Пригоден ли Telegram для действительно безопасных коммуникаций? Эксперт по цифровой безопасности объясняет, почему его ответ — нет
О том, как за вами следит платформа, что не так у телеграма с шифрованием, почему его связи с Россией вызывают много вопросов и какие есть альтернативы — в обстоятельном обзоре исследователя Матея Ковачича, опубликованном на его ресурсе Telefoncek.si.
Шифрование
Telegram не использует сквозное шифрование, а только шифрование на транспортном уровне, что означает, что создатели Telegram могут видеть все сообщения пользователя в любое время. Они также хранят все данные и сообщения пользователей на своих серверах.
К шифрованию сообщений существует два подхода. Один из них заключается в использовании шифрования на уровне передачи данных (транспортном уровне), когда сообщение шифруется только во время передачи между различными серверами, но не на самих серверах. В этом случае данные на целевом сервере расшифровываются и хранятся там же или пересылаются на другой сервер (в этом случае они могут быть зашифрованы повторно, но с другим ключом).
Вторая концепция заключается в шифровании всего пути передачи данных. Эта концепция также известна как сквозное шифрование. Здесь между каждым конечным пунктом (например, двумя терминалами связи) настраивается зашифрованная сессия, что означает, что связь шифруется на всем пути от устройства к устройству. В этом случае связь не может быть подслушана провайдером сетевой инфраструктуры или поставщиком услуг связи (однако она может быть перехвачена на исходном или конечном пункте, но это также работает при использовании шифрования на транспортном уровне).
По умолчанию Telegram — облачная база данных с копией каждого сообщения, которое когда-либо отправлял каждый пользователь, включая фото, видео и другие типы файлов. Эта база данных также содержит все контакты и друзей в группах пользователя.
Это можно легко проверить, удалив Telegram с мобильного телефона и установив его на другое мобильное устройство — Telegram синхронизирует все контакты и сообщения на новом устройстве, не запрашивая никакого пароля. Сообщения и контакты могут быть удалены с сервера Telegram только в том случае, если пользователь удалит свой аккаунт (сделать это можно тут).
Telegram не использует сквозное шифрование по умолчанию. В своих промо-материалах компания говорит, что предлагает сквозное шифрование, но только потому, что в нем есть функция Secret Chat, которая шифрует отправленные сообщения. Однако эту функцию нужно включать вручную и пользоваться ей неудобно.
Для шифрования Telegram использует собственный протокол шифрования, известный как MTProto. Этот протокол был разработан компанией. Он был проанализирован некоторыми экспертами по безопасности, и они нашли там несколько слабых мест.
Якоб Бьере Якобсен из Орхусского университета провел криптоанализ протокола в 2015 году для своей магистерской диссертации и открыл две небольшие атаки на основную схему шифрования. Он пришел к выводу, что лучше отдавать предпочтение хорошо изученным и доказанно безопасным схемам шифрования перед самодельными протоколами.
Ученые из ETH Zurich и Royal Holloway провели обзор безопасности MTProto в июне 2021 года и нашли в нем четыре уязвимости. Профессор ETH Zurich Кенни Паттерсон отметил, что шифрование «будет лучшим, более надежным и заслуживающим доверия при использовании стандартных подходов к шифрованию».
Обнаруженные уязвимости были не очень серьезными, а Telegram быстро отреагировал и почти сразу же их исправил. Но анализ показал важность правила номер один в криптографии: никогда не создавайте свою собственную криптографию. Это правило значит, что не стоит создавать собственные криптоалгоритмы и схемы, ведь, скорее всего, вы допустите серьезную ошибку в безопасности, если вы не являетесь экспертом в области безопасности или криптографии и ваша схема не была проанализирована несколькими другими экспертами по безопасности.
Данные геолокации
Telegram имеет доступ к геолокационным данным своих пользователей, поэтому он может отслеживать их точное местоположение.
Telegram имеет функцию (которую пользователи должны активировать вручную), которая позволяет пользователям находить людей и групповые чаты рядом с их местоположением. В прошлом Telegram указывал пользователям относительное расстояние между ними и другими пользователями в метрах. В марте 2021 года исследователь безопасности Джеффри Коапман обнаружил, что этой функцией можно злоупотреблять для определения местоположения человека.
Он разработал доказательство концепции и программное обеспечение, которое можно использовать для автоматического сбора местоположения пользователей Telegram. Он также сообщил об этом разработчикам Telegram, и только в конце февраля 2022 года (примерно через неделю после нападения России на Украину) Telegram снизил точность функции «Люди рядом».
