Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть
Братья Дуровы считали MTProto настолько неуязвимым, что в 2013 году даже пообещали награду в 200 тыс. долларов за взлом этого протокола и чтение переписки между ними. В переписке содержался адрес, на который нужно было отправить письмо.
Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов.
Протокол в дальнейшем доработали и объявили новый конкурс. Модель возможной атаки расширили – например, разрешили выступать в роли сервера MTProto и менять пересылаемые данные.
Организаторы не дают известный или выбранный открытый текст, шифротекст, возможность вызова повтора и использование других традиционных тестовых методов. Фактически вы можете отправить только одно зашифрованное сообщение – этого явно мало для полноценной атаки.
Присланные отчеты анализируют случайные люди. К тому же 100-200 тыс. долларов – слишком мало, чтобы это было интересно командам опытных криптоаналитиков.
Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации.
Безопасен ли Telegram?
Популярность Telegram также может быть связана с тем, что он рекламирует себя как платформу, недоступную для государств и властей, где каждый может писать все, что захочет. Этот факт привлекает многих сторонников теорий заговора и не только. Как утверждает “Der Spiegel”, фальсификаторы используют приложение для продажи поддельных карт прививок против COVID-19, а дилеры – для продажи всех видов наркотиков.
Особенностью, существенно отличающей Telegram от других мессенджеров, является то, что приложение гораздо мягче, чем его конкуренты, фильтрует размещаемый в нем контент. Немецкий еженедельник объясняет, что власти бессильны в своем противостоянии с Telegram, потому что Дуров отказывает им в доступе к данным пользователей.
Сами создатели, похоже, довольны стилем приложения. На сайте мессенджера они хвастаются, что на сегодняшний день “ноль байт пользовательских данных” были переданы третьим лицам, включая правительства. Однако “Der Spiegel” сообщает, что делом Telegram занялось Министерство юстиции Германии, которое требует от компании соблюдения действующего законодательства.
Кроме того, по данным “Der Spiegel”, Федеральное ведомство юстиции Германии хочет наложить штраф на Telegram. Предполагается, что причина заключается в том, что он не назначил контактное лицо для властей и не предложил процедуру подачи жалобы, предусмотренную немецким законодательством для криминального контента.
Как проходил процесс взлома Signal
Cellebrite опубликовала подробный отчет о процессе взлома Signal прямо на своем официальном сайте. Специалисты компании рассказали, что база данных мессенджера хранится в зашифрованном с помощью SqlScipher виде. SqlScipher – это расширение SQLite с открытым исходным кодом, которое обеспечивает прозрачное 256-битное AES-шифрование файлов базы данных. Для чтения БД хакерам был нужен специальный ключ, который, как оказалось, можно извлечь из файла с общими настройками и расшифровать его с помощью ключа под названием «AndroidSecretKey», который сохраняется «Keystore» — специальной функцией ОС Android.
База данных Signal до дешифровки…
«После получения расшифрованного ключа нам нужно было знать, как расшифровать базу данных. Для этого мы использовали открытый исходный код Signal и искали любые обращения к базе данных. Изучив десятки классов кода, мы, наконец, нашли то, что искали», – сообщили хакеры.
…и после
Затем они запустили SqlCipher в базе данных с расшифрованным ключом и значениями 4096 и 1 для размера страницы и итераций kdf, что позволило им расшифровать БД и обнаружить текстовые сообщения в файле «signal.db.decrypted» в таблице с названием «sms». Все отправленные и полученные файлы были найдены папке «app_parts», но они были дополнительно зашифрованы.
Список расшифрованных файлов, отправленных через Signal
Специалисты Cellebrite выяснили, что для шифрования вложений Signal использует алгоритм AES в режиме CTR, после чего им осталось только провести дешифровку. Дополнительно сопоставлять найденные файлы с чатами им не пришлось – это было сделано еще на этапе анализа сообщений, и в итоге они получили полностью читабельные чаты, доступные теперь в том же виде, в котором их видят участники беседы.
