За останні кілька років застосунок Signal перетворився з нішевого інструменту для фанатів цифрової безпеки на популярний сервіс для обміну повідомленнями. Його рекомендує Wall Street Journal, він з’являється у серіалі «Картковий будиночок», використовується членами Сенату США та Єврокомісії.
В Україні в перший місяць повномасштабного російського вторгнення кількість користувачів Signal виросла більше ніж у 10 разів. Від конкурентів (на кшталт популярного Telegram) Signal відрізняють дві опції:
- наскрізне шифрування, яке гарантує, що ніхто не може отримати доступ до даних користувачів;
- приналежність некомерційному фонду, а не корпорації, що залежить від інвестицій та прибутку: це значить, що Signal не зацікавлений збирати персональні дані для запуску реклами.
Про те, як виникла ідея захищеного застосунку, хто фінансує Signal та чому він не дає спокою росії, розповідаємо в статті.
Засновник Signal: хакер, матрос та криптоанархіст
«У певному сенсі я відчуваю, що Signal просто намагається нормалізувати інтернет, — каже співзасновник сервісу Моксі Марлінспайк. — Багато з того, що ми пробуємо зробити, — це просто узгодити фактичні технології з намірами людей».
Моксі — непересічна особистість.
«У минулому я працював інженером-програмістом, хакером, матросом, капітаном і корабельним теслярем, — пише він про себе в блозі. — Мені подобається комп’ютерна безпека та розробка програмного забезпечення, особливо в сферах безпечних протоколів, криптографії, конфіденційності та анонімності».
У 2016 році Моксі з’їздив до Абхазії на футбольний турнір для невизнаних держав, у 2019-му — як сталкер побував у Чорнобильській зоні: вночі блукав будівлями Прип’яті та спав в покинутих квартирах. Він захоплюється Нестором Махно та зізнається, що насправді таємно ненавидить технології.
Zaporizhia, the recent site of fighting at a nuclear plant, has an interesting history of resistance to state forces.
It’s the same region where Nestor Makhno’s army fought the Red Army, White Army, and Ukrainian nationalists to maintain the anarchist Free Territory for 4 years. pic.twitter.com/QbBjwc7wFo
— Moxie Marlinspike (@moxie) March 5, 2022
Марлінспайк завжди не довіряв владі, тому ідеї криптоанархізму, популярного на початку розвитку Кремнієвої долини, прийшлися йому до душі: шифрування даних вважали єдиним ключем до індивідуальної свободи у світі, де влада може використовувати технології для досягнення своїх цілей.
У 2010 році Марлінспайк з робототехніком Стюартом Андерсоном створив дві програми — одну для обміну повідомленнями, іншу для дзвінків — на основі Textsecure Protocol (пізніше Signal Protocol) з наскрізним шифруванням. Воно гарантувало, що вміст бесід зможуть дізнатися лише відправник і одержувач повідомлення, а не органи влади чи зловмисники.
Через рік Twitter купив компанію, і Марлінспайк став керівником відділу кібербезпеки платформи. Але у 2013 році звільнився, щоби заснувати проєкт з відкритим кодом Open Whisper Systems та продовжити розробку власного продукту. У 2015 році з’явився сервіс для обміну повідомленнями Signal з технологією наскрізного шифрування.
Після публікації документів Едварда Сноудена шифрування комунікацій стало як ніколи актуальним, і кілька відомих сервісів звернулися до Марлінспайка, щоби інтегрувати його розробку у свої платформи. Серед них були Facebook, Skype та WhatsApp.
Щоправда, Facebook Messenger та Skype інтегрували наскрізне шифрування частково: воно використовується тільки для опції секретних розмов. На відміну від них, WhatsApp забезпечує наскрізне шифрування за замовчанням.
«Велика перемога — це коли мільярд людей використовують WhatsApp і навіть не знають, що він зашифрований, — казав Моксі в інтерв’ю журналу Wired. — Я думаю, ми вже виграли майбутнє».
Монетизація: на які кошти існує Signal?
