Защищенные программы для общения: 5 приложений для безопасного общения в сети на мобильных устройствах

5 приложений для безопасного общения в сети на мобильных устройствах

В последнее время важно сделать анонимным и безопасным не только серфинг в Интернете, но и общение в сети. Предлагаем вашему вниманию пять приложений, которые сделают ваше общение с помощью мобильных устройств безопасным.

1. RedPhone для Android

Бесплатное приложение для Android — хороший вариант для тех, кто боится прослушки разговоров. С его помощью можно звонить другим пользователям сети RedPhone на их телефонные номера через канал передачи данных — такие звонки не регистрируются. Но даже если звонок будет перехвачен, его содержание останется конфиденциальным, так как  программа шифрует разговор.

2. Wickr

Бесплатное приложение для iOS и Android поможет сохранить переписку в тайне. Это секретный мессенджер, который позволяет обмениваться зашифрованными и самоуничтожающимися сообщениями, фотографиями, видео и даже голосовыми записями. Сообщения, отправленные через Wickr, не содержат имен и геолокационных данных отправителя и получателя и не хранятся на серверах.

Приложение работает только с другими контактами сети Wickr. Время, через которое сообщение будет уничтожено с устройства адресата, задается вручную. При этом удаляются даже такие метаданные, как время и место отправки сообщения, без возможности дальнейшего восстановления. Для зашифровки содержимого используется шифрование военного уровня.

Фрагмент интерфейса приложения Wickr для iOS.

3. S2end

S2end — еще один бесплатный секретный месседжер для iOS и Android. У S2end имеются все те же функции, что и у Wickr, однако разработчики обещают не один, а несколько уровней шифрования данных, которые позволяют быть уверенными в их сохранности. «Даже хакерам и правительству не под силу взломать нашу систему», — утверждают создатели приложений.

В программе также есть инструмент Secure Bag, в котором можно хранить самые важные сообщения и файлы. Если вы не хотите удалять какие-то данные сразу после пересылки, в этом хранилище они будут в полной безопасности.

Фрагмент интерфейса приложения S2end для iOS.

4. Silent Phone

Это приложение предназначено для безопасных телефонных звонков и доступно не только для Android, но и для iOS. Это один из инструментов пакета Silent Circle, который позволяет пользователям анонимно общаться в текстовом и голосовом режиме, а также обмениваться данными по Wi-Fi или 3G/4G, но не по тарифам мобильных операторов. Общаться через приложение можно только в сети Silent Phone. При этом передача данных защищена и зашифрована по всей длине канала связи.

Для общения с абонентами, у которых не установлен Silent Phone, можно общаться безопасно с помощью платного инструмента Out-Circle Access. Такие звонки передаются устройством подписчика Silent Phone на серверы Silent Circle, а затем переправляются через сервис телефонной сети общего пользования местных телекоммуникационных компаний на устройство, которое не оборудовано приложением Silent Phone как обычный телефонный звонок.

Фрагмент интерфейса приложения Silent Phone для iOS.

5. TextSecure Private Messenger

Это приложение с открытым исходным кодом представляет собой мессенджер, который использует протоколы шифрования, обеспечивая конфиденциальность каждого сообщения. TextSecure позволяет общаться один на один, а использовать групповой чат.

Фрагмент интерфейса приложения TextSecure Private Messenger для Android.

Самые защищенные и безопасные мессенджеры

Signal, Tor Messenger, Telegram и другие мессенджеры с надежным шифрованием.

2021. Facebook Messenger добавил шифрование для аудио- и видеозвонков

Facebook Messenger расширил опцию E2EE-шифрования на аудио и видео-звонки. E2EE (End-to-end encryption) — это оконечное шифрование, при котором только пользователи, участвующие в общении, имеют доступ к сообщениям. Такое шифрование было доступно в Messenger для текстовых чатов с 2016 года. Причем, компания подвергалась давлению со стороны силовых ведомств США, чтобы не шифровать звонки. Но постепенно шифрование звонков стало стандартом, и уже доступно в другом мессенджере компании — WhatsApp, так что прогресс остановить не удалось. Однако, есть одна деталь — шифрование не будет работать, пока оба пользователя не поставят соответствующую галочку в настройках. Автоматически шифрование для всех включать не будут.

2021. Amazon купила защищенный корпоративный мессенджер Wickr

Компания Amazon, а точнее, ее облачное подразделение Amazon Web Services купило стартап Wickr, который разрабатывает защищенный мессенджер для бизнеса. Говорят, это единственный мессенджер, который удовлетворяет критерия защиты американского бюро NSA. Он поддерживает видеосвязь, видеоконференции, передачу файлов, интеграцию с корпоративными системами. Возможна установка на собственный сервер в локальной сети или использование в качестве SaaS сервиса. У Amazon уже несколько лет есть собственный мессенджер — Chime, но он не смог завоевать большой популярности в конкуренции со Slack и Microsoft Teams. Вероятно, Amazon теперь хочет сделать ставку на повышенный уровень безопасности.

2020. В Signal появились групповые видеозвонки. Конечно, зашифрованные

В защищенном мессенджере Signal появилась возможность совершать групповые видеозвонки с end-to-end шифрованием. На данный момент в одном видеозвонке может участвовать до 5 человек. Для старта видеосвязи нужно нажать иконку Видео в существующей signal-группе, после этого участники группы могут присоединяться или удаляться по своему желанию. Эдвард Сноуден написал в Твиттере, что ждал этой фичи очень долго.

2020. Взломан мессенджер Signal. Взломщики будут продавать переписку силовикам

Израильский компания Cellebrite, разработчик шпионского ПО Cellebrite, заявила, что сумела взломать мессенджер Signal. Он годами считался самым защищенным в мире, а теперь Cellebrite, сотрудничающая с правоохранительными органами многих стран (Россия в их числе) намерена «на законных основаниях» предоставлять силовикам доступ к переписке в этом мессенджере. Cellebrite уже сообщила, что намерена сотрудничать с правоохранительными органами различных стран для взлома Signal на нужных им устройствах «на законных основаниях». Таким образом, информация, хранящаяся в мессенджере и до декабря 2020 г. считавшаяся защищенной, может оказаться в руках силовых структур в полностью дешифрованном виде. Однако, для этого нужен физический доступ к разблокированному устройству пользователя.

2019. Telegram добавил возможность удаления переписки

Telegram представил обновление мессенджера c новыми настройками управления личной перепиской и улучшенным поиском. Пользователи получили новые возможности контролировать личную переписку. Если раньше функция «Удаление сообщения» удаляла только собственные сообщения, отправленные в течение 48 часов, то теперь можно удалить любое полученное или отправленное сообщение без ограничений во времени. При этом сообщение исчезнет и у собеседника. Для большей конфиденциальности разрабочики добавили возможность ограничить данные о пользователе в пересланном сообщении. Если активировать эту функцию, имя автора в переадресованном сообщении будет некликабельным. Также появилась возможность отключать просмотр фотографии профиля.

2018. Десктопные версии Signal и Telegram хранят информацию в незашифрованном виде. Дуров объяснил почему

За последнюю неделю исследователи в сфере информационной безопасности обнаружили, что оба самых защищенных мессенджера Signal и Telegram сохраняют сообщения на компьютере пользователя в незашифрованном виде. Signal делает это при обновлении версий десктоп приложения (чтобы импортировать сообщения в новую версию), а Телеграм — просто хранит все чаты без шифрования в базе SQLite, в которой прочесть их сложно но можно. Павел Дуров сразу же отреагировал на это открытие в своем телеграм-канале и объяснил, что это не бага, а фича (точнее нормальное положение дел). Ведь, если злоумышленники получат доступ к вашему компьютеру, они все равно смогут прочитать ваши сообщения. Правда, Павел не упомянул, что так просто прочитать сообщения им помешало бы незнание пароля, который можно установить в десктоп-версии Телеграм.

2018. Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом

Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров Signal «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных. Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…

2018. Skype добавил шифрование чатов и звонков для всех пользователей

Skype запустил систему оконечного шифрования (end-to-end) для всех пользователей Skype на Windows Desktop, Android, iOS, Mac и Linux. Чтобы начать зашифрованную беседу, нужно выбрать пользователя из списка контактов и нажать «Начать личную беседу». Для этого у обоих собеседников должна стоять последняя версия Skype. Все сообщения и звонки в личной беседе зашифрованы до её завершения. Зашифрованный чат доступен пользователю только на том устройстве, на котором он его начал: если он перейдёт с компьютера на смартфон, ему придётся начать новую беседу, все переданные и полученные сообщения и файлы при этом останутся на компьютере.

2018. Сбербанк запустил собственный мессенджер

Сбербанк добавил в свое мобильное приложение «Сбербанк Онлайн» собственный мессенджер Диалоги. Зачем банку свой мессенджер? Дело в том, что кроме передачи сообщений в нем можно очень просто переводить деньги. Мессенджер расчитан только на клиентов Сбербанка: номер телефона привязан к карте «Сбербанка». Отмечается, что переписка защищена технологиями «Сбербанка». Интересно, что в декабре 2017 ходили слухи, что Сбербанк переговоры о покупке разработчика мессенджера для корпоративных коммуникаций Dialog. Но чем закончились переговоры — неизвестно.

2017. Защищенный мессенджер Threema получил десктопную версию

Threema объявила о выпуске десктопной версии своего защищенного мессенджера Threema, с помощью которого сервисом можно пользоваться и на настольном компьютере. Как и мобильная версия, веб-клиент Threema обеспечивает высокий уровень защиты информации и максимально ограничивает любые некритические сценарии взаимодействия с данными. В частности, вместо использования сервера для синхронизации сообщений, Threema устанавливает прямое зашифрованное соединение между браузером и мобильным устройством с помощью протокола SaltyRTC. Таким образом, сообщения могут быть синхронизированы без необходимости их обработки сервером. Если браузер и мобильное устройство подключены к одной и той же сети, то данные не покинут ее пределы.

2016. В Facebook Messenger появилось end-to-end-шифрование

В Facebook Messenger появились «секретные» чаты с end-to-end-шифрованием. Начать «секретный» чат можно из меню создания нового сообщения, нажав на кнопку «Secret». После этого мессенджер предложит выбрать, с кем из пользователей нужно начать шифрованную переписку. «Секретные» чаты доступны только на тех устройствах, на которых они были открыты в первый раз. Кроме того, есть возможность добавлять таймер к сообщениям — после истечения указанного отрезка времени они удаляются. При этом в таких чатах недоступна отправка GIF-файлов и видео, однако есть возможность отправлять изображения и стикеры. У каждого участника переписки приложение Messenger должно быть обновлено до последней версии.

2016. Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp

Создатель мессенджера Telegram Павел Дуров и бывший сотрудник ЦРУ Эдвард Сноуден поспорили в Твиттере о защищенности мессенджеров. Началось все с того, что Сноуден не рекомендовал пользоваться новым мессенджером Google Allo (потому что он хранит переписку на сервере), а потом заявил что WhatsApp — надежнее Telegram, т.к. по-умолчанию обеспечивает end-to-end шифрование. Конечно, Павел не смог пройти мимо такого, и возразил, что в Telegram такое-же шифрование можно при желании включить, а вот WhatsApps вынуждает юзеров использовать внешние сервисы для хранения переписки. В итоге, оба согласились, что если пользователь — невнимательный или просто не заботится о конфиденциальности информации — он может в любом мессенджере ее потерять.

2016. Viber начал шифровать сообщения и запустил секретные чаты

Вслед за Telegram и WhatsApp, самый популярный мессенджер в нашей стране Viber вводит end-to-end шифрование. Теперь все голосовые звонки, личные и групповые чаты, а также пересылаемые файлы будут полностью защищены. При этом сервис не видит содержание сообщений и не хранит архивов переписки. Переписку, зашифрованную таким образом, не смогут запросить у компании даже спецслужбы. В течение нескольких недель технология заработает на всех устройствах, на которых версия Viber будет обновлена до 6.0 – это относится и к мобильному, и к десктопному приложениям. Новая версия Viber также получила «секретные чаты» с доступом лишь по четырёхзначному пин-коду или по отпечатку пальца (версия под iOS), так что чуть-чуть решает и проблему потери смартфона его владельцем.

2016. Мессенджер WhatsApp включил полное шифрование сообщений

Мессенджер WhatsApp (принадлежащий Facebook) включил функцию оконечного шифрования для всех пользователей своего мессенджера. Для реализации шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных в мире. Использование этой библиотеки гарантирует, что на промежуточном сервере данные не только не могут быть расшифрованы, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников. Шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, фотографии, вложения, голосовые заметки, а также голосовые вызовы. Для создания защищенного канала необходимо отсканировать QR-код с одного телефона другим. Подобная технология оконечного шифрования используется в мессенджере Telegram Павла Дурова, однако в нём она работает только в так называемых «секретных чатах», рассчитанных на двух собеседников.

2015. В России появился собственный защищенный бизнес-мессенджер

На днях на Хабре появился хороший сравнительный анализ безопасности современных мессенджеров. Наиболее защищенными признаны Telegram, Signal, Tox, Jabber. Но если для вас важным параметром безопасности мессенджера является его отечественное происхождение и размещение, то обратите внимание на новинку — бизнес-мессенджер Avirton. Он разработан в России и все его сервера расположены на территории РФ, так что даже государственные органы смогут пользоваться мессенджером, не опасаясь утечек. Для шифрования данных применяется технология AES (используемая в качестве стандарта правительством США). Что касается финансовой безопасности проекта, то Avirton уже привлек более $1 млн от частных инвесторов и рассчитывает на дополнительные инвестиции в $5 млн и получение оценки бизнеса в $30 млн до конца года.

2015. Facebook запустила корпоративный мессенджер

В начале этого года Facebook запустила бизнес-версию своей социальной сети — Facebook at Work. Смысл в том, что сотрудники одной компании могут получить рабочие аккаунты (отдельные от персональных) и организовать совместную работу на закрытой страничке компании, подобно как это делается, например, в живой ленте Битрикс24. Теперь же для компаний, использующих Facebook for Work стал доступен мобильный мессенджер Work Chat, который позволит безопасно общаться в режиме реального времени, не прибегая к использованию потребительских мессенджеров, аля WhatsApp или Viber. Помимо обмена текстовыми сообщениями Work Chat позволяет обмениваться фотографиями, файлами и видео. Можно создавать индивидуальные или групповые чаты. Вместо списка контактов в приложении используется каталог сотрудников. Пока доступна версия мессенджера только для Android, скоро ожидается версия для iPhone.

