Как работает шифрование в Telegram?
В сравнении с другими мессенджерами у Телеграм самый высокий рейтинг безопасности, согласно главному рейтингу безопасности мессенджеров Фонда электронных рубежей (EFF). У секретных чатов Telegram в этой таблице рейтинг семь из семи, у обычных — четыре из семи, и то лишь потому, что сообщения в стандартных чатах доступны для расшифровки самим Telegram.
Синхронизация устройств
Одна из ключевых особенностей и причин популярности Telegram — высокая степень безопасности и защита от прослушки в сочетании с поддержкой различных устройств и платформ. То есть вы можете работать в Телеграм со смартфона и лэптопа, при этом ваши сообщения будут синхронизироваться между устройствами автоматически.
Секретные чаты
Телеграм поддерживает секретные чаты, в которых сообщения и вовсе шифруются от устройства к устройству и при этом не оставляют каких-либо следов на серверах. Эти сообщения нельзя пересылать и они самоуничтожаются через запрограммированный пользователям период времени.
Принцип работы шифрования для обычных и секретных чатов
Конфиденциальность и безопасность обеспечивают два слоя шифрования. Один слой, шифрование от клиента к серверу, используется в обычных чатах, а другой, напрямую от клиента к клиенту, — в секретных. То есть данные шифруются в любом случае, даже если это групповой чат. Отличается только способ шифрования.
Обычный чат
Телеграм работает с помощью облака и шифрует весь трафик полностью, то есть не только сообщения, но и все передаваемые файлы и хранит на своих серверах. На серверах они расшифровываются с помощью специального протокола, который называется MTProto. Разработал этот протокол Николай Дуров. Зашифрованное облачное хранилище многие используют для обмена файлам, в том числе пересылая их самому себе с одного устройства на другое. Число файлов — ничем не ограничено. А их безопасность — гарантируется. Телеграм пообещал выплатить 300 тысяч долларов любому, кто сможет взломать мессенджер или расшифровать трафик.
Чтобы обеспечить защиту от правоохранительных органов, ключи на серверах распределяют по разным юрисдикциям, чтобы для раскрытия информации потребовались решения судов из нескольких юрисдикций сразу. То есть один ключ лежит на сервере, который физически находится в одной стране, а другой — на сервере в другой стране. И один ключ без другого никакого доступа к информации на сервере не даст. Это значит, что даже если будет решение суда и сервер изымут, силовики получат просто кусок железа, без доступа к информации на нем.
То есть если Вася отправил сообщение Пете, то Телеграм в этот момент зашифровывает сообщение персональным ключом. Сообщение приходит к Пете зашифрованным в виде набора буквенных и числовых символов. Пока Петя открывает сообщение, мессенджер с помощью ключа расшифровывает его и делает пригодным для прочтения.
Секретный чат
Для секретных чатов используется сквозное шифрование. Оно работает так: у отправителя и получателя есть по несколько ключей: один — приватный, второй — публичный. Приватные ключи создают и хранят на устройствах пользователей без попадания на сервер.
Вместе отправитель и получатель генерируют общий ключ. При этом каждый использует как свой приватный ключ, так и два публичных. Публичные ключи при этом временные, они постоянно уничтожаются и генерируются заново, чтобы похожие сообщения не шифровались одинаково и их нельзя было расшифровать по этому признаку.
Шифрование и расшифровка происходит прямо на устройстве пользователя, а не на сервере. То есть они остаются зашифрованными вплоть до получения и не попадают на сервер вообще.
То есть если Вася отправляет сообщение Пете с помощью секретного чата в Телеграм, сообщение шифруется двумя ключами. Один остается на устройстве и на сервер не передается — это приватный ключ. Второй ключ — публичный, он и отправляется на сервер. Сервер телеграм получает только метаданные — кто кому и когда написал, примерный объем текста.
Как защитить свою переписку в Телеграм от физического проникновения?
Онлайн безопасность Телеграм нам обеспечили создатели мессенджера с помощью шифрования. Но это не отменяет риска, что кто-то заглянет в мессенджер, взяв в руки ваш телефон или ноутбук. Чтобы сделать работу в Телеграм еще безопаснее, используйте двухфакторную авторизацию. Это когда вход нужно подтвердить не только кодом из смс, но и дополнительным паролем. Это позволит не дать залезть в приложение, если, например, телефон украдут. Неплохая помеха для физического проникновения в устройство — открытие доступа с помощью распознавания лица или отпечатка пальца. Поэтому если ваше устройство поддерживает эту функцию, используйте ее.
Безопасность в Телеграм. Насколько безопасен мессенджер и можно ли взломать?
Создавая мессенджер Телеграм команда разработчиков во главе с братьями Дуровыми делали акцент на защиту личных данных пользователей и конфиденциальности переписки.
Повышенный уровень безопасности стал главной фишкой Телеграм, которая выгодно выделяет его на фоне остальных мессенджеров. Благодаря этому Телеграм обрел популярность, ведь многие пользователи Интернета устанавливают этот мессенджер, делая выбор в пользу сохранения анонимности, безопасности и тайны личной переписки. Но вместе с популярностью Телеграм обрел и недоброжелателей. В сети часто можно встретить разгромные статьи и холивары на форумах о том, что безопасность в Телеграм является мнимой, а все фишки, типа секретных чатов и зашифрованных звонков, являются пустым пиаром от Павла Дурова.
В этой статье мы попытаемся разобраться в принципах безопасности Телеграм и узнаем насколько безопасен данный мессенджер и какова вероятность, что злоумышленники смогут перехватывать и читать личные переписки пользователей.
Как устроена безопасность в Телеграм
Если вкратце, то безопасность в Телеграм основывается на криптографическом протоколе MTProto Proxy. Особенности данного протокола таковы:
- Использование секретного ключа вместо стандартной связки «логин+пароль» (создание ключа происходит в момент регистрации клиента и подвергается надежному шифрованию);
- Использование двух видов шифрования: клиент-сервер (для обычного обмена сообщениями) и клиент-клиент (для секретных чатов);
- Передача трафика через каналы Телеграм, замаскирована под стандартное TSL/SSL-соединение, но внутри данные зашифрованы таким образом, что ничего невозможно распознавать;
- MTProto Proxy — это специальный тип прокси, разработанный конкретно под мессенджер Телеграм, а это значит, что другие приложения на нем не работают, а обычный интернет-трафик через данный протокол нельзя передавать.
Более подробно о том, как работает MTProto Proxy можно прочитать в нашей статье.
Шифрование
Как мы упоминали выше, Телеграм использует два вида шифрования: «клиент-сервер» и «клиент-клиент». Давайте рассмотрим подробнее, в чем их предназначение и их отличия.
Клиент-сервер
Большинство мессенджеров используют самый распространенный вид шифрования «клиент-сервер». Работает он таким образом: Дмитрий отправляет сообщение Наталье через мессенджер. Сообщение от Дмитрия в зашифрованном виде поступает на сервер мессенджера, сервер его расшифровывает, после чего вновь его зашифровывает и отправляет Наталье.
То есть сообщения на пути от устройства Дмитрия к серверу и от сервера к устройству Натальи безопасно защищены от перехвата. Но в случае, если на сервер будет произведена успешная атака, то вся незашифрованная информация может попасть в руки к злоумышленникам.
Клиент-клиент
Данный вид шифрования называется оконечным или сквозным, так как передача данных от устройства отправителя к устройству пользователя передается «сквозь» сервер. То есть они передаются через сервер, но сам сервер не может расшифровать эти данные, потому что ключи шифрования находятся только на устройствах пользователей, а сами данные хранятся на сервере в зашифрованном виде.
Такой вид шифрования гарантирует что все сообщения, звонки, аудиофайлы, видеофайлы, изображения, документы и другие данные защищены от попадания в третьи руки — они доступны только пользователям переписки и являются самыми безопасными. Такой вид шифрования использует в секретных чатах Телеграм.
Далее мы рассмотрим как пользователь может повысить уровень безопасности в мессенджере Телеграм.
Секретные чаты
Итак, если пользователь желает отправить крайне конфиденциальную информацию другому пользователю, то ему следует воспользоваться секретным чатом Телеграм. Трафик передаваемый в секретном чате шифруется от устройства к устройству.
Сообщение никто не сможет перехватить и расшифровать, даже разработчики. Этот способ считается самым безопасным в Телеграм.
При этом в секретном чате есть возможность установить таймер автоматического уничтожения сообщения с диапазоном. Также в секретном чате отсутствует возможность переслать сообщение третьему лицу — опция пересылки здесь отключена. А если пользователь попытается сделать скриншот переписки, то собеседник получит об этом уведомление.
Но учтите, что вы не застрахованы в тех случаях, когда злоумышленник может сфотографировать экран устройства, на котором отображена переписка.
Облачный пароль
Каждый раз входя в Телеграм с нового устройства, приложение будет требовать от пользователя ввод одноразового кода подтверждения, который приходит на телефон пользователя в виде SMS-сообщения или уведомления в Телеграм.
Но если злоумышленник имеет возможность перехватить SMS-сообщения пользователя, то данный способ защиты не особо поможет. Поэтому рекомендуется использовать двухэтапную аутентификацию, в обиходе называемую облачным паролем. Это значительно повысит безопасность в Телеграм.
Установив облачный пароль, вход в Телеграм с нового устройства станет более безопасным, так как кроме одноразового кода подтверждения придется ввести единый дополнительный пароль, который известен только владельцу аккаунта Телеграм. Также если третьи лица попытаются изменить данный пароль, на адрес электронной почты пользователя придет уведомление о смене пароля, тем самым сообщая о подозрительных действиях с его аккаунтом.
О том, как правильно настроить облачный пароль, можно прочитать в данной стать: Облачный пароль Телеграм: как настроить, установить и пользоваться.
Код-пароль
Разработчики также позаботились о том, чтобы усложнить доступ злоумышленников к перепискам пользователя, если устройство попало к ним в руки. Установив код-пароль, доступ к чатам будет заблокирован. Код-пароль может быть установлен в виде ПИН-кода или обычного пароля. Но его легко сбросить, переустановив приложение на устройстве.
Поэтому настоятельно рекомендуется использовать опцию облачного пароля, который помешает злоумышленнику войти в аккаунт пользователя Телеграм.
Код-пароль очень удобен для защиты переписок от любопытных глаз коллег или домочадцев. Так что наличие кода-пароля не будет лишней мерой безопасности в Телеграм.
Чтобы установить код-пароль нужно совершить шаги следующей последовательности:
- Войти в боковое меню Телеграм и открыть раздел «Настройки»;
- Перейти в раздел «Конфиденциальность» и пролистать до подраздела «Безопасность»;
- Нажать на опцию «Код-пароль», то есть сдвинуть ползунок вправо;
- Откроется диалоговое окно с просьбой ввести пароль;
- Вверху будет опция с выбором вида пароля: ПИН-код или обычный пароль, выбрав один из них, нужно ввести символы (в случае с ПИН-кодом — это четыре цифровых символа, в случае с обычным паролем — любые символы, в том числе буквы, цифры и знаки препинания);
- После установки пароля, в шапке над списком чатов появится иконка в виде замка;
- При следующей разблокировке телефона и попытки войти в Телеграм, приложение запросит ввести код-пароль.
Настройка код-пароля на гаджетах с ОС iOS и Android идентична. Для настольной версии Телеграм данный алгоритм настройки также подойдет.
Настройка видимости номера телефона
Известно, что аккаунт Телеграм пользователя прикреплен к его номеру телефона. Поэтому пользователя легко можно найти в Телеграме, зная его номер. Но разработчики позаботились и тут: они ввели возможность регулировать настройки видимости номера телефона таким образом, что пользователь сам выбирает, кому показывать номер телефона, а кому — нет.
Для настройки данной опции пользователю нужно зайти в Настройки/Конфиденциальность/Номер телефона и там поставить нужные ограничения. В данных настройках можно как запретить всем видеть номер телефона, так и сделать исключения для определенных пользователей.
Отображение последней активности
Также одним из принципов безопасности в Телеграм является сокрытие информации об активности пользователя в мессенджере. Любой пользователь может увидеть, когда последний раз другой пользователь входил в Телеграм. Поэтому разработчики добавили опцию «Последняя активность», в которой пользователь может настроить отображение данной информации.
В случае сокрытия активности от всех, информация о последнем входе пользователя будет отображаться приблизительно. Например, значение «недавно» может означать период от 1 минуты до 1 дня, а значение «был давно» — от 1 недели и дольше. Данную опцию можно настроить, проделав следующие шаги: Настройки/Конфиденциальность/Последняя активность.
Также о других полезных функциях мессенджера можно прочитать в статье о фишках Телеграм.
Попытки взлома Телеграм
Взлом Телеграм является одним из популярных трендов последних лет. В сети можно встретить статьи о том, как где-то кого-то взломали, перехватили управление группами и каналами, но подтверждения из официальных авторитетных источников о таких случаях нет. Да и обычно «уводят» телеграм каналы и группы из-за беспечности владельцев, которые пренебрегают элементарными правилами безопасности Телеграм.
Многие жертвы таких случаев не пользовались двухэтапной аутентификацией.
Иногда можно натолкнуться на критику Телеграм от авторитетных изданий, которые специализируются на информационной безопасности. Критика в основном касается того, что компания Телеграм не полностью раскрывает исходный код мессенджера. Также критикуют тот факт, что разработчики Телеграм для шифрования используют модификации стандартных протоколов, что может привести к непредсказуемым последствиям.
Тем не менее Павел Дуров уверен в безопасности Телеграм. Он пару раз анонсировал конкурс на взлом Телеграм. В качестве награды один раз предлагал 200 000 долларов в биткоинах, а в другой раз — 300 000 долларов. Но никому не удалось получить вознаграждение, так как победителей не было выявлено.
Чуть ниже мы рассмотрим несколько известных попыток взлома Телеграм.
Отключение СМС-сервиса
Павел Дуров заявлял, что было пару случаев, когда российские спецслужбы пытались получить доступ к Телеграм-аккаунтам некоторых оппозиционеров и журналистов. Первый случай произошел в 2016 году с активистом Олегом Козловским и сотрудником Фонда борьбы с коррупцией Георгием Албуровым.
Они жаловались на то, что их аккаунта в мессенджере Телеграм были взломаны, а прием SMS-сообщений был отключен. Олег Козловский сам разобрался в этой ситуации и пришел к такому заключению, что компания МТС целенаправленно отключила ему сервис доставки сообщений. Когда злоумышленники вошли в его аккаунт с другого устройства, он не получил SMS-уведомление с кодом авторизации.
В его аккаунт Телеграм он получил уведомление о том, что в аккаунт получен доступ с определенного устройства (в уведомлении указывается IP-адрес и устройство), но он это уведомление увидел только утром. Примечательно что в аккаунт Георгия Албурова через несколько минут вход был произведен с того же IP-адреса. Спустя несколько часов МТС опять включил сервис доставки SMS. Козловский обратился в техподдержку МТС с просьбой узнать, почему ему был отключен сервис доставки, но в ответ получил отказ и рекомендацию сделать письменный запрос.
В итоге Козловский предположил, что злоумышленники могли получить доступ к коду из SMS либо через систему CОРМ, либо через отдел техбезопасности компании МТС. Позже Дуров в переписке с редактором радиостанции «Эхо Москвы» прокомментировал этот случай, предположив, что спецслужбы оказывают давление на операторов сотовой связи. И порекомендовал использовать двухэтапную аутентификацию, о которой мы писали выше.
Второй известный случай произошел в 2019 году. О попытке взлома заявили несколько журналистов, которые освещали протесты в Екатеринбурге по поводу строительства храма. К счастью, их аккаунты не были взломаны, так как у них была настроена двухэтапная аутентификация. Но уведомления о попытке входа с другого устройства они получили. Дуров также прокомментировал данную ситуацию в своем официальном телеграм-канале. Он написал, что власти безуспешно попытались взломать аккаунты в Телеграм журналистов и акцентировал внимание на то, что власти авторитарных стран посягают на конфиденциальность и безопасность граждан.
Фишинг
Одним из способов получить несанкционированный контроль над аккаунтом пользователя Телеграм является фишинг. В случае с фишингом пользователь получает уведомление в мессенджер Телеграм от аккаунта маскирующегося под аккаунт официальной поддержки Телеграм.
В данном уведомление сообщается информация о том, что якобы обнаружена подозрительная активность в аккаунте пользователя и он должен немедленно подтвердить свои действия, в противном случае его аккаунт будет заблокирован.
Для подтверждения в уведомлении злоумышленники включают ссылку на фейковую страницу, визуально полностью копирующую официальный сайт Телеграм. Наподобие, telegram-antispam.org. На фейковом сайте пользователь должен будет указать номер мобильного телефона, прикрепленного к аккаунту Телеграм, код подтверждения и облачный пароль, если он у него включен. Если пользователь забыл пароль, то мошенники просят владельца аккаунта пройти стандартный процесс восстановления пароля. Как только обманутый пользователь вводит всю вышеперечисленную информацию, злоумышленники получают полный контроль над аккаунтом Телеграм.
Они привязывают украденный аккаунт к другому номеру телефона и получают полный доступ к чатам, группа и каналам пользователя. Особенно в группе риска находятся те пользователи, который ведут собственные телеграм-каналы. Они обычно являются лакомым кусочком для злоумышленников, так как те в свою очередь могут монетизировать украденные канала или использовать в более гнусных целях.
Чтобы не стать жертвой фишинга, редакция t9gram рекомендует пользователям придерживаться нескольких правил:
- Всегда использовать двухэтапную аутентификацию;
- Быть бдительным при получении сообщений от аккаунтов, которых нет в списке контактов (у официальных аккаунтов Телеграм есть подтверждающие значки в виде шестеренок или галочек);
- Если пользователь все-таки перешел по ссылке на фейковый сайт, то он должен убедиться, что соединение защищено, а в адресной строке сайта указан правильный адрес telegram.org.
Шпионские программы на устройстве
Доступ к аккаунту Телеграм злоумышленники также могут получить с помощью установки шпионским программ на устройстве пользователя. Например, как FinSpy и Skygofree. К сожалению, здесь двухэтапная аутентификация не поможет защитить свои данные. Поэтому пользователь должен быть бдительным в том, какое он программное обеспечение или приложение устанавливает на свой смартфон или ПК и убедиться в том, что на его устройствах установлены хорошие антивирусные программы, тогда ваш Телеграм будет в безопасности.
Телеграм и отношения с правительствами некоторых стран
В начале статьи мы упоминали, что руководство Телеграм ценит право пользователей на конфиденциальность переписки и считает, что правительство и спецслужбы не должны вмешиваться в частную жизнь граждан. Тем не менее компания Телеграм в 2018 году заявила, что меняет политику конфиденциальности мессенджера и готова предоставлять информацию о пользователях спецслужбам. Но только на законных основаниях, то есть при наличии судебного ордера, который подтверждает, что определенный пользователь подозревается в терроризме, руководство компании готово спецслужбам предоставить номер мобильного телефона и IP-адрес пользователя. Но переписка так и останется конфиденциальной.
При этом в Телеграме открыли специальный канал, в котором будет публиковаться информация о сотрудничестве со спецслужбами. На сегодняшний день о таких случаях сотрудничества информации нет, упомянутый канал пустует.
Блокировка в Иране
В Исламской Республике Иран мессенджер Телеграм заблокировали по причине того, что в одной из групп администратор призывал пользователей участвовать в протестах против правительства, используя коктейли Молотова. Это произошло в конце 2017 года. Правительство Ирана через Твиттер обратилось к Павлу Дурову с просьбой забанить группу с протестующими, Дуров выполнил просьбу и подметил, что критика в публичных каналах и группах Телеграм допустима, но призывы к насилию — нет. Но администраторы забаненной группы создали новую группу и написали Дурову, что они уволили агрессивного администратора, который призывал к насилию. Дурова такой ответ удовлетворил и группа избежала очередного бана, но правительство Ирана осталось недовольным.
Существование оппозиционной группы стала формальным поводом для блокировки Телеграм на территории страны. Частично Телеграм на территории Ирана был блокирован с конца 2017 года, а полностью — с апреля 2018 года.
Конфликт с Роскомнадзором
Также Телеграм не миновал конфликт и с правительством РФ, а точнее с Роскомнадзором. Вследствие принятия законопроекта Яровой, все телекоммуникационные компании были обязаны плотно сотрудничать со спецслужбами, то есть по первому же запросу спецслужб предоставлять информацию о «подозрительных» пользователях.
И в этой ситуации Дуров опять не изменил своим принципам. Камнем преткновения стало нежелание Дурова предоставить Роскомнадзору ключи шифрования, которые бы дали доступ к перепискам пользователя. При этом Дуров грамотно объяснял, что в случае использования сквозного шифрования это технически невозможно, но Роскомнадзор настаивал на своем. В итоге это вылилось в судебные тяжбы и привело к «кривой» блокировке Телеграм на территории РФ. Как это начиналось, можно прочитать в данной статье.
К счастью, на сегодняшний день конфликт с Роскомнадзором исчерпан и беспрепятственный доступ к мессенджеру Телеграм на территории РФ потихоньку восстанавливается.
Деанонимизация протестующих в Гонконге
В Китайской Народной Республике Телеграм тоже блокируют. И делается это по причине того, что с помощью мессенджера оппозиция координирует свои атаки против коммунистического правительства страны. То, что Телеграм пал в немилость к китайскому правительству, неудивительно. В Китае власти требуют от всех телекоммуникационных компаний устанавливать свои сервера на территории страны и давать спецслужбам доступ к перепискам пользователям. И как обычно, Дуров на это не согласился.
Принципы либертарианства превыше всего. Кстати, ознакомиться с биографией Павла Дурова можно ознакомиться в данной статье. Тем не менее Телеграм заблокирован в Китае частично, например, в Гонконге и Макао мессенджер функционирует нормально.
Но в 2019 году случилось неприятное событие. В Гонконге летом начались протесты против правительства в связи с законом об экстрадиции. Протестующие координировали свои действия через групповые чаты в Телеграм. В какое-то время спецслужбы начали идентифицировать личности протестующих и подозрение пало на Телеграм — якобы команда мессенджера выдала информацию о них спецслужбам. На самом деле это не так, безопасность в Телеграм не изменилась.
Выше было упомянуто, что пользователь сам может настроить уровень конфиденциальности в Телеграм. В случае с сокрытием номера телефона, пользователь может скрыть свой номер телефона от всех. НО есть один нюанс.
Даже если пользователь выбрал опцию скрыть телефон от всех, то люди, у которых номер телефона пользователя занесен в список контактов, все равно будут видеть его номер в Телеграме. Именно с помощью этой лазейки спецслужбы вычисляли личности протестующих.
Злоумышленник (в данном случае, хакер, которого наняли власти Китая) вносит в свой список контактов десятки тысяч телефонных номеров. Далее он заходит в Телеграм, синхронизирует контакты и вступает в целевые группы, где протестующие координируют свои движения. После чего злоумышленник открывает в Телеграме список контактов, нажимает на контакт пользователя и видит, какие у него с ним есть общие группы, то есть он видит, состоит ли Юн Ли в той же протестной группе, что и злоумышленник. Таким образом и происходила деанонимизация в Телеграм.
Защититься от такого способа деанонимизации можно только в том случае, если пользователь оформил свою SIM-карту на подставное лицо. Возможно, разработчикам Телеграм следовало бы в будущем придумать способ защиты от деанонимизации и убрать данную лазейку. На сегодняшний момент это самая серьезная уязвимость в безопасности Телеграм.
В целом мессенджер Телеграм оснащен высоким уровнем безопасности и дает пользователю право выбора решать самостоятельно, насколько сильно он хочет быть защищен. И тем не менее сколько бы разработчики не снабжали мессенджер дополнительными фишками безопасности, пользователь должен помнить, что уровень безопасности зависит в первую очередь от его собственной бдительности.
