Анонимность в “Телеграме”

Идея разработки мессенджера возникла у Павла Дурова (основателя соцсети ВКонтакте), когда ему потребовалось пообщаться с братом, находившимся далеко, срочно и конфиденциально, избежав прослушивания разговора или чтения переписки третьими лицами. На тот момент найти сервис, выполняющий эти условия, ему не удалось.

В 2013 году была основана новая служба обмена мгновенными сообщениями, с высокой степенью защиты от доступа не только злоумышленников, но и госструктур.

Спустя семь лет Телеграм пользуются более четырехсот миллионов абонентов по всему миру. Считается, что приложение Telegram полностью защищено, и все данные юзеров, переписки надежно скрыты.

Давайте разберемся, безопасен ли Телеграм на самом деле. Какие механизмы защиты информации используются в мессенджере. Что может стать причиной утечки сведений. Технические и нетехнологичные слабости приложения. Опасные моменты при подключении к API. Способы повышения степени защиты передаваемой информации.

Уровень безопасности Telegram

Есть пользователи мессенджера, которые считают, что им в принципе все равно, обеспечивается анонимность в Телеграме или нет. Есть даже такая шутка: «Товарищ майор, это я сейчас сказал (написал) для вас».

С одной стороны, недоумение этих людей по поводу шумихи вокруг обеспечения приватности разговоров и переписки понятно – они не нарушают никаких законов. А террористов и мошенников надо иметь возможность отслеживать.

А с другой стороны, мало кому понравится, если чужой человек влезет в личную переписку, узнает инсайдерские данные, добытые с большим трудом, или получит информацию, документы, составляющие коммерческую тайну.

Именно поэтому и надо защищать свой аккаунт от несанкционированного стороннего доступа.

Позиция Павла Дурова

После того как разработчиками было заявлено, что Телеграм обеспечивает полную безопасность всех данных пользователей, на мессенджер обрушилась критика со стороны специалистов и конкурентов приложения о том, что защищенность информации в Telegram сильно преувеличена.

Так, инженеры компании Open Whisper Systems, которая владеет защищенным сервисом мгновенных сообщений Signal, и Эдвард Сноуден почти одновременно заявили, что при использовании Telegram обычная переписка не шифруется и хранится в виде текстовых файлов на сервере Телеграм. А американский инженер Натаниэль Сачи заметил, что пароль, вводимый при входе в Telegram Desktop, не обеспечивает защиту файлов.

Павел Дуров в ответ на все нападки заявил, что в российских средствах массовой информации намеренно распространяется версия о небезопасности Телеграм. Он считает, что все аргументы сводятся к тому, что можно прочитать переписку, если есть доступ к компьютеру, планшету или смартфону одного из участников диалога.

Павел Дуров – создатель Телеграмма

Это мнение подтверждает руководитель департамента компании Group-IB (фирма-разработчик решений для детектирования и предотвращения кибератак) Антон Фишман. Он считает, что при наличии доступа к компу пользователя восстановить информацию и прочитать ее возможно. Но для этого надо найти способ проникнуть в чужое устройство.

Также Павел Дуров объявил о выплате вознаграждения в 200 тыс. долларов тому, кто сможет прочитать сообщение в секретном чате. Пока выполнить эту задачу никому не удалось, но команда Телеграм выплачивает премии всем, кто находит уязвимые места в защите приложения, помогая улучшить надежность мессенджера.

Шифрование данных

Лучшая защита информации обеспечивается при общении в секретном чате:

  • все сообщения в нем шифруются, включая видео, фото и др.;
  • информацию нельзя скидывать сторонним лицам, данные не копируются и не пересылаются;
  • невозможно сделать скриншот экрана и при попытке выполнить это действие второму участнику диалога поступит уведомление;
  • можно настроить удаление сообщений после ознакомления с ними собеседника;
  • читать переписку можно только с того устройства, на котором она инициирована;
  • данные не поступают на сервер Телеграм и сохраняются только на устройствах участников диалога;
  • если удалить пост на телефоне одного собеседника, он исчезнет и из ленты второго;
  • при закрытии чата весь диалог удаляется.

Для засекречивания передаваемой информации командой Telegram был разработан протокол MTProto, в основе которого лежит алгоритм Диффи – Хеллмана – Меркля (ДХМ).

Главная криптографическая задача – генерация сессионных ключей при открытии секретного чата. При этом происходит обмен кодами собеседников, для которого используется открытый ключ сервера Телеграм, генератор простых чисел.

Но к сожалению, алгоритм ДХМ уязвим для MitM-атак.

MitM

Man in the middle в переводе с английского языка обозначает «человек посередине» – это вид криптографической атаки, при которой третье лицо вклинивается в канал связи между сторонами диалога и может ретранслировать, искажать или удалять информацию.

