Personal secrets: how to protect your correspondence in messengers
The project manager says Banks.ru - mobile communications and the Internet »Antonina Samsonova.
Now we are using what we could not even dream of before. The Internet at every turn, gadgets for every taste, electronic money, telemedicine, smart homes.
But any coin has a downside. For digital goods we are forced to pay with loss of confidentiality. Our personal data is “walking” on the network, attackers can get into an electronic wallet, and personal correspondence often becomes public.
Is it possible in such circumstances to protect your secrets and personal life? Let's get it right.
Who are we protecting ourselves from?
To understand how serious protection methods should be used, you need to decide who we want to protect our correspondence from.
We are all people, situations and topics for discussion are different, everyone has a personal life. If your relatives and colleagues are not hackers, but ordinary users, then simple device protection is enough. Login password and timely updating of the operating system. And be sure to ensure that your devices (in whole or in part) do not fall into the wrong hands.
For example, you communicate with a smartphone and use one of the following instant messengers: WhatsApp, Viber and Telegram. The strength of these programs (and their weaknesses) is the use of a phone number as a unique identifier.
Without access to the number, no one will get into your correspondence. But the phone number is your SIM card. Any person who has your phone or SIM card in their hands automatically becomes you for the messenger.
If you recall how often cybercriminals commit data thefts by re-issuing SIM cards, this method of protection no longer looks reliable.
Here, two-factor authentication comes to the rescue: if you protect the messenger with a password, no one but you will get to private messages.
We figured it out. And who else can read your messages? First of all, the administrators of the messengers themselves, intelligence agencies and attackers. And here everything is much more interesting.
End-to-end encryption
Most security professionals recognize the end-to-end encryption method as one of the most reliable. It protects against virtually any unauthorized entry into correspondence.
Data is transmitted on the network and stored on the server of the administrator of the messenger in encrypted form, and the keys are available only to the participants in the conversation. Thus, neither the special services, nor the administration of the messenger, nor the attackers will gain access to the keys.
Let's see how it works. At the beginning of the communication session, each of the interlocutors generates two keys. One key - open - is transmitted over the network to the interlocutor and works to encrypt the message.
The second - closed - remains on the device. The private key is used to decrypt messages. Decrypting data is possible only with this key. It is not transmitted anywhere, the correspondence becomes protected.
Do all popular instant messengers automatically use end-to-end encryption? Unfortunately no. And here we come to the aid of security experts and the detection of targeted attacks.
Until recently, most instant messengers did not encrypt messages. So, in Telegram end-to-end encryption is implemented only in the secret chat function, which appeared at the end of 2013. In this case, no one will be able to access messages or replace information (neither the provider nor the messenger developer).
It is important to understand that secret chats, and therefore end-to-end encryption, are available only to mobile device users. In desktop versions, this feature is not available (the exception is macOS). Signal-based end-to-end encryption has recently been used by other programs: WhatsApp, Facebook Messenger and Google Allo.
Viber has implemented the Proteus protocol, but it is practically Signal. In general, an ordinary user can consider their correspondence in these messengers protected. But these messengers will not protect against hacking by stealing iCloud or Google Accounts, since they make backup copies of the history of correspondence in the cloud in unencrypted form. While Signal, WIRE and Telegram do not copy the history of correspondence to the cloud.
Andrey Voronov
Cezurity CTO
Dangerous and secure networks
Now there is a lot of talk about the insecurity of open Wi-Fi. Caution should be exercised when using confidential data on shared networks. This is certainly true.
Particular attention should be paid to payment data. It is not recommended to use a mobile bank on a shared Wi-Fi network, as the password is easy to intercept (as well as peek over your shoulder).
And what about messengers? Oddly enough, open Wi-Fi networks do not pose any threat to the secrecy of your correspondence if the messenger uses end-to-end encryption. If your data is not encrypted, it can easily "leak" into the network.
Big brother is watching you
My favorite horror story since Snowden’s revelations is that special services, even ours, even strangers, constantly monitor everyone.
On this wave, people begin to defend themselves in any way possible: they seal the eyes of cameras on devices, delete them from social networks, and use fictitious accounts. The privacy of correspondence in such conditions becomes even more important for the user.
