###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Безопасен ли ватсап. Протокол шифрования Signal

    18.04.2019 Социальные сети

    Сделка Facebook по покупке WhatsApp, о которой я писал , вызвала бурную критику по вопросу цены, и конечно же свежую критику безопасности этих самых миллиардов сообщений, отправленных и доставленных через программу WhatsApp. Сама компания WhatsApp заявляет, — "связь между телефоном и нашим сервером полностью зашифрована". Но в то же время напоминает, что пользователь должен знать, что при отправке сообщений, устройство получателя не может быть безопасным. И самое главное, компания клянется что не хранит истории переписки, и что сообщения удаляются с сервера сразу же после доставки. Но это все было до Facebook, а теперь представьте себе вы переписываетесь с другом по поводу выбора подарка на 8 марта для своей любимой, и после этого Facebook, так невзначай, показывает вам рекламу духов. Заманчиво? Я думаю для Facebook еще как заманчиво, учитывая их трудности, и отток пользователей из социальной сети.

    Тем не менее, исследователи в области безопасности указывают, что в системе, которой пользуются 450 миллионов людей во всем мире, могут и должны быть уязвимости. Так Паул Ярегуи, основатель компании в области ИТ безопасности Praetorian, заявил в своем блоге, что безопасность WhatsApp и шифрование не так уж безопасны, ссылаясь на уязвимости в применении SSL, защищенного протокола обмена данными. "Исследование группы безопасности мобильных систем подняло ряд вопросов связанных с безопасностью SSL, влияющих на конфиденциальность данных пользователей WhatsApp, на пути их следования к серверам компании", — сказал Паул. Затем специалист уточнил о чем идет речь, — "Это такие вещи о которых мечтает АНБ. Это попросту позволяет им, или злоумышленнику, в общем случае атакующему, подключиться к соединению, а затем упростить шифрование, разбив его на блоки и в конечном итоге прослушивать весь трафик. Эти вопросы безопасности ставят пользователей WhatsApp и их данные под угрозу". Он также добавил, что хотел бы получить разрешение для своей компании Praetorian от Facebook и WhatsApp на более детальное исследование безопасности. Подчеркнув что уверен, что это будет несложно "залатать" дыры в программном обеспечении. Не думаю что он получит такое разрешение, учитывая что у Facebook есть своя программа финансирования исследования безопасности ПО.

    А тем временем в Германии, комиссар земли Шлезвиг-Гольштейн подготовил заявление о том, что сделка по продаже WhatsApp вызывает серьезные опасения приватности и что вообще WhatsApp не соответствует европейским правилам о защите данных. Тило Вейшерт официально заявил, что люди должны отказаться от использования WhatsApp в пользу других "более проверенных сервисов".

    В октябре прошлого года исследователь из Голландии, Тейс Алкемад, опубликовал статью в своем блоге, в которой говорит, что шифрование можно обойти, и это значит что "любой, кто способен подслушать подключение WhatsApp способен расшифровать свои сообщения, приложив достаточно усилий". Сама компания WhatsApp не отвечала на запросы прессы о вопросах безопасности.

    Многие специалисты предрекают быстрый спад интереса пользователей к приложению WhatsApp. Так Нико Сел, сооснователь приложения по обеспечению безопасности Wickr, сказал что количество скачиваний его приложения увеличилось на несколько тысяч, после анонса о сделке Facebook, и добавил, — "Я думаю люди быстро побегут прочь от WhatsApp, потому что это теперь часть Facebook". Wickr это приложение, направленное на защиту пользователя его анонимности и конфиденциальности, с помощью шифрования высокого класса, за счет привлечения к тестированию и анализу хакеров, работающих за вознаграждение. Так, по крайней мере, заявляет сам Нико Сел.

    Я думаю что всем понятно, что после сделки на 19 миллиардов долларов, появятся много желающих как-то заработать на этом. И мы еще услышим об утечках данных пользователей WhatsApp. И произойдет это по вине Facebook, когда те начнут встраивать туда фишки для своих рекламных целей.


