Перейти к содержанию

Как пользоваться мессенджерами для конфиденциальной переписки | Блог Касперского


Рекомендуемые сообщения

Опубликовано

Мы неоднократно сравнивали защищенные мессенджеры со сквозным шифрованием, рекомендовали настройки и описывали дефекты таких приложений. А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием «Что является безопасным?» (What Is Secure).

В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.

Что изучали

Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров. Пользователям предлагали такие популярные приложения:

  • Apple iMessage;
  • Meta (Facebook) Messenger*;
  • Messages by Google;
  • Signal;
  • Telegram;
  • WhatsApp.

При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».

 

Посмотреть статью полностью

Опубликовано
Quote

Meta (Facebook) Messenger*;

*Meta (Facebook) Messenger принадлежит компании Meta, признанной экстремистской организацией в России.

Решил глянуть, что там исследовали другие организации и встречаю с порога вот это. И в голове мысль "автор, ты в курсе, что Whatsapp - это тоже Meta?". Смотрю, то автор - а это Стан Каминский. И всё во мне сразу напряглось. Этому автору вообще не удаются статьи, ему нужно искать себя в другой сфере. Но вряд ли это он поставил сноску, скорее это редактор. Так что обращаюсь к редактору статьи - Вотсапп тоже принадлежит Мете.

 

Возвращаясь к Стану, я уверен, что тот налажает в базовых вещах и будет натягивать сову на глобус, пытаясь выдать одно за другое. Ну и наверняка ещё на СПО наедет.

 

Quote

Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой.

Капец, спасибо. Никто ведь не знает, что шифрование переписки - это один из множества _обязательных_ этапов обеспечения безопасности. Примерно как не жрать с пола и не бросать в рот все ягоды, которые встретишь. Эти 2 правила не решат всех проблем, но они _тоже_ необходимы.

 

Quote

Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника?

https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

Quote

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

В общем, описанное — это про модель угроз и модель нарушителя. Это я так, чтобы читатель моего ответа просто узнал пару терминов. Ну а тот, кто выбирает мессенджер, должен прикинуть модели угроз и нарушителя.

 

Quote

В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.

Ошибочный посыл. Не знаю, кто неправ  - авторы статьи или тот, кто нам её пересказывает своими словами. Исследование про _мессенджеры_. То есть если берёшь с собой телефон, даже отдельный, там будет мессенджер с перепиской и его точно также могут изъять. Так зачем схема с двумя телефонами, когда нарушитель имеет физический доступ к устройству и может принудить к разблокированию. При чём второе сводит на нет даже отсутствие телефона - если нарушитель может принудить разблокировать, то он может принудить залогиниться на том телефоне, который сам и предоставит.

 

Quote

Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.

Опять же, нужно рассматривать модель угроз. Добавим в угрозы отказ от обязательств стороны, если нет документального подтверждения. То есть нет переписки - вторая сторона скажет "мы не договаривались и никакой личной встречи не было", что тогда? Модель угроз - это не только "телефон могут украсть".

 

Quote

Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер

Где это почитать? Стан, расскажи мне, что где и как хранит компания обо мне? Всё, со мной связанное, включая информацию о моих файлах, которая попала в KSN. Не расскажешь?

 

Quote

Об этом пишут в отчетах о прозрачности, а также в прессе.

Стан, а можно мне отчёт о прозрачности ЛК? :) Этот "трансперенси репорт" - это такая модная штука, которая во-первых вообще не обязана существовать, во-вторых отчёты могут быть улучшены по просьбе "кого надо", в-третьих обращения некоторых вообще идут мимо отчётов о прозрачности, т.к. происходят вне оговорённых процедур. Вон, Цукер проболтался на подкасте одном, что сотрудники ФБР прям ногами приходили в офис, прям физически подходили к сотрудникам и говорили, чтобы информация о Хантере Байдене в Фейсбуке не всплывала. Такие подходы не попадут в отчёт о прозрачности, потому что они были не официальными. Просто для Цукера это настолько привычно (Фейсбук и ФБР суть одна контора уже), что он даже не понял, ЧТО ИМЕННО он только что сказал.

 

Quote

Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.

Спишем корявость построения фразы "месседжеры, основанные на шифровании сообщений" на то, что русский язык не родной для Стана и редакторов или же спишем на то, что авторы (или Стан???) не понимают, о чём говорят. Телега тоже "основана на 100% шифровании сообщений", знаете ли: это e2se — (энд-ту-сервер энкрипшен) шифрование между клиентом и сервером. Я пишу это сообщение, которое прочитают разные люди, однако оно тоже будет передано 100% зашифрованным: потому что HTTPS.

Отличие Сигнала и Вотсапа от Телеграма в том, что у них e2ee (энд-ту-энд энкрипшен) — это обычный режим работы, тогда как у Телеги - это специальный режим, который нарочно сделан неудобным. Называется "секретные чаты". Но и e2se, и e2ee - это всё шифрование, тогда как SMS вообще не шифруются.

 

Quote

Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail.

Можно не стараться. У Телеги, а тем более Фейсбука, и уж точно у Эпла есть примерно бесконечное число способов связать "анонима" с конкретным Васей. Отвязка от SMS - это маркетиновый ход. Он никакого отношения к приватности не имеет, потому что сами поставщики мессенджеров всё равно сразу поймут, кто вы такой. Это просто рекламный ход, ориентированный на доверчивых людей. Хотите анонимности - идите в https://briarproject.org/manual/ru/ или Threema, купленную через крипту (я покупал за битки её) на худой конец. Используете попсовые мессанджеры - просто примите тот факт, что для владельцев мессенджера (а равно для людей в погонах) вы не анонимны.

 

