На фоне сообщений о передаче данных пользователей WhatsApp корпорации Facebook (владелец компания Meta признана в России экстремистской и запрещена) люди начали искать альтернативные сервисы. В связи с этим было зафиксировано резкое увеличение числа пользователей мессенджеров Telegram и Signal. Однако, если с Telegram россияне знакомы хотя бы заочно, Signal не имеет в стране широкого распространения и остается для многих темной лошадкой.
Прототипами Signal стали приложения для защищенного обмена сообщениями TextSecure и сервис RedPhone, призванный обеспечить безопасность голосовых вызовов. Их создателями являются ИБ-исследователь Мокси Марлинспайк и робототехник Стюарт Андерсон. В 2014 году эти сервисы были объединены под единым брендом Signal.
В 2018 году Марлинспайк, который ныне является генеральным директором Signal, вместе с одним из создателей WhatsApp Брайаном Эктоном создали фонд Signal Foundation, целью которого является поддержка и развитие одноименного мессенджера, а также распространение безопасных коммуникаций во всем мире. Эктон покинул Facebook в 2017 году после продажи WhatsApp Марку Цукербергу. Впоследствии он не раз говорил, что жалеет о своем решении.
Сейчас Эктон заявляет, что действия Facebook буквально вынуждают пользователей выбирать Signal.
«Эти небольшие события подтолкнули многих пользователей покинуть WhatsApp. Мы также рады тому, что вопрос о сохранении приватности в интернете был поднят, и люди выбрали Signal как ответ на этот вопрос. Это великая возможность для Signal развиваться и дать людям альтернативный мессенджер», — цитирует Эктона TechCrunch.
Из-за того, что основной акцент в разработке Signal делается на конфиденциальность, его часто называют «самым безопасным мессенджером». Пользоваться Signal рекомендовали Илон Маск и Эдвард Сноуден.
Так, на прошлой неделе Илон Маск опубликовал пост в Twitter-аккаунте, где коротко и лаконично написал: «Пользуйтесь Signal».
Эдвард Сноуден, отвечая на вопрос одного из пользователей Twitter о том, есть ли причины доверять Signal, сообщил о том, что сам им пользуется.
«Вот одна из причин: я пользуюсь им каждый день и до сих пор не умер», — пошутил Сноуден.
Еще в 2015 году экс-сотрудник АНБ США также говорил о том, что пользуется Signal в повседневной жизни. Впоследствии он рекомендовал должностным лицам общаться именно в этом мессенджере, потому что он может обеспечить конфиденциальность переписки в отличие от WhatsApp.
Как рассказал «Газете.Ru» исследователь вредоносного ПО в Avast Адольф Стреда, большинство современных мессенджеров основаны на так называемом протоколе Signal — это нефедеративный криптографический протокол, который может использоваться для обеспечения сквозного шифрования голосовых вызовов, видеозвонков и обмена мгновенными сообщениями.
При этом большинство из этих сервисов пожертвовали частью безопасности, обеспечиваемой протоколом, ради удобства — например, возможности добавить клавиатуру с GIF-файлами и другие аналогичные инструменты, которые используют внешний провайдер.
Создатель Signal Мокси Марлинспайк заработал хорошую репутацию в криптографическом сообществе, отмечает Стреда. Он исследовал атаки на протокол SSL (потомок TLS), который обеспечивает шифрование в интернете (HTTPS). Одна из таких атак позволила злоумышленнику полностью удалить этот защитный слой, открыв все конфиденциальные данные. Его раскрытие этой уязвимости помогло поднять планку безопасности в интернете. Все эти моменты, наряду с его известным отвращением к слежке, придают достоверность заявлениям Signal о его безопасности.
Все представленные на рынке мессенджеры можно разделить по назначению на популярные и конфиденциальные, рассказывает Дмитрий Пятунин, директор по ИТ компании Oberon. Популярные приложения удобны в использовании, так как с большей вероятностью установлены на каждом устройстве и зачастую обладают функционалом социальных сетей — публичных чатов и каналов.
«Люди выбирают Signal из-за успешной маркетинговой стратегии разработчика. Он позиционирует Signal как безопасный мессенджер, который обеспечит конфиденциальность переписки и защиту от спама», — сообщил Пятунин.
Руководитель группы инженеров по работе с партнерами Check Point Software Technologies Сергей Забула пояснил «Газете.Ru», что Signal рекомендуют из-за наличия продвинутой системы шифрования, которая гарантированно защитит переписку, звонки и передаваемые файлы пользователей от несанкционированного перехвата третьими лицами.
«Мессенджер использует для всех чатов по умолчанию так называемое «end-to-end» или сквозное шифрование, что обеспечивает доступ к содержимому переписки только для ее участников — даже команда самого мессенджера или оператор связи не имеют возможности перехватить данные. Также Signal обладает открытым исходным кодом, который доступен любому желающему для аудита безопасности — например, независимым специалистам. Протокол, используемый Signal, прошел независимый аудит безопасности учеными из университетов Великобритании, Австралии и Канады и был признан безопасным и устойчивым к атакам», — рассказал Забула.
Он добавил, что, например, в Telegram тоже существует сквозное шифрование, но им защищены только «секретные» чаты.
«Telegram использует для сквозного шифрования протокол MTProto 2.0, в котором было исправлено много недочетов предыдущей версии MTProto. В частности теперь применяются более безопасные криптографические алгоритмы. Только независимый аудит безопасности сможет выявить преимущества или недостатки протокола MTProto 2.0, как это происходило с первой версией протокола», — заявил эксперт.
Руководитель департамента разработки Cross Technologies Александр Тюрников также выделил наличие открытого кода в Signal как преимущество мессенджера.
«Каждый может проверить, что в программе нет бэкдоров, которые намеренно встраиваются разработчиками для получения доступа к личным данным или же других шпионских программ. Кроме того, Signal собирает минимум информации о пользователе, в отличие от Telegram, который может получать доступ к списку контактов, и уж тем более от WhatsApp, который не только собирает большое количество данных, но и передаёт их в Facebook», — заявил Тюрников.
По словам Александра Ревского, исполнительного директора iMARS Communications, основным отличием Signal от других мессенджеров является заявляемый объем собираемой и используемой приложением информации.
«Так, Signal сообщает, что использует лишь номер телефона пользователя и более никакой информации, тогда как даже Telegram уже «видит» вашу контактную информацию, ваши контакты и user ID», — говорит эксперт.
Между тем, Ревский предполагает, что большинство пользователей, перешедших в Signal и Telegram за последние несколько дней, скорее поддались эффекту «все побежали и я побежал», поскольку вряд ли значительный процент из тех десятков миллионов вновь зарегистрировавшихся в этих двух приложениях детально понимают, какие их данные в реальности доступны и чем оба мессенджера безопаснее всех остальных.
Однако эксперт предупреждает, что стопроцентной защиты своих пользователей не может обеспечить ни одна компания мира. В качестве примера можно вспомнить историю двухгодичной давности, когда выяснилось, что при переходе с Signal в виде расширения для браузера Chrome на настольную версию мессенджер выкладывает на диск пользовательского устройства всю переписку в незашифрованном виде вместе со всеми вложениями. Это позволяло скопировать любую информацию из любой переписки без необходимости ее дешифровки.
«Таким образом, говорить о полной безопасности какого-либо из мессенджеров невозможно. Все они в той или иной мере уязвимы», — заключил собеседник «Газеты.Ru».