Анонимность в Телеграме: безопасно ли общаться и как спецслужбы читают сообщения
FAQ
Идея разработки мессенджера возникла у Павла Дурова (основателя сайта соцсети ВКонтакте), когда ему потребовалось пообщаться с братом, находившимся далеко, срочно и конфиденциально, избежав прослушивания разговора или чтения переписки третьими лицами. На тот момент найти сервис, выполняющий эти условия, ему не удалось.
В 2013 году была основана новая, отличающаяся от остальных, служба обмена мгновенными сообщениями, с высокой степенью защиты от доступа не только злоумышленников, но и госструктур.
Спустя семь лет T elegram пользуются более четырехсот миллионов абонентов по всему миру. Считается, что Telegram полностью защищено, и все данные юзеров, переписки надежно скрыты.
Давайте разберемся в теме, безопасен ли Телеграмм на самом деле. Какие механизмы защиты данных используются. Что может стать причиной утечки сведений. Технические и нетехнологичные слабости. Опасные моменты при подключении к API. Возможности повышения степени защиты материалов, которые передаются.
Уровень безопасности Telegram
Есть пользователи мессенджера, которые считают, что им в принципе все равно, обеспечивается анонимность в T elegram или нет. Существует даже такая шутка: «Товарищ майор, это я сейчас сказал (написал) для вас».
С одной стороны, недоумение этих людей по поводу шумихи вокруг обеспечения приватности разговоров и переписки понятно – они не нарушают никаких законов. А террористов и мошенников надо отслеживать.
А с другой стороны, мало кому понравится, если чужой человек влезет в личную переписку, узнает инсайдерские данные, добытые с большим трудом, или получит сведения, документы, составляющие коммерческую тайну.
Именно поэтому и надо защищать свой аккаунт от несанкционированного стороннего доступа.
Позиция Павла Дурова
После того как разработчиками было заявлено, что Телеграм обеспечивает полную безопасность всех данных, на мессенджер обрушилась критика со стороны специалистов и конкурентов о том, что особенность защищенности данных в Telegram сильно преувеличена.
Так, инженеры компании Open Whisper Systems, которая владеет защищенным сервисом мгновенных сообщений Signal, и Эдвард Сноуден почти одновременно заявили, что при использовании Telegram обычная переписка не проходит шифрование и хранится в виде текстовых файлов на сервере T elegram . А американский инженер Натаниэль Сачи заметил, что пароль, вводимый при входе в Telegram Desktop, не обеспечивает защиту файлов и не исключает взломы.
Павел Дуров в ответ на все нападки делает заявление, что в российских СМИ намеренно распространяется версия о небезопасности TG. Он считает, что все аргументы сводятся к тому, что можно прочитать переписку, если есть доступ к ПК, планшету или смартфону одного из участников диалога.
Эту особенность подтверждает руководитель департамента компании Group-IB (фирма-разработчик решений для детектирования и предотвращения кибератак) Антон Фишман. Он считает, что, правда, при наличии доступа к ПК пользователя восстановить содержание переписки и прочитать ее возможно. Но для этого надо найти возможность проникнуть в чужое устройство.
Также Павел Дуров объявил о выплате вознаграждения в 200 тыс. долларов тому, кто сможет прочитать сообщение в секретном чате. Пока выполнить эту задачу никому не удалось, но команда TG выплачивает премии всем, кто находит самые уязвимые места в защите приложения, помогая улучшить надежность .
Шифрование данных
Лучшая защита данных от взлома обеспечивается при общении в секретном чате:
- все сообщения в нем подвергаются шифрованию, включая видео, фото и др.;
- материалы нельзя скидывать сторонним лицам, сохранять, данные не копируются и не пересылаются, никто посторонний не сможет их увидеть;
- невозможно делать скриншот экрана и при попытке выполнить это действие второму участнику диалога поступит уведомление;
- можно настроить удаление сообщений после ознакомления с ними собеседника;
- читать и видеть переписку можно только с того мобильного телефона или другого устройства, на котором она инициирована;
- данные не поступают на сервер T elegram и сохраняются только на устройствах участников диалога;
- если удалить пост на телефоне одного собеседника, он исчезнет и из ленты второго;
- при закрытии весь диалог удаляется.
Для засекречивания передаваемых запросов командой Telegram был разработан протокол технологии MTProto, в основе которого лежит алгоритм Диффи – Хеллмана – Меркля (ДХМ).
Главной криптографической задачей является генерация сессионных ключей при открытии секретного диалога. При этом происходит обмен кодами собеседников, для которого используется открытый ключ сервера Телеграмм, генератор простых чисел.
Но к сожалению, алгоритм ДХМ уязвим для MitM-атак.
Man in the middle в переводе с английского языка обозначает «человек посередине» – это вид криптографической атаки, при которой третье лицо вклинивается в прямой процесс связи между сторонами диалога и может ретранслировать, искажать или удалять данные.
Выход там один: каждый раз по другому пути связи сверять конечный ключ обоим участникам сессии. Но это нереально. А пока такой возможности нет, то и MitM-атака вполне вероятна.
Слив информации третьим лицам
При использовании мессенджеров других компаний, передавая данные самым крупным агрегаторам, почтовым клиентам (Яндекс, почта mail.ru) надо понимать, что у них есть доступ ко всем данным, которые когда-либо проходили через их серверы. По решению суда полиция, ФСБ могут затребовать и получат все, что когда-либо проходило через отслеживаемый аккаунт, после вручения постановления суда. Все крупные компании, работающие на территории РФ, обязаны сотрудничать со специальными службами, в противном случае их ждет сначала штраф, а затем запрет на работу.
Руководители Телеграмм официально заявили, что при наличии документов, подтверждающих законность слежки, они могут предоставить только IP-адрес и номер телефона.
С таким предложением не согласилась Федеральная служба безопасности России и по ее настоянию (и решению суда) мессенджер должен был быть заблокирован на территории РФ. Много лет длилась борьба Роскомнадзора с Telegram. Все основные поставщики интернета (Ростелеком, МТС, Мегафон, Билайн) закрыли этот ресурс для своих пользователей.
Однако, поклонники все равно продолжали вести авторские паблики, открывать новые группы для общения, переписываться в диалогах. Более того, количество активных юзеров благодаря запрету TG даже возросло. Этому способствовал информационный шум вокруг сервиса и использование таких инструментов, как прокси или VPN, применять которые учили на каждом форуме в сети.
Итог: блокировка Telegram отменена.
Есть ли прослушка
Миф о том, снят ли запрет на использование мессенджера в России снят, потому что Дуров согласился передать госорганам все доступы к приложению, время от времени встречается на сайтах в интернете.
Так читается ли Телеграмм спецслужбами или это очередная ложь, распространяемая конкурентами сервиса? Сразу дадим ответ – нет. Несанкционированного вторжения можно не бояться, даже если вы находитесь под колпаком немецкой или американской разведки.
Однако, передавая сведения, имеющие особенную ценность, конечно, лучше использовать секретный диалог.
Еще один вопрос, который интересует юзеров: Телеграмм прослушивается или нет. Ответ тот же – нет. Пока не выявлено возможностей осуществить перехват поток звуковой и видеосвязи. Так что ФСБ Телеграм пока не прослушивает и не просматривает.
Но если появилось подозрение о возможной слежке и утечке содержания переписки, то существует смысл проверить смартфон на наличие маячков и микрофонов.
Уязвимости «Телеграма»
Каждый, кто занимается разработкой программного обеспечения, хочет, чтобы его продукт всегда функционировал правильно, полностью выполнял возложенную на него роль, не создавал проблем. Однако, к сожалению, так почти никогда не выходит.
У Telegram тоже существуют свои точки уязвимости. При получении сообщения об обнаруженном баге, запрос проверяется, и если он верный, ставится задача команде разработчиков.
Рассмотрим некоторые проблемы, относящиеся к безопасности передаваемых данных.
Нетехнические
К этому разделу относятся уязвимости, которые связаны с изначальной концепцией создания мессенджера.
Первая – это шифрование. Криптографический протокол MTProto разработан командой Телеграмм. С одной стороны, это правильное решение. Известен принцип создания кодов, но точные методы полностью знают только специалисты компании.
С другой стороны, неизвестно, насколько высок уровень криптографической экспертности разработчиков. Гуру криптографии Мэтт Грин весьма скептически оценил конечный продукт. Но пока еще никому не удалось предоставить доказательств, что дешифровка возможна и с помощью чего.
Вторая проблема заключается в том, что если начать общаться вне секретного чата, то сообщения шифроваться не будут. Все посты и файлы в первоначальном виде хранятся на серверах TG. Как правило, об этом нигде не упоминается и большинство абонентов считают, что подвергается шифрованию вся передаваемая и хранимая информация. При возможном вскрытии серверов мессенджера все сообщения пользователей (кроме secret chat) будут доступны злоумышленнику в виде текстовых файлов.
И третья нетехническая уязвимость Telegram в том, что после регистрации запрашивает полный список контактов из записной книжки пользователя. Полученные номера и имена хранятся также на сервере Телеграм. Таким образом, TG обладает огромной базой контактов, которые могут быть похищены или предоставлены властям, если они будут нужны, без согласия абонентов.
Технические
В мессенджере есть бот, который отслеживает попытки взлома учетных записей и сообщает об этом пользователю. Но и робота можно обмануть.
Легче всего вскрыть учетную запись в Телеграм через привязку к номеру телефона. Для входа с нового устройства нужно получить только пароль по СМС. Например, в 2016 году в России произошел взлом аккаунтов оппозиционеров. Как произошла эта история:
- была отключена услуга СМС;
- затем с IP-адреса точки тор (система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) был запрошен код на авторизацию;
- пароль введен, получен доступ к аккаунту;
- после скачивания данных восстанавливается подключение к услуге СМС.
