В современном мире взаимодействие между людьми и организациями стремительно переходит из офлайна в онлайн-формат. Мессенджеры, корпоративные среды для документооборота, платформы для виртуальных конференций — современный человек в среднем использует даже не одно, а несколько приложений для взаимодействия в сети. Совокупная пользовательская база ведущих мессенджеров и приложений соцсетей уже превысила число жителей планеты. Но вместе с ростом использования всё острее встает вопрос безопасности данных, которые передаются через мессенджеры. Сообщения о случаях взлома, утечки и перехвата персональных данных стали появляться с удручающей регулярностью.
Большинство современных мессенджеров не самые безопасные
Содержание
Пользоваться WhatsApp небезопасно
1 мая 2018 года миллиардер Джефф Безос, богатейший человек мира с состоянием почти $190 миллиардов (по оценке Forbes на июль 2020), получил сообщение в одном из самых популярных мессенджеров мира — WhatsApp. Это был видеоролик, который Безосу отправили с номера, предположительно принадлежащего наследному принцу Саудовской Аравии Мухаммеду ибн Салману. Видеофайл содержал вредоносный код, который заразил смартфон и позволил скачать данные, хранящиеся в телефоне миллиардера. Неизвестно, что именно могли украсть хакеры, но девять месяцев спустя Безоса начал шантажировать таблоид National Enquirer, угрожавший опубликовать личные сообщения и интимные фото, полученные с его телефона. Как именно издание получило такие приватные данные, так и не удалось выяснить.
Зато в январе 2020 года, когда стало известно о той атаке 2018 года, выяснилось, что он стал возможен благодаря уязвимости мессенджера. Реакция не заставила себя долго ждать — ООН рекомендовало своим должностным лицам удалить WhatsApp со своих устройств спустя пару дней после публикации статьи об утечке информации из смартфона Джеффа Безоса.
В своем маркетинге WhatsApp использует слова «сквозное шифрование» как некое волшебное заклинание, которое само по себе должно автоматически сделать все коммуникации безопасными. Однако эта технология сама по себе не может гарантировать вам абсолютную конфиденциальность, — не преминул уколоть конкурирующий сервис создатель другого популярного мессенджера, Telegram, Павел Дуров.
Если пристально изучить политику конфиденциальности WhatsApp, то окажется, что мессенджер собирает и хранит огромные базы информации о своих пользователях, включая информацию об устройстве, контакты, местоположение, статусы, метаданные, резервные копии данных. И хотя некоторые из этих данных можно запретить к копированию, большинство пользователей этого не делают, и приложение отправляет информацию в прикрепленную учетную запись Google или iCloud.
Вернуть общению конфиденциальность, а людям — возможность без страха взаимодействовать в онлайне — такой видит свою миссию команда создателей нового мессенджера Omega, который использует быстрый и безопасный протокол Proteus. Этот протокол представляет собой независимую реализацию протоколов Axolotl / Double Ratchet — наследника Off-The-Record, уже много лет прочно удерживающего пальму первенства в сфере защищенных коммуникаций.
Omega является одним из самых безопасных мессенджеров
Безопасное сквозное шифрование опирается на протокол Axolotl — независимую реализацию протокола Double Ratchet, одного из ответвлений известного протокола Off-The-Record (OTR). Это протоколы с открытым исходным кодом, для которых не существует механизмов, позволяющих третьим лицам расшифровать переписку.
Proteus, частью которого является Double Ratchet — это протокол с открытым исходным кодом. Он доступен для изучения, любой специалист может самостоятельно просмотреть его и убедиться в отсутствии уязвимостей и закладок, позволяющих следить за пользователями, — отмечают в команде Cicada3301, разрабатывающей мессенджер Omega, который использует реализацию протокола Double Ratchet в составе протокола Proteus.
