Уютный трикотаж: интернет магазин белорусского трикотажа

Безопасность телеграмма – Telegram как средство внутренней и внешней политической борьбы или гениальнейший проект большого брата в современной истории

Безопасность телеграмма – Telegram как средство внутренней и внешней политической борьбы или гениальнейший проект большого брата в современной истории

Содержание

Безопасность Телеграмм и ФСБ: Telegram прослушивается или нет

Телеграмм безопасность — очень волнующий раздел всех пользователей приложения. Мы расскажем все в одной статье о Telegram и его безопасности.  Читай быстрее!

Одним из самых важных критериев в пользу выбора приложения является безопасность пользователя и сохранение полученных им данных. Практически все программы и приложения, несмотря на высокую степень защиты, поддавались взлому – информация передавалась третьим лицам, а аккаунты использовались в качестве разносчика спама. Разработчики  предусмотрели возможность полного контроля над доступом к профилю, поэтому при создании приложения использовался секретный код, вскрыть который не предоставляется возможным. Разработчики доказали: Телеграмм = безопасность.

Всё о защите в телеграммВсё о защите в телеграмм


С момента выпуска приложения, с 2013 года, не было зафиксировано ни одного случая взлома мессенджера. Создатели программы, уверенные в сверхбезопасности своей разработки, создали конкурс – победитель получит десятки тысяч долларов, если получит доступ к чужому профилю и вскроет историю сообщений. Вдохновленные такой наградой, тысячи программистов-гениев пытались сделать это, но их попытки не увенчались успехом – можете представить уровень безопасности приложения Telegram? Все же, один человек отчасти совершил победу: тем не менее, историю сообщений он узнать не смог, а лишь нашел уязвимость в чатах. В итоге ему досталась лишь половина призовых денег, но Павел Дуров сделал «Ход конем» и пригласил этого программиста на работу в мессенджер.

Безопасен ли Телеграмм именно в РФ?

Это интересно: Telegram использует специальный протокол шифрования MTProto, который разработал Николай Дуров и команда программистов. Является на 2016 год одним из самых защищенных протолоков.

Именно поэтому у Дурова возник конфликт с ФСБ в 2017 году у них просто не получалось прослушивать Телеграмм.

Как увеличить безопасность Телеграмма?

Несмотря на сильную безопасность, не стоит пренебрегать мерами предостережений – программа обладает высоким уровнем дополнительной защиты:

Реальные пользователи Telegram оставили весьма положительные отзывы о безопасности мессенджера. Прочитать их можно как и на главной странице Telegram в магазине приложений, так и посмотрев различные обзоры блоггеров.

Интересная особенность заключается в том, что помимо протокола шифрования MTProto пользователи могут настроить как двухэтапную авторизацию, так и самоуничтожающиеся сообщения и уничтожение учетной записи. Что ставит под сомнение любые попытки взлома, даже от ФСБ т.к. к моменту получения доступа (а это практически невозможно) либо переписка может быть уничтожена, либо аккаунт уже перестанет существовать! Все тоже самое касается и мессенджера Телеграм Х — безопасен, шифруется и можно уничтожить учетную запись.

Предоставление данных третьим лицам

Очень многие крупные компании и приложения признаются, что имеют доступ к аккаунтам пользователей, используют их данные и сохраненные файлы, объясняя это тем, что так легче узнать, чего не хватает программе. Многие пользователи крайне недовольны таким исходом событий. С Телеграммом вам не придется задаваться вопросом, сливает ли он данные ФСБ или третьим лицам – даже разработчики не имеют доступа к чужим данным профиля. В противостоянии с Телеграмм, ФСБ не раз требовали предоставить подобную информацию, однако ни разу требования ФСБ не были выполнены.

Безопасность Телеграмм или миф о прослушке

Еще одной немаловажной проблемой является возможность прослушивания данных ФСБ. Причин для паники нет: благодаря высокому уровню защиты и сильной кодировке данных Telegram, данные невозможно прослушать и передать мошенникам. Прежде чем задаться вопросом, можно ли прослушать данные, или нет, ознакомьтесь со статистикой пользователей: в число юзеров Telegram входят бизнесмены и известные политики, специальные службы и даже секретные группировки. Ни один из них не смог пожаловаться на плохую безопасность Телеграмма. Криптографический договор, установленный создателями приложения, обеспечивает дополнительный уровень защиты. Так что отвечая на вопрос, можно ли прослушать Телеграмм в РФ, ответ довольно однозначен — нет (или пока нет), даже если вы секретный агент ФСБ) Также, если программа регистрирует попытку взлома, она автоматически отправляет пользователю код подтверждения доступа, который, в свою очередь, также исключает возможность совершения взлома.

С другой же стороны, большинству пользователей на самом деле все равно прослушивается Телеграмм спецслужбами ФСБ или нет, ведь скрывать по сути нечего.

 

Анализ безопасности Telegram

В этой статье мы рассмотрим Telegram в целом, поговорим об используемом протоколе и проведем сравнение с другими аналогичными продуктами.

Авторы: Hayk Saribekyan ([email protected]), Akaki Margvelashvili ([email protected])

Аннотация

Telegram представляет собой платформу для обмена мгновенными текстовыми сообщениями на базе протокола безопасности MTProto. Компания была основана в 2013 году, а сам мессенджер на данный момент имеет более 100 миллионов активных пользователей. Одна из главных целей Telegram – защита пользователей от слежки. Утверждается, что у этого мессенджера наилучшая защита на рынке и железобетонные гарантии безопасности среди приложений подобного рода. В этой статье мы рассмотрим Telegram в целом, поговорим об используемом протоколе и проведем сравнение с другими аналогичными продуктами. Кроме того, мы воспользуемся утечкой, связанной с доступностью пользователей, с целью обнаружение временных интервалов, когда два абонента разговаривают друг с другом.

Введение

За последнее десятилетие, по мере того как все больше и больше людей получают доступ к интернету, возрастает популярность приложений для обмена мгновенными сообщениями. По состоянию на май 2017 года 2 из 5 наиболее загружаемых Android-приложений используются для обмена мгновенными сообщениями [1].  За последние годы пользователи коммуникационных протоколов, в том числе связанные со службами обмена мгновенными сообщениями, становятся все более озабоченными относительно своей безопасности. С целью удовлетворения этих потребностей многие платформы стали предоставлять сквозное (оконечное) шифрование [2, 3]. Например, в WhatsApp сквозное шифрование появилось 3 года назад, и на данный момент эта функция используется во всех коммуникациях. Этот мессенджер имеет наибольшее количество пользователей, пользующихся сквозным шифрованием.

Telegram – еще одна служба, связанная с обменом мгновенными сообщениями, которая была основана в 2013 году. Несмотря на свою молодость, на данным момент ежемесячно Telegram используют более 100 миллионов пользователей, особенно в Западной Европе. Создатели Telegram утверждают, что у этого мессенджера наилучшая защита среди аналогичных продуктов на рынке, однако в целом доверие пользователей основывается лишь на истории появления этого приложения и таланте разработчиков. Мы поставили задачу проанализировать безопасность Telegram [4], поскольку этот мессенджер находится под непрерывной критикой многих специалистов по криптографии из-за неоднозначных решений, используемых разработчиками.

В этом разделе мы поговорим об истории Telegram и пользовательском интерфейсе. В разделе 2 будет описана архитектура Telegram. В разделе 3 описываются предыдущие проблемы, найденные в Telegram. В разделах 4 и 5 рассматриваются раскрытые уязвимости, связанные с безопасностью в Telegram. В разделе 6 мы рассмотрим текущие проблемы в Telegram и сделаем выводы.