Для того чтобы избежать вскрытия аккаунта описанным образом, рекомендуется пройти двухэтапную (двухфакторную) авторизацию. Установка и настройка ее просты:
- зайти в главное меню и тапнуть по строке «настройки»;
- выбрать раздел «конфиденциальность»;
- найти на странице графу «безопасность»;
- включить двухэтапную аутентификацию.
При этом для входа в программу надо будет вводить два пароля. Первый пароль можно получить по СМС, а второй известен только владельцу аккаунта.
Еще один способ смотреть чужую ленту – это MitM-атака, описанная ранее.
Также специалисты отмечают, что в некоторых разделах протокола Телеграм для хеширования применяется алгоритм SHA-1 вместо SHA-256. А хеширование – это одна из главных криптографичеких функций, позволяющая преобразовать сведения в уникальный набор символов (хэш), присущий только этому массиву входящих данных.
Так вот SHA-1 очень слабый неустойчивый алгоритм, допускающий сбои и задвоение.
И последняя техническая уязвимость Telegram, которую мы рассмотрим – это утечка данных о метаданных пользователей.
Так, любой желающий может узнать, когда тот или иной абонент вышел в онлайн или ушел из него. Для этого рекомендуется внести телефон интересующего человека к себе в контакты. Такой шаг позволяет следить за активностью пользователя в мессенджере, можно даже узнать, общаются ли 2 юзера между собой, анализируя метаданные с двух сторон.
Пример. Абонент Икс добавил себе в контакт пользователя Игрек. Телеграмм не уведомляет Игрека об этом. Зато Икс свободно получает сведения, во сколько Игрек зашел в программу, когда вышел.
Безопасность неофициальных клиентов
API-Телеграм – это все тот же Telegram, «одетый» в другую оболочку, но дополненный некоторыми опциями (дополнительные стикеры, гифки и прочие сервисы бесплатно).
Альтернативные клиенты (API) применяют тот же криптографический алгоритм, не обладают правом менять основные функции мессенджера. Также они обязуются не передавать данные пользователей третьим лицам, но теоретически обладают к ним доступом.
При нарушении конфиденциальности максимальное наказание для таких приложений – это блокировка.
Способ, которым может прослеживаться отправляемая информация – это, например, «слушать» клавиатуру при наборе текста в клиенте.
Также неофициальные клиенты могут писать спам (хотя теперь спам-бот быстро блокирует такие пути), подписывать на паблики.
Как повысить безопасность своего аккаунта
Все способы взлома, которые были перечислены, могут быть использованы исключительно очень продвинутыми пользователями. Чаще всего в утечке данных можно обвинить только самого себя или собеседника.
Для того чтобы конфиденциальность данных не была нарушена, помогите своему аккаунту сами, лучше подстраховаться заранее:
- не давайте номер телефона незнакомым людям;
- поставьте сложный пароль на аппарате на android или iphone ;
- при приобретении нового гаджета подготовьте старый к продаже, приведя все настройки к заводским, чтобы никто не смог вскрыть аккаунт с бывшего вашим смартфона;
- поставьте на вход в программу двухэтапную аутентификацию;
- скройте в настройках свой номер телефона;
- не забывайте выходить из профиля после окончания сеанса общения;
- используйте для последующей передачи конфиденциальной информации секретный чат;
- закройте возможность посмотреть время последнего пребывания в сети.
Павел Дуров утверждает, что его мессенджер хорошо защищен от атак хакеров должным образом. Несмотря на то что ряд экспертов опровергают это утверждение, осуществить взлом защиты и прочитать скрытые сообщения до сих пор еще никому не удалось и вряд ли получится.
Впрочем, каждый пользователь должен сам сделать выбор, пора искать новые способы общения или пока не стоит убирать Телеграмм из списков используемых приложений.
Безопасен ли Telegram на самом деле?
Telegram старается доказать, что это самый безопасный на свете мессенджер, который никогда и никому не сольет ваши данные. Насколько это соответствует действительности и как защитить конфиденциальность при работе с приложением, разбираемся в статье.
Telegram: насколько безопасен этот мессенджер
Telegram — это приложение для общения, создатели которого уверяют пользователей в высоком уровне безопасности.
Это верно лишь частично. Хотя для голосовых и видеозвонков используется сквозное шифрование, для обычных сообщений чата это шифрование по умолчанию не включено. Только в том случае, если вы используете «Секретный чат», сообщения шифруются сквозным методом (end-to-end). Это возможно только в личных, но не групповых чатах.
Сообщения по умолчанию шифруются между клиентом и сервером — однако это делает данные доступными для оператора или потенциального злоумышленника. Соответственно, Telegram по сравнению с другими мессенджерами, такими как WhatsApp, вовсе не обеспечивает особой безопасности.
Еще один аспект в плане безопасности — номер телефона. Он необходимо для регистрации в Telegram. Тем не менее, вы можете скрыть свой номер, когда связываетесь с другими пользователями. Безусловно, это важное преимущество по сравнению с тем же WhatsApp.
Как общаться в Telegram безопасно
Чтобы общаться с помощью Telegram максимально безопасно, используйте наши советы: