Тлумачым, якім чынам сілавікі знаходзяць карыстальнікаў Telegram і як гэтага пазбегнуць
У Беларусі шмат людзей арыштавалі за каментары ў тэлеграме, але шмат хто дагэтуль не ведае, як працуе месенджар і як сілавікі знаходзяць карыстальнікаў. Разабраліся для вас.
11.08.2022 / 21:55
Калаж: Financial Times
Нядаўна мы пісалі пра тое, як правільна пачысціць месенджары і абараніць сацыяльныя сеткі. Цяпер надышоў час расказаць, як не даць знайсці вас у Telegram.
Якім чынам працуе Telegram?
Калі вы рэгіструецеся ў месенджары, выкарыстоўваючы ваш нумар тэлефона, за кожным акаўнтам замацоўваецца ID. Гэта «радніць» яго з сацыяльнымі сеткамі кшталту Facebook або «Укантакце».
Кожнага разу, калі вы здзяйсняеце дзеянне, вы пакідаеце нейкую частку сваіх даных. Да прыкладу, калі вы пішаце ў чат, то сілавікі атрымліваюць дату напісання паведамлення, ID, імя і ваш юзернэйм. Гэтыя даныя атрымліваюць абодва бакі, гэта значыць, як вы, так і ваш суразмоўца або ўсе члены групы.
Важна зразумець, што Telegram дазваляе атрымаць ID любога ўдзельніка чата, любога суразмоўцы і любога карыстальніка бота, калі ён належыць сілавікам ці быў узламаны. ID прывязаны да акаўнта і змяніць яго нельга, не змяняючы акаўнт, а таксама ён застаецца ў выдаленых акаўнтаў.
Але як па гэтых даных можна знайсці чалавека? І як зменшыць імавернасць гэтага?
Спосаб №1: па інфармацыі, якую яны ўжо маюць
Сілавікі могуць праверыць ID карыстальніка па ўжо існуючай у іх базе. Як яе напаўняюць, вы зразумеце пазней, але называецца яна «Т-Поиск». Калі ваш ID з данымі пра вас ужо ёсць у базе, то знайсці вас — справа пары хвілінаў.
Спосаб №2: па нумары тэлефона
Любы карыстальнік, які зарэгістраваў акаўнт на беларускі нумар тэлефона, патэнцыйна ўразлівы.
Па-першае, гіганцкія базы звязак ID-тэлефон былі сабраныя ў той час, калі любога карыстальніка можна было знайсці па нумары. Такая магчымасць з'явілася ў 2019 годзе.
Не ясна, які аб'ём тых базаў, але патэнцыйна любога карыстальніка можна знайсці, калі ягоны акаўнт створаны да 2020 года.
Наколькі вядома, збіраліся даныя, уключна з фота і тэлефонамі, усіх карыстальнікаў яшчэ ў самім 2020 годзе, калі людзі бяспекай не пераймаліся. Калі акаўнт не мяняўся, то не важна, ці схавалі вы нейкія параметры — вы ўжо ўразлівы.
Па-другое, калі вы ствараеце новы акаўнт і чалавек у вашых кантактах, то яму аўтаматычна прыходзіць паведамленне такога выгляду, якое немагчыма адключыць:
Тэарэтычна, сілавікі могуць складаць спісы новых рэгістрацый на беларускія нумары. І гэта вялікая небяспека.
Правіла №1: ваш акаўнт лепш зарэгістраваць на небеларускі нумар. Яго вы можаце папрасіць у сяброў за мяжой або танна набыць на сервісе віртуальных нумароў (лепш таксама з небеларускай карткі). Гэта не дазволіць на раз-два знайсці ваш акаўнт.
Як зарэгістраваць ананімныя акаўнты ў Telegram, сацсетках і іншых месенджарах — падрабязны гайд
Правіла №2: адразу пасля рэгістрацыі ўсталюйце максімальную прыватнасць акаўнта. У наладах гэта мусіць выглядаць так:
Правіла №3: варта рэгулярна выдаляць і ствараць нанова ваш акаўнт — раз на нейкі час, скажам, на месяц або на два месяцы. Гэта ўскладніць ідэнтыфікацыю і каталагізацыю карыстальнікаў тэлеграм. Калі ваш акаўнт стары (то-бок, яму больш за год ці нават ён створаны да пратэстаў), то вам дакладна трэба змяніць яго.