История появления Telegram

Среди других технологических стартапов Telegram занимает особое место, вследствие чего получил повышенное внимание и доверие со стороны пользователей, и мы считаем, что полезно будет затронуть историю появления этого мессенджера.

Telegram был основан в 2013 году братьями Николаем и Павлом Дуровыми, которые были основателями популярной российской социальной сети Vkontakte. После давления со стороны российских властей на предмет получения специфических возможностей (или специальных лазеек для государственных органов) Дуров покинул компанию и заявил, что VK находится под контролем политической партии, находящейся у власти [5]. Затем Дуров покинул Россию и основал Telegram с целью предоставления средства обмена мгновенными сообщениями для простых пользователей, которое было бы защищено от слежки представителями государственных структур.

Благодаря популярности Павла Дурова в России, Telegram быстро завоевал популярность среди русскоязычной аудитории. Кроме того, по факту Telegram предоставляет наиболее удобное средство по сравнению с аналогичными продуктами за счет своей скорости и функциональности.

Протокол, используемый для обмена сообщениями, был разработан братом Павла Николаем, который является математиком, но малоизвестным специалистом по безопасности.

Telegram – уникальное явление среди технологических стартапов, в том числе благодаря тому, что Павел Дуров является единственным спонсором этого проекта. Кроме того, в Telegram отсутствует реклама, а сам клиент – не только бесплатный, но и с открытым исходным кодом.

Функциональность Telegram

Telegram позволяет обмениваться текстовыми и голосовыми сообщениями, а также общаться в группах. Кроме того, у этого мессенджера есть каналы, на которые пользователи могут подписываться и получать сообщения от создателя канала (обычно новостного веб-сайта или знаменитости).

Telegram также имеет функцию под названием «секретный чат», которая не включена по умолчанию. Секретные чаты доступны в версии Telegramа со сквозным шифрованием. Сообщения удаляются по прошествии определенного времени, устанавливаемого пользователем, и не могут быть восстановлены. Разработчики Telegram решили не включать сквозное шифрования по умолчанию с целью удобства: секретные чаты связаны с конкретными устройствами, и невозможно продолжить разговор там, где не был начат разговор. Мы не считаем, что такое положение вещей является бесспорным. Многие обычные пользователи полагают, что никто не может получить доступ к сообщениям, хотя по факту просто доверяют безопасности сервера.

Пользователи Telegram могут создавать учетные записи и выполнять авторизацию при помощи аутентификационного кода, получаемого в виде текстового сообщения. После первоначальной авторизации пользователи могут выполнять настройки и искать друг друга. У Telegram также есть функция двухфакторной верификации, если есть желание вводить пароль во время каждого входа в учетную запись.

Клиенты Telegram

У Telegram есть клиенты под все популярные платформы, включая веб-приложения. На Рисунке 1 показана Desktop- и Android-версия. Официальные клиенты идут с открытым исходным кодом, хотя есть и бинарные блобы (то есть исполняемые бинарные файлы без доступных исходных текстов).

Рисунок 1: Официальные клиенты Telegram. Слева: мобильная версия, справа: desktop-клиент. Все официальные клиенты имеют открытый исходный код. Пользовательский интерфейс Telegram довольно быстрый и удобный

У Telegram также есть возможность работать с командной строкой [6], обладающей практически полным функционалом платформы, хотя и не очень удобной для использования. Например, для добавления контакта нужно ввести следующую команду:

tg> add contact <phone number> <name> <lastname>

Во время исследования безопасности Telegram мы часто пользовались командной строкой.

2. Архитектура Telegram

Как и многие аналогичные приложения Telegram следует традиционному подходу и использует облако для хранения данных. То есть, если злоумышленник сможет получить контроль над сервером, то получит (как минимум) доступ к незашифрованным сообщениям и ко всем метаданным. Обмен сообщениями между пользователями и сервером происходит на базе собственно разработанного протокола MTProto.

Пользователи обмениваются информацией по методу Диффи-Хеллмана для создания общего ключа, который затем используется при передаче сообщений. Коммуникация с сервером осуществляется при помощи публичного RSA-ключа, который прописан внутри клиента Telegram и меняется достаточно редко.

Telegram используется протокол собственной разработки MTProto, который не использует множество традиционных подходов при обмене сообщениями. Создатели Telegram утверждают, что подобный подход используется с целью улучшения производительности, однако у многих экспертов по безопасности на этот счет есть большие сомнения.

3. Известные и исправленные проблемы

Как все компании с технологическим уклоном, у Telegram были, есть и будут уязвимости, связанные с безопасностью, и нестандартные проблемы, которые имеют косвенное отношение к безопасности. Мы расскажем о некоторых из этих проблем, а в последствии рассмотри более подробно один из таких случаев.

3.1 Проблемы нетехнического характера

На концептуальном уровне у Telegram есть несколько нестандартных решений, которые, как мы полагаем, не должны быть частью протокола безопасности. А конкретно:

  • Функция сквозного шифрования не используется по умолчанию [7]. По этой причине большинство технически неискушенных пользователей используют Telegram без функции секретного чата и считают, что сообщения шифруются. Без секретных чатов, по сути, пользователи должны доверять серверам Telegram.
  • Telegram использует криптографический протокол MTProto собственной разработки, что уже неоднократно подвергалось критике. Общая доктрина безопасности говорит о том, что разработчикам не следует изобретать велосипед в криптографической части, а доверить проектирование криптографического протокола экспертам. Те, кто исследовал этот протокол, также имеют скептическое мнение. Специалист по криптографии Мэтт Грин высказал следующее: «Telegram имеет 10 миллионов деталей, которые поддерживают единичный неавторизованный обмен ключами по методу Диффи-Хеллмана». [8]
  • Telegram изначально запрашивает список контактов с телефона/компьютера и хранит полученную информацию на сервере. То есть на серверах хранится огромна база контактов, которая может стать целью для атаки или быть попросту продана властям без ведома пользователя. Это еще один пример, когда пользователи должны доверять безопасности серверов Telegram.

3.2 Проблемы, связанные с технической безопасностью

  • Группа исследователей в 2015 году анонсировала схему атаки на Telegram типа «челове-посередине», которая может быть осуществлена властями конкретного государства. Атака связана с генерированием общих секретов по методу Диффи-Хеллмана для двух жертв, имеющих одинаковый 128-битный визуальный отпечаток, и пользователи, которые сравнивают отпечатки, не смогут обнаружить атаку. При реализации атаки «дней рождения» потребуется всего лишь 264 операции. С того момента количество битов, используемых в отпечатках, значительно увеличилось, однако в целом проблема остается актуальной. Чтобы проверить ключи и предотвратить MITM-атаки, пользователи должны визуально сравнить сетку квадратов с четырьмя оттенками синего. Здесь сразу же всплывает человеческий фактор. Во-первых, пользователь может не заметить едва различимых отличий между сетками. Во-вторых, у пользователя вообще может не быть желания возиться со сравнением сеток.
  • До 2014 года протокол MTProto использовал модифицированную версию схему обмена ключами по методу Диффи-Хеллмана [9]. Вместо генерации ключей при помощи стандартного протокола на базе алгоритма Диффи-Хеллмана, сервер отсылал пользователю ключ, обработанный операцией XOR вместе с произвольным числом (nonce). Сей факт позволяет фальшивому серверу использовать различные nonce-переменные для двух пользователей, в результате чего будет один и тот же ключ, но который будет известен серверу. Повторимся еще раз: пользователи должны доверять серверу Telegram. Несмотря на то, что этот вопрос был решен, одно только присутствие этой проблемы вызывает массу вопросов относительно компетенций разработчиков Telegram в области безопасности, поскольку проблема чрезвычайно проста.
  • В некоторых частях протокола при хешировании вместо SHA-256 используется алгоритм SHA-1, который, как известно, неустойчив к коллизиям [10]. Создатели Telegram утверждают, что SHA-1 используется в тех частях протокола, где устойчивость к коллизиям не принципиальна, однако все же более сильная хеш-функция была бы уместнее. История не раз доказывала, что бреши и неучтенные моменты – довольно распространенное явление.
  • Даже при использовании секретного чата, мобильная версия Telegram позволяет третьей стороне просматривать информацию о метаданных. Например, злоумышленник может узнать, когда пользователи выходят в онлайн и уходят в оффлайн вплоть до секунд. Telegram не требует соглашения от обоих сторон для установления коммуникации, и злоумышленник может подключиться и получить информацию о метаданных без ведома пользователя. Кроме того, у злоумышленника есть хороший шанс обнаружить, общаются ли два пользователя между собой посредством подключения и анализа метаданных на обоих концах провода. Мы назвали эту проблему «утечка доступности». Более подробно этот вопрос будет рассмотрен в разделах 4 и 5.

Как показывают предыдущие примеры, во многих случаях пользователи Telegram должны полностью доверять безопасности сервера, что немного иронично, поскольку изначальной целью основателей Telegram было создание продукта, защищенного от слежки. Даже несмотря на то, что многие уязвимости, связанные с безопасностью, были устранены, некоторых найденных проблем не должно было быть изначально.

4. Эксплоит для обнаружения доступности пользователей

Как было упомянуто в предыдущих разделах, Telegram передает информацию о доступности каждому, у кого есть телефонный номер нужного пользователя. Предположим, Ева добавила Алису в список контактов. В этом случае протокол Telegram не оповещает Алису об этом событии. В свою очередь Ева начинает регулярно получать информацию о том, когда Алиса использует Telegram, а Алиса все также не получает никаких оповещений.


Рисунок 2: В командной строке выводится имя пользователя, если тот использует Telegram. В противном случае ничего не выводится

Проблема, связанная с утечкой, легко обнаруживается в командной строке Telegram, как показано на Рисунке 2.

Более того, на Рисунке 3 показано, что Ева может видеть, что Акакий и Хайк выходят в онлайн и уходят в оффлайн. Затем Ева может сопоставить временные интервалы и сделать вывод, что Акакий и Хайк общаются между собой. В следующих разделах будет рассказано, как можно использовать эксплоит для обнаружения того, что два пользователя разговаривают друг с другом.

4.1 Постановка эксперимента

Для отслеживания использования Telegram и коммуникаций мы выбрали 15 активных пользователей среди международных студентов Массачусетского технологического института. Таким образом, мы знали, что студенты общались между собой на ежедневной/еженедельной основе.

Для подключения к пользователям мы использовали командную строку Telegram. Для отслеживания и сбора метаданных был выделен специальный сервер. В итоге было собрано несколько мегабайт необработанных метаданных для последующего анализа.

4.2 Алгоритм корреляции

Мы создали алгоритм корреляции, которые анализирует информацию об использовании Telegram двумя пользователя и выводит последовательность совпадений, где каждое совпадение представляет собой временной интервал с вероятностью того, что пользователи общаются между собой (вероятность всегда не менее 0.5).


Рисунок 3: Ева отслеживает активность Хайк и Акакия и может сказать, когда каждая персона появлялась в онлайне. Обратите внимание на проблему: разница между появлением в онлайне и уходом в оффлайн составляет примерно 5 минут

На базе полученных метаданных на каждого пользователя была создана последовательность временных интервалов активности отсортированных по времени. Алгоритм находит совпадения по двум пользователям, общающихся между собой, на базе последовательностей временных интервалов.


Рисунок 4: Диаграмма, иллюстрирующая основные концепции алгоритма корреляции

Утверждается, что два активных временных интервала Алисы и Боба соединены (см. фиолетовые стрелки на рисунке выше), если эти промежутки пересекаются в течение времени gap_time. То есть, два временных интервала пересекаются, если две точки пересечения находятся на расстоянии больше, чем gap_time. Этот допущение введено потому, что требуется время для открытия приложения после получения сообщения.

Теперь, рассматривая каждый активный временной интервал в качестве вершины и каждое соединение как ребро, мы получаем двухсторонний граф. В этом двухстороннем графе мы ищем связанные компоненты, которые имеют как минимум одно ребро. Если мы отсортируем активные временные интервалы в связанном компоненте, то увидим цепочку пересекающихся интервалов, в течение которых Алиса и Боб использовали Telegram. Каждая соединенная пара временных интервалов указывает на определенную вероятность того, что два пользователя общаются друг с другом. Цепочка соединенных интервалов значительно повышает шанс того, что Алиса и Боб общаются с друг с другом.
Каждый связанный компонент представляет возможную коммуникацию (во время которой происходит обмен сообщениями за относительно короткое время) между пользователями. Поскольку пользователь может оставить Telegram открытым (когда метаданные передаваться не будут), мы не принимаем во внимание размер активного временного интервала. Мы полагаем, что количество активных временных интервалов – наиболее важный показатель, поскольку пользователь, часто выходящий в онлайн и уходящий в оффлайн, скорее всего, активно использует Telegram.

Мы ввели коэффициент вероятности (likelihood coefficient), который определяет, насколько вероятно связанный компонент представляет собой коммуникацию между пользователями. Обратите внимание, ребро внутри связанного компонента, принадлежащее активному временному интервалу, которое соединено со многими другими вершинами, рассматривается как менее значимое по сравнению с ребром, концы которого не соединены с другими интервалами. По этой причине, вместо подсчета количества ребер в связанном компоненте, мы определили коэффициент вероятности как половину всех соединенных вершин внутри компонента. Таким образом, очень длинный активный временной интервал, который пересекает множество других интервалов не особо влияет на увеличение коэффициента вероятности.

Как только коэффициент вероятности рассчитан, вычисляем вероятность общения двух пользователей в течение промежутка времени внутри связанного компонента по следующей формуле:

Рисунок 5: Формула расчета вероятности общения двух пользователей

Идея заключается в том, что если коэффициент вероятности равен 0, то и вероятность общения тоже равна нулю. С другой стороны, каждая единица коэффициента вероятности увеличивает вероятность общения на половину. Альфа-множитель определяет степень влияния коэффициента вероятности на итоговую вероятность.

5. Результаты использования эксплоита

После реализации алгоритма, описанного выше, мы проанализировали метаданные, полученные сервером. Поскольку мы использовали Telegram во время работы сервера, то подстроили параметры на базе частоты нашей коммуникации и внесли некоторые коррективы.

Наиболее приемлемые значения: gap_time = 30 секунд, альфа-множитель = 1. При таких значения нам удалось отследить все коммуникации и не обрезать лишнего. Результаты показали, что количество ошибочных совпадений колеблется в районе 15%. Другими словами, иногда, когда два пользователя одновременно используют приложение, алгоритм работает некорректно.