2015. Разработчики Tor выпустили защищенный мессенджер

Разработчики браузера Tor выпустили мессенджер Tor Messenger, в основе которого лежит та же технология анонимизации пользователей. Он работает на Windows, OS X, Linux и поддерживает большое количество сервисов, включая AOL, Twitter, Yahoo Messenger, Google Talk, Facebook, Jabber, ICQ и IRC. В сети Tor на пути от пользователя к серверу и обратно проходит через несколько узлов. Принцип анонимизации заключается в том, что информация об адресе предыдущего узла на каждом новом узле, куда пришли данные, отсутствует. Таким образом, теоретически, никто не может узнать, откуда пришел запрос на сервер, то есть откуда и с какого ПК человек выходил в сеть.

2015. ViPNet Connect от «Инфотекс» обеспечит конфиденциальность мобильных коммуникаций

Компания «Инфотекс», российский разработчик программных, программно-аппаратных VPN-решений и средств криптографической защиты информации, объявила о выпуске нового приложения для мобильных устройств ViPNet Connect. Новинка позволит корпоративным пользователям обмениваться важной бизнес-информацией по защищенным каналам с помощью чата, а также при голосовых вызовах.  ViPNet Connect представляет собой альтернативу использованию в корпоративных целях мессенджеров публичных сервисов Skype, Facebook, «ВКонтакте», WhatsApp, Viber и др., которые несут множество рисков для безопасности организации. Приложение ViPNet Connect реализует информационный обмен между пользователями через защищенную ViPNet-сеть, исключая возможность перехвата конфиденциальной и навязывания ложной информации. Важным отличием программного комплекса ViPNet Connect от известных мессенджеров является возможность обеспечения защиты точка-точка, без задействования промежуточных серверов при передаче конфиденциальных данных, указали в компании.

2008. Cisco защитит унифицированные коммуникации

SIP-защита для унифицированных коммуникаций состоит в использовании протоколаSIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи.Это новшество позволит компаниям принять концепцию распределенногопредприятия, повысить производительность труда и минимизировать угрозы,связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаясясеть) в более широкое системное решение, обеспечивающее общую защитусетей, а также самых разных оконечных устройств, приложений и контента.

2007. Компания Skype стремится повысить безопасность своего ПО

Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.

2006. Безопасная система мгновенных сообщений NTT

Инженеры корпорации NTT Communications разработали систему передачи мгновенных сообщений, способную в соответствии с юридическими требованиями, включая Sarbanes-Oxley Act, регистрировать и архивировать передаваемую информацию, а также взаимодействовать с другими подобными системами. В ее основе — сервер, через который передаются все сообщения, где также сохраняются их копии. Для предотвращения несанкционированного перехвата информации и спуффинга связь между сервером и IM-клиентами осуществляется с использованием технологии Transport Layer Security. Решение NTT отличается от других систем, в которых серверы применяются только для организации связи между различными клиентами. Использование центрального сервера позволяет устанавливать политики, определяющие дисциплину связи пользователей и типы передаваемых файлов. Предусмотрена работа с клиентским ПО для ПК с ОС Windows и для сотовых телефонов с Java iAppli, а также с Web-интерфейсами.

последние мессенджеры с надёжным шифрованием — Ferra.ru

После европейских терактов в начале ноября, Совет Министров Европейского Союза принял решение, которое обязывает операторов мобильных сервисов WhatsApp, Signal и других создавать мастер-ключи для мониторинга чатов и сообщений с форматом шифрования E2E. Об этом говорится во внутреннем документе, датированном 6 ноября президентом Германии и направленном делегациям стран-членов в Совете, копию которого удалось получить австрийскому новостному изданию ORF.at.

Политики заговорили о запрете на безопасное шифрование этих мессенджеров под предлогом борьбы против «дальнейших шагов терроризма». Президент Франции Эммануэль Макрон обсудил это с канцлером Австрии, а само решение уже согласовано настолько, что его можно будет принять в видеоконференции министров внутренних дел и юстиции в начале декабря без дальнейшего обсуждения.

Впрочем, речь в этом документе идёт далеко не о полном запрете сквозного шифрования, как заявляли журналисты и пользователи социальных сетей, а только о доступе к сообщениям в отдельных случаях, но эти случаи описаны не очень точно. Предельно ясно, что утекший в сеть черновой вариант предложения пока что не имеет никакой юридической силы. Несмотря на это, в нем в первую очередь излагается политическая позиция стран-членов Европейского Союза.

Вообще, запросы на появление различных лазеек для правоохранительных органов нередки. Spiegel пишет, что в начале октября этого года министры внутренних дел пяти стран — Великобритании, США, Австралии, Новой Зеландии и Канады уже обращались к крупнейшим интернет-компаниям с просьбами предоставить доступ к перепискам пользователей.

Неудивительно, что ряд экспертов и простых пользователей социальных сетей высказали свое недовольство в отношение предлагаемых изменениях. По словам представителя федерального министерства внутренних дел Германии, «в текущем проекте нет предлагаемых решений или требований по ослаблению систем шифрования». Проект скорее предназначен для того, чтобы стать первым шагом к повышению уровня доверия, более широкому обсуждению этой проблемы и тесному сотрудничеству между политиками, бизнесом и наукой. В некотором плане это вопрос достижения баланса между защитой секретов компании и личных данных и потребностями органов безопасности.

Запретят ли шифрование формата E2EE, и знает ли Евросоюз, что он делает?

Казалось бы, вроде все предельно понятно: пообещать неприкосновенность переписок, а потом разрешить силовикам читать их и запретить “несогласные” мессенджеры на территории Европейского Союза. Но что же говорят независимые эксперты? Европейский исследователь Лукаш Олейник, занимающийся кибербезопасностью, считает, что предлагаемый проект начинается с утверждения полной поддержки ЕС «разработки, внедрения и использования надежного шифрования» — что было бы очень странно, если бы речь шла о полном запрете E2EE.

Кроме того, в проекте обсуждаются «проблемы» общественной безопасности, которые могут исходить от преступников, имеющих легкий доступ к тем же технологиям, которые используются обеспечения безопасности инфраструктуры операторов. Предполагается, что преступники не могут использовать формат шифрования E2EE, чтобы получить доступ к данным пользователей. Даже при наличии дыр в системе это должно быть чрезвычайно сложным или практически невозможным.
Интересно то, что в резолюции содержится призыв к обсуждению того, как обеспечить сохранение полномочий компетентных органов безопасности и уголовного правосудия — при обеспечении полного уважения надлежащей правовой процедуры и прав и свобод ЕС (в частности, право на уважение частной жизни и коммуникации, а также право на защиту личных данных).

Получается, что гипотетический закон ждет широкое публичное обсуждение и множество дискуссий среди политиков, активистов, правозащитных активистов и экспертов из области информационной безопасности.

А в каком защищенном мессенджере общаться сейчас?

Думаю, большая часть из читателей уже давно перешла из крупных социальных сетей в Telegram, оставив ВКонтакте для переписок с бывшими одноклассниками или просмотра мемов, а WhatsApp используется для общения с родственниками и получения открыток на праздники, о которых вы даже не знали. Но помимо привычной нам “Телеги” есть еще несколько неплохих, а, главное, безопасных мессенджеров, которыми можно и нужно пользоваться.

Для начала повторим основные требования к “безопасному” мессенджеру:

• Анонимность. Возможность зарегистрировать анонимный аккаунт и использовать его без ограничений
• End-to-end шифрование (E2ЕE). Технология шифрования, при которой ключи шифрования хранятся только на устройстве пользователя и не отправляются на сервер
• Наличие основного надежного протокола шифрования

Threema

Безопасный мессенджер. Обзор самых защищенных мессенджеров :: BusinessMan.ru

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Не так давно я заглянула наткнулась на опрос «Какой мессенджер вы считаете самым надежным?». Самый популярный ответ (Telegram) меня насторожил. Тогда я поняла, что все это зашло слишком далеко и пользователи уже потеряли связь с реальностью после атаки маркетинг-хедкраба (на картинке).

Еще по теме: Угон Телеграм и как от этого защититься

Я решила составить список мессенджеров и посмотреть, как у каждого из них обстоят дела с безопасностью. В список пошли как популярные, так и перспективные в плане безопасности программы. Сразу предупреждаю, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом я повторила путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрала другие критерии — на мой взгляд, более важные.

WhatsApp – быстрый и многофункциональный мессенджер для безопасного и комфортного общения

WhatsApp — один из самых популярных мессенджеров

Бесплатная и общедоступная для пользования программа, которая абсолютно заслужено пользуется популярностью среди пользователей со всего мира. Есть широкий выбор стикеров. Все сообщения переписок хранятся в телефоне и на облачном сервере iCloud с поддержкой протокола шифрования групповых чатов. Содержание самих бесед не сохраняется, однако остаются известны телефонные номера, IP-адреса отправок и модели гаджетов, между которыми происходила коммуникация.

Использование трафика – минимальное, поэтому вы можете комфортно использовать программу даже через лимитированный мобильный интернет.

С весны 2016-го года WhatsApp внедрил опцию сквозного шифрования, поэтому все данные пользователей находятся в полной сохранности.

Программа доступна для скачивания на любое мобильное устройство, также есть версия для ПК.

Сводная таблица основных функций безопасности

При создании таблицы использовались данные, которые удалось найти в официальных источниках и подтвердить. Если информация по тому или иному критерию на текущий момент отсутствует в спецификации или никак не может быть проверена, то в ячейке пишется «нет сведений».

Если функция поддерживается, но есть определённые нюансы или особенности, влияющие на уровень безопасности или приватности, то комментарий прописывается в соответствующей ячейке.

Таблица 1. Поддержка функций безопасности и приватности популярных мессенджеров

Безопасность

Приватность

Facebook Messenger – полная синхронизация с Facebook, общение с друзьями по всему миру

С помощью Facebook Messenger можно общаться с друзьями по всему миру

Программа доступна отдельно от социальной сети Facebook, поэтому вы можете ее установить даже при отсутствии личного профиля в проекте Марка Цукерберга. Достаточно использовать анонимную почту, а шифрование сообщение происходит посредством функции Secret Conversations.

Facebook Messenger объединяет людей своей социальной сети и позволяет отправлять сообщения на другой конец планеты. Независимо от вашего места положения, вы сможете быстро и комфортно общаться с семьей, любимыми и друзьями.

По количеству загрузок догоняет WhatsApp, но пока что уступает ему. Работает в любом регионе мира. Адресная книга формируется на основании телефонного номера и идентификации друзей в соцсети Фейсбук.

Предусмотрена полная синхронизация данных с социальной сетью. Если вы отправляете сообщение через браузерную версию, то в мобильном приложении оно будет отображено. В обратном порядке аналогичная ситуация.

Viber – лучший мессенджер для Android, широкий функционал и яркие стикеры

Viber — одна из самых функциональных и удобных программ для общения

Самый лучший мессенджер для гаджетов, работающих под управлением Android. Предусмотрена привязка к номеру телефона, что немного снижает уровень безопасности использования программы, но с помощью гибких настроек приложения пользователь сможет скрыть свои данные от людей, которых нет в списке контактов.

Однако моно пользоваться функцией секретного чата, чтобы не бояться за кражу своих данных. Устанавливается на мобильные устройства всех типов, а также есть десктопная версия.

Главная особенность Viber – возможность звонить на телефонные номера. После первой авторизации книга с контактами синхронизируется программой и пользователю доступны все абоненты, которые тоже подключены к мессенджеру.

Функционал программы позволяет отправлять текстовые сообщения, совершать аудио- и видеозвонки, отправлять текстовые графические и медийные файлы, делиться контактами. Есть большая галерея бесплатных и платных стикеров, с помощью которых ваши переписки становятся яркими и интересными.

Telegram – самый высокий уровень безопасности, быстрые и удобные переписки

Telegram обеспечивает быстрое и анонимное общение

Это самый безопасный и функциональный мессенджер 2021-го года. Создан Павлом Дуровым, разработчиком социальной сети ВКонтакте.

Главное преимущество Telegram – это его безопасность. Никто не может получить доступ к частной информации и перепискам пользователей. Именно по этой причине программа заблокирована для использования в России, где ФСБ получило отказ в доступе к данным пользователей мессенджера.

Можно настраивать автоматическое удаление сообщений, создавать групповые беседы, вести каналы для общения с подписчиками.

Информационная передача ведется через сквозное шифрование, есть опция секретных чатов. Имеется облачное хранилище, а также можно отправлять файлы и другие медийные объекты самому себе.

Доступен в бесплатном режиме для ПК и мобильных устройств.

Hemlis — за свободное общение

Цена: бесплатно.
Платформы: iOS, Android.

Настоящую революцию в области безопасной переписки планируют произвести авторы приложения Hemlis. Один из них — Петер Сунде, создатель знаменитого торрент-трекера The Pirate Bay. Приложение, которое сейчас находится в статусе закрытой бета-версии, должно обеспечить максимально возможный уровень защиты пользователей, иметь простой интерфейс и большой набор функций.

Hemlis — безопасный и дружелюбный к пользователям

Как и приложение SJ IM, Hemlis основан на протоколе передачи сообщений XMPP и использует PGP-шифрование, но при этом более «дружелюбен» к неопытным пользователям. Передача данных в нем осуществляется через центральный сервер в Исландии, который не хранит сообщения после их доставки получателям. Разработчики гарантируют, что сами они тоже не будут иметь доступ к чужим письмам.

Skype – безопасный чат и удобные видеозвонки с друзьями

Skype часто используют для общения с коллегами и партнерами по бизнесу

Популярная на весь мир программа, которая используется по большей части для совершения видеозвонков. Технология шифрования end-to-end делает максимально безопасными и защищенными все беседы, можно создавать секретные чаты. Как правило, Скайп используют для работы, хотя многие предпочитают эту программу и для личного общения.

Skype часто выпускает обновления и необходимо устанавливать их, чтобы повышать уровень своей безопасности при коммуникации с пользователями.

Мессенджер существует уже много лет и до сих пор остается популярными. Не так давно он адаптирован для мобильных гаджетов. Функционал мобильной версии включает следующее:

• отправка голосовых сообщений;
• отправка аудиосообщений;
• совершение видеозвонков;
• совершение голосовых звонков;
• отправка текстовых сообщений;
• отправка документов, изображений, фотографий, медийных объектов.

Программа доступна в бесплатном режиме для скачивания на любое устройство.

Критерии выбора защищенного мессенджера

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

• централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
• федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: Email, Jabber (XMPP), Riot Matrix;
• децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другую метаинформацию, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Snapchat – социальная сеть в миниатюре с интересным функционалом

Snapchat — не совсем обычная программа с интересным функционалом

Мобильный мессенджер с широким функционалом и приятными фишками. По мнению некоторых пользователей, это почти компактная социальная сеть. В 2017-ом году программа вошла в топ-15 лучших мессенджеров.

Snapchat уникален и не похож на другие программы для переписок. И выделяется он своей спецификой подачи контента.

Например, можно делиться с друзьями фотографиями, которые ранее были сняты на камеру смартфона. Перед отправкой фото можно отредактировать. Через некоторое время оно удалится в переписке автоматически.