Let's take a sober look, can special services gain access to our correspondence?
Suppose the messenger administration does not use end-to-end encryption, but encrypts data transmitted over the network. That is, it makes no sense to intercept them.
But on the messenger server they are stored in the open, or in an easily decrypted form by the administration. So, if necessary, the administration can request this data. And she has the right to provide them.
Do not forget also that, as I wrote above, you can get data simply by seizing the user's device or gaining remote access to it. Therefore, modern antiviruses, timely software updates and original passwords will protect your device and your personal life from most threats.
But if all of the above is not enough for you to feel protected, then here is the advice from the director of the department of security analysis of Digital Security Alexei Tyurin.
If you need to use the specific messenger that does not support end-to-end encryption as safely as possible, the only working and proven option is to use PGP encryption. This is a special program and library of functions that allows not only to encrypt text, but also use a digital signature for files and data.
PGP encrypted data is a text that can be sent in the messenger, by mail, printed on a printer and transmitted personally. Neither messenger administrators nor attackers will be able to see the contents of your correspondence.
But you need to remember metadata: they still have access to the list of interlocutors, the time of sending messages and the IP address by which you can set your location accurate to the city.
Alexey Tyurin
Director of Security Analysis, Digital Security
Personal secrets: how to protect your correspondence in messengers
The project manager says Banks.ru - mobile communications and the Internet »Antonina Samsonova.
Now we are using what we could not even dream of before. The Internet at every turn, gadgets for every taste, electronic money, telemedicine, smart homes.
But any coin has a downside. For digital goods we are forced to pay with loss of confidentiality. Our personal data is “walking” on the network, attackers can get into an electronic wallet, and personal correspondence often becomes public.
Is it possible in such circumstances to protect your secrets and personal life? Let's get it right.
Who are we protecting ourselves from?
To understand how serious protection methods should be used, you need to decide who we want to protect our correspondence from.
We are all people, situations and topics for discussion are different, everyone has a personal life. If your relatives and colleagues are not hackers, but ordinary users, then simple device protection is enough. Login password and timely updating of the operating system. And be sure to ensure that your devices (in whole or in part) do not fall into the wrong hands.
For example, you communicate with a smartphone and use one of the following instant messengers: WhatsApp, Viber and Telegram. The strength of these programs (and their weaknesses) is the use of a phone number as a unique identifier.
Without access to the number, no one will get into your correspondence. But the phone number is your SIM card. Any person who has your phone or SIM card in their hands automatically becomes you for the messenger.
If you recall how often cybercriminals commit data thefts by re-issuing SIM cards, this method of protection no longer looks reliable.
Here, two-factor authentication comes to the rescue: if you protect the messenger with a password, no one but you will get to private messages.
We figured it out. And who else can read your messages? First of all, the administrators of the messengers themselves, intelligence agencies and attackers. And here everything is much more interesting.
End-to-end encryption
Most security professionals recognize the end-to-end encryption method as one of the most reliable. It protects against virtually any unauthorized entry into correspondence.
Data is transmitted on the network and stored on the server of the administrator of the messenger in encrypted form, and the keys are available only to the participants in the conversation. Thus, neither the special services, nor the administration of the messenger, nor the attackers will gain access to the keys.
Let's see how it works. At the beginning of the communication session, each of the interlocutors generates two keys. One key - open - is transmitted over the network to the interlocutor and works to encrypt the message.
The second - closed - remains on the device. The private key is used to decrypt messages. Decrypting data is possible only with this key. It is not transmitted anywhere, the correspondence becomes protected.
Do all popular instant messengers automatically use end-to-end encryption? Unfortunately no. And here we come to the aid of security experts and the detection of targeted attacks.
Until recently, most instant messengers did not encrypt messages. So, in Telegram end-to-end encryption is implemented only in the secret chat function, which appeared at the end of 2013. In this case, no one will be able to access messages or replace information (neither the provider nor the messenger developer).
It is important to understand that secret chats, and therefore end-to-end encryption, are available only to mobile device users. In desktop versions, this feature is not available (the exception is macOS). Signal-based end-to-end encryption has recently been used by other programs: WhatsApp, Facebook Messenger and Google Allo.
