Как оценить безопасность программы или сервиса

«Не хватай руками оголенный провод, не гладь незнакомую собаку и не скачивай что попало из Интернета», — говорят пользователям их мудрые мамы. И правильно говорят: можно стать жертвой мошенников, подцепить вирус, позволить утечь важным личным данным. Но что, если программа, мобильное приложение или сервис действительно нужны, а мы о них почти ничего не знаем? Прислушайтесь к рекомендациям Теплицы.

Избегайте фишинговых и пиратских сайтов

Скачиваемая с фишингового сайта программа или «сервис», на который выводит фишинговая ссылка, вредоносные по определению.

Пиратские сайты часто можно распознать по словечкам типа «кряк», «крякнутый», «кейген», «таблетка», а также по предложениям всевозможных «ключей активации». Держитесь от всего этого подальше.

Ищите самую свежую версию

О свежести программы или приложения можно судить, в частности:

• по номеру версии;
• по дате обновления;
• по дате сообщения в блоге («вышла новая версия такая-то»).

Иногда версия прямо указана на сайте, но может быть видна лишь в названии файла (как делает, например, Signal). Пожалуйста, не игнорируйте напоминания самой программы о том, что пора обновиться. Старайтесь вовремя обновлять программы, приложения и саму операционную систему.

Старые версии программ могут содержать незакрытые уязвимости. Иногда разработчик сообщает на своем сайте, какие уязвимости были устранены.

Программы лучше скачивать с официального сайта

Мы рекомендуем удостовериться, что вы находитесь на официальном сайте, и скачивать программы оттуда. Как убедиться, что сайт официальный:

• сайт окажется на одной из первых позиций в поисковой выдаче;
• если программа (сервис) достаточно распространенная, у нее может быть своя страница в Википедии, и на ней вы найдете адрес сайта разработчика;
• вы видите этот же адрес в различных обзорах в Интернете, в том числе в компетентных источниках, которым доверяете (включая сайт Теплицы социальных технологий);
• если название программы (сервиса) отражено в адресе, то без искажений (virustotal.com, а не virustotel.com; mega.io, а не mego.io).

Мобильные приложения лучше скачивать с Google Play и Apple Store

Так называемые «официальные магазины приложений» являются предпочтительным источником. Для попадания в эти магазины приложение должно пройти проверку — это пусть не абсолютная, но тоже защита. На iPhone у пользователя обычно нет возможности действовать иначе, а в Android существует возможность через меню разрешить установку не из Google Play.

Иногда для скачивания годятся и неофициальные ресурсы

Программа может оказаться не только на официальном ресурсе разработчика, но и в каталоге программного обеспечения, и на неофициальном сайте, созданном энтузиастами. Для сравнения:

• официальный сайт операционной системы Ubuntu и сайт русскоязычного сообщества Ubuntu;
• сайт программы CPU-Z для показа системной информации компьютера и неофициальная русская версия;
• оригинальный сайт для скачивания мультимедийных кодеков K-Lite Codec Pack и те же кодеки в каталоге программ Uptodown.

Доверяете каталогу программ или какому-либо неофициальному сайту? Если у этого ресурса имеется хорошая репутация, он удобен для пользования, заслужил высокие оценки экспертов, вы давно им пользуетесь, то почему бы нет. Подчеркнем еще раз: следите, чтобы этот ресурс предлагал свежие версии (сплошь и рядом неофициальные площадки «опаздывают»). Тот же совет касается мобильных приложений.

Каталог мобильных приложений для Android F-Droid, в отличие от Google Play, поддерживает только свободный софт (бесплатный, с открытым кодом). Чтобы пользоваться F-Droid как «магазином приложений», нужно сначала установить его на Android-устройство из файла .apk. Теплица считает F-Droid хорошим выбором с точки зрения безопасности.

Можно использовать репозитории

В мире свободных программ есть понятие репозиториев. Это платформы, где происходит разработка. Программисты могут не только размещать там свои продукты, но и комментировать, общаться между собой. Вероятно, самый известный репозиторий — Github.

Некоторые разработчики свободного софта дают ссылку, чтобы вы могли скачать программу не с сайта, а из такого репозитория. Это не должно вас смущать, такая программа ничем не хуже. Бывает, что сайт визуально является буквально производной от проекта на Github.

Не пользуйтесь «мертвыми» продуктами

Бывает, что сервис, программа или приложение доступны в сети, каталогах программ, репозиториях, но фактически обновлений нет. Разработчик забросил проект. Крупные компании вроде Google обычно заранее объявляют о прекращении поддержки того или иного сервиса. Но более мелкие разработчики могут махнуть на это рукой, и тогда их сайт и даже страница «Download» выглядят так, словно ничего не случилось. Обратите внимание на:

• дату выхода последней версии;
• объявления на сайте;
• дату обновления самого сайта.

Если это открытый софт, может быть, вы увидите активность на Github. Это позволит оценить, жив проект или умер.

Есть ли пользовательское сообщество?

Еще один важный критерий безопасности — наличие пользовательского сообщества. Не программистского, а тусовки пользователей, которые обсуждают программу/сервис, делятся впечатлениями, оценивают функционал, находят ошибки, помогают друг другу и новичкам. Наличие большого, активного сообщества говорит о том, что программа наверняка жива, что есть люди, которые следят за выходом новых релизов, тестируют бета-версии, находят уязвимости и т.д.

Кстати, если вы сходу не нашли такой форум, это необязательно значит, что программа умерла. Возможно, разработчик просто поддерживает такую площадку в другом месте, скажем, в Telegram или Element.

Аудит безопасности — это хорошо

Для обычного пользователя выбор программы/сервиса не связан с непосредственным изучением кода. Это вопрос доверия, модели угроз, собственных знаний и правильного использования. Что же касается кода, пользователь может опереться на экспертную оценку. Процесс, при котором эксперты (в идеале независимые) глубоко исследуют программу/сервис и выносят свое суждение о безопасности, называется аудитом безопасности. Как им воспользоваться?

• Найдите на сайте (в блоге) разработчика сообщение о факте аудита. Вот как это выглядит, например, у KeePassXC.
• Убедитесь, что ничего критического не было обнаружено. Иногда разработчик исправляет найденные ошибки «по горячим следам».
• Если хотите больше информации, поищите на сайте разработчика аудиторский отчет. Вот как выглядит этот отчет для того же KeePassXC.

Пожалуйста, не забывайте, что:

• аудит касается определенного продукта, а не самого разработчика или других его продуктов;
• аудиту всегда подвергается конкретная версия программы/сервиса (иными словами, данные аудита со временем могут устаревать);
• никакой аудит не дает стопроцентной гарантии безопасности.

Отчеты транспарентности — тоже хорошо

Ни для кого не секрет, что спецслужбы и другие государственные структуры то и дело обращаются к владельцам ресурсов и разработчикам с требованиями предоставить какую-либо дополнительную информацию о конкретных пользователях. Это особенно часто происходит в отношении сервисов, связанных с коммуникациями и хранением данных. Некоторые сервисы, уважающие приватность и вообще цифровые права своих пользователей, публикуют обобщенные «отчеты транспарентности». В них, как правило, видно, сколько раз госструктуры обращались к владельцу сервиса со своими требованиями и какова была ответная реакция (такой-то процент запросов удовлетворен, в таком-то проценте запросов было отказано). Вот как выглядят отчеты транспарентности, скажем, почтового сервиса Tuta и облачного хранилища Mega.

Отчеты транспарентности — не гарантия безопасности программ. Но доступность таких отчетов показывает отношение владельца сервиса (разработчика) к безопасности и приватности. А значит, доверия к таким продуктам у пользователей больше.

Может быть, лучше выбрать продукт с открытым кодом?

Когда разработчик выкладывает код программы в открытый доступ, мы говорим об открытом исходном коде. Теплица в целом поддерживает использование таких программ. Мы и сами применяем их — от маленьких приложений до операционных систем вроде Linux Mint.

Чем открытый код полезен для безопасности? Уязвимость в закрытой (проприетарной) программе видно, лишь когда с этой уязвимостью явно сталкиваются конечные пользователи, иногда с печальными последствиями. Рано или поздно разработчик выпустит «заплатку», а пока всем будет предложено подождать. Проблему в открытой программе легче увидеть заранее, и значит, можно быстрее с ней разобраться. «Заплатки» могут предлагать и независимые программисты. Если же разработчик вовсе решит отойти от дел, могут найтись энтузиасты, которые поднимут упавшее знамя и продолжат работу. А то даже сделают на его основе собственный проект, — так называемый «форк».

Сам по себе факт открытости кода еще не является гарантией безопасности программы. Но при прочих равных условиях решения с открытым кодом, на наш взгляд, предпочтительнее проприетарных.

Как узнать, с открытым кодом программа или нет?

• Если вы уже на официальном сайте, обратите внимание на объявления типа «это программа с открытым кодом». Возможно, вы увидите кнопку или гиперссылку на код, как, например, на сайте графического редактора GIMP.
• Если не удается найти сразу, поищите в интернете по названию программы и словам «open source».

Попробуйте проверить цифровую подпись

Мы привыкли ассоциировать слово «подпись» с электронным письмом. Но подписывать можно и отдельные файлы. Цифровая подпись при проверке гарантирует, что прилагаемый файл аутентичен. Иными словами, это именно тот файл, который опубликовал разработчик, а не подделка, ошибка или устаревшая версия. Чтобы проверить подпись, вам понадобятся:

• собственно файл с программой;
• цифровая подпись (тоже в виде файла); 
• криптографический ключ разработчика;
• программа, с помощью которой можно выполнить проверку.

Допустим, вы скачали откуда-то файл с программой. Цифровую подпись и криптографический ключ следует искать на официальном сайте разработчика. Что касается четвертого пункта, то криптографических программ довольно много, например, для Windows есть удобный пакет GPG4Win. Для проверки достаточно импортировать в GPG4Win (или аналог) ключ разработчика, положить файл с программой и файл с цифровой подписью в одну папку и выбрать функцию проверки. Зеленый сигнал — все хорошо. Красный — официальная подпись не подходит к файлу с программой. Возможно, кто-то изменил дистрибутив или даже подсунул вместо него нечто вредоносное. Такому файлу не следует доверять.

Учитывайте юрисдикцию

Где находится «голова», руководство компании разработчика? Где размещены серверы? Считается, что лучшие юрисдикции — те, куда не дотягиваются спецслужбы и правоохранительные органы самых инвазивных стран. Это не только Россия, Беларусь, Иран и Северная Корея, но и страны разведывательной коалиции «Пять глаз» (США, Великобритания, Австралия, Канада, Новая Зеландия). Правительства развитых демократий тоже имеют выраженные интересы, конфликтующие с правом на неприкосновенность частной жизни. Поэтому некоторые сервисы предпочитают осесть в экзотических странах, где бизнес может себе позволить смотреть сквозь пальцы на требования зарубежных чиновников.

Скажем, сервис VPN c самой большой сетью серверов в мире — NordVPN — имеет панамскую юрисдикцию. Исходя из угроз, специфичных для наших читателей, мы в первую очередь не советуем российскую юрисдикцию. Это касается не только программ/сервисов для обеспечения безопасности, но и прочих IT-задач, например, хостинга сайтов.

Иногда выяснить юрисдикцию совсем прост: для этого достаточно зайти на сайт разработчика в раздел «О нас». Там обнаруживаются слова и фразы вроде «крупнейшая российская компания», московские адреса и номера телефонов для связи, и так далее.

Но порой определить, где находится разработчик — задача для Шерлока Холмса. Некоторые разработчики скрывают свое местонахождение по разным причинам: от нежелания попадать в поле зрения налоговых органов до попытки избежать давления со стороны спецслужб. В таком случае используйте интернет-поиск и задавайте вопросы искусственному интеллекту (тому же ChatGPT).

Загляните в пользовательское соглашение — юрисдикция иногда «светится» в подписи, в самом конце. Обратите также внимание на пункт, регулирующий разрешение споров между сторонами. Там нередко упоминается, законодательство какой страны регулирует подобные споры.

Примите во внимание пользовательское соглашение

Как правило, пользовательские соглашения довольно длинные и написаны скучным, сухим юридическим языком. Иногда это не один документ, а несколько, и называться они могут по-разному, скажем, «Политика конфиденциальности», «Политика приватности» и т.д.

Из пользовательского соглашения иногда можно «вычислить» юрисдикцию владельца сервиса. Например, Sparks, популярный оператор eSIM, нагружает читателя сайта яркой рекламой, но если промотать в самый низ политику конфиденциальности, можно обнаружить юрисдикцию — Израиль.

Посмотрите, что в этих документах написано об условиях конфиденциальности. Какую информацию о вас собирает владелец сервиса? Как он хранит эти данные? Дает ли доступ другим сторонам, например, своим деловым партнерам? Если вы видите, что владелец сервиса пренебрегает вашей защитой и раскрывает объятия хоть государственным службам, хоть маркетинговым агентствам, возможно, лучше не пользоваться таким сервисом.

Если хотите сэкономить время, можно сохранить пользовательское соглашение в виде обычного текстового файла и предложить его проанализировать искусственному интеллекту, хотя бы тому же ChatGPT. Спросите нейросеть, например, какие данные о вас собирает разработчик, как и хранит, как защищает и кому предоставляет доступ.

Посмотрите разрешения приложения

Для безопасности мобильных приложений очень важны разрешения (права доступа к разным функциям устройства). Эти разрешения, в частности, влияют на то, какие данные собирает владелец приложения. Для примера сравните «аппетиты» iOS-приложений Facebook Messenger и Onion Browser (раздел «Конфиденциальность приложения»).

Приложение может получить доступ к данным геолокации (а значит, к точному местонахождению устройства), к Интернету (сможет передавать данные «хозяину» и скачивать что-то из сети на смартфон), к микрофону (записывать звук), к камере (записывать изображение/видео), и так далее. Иногда разрешения выглядят обоснованно: например, программа-навигатор очевидно должна иметь доступ к координатам GPS. Но фонарик — это просто фонарик, и ему ни к чему ваша книга контактов или доступ к Bluetooth. Избегайте давать приложениям лишние разрешения.

Как посмотреть разрешения приложений на вашем смартфоне Android (пути могут различаться в зависимости от производителя аппарата): «Приложения — Управление приложениями — Выбрать приложение — Разрешение». Там же можно индивидуально снять разрешение. Нетрудно сделать выборку по типу разрешения, допустим, попросить сообщить, какие приложения имеют доступ к камере: «Конфиденциальность — Управление разрешениями». В iPhone иначе: для отдельного приложения «Настройки — выбрать приложение — Доступ для приложения», по типу разрешения «Настройки — Конфиденциальность», и там выбрать разрешение. 

Почитайте обзоры и отзывы

Вот несколько возможных англоязычных источников толковых обзоров:

• TechRadar 
• Tom’s Guide 
• PC Mag 
• Trustpilot 

НКО и независимые эксперты чаще публикуют не обзоры, а различные полезные материалы по цифровой безопасности, но попутно рассказывают и об инструментах. Примеры:

• Теплица социальных технологий (можно посмотреть выборку по тегу «цифровая безопасность») 
• Канал Теплицы в Youtube 
• Проект SAFE от Роскомсвободы 
• Каталог Awesome Privacy
• «Безопасность-в-коробке»  

Советуем избегать «обзоров» на сайтах самих разработчиков и владельцев сервисов. По той же причине следует осторожно относиться к «сравнительным обзорам» под кричащими заголовками вроде «Самые лучшие VPN-сервисы 2025 года» (даже если кажется, что это и впрямь независимый обзор). Отзывы и комментарии в сообществах пользователей и репозиториях бывают весьма полезны. А вот к отзывам в Google Play мы бы не стали относиться слишком серьезно: слишком много там недовольных максималистов. И пусть судьба убережет вас от otvet.mail.ru и подобных платформ.

Прочие критерии безопасности

Существует много других признаков того, следует ли считать то или иное приложение (сервис) безопасным. Они часто специфичны для категорий программных продуктов. Эти критерии чувствительны к модели угроз и зависят от обстоятельств работы и жизни команды и даже конкретного пользователя.

Например, многие люди ценят в мессенджерах функцию автоматического удаления сообщений по таймеру. Эта опция позволяет гарантированно очищать историю чатов, что весьма хорошо для безопасности. А пользователи, для которых особенно важна анонимность, склонны считать небезопасными те мессенджеры, которые привязываются к номерам мобильных телефонов.

Другой пример — поддержка двухфакторной аутентификации. Онлайн-сервисы, где эта функция до сих пор не реализована или существует только в SMS-варианте, едва ли могут считаться безопасными.

Разрешить ваши сомнения о том, достаточно ли безопасна программа или сервис для вашей команды или для вас лично, помогут консультанты.

Где задать вопросы по безопасности программы/сервиса?

Есть несколько вариантов:

• сообщество пользователей программы/сервиса;
• техподдержка разработчика (владельца сервиса);
• консультанты-эксперты дружественных НКО, например:
  — консультации Теплицы
  — консультации НаСвязи
  — Горячая линия AccessNow 

Помимо этого можно пользоваться обычным поиском по Интернету, ИИ, помощью знакомых «продвинутых компьютерщиков».