Telegram і WhatsApp – OK. Viber і VK – не.
Мноства праграмаў прапаноўваюць бясплатныя аўдыё- і відэаразмовы. Ды некаторыя не выклікаюць даверу: можа, сілавікі здатныя праслухаць размовы. «Белсат» расказвае, якой праграме лепш даверыць перамовы, – і што раяць «Кіберпартызаны».
Сілавікі ў Беларусі ўмеюць (і гэта легальна) праслухоўваць тэлефанаванні з мабільных і гарадскіх тэлефонаў. Нават могуць шпіёніць праз роўтары – прылады, што прапускаюць інтэрнэт да карыстальнікаў. Аўдыё- і відэаразмовы праз інтэрнэт праслухаць цяжэй, чым прачытаць SMS ці скрасці гісторыю браўзера.
Можна спакойна карыстацца любымі мэсэнджарамі з серверамі па-за межамі Беларусі і Расеі, кажуць «Кіберпартызаны». Ёсць больш абароненыя і менш абароненыя сродкі аўдыё- і відэасувязі, але звычайным беларусам можна не баяцца размаўляць праз Skype, Telegram ці WhatsApp. А вось у небяспечнасці Viber і VK «Кіберпартызаны» не сумняюцца.
Ці не да кожнага сказу ніжэй можна дадаваць «імаверна» альбо «хутчэй за ўсё». Напрыклад, на момант публікацыі не вядома, каб шыфраванне ў Signal паспяхова ўзламалі, але на наступны дзень па публікацыі можа выявіцца, што ўсё ж узламалі. Або, напрыклад, на момант публікацыі не вядома, каб распрацоўнікі Telegram супрацоўнічалі з расейскімі спецслужбамі ці распрацоўнікі WhatsApp выдавалі сілавікам тое, чаго не мусілі б, – але гэта не значыць, што яны дакладна не робяць такога таемна.
У той жа час, калі вы карысталіся праграмай, што не выклікае поўнага даверу, гэта не значыць, што вашыя размовы ў ёй ужо запісаныя. Трэба ж не толькі абысці абарону праграмы, а яшчэ мець чалавечыя ці камп’ютарныя «вушы», каб слухаць. А сілавікам зручней карыстацца банальным гвалтам, «сацыяльнай інжынерыяй» (то бок падманам) ці старамоднымі «жучкамі».
Калі серверы праграмы месцяцца ў Беларусі і Расеі, гэта не значыць, што ўсе размовы там дакладна праслухоўваюць, але значыць, што пры жаданні могуць праслухаць або даведацца ўскосныя звесткі (metadata) пра тое, хто з кім размаўляў. «Кіберпартызаны» катэгарычна не раяць правяраць на ўласным досведзе, праслухаюць ці не праслухаюць важную размову.
Viber заяўляе, што выкарыстоўвае канцавое або скразное шыфраванне (end-to-end encryption – звесткі шыфруюцца на адной прыладзе і расшыфроўваюцца на другой, а па дарозе застаюцца зашыфраванымі). Праўда, як адзначаюць кіберпартызаны, у адрозненне ад Telegram, Signal ці WhatsApp, ён не паказвае ключоў шыфравання. Але значная частка распрацоўнікаў праграмы – родам з Беларусі, кампанія мае офісы ў Беларусі і ўваходзіць у Парк высокіх тэхналогіяў. Калі сілавікі захочуць узламаць які-небудзь мэсэнджар, то Viber можа зрабіцца лёгкай мішэнню праз тое, што працаўнікі кампаніі пад рукой.
VK і «Аднакласнікі» цяпер фактычна пад кантролем расейскай дзяржавы. Некалі папулярны ICQ цяпер таксама ўваходзіць у карпарацыю «VK», як і «Мой мир», і «ТамТам». Да таго ж, VK выконвае патрабаванні рэжыму Аляксандра Лукашэнкі.
WeChat жа – кітайская праграма, якую дакладна выкарыстоўваюць для сачэння як мінімум за кітайцамі. Нельга выключаць, што яе могуць скарыстаць і супраць беларусаў.
Signal мае канцавое шыфраванне, а таксама ён мае адкрыты зыходны код (open source). За гэта праграму хваляць спецыялісты ў бяспецы: калі сілавікі і атрымаюць доступ да трафіку, узламаўшы правайдара ці распрацоўніка, то не змогуць расшыфраваць, што ў тым трафіку было, а кожны спецыяліст можа праверыць, што праграма не робіць чагосьці непажаданага.
І з гэтым праблема: Signal ужо вядомы сілавікам, ён можа прыцягваць увагу пры «праверцы тэлефона» і быць падставай для дадатковых падазрэнняў. Паводле «Кіберпартызанаў», за само карыстанне Signal не пакараюць, але трэба мець верагодны адказ на пытанне сілавікоў, навошта гэтая праграма ўсталяваная.