В общем, что хочу сказать. Или авторы исследования провели бесполезную работу, или нам так перевели. Потому что все и так знают, что Сигнал лучше Телеграма, но Телеграм удобнее Сигнала. И что Гугл и Эпл вообще никакого отношения никогда к приватности не имели. И фейсбук туда же.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Как вы думаете, при восстании машин какого представителя «умной» бытовой техники стоит опасаться больше всего? Блендера, чайника, а может быть, робота-пылесоса? Моя ставка — на роботов-газонокосилок, и, готова поспорить, после прочтения этой статьи вы тоже начнете их опасаться. В ней пойдет речь о свежей работе независимого исследователя безопасности Андреаса Макриса, который на момент публикации своего исследования следил за шестью тысячами газонокосилок бренда Yarbo. Более того, при желании он мог получить полный контроль над любым из этих устройств: включать и выключать робота, управлять им на расстоянии, делать снимки встроенной камерой и многое другое. Подробнее о том, как это у него получилось, читайте в нашей статье.
      Что представляют собой роботы-газонокосилки Yarbo
      Называть устройства Yarbo простыми газонокосилками — значит не отдавать им должное. На деле продвинутые роботы Yarbo — это автономные мини-тракторы, которые могут решать массу разнообразных задач. Их можно использовать не только для ухода за газоном, но также для уборки снега и опавших листьев, транспортировки грузов, патрулирования территории и других задач. Для разных видов хозяйственной деятельности производитель предусмотрел целый набор различных насадок.
      Yarbo — модульный робот для ухода за участком. В зависимости от установленной насадки он может работать как газонокосилка, триммер, снегоуборщик, воздуходувка для листьев или маленький грузовик. Источник
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов. Возникающие проблемы варьируются от временной недоступности сервисов из-за технических сбоев и полного отключения нужных моделей (как это недавно произошло с Fable 5) до неожиданной блокировки некоторых вариантов использования (прощай, OpenClaw) или гигантского перерасхода отведенного бюджета (как узнал в этом году Uber).
      Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям. Пользователь прописывает в своем ИИ-агенте или открывает в браузере адрес выданного ему сервера (API-прокси) и начинает получать ответы нейросети, к которой вместо него обратился этот прокси.
      Одни платформы на этом рынке в первую очередь предлагают широкий выбор моделей и удобный учет ресурсов, а также балансировку нагрузки между официальными API. Другие строят свой маркетинг на радикальном снижении стоимости. Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов. Разумеется, за скобками остаются серьезнейшие риски, затрагивающие эффективность, надежность и безопасность подобных решений.
      Как работают серые ИИ-прокси
      Согласно недавнему исследованию Oxford China Policy Lab, бизнес-модель дешевых посредников строится на создании ферм аккаунтов. На множестве компьютеров регистрируются учетные записи, доступ к ним подтверждается подделанными или купленными у граждан в бедных странах документами. В подписках могут использовать бесплатный пробный период (или фиксированную сумму «API-кредитов» на пробное использование), а могут и покупать дорогую премиум-подписку за $100–200. Доступ к ней потом автоматически распределяется между несколькими пользователями.
      Экономика таких сервисов часто носит криминальный характер. Сверхнизкие цены объясняются не только максимальным использованием лимитов в аккаунтах, но и кражей учетных данных у добросовестных пользователей, а также массовым использованием краденых банковских карт для оплаты подписок. Сервисы такого рода автоматизированы, и, как только поставщик ИИ-модели блокирует подозрительный аккаунт, отработанная учетная запись заменяется на новую.
      Для пользователей сервисов проблема заключается не только в том, что посредник получает доступ нечестным путем. API-прокси видит полный обмен данными между конечным пользователем и моделью: запросы, цепочка рассуждений, ответы. Более того, прокси может менять любые данные в запросах и ответах. Вот какие риски это создает.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      К сожалению, на обман и фишинговые атаки ведутся не только простодушные люди — оказаться в числе жертв сейчас может буквально кто угодно. Злоумышленники годами оттачивают свои тактики, чтобы обеспечить себе успех, и пользуются сложными психологическими манипуляциями, которые зачастую трудно распознать. Такие манипуляции в мире кибербезопасности даже удостоились отдельного термина — социальная инженерия.
      В этой статье рассказываем, какие психологические уловки используют злоумышленники, чтобы обманывать своих жертв, на какие «красные флаги» стоит обратить внимание и, наконец, что делать, если вы обнаружили, что вас пытаются обмануть.
      На каких эмоциях играют злоумышленники
      Социальная инженерия работает именно потому, что бьет по нашим эмоциям. Когда жертва взволнована, напугана или охвачена азартом, она принимает решения быстро и почти не думает о последствиях. Именно это злоумышленникам и нужно.
      Поэтому в тот момент, когда вы разговариваете или переписываетесь с кем-то, остановитесь на секунду и спросите себя: что именно я чувствую прямо сейчас? А какие ощущения у меня были мгновение назад? Не пытается ли мой собеседник как-то воспользоваться моим эмоциональным состоянием?
      Чаще всего злоумышленники пытаются надавить на следующие эмоции:
      страх, тревога; азарт; стыд, вина; удивление, шок.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Наша команда Kaspersky Global Emergency Response Team и сервис MDR за последний год расследовали множество инцидентов в компаниях самого разного профиля. Выявленные в ходе этой работы техники, тактики и инструменты атакующих легли в основу глобального отчета Анатомия ландшафта киберугроз 2026. Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.
      Кейс № 1. Одна учетная запись — и все данные зашифрованы
      Что произошло
      В одной латиноамериканской компании атакующие получили доступ к SMTP-серверу через компрометацию учетной записи локального администратора. Ничего сложного — просто каким-то образом украли пароль, а дальше — классическая эскалация:
      Злоумышленники, используя утилиту Mimikatz, сделали дамп хешей паролей, а далее, применяя технику Pass-the-Hash, с помощью утилиты Invoke-TheHash получили привилегии пользователей. Затем они использовали еще один инструмент для повышения привилегий через уязвимый драйвер и распространили шифровальщик на конечные устройства корпоративной сети. Почему это произошло
      Большинство компаний до сих пор защищаются, пытаясь отслеживать явные вредоносные действия, а не легитимные действия, производящиеся под легитимными учетными записями. Схема действий злоумышленников хорошо прослеживается по статистике из вышеупомянутого отчета «Анатомия ландшафта киберугроз». Сначала злоумышленники компрометируют учетную запись. Вот статистика по конверсии техник злоумышленников в реальные атаки:
      Password guessing — 34,8%. Valid account abuse — 34,5%. Захватив одну учетку, злоумышленник создает себе запасной аэродром внутри скомпрометированной инфраструктуры:
      Local account creation — 34,7%. Account manipulation — 32,0%. Далее атакующие начинают сканировать сетевые сервисы.
      Network service discovery — 31,2%. Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.
      Кейс № 2. Когда сервер мониторинга становится троянским конем
      Что произошло
      Произошла атака шифровальщика BlackNevas. Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись. Сканируя внутреннюю сеть, атакующие обнаружили сервер PRTG (Paessler Router Traffic Grapher) — решение для мониторинга инфраструктуры. Через него злоумышленники попали в общую сеть, нашли ESXi-серверы и зашифровали виртуальную среду целиком.
      Почему это произошло
      Были допущены две классические ошибки:
      Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным. Была скомпрометирована учетная запись. Кейс № 3. Когда патч выпустили, а вы его не поставили
      Что произошло
      В этом кейсе атакующие применили не обычный шифровальщик, а вайпер, при атаке которого данные уже не восстановить. Злоумышленники использовали уязвимость в сервере SAP NetWeaver для первоначального доступа. Через нее установили веб-шелл на серверах периметра. Затем применили атаку password spraying для получения доступов более привилегированных пользователей.
      Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функциональностью вайпера. Вредоносный объект подгрузили через уязвимости в Microsoft Defender и ПО для работы с электронными книгами. Используемый вайпер полностью зашифровал маленькие файлы с помощью криптостойкого RSA, в файлах среднего размера использовал RSA только для заголовков, для остального применил AES, большие файлы обрезал до 5 Мбайт, остальное занулил. С учетом приведенного алгоритма работы вайпера полное восстановление поврежденных файлов было невозможно.
      Почему это произошло
      View the full article
    • Dzmitry
      Автор Dzmitry
      Описание с магазина
       
