал.

 

Quote

Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.

Спишем корявость построения фразы "месседжеры, основанные на шифровании сообщений" на то, что русский язык не родной для Стана и редакторов или же спишем на то, что авторы (или Стан???) не понимают, о чём говорят. Телега тоже "основана на 100% шифровании сообщений", знаете ли: это e2se — (энд-ту-сервер энкрипшен) шифрование между клиентом и сервером. Я пишу это сообщение, которое прочитают разные люди, однако оно тоже будет передано 100% зашифрованным: потому что HTTPS.

Отличие Сигнала и Вотсапа от Телеграма в том, что у них e2ee (энд-ту-энд энкрипшен) — это обычный режим работы, тогда как у Телеги - это специальный режим, который нарочно сделан неудобным. Называется "секретные чаты". Но и e2se, и e2ee - это всё шифрование, тогда как SMS вообще не шифруются.

 

Quote

Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail.

Можно не стараться. У Телеги, а тем более Фейсбука, и уж точно у Эпла есть примерно бесконечное число способов связать "анонима" с конкретным Васей. Отвязка от SMS - это маркетиновый ход. Он никакого отношения к приватности не имеет, потому что сами поставщики мессенджеров всё равно сразу поймут, кто вы такой. Это просто рекламный ход, ориентированный на доверчивых людей. Хотите анонимности - идите в https://briarproject.org/manual/ru/ или Threema, купленную через крипту (я покупал за битки её) на худой конец. Используете попсовые мессанджеры - просто примите тот факт, что для владельцев мессенджера (а равно для людей в погонах) вы не анонимны.

 

В общем, что хочу сказать. Или авторы исследования провели бесполезную работу, или нам так перевели. Потому что все и так знают, что Сигнал лучше Телеграма, но Телеграм удобнее Сигнала. И что Гугл и Эпл вообще никакого отношения никогда к приватности не имели. И фейсбук туда же.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Вирусы на официальных сайтах Steam, Minecraft и Endgame Gear | Блог Касперского
      Автор KL FC Bot
      Опытным геймерам хорошо известно об угрозах, связанных с установкой игр, модов, скинов и другого геймерского ПО из неофициальных ресурсов. Однако источниками заражения могут быть и те платформы, которым пользователи привыкли доверять, — сайты разработчиков и официальные магазины.
      В нашем посте мы разберем несколько случаев, когда злоумышленники распространяли вредоносное ПО через официальные геймерские ресурсы. В конце расскажем, как защитить свою систему, лут и аккаунт — и спокойно играть, не опасаясь встретиться с неожиданными сюрпризами даже на привычных платформах.
      Зараженная утилита для настройки мыши Endgame Gear
      В июле 2025 года производитель продвинутых мышей, ориентированных на киберспортсменов и опытных геймеров, Endgame Gear сообщил о вредоносном ПО, которым была заражена утилита для настройки мыши OP1w 4k v2. Этот троян находился на официальном сайте компании почти две недели — с 26 июня по 9 июля 2025 года.
      На официальной странице игровой мыши модели Endgame Gear OP1w 4k v2 распространялась утилита настройки, зараженная вредоносным ПО. Источник
      Таким образом, пользователи, загрузившие в этот период утилиту с официальной страницы модели, получали вместе с ней вредоносное ПО. В Endgame Gear не уточнили, какая именно вредоносная нагрузка была в зараженной версии утилиты, но, судя по данным пользовательских сканирований, это был бэкдор семейства XRed.
      XRed обладает широким набором возможностей для удаленного управления зараженной системой. Он имеет функцию кейлоггера, а также позволяет злоумышленнику получать доступ к командной строке, делать скриншоты, просматривать содержимое дисков и папок, загружать и удалять файлы. Кроме того, зловред может скачивать дополнительные модули и передавать собранные данные о системе на удаленные серверы.
       
