Перейти к содержанию

Как пользоваться мессенджерами для конфиденциальной переписки | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Мы неоднократно сравнивали защищенные мессенджеры со сквозным шифрованием, рекомендовали настройки и описывали дефекты таких приложений. А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием «Что является безопасным?» (What Is Secure).

В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.

Что изучали

Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров. Пользователям предлагали такие популярные приложения:

  • Apple iMessage;
  • Meta (Facebook) Messenger*;
  • Messages by Google;
  • Signal;
  • Telegram;
  • WhatsApp.

При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Meta (Facebook) Messenger*;

*Meta (Facebook) Messenger принадлежит компании Meta, признанной экстремистской организацией в России.

Решил глянуть, что там исследовали другие организации и встречаю с порога вот это. И в голове мысль "автор, ты в курсе, что Whatsapp - это тоже Meta?". Смотрю, то автор - а это Стан Каминский. И всё во мне сразу напряглось. Этому автору вообще не удаются статьи, ему нужно искать себя в другой сфере. Но вряд ли это он поставил сноску, скорее это редактор. Так что обращаюсь к редактору статьи - Вотсапп тоже принадлежит Мете.

 

Возвращаясь к Стану, я уверен, что тот налажает в базовых вещах и будет натягивать сову на глобус, пытаясь выдать одно за другое. Ну и наверняка ещё на СПО наедет.

 

Quote

Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой.

Капец, спасибо. Никто ведь не знает, что шифрование переписки - это один из множества _обязательных_ этапов обеспечения безопасности. Примерно как не жрать с пола и не бросать в рот все ягоды, которые встретишь. Эти 2 правила не решат всех проблем, но они _тоже_ необходимы.

 

Quote

Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника?

https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

Quote

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

В общем, описанное — это про модель угроз и модель нарушителя. Это я так, чтобы читатель моего ответа просто узнал пару терминов. Ну а тот, кто выбирает мессенджер, должен прикинуть модели угроз и нарушителя.

 

Quote

В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.

Ошибочный посыл. Не знаю, кто неправ  - авторы статьи или тот, кто нам её пересказывает своими словами. Исследование про _мессенджеры_. То есть если берёшь с собой телефон, даже отдельный, там будет мессенджер с перепиской и его точно также могут изъять. Так зачем схема с двумя телефонами, когда нарушитель имеет физический доступ к устройству и может принудить к разблокированию. При чём второе сводит на нет даже отсутствие телефона - если нарушитель может принудить разблокировать, то он может принудить залогиниться на том телефоне, который сам и предоставит.

 

Quote

Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.

Опять же, нужно рассматривать модель угроз. Добавим в угрозы отказ от обязательств стороны, если нет документального подтверждения. То есть нет переписки - вторая сторона скажет "мы не договаривались и никакой личной встречи не было", что тогда? Модель угроз - это не только "телефон могут украсть".

 

Quote

Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер

Где это почитать? Стан, расскажи мне, что где и как хранит компания обо мне? Всё, со мной связанное, включая информацию о моих файлах, которая попала в KSN. Не расскажешь?

 

Quote

Об этом пишут в отчетах о прозрачности, а также в прессе.

Стан, а можно мне отчёт о прозрачности ЛК? :) Этот "трансперенси репорт" - это такая модная штука, которая во-первых вообще не обязана существовать, во-вторых отчёты могут быть улучшены по просьбе "кого надо", в-третьих обращения некоторых вообще идут мимо отчётов о прозрачности, т.к. происходят вне оговорённых процедур. Вон, Цукер проболтался на подкасте одном, что сотрудники ФБР прям ногами приходили в офис, прям физически подходили к сотрудникам и говорили, чтобы информация о Хантере Байдене в Фейсбуке не всплывала. Такие подходы не попадут в отчёт о прозрачности, потому что они были не официальными. Просто для Цукера это настолько привычно (Фейсбук и ФБР суть одна контора уже), что он даже не понял, ЧТО ИМЕННО он только что сказал.

 

Quote

Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.

Спишем корявость построения фразы "месседжеры, основанные на шифровании сообщений" на то, что русский язык не родной для Стана и редакторов или же спишем на то, что авторы (или Стан???) не понимают, о чём говорят. Телега тоже "основана на 100% шифровании сообщений", знаете ли: это e2se — (энд-ту-сервер энкрипшен) шифрование между клиентом и сервером. Я пишу это сообщение, которое прочитают разные люди, однако оно тоже будет передано 100% зашифрованным: потому что HTTPS.