Есть большая коллекция стикеров, которые можно прикреплять к фотографиям, а также использовать в диалогах для передачи своих эмоций.

Есть групповые чаты и возможность создавать трансляции.

Мессенджер доступен бесплатно, устанавливается на любой тип мобильного гаджета.

Самый безопасный браузер

Как обойти блокировку Telegram: MTProto Proxy или Socks5

Существуют ли на 100% безопасные мессенджеры?

Пока с вами не произошло ничего страшного, вы можете и не задумываться о безопасности переписки. А ведь даже если вы считаете, что ваши сообщения мало кого могут заинтересовать, это не совсем так. Взломы, утечки фото, распространение вирусов, мошенничество – это все может коснуться и «рядовых» пользователей.

Эксперты некоммерческой организации «Фонд электронных рубежей» уже давно собирают информацию о личной безопасности в цифровом мире. Основываясь на многолетнем опыте, специалисты пришли к выводу, что «нет такого понятия, как идеальное или универсальное приложение для обмена сообщениями».

Свою теорию они описали в серии статей, которые опубликовали на официальном сайте организации в марте 2021 года. Эксперты считают, что мессенджер, который устраивает в плане безопасности переписки одного пользователя, не будет таковым для другого.

Ни одно приложение для обмена сообщениями не может полностью удовлетворить потребности в безопасности и коммуникации каждого человека, поэтому мы не можем дать рекомендации, не рассматривая ситуации конкретного человека или группы

Тем не менее если бы специалистам компании все-таки пришлось дать хоть какой-то ответ, то они остановились бы на мессенджерах Signal или WhatsApp. Свой выбор они объясняют тем, что оба приложения используют сквозное шифрование.

Сквозное (или оконченное) шифрование – это такой способ защиты данных, при котором их могут прочитать только отправитель и получатель. Никто другой зашифрованную информацию прочитать не может.

При этом Signal, по словам экспертов, делает минимальный сбор метаданных пользователей, а сила WhatsApp в том, что он прост в использовании и дает возможность безопасно общаться людям разного уровня подготовленности.

Но эти преимущества могут измениться в любой момент. Например, Signal может быть принудительно вовлечен в сотрудничество с властями, что потребует собирать метаданные пользователей тайком. Да и WhatsApp может изменить свою политику обмена пользовательскими данными. Если коротко, «любой из плюсов или минусов может неожиданно измениться, в том числе и незаметно для вас».

В мае 2021 года создатель Telegram Павел Дуров раскритиковал WhatsApp за очередную уязвимость и объяснил, почему мессенджер-конкурент плох. Подробнее об этом можно почитать здесь.

Veon – мессенджер от Билайн с бесплатным трафиком

Veon предоставляет пользователям неограниченный трафик для свободного общения

Программа для общения разработана компанией Билайн. Можно отправлять текстовые сообщения, совершать звонки и создавать группы. Есть персонализированная новостная лента, а абонентам мобильной связи Билайн предоставляется возможность контролировать свой денежный счет, а при нехватке средств на счету можно пользоваться услугами мобильного интернета в кредит.

Veon был запущен в 2017-ом году с бонусами в виде бесплатного трафика, чтобы завлекать пользователей. Однако это не помогло стать конкурентной программой.

ICQ – современная версия с новым дизайном и расширенным функционалом первого чата для общения

ICQ стал одним из первых мессенджеров для общения

Несмотря на то, что ICQ был запущен много лет назад и сегодня появилось множество современных мессенджеров, затмивших своего прародителя, все равно первый чат для общения остается популярным в мире и существует благодаря пользователям, которые ценят простоту и оперативность действия программы.

Сегодня программа работает в современной интерпретации, позволяет пользоваться функцией отправки сообщений, звонков в формате аудио и видео. После первой установки мессенджера на мобильном устройстве идет привязка к вашему номеру телефона и синхронизация с книгой телефонных номеров.

Адаптирована для всех тип мобильных гаджетов, скачивается бесплатно. Новый дизайн программы приятно удивляет своей эстетикой и стилем, а расширенный функционал ставит ICQ в один ряд с самыми популярными приложениями.

Какие мессенджеры больше всего любят белорусы

Исследований на эту тему много – чуть ли не каждый год крупные компании проводят мониторинги как локальные, так и глобальные. Так, в 2021 году аналитический центр SimilarWeb исследовал рынок Android-приложений в 187 странах и выделил наиболее популярные на тот момент мессенджеры во всем мире. Тогда у белорусов в лидерах оказался Viber.

В 2021 году компания Online Market Intelligence по заказу «Лаборатории Касперского» провела в Беларуси опрос среди интернет-пользователей. В результате выяснилось, что большинство белорусов опять же выбирают Viber – его отметили 93% респондентов. При этом Telegram оказался самым непопулярным мессенджером (35%).

В конце того же года провели еще одно исследование – «Мониторинг социально-экономической и политической ситуации в Республике Беларусь». Как сообщает TUT.BY со ссылкой на «Институт социологии НАН Беларуси», выяснилось, что мессенджерами пользуется чуть больше 68% белорусов.

Что касается наиболее популярных приложений для общения, то результаты исследования не сказали ничего нового: на первом месте – Viber, дальше – Skype, потом WhatsApp. В конце списка снова оказался Telegram.

Hangouts Google – стандартный мессенджер от Google для устройств Android и iOS

Hangouts Google подходит для любых мобильных устройств

Разработчиком является корпорация Google, новый мессенджер пришел на смену приложению Google Talk. Максимально адаптирован под Андроид-гаджеты, поэтому именно среди таких пользователей является популярным.

Hangouts Google шифрует все пользовательские переписки, однако данные на сервере остаются открытыми, поэтому нужно иногда менять пароль от своего Гугл-аккаунта, чтобы не спровоцировать утечку информации.

Мессенджер входит в пакет программ, которые по умолчанию устанавливаются на устройства Андроид. Он не имеет никаких уникальных фишек, функционал сочетает в себе отправку сообщений и голосовых звонков в бесплатном доступе.

Многие пользователи отметили Hangouts Google как лучший вариант программы для чата не только для Android-смартфонов, но и для iOS.

Gliph — мессенджер и кошелек

Цена: бесплатно.
Платформа: браузер, iOS, Android.

Мобильный мессенджер Gliph, помимо обеспечения безопасной переписки, дает возможность защитить еще и свою платежную историю — правда, только в случае использования криптовалюты Bitcoin. В приложение можно интегрировать учетные записи в системах Coinbase и Blockchain.info, после чего отправлять «монеты» людям из своего контактного листа или использовать для оплаты покупок, сканируя QR-коды в работающих с Bitcoin магазинах. Конечно, это можно делать только жителям других стран: в России Bitcoin запрещено использовать в качестве платежного средства.

Gliph — мессенджер, через который можно оплачивать покупки

Мессенджер имеет версии для мобильных устройств на Android и iOS, а также веб-версию для работы в любом браузере. С ее помощью можно создать через браузер защищенный канал связи с любым человеком, даже если у него не установлено само приложение Gliph.

QQ mobile – китайский мессенджер для дружеских и деловых переписок

QQ mobile подойдет и для дружеских, и для деловых переписок

Программа QQ – это китайская версия ICQ, которая считается самым популярным мессенджером в азиатском регионе. Согласно данным компании Tencent, которая является разработчиком приложения, количество активных пользователей составляет более 300 миллионов человек.

В других регионах мессенджер тоже набирает популярность, им активно пользуются люди для дружеских и деловых переписок.

Если вы изучаете китайский язык, QQ mobile будет полезен, чтобы закреплять навыки в живом общении – достаточно использовать групповые чаты, чтобы находить граждан из Китая и общаться с ними.

Англоязычная версия QQ International является немного упрощенной по сравнению с оригиналом, тем не менее, позволяет комфортно общаться.

Программа доступная для скачивания в бесплатном режиме, подходит на все мобильные устройства.

5 самых безопасных мессенджеров

Мессенджеры или мобильные приложения для обмена мгновенными сообщениями стали неотъемлемой частью нашей жизни. Сколько времени вы проводите в социальных сетях и мессенджерах, передавая сообщения друзьям и любимым? Как выясняется,  среднестатистический пользователь проводит там почти 2 часа, а подростки — целых 9. Ведь ритм современной жизни часто не позволяет отводить много времени живому общению, а онлайн платформы кроме того, что дают нам возможность быть на связи каждую минуту и общаться с кем захотим, еще и делают это общение гораздо более интересным и насыщенным!

Получается, что через мессенджеры начинает проходить практически вся наша личная жизнь. Именно поэтому, как показывает статистика, для абсолютного большинства  современных пользователей интернета важна безопасность своих персональных данных. Если вы — один из них и интересуетесь, насколько конфиденциальны и защищены ваши данные онлайн, читайте дальше, мы вам расскажем об этом на конкретных примерах существующих мессенджеров. Давайте рассмотрим, какие же из них являются по-настоящему безопасными и почему.

Signal

Signal — приложение, созданное независимой группой разработчиков программного обеспечения Open Whisper Systems во главе с хакером Мокси Марлинспайком. Будучи разработанным в 2013 году, это приложение часто появляется в рейтинге самых безопасных, особенно после того, как его рекомендовал бывший сотрудник ЦРУ США Эдвард Сноуден. С Signal можно свободно говорить и не беспокоиться о проблемах конфиденциальности, поскольку все сообщения и звонки шифруются. Приложение не сохраняет почти никаких данных, единственное, что действительно необходимо — это информация о том, пользуется ли кто-либо службой.

Signal можно сконфигурировать так, чтобы никто не мог делать снимки экрана, приложение позволяет также отправлять самоуничтожающиеся сообщения в стиле Snapchat. Это приложение уникально и своим открытым исходным кодом, к которому любой желающий может получить доступ и даже модифицировать по своему усмотрению. Если вы — сторонник минималистичного дизайна, и вам не нужны никакие лишние функций, только безопасность общения, то Signal вам определенно понравиться.

(Приложение доступно для Android и iOS)

Pinngle

Pinngle — относительно молодое приложение, появившееся в 2016 году. Помимо того, что оно работает даже при самом слабом сигнале интернета или при перегруженных WiFi, Pinngle концентрируется на безопасности своих пользователей как на своей основной цели. Именно поэтому для всех сообщений, звонков и отправляемых файлов по умолчанию применяется сквозное шифрование. Такая система говорит о том, что информация может быть доступна только на устройстве отправителя и на устройстве получателя сообщения, и никакая третья сторона, даже сама компания, не может иметь доступа к ней. При этом на Pinngle используется два отдельных ключа, один — для шифрования, другой — для расшифровывания данных, что вдвое повышает уровень их защищенности.

Это приложение уникально и своей “бессерверностью”. При этом серверы у Pinngle конечно есть, они необходимы для функционирования приложения, но на них не сохраняется никаких данных пользователей. В результате получается, что даже если кто-то доберется до серверов мессенджера, то не сможет найти совершенно никакой информации о пользователях приложения. Сообщение, переданное отправителем проходит прямо на телефон получателя и остается записанным только на его устройстве. В отличие от Signal, Pinngle предлагает своим пользователям множество различных функций, в том числе и Каналы Pinngle, на которые можно подписаться и следить за самыми различными интересующими вас темами и личностями.

(Приложение доступно для Android и iOS)

Threema

Threema также предлагает безопасность в качестве важного компонента своего приложения. Оно было создано в Швейцарии в 2012 году и стало популярным, в частности, после того как Германия, стараясь избежать шпионажа со стороны США, начала искать аналог WhatsApp, поддерживающий европейские стандарты конфиденциальности. В отличие от первых двух приложений, Threema не является бесплатным, но его создатели уверены, что именно благодаря этому можно обеспечить действительно надежную работу программы.

Это приложение обещает реальное шифрование, гарантируя, что пользовательские данные не будут доступны ни для правительств, ни для хакеров, ни для самого поставщика услуг. После доставки на ваше устройство сообщение уже удаляется из сервера Threema. Таким безопасным образом это приложение позволяет отправлять также фотографии, аудио и видео, а также создавать групповые чаты. В качестве дополнительной защиты Threema предлагает добавлять новые контакты при встрече, сканируя QR-код с экрана телефона будущего собеседника.

(Приложения доступно для  iOS, Android, Windows Phone)

Telegram

Обратимся к тем  мессенджерам, которые наиболее популярны в мире. В качестве самого безопасного среди них часто упоминают Telegram. Это и правильно, и неправильно одновременно, давайте разберем некоторые детали. Во первых, стоит различать обычные, по умолчанию установленные чаты Telegram и Секретные чаты, которые, как ясно из названия, функционируют по-разному. По умолчанию это приложение никак не шифрует ваши сообщения и вся информация сохраняется на облаке.

Для большей защищенности Telegram предлагает включить двухэтапную аутентификацию и использует специально разработанный протокол MTProto на своих секретных чатах. За взлом своего алгоритма шифрования основатель этого мессенджера Павел Дуров даже обещал награду в $200 тыс., которую так никто и не получил. Тем не менее, хакерские атаки на приложение были, и, в частности в 2016 году, иранские хакеры получили доступ к более десятку учетных записей и идентифицировали номера более 15 миллионов пользователей, что оказалось самой большой утечкой данных в истории системы зашифрованных сообщений.   

(Приложение доступно для Android, iOS, Windows Phone, Windows, Mac,  Linux)

WhatsApp

WhatsApp — практически самый популярный мессенджер в мире, который имеет более миллиарда пользователей. К этому приложению было много претензий по поводу безопасности, пока в 2016 году оно также внедрило систему сквозного шифрования. Для этих целей WhatsApp использует внушающую уверенность библиотеку мессенджера Signal. Приложение также сообщает, что вся информация, передаваемая от одного пользователя другому, шифруется, будь то сообщения, звонки, фотографии или голосовые заметки.

WhatsApp гарантировало, что на промежуточном сервере данные никак не могут быть расшифрованы и, более того, что они не сохраняют никаких метаданных, по которым можно идентифицировать пользователей. К сожалению, расследования экспертов (например, из Electronic Frontier Foundation), показывают, что в случае этого приложения сам провайдер имеет доступ к информации своих пользователей, а так как с 2014 г. WhatsApp стало частью Facebook, то эта информация становиться доступной и для целей самой большой социальной сети в мире. Согласитесь, сохраняя одни только метаданные (позволяющие, например, идентифицировать собеседников, фиксировать время их общения и тот объем данных, которыми они обменялись), компания уже получает достаточное количество информации о каждом своем пользователе.

(Приложение доступно для Android, iOS, Windows Phone, Windows, Mac)

Итак, безопасность и защищенность наших данных зависит и от нас, как от пользователей, но во многом и от той платформы, на которой мы общаемся. Что делаете вы для поддержания безопасности и конфиденциальности своего общения? Расскажите нам в комментариях!

