Аналіз дослідження від Amnesty International про месенджери

Як ми нещодавно вам повідомляли, Amnesty International назвали найбезпечніші месенджери. Ми, заради цікавості, вирішили проаналізувати дані і додати трохи конструктивної критики. У 2016 році відбулася якась божевілля на безпеки і приватності. Якщо раніше компанії концентрувалися на поліпшенні функціоналу, інноваціях і т.п., то зараз створюється враження, що захищеність стала центральним питанням, навколо якої вже не перший місяць точаться дебати і змагання. І це по-своєму добре, але давайте подивимося на питання не з позиції загальної істерики, а все ж більш тверезо.

Дослідження Amnesty International

Дослідження дійсно відображає, більш-менш, реальний стан речей. Однак не варто покладатися на його результати сліпо і давайте трохи детальніше розглянемо, який практичний вага воно має.

Для зручності ми повторно наведемо таблицю результатів, а також критеріїв, звідки ці результати отримані.

Результати дослідження безпеки месенджерів Amnesty International

Рівень безпеки відомих месенджерів
компанія власник Мессенджер Кількість користувачів Рівень безпеки, x / 100
Facebook Facebook Messenger, WhatsApp 1 мільярд + 1 мільярд 73
Apple Messages, FaceTime 1 мільярд + 67
Telegram Telegram близько 100 млн 67
Google Allo, Duo, Hangouts 2 мільярди + 53
Line Line близько 220 млн 47
Viber Media Viber близько 250 млн 47
Kakao Inc KakaoTalk близько 50 млн 40
Microsoft Skype близько 300 млн 40
Snapchat Snapchat близько 200 млн 26
Blackberry Blackberry Messenger близько 100 млн 20
Tencent QQ, WeChat 850 млн + 700 млн 0

 

Критерії безпеки месенджерів по Amnesty International

  1. Чи є компанія чесної стосовно своєї власної політики перед користувачам і чи визнає наявність в своїх продуктах загрози для свободи вираження, конфіденційності приватного життя користувачів.
  2. Застосовує компанія по-замовчуванню E2EE (наскрізне шифрування).
  3. Інформує компанія своїх користувачів про загрози їх приватного життя і свободу, яким чином, а також чи реагує на ці загрози впровадження шифрування.
  4. Факти розкриття інформації про ордерах і запитах від урядових правоохоронних установ, а також результати цих запитів.
  5. Наявність опублікованих даних про протоколах шифрування повідомлень і дзвінків.

Критичний погляд allmess @ angers

Система оцінювання Amnesty International

Почнемо з самих результатів, а точніше системи оцінювання. Те, в якій формі опубліковані результати, може ввести в оману про те, як ці результати отримали. Справа в тому, що в 100-бальну систему результати були інтерпретовані. Тобто, насправді, максимальна кількість балів за будь-яким критерієм було 3, а всього балів було 15. І ось тут важливо розуміти, що точність оцінювання в такому випадку страждає. Всього 3 бали. Тобто, 0, 1, 2, 3 – можливі оцінки. При цьому жоден месенджер не набрав 15 балів (100). Але є месенджери, які набрали 0. Тобто абсолютної (або максимальної) безпеки не існує, але існує абсолютна небезпечність. Як таке може бути? І ми плавно переходимо до китайських мессенджерам.

Аутсайдерство китайських месенджерів

Месенджери QQ і WeChat набрали 0 балів з безпеки. Це якась фантастика, вам не здається? Ні, ніхто не сперечається з тим, що зазначеним мессенджерам дуже і дуже далеко до звання безпечних, але 0 балів? Тобто, півтора мільярда людей (і про ці мільярди ми теж поговоримо), їх використовують, повинні взяти і різко видалити додатки, тому що їх месенджери, згідно з цим дослідженням, захищені настільки погано (або можна сказати, взагалі "голі" в плані безпеки), що прямо таки будь-який перехожий може взяти і прочитати переписку. Об’єктивно такого просто не може бути. Так, месенджери дуже слабкі в плані захисту, але слабкі і нульові – різні поняття, останнє з яких просто нереально (а ось півтора мільярда користувачів, зокрема ті з них, які ознайомляться з тим, що їх месенджери мають нульову безпеку і поповнять ряди лідерів – цілком реальні). Ми й самі не будемо рекомендувати WeChat і QQ, а й різко заявляти про те, що їхня безпека прямо таки нульова – щонайменше нерозумно.