      View the full article
    • KL FC Bot
      Реагирование на компрометацию npm-пакетов червем Shai-Hulud
      Автор KL FC Bot
      Вечером 15 сентября началась новая атака на популярнейший реестр JavaScript-компонентов, npm. Ряд пакетов, некоторые из которых имеют миллионы еженедельных загрузок, были заражены вредоносным кодом, крадущим токены и ключи аутентификации. Его самая интересная особенность – он способен распространяться автоматически, заражая другие доступные пакеты. Среди зараженных пакетов отметим популярный @ctrl/tinycolor. По данным Aikido Security были скомпрометированы почти 150 пакетов, включая пакеты Crowdstrike.
      Методика распространения и алгоритм работы
      Способ первого заражения и «нулевой пациент» на сегодня неизвестны. Поскольку «почерк» атаки очень похож на недавний инцидент s1ngularity, возможно, это тоже был фишинг. Но дальнейшая цепочка заражения такова:
      Вредоносный код добавляется в скомпрометированные пакеты в виде постинсталляционного скрипта, сохраненного в файле bundle.js. Когда жертва устанавливает себе зараженный пакет, скрипт начинает свою работу. В отличие от прошлого инцидента, скрипт кроссплатформенный и работает как в *nix-средах, так и под Windows. Скрипт скачивает подходящую для платформы версию TruffleHog, легитимного инструмента поиска секретов. TruffleHog находит в локальных файловых системах и доступных репозиториях строки с высокой энтропией. Это криптографические ключи, API-токены и другая подобная информация. Кроме поиска через TruffleHog, скрипт проверяет полезные токены, анализируя переменные окружения, например GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY. Затем он проверяет, действительны ли они, запросами к API-узлам npm whoami и GitHub user. Затем скрипт компрометирует пакеты npm, к которым у атакованного пользователя есть доступ на публикацию. Для этого он скачивает для заражаемого пакета его текущую версию из npm, увеличивает подверсию на 1, добавляет ссылку на постинсталляционный сценарий (postinstall hook) и записывает свою копию в файл bundle.js. Троянизированный таким образом пакет «новой версии» публикуется в npm. Репозитории жертвы помечаются как публичные, что иногда является отдельной, более важной утечкой.  
      View the full article
    • KL FC Bot
      PetKa и Kaspersky Tag — новая система поиска пропавших животных от «Лаборатории Касперского» | Блог Касперского
      Автор KL FC Bot
      Один из самых больших страхов в жизни человека — потеря домашнего питомца. Неважно, заплутала ли случайно собака в парке во время прогулки или удрала ли кошка исследовать окрестности дачи: любое из подобных событий — мощнейший источник стресса как для человека, так и для животного.
      Разумеется, для животных существуют геотрекеры, но большинство из них работает нестабильно там, где нет Интернета, например в лесу или парке, и там, где сигнал навигационных спутников заблокирован, — скажем, в подвалах, любимых «укрытиях» сбежавших кошаков. Кроме того, подобным геотрекерам нужны мощная батарея и своя SIM-карта, и, вдобавок к высокой цене самого трекера, они требуют постоянных расходов на связь и регулярной зарядки.
      Мы в «Лаборатории Касперского» создали новый сервис — PetKa — для поиска пропавших питомцев в городах. PetKa помогает защитить ваших питомцев и вернуть их домой в случае пропажи. Сегодня расскажем, как устроено наше решение и как начать им пользоваться.
      Умная метка Kaspersky Tag
      Сервис PetKa состоит из одной или нескольких (если у вас больше одного питомца) умных меток Kaspersky Tag и приложения PetKa для Android. Вы прикрепляете к ошейнику вашего любимца умную метку-маячок, авторизуетесь в приложении PetKa через My Kaspersky, добавляете профиль питомца, привязываете его метку в приложении и гуляете как и раньше — только теперь без стресса. PetKa не только обеспечивает отслеживание ваших меток Kaspersky Tag на карте, но и позволяет объединяться с другими пользователями для совместного поиска пропавших животных.
      Так устроена умная метка Kaspersky Tag
      Метка Kaspersky Tag объединяет в себе преимущества технологий GPS и Bluetooth, что позволяет точно определять местоположение питомца. Сигнал от метки будет обнаружен даже в труднодоступных областях: подвалах, оврагах и других сложных местах. В среднем приложение ловит Bluetooth-сигнал метки в обычных условиях в радиусе 60 метров, а на открытых пространствах — например, в парке — до 120 метров. Однако если вы предпочитаете прогулки в черте города, рядом с домами и другими препятствиями, то это расстояние может снижаться до 30 метров.
      В радиусе действия Bluetooth-сигнала вы можете "позвонить" на метку, нажав кнопку Проиграть мелодию в приложении, и найти питомца по звуку. В нашем внутреннем тестировании (а мы полгода испытывали PetKa на собственных любимцах в реальных условиях) внезапно выяснилось, что животные очень быстро понимают: если метка на ошейнике зазвучала, надо со всех лап нестись к хозяину за вкусняшкой.
       