Viber has implemented the Proteus protocol, but it is practically Signal. In general, an ordinary user can consider their correspondence in these messengers protected. But these messengers will not protect against hacking by stealing iCloud or Google Accounts, since they make backup copies of the history of correspondence in the cloud in unencrypted form. While Signal, WIRE and Telegram do not copy the history of correspondence to the cloud.
Andrey Voronov
Cezurity CTO
Dangerous and secure networks
Now there is a lot of talk about the insecurity of open Wi-Fi. Caution should be exercised when using confidential data on shared networks. This is certainly true.
Particular attention should be paid to payment data. It is not recommended to use a mobile bank on a shared Wi-Fi network, as the password is easy to intercept (as well as peek over your shoulder).
And what about messengers? Oddly enough, open Wi-Fi networks do not pose any threat to the secrecy of your correspondence if the messenger uses end-to-end encryption. If your data is not encrypted, it can easily "leak" into the network.
Big brother is watching you
My favorite horror story since Snowden’s revelations is that special services, even ours, even strangers, constantly monitor everyone.
On this wave, people begin to defend themselves in any way possible: they seal the eyes of cameras on devices, delete them from social networks, and use fictitious accounts. The privacy of correspondence in such conditions becomes even more important for the user.
Let's take a sober look, can special services gain access to our correspondence?
Suppose the messenger administration does not use end-to-end encryption, but encrypts data transmitted over the network. That is, it makes no sense to intercept them.
But on the messenger server they are stored in the open, or in an easily decrypted form by the administration. So, if necessary, the administration can request this data. And she has the right to provide them.
Do not forget also that, as I wrote above, you can get data simply by seizing the user's device or gaining remote access to it. Therefore, modern antiviruses, timely software updates and original passwords will protect your device and your personal life from most threats.
But if all of the above is not enough for you to feel protected, then here is the advice from the director of the department of security analysis of Digital Security Alexei Tyurin.
If you need to use the specific messenger that does not support end-to-end encryption as safely as possible, the only working and proven option is to use PGP encryption. This is a special program and library of functions that allows not only to encrypt text, but also use a digital signature for files and data.
PGP encrypted data is a text that can be sent in the messenger, by mail, printed on a printer and transmitted personally. Neither messenger administrators nor attackers will be able to see the contents of your correspondence.
But you need to remember metadata: they still have access to the list of interlocutors, the time of sending messages and the IP address by which you can set your location accurate to the city.
Alexey Tyurin
Director of Security Analysis, Digital Security
Personal secrets: how to protect your correspondence in messengers
Original message
Личные тайны: как защитить свою переписку в мессенджерах
Рассказывает руководитель проекта «Банки.ру — мобильная связь и интернет» Антонина Самсонова.
Сейчас мы пользуемся тем, о чём раньше не могли и мечтать. Интернет на каждом шагу, гаджеты на любой вкус, электронные деньги, телемедицина, «умные» дома.
Но у любой медали есть обратная сторона. За цифровые блага мы вынуждены платить утратой конфиденциальности. В сети «гуляют» наши личные данные, злоумышленники могут залезть в электронный кошелёк, а личная переписка часто становится достоянием общественности.
Можно ли в таких условиях защитить свои тайны и личную жизнь? Давайте разбираться.
От кого мы защищаемся
Чтобы понять, насколько серьёзные методы защиты стоит применять, нужно определиться, от кого мы хотим защитить нашу переписку.
Все мы люди, ситуации и темы для обсуждения бывают разные, у всех есть личная жизнь. Если ваши близкие и коллеги не хакеры, а обычные пользователи, то достаточно простой защиты устройства. Пароль на вход и своевременное обновление операционной системы. И обязательно следить за тем, чтобы ваши устройства (полностью или частично) не попадали в чужие руки.
К примеру, вы общаетесь со смартфона и используете один из следующих мессенджеров: WhatsApp, Viber и Telegram. Сильная сторона этих программ (и их же слабость) — использование номера телефона в качестве уникального идентификатора.
Не имея доступа к номеру, никто в вашу переписку не заберётся. Но номер телефона — это ваша SIM-карта. Любой человек, у которого в руках оказался ваш телефон или сама SIM-карта, автоматически становится вами для мессенджера.