Числа активних користувачів

Результати дослідження швидко розлетілися по світу. Організація всесвітня, так що це зовсім не дивно. Однак є ще одна похибка, яка заважає адекватному сприйняттю цієї праці. І полягає вона в тому, що користувачів месенджерів однієї компанії або одного регіону вважають різними людьми. Нерідко можна бачити висновки, що група компаній Facebook, володіючи двома мессенджерами (Facebook Messenger і WhatsApp) об’єднала під своїм захистом інформації 2 мільярди користувачів. Однак на ділі це зовсім не так. І причина дуже проста: користувачів WhatsApp (1 млрд) і користувачів FB Messenger (1 млрд) не можна підсумувати. Цілком може бути (а скоріше за все, в дуже багатьох випадках так і є), що в однієї людини може бути встановлено обидва цих месенджера. В такому випадку вважати одного за двох не має сенсу. Звичайно ж, є і ті різні люди, у яких ці месенджери є єдиними. Та ж ситуація з WeChat і QQ. Обидва месенджера китайські і цілком реальна ситуація, коли один китаєць використовує обидва месенджера. Заявляти, що існує півтора мільярда незахищених користувачів – такий же абсурд, як і заявляти що цілих 2 мільярди захищені під Facebook. Ми просто хочемо сказати, що ці цифри досить перебільшені.

Оцінка компаній, а не месенджерів

Незважаючи на те, що стаття з результатами опублікована на офіційному джерелі під заголовком "Наскільки приватності ваші месенджери?", Оцінювалися месенджери, а компанії. Наведемо кілька прикладів, чому так робити не варто:

Месенджери Facebook і WhatsApp

Як вже говорилося належать групі компаній Facebook і поетом в першій сходинці знаходяться обидва, незважаючи на їх відмінності, а також на те, що месенджер Facebook не відповідає в повній мірі критеріям дослідників. Ось один із критеріїв:

Apply end-to-end encryption as a default (застосування наскрізного шифрування за замовчуванням)

Facebook Messenger не володіє шифруванням за замовчуванням. Шифрування в цьому мессенджере здійснюється в "секретних" чатах. Ставити його в один ряд з WhatsApp неможливо вже просто виходячи з власних же критеріїв дослідників.

Однак дослідники не забули згадати і застерегти нас відносно Telegram:

It’s therefore surprising that the company does not put in end-to-end encryption as a default, and users receive no warning when they are using weaker encryption.

Дивно, що компанія не робить наскрізне шифрування включеним за замовчуванням і не надсилає сповіщення, коли вони використовують більш слабкий захист.

Справедливості заради, варто сказати, що вони говорять те ж саме і про Messenger Facebook, але це не заважає їм позиціонувати його разом з WhatsApp, як частина Facebook.

месенджери Google

Google’s messaging apps are Allo, Duo and Hangouts. There is end-to-end encryption on Duo but it’s only optional on Allo, and Hangouts does not have it at all.

Месенджери компанії Google: Allo, Duo і Hangouts. Наскрізне шифрування є в Duo, проте воно лише опциональное в Allo, а в Hangouts зовсім відсутній.

Все це правда, тільки незрозуміло, чому Facebook оцінили по їх краще месенджер в питанні безпеки (WhatsApp), а Google – за гіршим (Hangouts). 

І знову про систему оцінювання

Ми вже розібралися з тим, що насправді балів не 100, а 15: по 3 на кожен критерій. Однак не зовсім зрозуміло, яким чином технічно оцінювалися месенджери. Тобто невже 3-х балів досить, щоб оцінити всю варіацію протоколів безпеки, шифрування, по-замовчуванню або без, з огляду на, що є ще шифрування голосового зв’язку, відеодзвінків? Наприклад WhatsApp і Facebook використовують Signal Protocol, Viber використовує свою версію, похідну від Signal Protocol, Telegram використовує зовсім інший алгоритм AES-256. Вони не однакові. Немає даних про те, чим вони відрізняються, як себе зарекомендували, а якби й були, то оцінок від 0 до 3-х не вистачило б, щоб інтерпретувати ці відмінності.

Але необов’язково вдаватися в такі подробиці, щоб відзначити неточність даних результатів. Ми б зрозуміли, якщо 2 однакових месенджера однієї компанії отримали б одну оцінку. Це логічно. Але коли одну і ту ж оцінку отримують месенджери Telegram і Messages від Apple – виникають питання. То який же з них краще, не можуть же вони бути однаковими? Використовуються різні алгоритми. Різна політика компаній.

Трохи про політику компаній

Багато з критеріїв вказують на те, що оцінювалася також політика безпеки в компаніях, увагу розробників до своїх користувачів, інформування про небезпеки, власних вразливості. Поширення інформації про те, як слід було б захищати своє особисте життя і приватність. А тепер трохи про Apple. Інцидент, в якому стало відомо, що Apple була змушена віддавати дані про своїх користувачів, що зберігаються на серверах компанії правоохоронцям мав місце майже місяць тому. Коли виданню The Intercept це стало відомо і вони опублікували статтю, в Apple, природно, нічого вже не заперечували і прокоментували визнання. Колись давно, ще в 2013 людина-легенда, про який ходить багато суперечливих чуток, Едвард Сноуден сказав, що АНБ і інші правоохоронні органи отримують метадані користувачів від Apple. Тоді Apple заперечувала будь-які подібні чутки. Зараз погодилися. Наче був якийсь інший вибір.

Однак можна щось сказати і на захист Apple, вони дійсно оголосили війну ФБР, коли ті намагалися змусити їх зламати власний продукт (iPhone). З огляду на, що з сервера дані про зашифрованих повідомленнях не отримати. Тільки метадані.

Але тим не менше, метадані це дуже багато, до того ж вони бувають різні. Метадані, що передаються від Apple включають в себе ip-адреси, а це, в свою чергу, означає можливість визначення місця розташування. Крім цього є й інші. Тобто, запити від правоохоронців є, запити вирішуються в бік правоохоронців. Політика компанії змінилася тоді, коли дії правоохоронців стали абсурдними, а визнала видачу метаданих тоді, коли це дізналися The Intercept. Не зовсім зрозуміло, в даному світлі, як Messages виявилися на 2-му місці.

Про турботі про користувачів

Дослідники Amnesty International взяли одним зі своїх критеріїв інформування користувачів про уразливість, і реагуванні на них. Але чомусь самі забули порекомендувати месенджер, який давно обійшов всіх конкурентів в цьому питанні. Ми говоримо зараз про Singal. Саме на основі Singal Protocol працює все шифрування даних в Facebook і WhatsApp. На відміну від Apple цей месенджер не видає метадані про користувачів. Він просто не може, тому що банально їх навіть не зберігає. Цьому є реальні підтвердження. ФБР навряд чи зайде за вашими даними з Signal в компанію Open Whisper Systems: немає сенсу, так як ніяких корисних даних там просто немає.

Якось дивно: організація, яка хоче донести до людей, що їм варто було б захищати свої дані і робити це максимально ефективним чином, сама забула порекомендувати в своєму огляді реальний і найбільш ефективний метод це зробити.

Що думає з цього приводу allmess @ ngers

Ми думаємо, що огляд слабкий і, щоб не говорити на порожньому місці, ми зробимо свій. Чекайте оновлень в найближчим часом.

Також ми думаємо, що Facebook і Apple отримали хорошу рекламу. А WhatsApp все ще можна використовувати в Китаї, де месенджери QQ і WeChat отримали нульову оцінку безпеки.

Ми думаємо, що безпека важлива. І важлива настільки, що не варто робити якісь висновки на підставі одного лише наявності наскрізного шифрування і включено воно за замовчуванням чи ні. Говорячи відверто, користувач, який захоче поспілкуватися приватно відкриє секретний чат і поспілкується. Більшості ж шифрування не цікаво, просто тому що не потрібно. Звертати увагу в питанні безпеки потрібно на інші речі.

Ми думаємо, що світ стає відкритим і прозорим, що потрібно відповідати часу і тренду інтеграцій та обміну інформацією, а для безпеки своїх приватних розмов використовувати ті продукти, які під неї заточені.

Будьте захищені там, де це необхідно, і вільні і відкриті в усьому іншому.

Ссылка на основную публикацию