Чи можуть сучасні месенджери бути водночас і комфортними, і зручними?

krlaboratories@infosec.exchange

Чи можуть сучасні месенджери бути водночас і комфортними, і зручними?

Даю відповідь - не можуть.

Тому що сучасні месенджери - це корпоративні структури з вертикальною ієрархією, які мають бізнес модель і працюють на власників. Ті, у свою чергу, задовільняють потреби "третіх сторін". На цьому базується їх існування. По іншому і бути не може, хто знає що таке бізнес. Саме тому ці месенджери такі розкручені і мають аудиторію на кілька мільярдів. Яку не змогли і не зможуть підняти справжні безпекові рішення.

Користуючись популярними месенджерами - ви берете усі ризики на себе. Запам'ятайте раз і нзавжди: Будь-які дані, які проходять через їхні канали інформації - це вже не ваші дані, це публічні дані, якими ви добровільно поділилися. Попри шифрування, яке існує, але не рятує у певних ситуаціях та схемах.... Як от з WhatsApp, де працювала функція "поскаржитися", через яку повідомлення відправлялися напряму модераторам, які могли їх читати. Аналогічно, хмарні чати Telegram..

Щодо комфорту. Дискусійне питання.

Тому що на практиці комфорт дуже часто суперечить безпеці. Всі ці "фіндіфлюшки" юзабіліті, графічний інтерфейс, автоматизація - часто стають слабкою ланкою в дизайні безпеки. Тому що безпека дуже вимоглива і унеможливлює будь-які витоки, які ми називаємо "комфортом". Так того вимагає модель нульової довіри - Zero Trust Architecture. Будь-яке справжнє наскрізне шифрування, коли ключі зберігаються не на серверах, а на пристрої користувача, в рази ускладнює усі процеси, тому що це додатковий ланцюжок налагодження. Якщо його алгоритм недосконалий, не до кінця продуманий, то в результаті
з часом з'являються численні вразливості, зокрема незадокументовані вразливості нульового дня 0-Zero-Day.

Тому справжні безпекові рішення намагаються уникати будь-якої архітектури, яка передбачає залежність від сторонніх постачальників та різних необгрунтованих, але нібито корисних з точки зору юзабіліті, рішень. Якщо візьмемо будь-який справді захищений додаток комунікації, то це переважно бекенд з чітким алгоритмом та мінімальним інтерфейсом, що дає значно вищу стійкість і надійність.

Телеграм и вотсап поспорили по поводу безопасности. И оба проиграли. Вопрос — могут ли мессенджеры быть одновременно удобными и защищенными — так и остался без ответа — Meduza

10 апреля официальный аккаунт Proton Pass опубликовал сравнительную таблицу мессенджеров, которые можно использовать вместо вотсапа. В ней было указано, как то или иное приложение заботится о безопасности и приватности пользователей. Например, использует ли мессенджер сквозное шифрование, проходит ли он независимый аудит и есть ли у него собственные серверы.

Meduza (meduza.io)