Миф о безопасности Telegram развеял основатель Signal: даже Facebook и WhatsApp предлагают большую конфиденциальность [Обновлено]
Репутация мессенджера Telegram, предлагающего дополнительный уровень кибербезопасности, чрезмерно преувеличена. Именно так считает Мокси Марлинспайк (Moxie Marlinspike), основатель платформы обмена сообщениями Signal.
Мокси Марлинспайк резко критиковал одного из крупнейших конкурентов Signal. Он утверждает, что сообщения, отправленные через Telegram, хранятся на серверах Telegram в исходной форме или в виде обычного текста, без какого-либо шифрования для защиты личных данных пользователей.
Далее он сказал, что в этом отношении даже Facebook Messenger и WhatsApp предлагают большую конфиденциальность, чем Telegram. Оба этих приложения, запущенные компанией, которая теперь переименована в Meta, предлагают как минимум сквозное шифрование для всех текстовых сообщений, отправляемых через их платформы.
Telegram хранит все данные, которые когда-либо отправлялись через приложение, в своем облаке в полностью открытом формате: тексты, общие мультимедийные данные, контакты — все это может быть доступно для заинтересованных лиц. По словам Марлинспайка, даже Messenger предлагает минимальный стандартный протокол сквозного шифрования для данных, хранящихся на его серверах. Однако любой, у кого есть доступ к сервисам Telegram, имеет прямой доступ ко всей базе незащищенных данных пользователей.
Как пишет Winfuture, Telegram по сути представляет собой открытое окно на серверы, хранящее всю историю, которая когда-либо была на платформе, делая всё видимым для частного пользователя так же, как видимым для операторов сервера на платформе, при этом не требуя дополнительных усилий для прямого доступа.
Осталось дождаться официального комментария Telegram и Павла Дурова.
25 декабря 2021 в 10:19
ФСБ в курсе: почему рядовым украинцам и чиновникам не следует пользоваться Telegram
Оксиморон* у меня по одному вопросу, и уже давно. Вот сейчас участились утверждения «хороших русских не существует в принципе», «каждый двухсотый» и все такое. И особенно актуальны они на фоне прекращения несколькими странами выдачи россиянам шенгенских виз. Но одновременно ровно те же люди заявляют «ищите меня в Telegram на моем канале», чем публично расписываются в пользовании полностью российской разработкой — Telegram.
Российский владелец, Павел Дуров, российская команда программистов, которая разрабатывала мессенджер в офисах и территории в России, не исключено, что под контролем ФСБ. В свое время Дуров спокойно продал кремлевцам «ВКонтакте» и спокойно уехал на Лондонщину развивать новый проект «Телеграм». Ходорковскому, например, повезло с этим гораздо меньше.
В 2017 году Дуров вроде бы отказался выдавать ФСБ ключи расшифровки переписки шести человек, подозреваемых в терроризме. В 2018 году Роскомнадзор объявил о начале блокировки Telegram на территории РФ. Но уже 18 июня 2020 Роскомнадзор объявил о снятии блокировок, через два года после их внедрения. А еще через 5 месяцев сам Роскомнадзор объявил о создании собственного канала в Telegram. Чудо чудесное. Не? Поэтому сейчас довольно распространено мнение, что на самом деле ключи расшифровки в ФСБ таки были переданы, причем еще в 2018-м.
В марте 2021 года «долларовые облигации» Telegram на сумму 1 миллиард долларов выкупили российские компании VTB Capital, Aton и «Альфа-Капитал». Все эти компании тесно связаны с московской высшей властью. Таким образом Дуров смог погасить долг компании на сумму 684 миллионов долларов. Совпадение?
Но даже если попытаться абстрагироваться от много(сто)летней российско-украинской войны и взглянуть на Telegram чисто с технической точки зрения:
- этот мессенджер по умолчанию не использует сквозное шифрование, как это делают все нормальные современные мессенджеры.
- Telegram сохраняет все данные пользователей — сообщения, файлы, контакты — в своем облаке, а значит, заинтересованные лица могут получить всю эту информацию. К примеру, спецслужбы. К примеру, Российской Федерации. Тем более что сам Дуров подтвердил, что некоторую информацию о некоторых пользователях все же выдает спецслужбам отдельных стран.
- Исходный код Telegram преимущественно закрыт.Это означает, что в нем могут быть скрыты функции. Например, функции слежения за пользователями, подсматривание и подслушивание.