    Глубоко в настройках похоронена функция отображения активных сессий с настольных компьютеров

    Для Facebook, владельца WhatsApp, сервис WhatsApp Web - это просто опция, специалисты по информационной безопасности, однако, усматривают в нем угрозу. Через него пользователи могут открыть содержимое всех сохраненных сообщений в веб-браузере, считать оттуда любой чат и даже отправлять новые послания.

    Однако эта возможность может стать ловушкой: достаточно ненадолго оставить незаблокированный телефон без присмотра на рабочем месте, чтобы завистливый коллега просканировал вашим аппаратом особый QR-код на сайте web.whatsapp.com . Для разоблачения шпионажа такого рода откройте WhatsApp и зайдите в «Настройки». Здесь выберите строчку «WhatsApp Web/Desktop». Вы увидите перечень активных соединений. Нажатием на строчку «Выйти со всех компьютеров» вы завершите все сессии.

    Чтобы защитить себя от таких подглядываний на будущее, включите на своем телефоне блокировку экрана. После этого вы можете не бояться, что кто-то незаметно считает вашим аппаратом QR-код на компьютере и получит доступ к переписке.


    Компания Soomz (soomz.io) примерно за 600 руб. предлагает набор из трех крышек на камеру. С их помощью вы обезопасите свое устройство

    Кроме того, вмешиваться в ваш WhatsApp способно и вредоносное ПО. К примеру, оно позволяет преступникам скрытно делать снимки. Для защиты воспользуйтесь крышкой для веб-камеры.

    Так вы будете уверены, что с программой не проводились никакие манипуляции и что она не начнет моментально пересылать содержимое сообщений веб-шпионам.

    Проверяем ключи шифрования


    При изменении ключей шифрования у пользователя WhatsApp начинает бить тревогу.

    Для переписки в WhatsApp предусмотрено сквозное шифрование. Необходимые для него ключи лежат непосредственно на устройствах. С помощью них WhatsApp кодирует информацию и пересылает ее получателю.

    Эксперты, однако, вычислили метод обхода такого шифрования. Они просто-напросто изменяют ключ на устройстве получателя, чтобы затем считать сообщение путем атаки «человек посередине».

    В том, что пользователь об этом ни слухом ни духом, виноваты настройки мессенджера. Facebook ставит комфорт превыше безопасности и не оповещает об изменениях. Однако, существует возможность активировать уведомления об смене используемого ключа. Она скрывается в настройках.

    Для получения уведомления об отсутствии шифрования необходимо, чтобы в настройках была задействована соответствующая функция

    Чтобы задействовать оповещения, запустите WhatsApp и зайдите в «Настройки». Оттуда откройте «Аккаунт | Безопасность». Активируйте опцию «Показывать уведомления безопасности».

    Если затем ключ получателя изменится, вы об этом узнаете. Однако такая смена не обязательно указывает на атаку.

    Вполне вероятно, что получатель просто связал со своим аккаунтом WhatsApp новый телефон. И в этом случае код шифрования будет уже иным. При возникновении сомнений проще всего спросить собеседника, что случилось.

    В 2014 году, накануне покупки Facebook компании-разработчика мессенджера WhatsApp, основным ресурсом последней являлась клиентская база, чей объем оценивался в 417 миллионов пользователей. Стоит ли лишний раз говорить о популярности сервисов обмена мгновенными сообщениями (IM), если вы, наверняка, применяете их преимущества в своей личной и профессиональной жизни ежедневно?

    WhatsApp, Viber, Skype, Facebook Messenger и другим ПО действительно удалось захватить мир коммуникаций и заставить нервничать мобильных операторов. Секрет успеха прост: пользователи смартфонов обеспечены беспроводной связью практически повсеместно, и выбор между традиционным звонком и бесплатным контактом посредством мессенджеров стирается сам собой.