Таксама ў Signal акаўнты рэгіструюцца на нумар тэлефона, якога нельга схаваць. Таму калі сілавікі ў Беларусі атрымаюць фізічны доступ да прылады, яны змогуць зразумець з гісторыі выклікаў, з кім размаўляў чалавек.
«Кіберпартызаны» раяць для найбольш бяспечных размоваў іншыя праграмы з канцавым шыфраваннем і адкрытым кодам, але без прывязкі да нумару тэлефона: Session і Wire, праграмы на пратаколе Matrix. Але, як і ў выпадку з Signal, карыстальніку гэтых праграмаў трэба прыдумаць тлумачэнне на выпадак праверкі тэлефона сілавікамі ў Беларусі. Звычайны ўчастковы ці баец ГУБАЗіКу наўрад ці будзе знаёмы з такімі праграмамі, а ў працаўніка Камітэту дзяржаўнай бяспекі пытанні пра «нетыповыя» для звычайнага беларуса праграмы ўжо могуць узнікнуць.
Такімі мэсэнджарамі таксама раяць карыстацца праз VPN, бо іначай іх выкарыстанне можа заўважыць і занатаваць правайдар, а ад правайдара пра гэта могуць дазнацца сілавікі. Для яшчэ большай бяспекі ў Matrix можна нават зрабіць уласны сервер (self-hosted server) на схаванай прасторы ў памяці.
Ды, як адзначаюць «Кіберпартызаны», гэта ўсё – «калі вы прам партызан-партызан». Звычайным беларусам, кажуць хакеры, можна не баяцца весці размовы і праз больш звыклыя праграмы.
Папулярныя ў Беларусі мэсэнджары Telegram і WhatsApp у большасці рэйтынгаў лічацца надзейнымі і абароненымі (напрыклад, у такім ад «PCMag» або такім ад «NordVPN»), хоць і не адкрываюць свайго коду. Для аўдыё- і відэавыклікаў у іх выкарыстоўваецца канцавое шыфраванне.
Для бяспечных аўдыё- і відэаразмоваў праз Telegram не трэба нават ставіць «Партызанскі Тэлеграм» – той патрэбны больш для таго, каб схаваць «экстрэмісцкія» (на думку сілавікоў) падпіскі і перапіску з «непажаданымі» (для сілавікоў) кантактамі. Абарона аўдыё- і відэаразмоваў ёсць і ў звычайным, «непартызанскім» Telegram. Хіба звычайная тэкставая перапіска ў Telegram не мае канцавога шыфравання – яно ёсць у сакрэтных чатах, асобных ад звычайных.
У аўдыё- і відэавыкліках Telegram прапаноўвае забаўны паказнік шыфравання: абодва карыстальнікі бачаць падчас размовы набор з карцінак-эмодзі (напрыклад, домік-коцік-банан-рыбка) і могуць перапытаць адзін аднаго, ці аднолькавы ў іх набор карцінак. Калі не супадае, то значыць, штосьці пайшло не так.
У WhatsApp, як і ў Signal, нельга схаваць нумар тэлефона карыстальніка, а ў Telegram – можна.
Ды «Кіберпартызаны» адзначалі, што ў стандартным рэжыме званкоў у Telegram сілавікі (P2P – чалавек да чалавека) могуць адсачыць праз IP-адрасы, хто каму тэлефанаваў, – і дзе гэтыя людзі былі ў час размовы. Гэтак сама – у Signal. Але ў Signal і нават у «непартызанскай» версіі Telegram можна ўключыць такі рэжым, калі выклікі будуць ісці праз сервер, і тады вызначыць, хто каму тэлефанаваў, будзе цяжэй. У «партызанскай» версіі Telegram гэта можна наладзіць больш дакладна. У WhatsApp жа размовы адразу ідуць праз сервер, а не чалавек да чалавека, а ў выпадку Matrix трэба выбраць спецыяльнага кліента ці рэжым працы, каб размовы ішлі не праз сервер, а P2P.
Гэтыя праграмы не займаюць першых месцаў у топах інфабяспекі, але для бальшыні беларусаў будуць дастаткова бяспечнымі.
FaceTime ад «Apple» і Skype, якім цяпер валодае «Microsoft», маюць уключанае паводле змаўчання канцавое шыфраванне і лічацца дастаткова надзейнымі, хай іхны код і закрыты. Праўда, з FaceTime таксама ёсць праблема дасяжнасці: пачаць выклік можна толькі з прылады кампаніі «Apple», хоць падключыцца да ўжо распачатай размовы можна з браўзера на Windows ці Android.
