Про месенджери

…а вірніше про сервіси обміну повідомленнями.

Щоб розуміти контекст хочу згадати, що на початку масованого вторгнення Кацапстану в України дуже актуальною стала тема захищеного та безпечного способу обміну повідомленнями і на початку активних бойових дій великою проблемою був витік інформації.

Я написав кілька постів у Facebook щоб дати деяку технічну та навколотехнічну інформацію з ціллю допомогти зрозуміти проблему та недоліки кожного продукту для не надто технічно обізнаних людей.

Усе написане нижче на той момент як ви це читаєте вже або не актуально, або взагалі не правда (бо вже змінили продукт). Але вважаю в історичному розрізі цікаво ці записи зберегти. І усе нижче написане датоване початком 2023-го.

Discord

Частина 2

Нещодавній пост про Discord викликав певний інтерес – чому саме він небезпечний, чому не варто ним користуватися за будь-яких умов. Давай те про це детальніше.

1. Розробник Discord компанія Citron відома своєю іншою програмою Openfreight (вона ж Aurora Freight) яка збирає безліч даних з пристроїв користувача.

2. Discord не має шифрування і поточний власник відмовляється його реалізовувати. Тобто на їх серверах усе зберігається у відкритому вигляді.

3. Крім власне чатів Discord збирає дані про встановлені програми, підключення до інших сервісів, дані в кеші, апаратну частину і взагалі будь-що до чого може дотягнутися. І все це теж зберігається на серверах у не зашифрованому вигляді.

4. Усі сервера Discord знаходяться під контролем власника.

5. Свого часу власник відмовився продати Discord компаніям Microsoft та Sony… і продав китайцям. Так, компартія Китаю має прямий доступ до усіх переписок в Discord та інші дані про користувача.

6. Discord збутковий, дуже збутковий. І ніяка платна підписка цього не змінить. Мова йде про десятки, якщо не сотні мільйонів доларів щороку. І ніяких планів робити його прибутковим нема. Компартія Китаю готова продовжувати його утримувати.

7. Якщо ви прочитавши це вирішите видалити свій обліковий запис вам лише обмежать доступ до нього. А всі ваші чати та інші дані так і лишаться на серверах. Більше того – ці дані доступні доволі легко іншим користувачам навіть для “видалених” облікових записів.

У підсумку для військових цілей якщо використовувати відкритий радіо-канал та ще й постити все в Facebook – все одно Discord гірше.

Telegram

Поговорили про Discord і чому його не варто, навіть не можна використовувати. Тепер глянемо на популярний в Україні Telegram. Отже:

  • Повідомлення між клієнтом (програмою на пристрої) та сервером хоча і зашифровані, проте на самих серверах усе зберігається в розшифрованому вигляді. А значить будь-який злам (які вже відбувалися неодноразово і обов’язково будуть ще) дає хакерам доступ до ваших переписок.
  • Додаток Telegram збирає дані про усі ваші контакти на телефоні. А враховуючи, що користуватися Telegram можна лише прив’язавши його до номера телефону це дає власникам серверів інформацію про конкретних людей, що небезпечно. Додатково збирають IP-адреси з чого з’ясовують фізичне місцезнаходження і переміщення.
  • Telegram використовує неправдиву рекламу і любить нападати на Facebook Messenger та WhatsApp, хоча останній значно кращий в плані безпеки. Неправдивість наприклад в тому, що користуючись тим, що більшість людей не розуміють, що “повідомлення між клієнтом та сервером зашифровані” не означає безпеки саме по собі (дивись пункт на початку списку). І таким чином Telegram створив собі образ “захищеного і безпечного” продукту, хоча таким не є. Будь-який експерт з безпеки скаже вам, що Signal та WhatsApp є більш безпечними продуктами.
  • В залежності від країни в якій ви створили свій обліковий запис в Telegram ваші переписки та інші дані будуть зберігатися в різних дата-центрах які не належать Telegram, а натомість знаходяться у власності інших компаній. А ви знаєте в якому дата-центі зберігаються ваші дані? Зможете дізнатися за бажання? Ото ж бо й воно.
  • Формально Telegram зареєстрований в Лондоні і може відмовляти урядам країн давати доступ до даних користувачі та переписок, але наявність офісу в Дубаї – це їх спосіб співпрацювати з урядами країн які не зважають на такі дрібниці як права. Ось саме через такі офіси щоб працювати в країнах Азії скоріш за все дані передають урядам та впливовим організаціям інших країн. І це не просто якісь вигадані історії – те що Telegram надає дані урядам та агенціям “не дружніх” країн є у будь-якому списку недоліків продукту.
  • З витоку інформації відомо, що як мінімум уряду Німеччини Telegram передає дані на запит урядових агенцій. Ось таке “ми поважаємо приватність” та “ми нікому не віддаємо ваші дані”.
  • Може здатися, що якщо “я лише читаю новини і нічого не пишу в Telegram” це безпечно. Але ні – Telegram має таку систему ботів, що просто відкривши повідомлення за посиланням ви можете бути атаковані і зламані. На вашому комп’ютері буде встановлено приховане програмне забезпечення яке буде збирати дані і дасть змогу зловмисникам віддалено виконувати команди на вашому комп’ютері. Ця проблема відома вже кілька років, але розробник відмовляється її виправляти – в Telegram зараз сотні тисяч ботів які вони не можуть собі дозволити відключити щоб не втратити трафік.
  • Згадану вище дірку в безпеці (скоріш за все залишену свідомо) можна використовувати навіть якщо у вас не встановлений Telegram – достатньо лише відкрити лінку яку ви отримали електронною поштою чи побачила на Facebook. Ніколи не користуйтеся Telegram на ПК і не відкривайте посилання на Telegram повідомлення на ПК.
  • Ну і на останок те, що у витоків Telegram стоять московити та московитські гроші які стояли за створенням vkontakte деяким з нас не дає користуватися продуктом через огиду. І невідомо який вплив ФСБ зараз має на Telegram та його власників.