    Но готовы ли вы слепо обменять личную безопасность на экономию средств? Организация под названием Фонд Электронных Рубежей (EFF) настоятельно советует задуматься, прежде чем дать окончательный ответ. EFF специализируется на защите гражданских свобод в цифровом мире и охране пользователей от массовой правительственной слежки. Одно из направлений деятельности службы касается обмена мгновенными сообщениями. Фонд не призывает отказываться от использования сервисов IM, но рекомендует делать выбор с соблюдением интересов личной безопасности.

    Что делает безопасный мессенджер защищенным?

    Существует семь критериев, которые могут быть выявлены в ходе следующего теста:

    • Предоставляет ли приложение шифрование на всех этапах коммуникации?
    • Провайдер услуг не может получить доступ к каналу коммуникации?
    • Можете ли вы получить подтверждение информации о личности собеседника?
    • В случае утери ключей шифрования предыдущие сообщения остаются в безопасности?
    • Разработка и реализация криптографии задокументирована и доступна для анализа?
    • Был ли код и его исполнение независимо проверены в течение прошлого года?

    Если в случае исследования вы получите отрицательный ответ на первые 4 вопроса, скорее всего, вы имеете дело с небезопасным ПО. Вероятно, вам интересно, проходят ли тест самые популярные приложения: BlackBerry Messenger, Facebook Chat, iMessage, Skype, Viber и WhatsApp? Результаты не могут порадовать — лишь iMessage набрал более двух положительных ответов.

    Где искать защиту?

    Безопасность, как и любая базовая потребность, как правило, находит удовлетворение. Этот принцип действует и в отношении защищенности связи. Компания WhisperSystems занимается разработкой мобильных программ, одной из которых является безопасный мессенджер Signal для iOS.

    Приложение использует протокол под названием TextSecure. Это значит, что пользователи могут без страха за утечку информации обмениваться голосовыми и текстовыми сообщениями по сети интернет. Мессенджер дарит душевное спокойствие. Вот, в чем заключается его основная ценность.

    Signal подтверждает личность собеседника и, в отличие от схожих продуктов, является open-source проектом, доступным для аудита. Если злоумышленник украдет ваш ключ шифрования, ему не удастся с помощью него расшифровать уже написанные сообщения. Данные сервиса не перемешиваются с прочими мобильными службами. Уязвимость iMessage, например, заключается в том, что в отсутствие сопряжения с другим устройством от Apple информация передается через шлюз SMS, что снижает степень защиты.

    Пора ли отказываться от WhatsApp?

    Важно понимать, что ни одна технология не является абсолютно безопасной. WhisperSystems удалось проделать серьезную работу в русле защиты обывателей от массовой слежки. Если вы действительно хотите минимизировать вероятность надзора за конфиденциальной информацией, пожалуй, отказ от WhatsApp в пользу Signal станет мотивированным поступком.

    Вы передаете личные сообщения, которое могут содержать конфиденциальные данные. Многих пользователей интересует, есть ли возможность скрыть их от посягательств посторонних? Хорошая новость для гостей нашего портала. WhatsApp безопасность – это не пустой звук для разработчиков мессенджера.

    Whatsapp является одним из самых безопасных мессенджеров.

    Наличие сквозного шифрования в последних версиях программы позволяет защитить себя и свою личную жизнь от посягательств мошенников.

    Под надежной защитой находятся:

    • текстовые сообщения,
    • звонки,
    • переданные документы,
    • голосовые файлы,
    • фото;

    Мессенджер Whatsapp надежно шифрует ваши сообщения.

    Как проверить уровень безопасности в Ватсап

    Очень просто, вам не нужно ничего делать, все процессы происходят автоматически, не нуждаются в настройках параметров или создании отдельного секретного чата. На серверах программы не хранятся передаваемые между абонентами файлы, как только они доставлены, сразу же удаляются.