Особенности Telegram
Telegram — это бесплатный мессенджер, который благодаря своему большому диапазону функций подходит также для компаний и стартапов. С его помощью пользователи могут отправлять пакеты данных размером до 1,5 Гбайт через облачное хранилище.
Функции: кроме обязательной функции чата, в приложении можно записывать аудио и видеосообщения. Также здесь можно совершать голосовые и видеозвонки, отправлять большие объемы данных в виде документов, изображений, графиков или видео.
Групповые чаты: Необычно и непривычно то, что пользователи Telegram могут общаться с большим количеством других людей в одной группе — до 1000 человек.
Хранение данных: Telegram хранит все загруженные файлы в облаке. Это позволяет использовать информацию на любом устройстве, на котором установлено приложение. Однако у этой технологии есть слабое место: получается, что сервис хранит весь контент на своих серверах. Правда, через некоторое время данные автоматически удаляются.
Шифрование: сообщения в Telegram шифруются. «Обычные» облачные чаты имеют шифрование клиент-сервер/сервер-клиент. С другой стороны, так называемые «секретные чаты» зашифрованы сквозным шифрованием, а контакты, хранящиеся на смартфоне, не считываются Telegram. Однако сначала вам нужно активировать этот секретный режим.
Требования: вы не можете зарегистрироваться в Telegram без номера телефона. При этом не имеет значения, является ли указанный номер мобильным или стационарным.
Доступность: Telegram можно использовать как на смартфонах, так и в виде версии десктопной версии на ноутбуке или компьютере (Windows, MacOS, Linux). Бесплатное приложение доступно для Android и iOS.
Способы сделать использование мессенджера еще более безопасным
Насколько безопасен Телеграмм мы выяснили. Но разработчики предоставили пользователям сервиса дополнительные инструменты, позволяющие сделать общение по-настоящему безопасным. Они работают как все вместе, так и по отдельности.
Создавайте секретные чаты для большей безопасности
К перепискам в секретных чатах применяется особый способ шифрования: пользователь — пользователь. Что это дает:
- Сообщения хранятся только на устройствах отправителя и получателя. На серверах мессенджера они не сохраняются.
- Еще большая анонимность в Телеграмм. Никакая третья сторона никогда не сможет получить доступ к истории переписки — ни обычный злоумышленник, ни даже разработчики мессенджера.
- Сообщения из чата не могут быть пересланы третьему лицу, так как кнопка “Переслать” здесь не работает.
- Создание скринов с окна секретного чата затруднено*, а если одной из сторон это все же удалось сделать, второй стороне придет соответствующее уведомление.
*100% безопасности от заскринивания переписок разработчик все же не обещает.
Создать секретный чат не сложно:
Включайте опцию самоуничтожения сообщений по таймеру
В секретном чате вы можете активировать самоуничтожение сообщений по таймеру. В этом случае ваши сообщения, после прочтения их получателем, будут удаляться через назначенный промежуток времени. Минимальный срок по таймеру — 1 секунда, максимальный — 1 неделя. Сообщения удаляются и на вашем устройстве, и на устройстве получателя. Так ваша безопасность Telegram станет еще выше.
Подключайте двухэтапную авторизацию
Как вы понимаете, если злоумышленник получает доступ к вашей сим-карте, то он запросто может авторизироваться в вашем профиле Телеграмм на любом устройстве. Но если вы включите двухэтапную авторизацию, такой “фокус” у злодея не пройдет. Как это работает:
- Вы активируете двухэтапную авторизацию. В процессе понадобится придумать и ввести в специальную форму пароль. Пароль будет сохранен в системе.
- При последующих попытках авторизироваться система сначала в обычном порядке запросит код подтверждения (он приходит на телефон), а затем пароль, который знаете только вы.
Включить возможность очень просто:
Откройте настройки Конфиденциальность — Двухэтапная аутентификация;
Далее кликните на Установить дополнительный пароль и введите желаемое значение.