Отличие Сигнала и Вотсапа от Телеграма в том, что у них e2ee (энд-ту-энд энкрипшен) — это обычный режим работы, тогда как у Телеги - это специальный режим, который нарочно сделан неудобным. Называется "секретные чаты". Но и e2se, и e2ee - это всё шифрование, тогда как SMS вообще не шифруются.

 

Quote

Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail.

Можно не стараться. У Телеги, а тем более Фейсбука, и уж точно у Эпла есть примерно бесконечное число способов связать "анонима" с конкретным Васей. Отвязка от SMS - это маркетиновый ход. Он никакого отношения к приватности не имеет, потому что сами поставщики мессенджеров всё равно сразу поймут, кто вы такой. Это просто рекламный ход, ориентированный на доверчивых людей. Хотите анонимности - идите в https://briarproject.org/manual/ru/ или Threema, купленную через крипту (я покупал за битки её) на худой конец. Используете попсовые мессанджеры - просто примите тот факт, что для владельцев мессенджера (а равно для людей в погонах) вы не анонимны.

 

В общем, что хочу сказать. Или авторы исследования провели бесполезную работу, или нам так перевели. Потому что все и так знают, что Сигнал лучше Телеграма, но Телеграм удобнее Сигнала. И что Гугл и Эпл вообще никакого отношения никогда к приватности не имели. И фейсбук туда же.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      12 советов по безопасному использованию мессенджеров WhatsApp, Telegram, Signal, Viber, WeChat и других | Блог Касперского
      Автор KL FC Bot
      Как переписываться, не сливая данные посторонним, и как защитить свой аккаунт в мессенджерах от кражи или взлома? Вот двенадцать простых правил с кратчайшими объяснениями, почему важно каждое из них.
      Включите двухфакторную проверку
      Почему это важно. Чтобы ваш аккаунт не взломали и не украли, например выпустив нелегальный дубликат SIM-карты. Если включить эту настройку, то для регистрации мессенджера на новом устройстве помимо подтверждающего кода из SMS потребуется ваш секретный пароль.
      Что делать. Зайти в мессенджере в настройки безопасности и конфиденциальности, ввести и хорошо запомнить секретный пароль. Его не нужно будет регулярно вводить, он нужен только при переносе аккаунта на новое устройство. Для удобства его можно сгенерировать и хранить в защищенном парольном менеджере, или же можно создать и проверить пароль на стойкость с помощью нашего бесплатного сервиса Kaspersky Password Checker.
       
      View the full article
    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Лучшие конфиденциальные сервисы в подарок | Блог Касперского
      Автор KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • KL FC Bot
      Приоритеты CISO в 2025 году | Блог Касперского
      Автор KL FC Bot
      В конце марта обновилась популярная шпаргалка по приоритетам ИБ-команды, CISO MindMap. Но экономическая реальность начала меняться спустя буквально пару дней после публикации, и теперь, с учетом высоких шансов экономической нестабильности, рецессии, падения цен на нефть и удорожания чипов, у многих компаний и их CISO на повестке дня может возникнуть болезненный вопрос — оптимизация расходов. С учетом этого мы решили взглянуть на CISO MindMap немного иными глазами и выделить те новые или важные ИБ-проекты, которые могут внести вклад в экономию бюджета, не создавая избыточных рисков для организации.
      Рационализация инструментов
      Приоритетом CISO будет «консолидация и рационализация инструментов ИБ». В данный момент в половине крупных организаций используется более 40 инструментов ИБ, в четверти — более 60. Как правило, такое изобилие ведет к потере продуктивности, утомлению сотрудников от несинхронизированных и неконсолидированных оповещений, а также к избыточным тратам на оплату всех этих инструментов.
      Решение этой проблемы — либо консолидация технологического стека в рамках моновендорного подхода (один поставщик платформы ИБ и всех ее компонентов), либо выбор лучшего инструмента в каждой категории. Во втором случае на инструменты накладываются жесткие требования по открытым стандартам коммуникации и возможностям API-интеграции. Второй подход лучше подходит технологически зрелым командам, которые могут выделить внутренние ресурсы (прежде всего время) на то, чтобы корректно и эффективно наладить интеграцию согласно принятым в отделе ИБ процедурам.
       
      View the full article
×
×
  • Создать...