Но создатели Omega решили пойти дальше и оснастить мессенджер с широким набором доступных сервисов, сделать приложение по-настоящему удобным, а также продумать функциональность для защищённой деловой коммуникации с надёжным удостоверением подлинности контактов и передаваемых данных.
Что такое Omega IM
Omega IM - это проект с открытым исходным кодом, а значит провести независимый аудит программного кода может широкий круг специалистов.
Omega IM — мессенджер с шифрованием
Omega IM обеспечивает сквозное (End-to-End) шифрование, когда сообщения шифруются на устройстве отправителя, а расшифровываются на устройстве получателя. Для обеспечения сквозного шифрования используются открытая реализация протокола Proteus, включающую методы, предоставляемые библиотекой libsodium. Никто, включая персонал операторов связи, злоумышленников и даже сотрудников Omega Group, не имеет возможности просматривать передаваемые сообщения или каким-то образом их модифицировать. Метод Диффи-Хеллмана, в совокупности с концепцией предварительных ключей, обеспечивает безопасный обмен ключами шифрования на этапе установления диалога. Коммуникация с серверами платформы осуществляется по протоколу SSL с использованием шифрования TLS версии 1.3.
Вся информация на серверах Omega, включая идентификаторы пользователей, записывается в зашифрованном виде в синхронизируемые в реальном времени объектные хранилища, расположенные в территориально удаленных дата-центрах в разных юрисдикциях. Данные хранятся отдельно от ключей шифрования. Таким образом нивелируется риск доступа к данным третьих лицам даже при условии физического доступа к серверам.
В отличие от других популярных мессенджеров, Omega не хранит историю переписки, не раскрывает метаданные, такие как IP-адрес пользователя, не требует привязки к аккаунту соцсетей и доступа к адресной книге. Omega IM предоставит пользователям возможность создавать полностью анонимные аккаунты. Такой подход делает невозможным нежелательную идентификацию пользователя, ведь на серверах хранится только обезличенный идентификатор абонента.
Для обеспечения максимальной приватности пользователей Omega IM использует методы обфускации трафика. Благодаря этому злоумышленники не в силах определить, является ли тот или иной пользователь абонентом Omega.
Почему это важно, наглядно видно из истории с Telegram, которая подвергла сомнению уровень систем безопасности мессенджера с многомиллионной пользовательской аудиторией. В начале лета 2020 в сети появилась база данных миллионов пользователей Telegram c уникальными идентификаторами и телефонными номерами. Мошенникам удалось создать такую базу благодаря встроенной в мессенджер функции импорта контактов при регистрации пользователя. В Omega IM такие риски отсутствуют. Невозможна в Omega и блокировка пользователей – ни по требованиям сторонних организаций, ни по желанию самих разработчиков. ПО мессенджера не допускает такой возможности в принципе.
Функциональность Omega IM включает как привычные сервисы, такие как обмен голосовыми и видеосообщениями, групповые чаты и конференц-звонки, голосовые и видеозвонки, обмен файлами большого размера, так и некоторые не представленные у других мессенджеров услуги. Одна из них — автоматически удаляемые сообщения, что удобно, если пользователь не хочет «засорять» переписку лишними или слишком конфиденциальными данными. Так, можно отправить в групповой чат сообщение о срочной встрече, назначив время удаления сообщения. Еще одна любопытная деталь — это возможность создавать рисунки от руки прямо в окне переписки. Такая функция удобна, если пользователю нужно срочно набросать схему, а времени на использование сторонних сервисов нет. Наконец, самой интересной и нестандартной функцией мессенджера можно назвать фильтры для голосовых сообщений, позволяющие изменить голос или наложить дополнительные эффекты, такие как эхо, эффект большого помещения, эффект людного места и тому подобное. Наличие подобной встроенной функции позволит вывести общение в мессенджере на еще более конфиденциальный уровень.
В Omega есть множество функций, которых нет в других мессенджерах
Разработчики также продумали возможность делиться содержимым экрана (правда, эта функция доступна только в десктопной версии), интеграцию с сервисами YouTube и SoundCloud и встроенную защиту доступа к приложению системным паролем, отпечатком пальца или Face ID (в версии для iOS).
