Так CEO WhatsApp объяснил, почему Telegram небезопасен для использования, а заодно обвинил его в слежке за пользователями.
Информационная безопасность операционных технологий
В тройке лидеров оказался Telegram. Но первое и второе места достались Signal и Wickr соответственно. Проблемы безопасности Telegram. Telegram и раньше не был защищён по последнему слову техники, и сейчас его защита не стала хуже. Вокруг безопасности Telegram снова ломаются копья: 30 октября американский разработчик заявил, что Telegram хранит переписку в незашифрованном виде. Примечательно, что представители Telegram крайне неохотно признают проблемы с безопасностью. Telegram (основной канал) Telegram (все новости) Telegram (чат).
Инфокошмары
Обеспокоенность по поводу безопасности приложения Telegram появилась сразу после выпуска. Вести рабочую переписку в привычных Telegram и WhatsAp больше было нельзя. Насколько безопасен Телеграм? Безопасность данных подписчиков Telegram зависит от возможностей мессенджера, бесперебойной работы программы и самих пользователей.
Telegram: не следует верить всему, что вам пишут
Все данные, передаваемые в Telegram, зашифрованы. Другие мессенджеры его не поддерживают. Он гарантирует не только безопасность общения, но и полную анонимность. Передавать через протокол обычный трафик нельзя. Важный момент. Все сообщения и данные об абонентах хранятся на серверах Telegram в обезличенном виде. Расшифровать их практически невозможно.
Безопасно ли пользоваться Telegram Безопасен ли Телеграмм для общения? Ответ на этот вопрос точный и однозначный — да, использовать мессенджер можно без опаски за свои данные. Рассмотрим подробнее самые популярные вопросы, связанные с безопасностью Telegram. Насколько безопасно использовать мессенджер, популярные вопросы: Могут ли прослушать Телеграмм? Особенности используемого протокола полностью исключают такую возможность. Более того, невозможен доступ к передаваемому трафику.
Telegram анонимен? Руководство мессенджера выступает за полную анонимность своих клиентов. Данные не разглашаются, ни при каких условиях. Все сообщения и данные хранятся в облаке мессенджера, однако они находятся в обезличенном виде. Можно ли через Telegram отслеживать местоположение абонента скрытно? Такой возможности нет.
В мессенджере есть трансляция положения на карте, но она должна быть включена через настройки.
Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька. Далее требуется купить криптовалюту минимум на 5,5 TON и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram. После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать». Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета».
На этом пожалуй весь последующий разбор анонимности можно было бы и не продолжать. Номер телефона не только даёт хорошее качество идентификации сторонним сервисам для таргетированной рекламы, но и также даёт хорошее качество идентификации государственному аппарату, потому что сами SIM-карты государство выдаёт по паспортам. Открытая централизованная архитектура. Все ваши отправляемые и получаемые сообщения, проссматриваемые каналы, загружаемые файлы и прочее сохраняются на серверах телеграма в открытом виде. Под открытым видом я подразумеваю не то, что они сохраняются вообще без какого-либо шифрования, а то, что сам сервер при необходимости легко сможет расшифровать всё что у него хранится если оно конечно зашифровано. Централизованная архитектура в секретных чатах. Со стороны безопасности, централизация и секретные чаты были бы абсурдностью, но когда мы говорим об анонимности, нас более волнует не то, как зашифрованы сообщения, а то как они распространяются. И со стороны анонимности, сервер знает совершенно весь маршрут от кого и кому вы передаёте шифрованную информацию. У телеграма нет никакой децентрализации как допустим в I2P, RetroShare , нет никакой гибридности как допустим в Tor, Freenet , а есть только неприкрытая и явная централизация. И поэтому даже сложно представить, что кто-то может поверить в следующее: По утверждению разработчиков, Telegram не предоставляет никому, кроме самих администраторов канала, информации о том, кто ведёт канал и кто на него подписан. Если клиентский код скрыт, то доверять вообще не следует.
На запрос NYT представители компании VAS Experts заявили, что потребность в ее инструментах «возросла в связи со сложной геополитической ситуацией» и объемом угроз внутри России. Они добавили, что «разрабатывают телекоммуникационные продукты, которые включают инструменты для законного перехвата и которые используются сотрудниками ФСБ, которые борются с терроризмом», подчеркнув, что если технология «спасет хотя бы одну жизнь и благополучие людей, то они работаем не просто так». Одобрение властей не требуется В числе программ, вставших на вооружение у российских силовиков , упоминается софт NetBeholder за авторством «МФИ-софт», пишет NYT Одна из ее функций использует технику, известную как «глубокая проверка пакетов», которая используется провайдерами для анализа того, куда направляется их трафик. Это ПО не может перехватывать содержимое сообщений, но может определить, какие данные куда текут. Это означает, что он может точно определить, когда кто-то отправляет файл или подключается к голосовому вызову в зашифрованных приложениях, таких как WhatsApp , Signal или Telegram. Как утверждает NYT, это дает ФСБ доступ к важным метаданным, которые представляют собой общую информацию о сообщении, например, кто с кем разговаривает, когда и где, а также о том, прикреплен ли файл к сообщению. И только они решали, предоставлять эти сведения или нет. Новые инструменты для слежки встревожили экспертов по безопасности и создателей зашифрованных сервисов. По словам первых, хотя многие знали, что такие продукты теоретически могут существовать, никто не предполагал, что они вовсю производятся российскими подрядчиками. У создателей Signal, Telegram и WhatsApp не так уж средств защиты от такого отслеживания. Шифрование может маскировать определенные сообщения, которыми обмениваются пользователи, но не может скрыть сам факт общения.
Анонимность в Телеграме: есть ли доступ к нему у спецслужб и правда ли, что он не отслеживается
Насколько безопасен Телеграм? Безопасность данных абонентов Telegram зависит от возможностей мессенджера, бесперебойной работы программы и самих пользователей. Вокруг безопасности Telegram снова ломаются копья: 30 октября американский разработчик заявил, что Telegram хранит переписку в незашифрованном виде. Примечательно, что представители Telegram крайне неохотно признают проблемы с безопасностью. смотрите в обзоре на нашем сайте.
Пользователи Telegram сообщают о массовых кибератаках на аккаунты
У пользователя создается впечатление, что это настоящий раздел "избранное", где он обычно сохраняет личные файлы. Затем мошенник перехватывает приватные фотографии, сообщения и документы, рассказали в компании. Государственным комитетом Российской Федерации по печати. Отдельные публикации могут содержать информацию, не предназначенную для пользователей до 16 лет.
Это рассказывается в статье Павла Дурова, вот ее перевод.
В конце статьи есть просьба отправлять ссылку на нее каждый раз, когда кто-то задает вопрос про «end-to-end шифрование». Правда, потом Павел Дуров удалил эту фразу из оригинала статьи. Просто потому, что все они работают на смартфонах, в которых могут быть свои уязвимости. Поэтому если вам надо передать что-то по настоящему сверхконфиденциальное, лучше всего сделать это лично, в лесу и под дождем.
И, разумеется, оставив телефоны дома. Сколько это времени занимает? Собирается команда разработчиков, находится датацентр или датацентры, где будут размещаться сервера, покупается необходимое оборудование: сервера, маршрутизаторы, коммутаторы. Подключаются каналы связи и сервисы для отправки SMS, используемых при регистрации.
Разрабатывается серверная и клиентская часть, включая приложения для iOS и Android, все тестируется и публикуется в каталогах приложений. Ну и, конечно, в самом начале полезно составить план и найти финансирование. Сроки разработки могут быть различными, в том числе все зависит от необходимого функционала. В случае Telegram на это ушло почти полтора года, потому что Павел Дуров не очень торопился.
Но, в принципе, создать первую версию можно за несколько месяцев. Но не бывает универсальных решений, лучших для всех. Для корпоративных клиентов требуются свои инструменты. Кому-то важна максимальная безопасность, кому-то, например, наличие видеозвонков.
И, конечно, важно наличие того же мессенджера у круга общения.
Общие ключи временные и перегенерируются автоматически, чтобы много похожих сообщений смайликов, текста с одинаковыми метаданными не шифровались одним и тем же ключом. Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения. Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки — и у получателя. Схема работы алгоритма Диффи-Хеллмана. Алиса и Боб имеют по паре ключей — публичный и приватный. Метод действительно мощный. Но… всё не так однозначно.
Главное достоинство алгоритма Диффи-Хеллмана — возможность передавать открытые ключи и сообщения по публичным каналам. Что же с ключами для облачных чатов? Один ключ у пользователя, второй — в облаке. Увы, Telegram уже взламывали, причём демонстративно Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт. Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало. JTR позволил распарсить Telegram local code pin приложения за секунды, получить нужные файлы и данные для взлома. Результат: хакер обошел двухфакторную авторизацию, получил доступ к секретным чатам со сквозным шифрованием, смог читать и отправлять сообщения в них.
При этом реальный владелец аккаунта даже не видел, что его взломали. А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись. В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем. Пароль любой длины в Telegram тоже можно обойти Действительно, четырехзначный pin — не самая надежная защита аккаунта. Полноценный пароль надежнее. Но ne555 выяснил, что и он не спасает — существует схема обхода пароля любой длины. Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца.
А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам. Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram. Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам. Серверы Telegram уже взламывали, причём публично Ещё один Habr-пост — от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности. Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер — не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера.
С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. И вы можете попробовать заработать. Письма с багами можно отправлять на [email protected]. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно. Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать. Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа.
Связи пользователей Telegram друг с другом тоже раскрывали Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде. Сачи заявил: Telegram использует базу данных SQLite для хранения сообщений. Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных. У Telegram закрытый код, поэтому объективно проверить его безопасность не получается Разработчики Telegram заявляют: Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран. Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.
Что происходит внутри этого черного ящика, неизвестно. К тому же эксперты не верят, что ключи шифрования собираются на лету при отправке и приеме каждого сообщения. Это как минимум вызвало бы определенные задержки, а Telegram, надо признать, работает очень быстро. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др. В переписке содержался адрес, на который нужно было отправить письмо. Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс.
Протокол в дальнейшем доработали и объявили новый конкурс. Модель возможной атаки расширили — например, разрешили выступать в роли сервера MTProto и менять пересылаемые данные. Но, по мнению экспертов, такие конкурсы — просто дешевая реклама. Они не позволяют доказать безопасности шифрования и вводят пользователей в заблуждение. Организаторы не дают известный или выбранный открытый текст, шифротекст, возможность вызова повтора и использование других традиционных тестовых методов. Фактически вы можете отправить только одно зашифрованное сообщение — этого явно мало для полноценной атаки. Присланные отчеты анализируют случайные люди. К тому же 100-200 тыс. Впрочем, дыры в MTProto находят регулярно один, два, три.
И без финансовой мотивации. Многие эксперты считают защиту в Telegram просто маркетингом В Telegram не намерены рассказывать о протоколе MTProto 2. Ещё один момент: что происходит, когда пользователь Telegram отправляет сообщения, а адресат не в сети? Вероятно, сообщения отправляются на серверы Telegram, объединенные в виртуальное облако.
Именно эту пересылку и только такого рода информацию и запрещают вступившие в силу поправки к новому закону. Роскомнадзор решил напомнить, что с 1 марта в России вступают в силу новые поправки в закон о защите информации.
Telegram нарушает законодательство России. Роскомнадзор завел новое дело в отношении мессенджера
На самом деле, все не так однозначно. WhatsApp против Telegram Так и есть: такой тип шифрования поддерживают лишь секретные чаты, но их нужно создавать отдельно плюс они несколько ограничены в функциональности. При этом шифрование в Ватсапе также не приносит особой пользы, если вы сохраняете резервную копию в Гугл Диск: получается, как бы данные ни защищались, но третьи лица все же могут получить к ним доступ. Телеграм небезопасен для пользователей — так говорит глава WhatsApp CEO WhatsApp также намекнул на то, что Телеграм — шпионское приложение, так как протоколы шифрования не проходят независимой проверки. Якобы даже секретный чат в Телеграме небезопасен и в нем замечены определенные странности. Какие — Кэткарт не уточнил. В дополнение он также отметил, что в мессенджере можно было взломать сервис Telegram Locations, чтобы определить местоположение пользователя в радиусе 2-3 километров, если он его включал.
Интересно, глава WhatsApp посоветовал перейти на Signal, уточнив, что он является эталоном безопасности, но ни в коем случае не оставаться в Телеграме. Видимо, в WhatsApp он и сам не верит. Лучшие подарки с АлиЭкспресс для близких и друзей.
Ну и после последних событий, у меня есть четкая уверенность, что органы периодически получают доступ к переписке пользователей, если появляется веская причина. Причем, по официальному запросу. Последнее — про сквозное шифрование. Оно по умолчанию не включено в Telegram. Что это значит? Приложение имеет доступ ко всем метаданным кому вы писали и во сколько, userID, привязка номера телефона и прочее , а так же непосредственно к самой переписке и файлам, которые вы кому-либо присылали. Эти данные хранятся на серверах Telegram в незашифрованном виде.
В данной функции реализовано сквозное шифрование, и переписки не хранятся на серверах приложения по идее. Теперь поговорим о некоторых других деталях. Август 2018г. Уязвимость, позволяющая скомпрометировать секретные чаты. Целое расследование, в котором показано, как хакер смог получить доступ к секретным чатам. Студент из США обнаружил, что Telegram на десктопе хранит сообщения в открытом виде. Дуров не увидел в этом проблемы. По его мнению, она заключается в том, что мессенджер сохраняет сообщения и медиафайлы на локальном диске компьютера в открытом виде. Сачи получил доступ к собственным сообщениям и картинкам, изучив базы данных приложения, которые хранятся на диске компьютера. Информация оказалась «трудночитаемой», но не зашифрованной.
Студент отметил, что доступ к ней можно получить даже если на приложение установлен пароль.
В этой сфере, как и в любой другой, есть мошенники, которые пытаются нажиться на пользователях", - пояснил он в беседе с "Газета. Кстати, как рассказывают "Известия" , преступники вымогают у людей деньги, угрожая взломать аккаунт или рассказать о действиях жертв в Сети списку их контактов.
По данным экспертов по безопасности, одним из таких ботов стал MailSearchBot компании LeakCheck, изначально создававшийся для проверки украденных паролей.
Скройте свой номер телефона от посторонних 2. Запретите добавлять себя в группы всем подряд Что делать, если вас уже спамят? Какого-то единственного механизма решения проблемы нет. Включение описанных в предыдущем разделе опций может не помочь, так как спамеры могут находиться у вас в списке контактов. Вы вроде бы запрещаете добавление в группу всем кроме контактов, а добавление идет и идет. Не лишним будет проштудировать список контактов и удалить всех, кто кажется вам подозрительным или незнакомым. Понравилась статья?
Telegram нарушает законодательство России. Роскомнадзор завел новое дело в отношении мессенджера
Telegram позиционирует себя как безопасный мессенджер со сквозным шифрованием, самоудаляющимися сообщениями и секретными чатами. WhatsApp, Telegram и Signal больше не безопасны. Насколько правдива информация и есть ли риск при использовании Telegram?