 |
07.10.2024, 21:20
|
|
Новичок
Регистрация: 20.02.2022
Сообщений: 0
С нами:
2226531
Репутация:
0
|
|
Введение
Всех приветствую! Наверняка вы, как и все пользуетесь такими мессенджерами как WhatʻsApp, Signal, Viber или Telegram, потому что там есть важные чаты по работе, друзья, родственники и т.д. Очень удобные, централизованные мессенджеры, которые уже совсем скоро могут заменить веб-браузер или приложения для прослушивания музыки, так напимер, в Telegram можно прослушивать песни через специальных ботов, смотреть фильмы, играть в игры и даже зарабатывать. Всё что я выше описал можно отнести разве что к Telegram, WhatʻsApp в своих возможностях намного скромнее.
Недавно воздушно-транспортная жандармерия Франции задержала основателя соцсети «ВКонтакте» и кроссплатформенного мессенджера Telegram - интернет-предпринимателя Павла Дурова, его обвиняли в соучастии в контрабанде наркотиков, мошенничестве, отмывании денег и сокрытии педофильского контента. Казалось бы, это конец для Telegram... Но нет, 28 августа Павел был отпущен под залог в 5 млн евро. А 23 сентября Дуров сообщил, что теперь Telegram будет выдавать IP-адреса и телефоны нарушителей по решению суда. Так что это был конец не для Telegram, а его свободы. Конечно, итак очевидно, что Telegram собирал пользовательские данные, но вроде в расскрытии информации властям, он не попадался. Тотальный контроль со стороны корпораций и государств уже близко, оправдания, что это в целях безопасности уже не работают. Как всегда, у меня для вас есть решение - Свободные мессенджеры. Те, мессенджеры о которых пойдёт речь, являются открытым ПО, имеют лицензию GPL-v3.0, полностью бесплатные, может быть централизованными или децентрализованными, могут работать без Интернета. Приятного чтения!
Проблемы "свободных" и не очень свободных мессенджеров
Проблема Telegram
В этой главе мы разберём почему такой популярный мессенджер как Telegram является небезопасным.
1. Клиент Telegram является свободным ПО, даже доступен из репозитория F-droid, НО как указано на странице Telegram в F-droid, свежие версии Telegram публикуются с некоторой задержкой. Это наталкивает на некоторые сомнения в честности приложения.
2. Серверная часть Telegram является ПОЛНОСТЬЮ закрытой. Переписка в Telegram осуществляется без сквозного шифрования и храниться на серверах, что позволяет синхронизировать переписки между устройствами. Но вместе с этим, серверу доступно содержимой этой самой переписки. Да, у телеграм есть кнопка "секретный чат", которая позволяет обмениваться контентом с шифрованием, однако тесты показали что попытки совершить "секретный звонок", этот звонок изменялся на незашифрованный, в истории он также отмечался как незашифрованный.
3. Приязка номера телефона к аккаунту, требуя его для регистрации в обязательном порядке.
4. Просит доступ к телефонной книге и может осуществлять импорт контактов.
Учитывая всё вышеперечисленное, Telegram, никак не может являться безопасным и приватным мессенджером.
Проблема Signal
В отличие от Telegram, Signal является полностью свободным ПО. Его код распространяется под лицензией GPL-v3. Хоть Signal и является свободным ПО, из репозиторев F-droid его скачать не получится =(. На основе открытого кода Signal, истузиасты разработали LibreSignal, но разрабочики оригинального Signal запретили работать LibreSignal на серверах Signal. Signal точно также привязывает аккаунт к номеру телефона. Signal также практикует импорт контактов на сервера Signal. Хоть как и заявляют сами разработчики Signal, что номера их пользователей хранятся в хешированном виде, но из-за малого объёма возможных хешей, такая защита не очень устойчива к Bruteforce. Хоть Signal и выглядит привлекательнее Telegram, рекомендовать его к использованию я не могу.
Проблема Wire
В отличие от Signal и Telegram, wire предоставляет его использование без привязки номера телефона, возможность привязать есть, но в качестве электронной почты. Также Wire, как и Signal, полностью свободное ПО. Но не смотря на свободную лицензию, пользовательское соглашение данного продукта имеют некоторые ограничения. Так, например, если вы захотите на основе Wire собрать собственный Fork, то вы обязаны завязать его работу на серверах wire. Такое правило очевидно, противоречит правилам свободы, а значит использовать этот мессенджер, нежелательно. Точно также, как и Signal, Wire отстуствует в репозиториях F-droid.
Проблема WhatʻsApp
WhatʻsApp распространяется под проприетарной лицензией. Это значит,что пользователь не может ни проверить, что делает программа, ни изменить её как ему нужно. Пользователь не контролирует программу. Её контролирует корпорация, которая ей владеет - Meta. Соответственно, Meta имеет над пользователями WhatʻsApp власть. Как и почти всегда бывает в таких случаях, эта власть подталкивает корпорацию к внедрению впрограмму вредоносных особенностей. WhatʻsApp точно также имеет возможность загрузки списка контактов. При регистрации пользователю приходит СМС с кодом подтверждения.При этом WhatʻsApp требует разрешения на доступ к чтению СМС, и получая его, прочитывает содержатание сообщения. А затем и вовсе все СМС. WhatʻsApp собирает и сливает корпорации личные данные пользователя,сведения о его устройствах и его контактах, о чем прямо сказано в их Политике конфиденциальности. Также выяснилось, что удаленные сообщения в WhatʻsApp удаляются не полностью и подлежат восстановлению. WhatʻsApp - это несвободное и небезопасное средство, собирающее данные пользователей и отдающее их напроизвол контролирующей корпорации. Причем под угрозой оказывается нетолько информация непосредственных пользователей WhatʻsApp, но и их близких, друзей, знакомых, которые, возможно, даже не пользуются этим приложением.
Каким мессенджером можно пользоваться свободно?
Briar- Приложение имеет наиболее сложную систему добавления собеседников, но эта сложность обусловлена меньшей вероятностью, того, что кто-то сможет выдать себя за другого человека. И таким образорм, вы можете слить какую-то конфиденциальную информацию. Briar имеет поддержку общения как посредством обычного интернета (имеет возможность общаться посредством пропуска трафика через Tor и мосты), так и с помощью Bluetooth. Что очень полезно, при отключении интернета, стихийных бедствий и т.п. У Briar крайне высокая стабильность, но как и все децентрализованные мессенджеры, Briar не может отправлять сообщения будучу оффлайн. Briar имеет свои недостатки, в первую очередь briar позволят осуществлять только обмен сообщениями (Нет возможности звонить или отправлять медиа-файлы). Briar стал доступен для ПК.
Лицензия: GNU General Public License v3.0 or later
Репозиторий: code.briarproject.org/briar/briar
Язык: Java, Kotlin
Веб-сайт: Secure messaging, anywhere - Briar
Jami- В отличие от Briar он является полнофункциональным, т.е есть возможность загружать аудио, видео файлы, а также звонить. Но к сожалению, Jami уступает по стабильности Briar. Также Jami доступен для ПК.
Лицензия: GNU General Public License v3.0 or later
Репозиторий: git.jami.net
Язык: C++, C
Веб-сайт: Jami
Tox- это протокол, для общения и существует больше количество клиентов для взаимодействия с ним. Доступен обмен сообщениями, файлами, осуществление голосовой и видео связи. Стабильность хорошая.
Лицензия: GNU General Public License v3.0 or later
Репозиторий: GitHub - TokTok/c-toxcore: The future of online communications.
Язык: C
Веб-сайт: tox.chat
Jitsi meet - это гибридный [S]мессенджер[/S] средство для VoIP-связи, т.е он может неполностью использовать централизацию. Позволяет осуществлять голосовые и видео звонки. Внутри конференций присутствет чат. Есть возможность трансляции рабочего стола и трансляции видео с YouTube. Для общения Jitsi Meet создаёт приватные комнаты, войти в которые можно зная их название или если создатель комнаты зашифровал её с помощью пароля, то для входа потребуется ещё и пароль. Аккаунтов в Jitsi Meet нет. Jitsi Meet доступен для ПК и Мобильные устройства.
Лицензия:Apache-2.0
Репозиторий: GitHub - jitsi/jitsi: Jitsi is an audio/video and chat communicator that supports protocols such as SIP, XMPP/Jabber, IRC and many other useful features.
Язык: Java, JavaScript, TypeScript, Lua
Веб-сайт: jitsi.org
Matrix - это децентрализованный протокол. Каждый может создать собственный сервер, благодаря этому формируется сеть федеративных распределённых серверов и уничтожить полностью общение невозможно. Имеется поддержка отправки аудио, видео файлов. Для общения с помощью Matrix существует большое количество клиентов. По моему опыту, протокол Matix и его клиент Element является наилучшим сочетанием на сегодняшний день.
Основывается на: HTTP, WebRTC
Веб-сайт: matrix.org
XMPP - наиболее старый протокол из всех что я описал в этой статье. Данный протокол будет очень сложен в освоении для новичков. Зарегистрировать аккаунт на доступных серверах крайне тяжело. Серверов в отличие от Matrix много, но очень многие из них имеют ряд проблем. XMPP заставяет самостоятельно активировать сквозное шифрование. Наиболее продвинутый метод шифрования является OMEMO. Стабильность очень плохая.
