Новости Новости 21.01.2015 в 16:02 comment

Украинские эксперты в области кибербезопасности определили самые защищенные «от прослушки» мессенджеры

author avatar
https://secure.gravatar.com/avatar/25f9b2416da07639967e18eb989e71c4?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/25f9b2416da07639967e18eb989e71c4?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Computer-Hacker

Неделю назад советник главы СБУ Маркиян Лубкивский сообщил, что спецслужбы России мониторят информацию в сервисе Zello, который позволяет в режиме рации передавать через интернет голосовые сообщения. После этого сообщения издание ЛІГАБізнесІнформ опросило четверых украинских специалистов в области кибербезопасности, выяснила, какие мессенджеры наиболее защищены от прослушки и воровства данных пользователей и составило сводный рейтинг.

Все эксперты сошлись во мнении, что безопаснее всего общаться с помощью мессенджеров RedPhone, WhatsApp и Telegram. Немного хуже защищены данные у Skype и Facebook Messenger. Viber и Zello замыкают рейтинг надежности.

CyberSecurity

Соавтор приложения для борьбы со спамом NumBuster Евгений Гнутко подробно расписал, как «мобильная рация» и любое другое мобильное приложение для коммуникаций по умолчанию «видит» и «анализирует» содержимое контакт-листа пользователя.

«Неважно, что это — WhatsАpp, Viber, клиент Facebook, клиент ВКонтакте, Zello и т.д.: они все имеют доступ к вашим контактам, именам и номерам телефонов, — пишет Гнутко. — Все перечисленное в любой момент из админки нарисует географический и социальный охват любого сегмента своей аудитории. Особенно если это задача не единомоментная, а поставлена систематически».

Таким образом спецслужбы, получив доступ к «админке» (т.е. к управляющему оборудованию или ПО на стороне сервиса), могут извлечь полный профиль пользователя, включая данные о его контактах, устройствах, историю активности в онлайне и карту перемещений.

Курс Job Interview Crash Course від Enlgish4IT.
Отримайте 6 шаблонів відповідей на співбесіді, які ви зможете використовувати для структурування своїх відповідей. Отримайте знижку 10% за промокодом ITCENG.
Приєднатися

По информации Гнутко, ряд сервисов, которые принято считать на 100% «западными», на самом деле таковыми не являются: команда поддержки, разработчики или серверы расположены в России.

«Официальный мобильный клиент Facebook контролируется российской группой поддержки. Все сведения выдадут по запросу локальных спецслужб. Обязаны. Использование любого неофициального клиента ничего не решит», — поясняет Гнутко. Кроме мессенджера Facebook в зону риска, по его мнению, попадают Viber и 4Talk. «Viber — группы разработчиков РФ + Минск, фаундер — белорус, офис в Москве есть, прописка юрика — Израиль, инвестор — Япония, — рассказывает Гнутко. — 4Talk — отличный продукт, удобный, быстрый. Разработан и администрируется в Москве».

Руководитель департамента информационной безопасности одного из отечественных банков не согласен с Гутко, что наличие офиса, технического персонала или серверов на территории РФ автоматически компрометирует приложение.

«Российская команда Viber вовсе не означает, что данные регулярно сливаются в ФСБ. Любое изъятие информации спецслужбами — это удар по репутации компании и стоимости акций. А ведь Viber работает не только в постсоветском пространстве, но и в странах Запада. Поэтому компания, скорее всего, будет сопротивляться «выемкам», как сопротивлялся Дуров во время Евромайдана. В то же время специалист по кибербезопасности считает, что спецслужбы страны-агрессора — не единственный источник угроз. «Если объект слежки особо ценен, для взлома его канала коммуникаций могут написать индивидуальный вирус или эксплойт. Здесь на передний план выходит не наличие персонала или серверов в России, а защищенность самого сервиса от перехвата и атак извне».

С ним согласен руководитель центра управления инцидентами инфобезопасности компании Crytek Ukraine Дмитрий Коржевин.

Курс Job Interview Crash Course від Enlgish4IT.
Отримайте 6 шаблонів відповідей на співбесіді, які ви зможете використовувати для структурування своїх відповідей. Отримайте знижку 10% за промокодом ITCENG.
Приєднатися

«В идеале вся передаваемая информация, включая ссылки, файлы, чаты, аудио- и видеозвонки, должна шифроваться с использованием стойких криптоалгоритмов. Для шифрования должен использоваться ключ, доступ к которому есть только у вас и вашего собеседника. У провайдера и компании, предоставляющей услугу защиты передаваемой информации, не должно быть доступа к ключам шифрования данных. Кроме того, код приложения должен быть доступен для независимого аудита».

Тезис о важности стороннего аудита подтверждает и Павел Ткачев, независимый эксперт в области кибербезопасности. По его мнению, в открытом доступе должен быть исходный код не только приложения, но и алгоритма шифрования, который в нем применяется. «Если мессенджер использует закрытый протокол, нет никакой гарантии, что он действительно защищен». Еще одна слабая сторона архитектуры — централизованный сервер, хранящий пересылаемую информацию. По мнению Ткачева, сервер коммуникационного сервиса должен выполнять исключительно функции адресации. Однако ряд популярных сервисов (например, Skype) сохраняет на сервере недоставленные сообщения, которые доставляет, когда адресат подключается к сети. Вся передаваемая информация должна шифроваться с использованием стойких криптоалгоритмов. У провайдера не должно быть доступа к ключам шифрования данных.

Все опрошенные эксперты признают, что у каждого из популярных коммуникационных сервисов были прецеденты с обнаружением крупных «дыр» в безопасности. В то же время в качестве приложения с архитектурой, наиболее устойчивой к взлому, специалисты назвали RedPhone. Однако этот мессенджер существует только для платформы Android и не так удобен в пользовании, как массовые Skype или Viber. Не забывайте главный принцип защиты информации: даже самая стойкая архитектура или криптоалгоритм не спасают от дурака или предателя. Очень часто намного проще и дешевле завербовать информатора, чем взламывать систему связи.

Источник: ЛІГАБізнесІнформ

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: