Интернет-мессенджеров сейчас развелось немерено. Поляна богатая, но очень уж конкурентная. Один из трендов – внимание к безопасности. Да, говорить о необходимости шифровать сообщения при передаче уже даже как-то неудобно, все крупные игроки уверяют, что у них все в порядке. В то же время главными целями разработчиков массовых мессенджеров являются развитие базы и монетизация проекта, а не построение криптографической крепости. Претендующее на большую аудиторию приложение должно быть простым в использовании, не требовать настройки и не вызывать у потенциального пользователя даже тени негативных эмоций. Такая ситуация дает шанс разработчикам помельче. Они активно акцентируют при продвижении своих продуктов идеи повышенной приватности. Конечно, хватает примеров, где эта работа сделана для галочки и соответствующие заявления повторяются вроде мантры. Существует множество программ-плацебо, скорее успокаивающих нервишки пользователя, чем что-то защищающих. Однако есть и достаточно солидные изделия, сделанные неслучайными в сфере безопасности людьми.
Пара слов о возможных угрозах – они разные. Во-первых, это неприятности, которые могут приключиться в процессе передачи сообщения. Бестиарий здесь известен: коварные хакеры, перехватившие трафик, нанявшие их злобные конкуренты, недобросовестные провайдеры и другие посредники, бесконтрольные спецслужбы всего мира – страшилок хватает. Как тут не вспомнить о том, как во время одного из обострений на Ближнем Востоке в арабских странах возникали опасения, что белорусско-израильский Viber может шпионить в пользу Израиля. Правда, подтверждений толком не нашли, и программа практически не потеряла популярности. Microsoft доводилось официально оправдываться по поводу подозрений в связях с американскими спецконторами – получалось весьма обтекаемо. Да и про возможности перехвата трафика Skype в интересах российской СОРМ можно почитать в открытой печати. Но вот честно скажу: если учесть объем вложений даже не столько в системы перехвата данных, сколько в их последующую расшифровку и обработку, в повседневности эти истории можно пустить по разряду городских легенд. В принадлежащих частникам соцсетях, например, мы радостно оставляем куда больше приватной информации, причем абсолютно добровольно. Даже если такое сотрудничество и существует, оно, скорее всего, возможно только в стране, где базируется разработчик сервиса. Если вы не прячетесь от американского ФБР, вряд ли стоит опасаться «американца» Skype. Надо сказать, что все крупные участники рынка мессенджеров тем или иным способом защищают передаваемые данные. Правда, конкретные технологии шифрования и детали их использования называть не торопятся. Да и проколы случаются.
Вторая группа опасностей связана с возможностью утечки данных в ситуациях, когда гаджет физически попал в руки злоумышленника или просто слишком любопытного приятеля. В конце концов, мобилку можно просто потерять или ее могут уворовать. В этом случае рецептов не так уж много, они известны. Тотальное шифрование чувствительных данных, хранение их в облаке. Или вообще отказ от сохранения сообщений – привет Snapchat и последователям.
Существует группа разработчиков, объединившихся под вывеской некоммерческой организации Open WhisperSystems (whispersystems.org). Люди там собрались интересные: есть специалисты по безопасности и криптографии, народ из Electronic Frontier Foundation – короче говоря, команда примечательная. Целью заявлено обеспечение безопасности общения во имя всеобщего блага. Действует этот проект уже несколько лет, живет подаянием (зачеркнуто) грантами и пожертвованиями. Впрочем, среди жертвователей с чеком на четыреста с лишком тысяч долларов числится Open Technology Fund, получающий деньги от правительства США на развитие свободы слова в Азии. Считать ли Open WhisperSystems командой бессребреников, хитроумной ловушкой для конспирологов или просто типичным общественным проектом со смешанным финансированием, каждый решает сам. Главное, что команда, похоже, действительно увлеченная и результат дает вполне ощутимый. Разработано несколько достойных приложений, предназначенных для защищенных приватных переговоров. Все программы распространяются бесплатно и соответствуют принципам Open Source. Припасть к первоисточникам и спокойно изучить код приложений можно на GitHub. Такая открытость вообще своеобразное правило хорошего тона на современном рынке софта для защищенных переговоров. Это, кстати, делают и серьезные коммерческие разработчики аналогичных сервисов. Подобная прозрачность в определенной степени гарантирует действительную безопасность.
Первая программа от Open WhisperSystems – бесплатный мессенджер TextSecure Private Messenger. Он доступен для платформы Android. Аккаунтов как таковых нет. Как и многие современные мессенджеры, TextSecure привязывается к телефонному номеру. Программа может полностью заменить системное приложение для работы с SMS и MMS. В ходе установки предлагается импортировать сохраненные на смартфоне эсэмэски в зашифрованную базу приложения. Впоследствии из TextSecure можно отправлять обычные сообщения. Если же у вашего адресата также установлен данный мессенджер, программа предлагает воспользоваться зашифрованным вариантом и передать сообщение по собственному каналу. Такая простая интеграция с адресной книгой весьма удобна. Контакты можно объединять в группы.