Таким образом, наличия сим-карты в руках злоумышленника будет недостаточно, чтобы получить доступ к вашему профилю в мессенджере. Ваши личные данные в безопасности
А для еще большей безопасности можно установить код-пароль
Код-пароль — это возможность закрыть доступ в мессенджер тем, кому попадет в руки телефон. Например, ребенок берет смартфон, чтобы посмотреть фотографии или поиграть к в игру: зачем вам переживать, что он что-то удалить из переписки или сам отправит сообщение куда не нужно (например, начальнику). Просто измените настройки конфиденциальности и при запуске приложения система будет запрашивать пароль. И вопрос, читают ли Телеграмм в ваше отсутствие домашние отпадет сам собой.
И в завершение напоминаем о необходимости соблюдения интернет-гигиены: в сеть выходим только с работающим антивирусом, на сайтах с вылетающими баннерами не задерживаемся и ни в коем случае не кликаем по этим баннерам. Также следует внимательно относиться к выбору сайтов для скачивания программ.
Как сделать так, чтобы никто не видел, что я заходил в Telegram
К сожалению, отключить галочки, показывающие, видели ли вы сообщение, невозможно. Однако в Telegram вы все равно можете скрыть присутствие пользователя в сети или не показывать, когда вы были активны в последний раз. Так вас не будут беспокоить, как только вы окажетесь в сети.
Привычным путем идем в настройки и открываем ”Конфиденциальность”, дальше находим ”Активность” и открываем этот раздел. В нем можно отметить, кто будет видеть вашу активность, а кто будет видеть только примерные значения вроде ”недавно”, ”на этой неделе”, ”в этом месяце”. Можно также устанавливать исключения, например, для своего начальника.
Если не хотите говорить всем, когда вы были в сети ,вы можете этого не делать.
Правда, надо помнить, что все, кому вы не покажете свою активность, не покажут свою вам. И это не их вредность, а базовая настройка Telegram.
Насколько безопасен этот мессенджер
А теперь поговорим об уровне безопасности: можно ли прослушать Телеграмм, как обстоят дела с анонимностью, есть ли возможность слежки за пользователями и пр. По заявлению разработчика Телеграмм намного безопаснее других, аналогичных ему программ для общения, а взломать его невозможно. Помимо особенностей протокола, на котором работает мессенджер, хорошей защитой обладают и его сервера:
- Насколько анонимен Телеграмм? Личные данные пользователей мессенджера не разглашаются ни при каких условиях — такова политика руководства компании. В любом случае, дать доступ в систему шифрования мессенджера равнозначно передаче всех инструментов управления им запрашивающей стороне. Что, естественно, недопустимо.
- Прослушивается ли Телеграмм? Нет. как мы уже сказали, особенности шифрования исключают возможность доступ третьих лиц к трафику, передаваемому между двумя пользователями.
- Могут ли вычислить по Телеграмм мое местонахождение? Нет. Пользователя смартфона или планшета гораздо проще отследить по номеру телефона и по сигналам, передаваемым самим устройством. Поэтому для поиска кого-либо использовать мессенджер (который прочитать невозможно, к тому же) несообразно.
- Отслеживается ли Телеграмм властями и есть ли риск, что будут разработаны программы / обучены люди, способные его взломать? Логично предполагать, что попытки отслеживать деятельность разработчика предпринимаются. Однако за все годы существования системы, проблемы у ее пользователей возникли только единожды. Да и те, согласно информации на оф. сайте компании, стали следствием технических проблем — отключения подачи электричества к оборудованию.
Проблемы безопасности Telegram
Telegram и раньше не был защищён по последнему слову техники, и сейчас его защита не стала хуже
Означает ли это, что Telegram перестал быть таким же безопасным, как и раньше? Ну, для начала нужно определиться, что мы подразумеваем под безопасностью. Ведь, как ни крути, но претензии к защищённости мессенджера Павла Дурова были и раньше:
- Во-первых, обычные сообщения (вне секретных чатов) не защищены сквозным шифрованием и в теории их можно перехватить;
- Во-вторых, есть мнение, что Павел Дуров уже давно слил ключи шифрования Telegram американским/арабским/европейским властям;
- В-третьих, Telegram хранит переписку пользователей в облаке и позволяет восстановить её на совершенно новом и чистом устройстве.
