Обзор мессенджера Anwork 0.7.3, средства организации защищённых коммуникаций
Anwork — новый продукт на отечественном рынке, предназначенный для безопасных корпоративных коммуникаций и защищённого обмена данными. Его особенности — высокоуровневое шифрование на базе криптостойкого протокола, отсутствие сведений о пользователе и невозможность получения доступа к отправленной информации.
Организация защищённого взаимодействия с клиентами, коллегами, партнёрами по бизнесу — одна из самых актуальных задач, стоящих перед ИТ-департаментами компаний любых размеров. Утечка любой информации, не только стратегической, но и операционной, может привести к значительному финансовому или репутационному ущербу. Однако, несмотря на наличие закупленных защищённых корпоративных средств, сотрудники зачастую предпочитают пользоваться популярными мессенджерами: они привычнее и удобнее, чем, например, почтовые клиенты.
При этом культура безопасного общения сильно отстала от возможностей мессенджеров, направленных на популяризацию и пользовательское удобство в ущерб безопасности. Так, огромная часть конфиденциальной информации хранится на серверах популярных мессенджеров, что регулярно становится причиной компрометации данных. Например, в ноябре 2022 г. из WhatsApp утекла база данных о контактах около 500 млн пользователей. Телеграм-аккаунты угоняются злоумышленниками, как с целью доступа к информации, так и для последующего шантажа владельца. Мессенджер Exlu был взломан для слежки за людьми, а в Threema был обнаружен баг, позволяющий получить доступ к закрытым ключам пользователей.
В связи с подобными инцидентами в разных странах вводятся запреты на использование зарубежных приложений для передачи конфиденциальных данных разного рода.
Ещё одной угрозой для обеспечения конфиденциальности данных, хранимых на телефонах, стало увеличение количества шпионского программного обеспечения, внедряемого в приложения и передающего данные третьим сторонам. Подобные программы регулярно попадают на устройства пользователей.
Исходя из существующих тенденций, в России запреты на использование подобных приложений будут только расширяться, затрагивая всё новые отрасли экономики и бизнес-деятельности компаний различной направленности.
В ответ на эти риски в России появилось мобильное приложение Anwork, предназначенное для обеспечения безопасности корпоративных коммуникаций и конфиденциальности передаваемых данных.
Главная особенность Anwork состоит в том, что во главу угла была поставлена задача обеспечения конфиденциальности общения и обмена данными, когда третьи лица исключены как риск; при этом удобство использования осталось таким же, как у любого популярного мессенджера.
Использование Anwork возможно в двух вариантах: в виде SaaS-модели, когда вся инфраструктура, обеспечивающая работу мессенджера, находится на внешних ресурсах, и локально (on-premise), с размещением всех элементов в инфраструктуре заказчика. Второй вариант является нестандартным и для каждой компании проектируется индивидуально.
Рассмотрим функциональные возможности Anwork в разрезе этих двух аспектов — безопасности данных и удобства использования как стандартного мессенджера.
Функциональные возможности Anwork
Обезличенная регистрация в системе
Концептуальная особенность приложения Anwork состоит в том, что пользователь не проходит стандартную процедуру регистрации. Это исключает возможность найти его, например, по номеру телефона либо извлечь информацию о нём из профиля. Вторая особенность приложения — в нём отсутствует общий список контактов. Пользователь видит только те группы, в состав которых включён, и те контакты, с которыми у него установлена связь. Каким же образом обеспечивается взаимодействие пользователей в приложении? После заключения договора вендор предоставляет покупателю лицензионный ключ на определённое количество пользователей. Клиент в свою очередь предоставляет ключ своим сотрудникам, те вводят его после установки мобильного приложения. При подключении к лицензионному серверу, находящемуся в инфраструктуре Anwork, происходит проверка комбинации идентификатора пользователя и ключа.
- Если комбинация известна и срок лицензии не истёк, пользователь подключается к системе.