Выход здесь один: каждый раз по другому каналу связи сверять конечный ключ обоим участникам сессии. Но это нереально. А пока такой возможности нет, то и MitM-атака вполне вероятна.

 

Слив информации третьим лицам

При использовании мессенджеров других компаний, передавая данные крупным агрегаторам, почтовым клиентам (Яндекс, почта mail.ru) надо понимать, что у них есть доступ ко всей информации, которая когда-либо проходила через их серверы. По решению суда полиция, ФСБ могут затребовать и получат все, что когда-либо проходило через отслеживаемый аккаунт, после вручения постановления суда. Все крупные компании, работающие на территории РФ, обязаны сотрудничать со специальными службами, в противном случае их ждет сначала штраф, а затем запрет на работу.

Руководители Телеграм официально заявили, что при наличии документов, подтверждающих законность слежки, они могут предоставить только IP-адрес и номер телефона.

С таким предложением не согласилась Федеральная служба безопасности России и по ее настоянию (и решению суда) мессенджер должен был быть заблокирован на территории РФ. Несколько лет длилась борьба Роскомнадзора с Telegram. Все основные поставщики интернета (Ростелеком, МТС, Мегафон, Билайн) закрыли этот ресурс для своих пользователей.

Но поклонники мессенджера все равно продолжали вести авторские каналы, открывать новые группы для общения, переписываться в чатах. Более того, количество активных пользователей в период запрета Телеграм даже возросло. Этому способствовал информационный шум вокруг сервиса и использование таких инструментов, как прокси или VPN, применять которые учили на каждом форуме в сети.

Итог: блокировка Telegram отменена.

На заметку. Открывая персональный проект – канал или группу в Телеграм – постарайтесь особо не афишировать свое авторство, закрывайте доступ к номеру телефона, отслеживанию активности. Невозможно знать, кто может сдавать информацию фсбшникам. А в связи с недавно выпущенными законами об оскорблении власти, распространении фейковых новостей сохранение анонимности в сети становится особенно актуальной.

Есть ли прослушка

Миф о том, что запрет на использование мессенджера в России снят, потому что Дуров согласился передать госорганам все доступы к приложению, время от времени встречается в сети.

Так читается ли Телеграм спецслужбами или это очередная ложь, распространяемая конкурентами сервиса? Сразу дадим ответ – нет. Несанкционированного вторжения можно не бояться, даже если вы находитесь под колпаком немецкой или американской разведки.

Но передавая информацию, имеющую особенную ценность, конечно, лучше использовать секретный чат.

Еще один вопрос, который интересует юзеров: Телеграм прослушивается или нет. Ответ тот же – нет. Пока не выявлено способов перехватить канал звуковой и видеосвязи мессенджера. Так что ФСБ Телеграм пока не прослушивает и не просматривает.

Но если появилось подозрение о возможной слежке и утечке информации, то имеет смысл проверить смартфон на наличие маячков и микрофонов.

Уязвимости «Телеграма»

Каждый, кто занимается разработкой программного обеспечения, хочет, чтобы его продукт всегда функционировал правильно, полностью выполнял возложенную на него роль, не создавал проблем пользователям. Но к сожалению, так почти никогда не выходит.

Telegram тоже имеет свои точки уязвимости. При получении сообщения от пользователей об обнаруженном баге информация проверяется, и если она верная, ставится задача команде разработчиков.

Рассмотрим некоторые проблемы, имеющие отношение к безопасности передаваемых данных.

Telegram

Нетехнические

К этому разделу относятся уязвимости, которые связаны с изначальной концепцией создания мессенджера.

Первая – это шифрование. Криптографический протокол MTProto разработан командой Телеграм. С одной стороны, это правильное решение. Известен принцип создания кодов, но точные методы полностью знают только специалисты компании.

С другой стороны, неизвестно, насколько высок уровень криптографической экспертности разработчиков. Гуру криптографии Мэтт Грин весьма скептически оценил конечный продукт. Но пока еще никому не удалось предоставить доказательств, что дешифровка возможна.

Вторая проблема заключается в том, что если начать общаться вне секретного чата, то сообщения шифроваться не будут. Все посты и файлы в первоначальном виде хранятся на серверах Телеграм. Как правило, об этом нигде не упоминается и большинство абонентов считают, что шифруется вся передаваемая и хранимая информация. При возможном вскрытии серверов мессенджера все сообщения пользователей (кроме secret chat) будут доступны злоумышленнику в виде текстовых файлов.

И третья нетехническая уязвимость Telegram в том, что мессенджер после регистрации запрашивает полный список контактов из записной книжки пользователя. Полученные номера хранятся также на сервере Телеграм. Таким образом, приложение обладает огромной базой контактов, которые могут быть похищены или предоставлены властям без согласия абонентов.

Технические

В мессенджере есть бот, который отслеживает попытки взлома учетных записей и сообщает об этом пользователю. Но и робота можно обмануть.

Легче всего вскрыть учетную запись в Телеграм через привязку к номеру телефона. Для входа с нового устройства нужно получить только код по СМС. Например, в 2016 году в России взломали аккаунты оппозиционеров. Как это произошло:

  • была отключена услуга СМС;
  • затем с IP-адреса точки тор (система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) был запрошен код на авторизацию;
  • код введен, получен доступ к аккаунту;
  • после скачивания данных восстанавливается подключение к услуге СМС.
Кстати. Даже в этом случае на вопрос, можно ли прослушать Телеграм, ответим – нет. Таким способом прослеживается переписка, а звонок прослушать нельзя.

Для того чтобы избежать вскрытия аккаунта описанным образом, необходимо установить двухэтапную (двухфакторную) авторизацию. Настраивать ее просто:

  • зайти в главное меню и тапнуть по строке «настройки»;
  • выбрать раздел «конфиденциальность»;
  • найти графу «безопасность»;
  • включить двухэтапную аутентификацию.

При этом для входа в мессенджер надо будет вводить два пароля. Первый можно получить по СМС, а второй известен только владельцу аккаунта.

Еще один способ смотреть чужую ленту – это MitM-атака, описанная ранее.

Также специалисты отмечают, что в некоторых разделах протокола Телеграм для хеширования применяется алгоритм SHA-1 вместо SHA-256. А хеширование – это одна из главных криптографичеких функций, позволяющая преобразовать информацию в уникальный набор символов (хэш), присущий только этому массиву входящих данных.

Так вот SHA-1 очень слабый неустойчивый алгоритм, допускающий сбои и задвоение.

И последняя техническая уязвимость Telegram, которую мы рассмотрим – это утечка информации о метаданных пользователей.

Так, любой желающий может узнать, когда тот или иной абонент вышел в онлайн или ушел из него. Для этого надо внести телефон интересующего человека к себе в контакты. Такой шаг позволяет следить за активностью пользователя в мессенджере, можно даже установить, общаются ли 2 юзера между собой, анализируя метаданные с двух сторон.

Пример. Абонент Икс добавил себе в контакт пользователя Игрек. Телеграм не уведомляет Игрека об этом. Зато Икс свободно получает информацию, во сколько Игрек зашел в мессенджер, когда вышел.

На заметку. Обезопасить себя от такого слежения можно, установив в разделе «Конфиденциальность» ограничение на просмотр времени последнего входа в сеть и статуса.

Безопасность неофициальных клиентов

API-Телеграм – это все тот же Telegram, «одетый» в другую оболочку, но дополненный некоторыми опциями (дополнительные стикеры, гифки и прочие сервисы бесплатно).

Альтернативные клиенты (API) применяют тот же криптографический алгоритм, не имеют права менять основные функции мессенджера. Также они обязуются не передавать данные пользователей третьим лицам, но теоретически имеют к ним доступ.

При нарушении конфиденциальности максимальное наказание для таких приложений – это блокировка.

Способ, которым может прослеживаться отправляемая информация – это, например, «слушать» клавиатуру при наборе текста в клиенте.

Также неофициальные клиенты могут рассылать спам (хотя теперь спам-бот быстро блокирует такие приложения), подписывать на каналы.

Как повысить безопасность своего аккаунта

Все способы взлома, которые были перечислены, могут быть использованы исключительно очень продвинутыми пользователями. Чаще всего в утечке информации можно обвинить только самого себя или собеседника.

Для того чтобы конфиденциальность данных не была нарушена, лучше подстраховаться заранее:

  • не давайте номер телефона незнакомым людям;
  • установите пароль на аппарате;
  • при приобретении нового гаджета подготовьте старый к продаже, приведя все настройки к заводским, чтобы никто не смог вскрыть аккаунт с бывшего вашим смартфона;
  • установите на вход в мессенджер двухэтапную аутентификацию;
  • скройте в настройках Телеграм свой номер телефона;
  • не забывайте выходить из профиля после окончания сеанса общения;
  • используйте для передачи конфиденциальной информации секретный чат;
  • закройте возможность посмотреть время последнего пребывания в сети.
Двухэтапная аутентификация в Телеграмм

Павел Дуров утверждает, что его мессенджер хорошо защищен от атак хакеров должным образом. Несмотря на то что ряд экспертов опровергают это утверждение, взломать защиту и прочитать скрытые сообщения до сих пор еще никому не удалось.

Впрочем, каждый пользователь должен сам сообразить, пора искать новые способы общения или пока не стоит убирать Телеграм из списков используемых приложений.

Ссылка на основную публикацию
Adblock
detector