Анонимные мессенджеры без номера телефона

Анонимные мессенджеры без номера телефона

Содержание статьи

Недавно на «Хакере» был опрос «Какой мессенджер ты считаешь самым надежным для хакера?», и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Крабе отаке!!1

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрали другие критерии — на наш взгляд, более важные.

Критерии

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

  • централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
  • федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: электронная почта, Jabber (XMPP), Riot Matrix;
  • децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Читайте также:  Умные часы q50 с gps отзывы

Telegram

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Viber

Лицензия: проприетарная
Степень централизации: централизованный
Возможность анонимной регистрации и работы: только по номеру телефона
Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
Уведомление о проверке отпечатков E2EE: нет
Запрет на скриншоты секретных чатов: есть
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: нет

Читайте также:  Можно ли в кино со своими напитками

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

В эпоху, когда технологии развиваются семимильными шагами, та технология, которая еще вчера считалась сверх защищенной, может оказаться не готовой к очередной атаке, что может привести к утечке данных. Поэтому вопрос защиты и шифрования переписки перед разработчиками мессенджеров стоит особо остро.

Особенно остро ощущают те компании, где переписка хранится на серверах мессенджера. Это дает пользователям, как массу преимуществ, так и ряд минусов, представленных ниже.

  • Нет необходимости хранить переписку и тем самым занимать память в телефоне, т.к. все есть на сервере и в любой момент это можно скачать и посмотреть;
  • Появляется посредник в виде сервера с данными, для которого также требуется своя защита;

Актуальные системы защиты

На данный момент большинство мессенджеров переходят на более прогрессивный тип защиты переписок пользователей в виде end-to-end шифрования. В данном случае, шифрование происходит на клиенте пользователя в момент отправки сообщения.

Перехват переписки, быть может и возможен, но фактически бесполезен т.к. нет подбор ключа может занять годы. Ключом шифрования является уникальный, присваиваемый каждому телефону код, принцип генерации которого невозможно узнать, не являясь приближенным к команде криптографов мессенджера.

Единственный способ получения переписки это установка специальных кей-логеров, которые будут считывать текст, набираемый на клавиатуре еще до его отправки на шифрование. Но это проблема пользователя, а не месенджера.

Мессенджер Tukan

На просторах сети плавно набирает популярность новый проект, который совмещает в себе ряд важных свойств, отсутствующих в более популярных мессенджерах.

Без номера телефона

Да, особенностью популярных месенджеров является регистрация и привязка аккаунта к номеру телефона. Эдакой аналог фразы «все под колпаком»! Вариантов, почему выбран такой подход, может быть множество:

  • Снижения объема спам-аккаунтов из-за необходимости покупки физических сим-карт;
  • Точная идентификация страны проживания по номеру телефона и более объективная статистика из-за абсурдности применения VPN;
  • Более качественный со стороны разработчика контроль учетных записей и предотвращение их кражи, т.к. для доступа потребуется наличие сим-карты и ввод кода из СМС;
  • Другие, более неприятные причины;

По-настоящему приватный мессенджер не должен использовать номер телефона вообще никак и таковым является Tukan. предлагает регистрацию без номера телефона, а для совсем параноиков и десктопный клиент, где можно более эффективно применять VPN и скрывать свою гео-локацию со 100% результатом.

End-to-end и дополнительный PIN

Выше уже упоминал, что на данный момент такой подход считается наиболее защищенным. А для большей конфиденциальности предусмотрен PIN-код, без ввода которого невозможно прочитать переписку

Читайте также:  Как достать жесткий диск из ноутбука acer

Удобный интерфейс

Интерфейс очень поход на другие мессенджеры, что, в свою очередь, ведет к узнаваемости и быстрой адаптации. Все кнопки на своих местах и т.д.

Правительство РФ совместно с Роскомнадзором утвердило новые правила использования электронных мессенджеров, с которыми подробно можно ознакомиться здесь. Теперь перед использованием мессенджера необходимо пройти определенную процедуру по идентификации личности, которая привязана к номеру телефона. Однако закручивая гайки в очередной раз, власти забыли о том, что не все мессенджеры требуют привязки к номеру телефона.