Текстовая часть сделана просто и незамысловато, от обычного мессенджера отличается разве что значком замочка рядом с зашифрованными сообщениями. Однако есть и нюансы. Например, при настройках по умолчанию TextSecure блокирует попытки изготовления скриншотов как самой ленты диалога, так и приложения в целом. База сообщений, как уже упоминалось, хранится в зашифрованном виде, а для защиты доступа к ней предлагается использовать фразу-пароль. Чтобы не вводить ее каждый раз, предусмотрена настройка времени ее хранения, другими словами, продолжительность одной сессии работы с приложением, во время которой действует пароль. Установили ее, допустим, на полчаса, ввели пароль. В следующий раз программа вспомнит о нем, только если вы не будете пользоваться TextSecure больше, чем эти полчаса. Получается хороший баланс между защитой и удобством. Не секрет же, что часто люди не любят ставить пароли на доступ, особенно стойкие, именно из-за того, что их потом приходится постоянно повторять при каждом взгляде и вздохе.
Кроме строгого текста и вложений в мессенджере ничего нет. В том числе и столь любимых многими стикеров и прочих клипартов. В свое время, кстати, я был просто поражен тем, что японцы, например, могут вести переписку, вообще состоящую из одних стикеров.
Есть у WhisperSystems отдельное решение и для интернет-телефонии под наименованием RedPhone Private Calls. Принцип работы у него такой же. Программа анализирует список контактов. При вызове абонентов, у которых также стоит RedPhone, предлагает установить защищенное соединение и поговорить по собственному каналу. В принципе работает. Не знаю, как там с масштабируемостью серверной части, сможет ли Open WhisperSystems держать многомиллионный онлайн, однако пока все работоспособно. Не скажу, что лучшее по качеству голосовой связи решение, но пользоваться можно.
Для яблочников Open WhisperSystems предлагает аналогичное решение под названием Signal, в которое интегрирована поддержка голосовых вызовов. Обеспечена совместимость приложений для разных платформ. Можно обмениваться текстовыми посланиями, снимками и видеофайлами, делать звонки.
Немного понижу градус требований. Определенным недостатком этих решений является привязка только к мобильной платформе. Справедливости ради скажу, что такой акцент понятен и оправдан. Если же захочется поиграть в шпионов бесплатно, без усилий как на мобилке, так и на персоналке, можно попробовать поработать с сервисом Cryptocat (crypto.cat). У него есть собственные дополнения для браузеров Firefox, Chrome, Safari и Opera, предназначенные для быстрого доступа к чату. Чат предлагается групповой, причем можно устроить переписку с помощью сервера Cryptocat или же переместиться на другой сервер. Программа умеет находить в адресной книге мессенджера Facebook-контакты, которые также используют Cryptocat. С ними можно пообщаться в обход сервисов Facebook. Сам чат очень прост: приглашаем участников, отправляя им ссылки, и общаемся. Доступны текстовые сообщения и картинки-вложения. За мобильную часть отвечает бесплатное приложение-клиент для iOS. Растекаться описаниями здесь не о чем – простой мессенджер, все нестандартное работает в фоне, независимо от пользователя.
Что касается достигаемого уровня безопасности, то я бы не переоценивал его. Да, действительно, переписка шифруется, что делает ее практически недосягаемой для средней руки злоумышленников, перехвативших ваш трафик. В то же время от кейлоггеров, записывающих нажатия клавиш на клавиатуре, сервис вообще никак не защищен. Да и участники переписки способны слить полученные и расшифрованные сообщения налево без особых проблем, но это уже вопрос доверия, а не техники.
Подведу итоги. Панацеи не получится. Если вы скрываетесь одновременно от ФСБ, ФБР, разумных розовых лучей и Ока Саурона, вышеупомянутые приложения вряд ли вам помогут. А вот в более приземленных ситуациях благодаря им вполне можно достичь более высокого уровня конфиденциальности. Основная проблема связана с тем, что для безопасной коммуникации необходимо наличие одинаковых мессенджеров у всех участников общения.
Отдельная ниша – платные приложения, специально разработанные для максимально защищенной связи. Но если большинство массовых мессенджеров бесплатны и монетизируются за счет продажи дополнительных услуг, то такие программы стоят ощутимых для своего сегмента денег и, как правило, пренебрегают дополнительными источниками дохода, сосредотачиваясь только на обмене сообщениями. Это отдельная тема.
В любом случае подобные защищенные мессенджеры, скорее всего, будут у вас вторым-третьим инструментом связи – полностью мейнстримовые программы они вам заменить не смогут. Дело в том, что сверхпопулярными эти приложения назвать трудно – сеть контактов придется строить от нуля.