Правіла №4: будзьце пільныя і пастаянна думайце пра тое, што вы робіце ў сетках увогуле — ці вартае яно магчымай адказнасці.
Рэкамендацыя: можаце стварыць як мінімум два акаўнты — рабочы і «актывісцкі». З рабочага падпішыцеся на не забароненыя ў Беларусі рэсурсы, а таксама стасуйцеся з калегамі і сябрамі. З «актывісцкага» рабіце, што лічыце патрэбным, але не забывайцеся пра перыядычнае выдаленне акаўнта.
Парада: паспрабуйце выкарыстоўваць Партызанскі Тэлеграм (для камп'ютара, для Андроід). Ён дазволіць вам не паказваць «асноўны» акаўнт, выходзячы з яго пры ўвядзенні пароля. Апісанне магчымасцяў тут. Нядаўна праграма, распрацаваная «Кіберпартызанамі», прайшла аўдыт кода у Рочэстэрскім інстытуце тэхналогій, які пацвердзіў яе надзейнасць і бяспечнасць.
Спосаб 3: па гісторыі змянення імя акаўнта
Самы просты спосаб — праверыць, ці не называўся чалавек некалі сваім імем. Прычым гэта працуе нават для выдаленых акаўнтаў. Для сілавікоў гэта моцная зачэпка.
Гэта наступства таго, што ID акаўнта не мяняецца і калі проста захоўваць звязку ID-імя-юзернейм, то можна адсачыць гісторыю акаўнта. Таксама для гэтага раней сілавікі масава дадавалі людзей у кантакты.
Да жніўня 2020 года людзі не надта пераймаліся захаваннем ананімнасці ў тэлеграме, таму калі акаўнт стары ці вы хоць некалі зваліся ўласным імем, то хутчэй за ўсё вас магчыма знайсці.
Сілавікі могуць дзейнічаюць так: знайсці карыстальніка, якога хочуць «здэаноніць», а пасля «прабіць» яго па вядомых базах. У іх ёсць уласная база акаўнтаў, якая называецца «Т-Поиск», таксама яны карыстаюцца платнымі ботамі для «прабіву».
Спосаб №4: па юзернэйме
Тут усё вельмі проста — калі вы выкарыстоўваеце ваш юзернэйм яшчэ на нейкім сайце, акрамя тэлеграма, то яго можна знайсці. Нават калі вы рабілі так некалі, але пасля «выправіліся» на тым жа акаўнце.
Для гэтага існуе вядомы інструмент Maigret, названы ў гонар персанажа Жоржа Сімянона камісара Жуля Мегрэ. Ён дазваляе шукаць імя карыстальніка сярод тысячаў рэсурсаў на ўсіх мовах свету.
Дзеля эксперыменту мы паглядзелі судовыя справы некалькіх палітвязняў, якіх судзілі на адкрытых судах за каментары ў тэлеграме. У двух з пяці выпадкова абраных людзей мы здолелі высветліць імя і прозвішча чалавека па змене імя і прозвішча, прычым адзін акаўнт ужо быў выдалены.
У адным выпадку знайшлі прывязаны тэлефон чалавека і такім чынам атрымалі іншую інфармацыю. У яшчэ аднаго юзернэйм быў амаль такі ж самы, як і адкрыты інстаграм, і атрымалася знайсці ягоную выяву за некалькі хвілін.
Прычым мы знайшлі і іншыя сацсеткі і інфармацыю пра чалавека, не маючы напачатку дзеля чысціні эксперыменту ані ягонага імя, ані ягонага фота, толькі каментары.
Агулам «эксперымент» заняў каля 30 хвілін і мы адшукалі чатырох з пяці каментатараў.
Спосаб №5: па аватарцы
Калі ў тэлеграме ў вас стаіць ваша фота або нейкі ўнікальны малюнак — гэта таксама сур'ёзная зачэпка для сілавікоў. Такі здымак можна адшукаць праз пошук ці розныя інструменты, калі ён ёсць у вас у сацсетках ці вы ягоны аўтар. Калі гэта нейкае месца, то гэта ўсё роўна дасць «наводку» сілавікам — прынамсі, адкуль вы, дзе падарожнічалі, і гэтак далей.
