Как правильно выбрать мессенджер


 Когда дело дошло до конфиденциальности, один из распространенных вопросов пользователей - это службы обмена сообщениями chat api.  Кажется, что почти все они упоминают некоторый уровень конфиденциальности или шифрования, чтобы побудить пользователя подписаться на их службу chat api, но как вы сможете быть уверены, что используете наиболее безопасную платформу, уважающую конфиденциальность?


 На самом деле ответ кроется в собственной модели угроз, которую часто игнорируют при выборе всех приложений и служб chat api, связанных с конфиденциальностью, что означает, что многие пользователи ограничивают свой доступ в Интернет и общение, потому что они считают, что им нужны настройки конфиденциальности уровня Эдварда Сноудена.


 По правде говоря, каждый пользователь должен решить, каковы его цели конфиденциальности.  Ваша цель - помешать отслеживать вас, нацеливаться на вас или получать прибыль от всех ваших данных?  Или вы пытаетесь скрыть сообщения от правительства и правоохранительных органов, что характерно для журналистов или активистов, которые сами хотят защитить все свои источники и сообщения от глаз правительства?


 Как только вы поймёте свои цели, то вы сможете начать смотреть на мессенджеров chat api и их плюсы и минусы, и важно помнить, что идеального решения не существует.  Каждая служба chat api, независимо от того, насколько она безопасна, может быть взломана, потому что, вы имеете дело с другими людьми, которые смогут делать снимки экрана, копировать и пересылать сообщения сторонам, которые вы не собирались их видеть.  Поэтому также важно знать, кому вы отправляете сообщения, проверяя их ключи и обеспечивая максимальное доверие к ним в отношении отправляемого вами контента.


 Если ваша цель - просто избежать корпоративного отслеживания и сбора ваших данных из ваших сообщений, вы можете исключить такие приложения, как Messenger и WhatsApp, оба сервиса принадлежат Facebook, и, предлагая зашифрованный обмен сообщениями (необязательно в Messenger), Facebook читает ваши не  -зашифрованные сообщения, и WhatsApp стал жертвой нарушений безопасности.


 Для этого типа пользователей ваши возможности гораздо шире, так как вы, возможно, с большей готовностью поделитесь своим адресом почты или номером телефона при регистрации в chat api и можете меньше беспокоиться о метаданных (мы скоро к этому вернемся), а вы захотите найти  мессенджер chat api, который просто не сканирует ваш контент или поведение, чтобы продать его.


 Если ваша цель - уклониться от более масштабных программ слежки, спонсируемых государством, о вышеупомянутых приложениях не ссможет быть и речи, как и о многих других.


 Это связано с тем, что, когда дешло доходит до этих и других подобных приложений chat api, вы не владеете ключами шифрования, а служба владеет ими, поэтому они могут расшифровать ваши сообщения для собственного использования или для использования государственными чиновниками, которые могут запросить это.  Вы должны помнить об этом, выбирая мессенджер chat api, который подходит именно вам.


 Даже iMessage от Apple, который зашифрован, хотя и более безопасен, чем предложения Facebook, по-прежнему контролирует ключи и при необходимости может получить доступ к вашим сообщениям.  Apple также собирает данные на основе вашего поведения, поэтому, хотя использование iMessage - это то, что передача ваших данных в Facebook, вы по-прежнему обмениваетесь сообщениями с различными уязвимостями конфиденциальности.  На Android вы используете SMS-сообщения, которые еще менее безопасны и могут быть легко перехвачены кем-то, у кого достаточно знаний.


 Метаданные


 Один из важных аспектов приложений chat api для обмена сообщениями, в котором должны быть уверены, - это то, какие метаданные они предоставляют, что зашифровано, а что нет.


 Chat api, популярное приложение chat api для обмена сообщениями с шифрованием, всегда подвергалось критике за его решение не шифровать метаданные пользователя, такие как дата и время регистрации, географические координаты IP, а также дата и время создания, создатель, имя и список участников.


 Метаданные могут использоваться, чтобы поместить вас в определенное место, чтобы поговорить с определенным человеком, и смогут быть использованы против всех органами, и если они не знают и не имеют пока доступа к тому, о чем идет разговор.


 Такие приложения, как chat api или Wickr, шифруют метаданные, делая разговоры между двумя или более сторонами более безопасными и трудными для отслеживания отдельных пользователей.


 Когда дело дошло, чтобы избежать интеллектуального анализа корпоративных данных, ваши метаданные не будут столь же полезными, особенно если вы используете сервис chat api, который изначально не получает прибыли от ваших данных.  Кто избегает слежки, спонсируемой государством, метаданные могут быть убийственными.