Рисунок 6: Совпадения, найденные алгоритмом корреляции


Рисунок 7: Сообщения, соответствующие найденным совпадениям. Предпоследнее совпадение соответствует сообщениям, написанным в интервале от 23:31 до 23:35

6. Заключение

В этом проекте мы провели исследование мессенджера Telegram. Когда Telegram оформился как самостоятельная компания, то приобрел популярность, благодаря заявлениям создателей, доверием и удачным временем выхода (в то же время произошли утечки с подачи Сноудена). Если верить заявлениям создателей Telegram, можно подумать, что этот мессенджер обладает высоким уровнем безопасности. Однако наше исследование показывает, что у Telegram были серьезные и в тоже время простые проблемы в протоколе (например, модифицированный и уязвимый алгоритм обмена ключами по методу Диффи-Хеллмана), которые может обнаружить любой знающий эксперт по безопасности.
При помощи командной строки мы смогли подключиться к некоторым нашим друзьям, и обнаружить интервалы общения. Мы полагаем, что это серьезная проблема, связанная с утечкой персональной информации, которая может, например, помочь обнаружить, у кого из группы более тесные взаимоотношения.

Из всего вышесказанного можно сделать вывод, что Telegram, как и все другие продукты, имеет уязвимости, о которых пользователи должны знать. Однако, к сожалению, заявления компаний заставляют пользователей верить в то, что переписка защищена от прочтения третьей стороной.

Ссылки

[1] Android market app ranklist. http://www.androidrank.org/. Accessed: 2017-05-16.
[2] Secret conversations in facebook. https://www.facebook.com/help/ messenger-app/1084673321594605. Accessed: 2017-05-16.
[3] End-to-end encryption (whatsapp). https://www.whatsapp.com/faq/en/general/28030015. Accessed: 2017-05-16.
[4] Telegram. telegram.org. Accessed: 2017-05-16.
[5] Vkontakte founder pavel durov learns he’s been _red through media. Accessed: 2017-05-16.
[6] Telegram messenger cli. https://github.com/vysheng/tg. Accessed: 2017-05-16.
[7] Operational telegram. https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a. Accessed: 2017-05-16.
[8] Matt green on twitter about telegram. https://twitter.com/matthew_d_green/status/582916365750669312. Accessed: 2017-05-16.
[9] Is telegram secure (russian). https://habrahabr.ru/post/206900/. Accessed: 2017-05-16.
[10] Shattered. https://shattered.io. Accessed: 2017-05-16.


На сколько безопасен Телеграм? — Cryptoworld

Telegram — мессенджер для смартфонов, позиционирующий себя как безопасный, защищающий не только от злоумышленников, но и от государственных структур. Маркетинг сделал своё дело и мессенджер получил свою аудиторию, но при этом многие известные специалисты критикуют Telegram за низкую защищённость.

Основная проблема в том, что многие люди имеют слабое представление о криптографии и защите данных, потому легко поддаются популистским маркетинговым заявлениям.

В этом докладе я хочу на примере Telegram простыми словами объяснить, как можно получить доступ к вашим перепискам, ну или хотя бы узнать, кто когда с кем разговаривал, а также о том, как защититься, если это возможно.

Но важно понимать, что устойчивость всей системы защиты равна устойчивости её слабейшего звена. Также, как мало смысла от пароля на кредитке, если тот написан на оборотной стороне карты.

Для начала — а зачем защищать свои данные? Фразу «мне нечего скрывать» каждый слышал хотя бы однажды. Специалисты в области безопасности – многократно.

Аргумент «мне нечего скрывать» очень нравится организаторам различных систем контроля и слежки, которые «режут» наше с вами право на неприкосновенность частной жизни. «Давайте сюда сумку и выложите все из карманов. — весело говорят они. — Ноутбук и смартфон мы заберем на экспертизу. Не переживайте: если вы честный человек, вам нечего скрывать, правда?»

Позиция «мне нечего скрывать» деструктивная. Она лишь выглядит так, будто произносящий эту фразу храбро открывает забрало. На самом деле он выбрасывает белый флаг.

Вы можете считать, что вас не интересует соблюдение права на личную жизнь, тем не менее, вероятнее всего, это не так. Ежедневно у себя дома мы делаем то, что не стали бы делать открыто. И это не потому, что нам есть, что скрывать, а потому что есть аспекты жизни, которые мы предпочли бы оставить только для себя.

Вы вряд ли будете в восторге, если кто-то завладеет вашим аккаунтом в соцсети и начнет распространять оскорбительные сообщения, вирусы или спам. Мы не скрываем факты. Да, у нас есть банковский счет, электронная почта, аккаунт в Фейсбуке. Это не секрет. Что же тогда мы делаем? Защищаем перечисленное от несанкционированного, произвольного доступа.

Мы не делаем секрет из факта владения автомобилем, но пользуемся ремнем безопасности, чтобы в экстренной ситуации защитить здоровье и жизнь. Это несомненные физические ценности. По той же причине мы не позволяем ребенку засовывать пальцы в электрическую розетку. Пренебрежение безопасностью по типу «мне нечего скрывать» способно повлечь самые неприятные последствия.

Человек, поведавший о коррупции в правоохранительных органах, рискует оказаться жертвой преследования со стороны властей, если им станет известно его имя. Член ЛГБТ-сообщества, не совершивший самостоятельно «каминг-аут» и не подготовившийся к нему, может не выдержать тяжелый психологический прессинг на работе со стороны начальства и коллег. Широкое распространение информации о готовящемся семинаре способно привести к срыву мероприятия из-за подоспевших экстремистов, не согласных с повесткой. Готовы ли вы поставить под удар жизнь, здоровье, психологическое благополучие, карьеру, финансы, рабочие планы и прочие ценности других людей, тех, кто вам доверился? [4][5]

1. Привязка к номеру телефона

Telegram использует авторизацию с помощью номера телефона, и по-умолчанию достаточно ввести код из SMS сообщения, чтобы получить доступ к аккаунту.

Проигнорировать это требование нельзя, т. к. мессенджер привязан к номеру и вся пользовательская активность привязана к этому номеру.

Привязка к номеру телефона не защищает от злоумышленников, ведь купить кулёчек SIM-карт, арендовать в интернете временные SIM-карты или просто найти на дороге — не представляет сложностей. Напротив, несмотря на простоту для пользователя, такое решение значительно снижает защищённость аккаунта и требует в большего доверия в том плане, что сервис будет надёжно защищать ваши данные и никогда не решит использовать в своих интересах.

В апреле 2016 года были взломаны Telegram аккаунты оппозиционного активиста Олега Козловского и сотрудника Фонда борьбы с коррупцией Георгия Албурова.[6] Оба были пользователями МТС, и о том, что услуга SMS отделом технической безопасности МТС была отключена в 2:25 ночи 29 апреля и включена в 4:55 сообщили Козловскому в службе поддержки компании. В этот промежуток времени, в 3 часа ночи, злоумышленниками был произведён вход в аккаунт оппозиционеров, введя секретный код, который доставляется по SMS. [7][8]

Причины, по которым Козловскому отключили и включили SMS-сервис, в службе поддержки называть отказались — ему предложили написать письменный запрос. Также, как не было объяснено, каким образом SMS-сообщение с кодом попало в руки злоумышленников.

Вскоре МТС опроверг сообщения службы поддержки, заявив, что отключение SMS-услуги не производилось. [9] «Никаких целенаправленных действий по отключению услуг не производилось», но компания «не исключает вероятности вирусной атаки или доступа к аккаунту через веб-интерфейс», – заявил пресс-секретарь группы МТС Дмитрий Солодовников. [10]

Мобильные сети очень уязвимы (об этом — дальше), но скорее всего, в данном случае злоумышленники действовали совместно с оператором связи. Оператором была отключена услуга SMS, принято сообщение от Telegram, возвращён ответ о том, что у пользователя отключен приём сообщений, а затем снова включен.

В связи с рисками привязки к номеру телефона очень важно включить двухфакторную или двухэтапную аутентификацию в таких приложениях.

