- Категория:
- Опубликовано:2016-10-23
- Автор:
- Рейтинг:0.0/0
Критический взгляд на исследование Amnesty International
Как мы недавно вам сообщали, Amnesty International назвали самые безопасные мессенджеры. Мы, любопытства ради, решили проанализировать данные и добавить немного конструктивной критики. В 2016 году произошло некое помешательство на безопасности и приватности. Если раньше компании концентрировались на улучшении функционала, инновациях и т.п., то сейчас создается впечатление, что защищенность стала центральным вопросом, вокруг которой уже не первый месяц ведутся дебаты и соревнования. И это по-своему хорошо, но давайте посмотрим на вопрос не с позиции всеобщей истерики, а все же более здраво.
Исследование Amnesty International
Ознакомиться с данными и результатами исследования можно в этой статье.
Исследование действительно отображает, более или менее, реальное положение вещей. Однако не стоит полагаться на его результаты слепо и давайте немного детальнее рассмотрим, какой практический вес оно имеет.
Для удобства мы повторно приведем таблицу результатов, а также критериев, откуда эти результаты получены.
Результаты исследования безопасности мессенджеров Amnesty International
| Компания владелец | Мессенджер | Количество пользователей | Уровень безопасности, x/100 |
|---|---|---|---|
| Facebook Messenger, WhatsApp | 1 миллиард + 1 миллиард | 73 | |
| Apple | Messages, FaceTime | 1 миллиард + | 67 |
| Telegram | Telegram | около 100 млн | 67 |
| Allo, Duo, Hangouts | 2 миллиарда + | 53 | |
| Line | Line | около 220 млн | 47 |
| Viber Media | Viber | около 250 млн | 47 |
| Kakao Inc | KakaoTalk | около 50 млн | 40 |
| Microsoft | Skype | около 300 млн | 40 |
| Snapchat | Snapchat | около 200 млн | 26 |
| Blackberry | Blackberry Messenger | около 100 млн | 20 |
| Tencent | QQ, WeChat | 850 млн + 700 млн | 0 |
Критерии безопасности мессенджеров по Amnesty International
- Является ли компания честной в отношении своей собственной политики перед пользователям и признает ли наличие в своих продуктах угрозы для свободы выражения, конфиденциальности частной жизни пользователей.
- Применяет ли компания по-умолчанию E2EE (сквозное шифрование).
- Информирует ли компания своих пользователей об угрозах их частной жизни и свободе, каким образом, а также реагирует ли на эти угрозы внедрение шифрования.
- Факты раскрытия информации об ордерах и запросах от правительственных правоохранительных учреждений, а также результаты этих запросов.
- Наличие опубликованных данных о протоколах шифрования сообщений и звонков.
Критический взгляд allmess@angers
Система оценивания Amnesty International
Начнем с самих результатов, а точнее системы оценивания. То, в какой форме опубликованы результаты, может ввести в заблуждение о том, как эти результаты получили. Дело в том, что в 100-бальную систему результаты были интерпретированы. То есть, на самом деле, максимальное количество баллов по какому-либо критерию было 3, а всего баллов было 15. И вот тут важно понимать, что точность оценивания в таком случае страдает. Всего 3 балла. То есть, 0, 1, 2, 3 - возможные оценки. При этом ни один мессенджер не набрал 15 баллов (100). Но есть мессенджеры, которые набрали 0. То есть абсолютной (или максимальной) безопасности не существует, но существует абсолютная небезопасность. Как такое может быть? И мы плавно переходим к китайским мессенджерам.
Аутсайдерство китайских мессенджеров
Мессенджеры QQ и WeChat набрали 0 баллов по безопасности. Это какая-то фантастика, вам не кажется? Нет, никто не спорит с тем, что указанным мессенджерам очень и очень далеко до звания безопасных, но 0 баллов? То есть, полтора миллиарда людей (и об этих миллиардах мы тоже поговорим), их использующие, должны взять и резко удалить приложения, потому что их мессенджеры, согласно этому исследованию, защищены настолько плохо (или можно сказать, вообще "голые" в плане безопасности), что прямо таки любой прохожий может взять и прочитать переписку. Объективно такого просто не может быть. Да, мессенджеры очень слабые в плане защиты, но слабые и нулевые - разные понятия, последнее из которых просто нереально (а вот полтора миллиарда пользователей, в частности те из них, которые ознакомятся с тем, что их мессенджеры имеют нулевую безопасность и пополнят ряды лидеров - вполне реальны). Мы и сами не будем рекомендовать WeChat и QQ, но и резко заявлять о том, что их безопасность прямо таки нулевая - по меньшей мере глупо.