Самые защищенные мессенджеры 2018. Выбор защищенного мессенджера

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Не так давно я заглянула наткнулась на опрос «Какой мессенджер вы считаете самым надежным?». Самый популярный ответ (Telegram) меня насторожил. Тогда я поняла, что все это зашло слишком далеко и пользователи уже потеряли связь с реальностью после атаки маркетинг-хедкраба (на картинке).

Еще по теме: Угон Телеграм и как от этого защититься

Я решила составить список мессенджеров и посмотреть, как у каждого из них обстоят дела с безопасностью. В список пошли как популярные, так и перспективные в плане безопасности программы. Сразу предупреждаю, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом я повторила путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрала другие критерии — на мой взгляд, более важные.

Критерии выбора защищенного мессенджера

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

• централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
• федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: Email, Jabber (XMPP), Riot Matrix;
• децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другую метаинформацию, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Обзор защищённых (и не очень) мессенджеров

Telegram

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

• Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: нет
• Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
• Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
• Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
• Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
• Групповые чаты E2EE: нет
• Защита социального графа: нет

Signal

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Помимо этого, Signal децентрализованный, а его исходные коды открыты. Есть поддержка групповых E2EE-чатов, есть защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

• Лицензия: AGPLv3
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет. Использование временного приведет к тому же результату, что и в случае с Telegram
• Наличие E2EE: есть. Используется Signal Protocol — специально разработанный для этого мессенджера протокол шифрования сообщений
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
• Запрет на скриншоты секретных чатов: можно включить или выключить
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: есть

Viber

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Для перехода в секретный чат нужно открыть чат с пользователем и выбрать из его меню команду «Перейти в секретный чат». Такой чат будет отмечен замком.

Дополнительно Viber позволяет создавать скрытые секретные чаты — они не будут отображаться в общем списке. Чтобы получить доступ к скрытому чату, нужно ввести установленный ранее PIN-код. Это дополнительная защита на тот случай, если телефон попадет в чужие руки.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
• Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
• Уведомление о проверке отпечатков E2EE: для проверки отпечатков предлагается совершить звонок собеседнику, сообщить свой идентификатор, после чего подтвердить его корректность, но уведомления, что это необходимо для обеспечения собственной безопасности, нет
• Запрет на скриншоты секретных чатов: есть
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: нет

WhatsApp

WhatsApp использует Signal Protocol, но это само по себе не дает никаких гарантий. Конечно, этот мессенджер интересен тем, что не хранит твои сообщения на своих серверах. Вместо этого сообщения хранятся на телефоне (а также в облачных сервисах, с которыми он синхронизирован, например iCloud). Также E2EE используется по умолчанию с поддержкой групповых чатов.

Однако хоть WhatsApp и не получает самой переписки, его владельцы имеют доступ к метаданным, в том числе собирают телефонные номера из адресной книги, время отправки сообщений и звонков и так далее. Представь, что в 2:30 ты звонил в «секс по телефону» и твой разговор длился 24 минуты. Ну да, никто не узнает, как конкретно шла беседа, но это в данном случае не очень-то и нужно.

Кроме этого, WhatsApp собирает тонны информации о пользователе: модель его телефона, ОС, информацию, полученную от браузера, IP-адрес, мобильный номер и так далее.

Добавь к этому проприетарный код, и ты получишь далеко не самый лучший с точки зрения анонимности вариант. Может, никто и не перехватит твои сообщения, но сам мессенджер будет знать о тебе многое.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: по умолчанию
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: есть только в случае смены ключа собеседником. Чтобы уведомление пришло, необходимо зайти в настройки и включить эту функцию. При старте чата никаких уведомлений нет
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: нет

Наличие сквозного шифрования — еще не гарантия того, что переписка не будет перехвачена. Его можно обойти либо проэксплуатировать какую-то уязвимость, как это уже было в случае с WhatsApp.

Briar

Briar — не очень популярный мессенджер, и готов поспорить, что далеко не все наши читатели знают о его существовании. Однако он хорош: основан на технологии децентрализованных сетей (mesh), может работать по Bluetooth или Wi-Fi либо через интернет, но в таком случае он подключится через Tor.

Исходники Briar открыты, есть возможность анонимной регистрации и использования, а чаты шифруются по умолчанию, причем не хранятся на серверах Briar (то есть твои сообщения в зашифрованном виде хранятся только на твоем телефоне). Есть защита социального графа (никто никому не сливает твою адресную книгу), есть групповые E2EE-чаты, но нет синхронизации E2EE-чатов между устройствами, поскольку нет возможности использовать одну и ту же учетку на разных устройствах.

На фоне всех остальных мессенджеров Briar выглядит очень неплохо, если нужна анонимность общения. Но у него есть и недостатки: нет версии для iPhone, нет возможности голосовых звонков. Если с отсутствием звонков еще можно мириться, то без версии для одной из крупных платформ круг общения окажется еще более узким.

• Лицензия: GPLv3
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: нет
• Уведомление о проверке отпечатков E2EE: при добавлении контакта необходимо сосканировать QR-код собеседника с экрана его телефона, другого варианта добавить его нет. Считаем, что уведомление есть
• Запрет на скриншоты секретных чатов: есть
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: в групповой чат можно добавить только собеседника из тех, чьи QR-коды уже проверены. Также считаем, что уведомление есть
• Защита социального графа: есть

ТамТам

При создании «ТамТама» никто не делал упор на безопасность, и об этом нужно помнить. Внимание к нему может привлечь разве что возможность регистрации через почту Google или «Одноклассники». Однако шифрование сообщений не поддерживается (или разработчики об этом не сообщают), и нет защиты социального графа. То есть, как бы ты ни регистрировался, без дополнительных мер все равно будет понятно, кто ты. В общем, даже как замена для «Телеграма» этот мессенджер не годится, несмотря на все чаяния его разработчиков.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: возможна регистрация с использованием почты Google или через «Одноклассники»
• Наличие E2EE: нет
• Защита социального графа: нет

Вконтакте

Снова проходим мимо: вряд ли кому-то в здравом уме придет в голову мысль использовать «Вконтакте» как средство для анонимного общения. Сообщения хранятся на серверах соцсети, не шифруются, регистрация только по номеру телефона — в общем, полный набор того, чего мы тут пытаемся избежать.

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: только по номеру телефона
• Наличие E2EE: нет
• Защита социального графа: нет

Facebook Messenger

Мессенджер, прилагающийся к Facebook, построен на основе открытого протокола MQTT. На всякий случай напомню, что это именно протокол обмена сообщениями — не путать с протоколом шифрования. После того как на мобильных телефонах Messenger выселили в отдельное приложение, у пользователей Facebook оставалось мало выбора, кроме как установить еще и его. Однако регистрироваться в «Мессенджере» можно и без аккаунта в FB.

Если сравнивать чаты «Вконтакте» и Facebook Messenger, то второй оказывается на голову выше. Во-первых, можно регистрироваться с анонимной почтой. Во-вторых, поддерживаются E2EE-чаты, но не по умолчанию. Для включения шифрования сообщений нужно активировать Secret Conversations.

Однако помни, что Facebook собирает очень много всевозможной информации о пользователе, поэтому вряд ли подойдет для анонимного общения. Также не поддерживается синхронизация E2EE-чатов и многого другого (см. выше). Если тебе интересно, какую информацию собирает Facebook, прочитай политику конфиденциальности (если у тебя нет аккаунта, то можно в форме скриншота).

• Лицензия: проприетарная
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: есть. Регистрация в «Фейсбуке» возможна с использованием электронной почты, а вход в Messenger — через учетную запись Facebook
• Наличие E2EE: есть, но не по умолчанию
• Синхронизация E2EE-чатов: нет
• Уведомление о проверке отпечатков E2EE: нет. Но собеседники могут сравнить отпечатки друг друга
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: нет
• Защита социального графа: нет

Wire

Wire — один из наиболее анонимных мессенджеров. В его основе — протокол Wire Swiss, основанный на Signal. Чем он хорош? Во-первых, есть возможность анонимной регистрации. Во-вторых, по умолчанию поддерживается сквозное шифрование с возможностью синхронизации зашифрованных чатов. В-третьих, есть защита социального графа, поддерживаются групповые зашифрованные чаты (до 128 человек) и безопасные конференц-звонки (до 10 человек). Что-то подобное мы видели в Briar, но у Wire еще и огромный выбор поддерживаемых платформ: Android, iOS, Windows, macOS, Linux.

Должна быть ложка дегтя? Она есть: мессенджер платный и стоит шесть евро в месяц (четыре при оплате за год). Разработчики утверждают, что это плюс: подобная бизнес-модель — это хоть какая-то гарантия того, что на твоих данных не попытаются заработать. С другой стороны, денежные транзакции плохо ладят с анонимностью. Зато есть пробный период на месяц!

• Лицензия: GPLv3
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: есть. С помощью почты
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: нет, но возможность есть
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть. Если один из пользователей отправляет в секретный групповой чат сообщение с устройства, которое не верифицировано у другого пользователя, то, когда второй попытается отправить сообщение, перед ним появится предупреждение о том, что у первого новое устройство
• Защита социального графа: есть

Jabber (OMEMO)

Если старина Jabber и выбивается из компании современных мессенджеров с веселыми стикерами и голосовыми звонками, то в плане приватности он по-прежнему во многом незаменим. Он федеративный, поддерживает анонимную регистрацию, E2EE-шифрование (правда, нужно расширение OMEMO), в том числе групповое.

Да, возможности не поражают воображение, но Jabber проверен временем и к тому же имеет реализации на всех возможных платформах. ChatSecure для iOS, Conversations — для Android, Pidgin — для Linux и так далее, список огромен.

• Лицензия: разные свободные лицензии
• Степень централизации: федеративный
• Возможность анонимной регистрации и работы: есть. Регистрация с использованием почтового ящика, учетной записи в Facebook или Twitter
• Наличие E2EE: есть. Необходимо дополнение OMEMO
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: уведомления нет, но возможность есть
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
• Защита социального графа: нет

Riot (Matrix)

Чего создателям этого мессенджера не занимать, так это умения придумывать крутые названия. Собственно, Matrix — это протокол коммуникации, а Riot — это клиентское приложение (бывают и другие — в том числе для консоли). Использовать можно как вебовый вариант, так и программы для iOS и Android.

В целом это еще один малоизвестный федеративный мессенджер с поддержкой и синхронизацией чатов E2EE, в том числе групповых. Регистрация анонимная, без привязки к номеру мобильного телефона или почте. Поддерживается голосовая связь и видеозвонки.

Шифрование переписки в Riot можно включить или выключить — индикатором этого служит значок замочка рядом с полем отправки сообщения. Также если в секретном групповом чате появится пользователь, чьи устройства не верифицированы другими пользователями, собеседники увидят уведомление об этом при попытке отправить сообщение.

В целом Matrix выглядит как интересный вариант, смутить может только его новизна в сочетании с тем, что протокол свой.

• Лицензия: Apache
• Степень централизации: федеративный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: есть, по выбору пользователя
• Синхронизация E2EE-чатов: есть
• Уведомление о проверке отпечатков E2EE: есть
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
• Защита социального графа: есть

Status

Status — это нечто большее, чем просто мессенджер. Конечно, его можно использовать только для общения, но это все равно что ставить Windows ради «Блокнота». Да и общаться здесь не очень-то удобно, даже картинку не отправишь, не говоря уж про такую роскошь, как стикер. Зато прямо в чате есть возможность отправить ETH и создать запрос на его получение.

Приложение пока находится на стадии бета-теста. Да, без глюков пока никак. Установила на два телефона (Samsung и Android). На одном из телефонов приложение работало нормально, на втором постоянно слетала авторизация и приходилось вводить пароль при каждом обращении к мессенджеру (считай, после каждой блокировки экрана) — не очень-то удобно.

Иногда не знаешь, баг перед тобой или никак не объясненная фича. Когда я создала аккаунты на обоих телефонах (для этого ничего не нужно — просто вводи имя) и сосканировала QR-код на экране одного телефона другим, на втором отобразилось совершенно другое имя, которое я видела впервые, — Puny Moral Gonolek. Только после добавления пользователя в контакты имя стало нормальным. При этом имя первого собеседника всю дорогу отображается нормально.

Еще по теме: Вы тоже верите в безопасность мессенджеров?

Поскольку есть возможность анонимной регистрации и все чаты шифруются по умолчанию, можно считать, что каждый чат в Status — секретный. Есть и синхронизация секретных чатов, но синхронизироваться будут только входящие сообщения, а вот отправленные с одной учетной записи, но с разных устройств — нет.

Еще один возможный недостаток: сообщения хранятся и на телефоне, и на сервере мессенджера, но разработчики уверяют, что в зашифрованном виде. Зато твоя книга контактов не сливается на серверы мессенджера, что нынче дорогого стоит. В общем, безопасность здесь есть, а возможность перевода криптовалюты, вероятно, кого-то порадует. Но Status пока что скорее интересная диковинка, чем рабочий инструмент.

• Лицензия: MPLv2
• Степень централизации: децентрализованный
• Возможность анонимной регистрации и работы: есть
• Наличие E2EE: по умолчанию
• Синхронизация E2EE-чатов: частичная (см. описание)
• Уведомление о проверке отпечатков E2EE: есть (чтобы начать диалог с пользователем, необходимо ввести его идентификатор или сосканировать с экрана смартфона)
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: нет
• Защита социального графа: есть

Threema

Threema — проприетарный централизованный мессенджер, серверы которого находятся в Швейцарии. Кроме текстового общения, пользователям доступны голосовые звонки, возможность отправлять свое местоположение, голосовые сообщения и файлы. Поддерживаются групповые чаты до 50 человек.

Сообщения здесь шифруются полностью и децентрализованным способом на устройствах пользователя, а не на сервере Threema. Сервер скорее играет роль коммутатора: сообщения пересылаются через него, но не хранятся постоянно. Подробно о том, какие данные хранятся и как долго, ты можешь прочитать в FAQ.

Для регистрации не нужно указывать данные, которые могут способствовать установлению личности, — ни номер телефона, ни email. При первом запуске программы случайным образом генерируется идентификатор пользователя, на его основе будет сгенерирован QR-код. Все это обеспечивает анонимность общения.

Чтобы начать диалог с собеседником, необходимо ввести его идентификатор. В Threema есть три уровня доверия личности пользователя. Наивысший будет при сканировании идентификатора с экрана смартфона, а самый низкий — при вводе его вручную. Где-то посередине находится синхронизация контактов. Уровень проверки каждого контакта отображается в виде точек рядом с именем.

В отличие от WhatsApp или, например, Facebook Messenger Threema не регистрирует, кто и с кем общается, и не хранит адресную книгу пользователя на своих серверах. Все сообщения на устройствах пользователя хранятся в зашифрованном виде. Способ шифрования зависит от устройства. В iOS используется функция iOS Data Protection, в Android и Windows Phone — AES-256. Шифруются сообщения, изображения и другие данные, передаваемые между пользователями. Дополнительная информация доступна в whitepaper (PDF).

Хоть каждый чат шифруется и может считаться секретным, помимо этого, есть и приватные чаты. Они защищены PIN-кодом и помечены значком со шляпой и очками. Нечто подобное мы уже встретили в Viber.

В общем, Threema оставляет неплохое впечатление. Сообщения не могут быть расшифрованы — даже по решению суда, так как хранятся только на телефоне и Threema не имеет доступа к секретным ключам пользователей. Серверы Threema знают только, кто отправляет сообщение и кому, но они не логируют эту информацию и не могут расшифровать содержимое сообщения.

Переходим к минусам. Во-первых, это необходимость разово заплатить. 2,6 евро разово — не бог весть что, но сам факт оплаты может быть нежелательным. Также отсутствие синхронизации и хранения сообщений означает, что сохранить историю ты можешь только сам, сделав бэкап.

• Лицензия: проприетарная для приложений, AGPLv3 для веб-клиента
• Степень централизации: централизованный
• Возможность анонимной регистрации и работы: есть. Можно создать учетную запись без привязки к номеру телефона или почте. Пользователю присваивается уникальный ID, который можно сменить
• Наличие E2EE: есть, по умолчанию
• Синхронизация E2EE-чатов: нет: для каждого устройства генерируется отдельный ID
• Уведомление о проверке отпечатков E2EE: есть. Сообщения в групповых чатах отправляются каждому собеседнику индивидуально, а диалог можно начать только с тем, чей идентификатор подтвержден
• Запрет на скриншоты секретных чатов: нет
• Групповые чаты E2EE: есть
• Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
• Защита социального графа: есть. Адресная книга по умолчанию не загружается на сервер, но при желании пользователь может разрешить доступ к ней

Групповые чаты всегда обладают меньшей безопасностью из-за упрощенного механизма распределения ключей. Подробнее читай в предыдущей статье.

Итоги

Рекомендовать какой-либо мессенджер мы не будем. Мы предоставили тебе все данные, и выбор остается за тобой, тем более что выбирать есть из чего. Ниже — табличка, которая поможет тебе в этом.

выбираем самый безопасный мессенджер и разбираемся, существует ли он / Хабр

Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда

департамента аудита и консалтинга Group-IB

провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.

О каких мессенджерах пойдет речь?

Сразу оговоримся, что отбор мессенджеров для нашего обзора производился на основе анализа существующих открытых исследований защищенности мессенджеров, их популярности в России и их позиционирования на рынке.

По итогам оценки и изучения мнений экспертов отрасли наша команда выбрала три мессенджера, ориентированные на защиту данных пользователей:

1. Signal — некоммерческий проект Open Whisper Systems
2. Telegram — некоммерческий проект Telegram FZ-LLC
3. Wickr Me — коммерческий проект Wickr Inc с бесплатной версией

Для исследования мессенджеров использовали последние версии, доступные на момент исследования в App Store и Google Play.

Мессенджеры устанавливались на смартфоны с iOS версии 13.3.1 и Android версии 7.1.2, при этом на смартфонах заранее были получены права суперпользователя (jailbreak для iOS и root-доступ для Android).

Как сравнивали мессенджеры?

Теперь вкратце расскажем о методике проведенного анализа защищенности. На рисунке ниже отображена схема формирования оценки по каждому мессенджеру.

Для проведения анализа мы выбрали три основные категории:

1. Открытость сообществу
2. Архитектура
3. Основная функциональность

В категории

«Открытость сообществу»

оценивались:

• наличие отчетов внешних аудиторов (в том числе наличие bug bounty-программ)
• доступность исходного кода мессенджера для исследователей (клиентская и серверная часть, протокол шифрования)
• наличие доступной и подробной документации для пользователей мессенджера

В этой категории не проводятся технические проверки, а полученный результат основан на оценке специалистов-участников проекта. Максимальная возможная оценка для мессенджера в этой категории — 12 баллов.

В категориях «Архитектура» и «Основная функциональность» оценка складывалась на основе результатов технических (инструментальных) проверок, которые проводились по стандарту OWASP Mobile Security Testing Guide.

В категории «Архитектура» после проведения инструментальных проверок мы получили оценку:

• защищенности данных мессенджера (например, конфигурационные файлы, необходимые для работы мессенджера)
• защищенности каналов связи (например, реализация передачи данных на сервер мессенджера)
• защищенности резервных копий (например, файлы приложения, создаваемые как мессенджером, так и операционной системой смартфона)
• защищенности данных профиля пользователя (например, логин пользователя, местоположение)

При наличии недостатков в какой-либо из проверок максимальный балл категории снижался, а максимальная возможная оценка — 200 баллов.

В категории «Основная функциональность» оценивалась корректность работы следующих функций мессенджеров:

• обмен сообщениями (включая файлы различных форматов)
• совершение видео- и аудиовызовов

Максимальная оценка в этой категории — 120 баллов.

Таким образом, максимальная итоговая оценка мессенджера может составить 332 балла и складывается в следующем отношении:

Если вам интересно узнать больше — полную информацию о методологии проведенного анализа защищенности можно найти

здесь

.

Сразу оговоримся, что в границы нашего исследования не вошли:

• анализ исходного кода: он доступен не для всех мессенджеров.
• исследование серверной части мессенджеров: оно может включать инвазивное воздействие и требует письменного согласия на проведение данных работ.
• криптографический анализ используемых алгоритмов шифрования и reverse engineering мессенджеров: эти работы займут намного больше времени, чем было отведено на проект, поэтому не будем отбирать хлеб специалистов-криптографов.

И что получилось?

Пришло время поделиться результатами исследования: как видно на диаграмме ниже, наибольшее количество баллов набрал

Wickr Me

— 304 из 332 возможных:

В таблице отражено, как складывалась оценка каждого мессенджера:

Давайте рассмотрим лидеров в каждой категории и найденные недостатки, после чего немного детальнее рассмотрим каждый из них.

Открытость сообществу

Лидеры в этой категории —

Signal

и

Telegram

— набрали одинаковое значение, 10 баллов. Репозитории мессенджеров содержат исходный код приложения и протоколы, доступные для исследования всем желающим. Однако мессенджеры держат закрытой серверную часть приложения, поэтому не получили максимальную оценку.

Wickr Me набрал меньше баллов, так как мессенджер не раскрывает исходный код.

Архитектура

В этой категории есть общий для мессенджеров недостаток — возможность обхода биометрической аутентификации. Эксплуатируя этот недостаток, можно получить доступ к данным пользователя мессенджера.

Лидером в категории «Архитектура» является Wickr Me, который содержит меньше выявленных недостатков, чем у конкурентов.

Signal и Telegram набрали меньше баллов, так как «небезопасно» хранят чувствительные данные мессенджера и профиля пользователя на клиентской стороне.

Из плюсов следует отметить, что все мессенджеры поддерживают E2EE-шифрование передаваемых данных, поэтому оценка Certificate pinning не проводилась.

Основная функциональность

Эту категорию можно расширять до бесконечности, но у нашей команды не было цели исследовать все реализованные фичи, и мы остановились на изучении основной функциональности мессенджеров и их безопасности:

• обмен сообщениями
• совершение аудио- и видеозвонков

Примечание: не рассматривалось использование в корпоративной среде.

Лидерами данной категории стали Wickr Me и Telegram, набрав максимальное количество баллов.

Версия мессенджера Signal под платформу Android содержит недостаток обработки исключений, который приводит к остановке приложения (то есть мессенджер сразу закрывается), поэтому Signal набрал меньше баллов в этой категории.

Информация о найденных недостатках

Мы описали общие результаты исследования, а теперь перейдем к более технической части. Ниже описаны некоторые детали выявленных недостатков мессенджеров.

Напомним, что все выявленные недостатки были обнаружены на устройствах с root-доступом (или к устройству применен jailbreak).

Первый недостаток, характерный для всех трех мессенджеров (для обеих платформ) — это возможность обхода описанной выше биометрической аутентификации. Дальше мы рассмотрим этот недостаток для каждой платформы.

Возможность обхода биометрической аутентификации

Современные смартфоны поддерживают несколько механизмов аутентификации, и один из возможных — это биометрическая аутентификация при помощи Touch ID или Face ID. При включенной функции биометрической аутентификации устройство сканирует отпечаток пальца (или лицо) и сравнивает с эталонным, заранее занесенным в систему.

iOS

У всех приложений, в том числе мессенджеров из нашего списка, для платформы iOS биометрическая аутентификация пользователя осуществляется при помощи Local Authentication Framework с использованием функции evaluatePolicy класса LAContext. Рассмотрим работу биометрической аутентификации немного подробнее.

Как выглядит биометрическая аутентификация для пользователя?

При нажатии на логотип мессенджера отображается диалоговое окно аутентификации, которое запрашивает у пользователя подтверждение действия, например, изменение настроек, покупку и т.д. с помощью биометрической аутентификации (Touch ID/Face ID).

В зависимости от того, как закончился процесс биометрической аутентификации, функция evaluatePolicy возвращает значение («true» или «false»), которое используется далее для управления приложением (например, открывается мессенджер или нет).

В чем заключается недостаток?

У всех исследуемых мессенджеров недостаток реализации биометрической аутентификации состоит в том, что пользователь аутентифицируется лишь на основе результата функции evaluatePolicy («true» или «false») и мессенджер не использует системные механизмы авторизации при доступе к значениям из защищенного хранилища Keychain. Более подробно о локальной аутентификации можно узнать в Mobile Security Testing Guide: здесь и здесь.

Как устранить недостаток?

Один из способов устранить описанный недостаток — создать в защищенном хранилище Keychain запись, которая будет содержать некоторый секрет (например, упомянутый ранее аутентификационный токен). При сохранении записи в Keychain необходимо задать соответствующие атрибуты, например, kSecAccessControlTouchIDAny или kSecAccessControlTouchIDCurrentSet.

Далее, чтобы получить значение этой записи, нужно будет обязательно успешно пройти локальную аутентификацию (в зависимости от заданных настроек доступа в Keychain — с помощью Touch ID/Face ID или ввода парольной фразы). Использование Keychain с необходимыми атрибутами сохраняемых в нем объектов позволит снизить возможность получения доступа к данным мессенджера.

Android

Описанный выше недостаток характерен и для мессенджеров платформы Android, поэтому мы рассмотрим работу биометрической аутентификации немного подробнее.

В приложении для платформы Android биометрическая аутентификация пользователя осуществляется с использованием классов FingerprintManager (не используется с Android 9), BiometricPrompt, BiometricManager.

Процесс биометрической аутентификации для пользователя на платформе Android выглядит абсолютно так же, как и на iOS.

В чем заключается недостаток?

Недостаток реализации биометрической аутентификации исследуемых мессенджеров для платформы Android аналогичен недостатку для iOS — не используются возможности операционной системы и устройства: мессенджеры не запрашивают системную авторизацию пользователя через KeyStore. Таким образом, потенциальный злоумышленник может подменять результат выполнения процедуры аутентификации для ее обхода.

Как устранить недостаток?

Для устранения данного недостатка в приложении рекомендуется использовать симметричные/асимметричные криптографические ключи (класс KeyGenerator), при инициализации которых вызывать функцию setUserAuthenticationRequired (true). Вызов данной функции позволяет получить доступ к значениям соответствующих криптографических ключей только после успешного прохождения процесса локальной аутентификации. Ключи при этом используются для шифрования некоторого секрета, например, аутентификационного токена в приложении.

Хранение чувствительной информации в локальном хранилище

Еще один обнаруженный недостаток — небезопасное хранение чувствительных данных в локальном хранилище — характерен для двух из трех мессенджеров.

Ниже мы привели примеры небезопасного хранения чувствительной информации в локальном хранилище, которые встречаются у некоторых мессенджеров платформы iOS:

• передаваемые файлы, а также кэшированные изображения из чатов в открытом виде;
• ключ шифрования базы данных мессенджера в Keychain. Поскольку не используется локальная аутентификация для доступа к значениям из Keychain (см. «Возможность обхода биометрической аутентификации»), хранение ключа шифрования базы данных мессенджера в Keychain снижает уровень защищенности данных;
• файлы конфигурации мессенджера, в которых присутствуют параметры, использующиеся для шифрования;
• IP-адрес устройства в лог-файлах мессенджера;
• сообщения чатов в открытом виде в базе данных мессенджера.

Если говорить про мессенджеры на Android, небезопасное хранение чувствительных данных тоже встречается, например:

• файлы конфигурации мессенджера, в которых присутствуют параметры, использующиеся для шифрования, а также информация о номере телефона пользователя;
• сообщения пользователя (в том числе черновики) в открытом виде;
• контактная информация пользователей мессенджера, с которыми переписывался владелец устройства.

Как устранить недостаток?

Для устранения данного недостатка рекомендуется пересмотреть архитектуру и способы хранения чувствительных данных мессенджера.

Еще раз напомним, что вышеуказанные чувствительные данные мессенджера недоступны без использования root-доступа (или jailbreak) на устройстве.

Некорректная обработка исключений

Данная уязвимость относится только к платформе Android и мессенджеру Signal.

При исследовании основной функциональности мессенджеров осуществлялась отправка файлов разных форматов. В результате был найден один сценарий, при котором отправка файла вызывала остановку в работе мессенджера со следующей ошибкой: «Signal has stopped».

Исследование лог-файлов мессенджера показало, что у мессенджера есть необрабатываемое исключение. Информация об ошибке на внешние серверы не отправляется.

Как устранить недостаток?

Чтобы избавиться от данного недостатка, нужно реализовать проверку формата файла, который пользователь выбирает для отправки.

Ответы разработчиков

Обо всех описанных выше недостатках наша команда сообщила разработчикам мессенджеров. На момент публикации мы получили ответ от двух из трех мессенджеров (Signal и Telegram), третий на наши вопросы так и не ответил.

Разработчики поблагодарили нашу команду за предоставленную информацию и сообщили, что не считают выявленные недостатки уязвимостью, поскольку исследуемые версии мессенджеров используют для защиты данных мессенджера штатные механизмы защиты информации операционной системы. Используемые механизмы не позволяют эксплуатировать выявленные недостатки, а использование на устройстве root-доступа (или jailbreak) остается на усмотрение пользователя.

Тем не менее, мессенджеры могут реализовать проверку наличия root-прав на устройстве и уведомлять об этом пользователя устройства для снижения риска потенциальной компрометации данных.

Вывод

Мы провели сравнительный анализ защищенности трех мессенджеров, позиционирующих себя как безопасные, и выяснили, что все мессенджеры имеют ряд общих недостатков, а у Signal и Telegram также выявлены недостатки реализации хранения чувствительной информации в локальном хранилище.

Несмотря на то, что эксплуатация вышеуказанных недостатков возможна только при наличии физического доступа к смартфону, по оценке нашей команды, все эти недостатки снижают уровень защищенности данных пользователя.

По итогам всех проверок лидером нашего исследования стал мессенджер Wickr Me, который набрал 304 балла и у которого выявлено меньше всего недостатков.

Вывод прост: абсолютно безопасных мессенджеров нет, но мы надеемся, что благодаря этому исследованию вы сможете сохранить конфиденциальность и повысить безопасность своего общения, зная обо всех подводных камнях выбранного вами сервиса.

10 самых безопасных приложений для личной и деловой совместной работы, обмена сообщениями и общения

Как будто вам, вашему администратору, специалисту по офисным компьютерам и вашей ИТ-команде уже не хватает угроз для обеспечения безопасности связи и защиты личных и деловых данных.

В 2016 и 2017 годах мы испытали больше взломов, атак, утечек данных, эксплойтов и угроз кибербезопасности, чем любой из нас мог бы отслеживать. Один недавний, малоизвестный эксплойт, но тем не менее чрезвычайно опасный и эффективный, заключался в том, что хакеры обнаружили старое отверстие в системе безопасности в стандартных копиях приложений Microsoft Word, которые установлены практически на всех наших личных и рабочих компьютерах.

Если вы еще не слышали об этом эксплойте Microsoft — или, если вы читаете этот пост через несколько месяцев после того, как это произошло — скорее всего, вы даже не помните об этой атаке, потому что с тех пор хакеры уже запустили еще дюжину . Эксплойт или взлом используют старую функцию Microsoft Office, называемую DDE (динамический обмен данными), которая широко использовалась для распространения вредоносных программ среди ничего не подозревающих пользователей.

Согласно новостным сообщениям, для взлома требуется, чтобы ничего не подозревающие получатели вредоносной программы щелкнули фальшивое диалоговое окно или фишинговое письмо, которое затем запускает вредоносный код и потенциально крадет или извлекает данные с машины жертвы.Среди громких жертв — ипотечный гигант Фредди Мак.

Один очевидный урок из этой последней атаки вредоносного ПО — убедиться, что все ваше программное обеспечение безопасности обновлено, а также регулярно проверять, не вышли ли новые обновления. Если вы работаете в офисе, обучение ваших сотрудников тому, как следить за потенциальными взломами и кибер-схемами — как на устройствах, выпущенных вашей компанией, так и на личных устройствах, которые они привносят в вашу сеть, — дорого стоит, но может спасти вашу компанию в долгосрочной перспективе. Еще один важный урок — пересмотреть собственные методы вашей ИТ-команды по обеспечению безопасной связи и безопасного обмена сообщениями на всех устройствах — корпоративных и личных — в вашей организации.

Если вы его пропустили, возможно, вы захотите просмотреть наш недавно опубликованный пост «Лучшие практики для безопасной связи и обмена сообщениями», чтобы помочь вам начать работу. В этом посте мы немного углубимся в изучение 10 безопасных инструментов и приложений для защиты ваших сообщений, выходящих за рамки стандартных продуктов Office, которые мы все знаем, используем и любим.

Мы предложим наш выбор самых безопасных приложений для многих из наиболее распространенных типов обмена сообщениями, совместной работы и общения, которые вы и ваши сотрудники можете использовать дома или в своем стандартном повседневном рабочем процессе.В конце концов, если даже ваш старый добрый пакет MS Office может быть уязвим для хакеров, возможно, пришло время повысить безопасность всех ваших часто используемых приложений, инструментов и бизнес-решений.

Лучшие приложения для защиты ваших сообщений и данных

Прежде чем перейти к нашему списку самых безопасных приложений для обмена сообщениями и коммуникациями, стоит отметить, что большинство из этих приложений в первую очередь предназначены для частных лиц и малого и среднего бизнеса, компаний, у которых нет (и, в большинстве случаев, нет). нет необходимости) в крупномасштабной внутренней инфраструктуре безопасности.Однако некоторые из перечисленных ниже приложений предлагают пакеты корпоративного уровня, включая наши собственные облачные факс-платформы eFax Corporate и Sfax, которые также имеют улучшенные функции безопасности и соответствия нормативным требованиям. Конечно, рекомендуется связаться с разработчиками каждого приложения, чтобы изучить их возможности безопасности и убедиться, что они соответствуют вашим личным или бизнес-потребностям и целям.

ЗАЩИТНЫЕ ТЕКСТОВЫЕ И ГОЛОСОВЫЕ ПРИЛОЖЕНИЯ

Wickr

Защищенный обмен сообщениями Wickr является частью более широкого набора инструментов для совместной работы, который включает в себя чаты для частных команд, а также безопасное онлайн-видео и голосовую связь.Что делает приложение для обмена сообщениями Wickr настолько безопасным, так это то, что оно включает в себя сквозное шифрование, позволяет бизнес-пользователям устанавливать сообщения и другие данные для самоуничтожения по истечении указанного периода времени и даже предлагает возможность удаленного стирания, которая позволяет администраторам компании удаленно стирать корпоративные данные, хранящиеся в приложениях Wickr на мобильных устройствах сотрудников.

Примечание. Wickr предлагает приложения как для малого бизнеса (Wickr Pro), так и даже для корпоративных пользователей (Wickr Enterprise).

Сигнал

Signal — это простое решение для обмена текстовыми сообщениями, и его часто называют самым безопасным приложением в своем роде.

Как и Wickr, приложение для обмена сообщениями Signal использует сквозное шифрование. Но Signal также построен на базе открытого исходного кода, что означает, что его внутренняя работа регулярно проверяется и проверяется кодировщиками, а это означает, что его протоколы безопасности, как правило, актуальны и соответствуют современным требованиям. Однако, как и в случае с другими продуктами с открытым исходным кодом, уязвимости, такие как печально известная ошибка Heartbleed, все еще могут быть непреднамеренно внесены, поэтому обязательно обновляйте приложение при выпуске новой версии, и если вы являетесь активным пользователем, следите за обновлениями в их журналах изменений разработчиков.

БЕЗОПАСНЫЕ ПРИЛОЖЕНИЯ ДЛЯ ЭЛЕКТРОННОЙ ПОЧТЫ

ProtonMail

Несмотря на то, что его пользовательский интерфейс прост, оптимизирован и удобен в использовании прямо из коробки, серверная платформа ProtonMail предлагает сложный и, казалось бы, непонятный ряд мер безопасности.

Поскольку расшифровка сообщений, отправленных и полученных через службу ProtonMail, происходит в браузере, собственные серверы ProtonMail хранят только зашифрованную версию электронных писем своих клиентов — и на серверах нет ключа для декодирования этих сообщений.Также стоит отметить: ProtonMail позволяет клиентам обмениваться защищенными сообщениями электронной почты с любым адресом электронной почты, а не только с другими пользователями ProtonMail.

MailFence

Как и ProtonMail, MailFence шифрует и расшифровывает сообщения электронной почты своих пользователей в браузере. Как поясняется на веб-сайте компании, это означает: «Никто (в том числе и мы) не может прочитать ваши электронные письма вдоль линии».

Такой же безопасный и простой в использовании, как MailFence, однако, у него есть один недостаток: пользователи могут отправлять сообщения только физическим или юридическим лицам, используя стандарт шифрования OpenPGP (на котором построен сам MailFence).Тем не менее, на сегодняшний день это одно из самых безопасных почтовых приложений для бизнеса на рынке.

Gmail

Все мы когда-то рассматривали Gmail как личную веб-почту — по сути, более сложную версию Hotmail, и более интересную, потому что это продукт Google. Но в настоящее время Gmail все чаще используется предприятиями в качестве решения для корпоративной электронной почты. Действительно, хотя многие компании этого не осознают, служба Gmail для бизнеса позволяет компаниям использовать платформу Gmail со своими собственными доменами, позволяя им использовать для своих сотрудников свои корпоративные адреса электронной почты — [защищенные по электронной почте], а не @gmail.com адрес.

И поскольку это продукт Google, вы знаете, что Gmail обладает такими же уровнями повышенной безопасности и повышенной бдительности против кибератак и вредоносных программ, которые служба безопасности Google применяет ко всем своим службам.

Но это не означает, что Gmail полностью лишен уязвимостей. В прошлом хакеры обнаруживали слабые места, а недавние сообщения показали, что сотни тысяч учетных записей Gmail были взломаны и продавались в темной сети.

БЕЗОПАСНЫЕ ВИДЕО-ПРИЛОЖЕНИЯ

WhatsApp

(Ага, это WhatsApp)

Не позволяйте минималистскому интерфейсу и непринужденному стилю WhatsApp обмануть вас: протоколы безопасности компании — это все для бизнеса. А всемирное приложение для обмена мгновенными сообщениями и VoIP теперь также поддерживает видеосвязь.

Разработанный в сотрудничестве с экспертами по протоколам шифрования Open Whisper Systems (чья технология одобрена, если вы можете в это поверить, Эдвардом Сноуденом!), WhatsApp обеспечивает расширенное сквозное шифрование для всех сообщений своих пользователей — от текстов до фото к видеозвонкам.

Фактически, на странице «Безопасность» своего веб-сайта WhatsApp объясняет, что, когда вы общаетесь с кем-либо через его платформу — будь то отправка изображения или ведение видеочата в реальном времени — эти данные защищены блокировкой, которую никакая третья сторона ( даже сам WhatsApp) не может открыться. Действительно, WhatsApp создает уникальный замок и ключ, доступные только вам и вашему получателю, для каждого сообщения, отправляемого через его платформу.

Тем не менее, стоит отметить, что Facebook приобрела WhatsApp несколько лет назад, а в 2016 году WhatsApp объявила, что ослабляет политику конфиденциальности, чтобы позволить своей материнской компании Facebook использовать некоторые из своих пользовательских данных для улучшения таргетинга рекламы и маркетинга.Согласно заявлению о политике конфиденциальности от 2016 года, WhatsApp объяснил, что такой обмен данными поможет Facebook доставлять пользователям более релевантный контент и поможет бороться со спамом. Но учитывая, что WhatsApp приоткрыл дверь к данным — пусть пока только для того, чтобы делиться пользовательскими данными с родительской компанией Facebook — это может означать, что ваши данные WhatsApp не так безопасны, как это было в прошлом. Это то, что нужно учитывать, если безопасность ваших текстовых сообщений важна для вашего личного или делового использования.

SecureVideo

SecureVideo описывает свое приложение как «видеоконференцсвязь, совместимую с HIPAA», и если вы что-то знаете о HIPAA, то вы знаете, что эти правила здравоохранения являются одними из самых строгих правил конфиденциальности данных, регулирующих любую отрасль с точки зрения электронной защиты информации. и они могут привести к большим штрафам для предприятий, которые не соблюдают или нарушают правила.ePHI (медицинская информация, защищенная электронным способом) будет оставаться предметом обсуждения в 2018 году по мере развития технологий и попыток предприятий обеспечить безопасность нашей медицинской информации.

Обзор веб-сайта приложения SecureVideo подтверждает, что компания понимает многие уровни безопасности, необходимые для защиты такой конфиденциальной и регулируемой информации. Платформа использует самые передовые протоколы шифрования, включая 256-битную передачу сигналов с шифрованием AES и медиапоток, для защиты своих видеоконференций.Он предлагает такое же сложное шифрование для функций безопасного чата и обмена файлами в приложении. И компания даже предлагает подписать соглашение о бизнес-партнерстве (BAA) для своих клиентов, подпадающих под действие закона HIPAA, что означает, что они достаточно уверены в безопасности своего приложения и соблюдении нормативных требований, чтобы взять на себя часть юридической ответственности в соответствии с законом HIPAA.

БЕЗОПАСНЫЕ ПРИЛОЖЕНИЯ ДЛЯ ФАКСА

eFax Corporate

В течение двух десятилетий eFax Corporate была пионером в области безопасной онлайн-отправки факсов для бизнеса, помогая компаниям безопасно отправлять и получать факсы по электронной почте, через интуитивно понятный веб-портал, прямо из своих приложений для повышения производительности, таких как SAP и отдел продаж.com, и даже прямо со своих мобильных устройств.

Облачное факсимильное решение, совместимое с HIPAA, приложение для безопасного факса eFax Corporate также помогает предприятиям в других регулируемых отраслях, таких как финансовые услуги, юриспруденция, недвижимость, образование, производство, транспорт и т. Д., Лучше соответствовать требованиям регулирующих органов в отношении безопасности. обмен сообщениями и коммуникация.

eFax Corporate использует только самые современные протоколы шифрования для факсимильных данных при их передаче (Transport Layer Security или TLS 1.2, который является последней опубликованной версией стандарта IETF) и хранится в хранилище (256-битное шифрование AES), а также обеспечивает дополнительную защиту данных своих клиентов в современных центрах обработки данных телекоммуникационного уровня с географическим резервированием. Приложение также обеспечивает контроль доступа и контрольные журналы, которые являются необходимыми компонентами правил HIPAA, и компания подпишет BAA с клиентами для подтверждения этих требований.

Причина, по которой корпоративная электронная почта eFax с факсимильной связью через SMTP является безопасной, в то время как другие — нет, заключается в том, что процесс аутентификации и шифрования строго соблюдается; если другой конец соединения не поддерживает самые надежные наборы шифрования шифрования, требуемые стандартом TLS, соединение не будет установлено и связь прекратится.Непревзойденная безопасность факсимильных данных компании является одной из причин, по которой eFax Corporate является партнером по облачным факсам, которому Fortune 500 больше всего доверяет. eFax Corporate, облачное факсимильное решение, соответствующее требованиям HIPAA, для личного использования или для использования предприятиями любого размера, которые ежегодно проходят тщательную оценку HITRUST.

Также как eFax Corporate, Sfax использует широкий спектр протоколов безопасности, доступа и шифрования данных для защиты факсов своих клиентов с момента начала их передачи через Интернет и до тех пор, пока они остаются в архиве и хранятся. на облачном сервере Sfax в безопасном центре обработки данных телекоммуникационного уровня.Sfax также подпишет BAA для своих клиентов, подпадающих под действие закона HIPAA, что отражает уверенность компании в том, что ее инфраструктура безопасности так же хороша, как и пуленепробиваемая.

ПРИЛОЖЕНИЯ ДЛЯ БЕЗОПАСНОГО ОБМЕНА ФАЙЛАМИ

ShareFile (от Citrix)

Для обмена документами, презентациями, электронными таблицами и другими файлами через Интернет вы не можете получить более безопасный доступ, чем ShareFile.

Как и другие перечисленные здесь приложения, ShareFile защищает файлы как при перемещении по Интернету (с использованием шифрования TLS), так и во время хранения (с использованием 256-битного стандарта AES, самого надежного протокола шифрования).ShareFile также построила физическую инфраструктуру безопасных центров обработки данных телекоммуникационного уровня, которые предлагают собственные дополнительные уровни физической и кибербезопасности для защиты данных клиентов, хранящихся на его облачных серверах. И, наконец, как и некоторые другие партнеры по безопасным приложениям, включенные в этот список, решение ShareFile поможет своим клиентам лучше соблюдать такие правила, как HIPAA, FINRA и CFPB.

Virtru

Хотя технически и не является платформой для обмена файлами, Virtru представляет собой приложение для безопасных данных, которое позволяет пользователям добавлять уровни безопасности к своим существующим приложениям для электронной почты и обмена файлами.В самом деле, Virtru — это приложение для шифрования, которое рекомендует Google, и оно предлагает инструменты для защиты ваших файлов, например, на Google Диске и в других приложениях Google вашей компании.

Если ваша компания разрабатывает файлы и совместно работает над ними с помощью пакета Microsoft Office, а не инструментов Google G Suite, Virtru предлагает аналогичное приложение для защиты данных и для вашей организации, помогающее создавать, совместно использовать и хранить файлы Microsoft (включая ваши Электронная почта Outlook) более безопасно.

Еще одно преимущество Virtru — простота приложения.Как поясняется на сайте, шифрование и защита информации, которой вы делитесь, «так же просто, как использование Gmail». Если вы только начали изучать решения для безопасного обмена файлами для своей компании и хотите, чтобы решение помогло усилить защиту инструментов обмена файлами, которые сейчас используют ваши сотрудники, — возможно, стоит попробовать Virtru.

Краткое изложение нашей публикации в блоге «Безопасные приложения для бизнеса»

Последнее примечание. Многие из упомянутых выше приложений включают многоуровневые протоколы безопасности, включая надежное шифрование данных при передаче и хранении.Но вы не должны предполагать, что эти приложения обязательно соответствуют всем федеральным нормам и, следовательно, могут безопасно передавать личную информацию (PII) или другие конфиденциальные данные в электронном формате.

Это потому, что одного шифрования недостаточно для полной совместимости. Например, правила соответствия HIPAA также требуют безопасного контроля доступа и возможности обеспечить полный сквозной контрольный журнал каждого сообщения, содержащего ePHI.

Это исключило бы WhatsApp и другие для передачи медиальных документов , например, потому что эти инструменты не поддерживают и не предоставляют журналы передачи сообщений.

И последнее слово для мудрых: любой защищенный текст, электронная почта, факс или служба обмена файлами, которая не может и не желает подписывать BAA со своими клиентами, не может использоваться для передачи ePHI, независимо от того, насколько защищенными они себя называют. .

Для компаний, работающих в сфере здравоохранения, использование их таким образом сопряжено с риском серьезных принудительных действий, включая огромные штрафы, за несоблюдение.

Также рекомендуется проконсультироваться с разработчиками приложений и командой безопасности о любых других возможных федеральных правилах, которые вам или вашей компании, возможно, придется придерживаться, включая, например, соответствие PCI-DSS, SOX, GLBA и даже — протоколы безопасности дома.

Лучше перестраховаться, чем сожалеть, и лучше сначала задать вопросы, пока не постучал регулятор.

Безопасная мгновенная связь для предприятий

Киберпреступники знают, что миллиарды людей — и многие прибыльные предприятия — используют мобильные приложения, которые обеспечивают мгновенное общение.Это означает, что целый ряд цифровых рисков угрожает миру мгновенной связи.

Достаточно просто щелкнуть ссылку, чтобы вредоносное ПО или программа-вымогатель нанесли удар. И злоумышленники становятся все более опытными в создании невинно выглядящих URL-адресов, привлекающих людей. Вредоносные программы теперь могут быть умело встроены в безобидные файлы: документы Word, PDF-файлы или любой другой формат.

Часто причиной распространения вредоносных программ или программ-вымогателей является чистая случайность.Сотрудник делится тем, что, по их мнению, является законным сайтом или видео, но невольно делится вектором угрозы для вредоносных программ. Например, они могут поделиться файлом, который, по их мнению, был клиентом, отправил им в Telegram — только для того, чтобы узнать, что этот «клиент» на самом деле был фишером, стремящимся получить доступ к инфраструктуре компании.

Еще хуже то, что большинство средств связи часто сохраняют учетные данные бывших сотрудников, третьих лиц или других групп, у которых могут быть причины попытаться нанести вред предприятию.У большинства компаний нет централизованного способа систематизированного управления доступом к счетам.

Более того, все чаще вымогатели обладают механизмами задержки, которые позволяют им уклоняться от первоначального обнаружения. Даже в том маловероятном случае, когда группа ручной проверки заметит оскорбительный файл или сообщение, они могут не заметить их в первый раз. Предприятия с безопасными средствами связи лучше подготовлены к борьбе с этим цифровым противником и его предотвращению.

Социальная инженерия не бывает случайной.Плохие актеры тщательно отбирают своих жертв, фиксируя цели, которые они считают важными из-за своего звания и организационной роли. А профилирование целей социальной инженерии задействует широкий спектр облачных приложений и сервисов, особенно социальные сети.

Киберпреступники терпеливы и проводят свои исследования. Подобно тому, как компании используют социальные сети для получения ценной информации о своей целевой аудитории, целевые фишеры и злоумышленники используют методы профилирования для создания обширных профилей потенциальных целей.Фактически, киберпреступность все чаще имитирует практику законных организаций по поиску, профилированию и установлению связи с важными целями.

Они регулярно просматривают социальные сети в поисках потенциально потенциальных целей, прежде чем узнать о них больше, просматривая свои общедоступные профили в поисках подробностей об их истории, своей работе, своей деятельности, своих интересах. С этой целью, чем больше люди публикуют о себе в социальных сетях, тем легче они делают дела для преступников.

Внутренние угрозы и потеря данных

Ежегодно нарушаются миллиарды конфиденциальных записей.Почти 90% скомпрометированы через инсайдеров, как злонамеренно, так и непреднамеренно. Большая часть из них просачивается через приложения для мгновенного общения, в основном приложения для обмена сообщениями и платформы для совместной работы.

Подумайте, насколько широко отделы продаж используют приложения для обмена сообщениями, такие как WhatsApp и WeChat, для связи с клиентами и потенциальными клиентами. Множество информации.

Все эти сторонние облачные приложения переполнены конфиденциальными данными и обеспечивают постоянное взаимодействие с более широким цифровым миром.Без видимости и надзора они по своей природе уязвимы для целевых фишинговых атак, полезных нагрузок программ-вымогателей, захвата аккаунтов или просто актов старого доброго неверного суждения.

Согласно недавнему отчету о кибербезопасности, количество внутренних угроз в 2020 году выросло на 47%. Это неудивительно, когда большинству компаний не хватает возможностей для защиты приложений связи, генерирующих тысячи взаимодействий каждый день. К сожалению, об этом знают и компании. Согласно собственному исследованию SafeGuard Cyber, 59% предприятий, ИТ-специалистов и специалистов по безопасности считают потерю данных самой большой проблемой кибербезопасности.

Компаниям в строго регулируемых отраслях — финансах, здравоохранении, правительстве — приходится много работать, чтобы соответствовать требованиям. Эти правила включают жесткий контроль над тем, как предприятия могут общаться с людьми. Например, законы о фармаконадзоре содержат правила, касающиеся обсуждения нежелательных явлений и использования не по назначению. Финансовые правила ограничивают обсуждение определенных финансовых продуктов. Чтобы соответствовать требованиям, компании должны иметь возможность отслеживать все такие обсуждения и при необходимости принимать быстрые меры в режиме реального времени.

Компаниям очень сложно добиться такого мониторинга и прозрачности, когда сотрудники все чаще используют современные приложения для мгновенного общения, такие как WhatsApp, WeChat и т. Д. Эти приложения — черные ящики для групп риска. А в большом и постоянном потоке сообщений проблема может возникнуть только из-за нескольких сообщений от одного мошеннического агента по продажам. Даже внутренние коммуникации могут вызвать проблемы с соблюдением требований; настоящая проблема, когда более 90% сотрудников общаются со своими коллегами с помощью приложений для обмена мгновенными сообщениями.

Все больше и больше компаний в сфере здравоохранения, финансов и других регулируемых отраслях для ведения бизнеса должны использовать сторонние облачные приложения, которые обеспечивают мгновенную связь. Но в настоящее время многие компании не обладают достаточной видимостью и контролем, которые им необходимы, чтобы гарантировать соблюдение требований.

Промышленный шпионаж и атаки, спонсируемые государством

Названный Gartner одним из главных рисков мгновенного обмена данными, 20% корпоративных организаций мира считают промышленный шпионаж и спонсируемые государством атаки своей самой большой угрозой.То, что The Economist называет «наступательной киберсилой — способностью причинять вред в компьютерных сетях или через них», в ближайшие годы будет становиться все больше и больше. Атаки промышленного шпионажа часто нацелены на приложения для мгновенной связи, которые руководители государственного и частного секторов используют ежедневно. Однако большинству предприятий не хватает прозрачности, чтобы заглянуть в эти приложения и определить, когда их сотрудники взаимодействуют с учетными записями или контентом, который может нанести вред.

Один отрезвляющий пример — шпионское ПО Pegasus.Изданный израильской NSO Group, Pegasus поразил примерно 1400 пользователей WhatsApp, многие из которых были правозащитниками, юристами, диссидентами и журналистами. Шпионское ПО содержало вредоносный код, который заставлял зараженное мобильное устройство подключаться к удаленному серверу. Без возможности обнаруживать угрозы, возникающие в WhatsApp, всем этим жертвам не хватало необходимого уровня защиты.

Точно так же северокорейский злоумышленник Labyrinth Chollima использовал WhatsApp для доставки вредоносных данных.В результате последней обнаруженной атаки в июне 2020 года Labyrinth Chollima связывается с корпоративными сотрудниками в LinkedIn и заманивает их в WhatsApp, где жертвы получают сообщения и контент, содержащие вредоносное ПО.

Безопасность сетей и коммуникаций | Coursera

Темы модуля: модели OSI и TCP / IP, Интернет-протокол (IP), сетевые топографии и взаимосвязи, часто используемые порты и протоколы, а также HTTP-прокси. Модели OSI и TCP / IP включают модель OSI, уровень 1: физический уровень, уровень 2: уровень канала передачи данных, уровень 3: сетевой уровень, протоколы уровня 3, уровень 4: транспортный уровень, протоколы уровня 4, уровень 5: уровень сеанса, Уровень 6: уровень представления, подуровни уровня 6, протоколы уровня 6, уровень 7: уровень приложений, протоколы уровня 7 и эталонная модель TCP / IP.В сети Интернет-протокол (IP) вы узнаете о сетевых классах, IPv6, протоколе управления передачей (TCP), протоколе дейтаграмм пользователя (UDP), Интернет-интрасети, экстрасети, протоколе динамической конфигурации хоста (DHCP), протоколе управляющих сообщений Интернета (ICMP). ), Ping of Death, ICMP Redirect Attack, Ping Scanning, Traceroute Exploitation и удаленные вызовы процедур (RPC). В разделе «Топографии сети и взаимосвязь» вы узнаете о шине, дереве, кольце, сетке, звезде, одноадресной, многоадресной и широковещательной передаче, сетях с коммутацией каналов, сетях с коммутацией пакетов, коммутируемых виртуальных цепях (SVC) и постоянных виртуальных цепях (PVC). , Множественный доступ с контролем несущей (CSMA), опрос, передача токенов, Eethernet (IEEE 802.3), Token Ring (IEEE 802.5), волоконно-распределенный интерфейс данных (FDDI), многопротокольная коммутация по меткам (MPLS) и локальная сеть (LAN). В разделе «Часто используемые порты и протоколы» вы узнаете о службе доменных имен (DNS), кратком справочнике по DNS, облегченном протоколе доступа к каталогам (LDAP), кратком справочнике LDAP, сетевой базовой системе ввода-вывода (NetBIOS), кратком справочнике по NetBIOS, сетевой информационной службе ( NIS), NIS +, Common Internet File System (CIFS) / Server Message Block (SMB), CIFS / SMB Quick Reference, Network File System (NFS), NFS Quick Reference, Simple Mail Transfer Protocol (SMTP) и Enhanced Simple Mail Transfer Protocol (Расширенный простой протокол передачи почты) (ESMTP), сравнение SMTP и ESMTP, протокол передачи файлов (FTP), краткий справочник по FTP, режимы передачи, анонимный FTP, краткий справочник по TFTP, протокол передачи гипертекста (HTTP) и краткий справочник по HTTP.В HTTP Proxying вы узнаете об анонимизации прокси, открытых прокси-серверах, фильтрации содержимого, HTTP-туннелировании, применении многоуровневых протоколов, диспетчерском управлении и сборе данных (SCADA), компонентах системы SCADA, атаках SCADA, защитных действиях и Modbus.

Часть I | Университет Quinnipiac Online

Фредерик Шолль, доктор философии, директор программы кибербезопасности, Quinnipiac University

Кибербезопасность, в конце концов, действительно касается людей.Научить их понимать, что делать, побудить их сделать это и следить за тем, чтобы это было сделано. Таким образом, общение играет чрезвычайно важную роль в успехе специалиста по безопасности. Директор по информационной безопасности должен поддерживать связь со всей корпорацией. Только у генерального директора есть более серьезные проблемы с общением. Эти испытания также являются одной из забавных частей работы.

Если вы не верите в критический характер коммуникаций для обеспечения информационной безопасности, прочтите книгу Грэма Пейна ¹ о взломе Equifax.В этой книге Пейн документирует, как одно пропущенное ему электронное письмо от службы безопасности привело к нарушению 146 миллионов записей клиентов. Безопасность по своей сути является разрозненной. Любая действующая программа управления рисками будет построена на эффективных коммуникациях, как вертикальных, так и горизонтальных. Как для сбора информации о рисках от организации, так и для представления планов по снижению рисков руководству организации.

Большинство специалистов по безопасности не являются прирожденными рассказчиками и коммуникаторами.Я встречал несколько одаренных исключений. Если вы похожи на меня, вам нужен набор методов коммуникации и регулярные напоминания о том, как использовать эти инструменты. Еще вам понадобится осознанная практика.

Тем не менее, большинство академических программ и сертификатов по кибербезопасности не содержат инструкций по общению. Цель этой серии блогов — познакомить вас с концепциями и инструментами, которые я считаю ценными и которые, я думаю, вы сможете использовать. Не существует одной волшебной формулы успешного общения.Вот почему я создал серию по этой теме; это часть первая.

Я начинаю с уже использованной книги под названием Say It So They Listen , Schatzie Brunner ² . Я познакомился с творчеством Шаци, когда жил в Нэшвилле. Она была бывшей ведущей CNN, когда Тед Тернер руководил компанией. Что бы вы ни говорили о телеведущих, они действительно заставляют нас слушать миллионы. Она описала свои коммуникативные техники в своей книге, и я кратко изложу их здесь.Освоив их, вы повысите свою эффективность в качестве менеджера по безопасности.

Давайте посмотрим на три основные части системы Шатци.

1. Изучите свою аудиторию
2. Четко обозначьте цели и преимущества для этой аудитории
3. Доказательство №2 с тремя точками

Как правило, ораторы или писатели уже рассматривают возможность «исследования своей аудитории». Но это должно выходить за рамки простого знания, кто они.Вы должны подробно понимать их потребности и то, как ваше сообщение отвечает этим потребностям. Помните, все настроены на WII-FM: что мне от этого?

Пример: вам нужна поддержка вашей группы разработчиков для внедрения нового программного обеспечения для тестирования безопасности. Неправильный подход: «Это программное обеспечение поможет обеспечить безопасность нашего кода». Лучший подход: «Это программное обеспечение сократит количество доработок, связанных с исправлением ошибок, и упростит достижение производственных целей».

Цели и преимущества для «слушателя» легко забыть.Если вы забыли, вы можете использовать формальное «целевое заявление» типа: «По (вашей цели) вы получите (их выгоду)». Я использовал это выше; Моя цель — научить студентов навыкам общения, чтобы более эффективно использовать материалы нашей программы MS Cybersecurity. Вам не обязательно использовать эту шаблонную структуру в своих сообщениях, но это хорошая отправная точка. «Заявление о цели» — это введение в остальную часть вашего общения, в котором вы должны доказать свою правоту.

Пример: общение с генеральным директором.«Осуществляя сильную информационную кампанию по обучению, Acme сократит время и деньги, потраченные на устранение нарушений».

Доказательство должно быть ограничено тремя точками. Это «правило трех». С двумя ваша аудитория будет думать, что чего-то не хватает; с четырьмя или более они начинают подавляться. Если у вас действительно больше трех точек, вы можете приложить их в приложении. Я использовал это выше, описывая три основных пункта Say It So They Listen . В книге есть еще пункты.Вы увязли в деталях; или, наоборот, забыли включить достаточно вспомогательной информации, чтобы подтвердить свой вопрос? Пора сосредоточиться на «правиле трех».

Пример: реализуя двухфакторную аутентификацию, мы можем снизить риск нарушения безопасности.

1. Большинство нарушений происходит из-за захвата учетной записи или кражи учетных данных
2. Исследования показывают, что пользователи по-прежнему полагаются на слабые пароли
3. Органы по стандартам безопасности повсеместно рекомендуют MFA

В наборе инструментов для коммуникации есть еще много инструментов.Например, рассказывание историй, использование визуальных элементов, подготовка, язык тела и так далее. Я обращусь к этим и другим темам в следующих статьях.

Онлайн-программа MS по кибербезопасности

Quinnipiac University проводится под руководством опытных преподавателей, специализирующихся на обучении новых лидеров в области безопасности. Узнайте больше о том, как степень магистра в области кибербезопасности может дать вам необходимые навыки для продолжения карьеры опытного специалиста по кибербезопасности.

¹ Грэм Пейн, Новая эра нарушений кибербезопасности: тематическое исследование и извлеченные уроки , 2019.

² Schatzie Brunner, Say It So They Listen , 2015.

Статьи по теме

Управляйте приложениями связи сторонних производителей для защиты рабочих процессов сторонних производителей

Клифф Уайт
Риск третьей стороны

Время чтения: 3 минуты

Подобно загруженному офисному зданию, в которое приходят и уходят сотрудники и гости, невозможно отслеживать всю информацию, поступающую и поступающую в вашу организацию.Обычные сторонние приложения для общения, такие как электронная почта, общие папки или хранилище файлов, являются дверными проемами, ведущими злоумышленников прямо к PII, PHI и IP вашей компании. Чтобы защитить эти жемчужины короны, вы должны ограничить количество входов в ваш контент, чтобы уменьшить поверхность угрозы, виртуальное пространство, в котором ваша организация подвергается атакам, нацеленным на сторонние рабочие процессы.

Сторонние угрозы рабочего процесса имеют общую тему: пользователь — это субъект, а файл — это агент. Полная защита требует защиты, охватывающей всю поверхность связанной с угрозой: коллективные пути всех файлов, входящих и исходящих из вашей организации.Комплексная защита включает в себя защиту, мониторинг и управление всеми сторонними рабочими процессами, включая, среди прочего, безопасную электронную почту, SFTP и безопасный обмен файлами.

В моем последнем сообщении в блоге я обсуждал важность наблюдения за тем, кто в вашей организации что и кому отправляет, создав информационную панель CISO. В этом посте я расскажу о другой стратегии защиты вашей организации от сторонних угроз рабочего процесса: контролируйте и защищайте сторонние коммуникационные приложения.

Ограничьте и обеспечьте соблюдение количества коммуникационных приложений, используемых в ваших сторонних рабочих процессах

Пользователи обмениваются файлами с нескольких конечных точек: электронной почты, веб-браузеров, мобильных приложений и корпоративных приложений, таких как Oracle и Salesforce.Чем меньше сторонних коммуникационных приложений вам придется отслеживать, управлять и защищать, тем лучше. Ограничьте количество приложений, поступающих в вашу сеть, запретив неавторизованную установку программного обеспечения и развернув брокера безопасности облачного доступа (CASB) для блокировки неавторизованных облачных сервисов.

Уменьшение количества дверей, проверенных приложений в вашей организации, может помочь в случае взлома подрядчика, бухгалтера или другого поставщика цифровой цепочки поставок. Хакеры будут пытаться получить доступ к вашей сети через ваших менее защищенных партнеров, и один из самых больших шлюзов в организацию — через внешние приложения.Например, приложения для финансового отслеживания или коммуникационные приложения — это уязвимые системы, которые злоумышленники могут взломать, направляя их прямо к сердцу вашей организации и к вашим наиболее конфиденциальным данным. Ограничивая количество шлюзов для вашей организации, вы уменьшаете количество точек входа, которые злоумышленники имеют на вашем предприятии.

Подтвердить соблюдение правил конфиденциальности данных

Контроль того, какие приложения используют сотрудники для обмена конфиденциальным контентом, важен не только для защиты PII, PHI и IP от компрометации, но также необходим для демонстрации нормативного соответствия отраслевым нормам, таким как HIPAA, GDPR, GLBA, NIST 800-171 и др. .Эти правила содержат строгие требования к обработке, хранению и обмену данными клиентов, чтобы обеспечить конфиденциальность данных на каждом этапе. Несоблюдение этого требования может привести к крупным штрафам, позору общественности, потере доходов, коллективным искам и многому другому.

Когда вы ограничиваете количество входов в ваш контент, вы лучше понимаете, какая конфиденциальная информация поступает в организацию или покидает ее, и вы можете защитить ее от начала до конца. [источник: платформа безопасного обмена контентом Accellion]

Защита сторонних приложений для связи — важная стратегия защиты конфиденциального контента, но не единственная.В своем следующем сообщении в блоге я расскажу, как упростить авторизованный обмен файлами сторонними организациями для сотрудников, чтобы они не искали альтернативы теневым ИТ.

Не хотите ждать? Загрузите электронную книгу прямо сейчас!
Десять передовых методов защиты конфиденциального содержимого

Ознакомьтесь с десятью передовыми практиками, которые обеспечивают действенные шаги, которые вы можете предпринять для создания целостной защиты от сторонних угроз рабочего процесса.

Программа технической помощи в области интероперабельной связи

Программа технической помощи в области интероперабельной связи (ICTAP) обслуживает все 56 штатов и территорий и обеспечивает прямую поддержку аварийно-спасательным службам штатов, местных и племен, а также правительственным чиновникам посредством разработки и предоставления обучения, инструментов и помощь на месте для расширения возможностей взаимодействия в сфере общественной безопасности.

Предложения услуг технической поддержки

Техническая поддержка

распространяется на все пять направлений SAFECOM Interoperability Continuum, инструмента, разработанного заинтересованными сторонами и одобренного DHS. Эти услуги, которые предоставляются бесплатно, включают обучение и помощь в планировании, управлении, эксплуатационных и технических аспектах разработки и реализации инициатив по обеспечению взаимодействия. Предлагаемые услуги технической поддержки призваны помочь аварийно-спасательным службам продолжать общаться во время стихийных бедствий или крупномасштабных запланированных событий.Эти предложения поддерживают общегосударственные планы взаимодействия в области связи (SCIP) и Национальный план связи в чрезвычайных ситуациях (NECP), первый стратегический план, разработанный для повышения функциональной совместимости по всей стране. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выполнило более 1000 мероприятий по оказанию технической помощи во всех 56 штатах и ​​территориях, начиная от обучения руководителей коммуникаций (COML) и заканчивая инженерными исследованиями транзитных сетей с использованием микроволновой связи.

Услуги технической поддержки CISA делятся на следующие общие категории:

• Скоординированное управление на уровне штата (e.грамм. State Mapping Tool, справочные руководства по взаимодействующим коммуникациям и т. Д.)
• Комплексное планирование связи в чрезвычайных ситуациях (например, SCIP, план тактической интероперабельной связи [TICP] и руководства по полевым операциям [FOGs])
• Планирование и внедрение нового поколения 9-1-1 (NG9-1-1)
• Оперативность данных и совместимость
• Оповещения и предупреждения
• Развертывание широкополосного доступа
• Образование и осведомленность в области кибербезопасности
• Планирование и процедуры подразделения связи

CISA предоставляет каталог услуг технической поддержки и расширил его в результате обратной связи с заинтересованными сторонами.В каталоге представлены новые и обновленные предложения для поддержки планирования широкополосного доступа, перепрограммирования радио для узкополосного доступа, а также мастерских для диспетчерских служб и транспортных средств мобильной связи. Чтобы просмотреть каталог, посетите www.cisa.gov/safecom/ictapscip-resouces.

Обследование и картографирование средств связи

CISA разработала несколько автоматизированных инструментов и средств обучения для связи в чрезвычайных ситуациях. Инструмент для исследования и составления карты коммуникационных активов (CASM) помогает юрисдикциям составлять перечень своих коммуникационных возможностей и активов для общественной безопасности и позволяет организациям общественной безопасности обмениваться информацией о коммуникационном оборудовании.

Как запросить предложения технической помощи / предложения SCIP

CISA предоставляет портфель бесплатных услуг технической помощи и будет уделять приоритетное внимание поддержке стратегических инициатив посредством таких усилий, как цели семинара Национальной ассоциации губернаторов (NGA) и маркеры взаимодействия на уровне штата. В 2018 году CISA и NGA объединились для проведения семинаров по управлению по всей стране, которые поддержали каждый штат / территорию в сотрудничестве для определения целей для решения проблем, связанных с управлением.Кроме того, в 2019 году CISA оказала поддержку штатам и территориям в установлении базовой оценки функциональной совместимости путем измерения прогресса по 25 показателям. Эти маркеры описывают «состояние здоровья» штата или территории.

Новый подход к ТП: Запросы о помощи координируются через SWIC от каждого штата и территории. В этом году есть три разные категории ТА:

• Стратегический: Поддержка, которую можно использовать для непосредственной поддержки реализации NECP 2019, самых последних SCIP, целей семинара NGA и / или маркеров взаимодействия состояний
• Запрошено государством: Поддержка обычных повседневных операций штата или территории и деятельности, связанной с экстренной связью
• Поддержка крупных событий: Поддержка запланированных и незапланированных событий, которые обозначены как Национальное специальное событие безопасности (NSSE) / Рейтинг оценки особых событий (SEAR) или являются результатом стихийных бедствий или техногенных катастроф

Безопасная коммуникационная сеть для распределенных энергоресурсов

Предназначен для нынешних и будущих инженеров

работает в сфере распределенной энергетики и обладает навыками, необходимыми для разработки продуктов, включающих защищенные коммуникационные сети, и развертывания сетей, включающих эти продукты.В курсе также будут рассмотрены вопросы, связанные с интеграцией операций коммунальных предприятий и сетевых агрегатов.

Люди с разным опытом получают разные результаты обучения. Для инженеров-электриков, специализирующихся на вычислениях и передаче данных, в рамках курса будут представлены знания, относящиеся к физическим функциям распределенных энергетических ресурсов (DER) и их взаимосвязи с протоколами связи. Инженеры-электрики, специализирующиеся в области энергетики, поделятся знаниями, касающимися информационных протоколов и того, как они соотносятся с физическими функциями.Для других курс предоставит базовое понимание энергетики и передачи данных в области DER.

Основные моменты курса:

• Обзор распределенных энергетических ресурсов (DER)
• Стандарты распределительной сети США
• Распределенные энергетические ресурсы в Калифорнии
• Протоколы связи для DER
• IEEE 2030.5 — I и II
• Общий профиль интеллектуального инвертора (CSIP)
• Кибербезопасность для Калифорнии, Правило 21
• Тестирование и сертификация продукции

Результаты обучения по курсу:
По окончании курса студенты поймут и определят:

• Структура рыночных возможностей распределенных энергетических ресурсов (DER).
• Сетевые стандарты и функции DER, относящиеся к рынкам США и за пределами США.
• DER имеет отношение к рынкам Калифорнии и других стран США.
• Популярные протоколы связи для DER в США
• Требования к коммуникации и кибербезопасности согласно Правилу 21 штата Калифорния.
• Требования к тестированию и сертификации продукции на соответствие требованиям правила 21 штата Калифорния.
• Соображения по развертыванию безопасных сетей, совместимых с DER, в соответствии с требованиями правила 21 Калифорнии.

Необходимые учебники:

• Общий профиль интеллектуального инвертора (CSIP) — доступен от SunSpec Alliance.
• Общие процедуры тестирования профиля интеллектуального инвертора SunSpec — доступны от SunSpec Alliance.
• Информационная модель SunSpec DER и отчет о совместимости UL1741 Supplement SA — доступны в SunSpec Alliance.

Этот курс одобрен для NABCEP Credentials.
Вы можете получить дополнительную информацию на странице курса
NABCEP для этого курса.

Обычно предлагается курс: Онлайн каждый квартал.

Предварительные требования: Н / Д

Следующий шаг: После завершения этого курса рассмотрите возможность прохождения других курсов в программе сертификации Power Systems Engineering.

Контактное лицо: Для получения дополнительной информации об этом курсе, пожалуйста, отправьте электронное письмо по адресу [email protected].

Номер курса: EE-40179
Кредиты: 3.00 единиц
Соответствующие программы сертификации: Power Systems Engineering

В данный момент нет запланированных разделов этого курса.Пожалуйста, свяжитесь с отделом науки и технологий по телефону 858-534-3229 или по адресу [email protected] для получения информации о том, когда этот курс будет снова предложен.