Кстати говоря, включение двухэтапной аутентификации в Telegram совсем не спасёт вас от взлома, лишь обеспечит уничтожение истории переписки. [11]

Известны также случаи, когда оператор в огромных количествах выдавал дубли SIM-карт. [12] Но для атаки не всегда требуется «помощь» со стороны оператора.

Несмотря на то, что в мобильных сетях используются современные технологии, они основаны на устаревшем наборе протоколов SS7 — Signalling System No.7, которые уходят корнями в семидесятые годы прошлого века. При этом сети унаследовали все недостатки безопасности протоколов SS7, которые сейчас практически невозможно устранить.

В то время безопасность протоколов сводилась к физической защите узлов и каналов связи, потому получение доступа было неосуществимо. В начале 2000-х годов сообщения SS7 начали передаваться по IP-сетям, к которым может каждый подключиться, в результате появилась возможность атак на мобильные сети и их абонентов злоумышленниками, даже не обладающих высокой квалификацией или специализированным оборудованием.

Эти уязвимости, в том числе позволяют перехватывать звонки и SMS-сообщения, а впервые о них стало известно в 2001 году. Раньше инструменты для взлома SS7 были только у спецслужб, а в настоящее время они доступны службам безопасности корпораций и обычным хакерам. Некоторые компании вполне легально торгуют оборудованием и программами для взлома сотовых сетей, а в интернете полно инструкций по организации атак и перехвату звонков и трафика. Ни один оператор в мире не застрахован от подобных атак, как бы он ни защищался. [13]

Существует конспирологическая теория, что уязвимости были специально встроены в фундаментальную основу технологии SS7 для того, чтобы спецслужбы могли незаметно вести прослушку. Об этом в 2013 году говорил Эдвард Сноуден, обнародовавший документы, за которые его сейчас преследуют правоохранительные органы США. По его словам, благодаря этим уязвимостям спецслужбы США, Великобритании и других стран долгие годы следят за гражданами, в том числе вполне законопослушными. [14]

Схема атаки довольно простая. Атакующий использует обычный запрос, использующийся при отправке SMS, в который отправляет номер телефона, а получает уникальный идентификатор SIM карты и служебную информацию, такую как местоположение с точностью до региона.

На основе этих данных можно получить точное местоположение абонента, используя запрос, который обычно используется для тарификации. В условиях городской застройки точность местоположения составит несколько сотен метров.

Или ещё пример: путём нехитрых манипуляций можно произвести перевод денег с одного счёта на другой, а если это совместить с перехватом SMS сообщений со статусом выполненного действия, то такие переводы могут оказаться незамеченными в течении длительного времени.

Это примеры лишь основных векторов атак, и надо понимать, что мобильные сети очень слабо защищены. По сути — все они действуют на основе доверия к тому, что если какой-то запрос отправлен, то он отправлен от легитимного оператора, и фильтровать запросы практически не представляется возможным.


2. Контактный лист хранится на сервере

Даже если вы использовали только секретные чаты, но злоумышленниками был получен доступ к вашему аккаунту — они получат возможность запросить список ваших контактов, что создает след из «хлебных крошек», который может помочь правоохранительным органам в расследовании.

Сервису Telegram же это позволяет выстроить гигантскую карту социальных связей всех пользователей, установив, каким образом они связаны друг с другом. [2]

Список телефонных контактов непрерывно синхронизируется с сервером. Если вы на несколько минут подключите Google аккаунт друга, либо поставите другую SIM-карту, все контакты с них будут отправлены на сервера мессенджера. [15]


3. Telegram рассылает избыточное количество метаданных

Telegram отправляет просто гигантские объемы служебных данных на сервер. Но это еще полбеды. Приложение рассылает уведомления всему списку контактов каждый раз, когда открывается или скрывается окно приложения.

Злоумышленник, фактически, может «оформить подписку» на все метаданые жертвы, просто добавив её в свой список контактов. К сожалению, взаимного согласия мессенджер в таком случае не спрашивает. Более того, жертва ничего об этом не узнает, так как никаких уведомлений не будет, и злоумышленник вообще не отобразится в списке контактов Telegram. [16]

Собрав достаточно метаданных, можно разобраться в том, когда конкретные люди разговаривали друг с другом. Казалось бы, проблема незначительная, но для мессенджера, который ставит во главу угла защиту данных и полную конфиденциальность своих пользователей, это все-таки проблема.

Для защиты от такой атаки необходимо в настройках приватности выбрать отображение времени последнего посещения «Только для моих контактов» или «Ни для кого».


4. Шифрование выключено по-умолчанию

Да, по-умолчанию переписка не шифруется. Чтобы включить шифрование, необходимо дождаться собеседника в сети и включить секретный чат. Уже существующий разговор зашифровать нельзя. Групповые чаты же вовсе не поддерживают шифрование.

Также проблема для удобства использования в том, что секретные чаты не видны на других устройствах пользователя.

В декабре 2015 в твиттере возник спор по поводу защищённости Telegram между Павлом Дуровым и представителями Open Whisper Systems, разработчиками защищённого мессенджера Signal, и Эдвардом Сноуденом. Представители OWS, ответили одному из пользователей твиттера, который считал, что Telegram достаточно безопасный, что тот по-умолчанию не шифрует сообщения. Сноуден добавил, что Telegram следует провести масштабное обновление, чтобы избавиться от «опасных» настроек по умолчанию.

Мокси Марлинспайк — основатель OWS и создатель мессенджера Signal, ранее работавший главой отдела безопасности Twitter — подчеркнул, что существует разница между тем, как позицинирует себя Telegram и чем он является на самом деле. [17]

Главный технолог Американского союза гражданских свобод Кристофер Согоян считает, что позиционирование мессенджера с точки зрения безопасности неоправданно, поскольку компании должны думать о защите по умолчанию, а не заставлять пользователей менять настройки клиента. [18]


5. Надежность шифрования

Технология шифрования MTProto, разработанная Николаем Дуровым, вызывает вопросы у многих специалистов по безопасности. Дело в том, что серверная часть шифрования закрыта, а шифрование на стороне клиентов никто серьёзно не проверял. Да, был объявлен конкурс на взлом с денежным призом. Однако мероприятие подверглось критике, так как потенциальные победители утверждали, что были ограничены в своих действиях и имели в распоряжении только зашифрованное содержимое переписки, были приведены примеры того, как при заданных правилами конкурса условиях даже заведомо уязвимый алгоритм было бы невозможно взломать. [19]

Спустя год Павел Дуров объявил о начале нового конкурса. Хакерам предлагалось «вскрыть» переписку двух ботов и уже дозволялось не просто выступать в роли наблюдателя, как в случае с первым конкурсом, но и проводить активные атаки. Несмотря на то, что условия конкурса были изменены, возникли вопросы и к правдивости такого конкурса. [18]

Закрытость кода для независимого аудита делает его потенциально уязвимым для будущих атак, как заявил вирусный аналитик ESET Russia Артем Баранов.


6. Имеет центральный сервер

Все клиенты подключаются к одному облаку и нет возможности установить серверную часть мессенджера на свой компьютер, либо просто выбрать тот сервер, которому вы больше доверяете. Если спецслужбы придут и взломают сервер, либо трактор перережет провод — все пользователи от этого пострадают. В случае с Telegram, в котором почти вся переписка хранится на сервере, это особенно неприятно. Павел Дуров утверждает, что никто не может получить доступ к данным, даже если тот проникнет в серверную, [17] однако это совершенно не мешает, например, блокировать Telegram каналы.