Omega для бизнеса
Omega также можно использовать для корпоративного использования
Отдельного внимания заслуживают функции мессенджера, предусмотренные для корпоративных пользователей. Приложение позволяет вести деловой документооборот между субагентами при помощи цифровой подписи, что упрощает процесс заключения договорных соглашений.
Естественно, следующий вопрос от корпоративных клиентов коснется верификации: как обеспечивается идентификация собеседника, где гарантия, что его аккаунт не был взломан и сообщения отправлены или получены именно ими? Для этого в Omega IM предусмотрена возможность добровольной верификации. Каждый пользователь, прошедший добровольную верификацию, получает видимый для всех собеседников знак, подтверждающий его статус. Также имеются ограничения, касающиеся редактирования и удаления сообщений, отправленных верифицированными пользователями, что позволяет не только достоверно установить отправителя сообщений, но и сохранить целостность, а значит и контекст диалогов. Процедура верификации не занимает много времени и проходит в автоматическом режиме. Процедура верификации личности пользователей OMEGA IM обеспечивается партнёрской компанией, работающей в 150 странах и предоставляющей свои услуги для таких клиентов, как Mail.RU Group, Uber, BlaBlaCar, PhillipBank и Exmo.
Как и в случае с личными переписками пользователей, к документам и персональным данным бизнес-клиентов мессенджера есть доступ только у самих пользователей. Ни сотрудники компании-разработчика, ни сами разработчики к ним доступа не имеют.
Помимо этого, корпоративным клиентам Omega IM предлагает также воспользоваться встроенной платежной системой, основанной на применении токенов стандарта ERC-20. Такие расчеты можно проводить прямо в чате, где ведется документооборот. Это также помогает экономить время, сокращать транзакционные издержки и вести финансовое взаимодействие с субагентами в конфиденциальном и надежном формате.
Расчеты можно вести как в собственной платежной единице мессенджера (токене OMEG), так и в других токенах стандарта ERC-20. Никаких ограничений в выборе платежного средства мессенджер не предполагает. Но для пользователей токена OMEG предусмотрена дополнительная функция — конвертация в фиат и обратно через digital-банк DixiBank, с которым команда Omega заключила партнерское соглашение. Есть и ряд других бонусов: за активное участие в развитии проекта пользователям начисляется вознаграждение в токенах OMEG.
Какой мессенджер выбрать
Было бы нечестным не упомянуть и о возможных недостатках проекта по созданию мессенджера с повышенной степенью конфиденциальности. Во-первых, проект находится еще в разработке. Уже созданы приложения для Android и iOS, но не всеми функциями, о которых говорилось в обзоре, можно в полной мере воспользоваться. Во-вторых, главное богатство любого мессенджера – это его пользователи. Пока пользовательская база Omega IM не в силах конкурировать с крупными и уже получившими широкое распространение мессенджерами.
В то же время, оператор проекта — компания Omega Group Ltd — обещает довести разработку до конца, для чего заключил долгосрочные контракты с ведущими разработчиками проекта. Средний срок трудового контракта — 10 лет. Компания предусмотрела и программу для привлечения пользователей: до сентября 2020 ведется краудфандинговая кампания, в рамках который продаются токены OMEG. Пользователи, купившие в ходе кампании более 100 OMEG, получат бонусы в размере 1% от баланса в токенах.
Таким образом, пока говорить об успехе Omega еще рано, но технические характеристики мессенджера и приверженность команды проекта принципам открытости и прозрачности в части публикации программного кода говорят вызывают однозначный интерес. Особенно в настоящее время, когда пространство для конфиденциального и приватного взаимодействия в онлайне стремительно сужается.
Установить Android-версию мессенджера можно, пройдя по этой ссылке в Google Play, iOS-версия доступна в App Store.