Правіла №5: ніколі не называйцеся сваім імем і не давайце «зачэпак» на вашу рэальную асобу ў інфармацыі пра акаўнт. Калі вы так ужо рабілі раней — выдаліце і стварыце нанова ваш акаўнт на небеларускі нумар.
Спосаб №6: па інфармацыі з чатаў
Шмат людзей яшчэ ў 2020 годзе пакінулі сляды сваёй дзейнасці. Часта гэта адрасы жыхарства (у дваравых чатах), імёны, геапазнакі, нават кавалкі дакументаў ці фота аўтамабіляў. Нават простая прыналежнасць да чата нейкай выбарчай акругі ці дома вельмі звужае кола магчымых людзей, не кажучы ўжо пра прамыя наводкі.
У закрытых чатах часта людзі ўвогуле не «шыфруюцца» і калі сілавікі атрымалі да яго доступ, то адтуль можна «дастаць» вельмі шмат інфармацыі.
Правіла №6: ніколі не выдавайце вашу рэальную інфармацыю ў чаты. Для таго, каб было складаней вас ідэнтыфікаваць, можаце, да прыкладу, чаргаваць ваш род (пісаць пра сябе то ён, то яна) і даваць выпадковую фальшывую інфармацыю.
Правіла №7: не ўступайце ў чат толькі вашага двара ці акругі. Калі хочаце быць у такім чаце, зайдзіце ў 10-15 чатаў з рознай лакалізацыяй адначасова. Калі вы ўжо «праштрафіліся» — выдаліце і стварыце акаўнт на небеларускі нумар.
Спосаб №7: праз фэйкавыя боты
Гэты спосаб асабліва «выстраліў» падчас запуску чат-бота «Перамога» ад BYPOL. Тады сілавікі стварылі сетку ботаў, якія збіралі персанальныя даныя беларусаў. І для недасведчанага чалавека яны выглядалі абсалютна аднолькава, толькі губазікаўскі збіраў яшчэ і тэлефон, які пасля дазваляў знайсці чалавека.
Увогуле, калі вы запускаеце нейкага бота, то ён атрымлівае ваш ID. І гэта ўжо вялікая рызыка нават калі вы не даяце туды ніякай інфармацыі.
Правіла №8: дасканала правярайце, у які бот вы дасылаеце паведамленне. Не шукайце іх пошукам, а пераходзьце з арыгінальных старонак медыяў ці каналаў.
Спосаб №8: праз фэйкавыя спасылкі і сайты
У сілавікоў ёсць уласныя сэрвісы для стварэння фэйкавых спасылак. Гэтыя спосабы «заточаныя» на тое, каб атрымаць IP-адрас карыстальніка.
Схема такая: калі вы кантралюеце рэсурс, то можаце стварыць спасылку на нейкі матэрыял, створаную адмыслова для нейкага чалавека. Калі ён адзіны, хто зойдзе на рэсурс, то вы ўжо ведаеце ягоны IP-адрас.
Гэта робіцца з дапамогай розных сэрвісаў. Напрыклад, вы можаце стварыць люстэрка вядомага рэсурсу або цалкам выдумаць нейкі іншы. Важна, каб у вас быў кантроль над статыстыкай і геалакацыяй тых, хто на яго заходзіць.
Разам з геалакацыяй можна «выцягнуць» яшчэ і іншую інфармацыю ў Fingerprint. Гэта адбітак вашага браўзэра і, часткова, вашай сістэмы. Ён дазваляе атрымаць процьму інфармацыі — мова браўзэра, якія шрыфты ўсталяваныя на кампутары, версію вашай сістэмы і шмат іншага, што дазволіць адназначна ідэнтыфікаваць вашу прыладу пасля.
Правіла №9: не пераходзьце бяздумна па спасылках ад незнаёмых людзей ці з адкрытых чатаў. Калі гэта спасылка на незалежнае медыя ці сайт, які вы ведаеце, то лепш адкрыць яго на сайце медыя. Калі гэта спасылка на нешта іншае, то ёсць лёгкі спосаб праверыць, ці праўдзівая яна — проста ўбіце яе ў любы папулярны пошукавік і перайдзіце па ёй з яго.
Спосаб №9: кантактныя кнігі і перапіска
Схема вельмі простая — трэба атрымаць доступ да акаўнта чалавека і спампаваць ягоную кантактную кнігу. Разам з іншымі данымі гэта дазволіць знайсці большасць ягоных кантактаў у рэальным жыцці.
Таксама людзі часта называюць адно аднаго па імёнах, асабліва ў закрытых чатах і асабістых перапісках.
Правіла №10: не дадавайце людзей у кантакты пад іхнімі ўласнымі імёнамі ці вядомымі сілавікам псеўданімамі.
Правіла №11: выдаляйце перапіскі з усімі іншымі людзьмі раз на суткі. Зрабіць гэта лёгка і гэта абароніць вас ад выпадковых зліваў лішняй інфармацыі.
Правіла №12: раз на суткі чысціце таксама кэш тэлеграма і кэш базаў даных. Зрабіць гэта можна па шляху: Налады — Даныя і сховішча — Выкарыстанне сховішча. Там абярыце пункты «Ачысціць кэш Telegram» і «Ачысціць лакальную базу даных». Гэта важна, бо ў лакальнай базе даных захоўваецца вельмі шмат інфармацыі — архівы выдаленых перапісак і ачышчаных чатаў, некаторыя файлы і метаданыя, а функцыі аўтаматычнага яе выдалення не існуе.
Спосаб №10: праз фота і відэа
Сілавікі могуць знайсці чалавека з беларускім грамадзянствам, калі маюць фота ягонага твару. Галоўныя крыніцы — інфармацыя з перапіскі, галасавыя і відэапаведамленні ў дыялогах і чатах, а таксама відэазванкі.
Правіла №13: у адкрытых чатах і ў перапісках з актывістамі не захоўвайце аніякай фота— і відэаінфармацыі, якая б раскрывала вашу асобу ці асобы іншых людзей.
Спосаб №11: праз метаданыя файлаў
Усе файлы, якія вы стварылі самі ці атрымалі ад іншых, па змоўчанні ўтрымліваюць у сабе метаданыя. Для фота і відэа з самых адчувальных — гэта прылада, з якой зроблены здымак або відэа. Для дакументаў — імя карыстальніка камп'ютара, на якім ён быў створаны. Такія метаданыя ствараюць усе камп'ютары на ўсіх сістэмах.
Тэлеграм захоўвае іх толькі калі вы дасылаеце нешта як «файл», да прыкладу, калі хочаце захаваць якасць зробленага фота. Перад адпраўкай адчувальных даных трэба гэта ўлічваць.
Правіла №14: перад адпраўкай файлаў «ачышчайце» іх з дапамогай розных сэрвісаў. Гэта абароніць вас ад «зліву» метаданых.
Спосаб №12: праз званкі і галасавыя паведамленні
Калі чалавека затрымалі, сілавікі могуць «вывесці» карыстальніка на званок з відэа ці прынамсі аўдыя і такім чынам знайсці яго.
Аўдыяпаведамленні даюць шмат інфармацыі — пра тое, якога полу чалавек, прыкладны ўзрост, тэмбр і стыль маўлення. Калі чалавек вядомы сілавікам, то гэта дазволіць знайсці амаль адразу.
Таксама ў тэлеграме ёсць праблема, што па змоўчанні званкі з кантактамі — рeer-to-peer. Гэта значыць, што два чалавекі злучаюцца наўпрост і паказваюць свае рэальныя IP-адрасы. P2P-званкі нашмат паляпшаюць якасць гуку, але дазволяць сілавікам атрымаць ваш рэальны IP, калі вы дазваляеце званкі, у вас уключаны інтэрнэт і чалавек у вашых кантактах.
Правіла №15: не скідвайце галасавыя паведамленні ў агульныя чаты.
Правіла №16: забараніце IP-званкі. Зрабіць гэта можна па шляху: Налады — Прыватнасць і бяспека — Выклікі — P2P.
Спосаб №13: праз стыль напісання
Шмат хто з актыўных каментатараў пазнаецца па тым, як ён піша. Вы не заўважаеце гэта, але нават сваіх пастаянных каментатараў мы пазнаем з тысячы. Сілавікі таксама могуць гэта аналізаваць.
Спосаб №14: фальшывыя файлы
Амаль для любога тыпу файлаў існуе схема, якая дазваляе атрымаць IP-адрас пры адкрыцці файла. Такія файлы не з'яўляюцца вірусамі, таму іх не блакуюць антывірусныя праграмы.