Если вспомнить, как часто злоумышленники совершают кражи данных с помощью перевыпуска SIM-карт, такой способ защиты уже не выглядит надёжным.
Тут нам приходит на помощь двухфакторная аутентификация: если защитить мессенджер ещё и паролем, никто, кроме вас, не доберётся до личных сообщений.
С этим разобрались. А кто ещё может читать ваши сообщения? Прежде всего, администраторы самих мессенджеров, спецслужбы и злоумышленники. И тут всё гораздо интереснее.
End-to-end-шифрование
Большинство специалистов по безопасности признают метод end-to-end-шифрования одним из самых надёжных. Он защищает практически от любого несанкционированного проникновения в переписку.
Данные передаются в сети и хранятся на сервере администратора мессенджера в зашифрованном виде, а ключи доступны только участникам разговора. Таким образом, ни спецслужбы, ни администрация мессенджера, ни злоумышленники доступа к ключам не получат.
Давайте разберёмся, как это работает. В начале сеанса связи у каждого из собеседников генерируются по два ключа. Один ключ — открытый — передаётся по сети собеседнику и работает для зашифровки сообщения.
Второй — закрытый — остаётся на устройстве. Закрытый ключ используется для расшифровки сообщений. Расшифровать данные можно только при помощи этого ключа. Он никуда не передаётся, переписка становится защищённой.
Все ли популярные мессенджеры автоматически используют end-to-end-шифрование? К сожалению, нет. И тут нам приходят на помощь специалисты по безопасности и обнаружению целенаправленных атак.
До недавнего времени большинство мессенджеров не шифровало сообщения. Так, в Telegram end-to-end-шифрование реализовано только в функции секретных чатов, которая появилась в конце 2013 года. В этом случае никто не сможет получить доступ к сообщениям или подменить информацию (ни провайдер, ни разработчик мессенджера).
Важно понимать, что секретные чаты, а значит и end-to-end-шифрование, доступны только пользователям мобильных устройств. В десктопных версиях эта функция отсутствует (исключением является macOS). Недавно end-to-end-шифрование на базе Signal стало использоваться другими программами: WhatsApp, Facebook Messenger и Google Allo.
Viber внедрил протокол Proteus, но это практически Signal. В целом, обычный пользователь может считать свою переписку в этих мессенджерах защищённой. Но от взлома путём кражи аккаунтов iCloud или Google Account эти мессенджеры не защитят, так как они делают резервные копии истории переписки в облаке в незашифрованном виде. Тогда как Signal, WIRE и Telegram не копируют историю переписки в облако.
Андрей Воронов
технический директор Cezurity
Опасные и безопасные сети
Сейчас много разговоров ведётся о небезопасности открытых Wi-Fi. О том, что при использовании конфиденциальных данных в общих сетях следует соблюдать осторожность. Это, безусловно, так.
Особенное внимание надо уделить платёжным данным. Не рекомендуется использовать мобильный банк в общей сети Wi-Fi, так как пароль легко перехватить (а также подсмотреть через плечо).
А что же с мессенджерами? Как ни странно, открытые Wi-Fi-сети не представляют никакой угрозы тайне вашей переписки, если мессенджер использует end-to-end-шифрование. Если же ваши данные не шифруются, то легко могут «утечь» в сеть.
Большой брат следит за тобой
Любимая страшилка со времен разоблачений Сноудена состоит в том, что спецслужбы, хоть наши, хоть чужие, постоянно за всеми следят.
На этой волне люди начинают защищаться любыми доступными способами: заклеивают глазки камер на устройствах, удаляются из социальных сетей, используют вымышленные аккаунты. Тайна переписки в таких условиях становится ещё важнее для пользователя.
Давайте взглянем трезво, могут ли спецслужбы получить доступ к нашей переписке?
Предположим, администрация мессенджера не использует end-to-end-шифрование, но шифрует данные, передаваемые по сети. То есть перехватывать их нет смысла.
Но на сервере мессенджера они хранятся в открытом, либо в легко дешифруемом администрацией виде. Значит, при необходимости у администрации эти данные можно запросить. И она имеет право их предоставить.
