15/10/2024

«Телеграм», WhatsApp, Viber и другие мессенджеры играют ключевую роль в повседневной коммуникации миллиардов людей по всему миру. Они предлагают широкий спектр функций, удобны и безопасны. Однако именно безопасность этих мессенджеров всё чаще становится предметом горячих споров. Силовые ведомства требуют от создателей мессенджеров доступа к перепискам. Некоторые страны настолько увлеклись, что перешли к более жёстким мерам. Свежее свидетельство тому — уголовное преследование и арест создателя «Телеграма» Павла Дурова во Франции.

В этой статье рассмотрим три взгляда на безопасность мессенджеров: пользовательский, государственно-силовой и взгляд создателя.

 

Зачем людям безопасные мессенджеры

Никому не нравится, когда их личные письма читают посторонние. Даже если эти посторонние с аргументами на руках объяснят, что руководствуются благими мотивами, предотвращают преступления и защищают общество в целом, у участников переписки неизбежно остаётся ощущение, что кто-то грязными руками покопался в самом сокровенном. Это чувство настолько очевидно и понятно каждому, что во многих странах тайна переписки является неотъемлемым правом граждан, гарантированным Конституцией.

Бумажный конверт был не слишком надёжной защитой. С переездом переписок в мессенджеры обмен сообщениями стал безопаснее благодаря усовершенствованному электронному «конверту» — сквозному шифрованию.

Смысл сквозного шифрования состоит в том, что все личные сообщения, которые вы отправляете, зашифрованы, как и все личные сообщения, которые вы получаете. Расшифровать ваши послания может только получатель, а сообщения, адресованные вам, — только вы. Переписка останется тайной, даже если её кто-то перехватит. Таким образом, сквозное шифрование обеспечивает конфиденциальность переписки в мессенджерах.

Конфиденциальность позволяет свободно делиться мыслями и чувствами без страха, что их услышат посторонние. А поскольку мессенджеры используются не только для личных бесед, шифрование защищает от утечек и финансовых потерь.

Ещё одна важная для пользователей сторона безопасности мессенджеров — уверенность в том, что собеседник именно тот человек, за которого он себя выдаёт. Шифрование не поможет избежать компрометации или утечки данных, если вы беседуете с мошенником, который притворяется вашим знакомым или коллегой.

Защититься от подделки помогает аутентификация пользователей. В большинстве популярных мессенджеров («Телеграм», WhatsApp, Viber, Signal) для этого используется номер телефона. Это удобно, поскольку позволяет предотвратить создание множества фальшивых аккаунтов и снизить уровень мошенничества. Кроме того, телефонный номер можно использовать для двухфакторной аутентификации, что повышает безопасность аккаунта.

Однако в таком способе аутентификации есть недостатки. Самый серьёзный состоит в том, что телефонный номер можно связать с личностью пользователя. Данные о владельцах номеров телефонов доступны правительству или третьим лицам по запросу. Это создаёт угрозу перехвата доступа к аккаунту в мессенджере через несанкционированную замену сим-карты и практически исключает анонимность переписок.

По поводу анонимности в мессенджерах сломано немало копий. Основной аргумент противников анонимности состоит в том, что честным людям незачем скрывать свою личность. Но не всё так просто.

Стремление к анонимности не всегда связано с преступной деятельностью. Кто-то не желает «светить» личные данные перед неограниченным кругом незнакомых людей и компаний. Другие вполне обоснованно опасаются правительственного и корпоративного контроля. Никому не хочется пострадать из-за эмоционального комментария или поста на острую тему. А ещё анонимность позволяет избежать конфликтов с текущим работодателем при обсуждении разногласий с коллегами или поиске новой работы.

Таким образом, обычным людям безопасные мессенджеры дают уверенность в том, что их текстовые и визуальные откровения в личных переписках не смогут перехватить посторонние. Аутентификация снижает риск того, что «старый друг» окажется мошенником.