- Если указанное сочетание неизвестно, но условия лицензии не нарушаются, то происходит регистрация устройства на сервере.
- Если же все купленные экземпляры лицензии исчерпаны, то вход в приложение блокируется и пользователь получает соответствующее сообщение.
При первом входе в приложение для каждого пользователя генерируется набор ключей:
- «ID Key» — постоянный обезличенный ключ идентификации, который не привязан к личным данным либо атрибутам устройства;
- «Signed Prekey» — промежуточный ключ, применяемый для генерации групповых ключей; список одноразовых предварительных ключей, используемых для обмена групповыми ключами при приглашении новых членов в группу.
- Связки ключей (только открытые части) для каждого пользователя регистрируются на сервере после первого входа в систему.
Создание групп и обмен данными
Anwork позволяет создавать рабочие группы для общения в чатах и обмена данными. Для включения в группу новых членов пользователь «А» генерирует код группового приглашения. Код отправляется на сервер и сохраняется там в течение одного часа. Приглашённый участник, воспользовавшись действительным кодом, получает публичную часть «ID Key», публичную часть «Signed Prekey» и один одноразовый предварительный ключ пользователя «А».
Полученные от сервера ключи позволяют новому участнику установить соединение с пользователем «А» и обменяться с ним специальными ключами SKDM, каждый из которых уникален для комбинации «пользователь — группа». С помощью SKDM-ключей пользователи могут шифровать (расшифровывать) данные, отправляемые на сервер, при этом сервер выступает в роли почтового ящика, не имея возможности «читать» передаваемое.
Параметры безопасности
Функциональные возможности Anwork позволяют реализовать принцип асимметричного канала связи, когда отправка и получение сообщений не зависят от статуса другого пользователя (онлайн/офлайн). Для реализации этого принципа в цепочку включается дополнительный участник системы — сервис доставки. Он выполняет роль своеобразной «ячейки», доступ к которой имеет только получатель. Срок хранения зашифрованного сообщения в этой «ячейке» — до 14 дней. «Ячейка» опустошается сразу после того, как пользователь появляется в сети, и сообщение доставляется на целевое устройство, где и расшифровывается. Расшифровка сообщения в сервисе доставки невозможна.
На мобильных устройствах пользователей история сообщений хранится в зашифрованном виде и автоматически уничтожается спустя определённое время (от 1 до 14 дней).
Ключи пользователей находятся в специально защищённых аппаратных хранилищах мобильных устройств: Keychain (iOS) и Keystore (Android). Метаданные шифруются с помощью протокола TLS, а безопасность передачи данных обеспечивается закреплением SSL-сертификата (SSL Pinning).
Для обеспечения безопасности и криптостойкости приложения и данных компания-разработчик использует несколько протоколов шифрования, среди которых можно выделить X3DH (Extended Triple Diffie-Hellman), асинхронный протокол согласования ключей, позволяющий двум участникам выработать общий секрет на основе открытых ключей и одновременно провести аутентификацию. В этом протоколе пользователь «А» запрашивает три подписанных ключа пользователя «В», которые тот заблаговременно (например, при регистрации) разместил на сервере, и для каждого подписанного ключа выполняет протокол Диффи — Хеллмана. Новый общий секрет получается путём объединения (конкатенации) результатов работы трёх протоколов Диффи — Хеллмана.
Ещё один протокол, Double Ratchet Algorithm, позволяет двум участникам с помощью предварительно распределённого общего секрета, выработанного по протоколу X3DH, обмениваться зашифрованными сообщениями. Здесь один участник вырабатывает новый общий секрет по протоколу Диффи — Хеллмана с помощью старого открытого ключа другого пользователя (полученного, например, в предыдущей итерации этого протокола, выполненной другим участником) и своего нового секретного ключа, который вырабатывается в процессе выполнения протокола; при этом соответствующий открытый ключ пересылается в открытом виде другому участнику вместе с зашифрованным сообщением.
