Telegram, Signal, Viber: спецслужбы каких стран могут узнать ваши тайны

Уже несколько дней мир обсуждает задержание основателя Telegram Павла Дурова. Мнения полярны: одни считают это наступлением на свободу слова, другие - закономерным результатом. В Украине отношение к Telegram также разное: пока одни пытаются его ограничить, другие становятся аудиторией крупных каналов, отказываясь от других источников информации.

Насколько безопасны нынешние мессенджеры, рассказал основатель и СЕО Dappros, и соучредитель DeepX Тарас Филатов, - передает Minfin.

Профессионально работаю с месседжингом уже более 15 лет. Мы ставили месседжинг для банков, healthcare, спортивных клубов, последний значительный проект - кастомизировали, доработали и установили self-hosted Signal сервер для крупной miltech корпорации в одной из стран НАТО.

Чтобы было удобно, без учета безопасности

Современные месседжинг системы это всегда компромисс: удобство & функционал VS секьюрность.

Было и есть несколько децентрализованных полностью секьюрных мессенджеров, но они не выживают. Не потому, что их уничтожили спецслужбы, а потому, что юзерам неудобно, и спрос на секьюрность не настолько велик, чтобы юзеры были готовы платить деньгами и комфортом.

Простой пример - push notifications. Всем удобно и привычно, что когда вам кто-то напишет сообщение, вы увидите у себя в нотификейшенах цитату из этого сообщения, даже если мессенджер пока не запущен. Юзеров не волнует что эти тексты сообщений почти открыто идут через внешние сервисы Apple и Google.

Все более секьюрные варианты ведут к неудобствам: или нотификейшен без цитаты, или батарея смартфона быстрее садится / он больше греется потому, что используется кастомный пуш сервер, который не поддерживается ОС.

Я могу предоставить 10-20 таких примеров там, где рядовой пользователь между безопасностью и удобством всегда выберет удобство.

Какой мессенджер более защищен

Наиболее секьюрным мессенджером из широко доступных является Signal.

Сервер Телеграмм не является опенсорсным. Никто не может проверить насколько он секьюрный, в отличие от Signal, любого XMPP сервера (Ejabberd, Tigase, Openfire, Prosody), Matrix или Mattermost.

Так же WhatsApp, FB Messenger, Viber и т.д. - ни один из них не предоставляет опенсорсный сервер, но они популярны, потому что удобны и раскручены.

Лично я, когда пользуюсь мессенджерами, просто учитываю, что при необходимости мою переписку могут читать соответственно ЦРУ (WhatsApp, FB Messenger), ЦРУ, Моссад и японская разведка (Viber), а также ФСБ (Telegram).

С Signal в стандартном, консьюмерском варианте (публичный сервер), также есть вероятность доступа ЦРУ, но у меня нет секретов от ЦРУ или Моссада, поэтому я считаю приемлемым пользоваться WhatsApp и публичным Signal. Если бы были, я бы пользовался своим месседжинг сервером.

End-to-end encryption существует, но когда де-факто у разработчика контроль над приложением без регулярных внешних аудитов кода, лично я для себя не считаю что это каким-то образом улучшает секьюрность.

Что с Telegram

Конкретно с Telegram есть опыт, например, оппозиционеров из Беларуси которым гбшка показывала полностью распечатанные ТГ чаты, которые были давно удалены.

Сам Дуров подтверждал, что сервер у них не секьюрный. Надеяться, что с вами этого не произойдет, потому что вы знаете как использовать секретные чаты и тщательно будете отслеживать пиктограммы лягушек и собачек на экране и игнорировать, что ваш end-to-end находится внутри уже скомпрометированной платформы, как по мне - это инфантилизм.

Telegram не равен свободе слова. Можно сказать, что как платформа он фасилитирует существование каналов, которые могут предоставлять информацию быстрее и менее цензурировано чем СМИ. Но каналы без проблем закрываются по запросу от law enforcement, то есть это очень неполная и централизованно контролируемая свобода слова.

Telegram не имеет ничего общего с либертарианством. Это централизованная платформа с непрозрачной структурой собственности и governance. Вы не можете провести аудит кода или запустить свой сервер. Платформа и ее токен раскручиваются на деньги российских олигархов. Токен платформы не управляется открытым комитетом или DAO. Все это не имеет ничего общего с либертарианством.