 

Безопасность мессенджеров и государство

Преступники с удовольствием используют технологические новинки. Интернет-сервисы не стали исключением. Мгновенный обмен текстом, фото, видео или аудио позволяет оперативно решать массу задач из любой точки мира. Вполне закономерно, что мессенджеры попали в число инструментов, востребованных преступным сообществом. Благодаря сквозному шифрованию содержание переписок остаётся в секрете, а доступность анонимных мессенджеров позволяет скрывать личность.

Силовые ведомства оказались без привычных средств слежки. Прослушивать телефонные звонки бесполезно, потому что все созвоны вместе с перепиской переместились в мессенджеры. А там перехват ничего не даст, ведь расшифровать собранные данные без ключа не получится.

Ключ для шифрования трафика в мессенджерах без доступа к устройству не получить, да и смысла в этом нет, ведь в некоторых мессенджерах каждое сообщение шифруется новым сеансовым ключом. Так происходит в Signal и WhatsApp, который использует для передачи сообщений протокол Signal.

Силовики не смирились с невозможностью получить доступ к зашифрованным перепискам и начали действовать.

В марте 2024 года служба безопасности WhatsApp выпустила внутреннее предупреждение, в котором говорилось, что правительства могли следить за пользователями, не расшифровывая их разговоры.

Правительственные агентства обходили шифрование, чтобы выяснить, какие пользователи общаются друг с другом, в каких группах они состоят и где находятся. Для этого использовался анализ интернет-трафика в национальном масштабе.

Проверка и анализ сетевого трафика полностью невидимы, но они выявляют связи между пользователями. Правительство может легко определить, что человек использует WhatsApp, поскольку данные должны проходить через серверы платформы. Затем можно выявить конкретных пользователей, отслеживая их IP-адрес по учётной записи интернет-провайдера или поставщика услуг сотовой связи.

Команда внутренней безопасности WhatsApp выявила несколько примеров того, как изучение зашифрованных данных позволяло нарушить защиту конфиденциальности приложения с помощью корреляционных атак. Например, когда пользователь WhatsApp отправляет сообщение группе, пакет данных одинакового размера передаётся на устройства каждого члена этой группы. А изучая задержки между отправкой и получением сообщений WhatsApp двумя сторонами, можно определить расстояние до каждого получателя или даже его местоположение.

Подобные атаки эффективны и против других мессенджеров, поэтому отказ от WhatsApp не спасёт от слежки.

Несмотря на возможности, которые даёт анализ метаданных, содержание сообщений тоже представляет интерес. Поэтому в некоторых странах были приняты законодательные акты, цель которых — обеспечить раскрытие зашифрованной переписки и её участников по требованию властей.

Например, одно из положений законопроекта EARNIT Act в США предлагает ослабить защиту данных пользователей. Закон Investigatory Powers Act в Великобритании, который также называют «Хартия перехвата», требует от компаний предоставлять доступ к зашифрованным данным по запросу властей. Индийские «Правила информационных технологий» (IT Rules) 2021 года обязывают платформы не только раскрывать личности отправителей сообщений по запросу, но и обеспечить возможность отслеживания «первого отправителя» сообщений.

Но даже без принудительного доступа к данным существующие уязвимости в мессенджерах могут быть использованы для слежки или нарушения конфиденциальности. Например, в 2019 году была обнаружена уязвимость в WhatsApp, которая позволяла устанавливать шпионское ПО Pegasus от NSO Group через звонки в WhatsApp. Эта уязвимость предоставляла злоумышленникам доступ к сообщениям, микрофону, камере и другим данным на целевых устройствах. Ещё одна уязвимость в обработке GIF-файлов позволяла удалённо выполнять произвольный код на устройствах пользователей при открытии таких файлов.

В РФ законодательство также накладывает ряд требований к владельцам платформ для обмена сообщениями в части доступа к данным, а также правил их хранения. В случае нарушения платформа блокируется с использованием специального оборудования, установленного у провайдеров.