Большасць такіх «трукаў» працуе на Windows, але іншыя сістэмы таксама ўразлівыя.
Правіла №17: не адкрывайце файлаў з сумніўных крыніцаў кшталту адкрытых чатаў і асабістых паведамленняў ад незнаёмых людзей.
Правіла №18: пастаянна выкарыстоўвайце VPN, для гэтага ёсць магчымасці ў Android. Таксама такая магчымасць ёсць у шматлікіх VPN-кліентах на Windows, Linux, Mac і iOS. Называецца яна «Kill Switch». Гэта забароніць прыладзе ўваходзіць у інтэрнэт без уключанага VPN.
Спосаб №15: сацыяльная інжынерыя і ўкараненне агентаў
Сацыяльная інжынерыя або «атака на чалавека» — гэта сукупнасць псіхалагічных і сацыялагічных прыёмаў, метадаў і тэхналогій, якія дазваляюць атрымаць канфідэнцыйную інфармацыю. Фактычна трэба хітра падмануць чалавека. Ён камбінуецца з іншымі спосабамі, пералічанымі вышэй.
Да прыкладу, можна стварыць фэйкавы акаўнт, які будзе актыўна каментаваць нешта ў чаце. Пасля высветліць нешта пра шуканага чалавека, да прыкладу, што ён любіць падарожжы. А пасля скінуць яму спасылку на нейкі фэйкавы тэкст, які дазволіць атрымаць ягоны IP ці зразумець, што ён карыстаецца VPN.
Ці, далей-болей, спрабаваць завязаць з ім гутарку і атрымаць нешта пра яго — пол, узрост, месца працы, кола цікаўнасцяў, прыкладнае месца жыхарства. Ці, да прыкладу, пісаць ад імя ўжо затрыманага чалавека, каб нешта высветліць.
Гэты метад адрозніваецца ад іншых, бо задача сілавікоў тут спачатку ўсталяваць давер. Тое ж і з агентамі — яны мусяць рабіць выгляд, што яны прыхільнікі пераменаў.
Сярод апошніх такіх атакаў — стварэнне «батальёна Касцюшкі». Сярод больш складаных — падчас атакі на групы ОГСБ сілавікі нават спалілі нейкі трактар, каб укараніцца ў шэрагі адміністрараў чата і знайсці астатніх карыстальнікаў і «здэананімізаваць» іхнія тэлеграм-акаўнты. Або ўкараненне агента ў канал Чорнай кнігі Беларусі, якое дазволіла затрымаць Рамана Пратасевіча і Сафію Сапегу, а таксама «здэананімізаваць» сетку адміністратараў і мадэратараў беларускіх каналаў.
Правіла №19: будзьце асцярожныя. Не выдавайце людзям з «пратэсных» чатаў аніякай інфармацыі пра сябе.
Спосаб №16: катаванні
Гэта працуе толькі калі чалавек затрыманы і сілавікі не здолелі знайсці дакладна таго, хто хаваецца за імем карыстальніка, або хочуць атрымаць інфармацыю пра кантакты гэтага чалавека. Цяпер гэты спосаб прымяняецца вельмі шырока — вас проста б'юць ці зневажаюць рознымі шляхамі, пакуль вы не зламаецеся.
Большасць людзей не вытрымлівае катаванняў і выдае доступ да свайго акаўнту.
Правіла №20: будзьце гатовыя да затрымання. Для гэтага чысціце вашы прылады і клапаціцеся пра вашу бяспеку рэгулярна, а не час ад часу.
Спосаб №17: шляхам сачэння за канкрэтным карыстальнікам
Нават калі вы ўсё робіце ідэальна, імавернасць таго, што вы рана ці позна «выдадзіце» нейкую інфармацыю пра сябе — вельмі высокая. Бо ўсе рана ці позна памыляюцца.
І калі за вамі сочаць персанальна, то, хутчэй за ўсё, рана ці позна знойдуць. Гэта пытанне толькі таго, наколькі вы рэлевантны для сілавых структураў, каб выдаткоўваць на вас такія гіганцкія рэсурсы.
Спосаб №18: шляхам вывада чалавека з-пад VPN, проксі або ТОР
Наступныя тры спосабы — чыста гіпатэтычныя. Мы не ведаем дакладна, ці карыстаюцца імі сілавікі, але яны існуюць і апісаныя ў літаратуры, таму мы лічым вартым іх прывесці.
Сілавікі могуць імі карыстацца толькі калі ўсе іншыя больш «хуткія» не спрацавалі і трэба адшукаць нейкага канкрэтнага чалавека, а не абы-каго. Большасці з чытачоў яны не пагражаюць.
Для гэтага сілавікам патрэбны рэсурс, які яны могуць кантраляваць. Прычым на гэта вядуцца нават сапраўдныя хакеры і вядомыя махляры.
Сутнасць такая: калі вы заходзіць з-пад нейкага «ананімізатара», сайт або вас не пускае (як цяпер сайты беларускіх дзяржорганаў), або стварае для вас невыносна доўгую і складаную сістэму праверкі. Гэта змушае вас заходзіць пад сваім уласным IP-адрасам, а ў беларускіх рэаліях гэта значыць, што вы «папаліся».
Правіла №21: калі рэсурс патрабуе ад вас выйсці з-пад ананімайзера, то ён сумнеўны ў любым выпадку. Не адключайце сродкі ананімізацыі, нават калі не можаце патрапіць на нейкі рэсурс.
Спосаб №19: таймінг-атака і супастаўленне злучэнняў
Адсочваецца або час актыўнасці карыстальніка, або аб'ём трафіку, які ён спажывае. Да прыкладу, калі вы ўсталявалі з ім кантакт, то вы можаце скінуць яму файл нейкага вялікага памеру і ў момант зафіксаваць усіх людзей, якія спампавалі нешта падобнага аб'ёму. Так можна звузіць кола «падазраваных» у сотні разоў.
З актыўнасцю сутнасць у тым, каб вельмі доўга запісваць усіх, хто быў анлайн у той ці іншы час. Да прыкладу, чалавек актыўна піша каментары — гэта час актыўнасці, у які ён далучаецца да тэлеграм. Ваша задача ў тым, каб запісаць усіх, хто далучаўся да месенджара ў гэты часавы прамежак. Такім чынам рана ці позна такіх людзей застанецца мала.
Прыкладна таксама тэарэтычна можна атрымаць рэальны IP-адрас чалавека, які карыстаецца «звычайным» VPN. Трэба атрымаць IP-адрас VPN і проста прааналізаваць, хто з карыстальнікаў у Беларусі «звязваўся» з гэтым VPN у той час, калі чалавек зрабіў важнае для сілавікоў дзеянне.
Рэкамендацыя: не заходзьце ў месенджары адразу пасля ўключэння ВПН.
Рэкамендацыя: адключыце аўтаматычную загрузку файлаў у тэлеграм. Зрабіць гэта можна па шляху: Налады — Даныя і сховішча — Аўтаспампоўванне медыя. Забараніце аўтаспампоўванне для ўсіх відаў злучэння. Да таго ж, гэта дапаможа вам хутчэй загружаць тэлеграм, бо цяпер выявы і відэа не будуць грузіцца аўтаматычна.
Спосаб №20: тэхнічна складаныя спосабы
Яны выкарыстоўваюцца надзвычай рэдка, але яны існуюць. Гэта, да прыкладу, атака з дапамогай гукавых маячкоў, дэананімізацыя праз Cookies, User Agent і Fingerprint шляхам доўгага іх назапашвання, праз адмыслова створаныя файлы-прыманкі, праз уразлівасці самога тэлеграм (да прыкладу, гэтую).
Калі супраць вас выкарыстоўваюць такія спосабы, то вы амаль напэўна і так пра іх ведаеце. Рэальнае іх выкарыстанне супраць звычайных беларусаў малаімавернае.
Вышэйзгаданыя правілы і спосабы могуць вас не выратаваць, калі сілавікі ўжо запісалі вашы даныя ці прыйдуць да вас з іншай нагоды.
Ініцыятыва CyberBeaver прапануе ўсім ахвотным кансультацыі па кібербяспецы праз свайго абароненага бота, а ў іхнім канале сабраныя дзясяткі інструкцый па тым, як абараніць сябе ў інтэрнэце. Шмат карысных парадаў па бяспецы ёсць і ў «Кіберпартызанаў».