    Не так давно было создано новое соглашение о конфиденциальности. Если вы установили messenger и получили такое предложение, принять это соглашение нужно обязательно. Просто нажмите на кнопку Согласен и безопасность Ватсап станет удобным инструментом защиты данных.


    БОЛЬШОЙ БРАТ БДИТ.

    Все «под колпаком». Российские спецслужбы взялись за WhatsApp и Viber

    Все мировые спецслужбы (российские в том числе) стремятся знать о нас все. Прослушкой телефонов сейчас уже никого не удивить, но прогресс не стоит на месте, и на смену старым приходят новые способы связи - IP-телефония, чаты и мессенджеры, которые хоть и медленно, но неуклонно берут под свой контроль чекисты. С ноября 2016 года ФСБ получила техническую возможность перехвата информации, отправляемой пользователями таких популярных мессенджеров, как WhatsApp и Viber. Теперь на базе их дата-центров появились сервера, подключенные к системе СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий). Причем сотрудникам МВД эти возможности пока недоступны. А вот оперативникам ФСБ они могут сильно помочь в раскрытии резонансных преступлений, а также в борьбе с терроризмом и коррупцией.

    Впервые система подобного типа в нашей стране стала использоваться еще в 1996 года для прослушки мобильных телефонов. У каждого оператора связи установлена аппаратура, позволяющая силовикам в любой момент в режиме реального времени получить доступ к разговорам любого клиента. С точки зрения закона, все «чисто». Помимо того что, в соответствии с 23 статьей Конституции, по решению суда допускается ограничение тайны связи, права и свободы гражданина могут быть ограничены федеральным законом в случае, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В общем, правоохранителям есть где развернуться, обосновывая необходимость на прослушку и тому подобное. Впрочем, если для непосредственного прослушивания разговоров требуется официальное судебное решение, то для получения другой информации (например, о фактах совершения вызовов) санкции суда не требуются. Кроме того, сотрудник ФСБ или МВД должен только получить ордер, но не предъявлять его оператору связи, которому запрещается требовать этот документ при отсутствии со своей стороны допуска к государственной тайне.

    В связи с ростом пользователей интернета в 2000-м появляется так называемая СОРМ-2, при помощи которой спецслужбы могут получать доступ ко всему проходящему через провайдера интернет-трафику. И несмотря на то, что подобные меры обосновываются главным образом борьбой с экстремизмом и терроризмом, мы зачастую узнаем об использовании спецсредств во время борьбы с оппозицией. Например, так было со «сливом» через Life телефонных разговоров Бориса Немцова в канун очередных массовых митингов в 2011 году (откуда у издания эти записи − никто не объяснил), или с проверкой жертвователей выборной компании Алексея Навального во время выборов в мэры Москвы в 2013 году. Пожертвования происходили через платежную систему Яндекс.Деньги. Тогда Генпрокуратура РФ обнаружила, что IP-адреса более 300 отправителей находятся за пределами России, что запрещено законом. Сразу уточним, что иностранный IP-адрес еще не означает, что за ним стоит иностранный гражданин. Оставалось непонятным и то, каким образом Генпрокуратура получила эти данные. По словам представителя «Яндекса» Аси Мелкумовой, к ним прокуратура не обращалась.

    Однако из-за огромного пласта различных данных, проходящих через провайдера, да еще и в зашифрованном виде, функциональность СОРМ-2 представляется малоэффективной − приходилось «перелопачивать» множество информации, не относящейся к интересующему делу, в то время как нужна была более узкая выборка.

    Тогда решили зайти с другой стороны. 31 июля 2014 года премьер-министр Дмитрий Медведев подписал постановление, согласно которому соцсети, форумы и любые сайты для общения, доступные всем пользователям интернета, должны подключать оборудование и программное обеспечение, позволяющее спецслужбам в автоматическом режиме получать информацию о действиях пользователей этих сайтов. Началась эра СОРМ-3.

    Однако с мессенджерами, отправляющими сообщения со смартфонов, дело обстояло иначе, поскольку они работают «поверх» инфраструктуры операторов связи. Если передающуюся информацию еще можно перехватить, то практически невозможно расшифровать. Поэтому выход в данном случае был один - хакерская атака. Как это, например, произошло с перепиской в Telegram сотрудника Фонда борьбы с коррупцией Георгия Албурова и директора НКО «Образ будущего» Олега Козловского. В конце апреля этого года оппозиционеры заявили, что их аккаунты были взломаны. Причем, по словам Албурова, ФСБ смогло осуществить это с помощью МТС.

    К слову, и зарубежные спецслужбы не скрывают, что добывают информацию теми же методами. Вспомним историю с попыткой ФБР получить данные с iPhone одного из террористов, убивших 14 человек в Калифорнии в декабре 2015 года. Apple тогда отказалась помогать Федеральному бюро расследований, и те воспользовались услугами хакеров. Тем более что некоторые компании открыто предлагают ПО для взлома как электронных носителей, так и информации, находящейся в интернете или передающейся с его помощью. Так делает Elcomsoft (российская, кстати, компания), в числе прочего производящая различные «инструменты для криминалистов», необходимые для извлечения данных, хранящихся в памяти телефонов, в «облачных» хранилищах, подбора паролей к файлам и т. д. И доступны они не только спецслужбам - купить их может любой желающий прямо на сайте.

    Однако все эти способы не были 100%-ми, поэтому между российскими законодателями и правоохранительными органами с одной стороны и владельцами мессенджеров с другой начались «бои» для налаживания «сотрудничества».

    1 сентября 2015 года вступили в силу поправки к закону «О персональных данных», которые требуют локализации персональных данных на территории России. Любая российская или зарубежная компания, ориентированная на работу с российскими пользователями, должна обеспечивать запись, систематизацию, накопление, хранение, уточнение персональных данных россиян с использованием баз данных, находящихся на территории нашей страны. Для глобальных компаний встала непростая дилемма - потерять российский рынок либо репутацию компании, сохраняющей в неприкосновенности данные своих пользователей.

    Впрочем, не все в данной ситуации начали посыпать голову пеплом. Спустя полгода появилась информация о том, что Google и Apple преступили к переносу персональных данных своих российских пользователей на серверы в России. Facebook же в свою очередь отказался это делать. Про остальных и вовсе ничего не было слышно, однако на сегодня все «иностранцы» продолжают работать в России, а значит, определенная договоренность, устраивающая всех, была достигнута.

    Впрочем, подобное может говорить не только о том, что кто-то «прогнулся», а кто-то нет. А о тенденции неизбежности того, что в ближайшее время никто не сможет гарантировать конфиденциальность информации.

    К примеру, долгое время Skype считался одним из самых защищенных VoIP-сервисов (IP-телефонией). Официально подтвержденных разработчиком случаев расшифровки и/или перехвата данных в Skype не было зафиксировано примерно до 2008 года, когда правоохранительные органы Австрии на встрече с провайдерами сообщили, что провели «законный перехват IP-трафика». Аналогичное заявление прозвучало и от представителя органов внутренних дел Австралии. Также, благодаря утечке информации, стало известно о разработке фирмой Digitask программы перехвата онлайн-коммуникаций по заказу одного из министерств Баварии. Кроме того, о наличии решений для прослушивания Skype объявили власти Швейцарии. В России периодически возникали предложения запретить Skype. Аргументировали это угрозой безопасности, связанной с шифрованием разговоров и отсутствием подключения к СОРМ. В 2010 году были предложены решения СОРМ, способные обнаружить и перехватить трафик Skype (но не расшифровать его). Однако задачу всем упростила компания Microsoft, купившая Skype в 2011 году. Отныне все передаваемые сообщения стали анализироваться сразу на ее серверах. А в июле 2012 года и вовсе появилась информация, что Microsoft может сама разрешить спецслужбам прослушивать разговоры пользователей Skype, а также предоставит доступ к личной переписке, следуя «новой» политике полного содействия правоохранительным органам. В 2013 году стало известно о том, что российские спецслужбы могут не только прослушивать, но и определять местоположение пользователя Skype.

