Мінфін - Курси валют України

Встановити
29 серпня 2024, 12:30

Telegram, Signal або Viber: спецслужби яких країн читатимуть ваше листування

Вже кілька днів світ обговорює затримання засновника Telegram Павла Дурова. Думки полярні: одні вважають це наступом на свободу слова, інші — закономірним результатом. В Україні ставлення до Telegram також різне: поки одні намагаються його обмежити, інші стають аудиторією великих каналів, відмовляючись від інших джерел інформації. Наскільки безпечними є нинішні месенджери, розповів засновник та СЕО Dappros, та співзасновник DeepX Тарас Філатов.

Професійно працюю з меседжингом вже понад 15 років. Ми ставили меседжинг для банків, healthcare, спортивних клубів, останній значний проект — кастомізували, доробили та встановили self-hosted Signal сервер для великої miltech корпорації в одній з країн НАТО.

Щоб було зручно, без огляду на безпеку

Сучасні меседжинг системи це завжди компроміс: зручність & функціонал VS сек’юрність.

Було і є декілька децентралізованих повністю сек’юрних месенджерів, але вони не виживають. Не тому, що їх знищили спецслужби, а тому, що юзерам незручно, і попит на сек’юрність не настільки великий, щоб юзери були готові платити грошами та комфортом.

Простий приклад — push notifications. Всім зручно та звично, що коли вам хтось напише повідомлення, ви побачите в себе в нотіфікейшенах цитату з цього повідомлення, навіть якщо месенджер наразі не запущений. Юзерів не хвилює що ці тексти повідомлень майже відкрито йдуть через зовнішні сервіси Apple та Google.

Всі більш сек’юрні варіанти ведуть до незручностей: або нотіфікейшен без цитати, або батарея смартфону швидше садиться / він більше грієтьсятому, що використовується кастомний пуш сервер, що не підтримується ОС.

Я можу надати 10−20 таких прикладів там, де пересічний користувач між безпекою та зручністю завжди обере зручність.

Який месенджер більш захищений

Найбільш сек’юрним месенджером з широко доступних є Signal.

Сервер Телеграм не є опенсорсним. Ніхто не може перевірити наскільки він сек’юрний, на відміну від Signal, будь-якого XMPP серверу (Ejabberd, Tigase, Openfire, Prosody), Matrix або Mattermost.

Так само WhatsApp, FB Messenger, Viber тощо — жоден з них не надає опенсорсний сервер, але вони популярні, тому що зручні та розкручені.

Особисто я, коли користуюсь месенджерами, просто зважаю на те, що за потреби моє листування можуть читати відповідно ЦРУ (WhatsApp, FB Messenger), ЦРУ, Моссад та японська розвідка (Viber), а також ФСБ (Telegram).

З Signal в стандартному, консьюмерському варіанті (публічний сервер), також є вірогідність доступу ЦРУ, але в мене немає секретів від ЦРУ або Моссаду, тому я вважаю прийнятним користуватися WhatsApp та публічним Signal. Якби були, я б користувався своїм меседжинг сервером.

End-to-end encryption існує, але коли де-факто в розробника контроль над додатком без регулярних зовнішніх аудитів коду, особисто я для себе не вважаю що це якимось чином покращує сек’юрність.

Що з Telegram

Конкретно з Telegram є досвід, наприклад, опозиціонерів з Білорусі яким гбшка показувала повністю роздруковані ТГ чати, що були давно видалені.

Сам Дуров підтверджував, що сервер в них не сек’юрний. Сподіватися, що з вами цього не відбудеться, тому що ви знаєте як використовувати секретні чати і ретельно будете відстежувати піктограми жабок та собачок на екрані і ігнорувати, що ваш end-to-end знаходиться всередині вже скомпроментованої платформи, як на мене — це інфантилізм.

Telegram не дорівнює свобода слова. Можна сказати, що як платформа він фасілітує iснування каналів, що можуть надавати інформацію швидше та менш цензуровано ніж ЗМI. Але канали без проблем закриваються по запиту від law enforcement, тобто це дуже неповна і централізовано контрольована свобода слова.

Telegram немає нічого спільного з лібертаріанством. Це централізована платформа з непрозорою структурою власності та governance. Ви не можете провести аудит коду або запустити свій сервер. Платформа та її токен розкручуються на гроші російських олігархів. Токен платформи не керується відкритим комітетом або DAO. Все це не має нічого спільного з лібертаріанством.

Читайте також: Кількість кібератак на рік на критичну інфраструктуру України зросла з 800 до 4500: СБУ назвала організаторів

Які рішення існують

Можна запустити свій Signal сервер з підтримкою Intel SGX, а також зі своєю реалізацією пушів, своїм TURN сервером тощо. Ми вміємо це робити, але таких компаній або інженерів, що вміють це робити, буквально 20−30 на весь світ.