Повторю начало статьи — устойчивость всей системы защиты равна устойчивости её слабейшего звена. Любую защиту можно преодолеть. Но это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.

Важно видеть эту грань и иметь хотя бы базовое представление о защите данных, не допуская очевидных ошибок, сводящих на нет все остальные средства.

Click to rate this post!

[Total: 4 Average: 5]

Безопасен ли Telegram? Или как я искал закладку в MTProto / Habr

Telegram — мессенджер для смартфонов позиционирующий себя как безопасный, защищающий не только от злоумышленников, но и от гос. структур вроде АНБ. Для достижения этой безопасности Telegram использует собственную разработку — криптографический протокол MTProto, в надежности которого сомневаются многие, сомневаюсь и я.

После объявления награды за дешифрацию сообщений я попытался разобраться в MTProto. То, что дешифровать некий набор байтов невозможно (по крайней мере очень сложно) понятно сразу, но прослушка трафика мессенджера не единственный вид атаки.

Первой мыслью была возможность MITM-атаки (человек посередине) и я пошел читать api протокола. Где выяснилось, что тут защита достаточно надежная: в момент первого запуска клиента создается авторизационный ключ, создается он непосредственно на клиентском устройстве с помощью протокола обмена ключами Диффи-Хелмана, но с небольшим отличием — открытый ключ сервера Telegram уже прошит в коде клиента, что исключает его подмену третьими лицами.

После я установил клиент, ввел номер телефона и больше всего меня удивило то, что мне не нужно вводить паролей, вместо этого на телефон приходит смс с одноразовым пятизначным ключом подтверждения номера. Я взял второй телефон, установил клиент, ввел тот же номер что и в первый раз, так же пришло пятизначное число, которое я ввел на телефоне №2 и успешно авторизовался. Т.е. вот и первая уязвимость. В Telegram накрутили множество алгоритмов, исключили возможность перехвата и подмены трафика, а про банальный пароль забыли. Злоумышленнику не нужно слушать трафик мессенджера, а всего лишь нужно перехватить смс и доступ получен без проблем.

Идем дальше. В Telegram существуют чаты с end-to-end шифрованием, когда ключ известен только собеседникам, на нем и шифруются сообщения. Этот ключ получается все тем же алгоритмом Диффи-Хелмана. Многие пользователи мессенджера требуют дать возможность обмениваться открытыми ключами через NFC и QR-коды, чтобы на 100% исключить возможность MITM-атак, в том числе и со стороны сервера Telegram. Сотрудники Digital Fortress (компания разработавшая мессенджер) утверждают, что такой функционал излишен (что уже подозрительно), а убедиться в том, что никто не подменил публичные ключи сгенерированные собеседником можно сравнив визуализацию ключа (в виде картинки).

И тут есть парочка но:

После логаута одного из собеседников ключ для чата будет перегенерирован, а проверить то, что я имею тот же ключ что и собеседник я могу только посмотрев в его телефон глазами. Зачем мне шифрованный чат если собеседник в метре от меня?

Я заглянул в api защищенных чатов. И мой глаз зацепился вот за этот псевдокод:
key = (pow(g_b, a) mod dh_prime) xor nonce
Это код получения общего ключа по алгоритму DH, почти. Напомню что оригинальный алгоритм DH имеет вид
key = pow(g_b, a) mod dh_prime

Переменные в выражениях:

  • key – секретный ключ используемый для шифрования трафика,
  • g_b – открытый ключ собеседника,
  • a – Ваш закрытый ключ,
  • dh_prime – открытое простое число,
  • nonce – “случайная”, полученная от сервера Telegram, последовательность для вычисления ключа.

Вопрос! Зачем такая модификация в алгоритме? Если nonce – одинаковая последовательность для обоих клиентов, то она просто вывернет ключ на изнанку не сделав его безопаснее. А вот если она разная то сервер Telegram может подобрать такую nonce, при которой ключи пользователей совпадут даже при MITM-атаке и никто не будет знать, что его слушают. И даже если nonce совпадает для 2х собеседников сегодня, нет никаких гарантий что nonce будет совпадать завтра, когда в офис Digital Fortress придет АНБ / ФСБ / другая не хорошая организация.

Для разъяснений обратимся к Алисе и Бобу. Атака может проходить так:

  1. Алиса начинает секретный чат с Бобом и об этом сообщает серверу Telegram. Сервер выдает Алисе открытое простое число (p) и первообразный корень по модулю р (g). Алиса генерирует свой закрытый ключ (a) и на его основе открытый ключ (A) который передает серверу.
  2. Сервер генерирует собственные ключи (t и T) и передает T Бобу под видом открытого ключа Алисы. Вместе с T он передает g, p и случайную последовательность (b_nonce).
  3. Боб аналогично генерирует ключи (b, B) и вычисляет секретный ключ (s). Серверу он возвращает свой открытый ключ (B).
  4. Сервер вычисляет s и на его основе совсем не случайную последовательность (a_nonce), передает T под видом открытого ключа Боба и a_nonce под видом случайной последовательности.
  5. Алиса вычисляет секретный ключ который равен и ключу у Боба и ключу у сервера
  6. Боб смотрит на визуализацию ключа в телефоне Алисы и увидев тот же ключ что и у себя без подозрений пользуется сервисом. А Telegram копит длинные логи без каких-либо препятствий.

Так стоит ли пользоваться? Если Вам нужен простой быстрый чат, Telegram – отличное приложение. Если Вы параноик, то пользоваться не следует однозначно. Потому что даже если я ошибся и написал полную ересь Telegram знает о Вас все: номер телефона, контакты, смс сообщения, местоположение, с кем и когда вы общаетесь. Обратите внимание на список разрешений для приложения. Т.е. мое мнение Telegram – быстрый, удобный, но нисколько не приватный чат.

UPD: История закончилась хорошо. Уязвимость исправлена, документация и приложения обновлены, искатели сокровищ багов мотивированы, что уже дало плоды (1, 2). Нужно отдать должное разработчикам Telegram-а, моментально отреагировавшим на статью.

можно ли отследить или прослушать Telegram?

Сохранение анонимности и тайны личной переписки — это естественное желание каждого пользователя интернета и сервисов, работающих посредством выхода в интернет. А безопасен ли Телеграмм и какова вероятность, что кто-то сможет перехватывать и читать / прослушивать сообщения? Ниже мы расскажем все, что знаем на эту тему.

Как работает Телеграмм

Безопасность Телеграмм обеспечивается за счет использования криптографического протокола MTProto Proxy. Мы не будем углубляться в цифры и узкоспециальные термины, а объясним особенности работы протокола более доступно:

  1. Для подключения вместо стандартной связки “логин+пароль” используется секретный ключ. Он создается в момент регистрации клиента в системе и надежно шифруется.
  2. Всего используется два вида шифрования: сервер-клиентское, для обмена обычными сообщениями, и сквозное (клиент-клиент) — такое шифрование в Телеграмме активируется, когда пользователь переходит в секретный чат.
  3. Весь трафик, передаваемый через каналы Телеграмм, выглядит он очень похоже на стандартное TCP/SSL соединение, однако внутри — нераспознаваемая “каша” из зашифрованных данных.
  4. MTProto Proxy — это узкоспециальный тип прокси. Работать через него может только Телеграмм, а другие приложения не поддерживаются. Кроме того, через MTProto Proxy нельзя передавать обычный интернет-трафик.

Таким образом пользователи мессенджера надежно защищены от спам-атак, воздействия мошеннических схем и других неприятных вещей. Кроме того, отпадает вопрос, прослушивают ли Телеграмм.

