aleksandrpikul

Categories:

Безопасность переписки. Мессенджер Briar.

Изначально статья была подготовлена для Хабр'а. Но в связи со специфической процедурой публикации, представляю ее в Живом Журнале.

Возможно, статья не покажется содержательной тем людям, которые имеют образование в сфере информационной безопасности и осведомленным о безопасности мессенджеров. В первую очередь, статья предназначена для людей, которые сомневаются в безопасности передачи своих сообщений и не имеют обширных знаний в этой сфере.

Собственное наблюдение создает впечатление того, что люди не знают и не используют ничего, кроме Telegram, Viber, Whatsapp. Более того, они свято верят, что мессенджеры (как минимум, эти три) дают им полную безопасность. Почему так происходит – вопрос отдельный.

Тем не менее, существует немалое количество мессенджеров, (безопасность которых пытаются опровергнуть знатоки) имеющих более прозрачную политику, высокий уровень безопасности и уважение к своим пользователям.

Один из таких – мессенджер Briar. По словам самих создателей, он предназначен “для активистов, журналистов и всех, кому нужен безопасный, простой и надежный способ общения”.

Почему это можно назвать правдой? Существуют некоторые критерии оценки безопасности. Ниже представлены одни из самых основных. Именно по ним можно судить о достаточности надежности и безопасности мессенджера, поэтому проанализируем некоторые

Преимущества:

1) Открытый исходный код

Почти любой пользователь смартфона или ПК скажет: “И какая мне разница, какой этот там ваш код. Закрытый, ну и что? Я ж не программист”. Такое рассуждение в корне неверно.

Открытый или закрытый исходный код должен служить для обывателя неким индикатором надежности.

Это означает, что компания подумала о пользователе, и теперь он может самостоятельно убедиться, что его ни в чем не обманывают. 

Открытый исходный код так же позволяет переделать приложение под себя или под нужды компании. Это можно сделать самостоятельно, если вы разработчик, ну или нанять профессионалов, если таковым не являетесь.

Более того, Briar дает пошаговую инструкцию того, как запустить исходники

2) Децентрализация;

Данные пользователя не хранятся на некотором едином сервере. Вместо этого, все данные и сообщения хранятся на устройстве собеседников. Это сильно усложняет работу злоумышленникам. Процедуры по блокировке серверов так же невозможны, так как сервера просто отсутствуют.

3) Возможность работы без Интернета;

Важнейшая составляющая, особенно в духе последнего времени. Briar позволяет работать через Wi-Fi или Bluetooth. Да, расстояние между собеседниками значительно сокращается, но именно это преимущество позволяет осуществлять быструю коммуникацию и координацию людей в отсутствие Интернета, электричества, стихийных бедствий и прочее.

4) Отсутствие привязки к почте или номеру телефона;

Таким образом, даже приложению ничего неизвестно о вашей личности. Вместо этого используются ссылки, которые генерируются для двух собеседников. Все, что нужно сделать – произвести обмен этими ссылками, но так, чтобы злоумышленник не смог перехватить их. 

Также возможно соединение с собеседником по QR-коду, если они находятся на близком расстоянии друг от друга. Примечательно, что создатели сделали небольшую памятку, суть которой заключается в том, что нельзя передавать код, например, по почте, чтобы злоумышленники не смогли перехватить его. 

5) Иные преимущества.

       а. Быстрое удаление всей информации приложения при нажатии тревожной кнопки (требует дополнительной установки);

       b. Возможность установки не только из Google Play, а также из F-Droid (аналог Google Play, в котором отсутствуют чисто проприетарные приложения); 

       c. Запрет на создание скриншотов;

       d. Вход в приложение исключительно через пароль;  

       e. Возможность создания приватных групп, блогов, форумов.

       f. Лицензия GNU GPL 3 (лицензия на свободное программное обеспечение).


С основными преимуществами все достаточно понятно. Но судить о безопасности гораздо разумнее, исходя из минусов. Чтобы разобраться, рассмотрим некоторые 

Недостатки:

1) Непривычность для обывателя;

К сожалению, далеко не каждый пользователь захочет получать некую сгенерированную ссылку, потом производить обмен со ссылкой другого собеседника, а только потом приступить к диалогу в чате. Да еще и скачать надо из какого-то там непонятного F-Droid’а.

На самом деле, это заблуждение. Неподготовленный пользователь просто не привык к этому процессу. Тем не менее, в течение некоторого непродолжительного времени чувство неудобства пропадает, появляется чувство безопасности переписки и, как следствие, удобства использования. 

Во-первых, это происходит из-за того, что человек в принципе привыкает к любой(почти) сложившейся ситуации. Привыкнуть к иному мессенджеру (тем более, относительно безопасному) не составит труда.

Во-вторых, этот же пользователь производит по сути те же действия, но не со случайно сгенерированной ссылкой, а, например, с номером телефона, который уж точно гораздо легче получить злоумышленнику, или с адресом электронной почты. 

В-третьих, все познается в сравнении. Человек, который использовал любой проприетарный мессенджер, увидит, существенную разницу уровня безопасности между ним и свободным ПО буквально спустя месяц использования.

Более того, многие просто не видят альтернативы тем же Telegram, Viber, Whatsapp и т.д. Поэтому и возникает чувство некого неудобства при использовании чего-то, не соответствующего определенному стандарту, который внедряется в каждое проприетарное ПО. Пользователь даже не задумается, что общаться можно гораздо безопаснее, но так же удобно, если немного привыкнуть к новому процессу той же авторизации, отправки сообщения.

2) Отсутствие видеозвонков и голосовых сообщений;

Возможно, создатели решили пошутить и вместо этого добавили приватные группы, блоги и форумы. 

Тем не менее, отсутствие видеозвонков можно объяснить повышенным уровнем безопасности. Нет видеозвонков, значит, нет слежки.

Использования голосовых сообщений так же можно избежать. Их применение иногда граничит с неуважением к собеседнику и доставляет некоторые неудобства.

3) Отсутствие версии под IOS;

Так же немало характеризует политику создателей. Не выпуская версию под IOS, они показывают, что не хотят шагнуть на сторону проприетарности. В результате, версия под эту ОС просто не выпускается. Тем не менее, это подчеркивает то, что создатели беспокоятся и заботятся о безопасности своих пользователей.

Но если отсутствие версии под IOS можно объяснить хоть как-то, то как объяснить отсутствие версии, например, под Linux и т.д.

Тем не менее, спасает предоставленный исходный код. Его можно использовать, чтобы переписать под определенную операционную систему. 

Заключение

Конечно, в статье рассмотрено далеко не все. Например, не упоминалась сеть Tor. Тем не менее, этого достаточно, чтобы хотя бы попробовать скачать приложение. Ну а если вы более глубоко ощущаете проблему безопасности переписки, то и вовсе перейти на Briar. 

Целью данной статьи не было провести глубокий и детальный анализ. 

Важно показать, что есть что-то помимо “мейнстрима”. Ведь зацикленность на одном мессенджере, массовость его использования и пропаганда его “безопасности” – не есть залог надежности и реальной безопасности.

Полной информации о безопасных приложениях слишком мало, либо вся она представлена на иностранном языке, что затрудняет изучение самостоятельно, даже с использованием онлайн-переводчика. 

Задача статьи заключалась в том, чтобы познакомить несколько больше людей с чем-то более безопасным и надежным.

А цель читателя – следить за своей безопасностью и просвещать других людей в этой сфере. 

Error

default userpic
When you submit the form an invisible reCAPTCHA check will be performed.
You must follow the Privacy Policy and Google Terms of use.