    Еще один VoIP для смартфонов − Viber в 2015 году, как того и требует закон, перенес данные российских граждан, а именно номера телефонов и никнеймы, на территорию России.

    Facebook Messenger и с недавних пор также принадлежащий Марку Цукербергу самый популярный в мире мессенджер WhatsApp (число пользователей которого достигает 1 млрд человек) используют функцию сквозного шифрования, которая, по словам разработчиков, исключает возможность попадания переписки третьим лицам. Правда, это все верно в том случае, если пользователь сам активирует данную функцию, а вся история переписки не будет храниться в незашифрованном виде в Google Drive или iCloud.

    Одним из наиболее безопасных мессенджеров на сегодняшний день аналитики по электронной безопасности называют Telegram - проект, созданный Павлом Дуровым, основателем социальной сети «ВКонтакте». В интервью The New York Times Павел рассказал, что первоначальная идея приложения пришла ему еще в 2011-м, когда к его двери приходили спецназовцы. Когда последние все-таки ушли, Дуров сразу же написал своему брату Николаю. Тогда же он осознал, что у него нет безопасного способа коммуникации с братом. В качестве доказательства безопасности своего нового детища Дуров в конце 2013 года пошел на рискованный PR-ход, предложив всем желающим за 200 тыс. долларов взломать его личную переписку в Telegram. Деньги тогда так никому и не достались.

    При этом, несмотря на заявления о безопасности, в России понимают, у кого находятся «ключики», открывающие переписку. Поэтому весной этого года поступило предложение запретить отечественным чиновникам и военным вести рабочую переписку с почтовых ящиков на Gmail.com и в популярных мессенджерах WhatsApp, Viber, Telegram.

    Наконец, видимо, чтобы закрыть эту тему, весной 2016 года в России подоспел новый законопроект, известный всем как «пакет Яровой», разработанный депутатами Ириной Яровой и сенатором Виктором Озеровым. Помимо прочего, речь в нем шла и об обязанности хранить «организаторами распространения информации в сети Интернет» в течение 1 года всю проходящую через них информацию. А в случае, если мессенджер, социальная сеть, почтовый клиент или просто сайт поддерживает шифрование данных, то их владельцы обязаны помочь ФСБ расшифровать любое сообщение, которое понадобится силовикам. Иначе штраф − от 800 тыс. до 1 млн рублей. 7 июля 2016 года с некоторыми поправками пакет был подписан президентом Владимиром Путиным.

    Поправки, дающие правительству полномочия обязывать операторов связи хранить записи телефонных разговоров, SMS и интернет-трафик пользователей сроком до 6 месяцев, вступят в силу 1 июля 2018 года. При этом, как это следует из поправок, указанная информация должна будет храниться исключительно на территории России. Однако 19 июля 2016 член Совета Федерации Антон Беляков внес законопроект о переносе срока вступления в силу этих поправок на 2023 год.

    В конце лета появилась информация об еще одном законопроекте, призванном лишить анонимности пользователей мессенджеров. Работу над ним вел Медиакоммуникационный союз (МКС), объединяющий операторов связи и медиахолдинги. По замыслу МКС, интернет-мессенджеры («организаторы обмена мгновенными сообщениями») должны до 2017 года заключить договоры с операторами связи, согласно которым каждый мессенджер должен будет направлять оператору сведения о пользователях, а тот будет сверять это со своими данными об абонентах, и в случае чего сообщать о несовпадении.

    Наконец, для реализации спецслужбами полученных законодательных возможностей осенью этого года компания Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, начала поиск подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. И, судя по всему, по некоторым мессенджерам необходимого результата удалось достичь.