Rahul Ramachandram / Shutterstock.com
истории

Автор Bloomberg Леонид Бершидский назвал сквозное шифрование в мессенджерах рекламным трюком. Специалисты объяснили, почему он не прав

Источник: Meduza

14 мая вышла колонка «Сквозное шифрование WhatsApp — это рекламный трюк» постоянного автора сайта Bloomberg Леонида Бершидского (в прошлом российского и украинского медиаменеджера, основателя и главного редактора многих изданий, в том числе Slon.ru, «Ведомости» и Forbes.ua). Поводом стала новость об уязвимости в WhatsApp, которая позволяет при помощи простого звонка установить на устройство бэкдор. После скрытой установки программа Pegasus производства израильской компании NSO дает своему хозяину доступ к камере, микрофону и сообщениям чужого телефона. Злоумышленник может копировать снимки экрана и фиксировать нажатия клавиш на чужой клавиатуре, что, по мнению Бершидского, делает шифрование бессмысленным. Колонка вызвала много споров среди специалистов, после чего редакция поменяла заголовок и исправила статью.


Вот как выглядит фрагмент колонки Бершидского, который вызвал больше всего возмущения у читателей (перевод «Медузы»):

Сквозное шифрование — это рекламный трюк, который компании типа Facebook используют для создания ложного чувства защищенности у пользователей, обеспокоенных угрозой киберслежки.

Колонка Бершидского и особенно этот фрагмент подверглись резкой критике со стороны других журналистов, пишущих про кибербезопасность, и профессионалов этой отрасли.

«Почему когда люди начинают писать про кибербезопасность, они сразу превращаются в антипрививочников/верующих в плоскую Землю? Единственное, что тут бессмысленного — это вот эта тупая колонка».

«„Трюк“ — это неудачный термин. „Необходимый, но недостаточный“ было бы лучше. Хотя в статье есть и здравая мысль — что шифрование часто подается как решение всех вопросов безопасности, хотя это не так. В целом статья сбивает с толку и даже может быть вредной. WhatsApp — более безопасный мессенджер, чем многие другие средства связи».

«Это все равно что после авиакатастрофы без выживших говорить, что ремни безопасности, надувные трапы и аварийные выходы — это рекламный трюк».

«Отравился в ресторане — значит, идущая по трубам питьевая вода не более чем рекламный трюк».

С почти одинаковыми заголовками («Нет, сквозное шифрование — это не трюк») вышли и статьи в тематических изданиях с критикой колонки Бершидского — например, в AppleInsider и The Next Web.

Что такое сквозное шифрование

Это способ передачи данных, при котором ключи шифрования есть только у отправителя и получателя — и никто, даже владелец сервиса, через который ведется переписка, не может прочитать содержимое сообщений. Сквозное шифрование используется, в частности, в WhatsApp и в секретных чатах мессенджера Telegram.

Использование этого шифрования сопряжено с определенными неудобствами: так как сервер не видит содержимого сообщений, он не может синхронизировать сообщения между несколькими устройствами: поэтому секретные чаты в Telegram, созданные на телефоне, не видны на компьютере, и наоборот. И поэтому веб-версия WhatsApp работает только если телефон пользователя с клиентом мессенджера подключен к интернету: он используется для расшифровки и пересылки сообщений.

Что не так с аргументом Бершидского

Отвечает обозреватель The Next Web Мэттью Хьюз:

«Для начала давайте разберемся с его утверждением, что сквозное шифрование — это „рекламный трюк“. Это не так. Это просто, *****, не так. Не знаю, что тут еще добавить. Это технический термин с очень точным, общепринятым значением. Это просто не обсуждается. Аргумент Бершидского держится в основном на том, что приложения, использующие сквозное шифрование, все равно подвержены другим угрозам, типа уязвимостей „нулевого дня“ или хитроумных израильских шпионских программ. Но дело в том, что ни один знающий человек никогда не утверждал, что сквозное шифрование — это решение всех проблем безопасности. В реальности оно решает две важных задачи. Во-первых, сквозное шифрование не позволяет противнику, контролирующему ваш выход в интернет, перехватывать и анализировать содержание пакетов данных. Если вы посылаете конфиденциальную информацию по общедоступному соединению — например, номера кредитных карточек или данные пользователей — вам стоит позаботиться о том, чтобы к ним не могли получить доступ посторонние. И тут самое важное, что сквозное шифрование делает перехват и анализ трафика практически невозможным. Во-вторых, сквозное шифрование значительно усложняет перехват вашего сеанса подключения. Если данные передаются по открытому каналу, злоумышленник в той же сети может легко перехватить куки вашего браузера и сессии, с помощью которых можно завладеть вашим аккаунтом на сайте или в приложении, не логинясь в них».

Что ответил Бершидский

На критику Бершидский ответил тредом из 11 твитов, в которых написал, что не совсем точно выразился и хотел бы прояснить свою позицию:

«Шифрованные мессенджеры запускаются на устройствах, которые подвержены атакам со многих сторон, как показывает взлом вотсапа. Многие не понимают, что кейлоггер или шпионская программа, делающая снимки экрана, позволяет спецслужбам или хакерам читать их сообщения, шифрованнные они или нет. Об этом стоит говорить, но компании типа Facebook по очевидным причинам не заостряют на этом вопросе внимание. Вот что я пытался сказать в своей статье. Моей целью было предупредить пользователей, что шпионские программы устанавливаются на их телефоны в обход шифрования и без всяких действий с их стороны. Шифрование помогает, но только до тех пор, пока конкретно вы не станете целью [взлома]. Сколько средств защиты использовать — это ваш личный выбор. Но шифрование точно не должно вызвать у вас ложное чувство безопасности. Я уважаю работу многих специалистов по шифрованию. Оно мешает самым коварным методам массового шпионажа. Но моя статья не об этом».

После этого в восьмой абзац колонки Бершидского, который вызвал больше всего критики, добавили одно предложение («Шифрование, разумеется, необходимо, но это не стопроцентно надежный способ обеспечить безопасность связи»), а заголовок изменили с «Сквозное шифрование WhatsApp — это рекламный трюк» на «Сквозное шифрование не так безопасно, как вы думаете». Старая версия статьи и заголовка осталась в кэше.

Алексей Ковалев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.