Когда мессенджер «Телеграм» отказался предоставлять информацию по запросам правоохранительных органов, Роскомнадзор принялся активно блокировать доступ к платформе. Через какое-то время блокировки неожиданно прекратились. Вскоре в «Телеграме» стали появляться каналы государственных учреждений и различных ведомств. Это значит, что руководство мессенджера приняло решение выполнять требования российского законодательства в объёме, который удовлетворил надзорный орган. 

В конце лета 2024 года стало известно о блокировке на территории России одного из самых защищённых и безопасных мессенджеров — Signal. Как пояснил Роскомнадзор, Signal не выполнил требования российского законодательства по хранению данных и предоставлению информации о действиях пользователей на территории России.

В итоге безопасность мессенджеров с точки зрения органов власти может существовать до тех пор, пока она не становится препятствием для действий правоохранителей и силовиков. И если платформа отказывается устранять это препятствие, последствия могут быть самыми неприятными. Для владельцев и создателей платформы.

 

Неожиданная личная ответственность

Некоторые страны ввели законодательные меры, которые предусматривают персональную ответственность владельцев платформ для обмена сообщениями за размещение пользователями противоправного контента. Например, Online Safety Act в Великобритании позволяет привлечь к персональной ответственности руководителей технологических компаний, если их платформы не удаляют или не блокируют противоправный контент после уведомления.

В Германии действует Закон о защите сети (Network Enforcement Act, NetzDG), который требует от социальных сетей и платформ для обмена сообщениями оперативно удалять противоправный контент. Руководители компаний могут быть привлечены к ответственности и оштрафованы, если платформа не выполнит эти требования.

В Австралии закон Sharing of Abhorrent Violent Material Act предусматривает уголовную ответственность для руководителей компаний, если их платформы не удаляют «отвратительный насильственный материал».

В Индии в 2021 году были приняты новые правила IT Intermediary Guidelines and Digital Media Ethics Code Rules, в соответствии с которыми социальные медиапосредники (SSMIs), имеющие более 5 млн пользователей, обязаны назначать лиц, которые могут быть привлечены к ответственности за несоблюдение требований по удалению противоправного контента.

В США всё ещё действует Раздел 230 Закона о приличии в коммуникациях (Section 230 of the Communications Decency Act), который предоставляет платформам иммунитет от ответственности за контент, созданный пользователями, однако, уже обсуждаются поправки, которые могут ввести персональную ответственность для руководителей компаний за определённые виды противоправного контента. Одна из таких поправок содержится в упомянутом выше EARNIT Act. Авторы поправки предлагают ограничить защиту, предоставляемую онлайн-платформам в рамках Раздела 230,и разрешить привлечение их руководителей к гражданской и уголовной ответственности за размещение пользователями сервисов материалов, связанных с сексуальным насилием над детьми (CSAM).

Французский Закон о доверии в цифровой экономике (Loipour la Confiance dans l'Économie Numérique, LCEN), принятый в 2004 году, использовался при недавнем аресте Павла Дурова в Париже. В соответствии с этим законом платформы обязаны оперативно удалять или блокировать доступ к противоправному контенту, как только они узнают о его существовании. В случае невыполнения этих обязанностей владельцы платформ могут быть привлечены к ответственности, включая уголовную.

Хотя причины, по которым страны принимают подобные законы, вполне понятны, с точки зрения здравого смысла они не выдерживают критики. Павел Дуров по этому поводу написал в своём телеграм-канале:

«Если страну не устраивает работа интернет-сервиса, принято подавать в суд именно на сам сервис. Использовать законы, принятые до появления смартфонов, чтобы попытаться возложить ответственность на руководителей платформ за действия третьих лиц, — неверный подход. Никто не будет работать над инновационными технологиями, зная, что их могут судить за то, что кто-то будет злоупотреблять их изобретениями».

В самом деле, почему руководитель BMW не несёт ответственности за нелегальные грузы, которые перевозят на выпущенных им автомобилях, а Тима Кука не сажают под арест за то, что продукцию Appleиспользуют террористы? И почему арестовали Дурова, а не Цукерберга, у которого есть WhatsApp, а также мессенджер из заблокированной в РФ соцсети? Неужели в них нет противоправного контента? Или всё дело в том, что остальные уже «отдали ключи шифрования» и согласились на сотрудничество?

 

Кто виноват?

Если подвести итог сказанному, ситуация с безопасностью мессенджеров крайне непростая:

  • сквозное шифрование есть, и оно действительно защищает переписки, но это мешает спецслужбам и правоохранителям;
  • спецслужбы используют для слежки анализ интернет-трафика и метаданных, а также уязвимости в мессенджерах;
  • когда требуется прочитать переписки и выяснить личности, благодаря законам о личной ответственности можно надавить на владельцев платформ и получить желаемое;
  • владельцы платформ пытаются сохранить лицо, повторяя лозунги о защите данных и конфиденциальности, но вынуждены сотрудничать, поскольку под угрозой личная безопасность и благополучие.

Искать виноватых в текущих обстоятельствах вряд ли целесообразно. Мир изменился, и технологическим платформам приходится подстраиваться, чтобы выжить, сохранить и приумножить пользовательскую базу.

 

Что с этим делать?

Безопасность мессенджеров — повод для горячих споров, поскольку существует несколько категорий заинтересованных лиц. Приоритет для пользователей — конфиденциальность. Они хотят быть уверенными, что их личные сообщения защищены от посторонних глаз, что они могут свободно общаться без страха за нарушение своей приватности. Важный инструмент для достижения этой цели — сквозное шифрование.

С другой стороны, правоохранительные органы сталкиваются с реальными вызовами в борьбе с преступностью и терроризмом. Они утверждают, что доступ к перепискам может быть жизненно необходим для расследования преступлений и обеспечения общественной безопасности. Для них сквозное шифрование становится препятствием, которое усложняет выполнение их обязанностей по защите граждан.

Владельцы платформ для обмена сообщениями находятся в непростой ситуации между этими двумя противоположными позициями. Они стремятся обеспечить своим пользователям высокий уровень безопасности и конфиденциальности, но в то же время подвергаются давлению со стороны государственных органов, которые требуют доступ к данным пользователей. У владельцев платформ возникает вполне логичный вопрос: почему они должны нести ответственность за противоправные действия пользователей?

Пока идут дискуссии, жизнь не стоит на месте. Баланс между потребностью в конфиденциальности и запросами органов правопорядка требует тщательного рассмотрения и сотрудничества всех вовлечённых сторон. Возможно, через какое-то время получится найти решения, которые будут учитывать интересы всех участников и обеспечат как безопасность общения пользователей, так и эффективную работу правоохранительных органов. А пока можно вспомнить проверенные временем средства защиты конфиденциальности:

  1. Общайтесь только с теми, кто не станет использовать ваши сообщения вам во вред.
  2. Конфиденциальные вопросы обсуждайте только с теми, кому доверяете.
  3. Для обсуждения важных или чувствительных тем встречайтесь лично. Это исключает риск перехвата сообщений. Визуальный контакт помогает лучше понять намерения собеседника и избежать недоразумений.
  4. Если личная встреча невозможна, используйте эзопов язык, кодовые слова и фразы, чтобы защитить содержание разговора от посторонних. Это особенно полезно при обсуждении конфиденциальных вопросов, когда велика вероятность перехвата сообщений.
  5. Придерживайтесь принципа минимально необходимой передачи данных. Не делитесь лишней информацией даже с близкими. Чем меньше информации вы раскрываете, тем меньше шансов, что она будет использована против вас.
  6. Регулярно проверяйте свои контакты и настройки приватности в мессенджерах. Убедитесь, что доступ к вашей информации имеет только тот круг лиц, которому вы доверяете.