      View the full article
    • KL FC Bot
      Кибербезопасность и приватность ИИ-браузеров с LLM | Блог Касперского
      Автор KL FC Bot
      Появится ли в 2027 году сверхразумный ИИ, пока не понятно. Зато прогноз на 2026-й уже ясен: год пройдет под знаком доступных ИИ-агентов — больших мультимодальных моделей, способных выстраивать и выполнять цепочку действий по команде пользователя. Уже сейчас «агентские» функции есть на сайте ChatGPT и других провайдеров, но для максимальной эффективности они должны выполнять нужные действия не где-то в облаке, а прямо на компьютере у пользователя. В идеале это, наверное, «ИИ-ОС», но создать операционную систему сложно. Поэтому все сосредоточились на понятном пользователям и эффективном варианте: ИИ-браузере. Под «ИИ-браузером» мы понимаем обычное приложение для просмотра сайтов, в которое глубоко внедрен доступ к LLM. ИИ-модель «видит» все открытые веб-страницы, может обрабатывать информацию с них и отдавать браузеру те же команды, что обычно дает пользователь: открыть, кликнуть, ввести, сохранить, загрузить.
      Пользу от такого решения видят все лидеры рынка — Perplexity выпустила собственный Comet Browser и недавно делала многомиллиардное предложение по покупке Chrome, а OpenAI запустила разработку собственного браузера. У Google и Microsoft ситуация проще — они интегрировали Gemini и Copilot в свои Chrome и Edge. Firefox идет к той же цели с другой стороны и постепенно интегрирует ИИ-функции глубоко в браузер.
      В результате уже сейчас реклама побуждает провести «апгрейд браузера», либо скачав новый, либо активировав «умные функции» в существующем. А в будущем году она будет звучать из каждого утюга. Остается решить: зачем это вам и стоят ли выгоды появляющихся рисков?
      Зачем вам ИИ-браузер
      Идеально воплощенный ИИ-ассистент в браузере может разгрузить владельца от многих нудных задач. Одной кнопкой можно получить краткую выжимку длинной статьи или двухчасового видео; вместо чтения длинного документа — задать вопрос по содержимому страницы. Все это происходит быстро и естественно, без необходимости копировать и вставлять ссылки или тексты на вкладке чат-бота.
      Но настоящий прорыв принесут именно агентские функции, то есть возможность не просто обрабатывать данные, а выполнять конкретные действия. Например, открыть любимый маркетплейс и написать ассистенту «положи мне в корзину все, что нужно для трехдневного турпохода в августе».
      В отличие от аналогичных функций, уже доступных на веб-сайтах ИИ-провайдеров, «агентурная работа» происходит прямо на вашем компьютере. Все нужные сервисы узнают вас (вы же вошли на сайты?), операции происходят гораздо быстрее, чем на облачной виртуальной машине — правда, не факт, что результативнее.
      Функции подбора информации могут выдавать более релевантные результаты в ИИ-браузере на вашем устройстве, потому что ботов ChatGPT, Claude, Perplexity и других не пускают на многие сайты, и поэтому LLM не учитывают в своих ответах многие актуальные источники. С запуском тех же функций из браузера эта проблема существенно уменьшится, ведь ИИ-ассистент будет заходить на сайты от вашего лица. И, если вы подписаны на какие-то закрытые источники данных (научные журналы, биржевые сводки), ИИ-агент сможет при необходимости использовать их в своей работе.
       
      View the full article
    • KL FC Bot
      Как усилить безопасность мессенджера | Блог Касперского
      Автор KL FC Bot
      Незаметно для нас мессенджеры стали неотъемлемой частью жизни, средой, где мы проводим значительную часть повседневных активностей. Мы используем их для общения с друзьями, семьей и коллегами, для чтения новостей, развлечения и даже для продвижения бизнеса или своего личного бренда. Разумеется, такой популярный инструмент неизбежно привлекает и злоумышленников. Поэтому, кроме комфорта и удобства, мессенджеры привносят в нашу жизнь и ряд рисков.
      В этом посте мы решили посмотреть на основные угрозы для пользователей мессенджеров с точки зрения производителя защитных решений и продумать, как разработчики могли бы обеспечить дополнительную безопасность своих коммуникационных приложений.
      Чрезмерные разрешения
      Каждое современное приложение при установке и во время использования просит разрешения на доступ к различным функциям мобильного устройства: контактам, камере, микрофону, геолокации, галерее фотографий и так далее. В большинстве случаев эти разрешения действительно необходимы для работы приложения, но иногда пользователи дают гораздо больше прав, чем это нужно для нормальной работы в данный момент. При этом далеко не всегда пользователю очевидно, зачем именно мессенджеру нужен тот или иной доступ и, что еще важнее, — что происходит с данными, к которым этот мессенджер доступ получил (особенно если контроль над приложением захватят злоумышленники). А между тем, лишние доступы могут нести угрозу не только приватности, но и безопасности всего устройства в целом. Чтобы минимизировать эти риски, следует придерживаться нескольких простых правил.
      Во-первых, мы рекомендуем придерживаться принципа минимально необходимых привилегий. Это значит, что доступ к каким-либо функциям и данным следует разрешать, только если пользователь понимает, для чего это нужно, и только на то время, когда это действительно необходимо. Например, простому текстовому мессенджеру едва ли нужен доступ к точной геолокации. Или если вы не собираетесь совершать видеозвонки через конкретный мессенджер, то и доступ к камере ему ни к чему.  
      View the full article
×
×
  • Создать...