Google Meet (раней – Google Duo) можа быць зручнейшым бяспечным варыянтам для беларусаў: праграма мае канцавое шыфраванне і не прыцягвае шмат увагі падчас звычайнай «праверкі» тэлефона, бо не надта вядомая ў Беларусі і можа не ўспрымацца шараговым сілавіком як мэсэнджар. Але малая папулярнасць у краіне дае відавочны мінус: давядзецца перавучвацца. Затое, распачаць і прыняць выклік можна нават без усталёўвання праграмы, а проста з браўзера, і далучыцца да размовы можна цалкам ананімна, без Google-акаўнту.
Facebook Messenger мусіў бы быць настолькі ж бяспечны, як WhatsApp, бо абедзве праграмы належаць карпарацыі «Meta». Але, у адрозненне ад WhatsApp, на момант публікацыі Facebook яшчэ не мае канцавога шыфравання для звычайных выклікаў, а толькі для аўдыё- і відэаразмоваў у спецыяльных зашыфраваных чатах, дасяжных з мабільных прыладаў.
Падобная сітуацыя з Microsoft Teams: шыфраванне аўдыё- і відэавыклікаў яшчэ трэба ўключыць. А ў Zoom трэба, каб усе суразмоўцы такое ўключылі (а ў вялікіх і важных канферэнцыях праз Zoom трэба яшчэ, каб стваральнік размовы ведаў, каго пускае, і не выключаў «пакой чакання»).
Наўрад ці сілавікі з Беларусі змогуць праслухаць размовы звычайных беларусаў праз гэтыя праграмы, нават калі ў іх не ўключанае канцавое шыфраванне.
Але «Кіберпартызаны» лічаць, што канцавое шыфраванне тут – «апошняе, пра што трэба хвалявацца», бо ў тым жа Zoom людзей з дваровых чатаў вызначалі іншым чынам, праз IP-адрасы.
Ці можна верыць распрацоўнікам Telegram, калі частка акцыянераў яшчэ ў Расеі, а заснавальнік праекту расеец Павел Дураў? Мо ён і не жыве ў Расеі, але быў вымушаны пакінуць «дзіру» ў кодзе для расейскіх сілавікоў, а тыя падзяліліся «дзірой» з беларускімі? Ды калі ўкраінскія афіцыйныя асобы карыстаюцца Telegram для публічнай камунікацыі нават у час вайны з Расеяй, супраца Telegram з расейскімі спецслужбамі выглядае сумнеўнай.
«Кіберпартызаны» дадаюць: сілавікі з Беларусі не стануць збіраць інфармацыю з сервераў Telegram пра «простага смяротнага», нават калі такое тэарэтычна магчыма. Весці перамовы праз Telegram хакеры не раяць хіба палітыкам узроўню Аб’яднанага пераходнага кабінету, працаўнікам офісу Святланы Ціханоўскай ці актывістам кшталту саміх «Кіберпартызанаў».
А ці можна давяраць амерыканскім праграмам? Можа, WhatsApp пад кантролем Марка Цукербэрга супрацоўнічае не толькі з амерыканскімі спецслужбамі, а можа, выконвае не толькі законныя запыты? А «Apple» пад кіраўніцтвам Тыма Кука праўда-праўда адхіліла ўсе сумнеўныя запыты амерыканскіх сілавікоў? А Google, а Microsoft?..
«Кіберпартызаны» лічаць, што звычайным беларусам можна не баяцца карыстацца мэсэнджарамі гэтых кампаніяў, калі карыстальнікі выконваюць законы ЗША і Еўразвязу. Для беларускіх актывістаў праслухоўванне амерыканскімі спецслужбамі – не рызыка. Ды і наяўнасць на тэлефоне папулярных мэсэнджараў не будзе выклікаць пытанняў у сілавікоў.
На тэлефоне ці камп’ютары аднаго з суразмоўцаў можа працаваць шпіёнская праграма – напрыклад, такая, якая запісвае гук мікрафона і дынаміка. Тады не дапамогуць ніякае шыфраванне і ніякі адкрыты зыходны код.
Вядомыя выпадкі, калі сілавікі ў Беларусі выкарыстоўваюць фізічныя катаванні, каб выбіць з людзей паролі. Спецслужбы дакладна маюць іншыя сродкі сачэння, як то распазнаванне твараў. Адназначна могуць скарыстаць выкрадзеныя запісы, калі іх рабіў хтосьці з удзельнікаў размовы.
Але ці маюць шпіёнскія праграмы ўзроўню «Pegasus» – пытанне. Прынамсі, на момант публікацыі не было вядомых выпадкаў, каб сілавікі ў Беларусі мелі і актыўна выкарыстоўвалі праграмы, здольныя праслухаць відэаразмову праз Telegram ці WhatsApp.
Алесь Наваборскі belsat.eu