Веб-сайт: xmpp.org
MEGA - большой централизованный инструмент. Проект не является полностью свободным ПО, хотя исходный код открыт, но накладываются определённые коммерческие ограничения, а это противоречит правилам свободы. Следовательно, данного проекта нет в репозиториях F-droid. Mega имеет привязку к электронной почте.
Лицензия: MEGA Limited Code Review Licence
Репозиторий: Mega Limited
Язык: PHP, C++, JavaScript, Java, Objective-C
Веб-сайт: mega.co.nz,mega.io, mega.nz
Kontalk - является федеративным клиентом, т.е каждый может поднять свой сервер. Обмен возможен только сообщениями фото и видео. Имеет привязку к номеру телефона. Стабильность не очень хорошая. Базируется на XMPP.
Лицензия: GNU General Public License v3.0 or later
Веб-сайт: kontalk.org
RetroShare - отличительная особенность является черезвычайно богатый функционал. Присутсвуют функции публикации, ведения форумов, каналов и т.д. Криптоплатформа RetroShare относится к классу darknet-сетей, топология которых подразумевает осуществление соединений и обмен данными лишь с определёнными участниками сети и исключает как внешние контакты, так и непосредственные контакты с другими участниками, не входящими в окружение пользователя. IP-адреса участников криптосети недоступны друг другу, за исключением ограниченного круга участников. Для передачи данных используется собственный протокол передачи, где элементом адресации пакета является не IP-адрес, а 128-битное случайное число — анонимный идентификатор. За пределами личного окружения установить IP-адреса участников принципиально невозможно, в связи с чем даже простой подсчёт количества участников тёмной сети представляет собой нетривиальную задачу. Любая файлообменная и коммуникационная деятельность анонимна, в том числе если обмен пакетами ведётся с участником из ближнего окружения. В связи с применением сквозного шифрования данных промежуточные узлы не имеют возможности определить характер и содержание передаваемого трафика.
Лицензия: GPL, LGPL
Репозиторий: GitHub - RetroShare/RetroShare: RetroShare is a Free and Open Source cross-platform, Friend-2-Friend and secure decentralised communication platform.
Язык: С++
Веб-сайт: retroshare.cc
Status- это комплексный инструмент. Помимо простого общения имеется криптокошелёк и веб-браузер. Не требуется предоставлять личные данные для регистрации. Инструмент можно назвать децентрализованным, вы можете отказаться от использования каких-либо нод. Вы можете поднять собственную ноду. Сообщения хранятся 1 месяц, после - удаляются. Приложение доступно для ПК и Телефона.
Веб-сайт: status.app
Session - полностью свободный мессенджер, предоставляет механизам анонимизации передаваемых данных, в нём используются механизмы луковой маршрутизации, однако затрагивается не сеть тор, а формируется собственная сеть своих серверов. Повсеместно используется сквозное шифрование. Для создания аккаунтов не требуется предоставлять личные данные. Связь осуществляется через цепочку серверов.
Лицензия: BSD-3-Clause, MIT, GPL-3.
Репозиторий: GitHub - oxen-io/session-android: A private messenger for Android.
Веб-сайт: getsession.org
Molly FOSS - мессенджер как и Signal, использует собственный код Google для поддержки некоторых функций, о чём написано на официальном сайте проекта. Поэтому его использование недопустимо.
Лицензия: AGPL-3.0 license
Репозиторий: GitHub - mollyim/mollyim-android: Enhanced and security-focused fork of Signal.
Язык: Java, Python, Kotlin, JavaScript
Веб-сайт: molly.im
SimpleX - первый мессенджер который работает без идентификации пользователя. SimpleX вместо идентификаторов пользователей, используемых всеми другими платформами, использует временные анонимные парные идентификаторы очередей сообщений, отдельные для каждого из ваших подключений. Такая конструкция предотвращает утечку любых метаданных пользователей на уровне приложения. Для дальнейшего повышения конфиденциальности и защиты IP-адреса предлогается подключаться к серверам обмена сообщениями через Tor.
Лицензия: AGPL-3.0 license
Репозиторий: GitHub - simplex-chat/simplex-chat: SimpleX - the first messaging network operating without user identifiers of any kind - 100% private by design! iOS, Android and desktop apps !