 Шифрование


 В статье не будут подробно рассказываться о лучших видах сквозного шифрования (E2EE), но необходимо обсудить, есть ли оно у вашего мессенджера chat api.


 Популярное приложение chat api для обмена сообщениями Telegram больше всего подверглось критике за это.  Telegram сообщает на своей домашней странице, что «сообщения Telegram сильно зашифрованы и могут самоуничтожиться».  Однако это утверждение верно лишь отчасти.  Да, вы можете настроить свои сообщения на самоуничтожение, что является отличной функцией конфиденциальности для некоторых chat api, и да, они предлагают шифрование, но они не говорят пользователям, что шифрование не включено ещё по умолчанию.


 Такие приложения, как Signal, chat api и Wickr, по умолчанию предлагают E2EE.  Менее популярные, но быстрорастущие приложения chat api, такие как Riot, предлагают E2EE, но, как и Telegram, не сделали его настройкой по умолчанию, хотя Riot заявляет, что шифрование по умолчанию входит в их дорожную карту.


 Чтобы ваши разговоры были в формате E2EE, это одна из лучших практик, которые вы можете использовать при выборе мессенджера chat api.


 Процесс регистрации


 Когда дело дошшло до ваших целей и модели угроз, вам нужно будет решить, сколько информации готовы предоставить этой компании при регистрации.  Им нужен номер телефона и / или SIM-карта?  Требуется ли им адрес электронной почты,  они позволяют полностью анонимную регистрацию, и насколько анонимно анонимно?  Хранят они эту информацию (помните метаданные) в незашифрованном виде?


 Предоставление номера телефона и адреса электронной почты не будет большой проблемой для многих chat api, поскольку в любой хорошей политике конфиденциальности будет указано, что они не будут использовать их ни в каких целях, кроме тех, для которых вы дали разрешение.  Тем не менее, кто избегает слежки, спонсируемой государством, может быть постоянно меняющийся номер, без номера, или вы не рискуете раскрывать эту информацию.  То же и с электронной почтой.


Итак, вы захотите найти услугу, которая соответствует этой потребности.  Хотя Signal в настоящее время тестирует регистрацию без номера телефона, в настоящее время вы не можете это сделать.  Riot, Wickr, многие службы XMPP не требуют ничего, кроме выбора имени пользователя.


 Исходный код


 Открытый исходный код может быть наиболее часто используемым выражением в вопросах конфиденциальности и безопасности, и не зря.  Очень полезно иметь возможность просмотреть исходный код продукта chat api, которому вы доверяете.  Эксперты смогут искать бэкдоры и другие ошибки.  Организации, которые выбирают открытый исходный код для своего кода, демонстрируют добросовестные усилия для повышения доверия между ними и пользователем.


 Тем не менее, открытый исходный код также может ограничить ваши возможности, опять же, в зависимости от вашей модели угроз и целей.  Signal, chat api и Keybase предлагают репозитории своих приложений с любым открытым исходным кодом, а иногда и само серверное программное обеспечение.


 Открытый исходный код также не означает безопасность.  Это часто неправильно понимают, и люди слышат открытый исходный код и думают, что должно быть хорошо.  Посмотрите на код приложения chat api, который вы хотите использовать, вам не обязательно проверять его, но есть ли другие?  Приложение chat api с открытым кодом, за которым ещё никто не следит, является не более или менее безопасным, чем приложение  chat api с закрытым кодом.


 Wickr, Threema и другие имеют закрытый исходный код.  Они не предлагают возможности проверить источник, но это не исключает их сразу.  Когда у Electronic Frontier Foundation (EFF) была сравнительная таблица приложений  chat api для обмена сообщениями, она поставила chat api 5 звезд.  Он идеально подходит для кого-то вроде Сноудена, но кто избегает Facebook и Google, это может быть полезным вариантом.


 Важно помнить, что невозможно проверить, всегда ли кто-то использует исходный код из своего репозитория в приложении chat api или на сервере, которые загружаете из Apple Store и Google Play.  Когда дело дошлло до этого, репутация становится ключевым фактором в вашем решении, как и доверие, о чем мы поговорим дальше.


 Если не знаете, что здесь делать, всегда лучше придерживаться открытого исходного кода, имеющего большую базу участников и хорошую репутацию.  Всегда лучше использовать варианты с открытым кодом, когда они доступны, и рекомендовать закрытый исходный код только тогда, когда нет подходящего варианта с открытым кодом.  Обычно это хороший способ выбрать и приложение chat api для обмена сообщениями.