- Telegram никогда не проводил внешнюю независимую оценку безопасности. То есть его «безопасность» гарантируется только словами его владельца «не бойтесь, все безопасно».
- Среди большинства мировых специалистов распространено мнение, что самодельная телеграмовская система шифрования MTProto не обеспечивает тех гарантий безопасности, которые предоставляются стандартными мировыми криптографическими протоколами.
Поэтому у меня вопрос: если «хороших русских» не существует в природе — кто же тогда сделал Телегу? Кто ее сейчас эксплуатирует, кто привлекает для этого кремлевские кровавые деньги, кто заглядывает в суперпатриотические смартфоны и читает «секретную» переписку о «несуществующих хороших русских»? Давайте либо трусы, либо крестик. Ибо такого «дуализма» я никак не могу понять. Российские товары мы брезгуем покупать, а пользоваться их мессенджером — это ок? Или есть еще опция говорить «хороших русских не существует, кроме Дурова и всей команды разработчиков «Телеграма».
Хотя по-моему, проще и безопаснее отказаться от пользования Телегой. Но ведь это так сложно, да? Все же пользуются, даже официальные власти Украины, говорите? Даже спецслужбы и полиция? Даже кибер-защитники и ИТ-армия?
А еще он так удобен и быстр, ага. Ну и что, что рашистский? Это другое.
P.S. «Ни миллиард мух, ни два, ни три, ни более не убедят меня, что дерьмо — это вкусно» (Иосиф Египетский).
*Оксиморон (лат. oxymoron от греч. οξύμωρον — «остроумное глупое») — литературно-поэтический прием, заключающийся в сочетании противоположных по содержанию, контрастных понятий, которые вместе дают новое представление.
- Теги:
- фсб
- мессенджер
- павел дуров
- Telegram
- Мессенджеры
- Поделиться:
- отправить в Telegram
- поделиться в Facebook
- твитнуть
- отправить в Viber
- отправить в Whatsapp
- отправить в Messenger
NYT: ФСБ может отслеживать трафик в Telegram, WhatsApp и Signal
В России по просьбе властей появились программы для слежки за пользователями мессенджеров Telegram, WhatsApp и Signal. Их могут использовать ФСБ и полиция, пишет The New York Times со ссылкой на архив документов.
Большую часть рынка технологий для мониторинга телекоммуникаций контролирует «Цитадель», до 2022 года частично принадлежавшая российскому миллиардеру Алишеру Усманову (USM Holdings).
Среди дочерних компаний «Цитадели» – «МФИ Софт», которая разработала инструмент NetBeholder. Программа может определять, кто с кем, когда и где разговаривает в мессенджерах, а также приложен ли к сообщению файл. К содержанию переписки инструмент доступа не имеет, подчёркивает NYT.
Кроме того, NetBeholder может отображать местоположение двух телефонов в течение дня, чтобы определить, находились ли они рядом. Также программа, используя данные об абонентах телекоммуникационных сетей, может узнать, из какой страны или региона России выходит на связь пользователь.
Раньше, чтобы получить такую информацию, власти были вынуждены запрашивать её у компаний-владельцев мессенджеров. Получив запрос, владельцы сами решали, предоставлять ли её.
Согласно заявлениям Telegram и Signal, замаскировать трафик нельзя, но можно использовать встроенные функции мессенджеров, чтобы отследить его было сложнее. В заявлении WhatsApp говорится, что инструменты слежки представляют собой «угрозу частной жизни» и что он будет продолжать защищать личные разговоры.
По информации NYT, некоторые российские разработки уже пытались продать в страны Восточной Европы, Центральной Азии, Ближнего Востока, Африки и Южной Америки.
Глава «Роскомсвободы» Артем Козлюк не уверен, что у спецслужб как российских, так и иностранных, есть возможность взламывать WhatsApp и Signal, а также секретные чаты Telegram, заметил он в разговоре с Сибирь.Реалии.
— Другое дело, что с помощью разных инструментов, в том числе социальной психологии и инженерии можно получать доступ к перепискам пользователей, но не думаю, что это дыры именно внутри шифрования end2end, — говорит эксперт. — Нельзя говорить, что есть шифрованный мессенджер «безопаснее», чем Signal. Другое дело, что есть мессенджеры, тоже использующие шифрование, где необязательно привязывать свой телефон, как у Signal: например, сервисы на основе XMPP (Jabber).
— Что может дать силовикам информация о том, что один пользователь общался с другим? Сам факт коммуникации же не является преступлением.