Не стоит забывать также и о том, что, как я уже писала выше, получить данные можно, просто завладев устройством пользователя или получив к нему удалённый доступ. Поэтому современные антивирусы, своевременное обновление ПО и оригинальные пароли защитят ваше устройство и вашу личную жизнь от большинства угроз.
Но если всего вышеперечисленного вам недостаточно, чтобы чувствовать себя защищённым, то вот совет от директора департамента анализа защищенности Digital Security Алексея Тюрина.
Если вам нужно максимально безопасно использовать конкретный мессенджер, который не поддерживает end-to-end-шифрование, единственный рабочий и проверенный вариант — использовать шифрование PGP. Это специальная программа и библиотека функций, позволяющая не только шифровать текст, но и использовать цифровую подпись для файлов и данных.
Зашифрованные PGP данные представляют собой текст, который можно отправить в мессенджере, по почте, распечатать на принтере и передать лично. Ни администраторы мессенджера, ни злоумышленники не смогут посмотреть содержимое вашей переписки.
Но нужно помнить о метаданных: им всё ещё доступен список собеседников, время отправки сообщений и IP-адрес, по которому можно установить ваше местоположение с точностью до города.
Алексей Тюрин
директор департамента анализа защищенности Digital Security
Личные тайны: как защитить свою переписку в мессенджерах
Рассказывает руководитель проекта «Банки.ру — мобильная связь и интернет» Антонина Самсонова.
Сейчас мы пользуемся тем, о чём раньше не могли и мечтать. Интернет на каждом шагу, гаджеты на любой вкус, электронные деньги, телемедицина, «умные» дома.
Но у любой медали есть обратная сторона. За цифровые блага мы вынуждены платить утратой конфиденциальности. В сети «гуляют» наши личные данные, злоумышленники могут залезть в электронный кошелёк, а личная переписка часто становится достоянием общественности.
Можно ли в таких условиях защитить свои тайны и личную жизнь? Давайте разбираться.
От кого мы защищаемся
Чтобы понять, насколько серьёзные методы защиты стоит применять, нужно определиться, от кого мы хотим защитить нашу переписку.
Все мы люди, ситуации и темы для обсуждения бывают разные, у всех есть личная жизнь. Если ваши близкие и коллеги не хакеры, а обычные пользователи, то достаточно простой защиты устройства. Пароль на вход и своевременное обновление операционной системы. И обязательно следить за тем, чтобы ваши устройства (полностью или частично) не попадали в чужие руки.
К примеру, вы общаетесь со смартфона и используете один из следующих мессенджеров: WhatsApp, Viber и Telegram. Сильная сторона этих программ (и их же слабость) — использование номера телефона в качестве уникального идентификатора.
Не имея доступа к номеру, никто в вашу переписку не заберётся. Но номер телефона — это ваша SIM-карта. Любой человек, у которого в руках оказался ваш телефон или сама SIM-карта, автоматически становится вами для мессенджера.
Если вспомнить, как часто злоумышленники совершают кражи данных с помощью перевыпуска SIM-карт, такой способ защиты уже не выглядит надёжным.
Тут нам приходит на помощь двухфакторная аутентификация: если защитить мессенджер ещё и паролем, никто, кроме вас, не доберётся до личных сообщений.
С этим разобрались. А кто ещё может читать ваши сообщения? Прежде всего, администраторы самих мессенджеров, спецслужбы и злоумышленники. И тут всё гораздо интереснее.
End-to-end-шифрование
Большинство специалистов по безопасности признают метод end-to-end-шифрования одним из самых надёжных. Он защищает практически от любого несанкционированного проникновения в переписку.
Данные передаются в сети и хранятся на сервере администратора мессенджера в зашифрованном виде, а ключи доступны только участникам разговора. Таким образом, ни спецслужбы, ни администрация мессенджера, ни злоумышленники доступа к ключам не получат.
Давайте разберёмся, как это работает. В начале сеанса связи у каждого из собеседников генерируются по два ключа. Один ключ — открытый — передаётся по сети собеседнику и работает для зашифровки сообщения.
Второй — закрытый — остаётся на устройстве. Закрытый ключ используется для расшифровки сообщений. Расшифровать данные можно только при помощи этого ключа. Он никуда не передаётся, переписка становится защищённой.