      О Внешний аккумулятор с встроенными кабелями
      Зарядное устройство с функцией беспроводной зарядки для смартфона и часов. Увеличенный объем батареи и быстрая зарядка по MagSafe позволят забыть об ограниченности аккумулятора. Кроме того, больше не надо носить с собой моток проводов, ведь кроме беспроводной зарядки устройство имеет встроенные type-c и lightning кабели с еще большей выходной мощностью.
      ∙ Материал: АВS, металл
      ∙ Цвет: чёрный
      ∙ Размер: 115х70х22 мм
      ∙ Ёмкость: 10000 mAh
      ∙ Вход: Type-C
      ∙ Выход: USB, Type-C
      ∙ Встроенные кабели Lightning и Type-C
      ∙ Встроенная подставка для смартфона
      ∙ Индикатор зарядки
      ∙ MagSafe беспроводная зарядка 15 Вт Зарядное устройство 2.5 Вт для Apple Watch QC2.5W + PD20W быстрая зарядка
       
       
      В описании ничего не написано про модель пауэрбанка, даже гугл по картинке не смог найти эту модель.
      По результатам использования:
      Хороший компактный поуэрбанк, который всё время под рукой. Для меня самое главное – поддержка быстрой зарядки. Вес 212г , аналогичный от xiaomi весит 214г
      Из минусов хочу отметить тонкие зарядные провода и невозможность зарядки отдельных моделей смартфонов на подставке (huawei pura 80)
       

       

       

       

       

       

       

       

       

       

       

       

       

       

       

×
×
  • Создать...