Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Как пользоваться мессенджерами для конфиденциальной переписки | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Мы неоднократно сравнивали защищенные мессенджеры со сквозным шифрованием, рекомендовали настройки и описывали дефекты таких приложений. А чего ждут от мессенджеров те, кто хочет безопасности, но не слишком разбирается в технологиях? Группа экспертов из агентств Tech Policy Press и Convocation Research and Design провела обширное исследование и выпустила отчет под названием «Что является безопасным?» (What Is Secure).

В отчете даны рекомендации как пользователям, так и разработчикам. Поскольку 86 страниц текста осилят лишь самые целеустремленные, мы перескажем главные выводы работы.

Что изучали

Авторы провели интервью с группами пользователей в Луизиане (США) и Дели (Индия) и определили сильные и слабые стороны современных мессенджеров. Пользователям предлагали такие популярные приложения:

  • Apple iMessage;
  • Meta (Facebook) Messenger*;
  • Messages by Google;
  • Signal;
  • Telegram;
  • WhatsApp.

При этом изучалось, как люди реагируют на подсказки приложения, как понимают значение каждой функции. Что еще важнее, с ними поговорили о том, чего конкретно они опасаются и как представляют себе пользу безопасных мессенджеров в своей жизни. Некоторые опрошенные опасались физической агрессии (например, семейного насилия), а некоторые — преследования властей. Это сильно влияет на то, что для них является «безопасным».

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Meta (Facebook) Messenger*;

*Meta (Facebook) Messenger принадлежит компании Meta, признанной экстремистской организацией в России.

Решил глянуть, что там исследовали другие организации и встречаю с порога вот это. И в голове мысль "автор, ты в курсе, что Whatsapp - это тоже Meta?". Смотрю, то автор - а это Стан Каминский. И всё во мне сразу напряглось. Этому автору вообще не удаются статьи, ему нужно искать себя в другой сфере. Но вряд ли это он поставил сноску, скорее это редактор. Так что обращаюсь к редактору статьи - Вотсапп тоже принадлежит Мете.

 

Возвращаясь к Стану, я уверен, что тот налажает в базовых вещах и будет натягивать сову на глобус, пытаясь выдать одно за другое. Ну и наверняка ещё на СПО наедет.

 

Quote

Зашифрованная переписка не решит всех проблем пользователя, находящегося под угрозой.

Капец, спасибо. Никто ведь не знает, что шифрование переписки - это один из множества _обязательных_ этапов обеспечения безопасности. Примерно как не жрать с пола и не бросать в рот все ягоды, которые встретишь. Эти 2 правила не решат всех проблем, но они _тоже_ необходимы.

 

Quote

Поэтому надо обдумать свою стратегию против настойчивых противников. Грозит ли вам физическое изъятие телефона? Принуждение к его разблокировке? Боитесь ли вы того, что ваши данные будут пытаться получить у компании-владельца мессенджера по суду или ордеру? Или попытаются заразить ваш телефон шпионским приложением? А может, ту же самую переписку проще выудить у вашего собеседника?

https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

Quote

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

В общем, описанное — это про модель угроз и модель нарушителя. Это я так, чтобы читатель моего ответа просто узнал пару терминов. Ну а тот, кто выбирает мессенджер, должен прикинуть модели угроз и нарушителя.

 

Quote

В качестве дополнительных рекомендаций подобным уязвимым группам пользователей авторы отчета предлагают предпринять ряд технических мер (о них поговорим ниже), но главное — вообще не брать телефон туда, где возможны его физическое изъятие или принудительная разблокировка. Для таких опасных мест рекомендовано завести второй телефон, а первый держать у доверенного лица.

Ошибочный посыл. Не знаю, кто неправ  - авторы статьи или тот, кто нам её пересказывает своими словами. Исследование про _мессенджеры_. То есть если берёшь с собой телефон, даже отдельный, там будет мессенджер с перепиской и его точно также могут изъять. Так зачем схема с двумя телефонами, когда нарушитель имеет физический доступ к устройству и может принудить к разблокированию. При чём второе сводит на нет даже отсутствие телефона - если нарушитель может принудить разблокировать, то он может принудить залогиниться на том телефоне, который сам и предоставит.

 

Quote

Самое секретное — лучше лично. Никакие виды цифровых коммуникаций не являются полностью безопасными. Поэтому самые рискованные для разглашения вещи, особенно если речь идет об угрозе жизни и здоровью, рекомендуется обсуждать лично, а не в переписке.

Опять же, нужно рассматривать модель угроз. Добавим в угрозы отказ от обязательств стороны, если нет документального подтверждения. То есть нет переписки - вторая сторона скажет "мы не договаривались и никакой личной встречи не было", что тогда? Модель угроз - это не только "телефон могут украсть".

 

Quote

Хорошо изучите: что, где и как на самом деле хранит выбранный мессенджер

Где это почитать? Стан, расскажи мне, что где и как хранит компания обо мне? Всё, со мной связанное, включая информацию о моих файлах, которая попала в KSN. Не расскажешь?

 

Quote

Об этом пишут в отчетах о прозрачности, а также в прессе.