На форумі open-sourсe версії Signal майже тихо, хтось напише питання раз на декілька місяців, а відповідей ще менше. Не тому, що це rocket science, а тому, що мало попиту.

Всі хто дійсно хочуть сек’юрний меседжинг розуміють, що за це треба платити і володіти сервером. Не існує безкоштовної сек’юрності. Якщо ви не платите за свій сервер і ваш месенджер не Signal — у вас немає сек’юрних комунікацій.

Не шукайте лібертаріанства та сек’юрності в популярних централізованих платформах. Там його не буде by design.

Хочете сек’юрних комунікацій та лібертаріанства, то:

  1. готуйтеся платити грошами та комфортом;
  2. запускайте свій меседжинг сервер на Signal, на одному з XMPP серверів (рекомендую Ejabberd), Matrix тощо
  3. або будуйте свій гіпертекстовий квантовий фідонет.

Коментарі - 11

+
+89
Vladimir Ok
Vladimir Ok
29 серпня 2024, 21:43
#
Блд, читаю і не розумію, а що не можна було половину слів замінити на українські? Секь’юрніть? Серйозно? Юзери і т.д. Патріоти…
+
+34
zhu
zhu
29 серпня 2024, 22:39
#
Читаю і не розумію, невже не можна було без негатива запропонувати виправлення (можливо навіть у приватному повідомленні автору)?
Якщо бути послідовним, давайте вже викинемо всі запозичені слова, і будемо використовувати вигадані аналоги, зате свої власні.
Можно ще на законодавчому рівні заборонити використовувати всілякі незрозумілі «інфляції», «каденції» і решту «фотографій».
Прямо як рашковани, єй богу.
+
+29
Три літри
Три літри
31 серпня 2024, 5:43
#
Щоб написати автору приватно треба зареєструватись на несекʼюрній платформі Фейзбук яка зливає всю переписку спецорганам.

якось це не по лібертаріанськи
+
+29
ramarren
ramarren
31 серпня 2024, 17:53
#
Ви плутаєте запозичені слова з тупою траслітерацією!

Запозичені слова, як правило, переходять з однієї мови в іншу на позначення якихось нових понять. Але для таких покручів як «сек'юрний» і «опенсорсний» в українській мові не один рік вже існують прийняті і зрозумілі слова.
+
0
newoleksa
newoleksa
1 вересня 2024, 12:41
#
Французи так і роблять
+
0
Bitcoin
Bitcoin
30 серпня 2024, 12:57
#
Так если все придумано было на западе и на английском, то какие могут быть слова на украинском? Слово компьютер может быть? Может слово мессенджер? Может слово текст?
+
0
ramarren
ramarren
31 серпня 2024, 17:55
#
Представьте себе, для «компьютера» было другое слово — ЭВМ. Но речь не об этом, а о том, что вместо давно принятых и понятных слов использована глупая транслитерация.
+
+57
LogicPower3000
LogicPower3000
30 серпня 2024, 16:44
#
А що за приколи в тексті англійськими буквами? Це як отой мем з жінкою продавчинею магазину одягу. Як вона там казала… Это fashion design. Это perfect. Ну якось так
+
+15
Три літри
Три літри
31 серпня 2024, 5:31
#
Конкретно з Telegram є досвід, наприклад, опозиціонерів з Білорусі яким гбшка показувала повністю роздруковані ТГ чати, що були давно видалені.

якщо в тому чаті сидів бот КГБ і писав все це в базу — то що доводить цей факт?

що ваш end-to-end знаходиться всередині вже скомпроментованої платформи, як на мене — це інфантилізм.

досі не доведено жодного факту компрометації платформи

Telegram не дорівнює свобода слова.

це інстаграм, фейсбук та твітер не дорівнюють

а телеграм найменш можерована мережа тому дорівнює

Можна сказати, що як платформа він фасілітує iснування каналів

а українською? Нафіг ці москалізми?

Ви не можете провести аудит коду або запустити свій сервер. Платформа та її токен розкручуються на гроші російських олігархів

те саме можна сказати і про WhatsApp який люблять згадувати хейтери телеги як зразок правовірного менеджера якому довіряє населення першого світу
+
0
Три літри
Три літри
31 серпня 2024, 5:37
#
Можна запустити свій Signal сервер з підтримкою Intel SGX

ідіотська порада якою ніхто не скористається.

до слова нагадаю що процесори інтел скомпрометовані
+
+15
Три літри
Три літри
31 серпня 2024, 5:39
#
Не шукайте лібертаріанства та сек’юрності в популярних централізованих платформах. Там його не буде by design.

ніхто і не шукав в телезі лібертаріанства, там шукали зручний та надійний менеджер, надійний також в плані секʼюрності

і телеграм це забезпечує

до слова, до того як зелені *** про лібертаріанство ніхто і не знав що то таке
а телеграмою користувались багато людей
Щоб залишити коментар, потрібно увійти або зареєструватися