Все ли популярные мессенджеры автоматически используют end-to-end-шифрование? К сожалению, нет. И тут нам приходят на помощь специалисты по безопасности и обнаружению целенаправленных атак.
До недавнего времени большинство мессенджеров не шифровало сообщения. Так, в Telegram end-to-end-шифрование реализовано только в функции секретных чатов, которая появилась в конце 2013 года. В этом случае никто не сможет получить доступ к сообщениям или подменить информацию (ни провайдер, ни разработчик мессенджера).
Важно понимать, что секретные чаты, а значит и end-to-end-шифрование, доступны только пользователям мобильных устройств. В десктопных версиях эта функция отсутствует (исключением является macOS). Недавно end-to-end-шифрование на базе Signal стало использоваться другими программами: WhatsApp, Facebook Messenger и Google Allo.
Viber внедрил протокол Proteus, но это практически Signal. В целом, обычный пользователь может считать свою переписку в этих мессенджерах защищённой. Но от взлома путём кражи аккаунтов iCloud или Google Account эти мессенджеры не защитят, так как они делают резервные копии истории переписки в облаке в незашифрованном виде. Тогда как Signal, WIRE и Telegram не копируют историю переписки в облако.
Андрей Воронов
технический директор Cezurity
Опасные и безопасные сети
Сейчас много разговоров ведётся о небезопасности открытых Wi-Fi. О том, что при использовании конфиденциальных данных в общих сетях следует соблюдать осторожность. Это, безусловно, так.
Особенное внимание надо уделить платёжным данным. Не рекомендуется использовать мобильный банк в общей сети Wi-Fi, так как пароль легко перехватить (а также подсмотреть через плечо).
А что же с мессенджерами? Как ни странно, открытые Wi-Fi-сети не представляют никакой угрозы тайне вашей переписки, если мессенджер использует end-to-end-шифрование. Если же ваши данные не шифруются, то легко могут «утечь» в сеть.
Большой брат следит за тобой
Любимая страшилка со времен разоблачений Сноудена состоит в том, что спецслужбы, хоть наши, хоть чужие, постоянно за всеми следят.
На этой волне люди начинают защищаться любыми доступными способами: заклеивают глазки камер на устройствах, удаляются из социальных сетей, используют вымышленные аккаунты. Тайна переписки в таких условиях становится ещё важнее для пользователя.
Давайте взглянем трезво, могут ли спецслужбы получить доступ к нашей переписке?
Предположим, администрация мессенджера не использует end-to-end-шифрование, но шифрует данные, передаваемые по сети. То есть перехватывать их нет смысла.
Но на сервере мессенджера они хранятся в открытом, либо в легко дешифруемом администрацией виде. Значит, при необходимости у администрации эти данные можно запросить. И она имеет право их предоставить.
Не стоит забывать также и о том, что, как я уже писала выше, получить данные можно, просто завладев устройством пользователя или получив к нему удалённый доступ. Поэтому современные антивирусы, своевременное обновление ПО и оригинальные пароли защитят ваше устройство и вашу личную жизнь от большинства угроз.
Но если всего вышеперечисленного вам недостаточно, чтобы чувствовать себя защищённым, то вот совет от директора департамента анализа защищенности Digital Security Алексея Тюрина.
Если вам нужно максимально безопасно использовать конкретный мессенджер, который не поддерживает end-to-end-шифрование, единственный рабочий и проверенный вариант — использовать шифрование PGP. Это специальная программа и библиотека функций, позволяющая не только шифровать текст, но и использовать цифровую подпись для файлов и данных.
Зашифрованные PGP данные представляют собой текст, который можно отправить в мессенджере, по почте, распечатать на принтере и передать лично. Ни администраторы мессенджера, ни злоумышленники не смогут посмотреть содержимое вашей переписки.
Но нужно помнить о метаданных: им всё ещё доступен список собеседников, время отправки сообщений и IP-адрес, по которому можно установить ваше местоположение с точностью до города.
Алексей Тюрин
директор департамента анализа защищенности Digital Security
Личные тайны: как защитить свою переписку в мессенджерах