Стан, а можно мне отчёт о прозрачности ЛК? :) Этот "трансперенси репорт" - это такая модная штука, которая во-первых вообще не обязана существовать, во-вторых отчёты могут быть улучшены по просьбе "кого надо", в-третьих обращения некоторых вообще идут мимо отчётов о прозрачности, т.к. происходят вне оговорённых процедур. Вон, Цукер проболтался на подкасте одном, что сотрудники ФБР прям ногами приходили в офис, прям физически подходили к сотрудникам и говорили, чтобы информация о Хантере Байдене в Фейсбуке не всплывала. Такие подходы не попадут в отчёт о прозрачности, потому что они были не официальными. Просто для Цукера это настолько привычно (Фейсбук и ФБР суть одна контора уже), что он даже не понял, ЧТО ИМЕННО он только что сказал.

 

Quote

Рекомендованы для использования мессенджеры, основанные на 100% шифровании сообщений — это Signal и WhatsApp.

Спишем корявость построения фразы "месседжеры, основанные на шифровании сообщений" на то, что русский язык не родной для Стана и редакторов или же спишем на то, что авторы (или Стан???) не понимают, о чём говорят. Телега тоже "основана на 100% шифровании сообщений", знаете ли: это e2se — (энд-ту-сервер энкрипшен) шифрование между клиентом и сервером. Я пишу это сообщение, которое прочитают разные люди, однако оно тоже будет передано 100% зашифрованным: потому что HTTPS.

Отличие Сигнала и Вотсапа от Телеграма в том, что у них e2ee (энд-ту-энд энкрипшен) — это обычный режим работы, тогда как у Телеги - это специальный режим, который нарочно сделан неудобным. Называется "секретные чаты". Но и e2se, и e2ee - это всё шифрование, тогда как SMS вообще не шифруются.

 

Quote

Полезны мессенджеры, работающие без привязки к номеру телефона. К таковым отчасти относятся Telegram, Messenger* и iMessage, хотя во всех трех нужно постараться, чтобы вести переписку при помощи внутреннего ника или e-mail.

Можно не стараться. У Телеги, а тем более Фейсбука, и уж точно у Эпла есть примерно бесконечное число способов связать "анонима" с конкретным Васей. Отвязка от SMS - это маркетиновый ход. Он никакого отношения к приватности не имеет, потому что сами поставщики мессенджеров всё равно сразу поймут, кто вы такой. Это просто рекламный ход, ориентированный на доверчивых людей. Хотите анонимности - идите в https://briarproject.org/manual/ru/ или Threema, купленную через крипту (я покупал за битки её) на худой конец. Используете попсовые мессанджеры - просто примите тот факт, что для владельцев мессенджера (а равно для людей в погонах) вы не анонимны.

 

В общем, что хочу сказать. Или авторы исследования провели бесполезную работу, или нам так перевели. Потому что все и так знают, что Сигнал лучше Телеграма, но Телеграм удобнее Сигнала. И что Гугл и Эпл вообще никакого отношения никогда к приватности не имели. И фейсбук туда же.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sputnikk
      Безопасно ли пользоваться соседским Wi-Fi ?
      Автор sputnikk
      Wi-Fi запароленный, пацанов в семье нет, только девочки-школьницы. Подсоединил комп через свисток D-linк 2013 года утилитой Mediatek Wireless Utility.
       
      Я не был в интернете 5 дней. Украинцы пожгли железо местного провайдера и сети не будет ещё неделю, пришлось клянчить вай-фай у соседей, у них другой провайдер.  
      Железо Juniper, один коммутатор сейчас стоит 150к. Украинцам помогали индийцы через Австралию.
      Мобильного у меня нету.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Главные ошибки работы с CVSS | Блог Касперского
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
    • KL FC Bot
      Вам опять причитается много денег | Блог Касперского
      Автор KL FC Bot
      Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
      Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
      Как действуют мошенники
      В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
      Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
      «Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
       
      View the full article
    • KL FC Bot
      Как минимизировать цифровой след: чек-лист от «Лаборатории Касперского» | Блог Касперского
      Автор KL FC Bot
      Присутствие в Интернете сегодня неизбежно. Все больше и больше повседневных процессов происходят онлайн, и, если вы не моряк и не лесничий, жить в офлайне теперь — привилегия. По примерным оценкам, каждый из нас генерирует ежечасно от двух до трех гигабайт данных — через смартфоны, IoT-устройства и онлайн-сервисы. При этом 71% тех же американцев обеспокоены сбором информации государством, а 81% — корпорациями. Сегодня мы разберем обычный день современного человека, чтобы понять, где и как мы оставляем цифровые следы привычными действиями и что с этим делать.
      Утренние ритуалы: как следят смартфон и браузер
      Вы встали, узнали погоду на сегодня, полистали рилсы, что-то полайкали, вбили свой маршрут на работу и выяснили, через какие пробки вам придется продираться. С настройкой приватности в соцсетях все очевидно: ее надо подкрутить, чтобы подписанные на вас родители и коллеги не поседели от вашего чувства юмора, и поможет в этом наш сайт Privacy Checker. Сложнее с геопозицией, которую любят собирать все кому не лень. Мы уже подробно рассказывали о том, как смартфоны собирают на вас досье, и о том, кто такие брокеры данных геолокации и что происходит, когда они «протекают».
      Только представьте: около половины популярных Android-приложений запрашивают геолокацию там, где она не нужна. А браузеры Chrome и Safari по умолчанию разрешают кросс-доменное отслеживание cookies, что позволяет рекламным сетям строить детальные профили пользователей под персонализированную рекламу. В ход идет почти вся телеметрия смартфона, позволяющая составлять детальный портрет потребителя без кастдевов и фокус-групп. Лучший маркетолог — у вас в кармане, только вот работает он не на вас. Как быть?
       
      View the full article
×
×
  • Создать...