Насколько безопасен этот мессенджер

А теперь поговорим об уровне безопасности: можно ли прослушать Телеграмм, как обстоят дела с анонимностью, есть ли возможность слежки за пользователями и пр. По заявлению разработчика Телеграмм намного безопаснее других, аналогичных ему программ для общения, а взломать его невозможно. Помимо особенностей протокола, на котором работает мессенджер, хорошей защитой обладают и его сервера:

  1. Насколько анонимен Телеграмм? Личные данные пользователей мессенджера не разглашаются ни при каких условиях — такова политика руководства компании. В любом случае, дать доступ в систему шифрования мессенджера равнозначно передаче всех инструментов управления им запрашивающей стороне. Что, естественно, недопустимо.
  2. Прослушивается ли Телеграмм? Нет. как мы уже сказали, особенности шифрования исключают возможность доступ третьих лиц к трафику, передаваемому между двумя пользователями.
  3. Могут ли вычислить по Телеграмм мое местонахождение? Нет. Пользователя смартфона или планшета гораздо проще отследить по номеру телефона и по сигналам, передаваемым самим устройством. Поэтому для поиска кого-либо использовать мессенджер (который прочитать невозможно, к тому же) несообразно.
  4. Отслеживается ли Телеграмм властями и есть ли риск, что будут разработаны программы / обучены люди, способные его взломать? Логично предполагать, что попытки отслеживать деятельность разработчика предпринимаются. Однако за все годы существования системы, проблемы у ее пользователей возникли только единожды. Да и те, согласно информации на оф. сайте компании, стали следствием технических проблем — отключения подачи электричества к оборудованию.

Кстати говоря, за последние несколько лет на официальном сайте Телеграмм два раза разработчиками объявлялся конкурс: тому, кто сможет взломать протокол этого мессенджера, Павел Дуров вручит денежный приз. В первый раз было заявлено  $ 200 000, во второй — $ 300 000. Однако получить вознаграждение никому так и не удалось — победителей выявлено не было. Как видите, уверенность этих ребят в том, что они создали и чем занимаются по сей день, вполне обоснована.

Способы сделать использование мессенджера еще более безопасным

Насколько безопасен Телеграмм мы выяснили. Но разработчики предоставили пользователям сервиса дополнительные инструменты, позволяющие сделать общение по-настоящему безопасным. Они работают как все вместе, так и по отдельности.

Создавайте секретные чаты для большей безопасности

К перепискам в секретных чатах применяется особый способ шифрования: пользователь — пользователь. Что это дает:

  1. Сообщения хранятся только на устройствах отправителя и получателя. На серверах мессенджера они не сохраняются.
  2. Еще большая анонимность в Телеграмм. Никакая третья сторона никогда не сможет получить доступ к истории переписки — ни обычный злоумышленник, ни даже разработчики мессенджера.
  3. Сообщения из чата не могут быть пересланы третьему лицу, так как кнопка “Переслать” здесь не работает.
  4. Создание скринов с окна секретного чата затруднено*, а если одной из сторон это все же удалось сделать, второй стороне придет соответствующее уведомление.

*100% безопасности от заскринивания переписок разработчик все же не обещает.

Создать секретный чат не сложно:

Включайте опцию самоуничтожения сообщений по таймеру

В секретном чате вы можете активировать самоуничтожение сообщений по таймеру. В этом случае ваши сообщения, после прочтения их получателем, будут удаляться через назначенный промежуток времени. Минимальный срок по таймеру — 1 секунда, максимальный — 1 неделя. Сообщения удаляются и на вашем устройстве, и на устройстве получателя. Так ваша безопасность Telegram станет еще выше.

Обратите внимание: если на исходящие сообщения таймер стоит менее, чем на 1 минуту, получатель сможет просматривать отправленные вами фотографии, только удерживая их пальцем. Это создает ему дополнительные затруднения при попытках сделать скриншот с экрана.

Подключайте двухэтапную авторизацию

Как вы понимаете, если злоумышленник получает доступ к вашей сим-карте, то он запросто может авторизироваться в вашем профиле Телеграмм на любом устройстве. Но если вы включите двухэтапную авторизацию, такой “фокус” у злодея не пройдет. Как это работает:

  • Вы активируете двухэтапную авторизацию. В процессе понадобится придумать и ввести в специальную форму пароль. Пароль будет сохранен в системе.
  • При последующих попытках авторизироваться система сначала в обычном порядке запросит код подтверждения (он приходит на телефон), а затем пароль, который знаете только вы.

Включить возможность очень просто:

  • Откройте настройки Конфиденциальность — Двухэтапная аутентификация;
  • Далее кликните на Установить дополнительный пароль и введите желаемое значение.

Таким образом, наличия сим-карты в руках злоумышленника будет недостаточно, чтобы получить доступ к вашему профилю в мессенджере. Ваши личные данные в безопасности

А для еще большей безопасности можно установить код-пароль

Код-пароль — это возможность закрыть доступ в мессенджер тем, кому попадет в руки телефон. Например, ребенок берет смартфон, чтобы посмотреть фотографии или поиграть к в игру: зачем вам переживать, что он что-то удалить из переписки или сам отправит сообщение куда не нужно (например, начальнику). Просто измените настройки конфиденциальности  и при запуске приложения система будет запрашивать пароль. И вопрос, читают ли Телеграмм в ваше отсутствие домашние отпадет сам собой.

И в завершение напоминаем о необходимости соблюдения интернет-гигиены: в сеть выходим только с работающим антивирусом, на сайтах с вылетающими баннерами не задерживаемся и ни в коем случае не кликаем по этим баннерам. Также следует внимательно относиться к выбору сайтов для скачивания программ.

⚡️ Безопасность Телеграм — секреты и фишки

картинка: безопасность телеграмкартинка: безопасность телеграмРазберемся в принципах безопасности Телеграм

В Телеграм безопасность является очень важным фактором. Это одна из фишек мессенджера, которая отличает его от десятков других подобных программ. Конфиденциальность переписки и безопасность личных данных создатели приложения защищают до последнего.

Всем известно, что Павел Дуров отказался передать ключи шифрования данных, поэтому Роскомнадзор заблокировал доступ к официальному сайту Телеграм.

Но несмотря на некоторые неудобства, мы все равно имеем возможность пользоваться этим классным приложением, обеспечивающим максимальную защиту и анонимность в сети.

Если вы испытываете проблемы в подключении к Телеграм, воспользуйтесь нашей статьей об удобных способах обхода блокировки.

Содержание:

 

Как устроена безопасность Телеграм

Озвучим один известный факт: вся наша переписка в любом мессенджере сохраняется на серверах. Чтобы обеспечить сохранность данных, придумываются разные способы их защиты.

В Телеграм вся информация попадает на сервер уже зашифрованной. На сегодняшний день еще никто не смог взломать ключ и получить доступ к данным пользователей мессенджера. И вероятности того, что это может случиться, стремится к нулю.

Выше мы говорили об обычной переписке между собеседниками.

Однако у Телеграм припрятан еще один козырь: возможность создавать секретные чаты. Этот формат общения не слишком отличается от стандартного диалога.

Но интереснее всего то, где сохранятся ваши засекреченные данные. Они даже не попадут на сервер.

Вся переписка будет храниться только на устройствах участников беседы. Доступ к ней не получат даже сотрудники Телеграм, не говоря уже о совсем посторонних людях.

Если вы хотите подробнее узнать о других преимуществах мессенджера, рекомендуем прочесть отдельный материал про возможности Телеграм.