Важно также отметить, что эта уязвимость была исправлена после того, как 3 февраля 2022 года OS2INT (организация, обучающая и консультирующая в области разведки с открытым исходным кодом) опубликовала подробную статью о том, как отслеживать передвижение российских вооруженных сил с помощью этой уязвимости. В своей статье они показали, как получить подробную информацию о движениях российских вооруженных сил в зоне военного развертывания Солоти в режиме реального времени.
Несмотря на то, что теперь Telegram показывает сниженную точность местоположения пользователей, вполне вероятно, что создатели Telegram имеют доступ к высокоточным геолокационным данным своих пользователей (для тех, кто дал разрешение на определение местоположения для программы Telegram).
Политика конфиденциальности
Политика конфиденциальности Telegram включает в себя множество отказов от ответственности, что позволяет им на законных основаниях собирать множество конфиденциальных данных. Например, телеграм может записывать ряд метаданных и сохранять их в течение года. Они заявляют: «Мы можем собирать такие метаданные, как ваш IP-адрес, устройства и программы Telegram, которые вы использовали, историю изменений имен пользователя и т.д.» (Что конкретно подразумевается под «и т.д.» — не объясняется — прим. НН).
Они также пишут, что могут читать и анализировать сообщения пользователей во всех чатах, кроме секретных, чтобы расследовать случаи рассылки спама и другие формы злоупотреблений.
Telegram и спецслужбы
Россия и некоторые другие страны (наиболее известный случай с Ираном) в прошлом несколько раз пытались заблокировать Telegram. Если у Ирана получилось так себе, то Россия действовала активнее.
После того как Telegram отказался предоставить российским властям доступ к сообщениям пользователей, московский суд в 2018 году запретил его в России. Telegram пытался обойти цензуру и играл в кошки-мышки с Роскомнадзором, меняя IP-адреса, которые программа использует для соединения.
Но Роскомнадзор решил заблокировать 19 миллионов IP-адресов (включая Amazon Web Services и Google Cloud, которые использовал Telegram), чтобы эффективно заблокировать Telegram в России. Поскольку российскому бизнесу таким образом нанесли огромный сопутствующий ущерб, Роскомнадзор немного отступил. Но это показало, что российские власти готовы пойти на многое, чтобы получить доступ к данным пользователей Telegram. После этого российские власти попытались оказать давление на крупных облачных провайдеров, размещающих сервисы Telegram, чтобы те заблокировали Telegram, а также на мобильные компании, чтобы те не предлагали программу Telegram в своих магазинах программ.
Это свидетельствует о том, что Россия в прошлом очень активно старалась получить доступ к данным Telegram. Но Россия известна мощными кампаниями дезинформации и операциями под ложным флагом. И это ставит логичный вопрос: не является ли эта игра в кошки-мышки очередной операцией под ложным флагом с целью создать у пользователей ложное впечатление, что использование Telegram безопасно и надежно?
Telegram очень широко распространен в постсоветских странах, и, исходя из моих знаний и опыта, некоторые из постсоветских стран периодически блокируют различные мессенджеры, такие как WhatsApp или Signal, в то время как Telegram запрещают крайне редко. Это может быть связано с эффективными контрмерами Telegram или какими-то другими причинами.
Важно отметить, что тогдашний советник Владимира Путина по вопросам интернета Герман Клименко в 2017 году однозначно заявил, что основатель Telegram «рано или поздно будет вынужден сотрудничать и легализоваться в России».
В 2017 году также возникли споры о том, действительно ли Telegram работает за пределами России. Хотя основатель Telegram Павел Дуров отрицал, что в Telegram есть сотрудники в России, многие источники утверждали, что сотрудники Telegram в то время все еще работали в Санкт-Петербурге в том же здании, что и социальная сеть VK, находящаяся под влиянием Кремля.
Позже штаб-квартира Telegram была перенесена за пределы России, а в 2013 году была зарегистрирована сеть подставных компаний по всему миру, чтобы избежать налогов, заключить контракты с местными дата-центрами и скрыть настоящую юрисдикцию программы.
Позже они переехали в Берлин, но с 2017 года работают из Дубая. Важно отметить, что Объединенные Арабские Эмираты — глубоко репрессивное государство, которое регулярно сажает в тюрьму политических диссидентов и журналистов за критику правящей семьи, и поэтому не может рассматриваться как страна, поддерживающая свободу и свободу слова.
В середине марта 2022 года Олег Матвейчев (его также называют «политтехнологом Кремля»), депутат Государственной Думы РФ и заместитель председателя Комитета по информационной политике, информационным технологиям и связи, заявил, что «пока мессенджер политически нейтрален, его трогать не будут, и не следует относиться к Telegram предвзято».
В то время как другие защищенные мессенджеры регулярно блокируются в России, отношение России к Telegram вполне закономерно вызывает некоторые вопросы.
Результат
Telegram имеет ряд конструктивных особенностей, влияющих на общую безопасность и конфиденциальность. Он не рекомендуется для пользователей, нуждающихся в безопасных коммуникациях, и людей, желающих сохранить свою конфиденциальность.
Для таких пользователей существуют лучшие и бесплатные альтернативы.
Нет необходимости использовать Telegram, если есть более безопасные альтернативы с аналогичными возможностями.
А что это за альтернативы? Матей Ковачич предлагает Signal
Существуют лучшие и бесплатные альтернативы Telegram. Одна из них — программа Signal. Она работающая на многих платформах, имеет открытый исходный код и бесплатна. Модель безопасности Signal очень хороша и была проверена несколькими известными экспертами по безопасности, поддерживает сквозное шифрование по умолчанию, поддерживает групповые чаты со сквозным шифрованием, включая групповые видеочаты, обмен файлами, фото и видео.
Signal собирает немного данных пользователя (только дату создания учетной записи и время последнего присоединения пользователя к сети Signal) и известен своим подходом, ориентированным на охрану конфиденциальности. Использование Signal также рекомендовано несколькими экспертами по безопасности и даже властями США.
Существуют и другие бесплатные альтернативы, поддерживающие шифрование E2E по умолчанию, и некоторые из них также используют протокол Signal с открытым исходным кодом.
Некоторые из программ, например WhatsApp и Google Message, предлагают сквозное шифрование по умолчанию, в то время как другие, например, Facebook Messenger и Skype, предлагают этот протокол только опционально (если пользователь включает так называемые секретные или частные разговоры). Viber также предлагает сквозное шифрование, но использует собственный протокол шифрования, который, по их словам, основан на тех же концепциях, что и протокол Signal.
Проблема с этими приложениями заключается в том, что некоторые из них предлагают сквозное шифрование только опционально, и в некоторых случаях групповые коммуникации не шифруются. Signal использует сквозное шифрование для групповых сообщений по умолчанию.
Другая проблема в том, что многие мессенджеры собирают личные данные пользователей и пытаются монетизировать приложение с помощью рекламы. Некоторые из этих мессенджеров также принадлежат крупным технологическим компаниям, бизнес-модель которых построена на сборе персональных данных (например, WhatsApp принадлежит Meta/Facebook).
Это также не относится к приложению Signal, которое собирает минимальное количество данных и не использует программу для рекламу. Например, приложения для обмена сообщениями должны иметь возможность определить, какие из контактов устройства используют то же приложение для обмена сообщениями, чтобы пользователи могли общаться со своими контактами через это приложение.
В то время как большинство мессенджеров собирает и анализирует контакты из списка контактов пользователя, Signal разработал так называемое частное обнаружение контактов, позволяющее программе Signal определять, какие контакты на устройстве используют Signal, но без раскрытия контактов из адресной книги службе Signal.
Это лишь один из примеров технологий сохранения конфиденциальности, которые разработали и применяют создатели Signal, что свидетельствует о том, что они серьезно относятся к конфиденциальности своих пользователей.
Мессенджеры стали критически важными в повседневной и профессиональной жизни. Решение о том, какой из них использовать, должно быть основано на осознанном выборе. Особенно если вы хотите сохранить свою конфиденциальность и безопасность коммуникаций.
Читайте также наш обзор более чем десятка мессенджеров:
Мессенджеры: какие из них действительно безопасны и чем Viber лучше Telegram
Доктор Матей Ковачич (Matej Kovačič) — словенский исследователь. В рамках своей деятельности занимается вопросами конфиденциальности и слежки, изучения киберпреступности, информационной безопасности и форенсики, а также открытых данных. Он является автором двух книг по конфиденциальности: «Конфиденциальность в Интернете» (2003) и «Контроль и конфиденциальность в информационном обществе» (2006), а также книги «Настольный справочник по Linux» (2010). Он также выпустил ряд статей в области конфиденциальности, слежения, киберпреступности и открытого кода.
Во время работы в комиссии по предотвращению коррупции он также участвовал в создании приложения Supervisor. Сейчас работает в Институте имени Йожефа Стефана.
«Наша Нiва» — бастион беларущины
ПОДДЕРЖАТЬ
Комментарии
колькі наіўных шчырых людзей трапіла ў чыюсьці пастку (