Так что, если вы подразумеваете под защитой именно эти аспекты, то здесь ничего не изменилось. В отношении хранения и шифрования пользовательских переписок Telegram остался прежним. Более того, он даже не использует рекламные идентификаторы, как многие другие приложения. То есть вычислить, что вы – это вы, ни он, ни кто-то другой не сможет.
В этом смысле претензий к Telegram как бы и нет. Если вы пользовались им раньше и мирились с этими недостатками, которые можно назвать таковыми лишь с натяжкой, то можете продолжать пользоваться им дальше. А, что касается остальных данных, то их сбор можно ограничить. По крайней мере, частично.
Ведь, если вы не пользуетесь банковскими картами в Telegram, то соответственно, получить вашу платёжную информацию мессенджеру будет банально неоткуда. То же самое касается фотографий, видеозаписей и голосовых сообщений, если вы их не отправляете. Да, это сильно ограничит вас в общении, но по большому счёту раньше пользователи как-то обходились только текстом, и ничего, справлялись. Короче, лично я оснований для того, чтобы отказываться от Telegram не вижу в упор.
Связи пользователей Telegram друг с другом тоже раскрывали
Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.
Сачи заявил: Telegram использует базу данных SQLite для хранения сообщений. Прочитать её “в лоб” не получится, но имена и телефонные номера вполне можно проассоциировать друг с другом.
Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных.
Как работает сквозное шифрование в Telegram
В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption).
В общих чертах сквозное шифрование работает так.
У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.
Отправитель и получатель вместе генерируют общий секрет или эфемерный ключ. Каждый использует свой приватный ключ и оба публичных. В Telegram для этого взяли за основу алгоритм Диффи-Хеллмана. Общие ключи временные и перегенерируются автоматически, чтобы много похожих сообщений (смайликов, текста с одинаковыми метаданными) не шифровались одним и тем же ключом.
Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.
Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки – и у получателя. и ни у кого больше.
Схема работы алгоритма Диффи-Хеллмана. Алиса и Боб имеют по паре ключей – публичный и приватный. g и p – публичные ключи, А и В – приватные. mod – деление по модулю (остаток от деления), К – секрет, или эфемерный ключ.
Метод действительно мощный. Но… всё не так однозначно.
Главное достоинство алгоритма Диффи-Хеллмана – возможность передавать открытые ключи и сообщения по публичным каналам. Но всё ломается, если хакер проведет активную MITM-атаку (атаку “человек посередине”) и подменит трафик.
Что же с ключами для облачных чатов? Один ключ у пользователя, второй – в облаке. И теоретически “облачный” ключ можно выдать кому угодно.
Как скрыть фото профиля в Telegram
Это тоже очень полезная функция. Зачем кому-то со стороны видеть ваше лицо? А вот друзьям будет намного проще ориентироваться в переписках, если у них будет миниатюрка фотографии. Более того, сейчас считается дурным тоном скрывать свою фотографию, особенно во время деловой переписки. Поэтому лучше сразу поставить свое фото в режим ”видно только моим контактам”.
Если не хотите показывать всем свое фото — отключите его отображение..
Открывайте ”Конфиденциальность” в настройках Telegram и ищите пункт ”Фотография профиля”. В нем можно задать свои параметры и заодно установить исключения, если они нужны. Так вы и пообщаться нормально сможете, и посторонние не увидят ваше фото. А им и не надо.
Как работает Телеграмм
Безопасность Телеграмм обеспечивается за счет использования криптографического протокола MTProto Proxy. Мы не будем углубляться в цифры и узкоспециальные термины, а объясним особенности работы протокола более доступно:
- Для подключения вместо стандартной связки “логин+пароль” используется секретный ключ. Он создается в момент регистрации клиента в системе и надежно шифруется.
- Всего используется два вида шифрования: сервер-клиентское, для обмена обычными сообщениями, и сквозное (клиент-клиент) — такое шифрование в Телеграмме активируется, когда пользователь переходит в секретный чат.
- Весь трафик, передаваемый через каналы Телеграмм, выглядит он очень похоже на стандартное TCP/SSL соединение, однако внутри — нераспознаваемая “каша” из зашифрованных данных.