Язык: Kotlin, Swift, JavaScript, TypeScript
Веб-сайт: simplex.chat
Заключение
В этой статье мы с вами рассмотрели много свободных и не очень свободных инструментов для коммуникации. По-моим личным рекомендациям, могу посоветовать Session, Element+Matrix, Briar. Эти мессенджеры/протоколы стабильные и понятные для неопытных пользователей. Пользуйтесь только свободным программным обеспечением и будьте в безопасности! Всем пока!
|
|
|
07.10.2024, 22:22
|
|
Познающий
Регистрация: 14.05.2024
Сообщений: 82
С нами:
1054291
Репутация:
0
|
|
Спасибо за пост
|
|
|
|
31.10.2024, 14:30
|
|
Новичок
Регистрация: 30.10.2024
Сообщений: 0
С нами:
810956
Репутация:
0
|
|
Прекрасно.... Учитывая разные возможности вацап и телеграм для спецслужб - эти популярные мессенджеры совсем не безопасны...
|
|
|
|
13.11.2024, 18:21
|
|
Новичок
Регистрация: 12.11.2024
Сообщений: 0
С нами:
792004
Репутация:
0
|
|
Коротко и по делу, хорошая статья.
|
|
|
|
08.12.2024, 22:35
|
|
Новичок
Регистрация: 07.12.2024
Сообщений: 0
С нами:
755751
Репутация:
0
|
|
У Matrix есть проблема, присущая федеративным сетям — ужасная утечка метаданных Matrix notes - anarcat и владение данными https://anarc.at/blog/2022-06-17-matrix-notes/#data-retention-defaults . У него нет прямой секретности, клиент Element имеет большую поверхность атаки и существует длинный список других проблем https://telegra.ph/why-not-matrix-08-07 . Более того, разработчики очень дружны с различными национальными полицейскими агентствами https://element.io/blog/bundesmessenger-is-a-milestone-in-germanys-ground-breaking-vision/.
------
Дефолтный и самый крупный сервер для регистрации аккаунтов в сети matrix - matrix.org сломал федеративность. А именно нарушил обмен ключами шифрования со всеми остальными серверами.
Юзеры с аккаунтами на matrix.org могут общаться между собой. Но не могут расшифровать сообщения от юзеров с аккаунтами на любых других серверах. Ошибка “unable to decrypt message” в Element и “message could not be decrypted due to missing key” в Nheko.
При этом нет никаких проблем с ключами между юзерами любых других серверов.
То есть, matrix.org окуклился. Вынуждая всех остальных (кто поднимал собственные серверы или регистрировался на маленьких серверах компаний, например) заводить учётки в matrix.org, чтобы не потерять связь с большей частью людей в сети.
Разрабы молчат, как шпионы: https://github.com/matrix-org/matrix.org/issues/2483
Хотя проблема наблюдается минимум с конца июля.
------
Статьи с подробными причинами, почему не стоит выбирать matrix
Why We Abandoned Matrix: The Dark Truth About User Security and Safety
WE HAVE MOVED TO SIMPLEX Anyone that agrees to our Code of Conduct is welcome to join our Simplex Hack Liberty Community Room and our Simplex server, a decentralized, metadata resistant alternative to Matrix! Incognito profiles welcome! Hack Liberty SMP Server...
forum.hackliberty.org
https://www.nuegia.net/articles/matrix.xhtml
Security Issues in Matrix’s Olm Library - Dhole Moments
I don’t consider myself exceptional in any regard, but I stumbled upon a few cryptography vulnerabilities in Matrix’s Olm library with so little effort that it was nearly accidental. It…
soatok.blog
|
|
|
|
08.12.2024, 22:52
|
|
Новичок
Регистрация: 07.12.2024
Сообщений: 0
С нами:
755751
Репутация:
0
|
|
Причины почему лучше избегать RetroShare и TOX Instant Messenger Chat
Уязвимость в TOX Tox Handshake Vulnerable to KCI · Issue #426 · TokTok/c-toxcore
На github tox сказано, что проект находится в альфа режиме, а также не проходил никогда аудиты. Мессенджер не обновляется несколько лет.
Мнение мембера форума xss про мессенджер RetroShare и риски его использования https://******/threads/123042/post-867472
независимо от клиента, сервер XMPP всегда сможет видеть ваш список контактов. Кроме того, стороны на стороне сервера (например, администраторы, злоумышленники, правоохранительные органы) могут вставлять произвольные сообщения, изменять адресные книги, регистрировать пароли в открытом виде и действовать как посредник.
Стоит напомнить про MiTM атаку на сертификат сервера jabber . ru Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service —
Никакой ценности в статье нет, просто краткое перечисление мессенджеров. Таких статей, табличек и полноценных сравнений множество.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
