Депутат ВР предупредил украинцев о слежке спецслужб за ними через мессенджеры

Герман Богапов

Viber, Telegram, Facebook, Skype, Whatsup… Каким мессенджером наиболее безопасно пользоваться? Ответ: никаким. В любом из них ваши сведения доступны как минимум владельцам данных платформ, которые могут делать с ними что хотят. 

“Исходя из той аналитики, что есть, практически в каждом интернет-мессенджере вшиты так называемые анализаторы ваших предпочтений (трекеры), они анализируют вашу переписка по определенным константам (метаданные), чтобы в дальнейшем вам таргетировать рекламу того товара, о котором вы косвенно могли писать или даже вспоминать, или, просматривая фотографии к примеру в ФБ задержались на этой ссылке, - пишет в той же соцсети Александр Федиенко, народный депутат, заместитель председателя комитета Верховной Рады по вопросам цифровой трансформации, эксперт по вопросам кибербезопасности, телекоммуникаций, ИТ-технологий и информационной безопасности. - Помните, встроенные алгоритмы в различных мессенджерах собирают метаданные поведенческого характера, сигнатуры именно о вас, они начинают вас анализировать”.

По его словам, тот же Viber собирает поведенческие данные по 10 трекерам. Почти все мессенджеры собирают метаданные о вас, и потом уже на базе машинного интеллекта выстраивают модель о том, с кого собрали данные, Система строит ваш виртуальный портрет по вашей поведенческой переписке, привязывая это уже к техническим идентификаторам ваших устройств и сетевых параметров. Затем машина связывает вас связать с определенным аккаунтом в социальной сети, дальше сработает алгоритм расширенного поискового механизма по новой информации, через круг ваших друзей, предпочтений страниц, ваших фото, посещенных событий и т.д.

“Мессенджеры WhatsApp, Instagram и Messenger FB практически не имеют внешних трекеров, но в некоторых существует Google Analytics - многофункциональный сервис от компании Google для анализа интернет сайтов и мобильных приложений для создания детальной статистики аудитории сайта, - отмечает Федиенко. - Они могут собрать о вас информацию поведенческого характера особенно Facebook. Facebook, анализирует все, сайты, тематики, время, когда вы там были, ваши геоданные, игровые приложения, ваш диалог в переписке, даже типы лайков, и время, когда ваш курсор задержался на какой новости или фото, или ссылку. Когда вы, скажем, под фото девушки / парня ставите лайк “супер” и это самый частый лайк учетной записи в отношении другого аккаунта, это уже прогнозируемая связь и ваше знакомство. Вообще платформы с социальными сетями - это самые платформы анализа вашего поведения, предпочтений, и механизм построения связанности”

Также происходит сбор сэмплов - относительно небольших оцифрованных звуковых фрагментов вашей речи. Когда-то Марк Цукерберг ответил сенаторам США, что голос они не слушают. Это скорее всего правда, но никто не запретит собирать сэмплы. А далее ваша речь уже идентифицируется благодаря спектральному анализу речи. Это уже подтверждает ваш скромный автор, проработавший 12 лет в лаборатории фоноскопии Киевского НИИ судебных экспертиз.

В то же время Александр Федиенко указывает, что не столько популярные мессенджеры типа Signal, Wire, ProtonMail, SafeUM не содержат вообще никаких трекеров, по крайней мере ему об этом неизвестно. И напоминает историю с созданием Viber, который был разработан то ли в Израиле, то ли в Беларуси, для того чтобы заменить Skype. Но, для понимания, разработчики находятся в тех странах, где идет война или существует авторитарное правление. И эксперт уверен, что этот мессенджер разрабатывался под задачи соответствующих служб. И хотя позже Viber заявлял, что ввел сквозное шифрование, или даже скрытые чаты, где нужно иметь код для доступа к информации, но доверия нет.

locke-and-key-logo-netflix.jpg (28 KB)

WhatsApp, Signal также имеют сквозные шифрования, базирующиеся на библиотеках мессенджера Signal. Как утверждает разработчик, вся информация будет доступна исключительно двум пользователям, то кто отправил, и тот, кто получил. Но учитывая что там присутствует Facebook, эксперт также не имеет доверия даже к этим мессенджерам, но с точки зрения риска утечки информации приходится выбирать, какому государству - потенциальному собирателю информации вы доверяете больше.

В гонку лидеров в последнее время ворвался и Telegram, который заставил предпринимать даже не совсем конкурентные шаги Facebook. Создатель Telegram Павел Дуров заявил, что примерно 500 миллионов пользователей и растущий Telegram стал основной проблемой для корпорации Facebook. Не имея возможности конкурировать с Telegram по качеству и конфиденциальностью, WhatsApp Facebook, похоже, перешел на скрытый маркетинг: недавно редакторы Википедии разоблачили несколько платных ботов, добавив предвзятую информацию к статье Википедии WhatsApp.

В то же время и Telegram не является панацеей от всех бед. “Telegram открывает точный адрес пользователя, если он активирует функцию «Люди рядом». Данную уязвимость обнаружил исследователь безопасности. Он сообщил о ней разработчиков Telegram, но он не ответил, что у них нет планов ее исправления, - отмечает Федиенко. - Signal реализован алгоритм шифрования, что доступ к информации не могут получить даже разработчики мессенджера”.

“Вообще-то, учитывая, что большая часть мессенджеров зависит от различных государственных или негосударственных разработчиков, где основной идеей является именно сбор информации о пользователе, желательно присмотреться к решениям, которые будут разработаны соответственно под ваше учреждение отдельно. Такие решения существуют, или платные мессенджеры. Мой личный рейтинг Signal, SafeUM, Wire, ProtonMail”, - резюмирует замглавы комитета ВР по цифровой трансформации..

В свою очередь Александр Гирняк, CTO в UarNet, в комментариях обращает внимание и на “прослушку”: “Еще есть подозрение, что подслушивают или анализируют звук на мобилках на ключевые слова. Многие знакомые замечали, что ничего не искали в Инете, а об этом говорили только голосом, а потом уже в Инете им предлагают то, о чем они говорили, но только голосом”.

Ситуацию с мессенджерами комментирует и Алексей Семеняка, менеджер по внешним связям в RIPE NCC:

“1) Не бывает и не может быть доверенных мессенджеров с закрытым для пользователя кодом. Шифрование e2e может быть, да - но нет ни одной гарантии, что клиент параллельно не сливает ключи этого шифрования на сервер (и далее везде), так что оно становится защитой только от честных людей.
1.1) То, что код доступен, тоже само по себе ничего не гарантирует, кстати. Вопрос, кто этот код проверял, сколько раз etc.
1.1.1) Сама проверка тоже не панацея, так как хитрую закладку в сложном коде может пропустить и хороший специалист, а просто программист Вася и простое переполнение буфера может проигнорировать.
1.1.2) Если код написан специально для вас, это не значит, что он "чистый". Программисты тоже, бывает, работают на двух заказчиков сразу - примеры из жизни есть.
2) Не бывает и не может быть доверенных программ на скомпрометированном оборудовании. Телефон - пример именно скомпрометированного оборудования: у пользователя нет контроля над действиями ОС, нет полноценной возможности контролировать приложения (которые вполне могут иметь шпионские функции) и пр.
3) Общение - это взаимодействие двух или более человек. Поэтому для минимально доверенного взаимодействия требуется уверенность, что всё хорошо не только у вас, но и у собеседников: оборудование "чистое", контролируется как надо, ВСЕ программы проверены, а не поставлены из неконтролируемого источника etc. В собеседниках тоже стоит быть уверенным, потому что сфотографировать экран другим телефоном - дело нехитрое и недолгое, например.
4) Если кто-то прорабатывает предметно вас, то всего указанного выше мало.
Поэтому в большинстве случаев речь про какой-то компромисс с оценкой рисков и игроков: "после X меня будет читать A, B и, возможно, новозеландские спецслужбы, на это я готов пойти, а вот после Y, возможно, к ним присоединятся C, D и нигерийские спецслужбы, так что на X я ещё готов пойти, а на Y нет".
UPD: хотя меньше всего я призываю к подходу "сгорел сарай, гори и хата", то есть беспечности в выборе средств коммуникаций, раз "если надо, всё равно прослушают". В конце концов, все двери в жилых домах достаточно легко вскрываются, но это не значит, что ставить их и запирать на замок - лишнее”.