— Построение связей, понимание, что человек имеет очень плотный контакт, что это не случайный разговор. Далее можно отслеживать маршруты их передвижения, покупки, интересы и так далее. Например, группа лиц имеет длительную связь, много обменивается сообщениями, по метаданным видно, что не только ими, а, может быть, файлами, аудиосообщениям, а потом кто-то из этой группы, условно, начинает интересоваться покупкой ножей, веществами для подготовки взрывных смесей, третий передвигается по маршрутам каких-то важных лиц.
Козлюк отмечает, что информация о сервисах, которые могут обмениваться информацией со спецслужбами, собрана на сайте «Роскомсвободы».
- Ранее сообщалось, что ФСБ России и полиция вскоре могут получить инструмент, который позволяет вычислять владельцев и администраторов анонимных телеграм-каналов.
- В июле 2021 года стало известно о том, что власти авторитарных государств используют израильскую программу-шпион Pegasus для взлома телефонов правозащитников, независимых журналистов и юристов.
Кремль вступил в чат. Стало известно, как ФСБ контролирует Telegram
Штатные инструменты Telegram позволяют следить за действиями его пользователей. При этом ФСБ и другие российские спецслужбы могут иметь доступ даже к закрытым чатам, говорится в расследовании об уязвимостях проекта Павла Дурова. Источник: Wired
Так, получить информацию о пользователях можно с помощью API мессенджера — инструмента, через который разработчики приложений и исследователи могут подключаться к платформе и извлекать из нее данные для своих проектов.
API применяется для создания чат-ботов и позволяет проводить полный бэкап доступной им информации в мессенджере. В случае с Telegram речь идет о контенте и метаданных из любого общедоступного группового чата или канала, а также записях о том, когда пользователи в последний раз были в сети. Помимо этого, зная телефон человека, можно получить все сообщения, которые он отправлял в любой открытый паблик.
Исследователь из Института стратегического диалога (ISD) Джордан Уайлдон обнаружил, что API-инструменты позволяют определять местонахождение пользователей с точностью до 600 ярдов (550 метров). По его словам, «при наличии силы воли, приличных серверов и достаточном количестве API-ключей можно заархивировать почти весь Telegram» — каждый из текстов, аудиофайлов и изображений, размещенных на платформе публично. При этом ключи доступны любому пользователю, который их запрашивает.
Например, у популярного в России аналитического сервиса TGStat есть бот, который взаимодействует с API мессенджера и тысячами каналов одновременно. Таким образом у TGStag могут храниться данные обо всех пользователях пабликов и контент из них. Такая информация позволяет составить подробный потрет человека.
В своей политике конфиденциальности TGStat указывает, что по закону компания обязана передавать данные «государственным органам Российской Федерации». Поскольку сервис годами архивирует общедоступную информацию, этим могут воспользоваться спецслужбы.
Основатель TGStat Юрий Кижикин написал в ответ на обращение Wired, что «ситуация в России и мире не влияет на деятельность компании». Он подтвердил, что данные могут быть переданы российским властям, но сказал, что TGStat не получал никаких запросов ни от них, ни от правоохранительных органов.
Не все прозрачно и с «секретными чатами». На то, что их могут читать спецслужбы, указывает ряд случаев с российскими оппозиционными активистами. Одна из них, Анна Курбатова рассказала, что в начале мая все отправляемые ею сообщения, включая зашифрованные, помечались как «прочитанные», хотя она точно знала, что получатель их не читал. Она также замечала, что при выходе из секретного чата сессия по-прежнему помечалась как открытая и сообщения все еще можно было прочитать. Та же проблема возникла у активиста Ивана Асташина.
В апреле похожей историей поделилась кандидат в депутаты Заксобрания Петербурга Рина Мацапулина. Она рассказала, что силовики прямо перед обыском читали все ее сообщения друзьям в реальном времени. Со слов Мацапулиной, об этом ей сообщил сам следователь. Однако каким образом силовикам удалось взломать секретные чаты, специалистам пока неизвестно.
Сам Павел Дуров отказался разговаривать с Wired. Однако его соратник Георгий Лобушкин заявил, что хотя российский рынок «очень важен» для предпринимателя, Дуров «никогда не будет сотрудничать с российскими властями» и скорее свернет деятельность в стране, чем пойдет на подобное. При этом Лобушкин затруднился сказать, почему Telegram был разблокирован в 2020 году. Он считает, что Кремль сделал это, поскольку «российская пропагандистская машина научилась эффективно и результативно использовать» мессенджер в своих целях.