Для устройств на базе ОС Android реализован запрет на создание скриншотов.
Автоматическое удаление сообщений
Для того чтобы минимизировать риск компрометации старых сообщений, в приложении реализован механизм их автоматического удаления в установленный пользователем срок, но не более чем через 14 календарных дней.
Создание групп и работа в них
Для реализации возможностей популярных мессенджеров Anwork позволяет использовать как индивидуальные чаты, так и работу в группах. Для приглашения пользователя в рабочую группу генерируется специальный буквенный и QR-код, срок действия которого составляет один час. В рабочих группах есть возможность создания и ведения заметок (в т.ч. для планирования задач), обмена сообщениями и фvайлами размером до 128 МБ. Как и в обычных мессенджерах, для группы можно установить иконку и название.
В чате группы видны как сообщения, так и информация об их прочтении, добавлении новых участников или пропущенных звонках.
Аудио- и видеовызовы
Ещё одна функциональная возможность Anwork, делающая приложение более удобным, — возможность организации конференций. Аудиоконференции распространяются на группы численностью до пяти человек, видеосвязь — в формате «один на один». Так же как и сообщения, аудио- и видеотрафик шифруется и отправляется напрямую без участия сервера-посредника по принципу «peer-to-peer» (P2P) для невозможности компрометации данных.
Внешний аудит безопасности Anwork
Для подтверждения защищённости приложений Anwork для платформ iOS и Android компания привлекла одного из ведущих мировых разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети. Специалисты приглашённой организации проверили реальное состояние защищённости внешнего и внутреннего периметров приложения для конечных пользователей, а также уровень компетентности специалистов компании-разработчика в вопросах ИБ, используя максимальное количество векторов атак. После внедрения новых функций вендор снова пригласил внешних специалистов для выявления и устранения уязвимостей, которые потенциально могут нанести вред пользователям приложения. Подобная практика является регулярной, в результате чего в Anwork минимизирован риск эксплуатации брешей.
Выводы
Защищённый мессенджер от компании Anwork пригодится для организации коммуникаций, нарушение конфиденциальности которых может повлечь за собой негативные последствия — например, для общения между членами совета директоров, врачами и пациентами, работниками и клиентами банковской организации, да и в обычной операционной деятельности любой компании, которая использует мессенджеры как средство связи.
Безопасность в мессенджере обеспечивается за счёт использования протокола Signal, дополненного криптостойкими протоколами шифрования, а также большого количества криптоалгоритмов, сквозного шифрования и отсутствия серверов, на которых хранятся данные.
Дополнительно безопасность информации обеспечивается автоматическим удалением сообщений в установленный срок и возможностью задать специальный код, после ввода которого все данные удаляются.
Осенью 2023 г. ожидаются выпуск веб-версии мессенджера и внесение Anwork в реестр отечественного ПО.
Подход вендора к построению процесса удобного обмена данными, где основным приоритетом является безопасность, воплощает тот принцип, которым должен руководствоваться рынок корпоративных мессенджеров в дальнейшем. Для клиентов и работников компаний он может стать определённым индикатором отношения к безопасности. Использование подобных мессенджеров рекомендуется не только организациям банковской или юридической сферы, но и всем компаниям, где происходит регулярный обмен конфиденциальными данными, утечка которых может привести к негативным последствиям.
Достоинства:
- Проверенная криптостойкость.
- Регулярный аудит защищённости с привлечением независимых экспертов по ИБ.
- Недоступность передаваемых данных и контактных сведений о пользователях.
- Локальное хранение данных на смартфонах пользователей.
- Неизвлекаемость информации из приложения в ОС смартфона.
- Управление правами доступа к мессенджеру.
- Возможность настройки автоудаления в срок от 1 до 14 дней.
Недостатки:
- Отсутствие настольной версии приложения. Релиз web-версии намечен на сентябрь.