- MTProto Proxy — это узкоспециальный тип прокси. Работать через него может только Телеграмм, а другие приложения не поддерживаются. Кроме того, через MTProto Proxy нельзя передавать обычный интернет-трафик.
Таким образом пользователи мессенджера надежно защищены от спам-атак, воздействия мошеннических схем и других неприятных вещей. Кроме того, отпадает вопрос, прослушивают ли Телеграмм.
В связи с последними действиями Роскомнадзора, Телеграм заблокирован в России. Программисты мессенджера стараются обойти это, чтобы программа работала стабильно на всей территории страны, однако бывает, что соединение не срабатывает и тогда нужно использовать дополнительные прокси, о том, как настроить прокси в Телеграмме читайте в другой нашей статье!
Многие эксперты считают защиту в Telegram просто маркетингом
В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит не проводили ни разу.
Ещё один момент: что происходит, когда пользователь Telegram отправляет сообщения, а адресат не в сети? Вероятно, сообщения отправляются на серверы Telegram, объединенные в виртуальное облако. Они синхронизируются между собой. Как только адресат появится в сети, он получит сообщения.
Таким образом, трафик в любом случае проходит через сервер. Хотя многие эксперты считают, что логичнее было бы установить соединение “клиент – клиент” – например, пиринговое (P2P).
В результате получается, что связь в Telegram вообще не работает без постоянного использования серверов. В других мессенджерах есть более элегантные и безопасные решения – например, когда серверы задействуют только для сравнения текущих IP-адресов собеседников и организации прямого соединения между ними.
Также специалисты считают, что алгоритм Диффи-Хеллмана в Telegram специально ослаблен на уровне генератора псевдослучайных чисел. Эти числа не генерируются на вашем смартфоне или ПК – приложение запрашивает их с сервера. Как там организована генерация, знают только разработчики.
Открытый исходный код клиента – ещё один большой вопрос. Более-менее регулярно обновляется только репозиторий десктопной версии, да и то она урезанная. Из чего собираются готовые дистрибутивы, оперативно проверить нельзя.
Чем интересен Signal
Бесплатный мессенджер Signal базируется на открытом исходном коде. Это означает, что используемый код является общедоступным и может быть изменен, если это необходимо. У программы есть знаменитые сторонники: Эдвард Сноуден, по его собственным словам, использует Signal каждый день. Однако среди рядовых пользователей эта программа мало популярна — в основном ей пользуются программисты и те люди, которые работают в IT-сфере.
Функции: Signal предлагает все популярные функции мессенджера — от отправки текстовых и голосовых сообщений до аудио и видеозвонков. С помощью этого приложения также можно отправлять файлы, например, документы, фотографии или видео. Облачного хранилища, как в Telegram, здесь нет.
Хранение данных: Signal считывает контакты, хранящиеся на вашем смартфоне. Тем не менее, контакты используются только в приложении, а не хранятся на серверах мессенджера.
Шифрование: вся связь по Signal защищена сквозным шифрованием. Таким образом, только стороны, присутствующие в чате, могут расшифровать (то есть прочитать) отправленные сообщения. Телефонные звонки здесь защищены от прослушивания: это работает благодаря уникальному номеру безопасности, который присваивается каждому разговору, будь то чат или вызов. Соответственно, Signal подходит для общения, содержание которого не предназначено для чужих ушей.
Требования: чтобы использовать Signal, вы должны указать номер телефона устройства, на которое сможете получать сообщения — проверка при регистрации осуществляется с помощью SMS.
Доступность: Signal может использоваться как приложение для смартфонов на Android (от версии 4.4) и iOS, а также как настольная версия на ноутбуках и компьютерах.
- Что такое ненужные файлы и надо ли их удалять?
- Почему смартфоны быстрее разряжаются зимой?
Telegram как компания: кто на самом деле стоит за приложением?
Telegram был основан в 2013 году двумя братьями Николаем и Павлом Дуровыми. Ранее Павел Дуров не пользовался лояльностью у российских властей, потому что, будучи главой российской альтернативной Facebook ВКонтакте, он отказывался удалять контент с критикой Кремля. Согласно собственному FAQ компании, Telegram сейчас находится в Дубае, но они готовы сменить местоположение, если там изменятся законы (в неблагоприятную сторону). «Команда Telegram была вынуждена покинуть Россию из-за местных правил в области ИТ и рассматривала ряд мест для главного офиса, включая Берлин, Лондон и Сингапур», — пишет мессенджер. Критики считают такой очень низкий уровень прозрачности структуры и местоположения Telegram недостатком — так что не только власти, которых якобы избегает Telegram, но также и пользователи не слишком точно знают, куда их данные попадают и где ими управляют.
Увы, Telegram уже взламывали, причём демонстративно
Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт.
Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало.
ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома.
Результат: хакер обошел двухфакторную авторизацию, получил доступ к секретным чатам со сквозным шифрованием, смог читать и отправлять сообщения в них.
При этом реальный владелец аккаунта даже не видел, что его взломали.
А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись.
В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем.
Какие данные собирает Telegram
Посмотрите, сколько связанных с вашей персоной данных собирает Telegram
Если вы перейдёте на страницу Telegram в App Store, то увидите, какие именно данные, связанные с личностями пользователей, он собирает:
- История покупок
- История перемещений (геолокация)
- Контакты (из адресной книги)
- Идентификаторы (ID пользователей)
- Пользовательский контент (фото, видео, аудиоданные, игровой контент, электронные или текстовые сообщения)
- Контактные данные (имя, номер телефона)
- Платёжная информация (данные банковских карт)
Казалось бы, так было всегда. Но нет, с момента введения ярлыков конфиденциальности Telegram обновлял его дважды. Если раньше он собирал только основную контактную информацию, списки контактов и идентификатор устройства, то после одного из последних обновлений ассортимент данных серьёзно изменился.
Это старый ярлык конфиденциальности Telegram. Сравните его с новым
К тем трём типам данных добавились история покупок, финансовая информация, отслеживание точного местоположения пользователя, пользовательский контент, включая мультимедийные данные и текстовые сообщения. То есть Telegram, по сути, взял на себя право отслеживать своих пользователей более тщательно, в то время как они сами полагают, что защищены на 100%.
В принципе, изменения, которые были внесены в ярлык конфиденциальности Telegram, легко объяснимы. Просто недавно мессенджер получил большое обновление с возможностью создавать боты-магазины, поддержкой популярных платёжных систем и базис для превращения в рекламную платформу. Поэтому проигнорировать требования Apple разработчики Telegram не могли.
Как увеличить безопасность приложения?
Пользователи Телеграма, пользующиеся возможностями мессенджера для личной переписки, могут поставить пароль на вход и не беспокоиться о сохранности данных. Взлом личных страниц выполняется крайне редко. Хакеры работают за высокие денежные гонорары. Информация, не содержащая коммерческой тайны, никому не интересна.
Чаще всего взламывают деловую переписку, которую ведут сотрудники компании с помощью Telegram. Мессенджер дает своим клиентам возможность хранить и отсылать документы, ксерокопии, фотографии, текстовые, голосовые и видеофайлы. Рекомендуется защитить конфиденциальную информацию от взлома. Секретные сведения нежелательно доверять мобильным приложениям.
Способы, помогающие обезопасить переписку в Телеграме:
- установка дополнительного пароля на вход в Telegram (двукратная аутентификация);
- использование секретного чата для переписки;
- установка антивирусной программы на устройство;
- использование безопасного протокола передачи данных HTTPS;
- защита беспроводной сети.
Правда, информацию на компьютере или смартфоне можно прочитать при включенном девайсе. В этом случае рекомендуется установить пароль на вход в устройство.
Надежность сохранности переписки в Телеграме зависит не только от программных возможностей мессенджера, но и от самих клиентов. Желательно не оставлять смартфон без присмотра. Компьютер в нерабочее время рекомендуется выключать.
Ни одна программа не гарантирует 100-процентную защиту от взлома. Конфиденциальную информацию лучше не доверять Telegram. Более надежными считаются приложения, поддерживающие OTR (например, Conversations, Adium, Xabber и другие).