Числа активных пользователей
Результаты исследования быстро разлетелись по миру. Организация всемирная, так что это совсем неудивительно. Однако есть еще одна погрешность, которая мешает адекватному восприятию этого труда. И заключается она в том, что пользователей мессенджеров одной компании или одного региона считают разными людьми. Нередко можно видеть выводы, что группа компаний Facebook, обладая двумя мессенджерами (Facebook Messenger и WhatsApp) объединила под своей защитой информации 2 миллиарда пользователей. Однако на деле это совсем не так. И причина очень проста: пользователей WhatsApp (1 млрд) и пользователей FB Messenger (1 млрд) нельзя суммировать. Вполне может быть (а скорей всего, в очень многих случаях так и есть), что у одного человека может быть установлено оба этих мессенджера. В таком случае считать одного за двоих не имеет смысла. Конечно же, есть и те разные люди, у которых эти мессенджеры являются единственными. Та же ситуация с WeChat и QQ. Оба мессенджера китайские и вполне реальна ситуация, когда один китаец использует оба мессенджера. Заявлять, что существует полтора миллиарда незащищенных пользователей - такой же абсурд, как и заявлять что целых 2 миллиарда защищены под Facebook. Мы просто хотим сказать, что эти цифры весьма преувеличены.
Оценка компаний, а не мессенджеров
Несмотря на то, что статья с результатами опубликована на официальном источнике под заголовком "Насколько приватны ваши мессенджеры?", оценивались не мессенджеры, а компании. Приведем несколько примеров, почему так делать не стоит:
Мессенджеры Facebook и WhatsApp
Как уже говорилось принадлежат группе компаний Facebook и поэтом в первой строчке находятся оба, несмотря на их отличия, а также на то, что мессенджер Facebook не отвечает в полной мере критериям исследователей. Вот один из критериев:
Apply end-to-end encryption as a default (применение сквозного шифрования по-умолчанию)
Facebook Messenger не обладает шифрованием по-умолчанию. Шифрование в этом мессенджере осуществляется в "секретных" чатах. Ставить его в один ряд с WhatsApp невозможно уже просто исходя из собственных же критериев исследователей.
Однако исследователи не забыли упомянуть и предостеречь нас касательно Telegram:
It’s therefore surprising that the company does not put in end-to-end encryption as a default, and users receive no warning when they are using weaker encryption.
Удивительно, что компания не делает сквозное шифрование включенным по-умолчанию и не уведомляет пользователей, когда они используют более слабую защиту.
Справедливости ради, стоит сказать, что они говорят тоже самое и о Messenger Facebook, но это не мешает им позиционировать его вместе с WhatsApp, как часть Facebook.
Мессенджеры Google
Google’s messaging apps are Allo, Duo and Hangouts. There is end-to-end encryption on Duo but it’s only optional on Allo, and Hangouts doesn’t have it at all.
Мессенджеры компании Google: Allo, Duo и Hangouts. Сквозное шифрование есть в Duo, однако оно лишь опциональное в Allo, а в Hangouts вовсе отсутствует.
Все это правда, только непонятно, почему Facebook оценили по их лучшему мессенджеру в вопросе безопасности (WhatsApp), а Google - по худшему (Hangouts).
И снова о системе оценивания
Мы уже разобрались с тем, что на самом деле баллов не 100, а 15: по 3 на каждый критерий. Однако не совсем понятно, каким образом технически оценивались мессенджеры. То есть неужели 3-х баллов достаточно, чтобы оценить всю вариацию протоколов безопасности, шифрования, по-умолчанию или без, учитывая, что есть еще шифрование голосовй связи, видеозвонков? Например WhatsApp и Facebook используют Signal Protocol, Viber использует свою версию, производную от Signal Protocol, Telegram использует совершенно другой алгоритм AES-256. Они не одинаковые. Нет данных о том, чем они отличаются, как себя зарекомендовали, а если бы и были, то оценок от 0 до 3-х не хватило бы, чтобы интерпретировать эти отличия.
Но необязательно вдаваться в такие подробности, чтобы отметить неточность данных результатов. Мы бы поняли, если 2 одинаковых мессенджера одной компании получили бы одну оценку. Это логично. Но когда одну и ту же оценку получают мессенджеры Telegram и Messages от Apple - возникают вопросы. Так какой же из них лучше, не могут же они быть одинаковыми? Используются разные алгоритмы. Разная политика компаний.
Немного о политике компаний
Многие из критериев указывают на то, что оценивалась также политика безопасности в компаниях, внимание разработчиков к своим пользователям, информирование об опасностях, собственных уязвимостях. Распространение информации о том, как следовало бы защищать свою личную жизнь и приватность. А теперь немного об Apple. Инцидент, в котором стало известно, что Apple была вынуждена отдавать данные о своих пользователях, хранимые на серверах компании правоохранителям имел место почти месяц назад. Когда изданию The Intercept это стало известно и они опубликовали статью, в Apple, естественно, ничего уже не отрицали и прокомментировали признание. Когда-то давно, еще в 2013 человек-легенда, о котором ходит много противоречивых слухов, Эдвард Сноуден сказал, что АНБ и другие правоохранительные органы получают метаданные пользователей от Apple. Тогда Apple отрицала любые подобные слухи. Сейчас согласились. Как будто был какой-то иной выбор.
Однако можно что-то сказать и в защиту Apple, они действительно объявили войну ФБР, когда те пытались заставить их взломать собственный продукт (iPhone). Учитывая, что с сервера данные о зашифрованных сообщениях не получить. Только метаданные.
Но тем не менее, метаданные это очень много, к тому же они бывают разные. Метаданные, передаваемые от Apple включают в себя ip-адреса, а это, в свою очередь, означает возможность определения местоположения. Помимо этого есть и другие. То есть, запросы от правоохранителей есть, запросы решаются в сторону правоохранителей. Политика компании изменилась тогда, когда действия правоохранителей стали абсурдными, а признала выдачу метаданных тогда, когда это узнали The Intercept. Не совсем понятно, в данном свете, как Messages оказались на 2-м месте.
О заботе о пользователях
Исследователи Amnesty International взяли одним из своих критериев информирование пользователей об уязвимостях, и реагировании на них. Но почему-то сами забыли порекомендовать мессенджер, который давно обошел всех конкурентов в этом вопросе. Мы говорим сейчас о Singal. Именно на основе Singal Protocol работает все шифрование данных в Facebook и WhatsApp. В отличии от Apple этот мессенджер не выдает метаданные о пользователях. Он просто не может, потому что банально их даже не хранит. Этому есть реальные подтверждения. ФБР вряд ли зайдет за вашими данными из Signal в компанию Open Whisper Systems: нет смысла, так как никаких полезных данных там попросту нет.
Детальнее об инциденте между ФБР и Open Whisper Systems можно прочесть в этой статье.
Как-то странно: организация, которая хочет донести до людей, что им стоило бы защищать свои данные и делать это максимально эффективным образом, сама забыла порекомендовать в своем обзоре реальный и наиболее эффективный метод это сделать.
Что думает по этому поводу allmess@ngers
Мы думаем, что обзор слабый и, чтобы не говорить на пустом месте, мы сделаем свой. Ждите обновлений в ближайшее время.
Также мы думаем, что Facebook и Apple получили хорошую рекламу. А WhatsApp все еще можно использовать в Китае, где мессенджеры QQ и WeChat получили нулевую оценку безопасности.
Мы думаем, что безопасность важна. И важна настолько, что не стоит делать какие-то выводы на основании одного лишь наличия сквозного шифрования и включено ли оно по умолчанию или нет. Говоря откровенно, пользователь, который захочет пообщаться приватно откроет секретный чат и пообщается. Большинству же шифрование не интересно, просто потому что не нужно. Обращать внимание в вопросе безопасности нужно на другие вещи.
Мы думаем, что мир становится открытым и прозрачным, что нужно соответствовать времени и тренду интеграций и обмена информацией, а для безопасности своих приватных разговоров использовать те продукты, которые под нее заточены.
Будьте защищены там, где это необходимо, и свободны и открыты во всем остальном.