Телеграм безопасность: фишки и секреты

картинка: насколько безопасен телеграмкартинка: насколько безопасен телеграмПоговорим о главных фишках, которые обеспечивают безопасность Телеграм

Как только вы скачаете и установите приложение или запустите его веб-версию, считайте, что безопасность переписки уже гарантирована.

Однако есть некоторые секреты, при знании которых данные можно защитить еще больше.

Подскажем вам некоторые из них.

  • Установите пароль на телефоне плюс настройте двухэтапную авторизацию.

Сделать это можно в разделе с настройками:  (“Конфиденциальность”). Телеграм будет запрашивать пароль при входе в приложение с незнакомого устройства.

Кстати, если вы используете мобильную версию мессенджера, например Telegram для Android, и на вашем смартфоне есть сканер отпечатков пальцев, то вы можете разблокировать приложение через него.

  • Если пользуетесь онлайн-версией мессенджера, не забывайте закрывать сеанс.

В Телеграм все открытые беседы можно завершить одной кнопкой. Находится она тоже в разделе безопасности. Просто отыщите надпись “Завершить все другие сеансы”.

Таким образом вы разлогинитесь со всех устройств, кроме последнего, что обеспечит полную безопасность.

Используете ли вы пароль и двухфакторную аутентификацию?Poll Options are limited because JavaScript is disabled in your browser.
  • Не стесняйтесь пользоваться секретными самоуничтожающимися чатами для обсуждения сверхважной информации.

Помните, что в Телеграм безопасность обеспечивается в частности функцией секретных чатов. Узнать о них подробно можно в нашей статье:

Секретный чат в Телеграм — фишки и особенности

  • Запретите пользователям отслеживать вашу активность.

Проще говоря, скройте время вашего последнего визита. Чтобы настроить этот параметр, перейдите в пункт меню “Конфиденциальность” и найдите строчку “Последняя активность”.

Здесь выберите, от кого хотите скрыть данные о посещении. 

Также можно настроить гибкую систему для повышения уровня безопасности Телеграм: вы можете скрыть время последнего посещения от конкретных пользователей.

  • Самая крутая фишка — возможность настроить автоуничтожение аккаунта Телеграм.

По умолчанию настройки выставлены так, что учетная запись удаляется после полугода бездействия. Никаких следов и максимум безопасности.

Приятного использования Телеграм!


Как Telegram сливает вас Ростелекому / Habr

Привет, Хабр. Однажды мы сидели, занимались своими очень продуктивными делами, как ВНЕЗАПНО выясняется тот факт, что по какой-то неведомой причине к инфраструктуре Telegram в качестве пира подключены как минимум замечательный Ростелеком и не менее прекрасный НТЦ «ФИОРД».


Список пиров Telegram Messenger LLP, можете убедиться сами

Как же так вышло? Мы решили поинтересоваться у Павла Дурова, через его же Telegram-аккаунт.
Что из этого вышло? Не то, чего мы ожидали от одного из создателей «самого безопасного мессенджера».

12 июня 2019 года мы решили написать Павлу Дурову на его аккаунт в Telegram, привязанный на номер, легитимность которого доказывается без каких либо проблем сразу несколькими способами. Тут мы опишем самый элегантный – номер, что к нему привязан, привязан и к id1 в социальной сети ВКонтакте. Почтовый ящик на данном аккаунте, кстати, находится на домене telegram.org. Думаю, сомнений не остается.


Восстанавливаем страницу, и видим, что номер привязан к id1
Идем дальше. Тут видно более интересный факт — почта на домене telegram.org. Сомнений, что номер настоящий, не остается

Сам номер: +44 7408 ****00 (звёздочки поставил модератор)

Писали мы с конкретной целью:

Выяснить, как же так вышло, что данные российские конторы являются пирами Telegram, а также чтобы понять, не вредит ли это безопасности инфраструктуры мессенджера. Понятный и адекватный вопрос, на который без труда можно было ответить, если бы не было чего скрывать. Правда?

Скриншот сообщения в переписке с Дуровым

После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.

Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.

Позднее выяснилось, что переписки на данном аккаунте были чудесным образом удалены.

Самое интересное, что одно из сообщений о доступе сохранилось, и его я без зазрения совести предоставляю вам:

You have successfully logged in on desk.telegram.space via +42777. The website received your name, username and profile picture.

Browser: Chrome on Windows
IP: 149.154.167.78 (Netherlands)

You can press ‘Disconnect’ to disconnect desk.telegram.space

Whois 149.154.167.0

Пара слов о telegram.space

Замечу, что “telegram.space”, насколько мне известно, не светился на публике. Если вы зайдете, вы поймете, что это зеркало основного сайта Telegram, которое светит на другой IP.


А теперь несколько вопросов:
  1. Почему к инфраструктуре Telegram напрямую подключен государственный провайдер Ростелеком?
  2. Почему Павел Дуров начал этот цирк после прочтения сообщения, если ему действительно нечего скрывать?
  3. Как мы можем доверять мессенджеру, в котором администратор сам проникает в ваш аккаунт после неудобного вопроса, используя свои инструменты администратора?

Вам решать, пользоваться ли данным мессенджером после всего этого.

Но, как мне кажется, есть то, что точно стоит сделать – попробовать добиться ответа от Дурова.

Если государственный провайдер имеет доступ к данным на серверах Telegram, все слова Дурова о безопасности мессенджера – ложь, которой он прикрывал утечку информации прямо у вас на глазах.

Откуда нам знать, что у государства действительно нет ключей для сообщений, что хранятся на серверах? После того, что произошло, никто из нас в этом не уверен.

Комментарий от админа Хабра


Насколько известно, сеть Интернет состоит из Автономных Систем (AS) — это изолированные сети, имеющие на своих границах пограничное оборудование, в состав которого входит гора всякого недешёвого железа, включая маршрутизаторы, межсетевые экраны и прочее. Любая AS может организовать стык с целью пропуска трафика с иной AS как напрямую, так и через так называемые точки обмена трафика (IXP). Если прямые стыки можно как-то выбирать и контролировать, то соседство по IXP зачастую слабо контролируемо (некоторые операторы пропускают транзитом трафик из IXP).

Технически, стык с каждым соседом в IXP выглядит как прямой стык, это может порождать интересные спецэффекты. Например, AS Хабра имеет два прямых соединения с провайдерами (апстримами) и участвует в двух IXP, однако, здесь мы видим пять пиров (соседей), хотя должно быть всего две записи (апстримы). Отдельно надо осознавать, что трафик идёт по административно кратчайшему пути и как он идёт в данный момент — надо смотреть в тот самый момент. То, что у AS есть пиринг с логически ближайшим транзитным соседом к иной AS, не значит, что трафик пойдёт через данную транзитную AS, в этом можно убедиться, внимательно изучив скандал МРГ с Билайном. Но даже если трафик идёт напрямую, это внешний трафик AS. При этом надо быть готовым к тому, что кто-то (NSA/Китай/russian silovik) потенциально имеют возможность в нём покопошиться.

Что касается Telegram. Для начала, у TG зарегистрировано четыре AS с различными номерами. Одна ничего не анонсирует, три остальных имеют соседства, две пирятся на удалённых IXP (раз, два), а одна пирится на трёх IXP, включая две российские Data IX и Global-IX (ссылка). Немудрено, что в этих IXP участвуют и РТ и прочий российский телеком. Если пропуск трафика через «вражеские сети» есть проблема безопасности для TG, то тут уже не важно, пирится ли TG с ними напрямую или нет.

В качестве вердикта: в целом всё выглядит вполне естественно и прямой проблемы безопасности тут нет. Шпионскую историю про удаление переписки прокомментировать не можем.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *