Cyberbezpieczeństwo
#CyberMagazyn: Który komunikator jest najbezpieczniejszy?
Informacje o tym, że Federalna Służba Bezpieczeństwa Rosji dysponuje narzędziami pozwalającymi na inwigilację popularnych komunikatorów, mających gwarantować poufność rozmów, zelektryzowały nie tylko społeczność bezpieczeństwa. Przyglądamy się bliżej popularnym aplikacjom.
Na łamach naszego serwisu opublikowaliśmy niedawno tekst informujący o tym, że rosyjska Federalna Służba Bezpieczeństwa dysponuje narzędziami do inwigilacji, pozwalającymi jej na śledzenie szyfrowanej komunikacji w aplikacjach takich jak Telegram, Signal i WhatsApp.
Wiadomość zelektryzowała nie tylko społeczność bezpieczeństwa, ale wszystkie osoby, dla których poufna komunikacja jest bardzo istotna, np. dziennikarzy i działaczy na rzecz praw człowieka, szczególnie tych aktywnych w krajach niedemokratycznych.
Jak może inwigilować FSB?
Przede wszystkim nie w sposób totalny, bo nowe technologie do inwigilacji, w których posiadanie weszła rosyjska służba bezpieczeństwa, nie pozwalają jej na odczytanie zaszyfrowanych wiadomości w komunikatorach.
Wystarczą jednak do tego, aby ustalić kto, z kim, kiedy i gdzie się komunikował - a to już może narażać na niebezpieczeństwo konkretne osoby, zwłaszcza w sytuacji wojny w Ukrainie.
FSB może też monitorować lokalizację telefonów, identyfikować anonimowych użytkowników mediów społecznościowych, a także włamywać się na ich konta.
Narzędzia, którymi dysponuje służba Putina wyprodukowała firma MFI Soft zależna od spółki Citadel. Jeden z programów, jaki wykorzystuje FSB, to NetBeholder. Jego działanie opiera się na śledzeniu ruchu w zaszyfrowanych komunikatorach.
Reakcja komunikatorów
Jak pisaliśmy w naszym materiale, komunikatory - Telegram, Signal i WhatsApp - potwierdziły rewelacje o nowych zdolnościach inwigilacyjnych FSB. Firmy podkreśliły jednocześnie, że treść komunikacji wciąż pozostaje dostępna jedynie dla nadawców i odbiorców wiadomości (tak działa szyfrowanie e2e).
Komunikacja i jej treść są - pomimo grozy wcześniejszych informacji - najważniejsze, dlatego warto przyjrzeć się temu, jaki komunikator jest możliwie najbardziej bezpieczny i jeśli chcemy rzeczywiście prowadzić poufne konwersacje online - wybrać rozsądnie.
Który komunikator jest bezpieczny?
Zacznijmy od tego, że najpopularniejsze komunikatory, które wykorzystują szyfrowanie end-to-end, to WhatsApp, Telegram i Signal (zajmiemy się nimi na potrzeby tego tekstu), a także płatna Threema.
Co do tej ostatniej, pojawiły się niedawno liczne zastrzeżenia, które w skrócie wskazują, że Threema wcale nie jest tak bezpieczna jak obiecuje. W analizie tego komunikatora odkryto bowiem siedem poważnych błędów bezpieczeństwa. Dwa z nich umożliwiały podszywanie się pod użytkownika - a to już wystarczy, aby na Threemę patrzeć ostrożnie. Nie zmienia to jednak faktu, że Szwajcaria rekomenduje używanie rodzimego komunikatora swojej armii.
Signal
Signal jest darmowy, bazujący na architekturze otwartoźródłowej i oferuje szyfrowaną komunikację. Czego chcieć więcej? Być może trochę łatwiejszego i ładniejszego interfejsu, bo to właśnie jest czynnik, który użytkowników bardziej popularnych narzędzi od Signala odstrasza.
Signal ma także znikające - a raczej samoniszczące się - wiadomości i można go zabezpieczyć hasłem. Powodem, który zniechęca do komunikatora jest konieczność zarejestrowania się w nim z wykorzystaniem numeru telefonu.
Z użyciem aplikacji można prowadzić rozmowy głosowe, rozmowy grupowe, a także wysyłać wiadomości tekstowe i załączniki multimedialne.
Co ciekawe, na protokołach szyfrowania Signala bazują także produkty Mety - WhatsApp i Messenger.
Signal dostępny jest na Androida i iOS, a przez specjalną wtyczkę można z niego korzystać również w wersji na komputer.
Telegram
Wokół tego komunikatora narosło wiele kontrowersji, bo - jak pisaliśmy na CyberDefence24.pl - stał się ulubionym narzędziem komunikacji w czasie wojny w Ukrainie zarówno dla broniących się obywateli naszego wschodniego sąsiada, jak i Rosjan - można tam np. znaleźć kanał prasowy Jewgienija Prigożyna.
Nigdy nie wyjaśniono również do końca kwestii tego, czy rosyjskie służby dysponują możliwościami deszyfracji Telegrama, czy nie - o czym można przeczytać np. w tym tekście.
Telegram też jest oceniany jako miejsce, w którym szerzy się propaganda i dezinformacja - na co często wskazują służby krajów niezbyt przychylnie patrzących na możliwość korzystania z szyfrowanej komunikacji. Oczywiście, problem ten istnieje - ale tak samo, jak likwidacja e2e nie rozwiąże problemu przestępczości wobec dzieci w internecie, tak samo nie zlikwiduje grup, na których szerzą się szkodliwe i niebezpieczne treści.
Telegram również jest aplikacją darmową, tak samo jak Signal, można z niego korzystać na Androidzie i iOS, a także w wersji na komputery. Jest oparty o chmurę, synchronizuje się pomiędzy platformami, a jego interfejs znacznie lepiej wpisuje się w szerokie gusta niż w przypadku Signala. Co ciekawe, szyfrowanie e2e nie jest na Telegramie domyślnie włączone i trzeba to ustawić ręcznie w preferencjach komunikatora.
Na tej platformie również musimy zarejestrować się z użyciem numeru telefonu i połączyć go z kontem użytkownika.
Z wykorzystaniem aplikacji możemy prowadzić rozmowy głosowe, rozmowy wideo jak i konwersacje grupowe, a także utrzymywać kanały nadawcze, które będą docierały nawet do milionów odbiorców. To jego przewaga w stosunku do innych rozwiązań. Warto jednak pamiętać, że rozmowy z większą niż dwie osoby liczbą uczestników nie będą szyfrowane!
Na Telegramie skorzystamy również z samoniszczących się wiadomości.
Nie wiemy jednak do końca, jak bezpieczne jest szyfrowanie Telegrama i tu musimy opierać się bardziej na zaufaniu do platformy niż na realnych dowodach, jak to ma miejsce w przypadku Signala.
To zdecydowanie najpopularniejszy spośród szyfrowanych komunikatorów, którego również w Polsce używa najwięcej osób. Warto pamiętać, że WhatsApp należy do koncernu Meta Marka Zuckerberga, a prywatność nie jest synonimem bezpieczeństwa, jednak w tym tekście zajmujemy się kwestiami tego ostatniego właśnie.
WhatsApp jest szyfrowany, oferuje samoniszczące wiadomości i zdjęcia, ale - jak pozostałe komunikatory w zestawieniu - wymaga numeru telefonu przy rejestracji. Oczywiście to, kto jest jego właścicielem, również jest wielkim minusem przy wyborze tej platformy.
Z WhatsAppa można korzystać na Androidzie i iOS, jest też wersja na komputer - synchronizowana z komunikatorem na telefonie.
Jak już wspomnieliśmy wcześniej, od 2016 r. WhatsApp korzysta z protokołu szyfrowania Signala. Można mu zatem w tej kwestii zaufać. Komunikator jest zadbany - zespół za niego odpowiedzialny wie, że to jeden z najważniejszych produktów Mety.
WhatsApp oferuje także szyfrowane kopie zapasowe, a znikające wiadomości można ustawić jako opcję domyślną - tak, jak w Signalu.
Messenger od Facebooka
Nie mogło go w tym zestawieniu zabraknąć, choć nie wymieniliśmy go wcześniej. Dlaczego? Dlatego, że to jeden z najbardziej popularnych komunikatorów - ale jest monetyzowany przez Metę, do której należy - i w korzystaniu z niego szyfrowanie absolutnie nie wynagradza utraty prywatności, do jakiej dochodzi podczas użytkowania Messengera.
Interfejs jest prosty w obsłudze i zna go każdy. Messenger rozpowszechnił się jako właściwie pierwsza tak popularna aplikacja do komunikacji po tym, jak został wydzielony z Facebooka - kiedyś programy były zintegrowane.
Oferuje znikające wiadomości i szyfrowanie e2e, jednak korzystanie z niego nie jest w żaden sposób proste i nie jest domyślne. Trzeba je włączyć - tak jak to ma miejsce w przypadku Telegrama. Kiedy już je aktywujemy - działa tylko na jednym urządzeniu i jeśli korzystamy z kilku, np. z tabletu i dwóch smartfonów - trzeba wszędzie włączać je oddzielnie.
Warto również pamiętać o tym, że jeśli ktoś zyska dostęp do naszego konta na Facebooku, zyska też dostęp do całości konwersacji prowadzonych przez Messengera. To znaczący minus.
Jaką platformę wybrać?
Rekomendujemy korzystanie z Signala, bo jest otwartoźródłowy, a jego twórcy to organizacja non-profit. W przypadku tego komunikatora możemy mieć nie tylko zaufanie do producenta, ale także samodzielnie sprawdzić, jak działają jego mechanizmy.
Przy wyborze komunikatora warto kierować się przede wszystkim zaufaniem do dostawcy oprogramowania - nie posądzamy o to, że największym będziecie darzyć tego, kto słynie z naruszania dobrostanu i prywatności użytkowników.
Warto również przyjrzeć się historii zgód poszczególnych firm na przekazywanie danych organom ścigania i okoliczności, w jakich do tego dochodziło, co może być szczególnie istotne, jeśli zajmujemy się zawodowo kwestiami związanymi z ochroną praw człowieka.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].