З самого початку проєкт Марлінспайка існував за рахунок грантів та донатів. Стратегія свободи від грошей венчурного капіталу означала, що компанія уникне тиску, пов’язаного з перетворенням персональних даних користувачів на товар.
Коли Моксі почав розробку нової платформи, то отримав близько 3 мільйонів доларів від Фонду відкритих технологій — некомерційної американської організації, що фінансує проєкти, спрямовані на протидію цензурі. Також спонсорами Signal виступили Фонд свободи преси, Фонд Найта та Фонд Шаттлворта. А згодом Марлінспайк познайомився з Брайаном Ектоном — співзасновником WhatsApp.
Сервіс як раз був придбаний Facebook за рекордні 19 мільярдів доларів, але Ектон не знайшов спільної мови з новим керівництвом. Зокрема — не погодився зі стратегією монетизації, яка передбачала, що Facebook отримує доступ до даних користувачів WhatsApp.
У 2017 році Ектон пішов з компанії, об’єднався з Марлінспайком та вклав 50 мільйонів доларів власних заощаджень у створення некомерційної організації Signal Foundation, щоби зробити з Signal прямого конкурента WhatsApp. Окрім того, Signal отримав пожертви ще від кількох зовнішніх донорів (яких саме, керівництво не розкриває).
Жодних умов монетизації сервісу не передбачалося, щоби не порушувати конфіденційність користувачів. Це протирічило традиційний для Кремнієвої долини бізнес-моделі, коли технологічні компанії пропонують безкоштовні послуги в обмін на частину особистих даних, щоби налаштовувати персоналізовану рекламу. Найяскравіший приклад — WhatsApp, який шифрує розмови, але передає всі персональні дані Facebook.
«Програма Signal — це найчистіша форма того, що Моксі та його команда передбачили для протоколу Signal, — каже Харло Холмс, директор із цифрової безпеки відділу новин Фундації свободи преси. — WhatsApp є прикладом того, як цей протокол можна розмістити в подібних середовищах, де розробники мають на увазі інші цілі».
Філософія Signal прекрасно звучить в теорії, але в реальності для розвитку бізнесу потрібні гроші. І хоча Signal Technology Foundation як незалежна некомерційна благодійна організація звільнена від податків, цього недостатньо для існування. За словами засновників, Signal планує залучати до процесу і користувачів, але для цього потрібно наростити їхню кількість. Зараз сервіс пропонує користувачам донатити, щоби підтримати «безпечне глобальне спілкування».
«Якщо Signal охопить мільярд користувачів, це мільярд донорів, — каже Брайан Ектон. — Все, що нам потрібно зробити, це настільки захопити вас Signal, що ви захочете дати нам долар або 50 рупій. Єдиний спосіб заробити цю пожертву — створити чудовий інноваційний продукт. На мій погляд, це кращі стосунки. Більш стандартні стратегії монетизації відстеження користувачів та їхньої активності, а також таргетована реклама загалом виглядають як експлуатація. Маркетинг — це форма контролю розуму. Ви впливаєте на здатність людей приймати рішення та на їхній вибір. І це може мати негативні наслідки».
Окрім того, Signal отримує добровільні грошові компенсації за впровадження свого протоколу. Але які саме суми компанії заплатили Skype, Facebook Messenger та WhatsApp, невідомо.
У січні 2022 року Моксі Марлінспайк оголосив про відставку з посади генерального директора Signal. У вересні того ж року 2022 року компанію очолила одна із членів правління Мередіт Віттакер.
Наскрізне шифрування: надійність, яка не дає спокою російським хакерам
У 2016 році до Open Whisper Systems, заснованої Марлінспайком, звернулися з американського суду з вимогою надати для розслідування інформацію, пов’язану з двома номерами телефонів. Хоча один із них був зареєстрований у Signal, в компанії змогли повідомити лише час створення облікового запису користувача та час останнього підключення. Завдяки технології наскрізного шифрування навіть співробітники Signal не мають доступу до особистих даних та вмісту переписки користувачів.
«Ми не хочемо знати, хто ви і що ви робите в нашій системі», — каже Брайан Ектон.
Після випадку з судом сервіс більше не отримував запитів від органів влади. Натомість Facebook тільки у другій половині 2019 року отримав понад 51 тисячу запитів щодо 82 тисяч користувачів, і на 88 відсотків з них надав «деякі дані».
Єдиний інцидент з витоком даних користувачів Signal стався влітку 2022 року після фішингової атаки на компанію Twilio, що верифікує номери телефонів. Тоді у загальному доступі опинилися номери телефонів 1,9 тисячі користувачів. Але інші особисті дані, зокрема, переписка, залишилися конфіденційними.
«Більшість урядів і юристів знають, що ми насправді нічого не знаємо», — кажуть у Signal.
Саме тому завантаження сервісу різко зростають під час масштабних потрясінь, коли людям стає особливо актуально захистити свої дані від влади та злочинців. Такі сплески сталися, зокрема, у США під час Black Lives Matter, у Об’єднаних Арабських Еміратах та Гонконзі під час акцій протесту, в Україні після повномасштабного російського вторгнення.
«Кожного разу, коли відбуваються певні заворушення чи спірні вибори, ми, здається, маємо можливість збільшити аудиторію, — каже Брайан Ектон. — Трохи гірко, що часто наші сплески відбуваються через погані події».
Відповідно до найкращих практик безпеки, Signal має відкритий код: він загальнодоступний для спеціалістів у всьому світі, щоб перевіряти та пропонувати вдосконалення. Це — один з факторів, який відрізняє сервіс від популярного в Україні конкурента — Telegram.
Після повномасштабного вторгнення росії, у період з 24 лютого по 20 березня 2022 року, Telegram і Signal в Україні встановили 1,7 мільйона разів — втричі більше, ніж за місяць до того. І хоча Telegram лідирував за кількістю завантажень, Signal обганяв його за темпами зростання. За перший місяць завантаження Signal виросло більше ніж у 10 разів: з 67-ми до 787 тисяч. Сьогодні цим сервісом в Україні користуються майже 2 мільйони людей.
25 лютого 2022 року Моксі Марлінспайк звернувся до українців, щоби нагадати, що Telegram насправді не є зашифрованим застосунком, як думає більшість людей (в ньому є лише окрема функція під назвою Secret Chat, яка наскрізно шифрує надіслані повідомлення, але користувачі повинні ввімкнути її вручну). Якщо сервіс не має наскрізного шифрування, то компанія-виробник володіє ключами для розшифровки і може в будь-який момент розблокувати повідомлення та передати їх ворогу.
Telegram is the most popular messenger in urban Ukraine. After a decade of misleading marketing and press, most ppl there believe it’s an “encrypted app”
The reality is the opposite-TG is by default a cloud database w/ a plaintext copy of every msg everyone has ever sent/recvd. https://t.co/6eRGIyXyje
— Moxie Marlinspike (@moxie) February 25, 2022
«Telegram — найпопулярніший месенджер в містах України, — написав Марлінспайк. — Після десятиліття введення в оману маркетингу та преси більшість людей вважають, що це «зашифрована програма». Насправді Telegram за замовчуванням є хмарною базою даних із відкритою текстовою копією кожного повідомлення, яке кожен надіслав/отримав».
Натомість розробники Signal, завдяки технології наскрізного шифрування, не мають ключів від нього, тобто не можуть отримати доступ до вмісту повідомлень.
Звісно, країні «аналоговнєт» таке технологічне досягнення не дає спокою. У соцмережах регулярно з’являються вкиди на кшталт «росіяни хакнули Signal». Найсвіжіший — у травні цього року. Керівництво компанії ці факти спростовує.
«Немає жодних доказів на підтримку цієї заяви, — написала голова Signal Мередіт Віттакер. — Насправді російська фірма пропонує понад 1,5 мільйона доларів людям, які зможуть зрозуміти, ЯК скомпрометувати Signal. Вони досі цього не зрозуміли. Поширення такої дезінформації завдає людям шкоди. Будь ласка, припиніть».