 Собственность или доверие


 Часто упускается из виду, но становится всё более важной частью выбора безопасного мессенджера chat api, кому принадлежит компания, которая предоставляет ваши услуги?  Что будет в выигрыше или в проигрыше от продажи данных и перед кем будет отвечать компания?


 Wire недавно потеряли большое доверие или положение в мире конфиденциальности, потому что они незаметно продали компанию и переместили ее в США.  Они также изменили некоторые части своей политики конфиденциальности, чтобы пользователям было сложнее определить, когда Wire будет предоставлять данные о клиентах.  Они сделали все это, никогда не обновляя своих текущих пользователей о таких изменениях, будь то изменение политики конфиденциальности или переезд в США.


 Wire также привлек более 8 миллионов долларов венчурного финансирования.  Итак, теперь пользователи хотели узнать больше о том, кому принадлежат их данные и какие юрисдикционные права изменились с переходом из Европы в Соединенные Штаты?


 Это вопросы, которые мы должны задать всем службам.  Теперь у Wire есть инвесторы, которым нужно ответить, кто захочет вернуть свои миллионы долларов.


 Signal является некоммерческой организацией, которая не полагается на инвесторов, а вместо этого полагается на пожертвования, спонсорство и гранты.  Из-за своего некоммерческого статуса в США они также должны быть очень прозрачными в отношении не только того, откуда поступают деньги, но и того, как они их тратят.  Таким образом, пользователи могут видеть, куда идут эти деньги и кому они идут.


 Matrix.org (сервис, который использует chat api) работает по той же бизнес-модели, что и Signal, находится в Великобритании, а не в США, они отвечают на пожертвования, партнерства и гранты.  Matrix.org активно поддерживается New Vector, компанией с венчурным капиталом, однако Matrix.org как некоммерческая организация прозрачна в отношении своих расходов, доходов и влияния.


 Не все услуги являются некоммерческими, и это не должно сразу их исключать.  Вы также можете следить за их целями финансирования.  Wire потерял доверие, потому что вместо того, чтобы просто полагаться на регистрацию пользователей, они хотели стать следующим Skype для бизнеса и хотели создать достаточно большую базу пользователей, чтобы привлечь внимание инвесторов.  Между тем, такие приложения, как chat api, хотя и являются коммерческими, прозрачны в отношении привлечения ограниченных инвесторов для обеспечения устойчивости подписок.


 Это может занять некоторое время, потому что важно знать, кто инвесторы и каковы цели организации.  Придется ли им в конечном итоге прибегнуть к сбору данных, чтобы поддерживать себя, если они это сделают, и вы решите покинуть платформу, оставите ли вы данные, которые вы не хотите, чтобы они получали в свои руки?


 Сделайте свой выбор


 Пришло время выбрать мессенджер chat api, и никто не сможет сделать это за вас.  Популярность должна сыграть здесь свою роль, нет смысла присоединяться к новой и будущей службе обмена сообщениями chat api, если у вас также нет ни одного контакта, использующего ее.  Одна из причин популярности Telegram заключается, что им удалось убедить зарегистрироваться более 100 миллионов человек.  Если вы войдете в систему сегодня, вы, вероятно, увидите там группу своих друзей.  Signal не так сильно отстает, другие догоняют.


 Вам нужно будет решить, кому вы доверяете и кому доверяют другие ваши контакты, а затем сравнить все это со своими целями и вашей моделью угроз.  Сколько информации готовы предоставить при регистрации, имеют ли значение метаданные для вашей модели угроз и будет ли выбранная вами услуга продавать себя по самой высокой цене, когда зарегистрируется достаточное количество людей?


 Важно помнить, что не существует универсального решения для всех мессенджеров chat api, и что каждый пользователь должен решить, что лучше для них.  Если кто-то заядлый пользователь WhatsApp или Facebook Messenger, даже Telegram - это шаг в правильном направлении.  Тем не менее, если этот пользователь озабочен большим, чем просто передача данных в Facebook, ему, возможно, потребуется рассмотреть более безопасные варианты.


 Убедитесь, что вы обновляете свои приложения chat api для обмена сообщениями.  Вы не хотите обнаруживать, что вас скомпрометировали, потому что ошибка, обнаруженная в версии 1, была исправлена ​​в версии 2, но вы не потрудились обновить свои приложения chat api.


 И последний совет: пользователи должны быть прилежными и никогда не останавливаться на достигнутом.  Вы должны быть готовы изменить услуги, если цели и ценности выбранного вами посланника изменятся так, что больше не будут соответствовать вашим.  Ищите новости о продажах, слияниях или поглощениях, которые могут поставить под угрозу организацию.