Мессенджеры, которые не требуют номер телефона при регистрации:

Skype

Принято считать, что WhatsApp и Viber, которые больше всего пострадают от новых правил, создавались как альтернатива Skype. Старый, проверенный временем месседжер пользуется широкой популярностью и сегодня. Скайп можно использовать через веб-браузер, не устанавливая само приложение. При регистрации достаточно указать только почтовый ящик и не вводить номер телефона. Главный минус Skype в том, что изначально он создавался как PC-программа, поэтому его мобильная версия требует больше ресурсов смартфона, нежели Viber или WhatsApp.

Skype в Google Play

Skype в AppStore

Google Hanghouts

Гугловский сервис для мгновенного обмена сообщениями и видеоконференций. Обладает примерно равным со Скайпом функционалом и также может быть использован через веб-браузер без установки мобильного приложения. Однако он менее популярен по сравнению со Skype. Не требует привязки к телефону, но привязывается к гугл-аккаунту.

Google Hanghouts в Google Play

Threema

Если предыдущие мессенджеры не могут похвастаться высокой защищенностью, но Threema представляет собой швейцарский аналог Telegram и отличный выбор для параноика. Для регистрации аккаунта не нужен не только телефон, но даже почтовый ящик. Программа присваивает вам специальный идентификатор, с помощью которого в будущем будет определяться ваша учетная запись. Как и в Telegram, также создаются уникальные ключи для шифрования и дешифрования сообщений. Через Threema можно отправлять текстовые сообщения, фото, видео, свою геолокацию и создавать групповые чаты. Мессенджер платный, однако цена его колеблется от 129 до 229 руб., но никто не мешает вам на свой страх и риск бесплатно скачать apk файл.

Threema в Google Play за 199 руб.

Threema в AppStore за 229 руб.

Threema в Windows Store за 129 руб.

Signal Messenger

Signal Messenger является любимым мессенджером самого Эдварда Сноудена, что уже немало. Вдобавок его разработкой занималась компания Open Whisper Systems, специализирующаяся на протоколах шифрования, которые можно встретить в WhatsApp и GoogleAllo. По функционалу Signal Messenger ничем не уступает большинству популярных мессенджеров.

Signal Messenger в Google Play

Сервисы, которые можно использовать без номера телефона

Некоторые мессенджеры на данный момент требуют подтверждения телефона при регистрации, но если вы уже имеете зарегистрированный аккаунт, то уведомления о подтверждении номера можно просто игнорировать. Конечно, после нововведений правительства все может измениться, но пока ничто не мешает безнаказанно пользоваться данными мессенджерами.

ICQ

Сейчас зарегистрировать icq номер без телефона не удастся, но если у вас уже есть аккаунт, зарегистрированный до 2015 года, телефонный номер вам не понадобится. Мобильных клиентов для icq-протокола довольно много, часть из них упрощенная (icq, qip), одни — с наличием рекламы, другие без нее, но более замороченные для простого пользователя (Miranda). Впрочем, так как сегодня ICQ контролируется российской компанией mail.ru, наверное, ICQ — это не ваш выбор.

Facebook Messenger

Ситуация аналогична с icq: если регистрировались давно и игнорируете уведомление о подтверждении телефона, тогда нововведения вас не коснутся. Вдобавок вместо мобильного приложения можно использовать веб-сайт непосредственно социальной сети.

Ссылка на основную публикацию
Айфон 5s не работает touch id
Данный материал будет полезен тем, кто попал в ситуацию с поврежденным датчиком Touch ID. Как оказалось, подобная проблема встречается очень...
Zabbix настройка мониторинга cisco
CCNP [Sec, DA] :: CCIE SP понедельник, 14 июля 2014 г. Cisco SNMP в связке с Zabbix Всё руки не...
Zalman z9 крепление hdd
Продукция фирмы Zalman в нашей стране представлена прежде всего разнообразными системами охлаждения и их компонентами; несколько менее известны ее компьютерные...
Айпи телефония на компьютер
Приложения для VoIP (софтфоны) используются для проведения по сетям, основанным на протоколе IP, разговоров, подобных телефонным. Для жилого сектора VoIP-сервисы...
Adblock detector