Узнает ли кто-то, что сообщение переслано от меня
Этого никто не узнает, если вы измените соответствующую настройку. В разделе настроек Telegram под названием ”Конфиденциальность” найдите пункт ”Пересылка сообщений” и откройте его.
Тут будет показано, как будет отображаться сообщение, если кто-то переслал его. В базовом варианте будет приписка вашего имени, но это можно отключить, ограничив круг тех, кто может ссылаться на ваш аккаунт. Это могут быть все пользователи, только ваши контакты или никто. Удобно, что можно выставлять отдельные ограничения.
Отображение автора пересылаемого сообщения можно отключить.
Обратите внимание, что с тех пор, была выпущена версия Telegram 8.0, те, кто пересылают ваши сообщения, имеют возможность скрыть имя исходного автора прежде, чем поделиться сообщением с другими. Поэтому, если вы разрешили избранным контактам обмениваться сообщениями, не стесняйтесь попросить их скрыть ваше имя, когда оно не нужно
Как сравнивали мессенджеры?
- Открытость сообществу
- Архитектура
- Основная функциональность
«Открытость сообществу»
- наличие отчетов внешних аудиторов (в том числе наличие bug bounty-программ)
- доступность исходного кода мессенджера для исследователей (клиентская и серверная часть, протокол шифрования)
- наличие доступной и подробной документации для пользователей мессенджера
«Архитектура»
- защищенности данных мессенджера (например, конфигурационные файлы, необходимые для работы мессенджера)
- защищенности каналов связи (например, реализация передачи данных на сервер мессенджера)
- защищенности резервных копий (например, файлы приложения, создаваемые как мессенджером, так и операционной системой смартфона)
- защищенности данных профиля пользователя (например, логин пользователя, местоположение)
«Основная функциональность»
- обмен сообщениями (включая файлы различных форматов)
- совершение видео- и аудиовызовов
здесь
- анализ исходного кода: он доступен не для всех мессенджеров.
- исследование серверной части мессенджеров: оно может включать инвазивное воздействие и требует письменного согласия на проведение данных работ.
- криптографический анализ используемых алгоритмов шифрования и reverse engineering мессенджеров: эти работы займут намного больше времени, чем было отведено на проект, поэтому не будем отбирать хлеб специалистов-криптографов.
Серверы Telegram уже взламывали, причём публично
Ещё один Habr-пост – от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности.
Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера.
С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. Но если пойти дальше, можно было бы наворотить гораздо больше – научиться “ронять” серверы, вытаскивать логи падения и т.д.
Вывод: безопасен и надежен
Как особо безопасная альтернатива другим мессенджерам Telegram не может гордиться отсутствием стандартного сквозного шифрования. Для удобства облачных чатов, к которым можно получить доступ из любого места, пользователи должны принять на себя риск того, что вся их переписка, включая файлы, будет храниться на международных распределенных серверах — это создает возможность для злоупотреблений и как со стороны команды Telegram, так и извне. По сути, пользователи должны взвесить, доверяют ли они обещаниям компании защитить данные, которые не зашифрованы. Например, в Signal более высокий уровень безопасности, и альтернативой могут быть сервисы, размещенные на собственном хостинге. Однако, особенно в случае последних, массовая пригодность, которую приносят с собой установленные сервисы обмена сообщениями, вероятно, будет сильно ограничена. Функция групповых чатов с количеством участников до 200 000 и каналов дает возможность обмениваться идеями с множеством людей с одинаковыми интересами. В Telegram не только оппозиционеры могут обмениваться идеями на платформе, но также, например, и экстремистские группы. Конечно, Telegram — это контактный пункт для преступных и террористических группировок, которые чувствуют себя там спокойно. В сочетании с непрозрачной структурой компании это проливает довольно сомнительный свет на Telegram — например, структурный аспект используется компанией очень сознательно. В целом, когда дело доходит до сервисов обмена сообщениями, стоит внимательно взвесить удобства, безопасность и собственные убеждения.