Почему Telegram не так безопасен, как ты думаешь?

Durov Spam

Новорег
Сообщения
56
Реакции
59
Баллы
34
tvz133v.png
Многие хомячки делают круглые глазки и недоуменно спрашивают: - А почему вы не используете Telegram, он же такой простой и в тоже время безопасный? Ниже я приведу несколько мифов об этом говно-мессенджере и их разоблачения.

Миф: Сотрудники Telegram не могут расшифровать переписку

Реальность:
Ошибаетесь. Сервер имеет возможность расшифровать сообщения это следует из официальной документации. Разработчики говорят, что существует специальный шифрованный чат, который якобы реализует шифрование клиент-клиент, то есть только участники переписки локально на своих компьютерах могут расшифровать сообщения. Однако как он должен работать непонятно, о нём в документации всего один абзац. На фоне подробного описания всех криптографических алгоритмов для отправки «обычных» сообщений это выглядит очень странно. Посмотрите исходники клиента на GitHub, может разберётесь защищён этот чат или нет. Здесь возникает вопрос: если реальное шифрование включается только в специальном чате, то зачем тогда нужно всё остальное? Почему не сделать всю переписку с шифрованием клиент-клиент?

Миф: Все истории переписки клиентов Telegram хранятся в зашифрованном виде и госструктуры не имеет технической возможности для чтения сообщений пользователей программы.

Реальность:
Telegram не является приватным чатом, он лишь имеет функцию приватного чата. Сообщения, отправляемые пользователям вне секретного чата, сохраняются на серверах Telegram таким образом, что позволяют компании просматривать содержимое сообщений. Так происходит всегда, если беседы могут перемещаться между устройствами (например между телефоном и компьютером). Эти чаты не являются приватными. Под невозможностью чтения переписки самими владельцами программы и спецслужбами, имеется ввиду специальный чат с end-to-end шифрованием, когда ключ известен только собеседникам, в таком случае дешифровка совершённой переписки невозможна даже при наличии физического доступа к дискам данных Telegram. Но перехват end-to-end чата технически возможен в режиме реального времени. Ведь при наличии доступа к серверам, интересующих абонентов можно переключить в специальный режим, для подмены отпечатка, в котором ключи шифрования будут генерироваться не у клиента, а на сервере. Таким образом, end-to-end чат, может читаться лишь с того момента, как пользователь был установлен, в качестве объекта оперативной заинтересованности. А выявить, объекта потенциального интереса, можно исходя из общей, незашифрованной переписки.

Миф: Telegram не использует шифрование клиент-клиент потому что для этого необходимо чтобы оба клиента были в сети одновременно.

Реальность:
Это ложь. Здесь всё просто, всё он может только не хочет. При шифровании клиент-клиент, сообщения передаются по проводам. Если передаются значит могут по дороге задержаться на определённом сервере денёк-другой (в СОРМ, например, они останутся на полгода). Тут нет и не может быть никаких ограничений. Уже давно существует способ передачи шифрованных сообщений электронной почты, называется PGP. Письмо зашифрованное в PGP может расшифровать только получатель дома на своём компьютере. Почтовый сервер НЕ может, хотя и хранит это сообщение.

Миф: У Telegram открытый исходный код.

Реальность:
Чушь и ложь. Открыт лишь исходный код клиента, который на полную картину особо не влияет.
Для ясности возьмём официальный FAQ Telegram:

Почему бы не открыть весь код?

Весь исходный код будет со временем выложен в открытый доступ. Мы начали с самой важной части — хорошо документированного API, чтобы разработчики могли строить свои приложения, и open source клиентов, исходный код которых доступен для аудита специалистам по информационной безопасности.


Т.е. открыт только код клиента, что никакой весомой роли не играет. Вся переписка хранится не в клиенте, а на сервере Telegram.

Я могу использовать свой сервер для передачи сообщений?


Наша архитектура пока не поддерживает такую функцию. Telegram — единый облачный сервис, поэтому создание форка может привести к тому, что два пользователя будут находиться на двух разных облаках Телеграма. Пока мы не определились, стоит ли добавлять в Телеграм этакую возможность.

И не определятся. Потому что, если дать возможность использовать свой сервер (как например в жаббер), то товарищ майор не получит доступ к логам и не сможет читать переписку.

Миф: Дуров противостоит спецслужбам.

Начнём с того что в 2005 закончил профессиональную подготовку на Факультете военного обучения СПбГУ по специализации «Пропаганда и психологическая война», по окончании которой получил звание лейтенант запаса (https://ru.wikipedia.org/wiki/Дуров,ПавелВалерьевич). Это, судя по всему, военная кафедра при университете, вроде ничего особо серьёзного — зато как звучит. Теперь реальные дела. В ноябре 2012 Дуров запретил доступ пользователям у которых нет привязки к мобильному телефону. Не всем сразу, а в произвольном порядке в течение года в разное время у разных людей пропадал доступ (Вконтакте закрылся для пользователей без мобильного телефона и ВКонтакте стал агентом ФСБ? (Изменение режима ВКонтакте — свидетельство управления блогосферой?) | Игорь Лобанов) Собственно это и стало причиной появления пода sysad.org. Годом ранее Вконтакте стал требовать номер телефона при регистрации новых пользователей. Ещё задолго до своего ухода Дуров определил реальные телефоны своих пользователей, определить прочие данные дело нехитрое. Думаю в органах очень благодарны Дурову за проделанную «работу». Тут не о противостоянии нужно говорить, скорее спрашивать надо не является ли Дуров штатным сотрудником ФСБ.

Тем более, мессенджер Telegram не вызвал никаких нареканий со стороны ФСБ, об этом пишут Ведомости:

Использование защищенных от прослушивания алгоритмов шифрования в сервисе обмена сообщениями Telegram не противоречит законам России. Это следует из ответа замначальника подразделения ФСБ Сергея Пюкке на запрос «Ведомостей».

"У таких проектов всегда четко выстраиваются взаимоотношения с правоохранительными органами - рано или поздно сервис начинает делиться с ними информацией", - признается основатель мессенджера 4talk Сергей Кравцов.


Миф: Даже критики признали защищённость протокола Telegram.

Реальность:
Опять же чушь. Вызов, разработчикам Telegram, бросил Moxie Marlinspike - хакер-исследователь, придумавший атаку SSL-stripping, разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году. Также стоит почитать обсуждение на Hacker News. Он предложил разработчикам Telegram расшифровать переписку на их же условиях, но на непередаваемо ужасном «защищённом» протоколе (который бы и не секунды продержался в боевых условиях). "Итак, господа разработчики Telegram, у меня тоже есть для вас контест. Ниже я описал непередаваемо ужасный «криптографический» протокол (который и секунды не продержится в боевых условиях), но который становится «невзламываемым» в условиях вашего контеста. А если они не смогут продемонстрировать уязвимость даже в таком насквозь дырявом протоколе, играя по своим же правилам, это докажет, что их правила и конкурс - бред собачий".

Выбор использовать ли Telegram остаётся конечно за вами. Но я бы всё таки рекомендовал вам пользоваться давно проверенными продуктами с открытым исходным кодом, такими как Jabber с PGP и OTR, TOX, Ricochet IM – они конечно не такие удобные как Telegram, но они такие какими должны быть бесплатные проекты сделанные энтузиастами. Кстати, последние два продукта, весьма просты и научиться пользоваться ими сможет любая домохозяйка.

Все материалы использованные в написании статьи взяты на просторах интернета.
 
Я никогда не считал телегу анонимной. А чего стоит тот факт когда телегу в РФ блокировали из-за отказа Павла предоставить ключи шифрования, а потом каким то "чудесным" образом телега вновь стала доступна в России, это уже говорит о многом. Цирк короче
 
Про Павла интресная история. Мне из Законодательного собрания люди говорили, что они с Павлом на короткой ноге.
Была когда-то еще запущена сплетня, вотсап не безопсен совсем, нужен телеграм. Несколько месяцев назад, перед войной, когда полиция крепила знакомого, чтобы дать взятку, они (полиция) дали свой телефон и набрали через вотсап.
Еще заземление apple одной из первых компаний, сотрудничество в области кибер безопасности идёт даже сейчас, между РФ и США. Мне кажется уже прошло (при чем давно), то время, когда можно спокойно пользоваться мессенджерами в РФ зарубежными.​
 
Для простых обывателей без разницы как и что, ибо они никому не нужны)
 
Для простых обывателей без разницы как и что, ибо они никому не нужны)
На этом форуме собрались не только простые обыватели, поэтому данная информация будет полезна
 
Интересно! Но пока мы продаем и покупаем наркотики, а не координируем терракты и не торгуем органами или людьми через телеграм, до нас нет никому дела и никто не будет прослушивать/читать/мониторить сотни тысяч сообщений в час по всему миру)
 
Да телега 100% не анонимна. Сколько барыг накрывали, котоыре в тг торгуют только))
 
Если копнуть глубже желтой прессы, посредством которых все и знаю где кого и за что "накрыли", то можно понять тенденцию, что "накрывают" идиотов, которые работают нарушая все что только можно: арендуют гараж, варятся там, хранят, тут же бухают, тут же девок водят, с телефона личного на сообщения отвечают, тут же вконтакте полез корешу скинул фотку кристалла, тут же скинул номер своей карты постоянному клиенту дли оплаты опта - дураков то хватает, вы изучайте каждый случай в отдельности, там даже расследовать ничего не надо достаточно посмотреть как организован бизнес тех, кого "накрывают через телеграм". Телега там последнюю роль вообще играет)))
 
Если копнуть глубже желтой прессы, посредством которых все и знаю где кого и за что "накрыли", то можно понять тенденцию, что "накрывают" идиотов, которые работают нарушая все что только можно: арендуют гараж, варятся там, хранят, тут же бухают, тут же девок водят, с телефона личного на сообщения отвечают, тут же вконтакте полез корешу скинул фотку кристалла, тут же скинул номер своей карты постоянному клиенту дли оплаты опта - дураков то хватает, вы изучайте каждый случай в отдельности, там даже расследовать ничего не надо достаточно посмотреть как организован бизнес тех, кого "накрывают через телеграм". Телега там последнюю роль вообще играет)))
Согласен с вами, для этого и написал приписку "Все материалы использованные в написании статьи взяты на просторах интернета."
Так что данный сбор информации тоже необходимо собственно изучить и делать для себя выводы
 
Как разраб, могу сказать, что часть поста - "вилами по воде". Второе, соглашусь с небезопасностью, объясню почему - внедрить стиллер на комп жертвы не составит труда (тут играет только ваше воображение), далее тырим несколько файлов телеги, заменяем в своем клиенте, перезапускаемся и вуаля - видим чаты, НО если только не стоит пароль на запуск или двухфакторка (но и она при желании обходится). Удивил пункт "почему не открыть весь исходный код" )) клиентская часть вот она, лежит в интернетах, бери и смотри, но с какого хрена ты решил, что тебе серверную часть дадут посмотреть? там хранятся все исполняемые процедуры, и это, разумеется, строго засекречено).. По поводу безопасности - ТС наверное не знает, но проводятся конкурсы для баунтихантеров, и телега не исключение. Призовые фонды в этих случаях составляют приличную сумму зелени - попробуй хакнуть, получилось? Красавчик, на тебе бабло. А вот по поводу сотрудничества со спецслужбами - тут да, я сам не уверен. Зная его историю и причину ухода из вк, а так же переезд в другую локацию (на сколько я знаю, офисов много, и они периодически переезжают), наталкивает на мысль - зачем ему с ними сотрудничать, ведь он бунтарь, миллиардер, целеустремленный дядька, но почему не надавить на него через правительство, чтобы он начал сотрудничать - хз )) ...Ну и по поводу шифрования - (не сквозного) - твои данные, бро, шифруются как минимум протоколом, но так же их можно обернуть стандартными средствами шифрования, аес и прочие, и делается это на компе твоем, после чего отправляется на сервер. ПЕРЕПИСКА НЕ ХРАНИТСЯ НА КОМПЕ! Простой пример - берем чистый комп, ставим телегу и заходим к себе в акк - твои данные загрузились, это говорит о том, что данные хранятся на сервере (кроме черновиков, но и о них я не могу сказать с точностью).
 
телеграмм так же сливает данные когда ему нужно, и когда его просят. просто об этом официально не заявляют
 
Интересная тема, но никогда не думал, что телеграм безопасен)
 
Ломают телеграм, однозначно. Со мной на централе сидел барыга, мусора предоставили целую книгу его переписки абсолютно со всеми пользователями. Но секретные чаты там отсутствовали, как он сказал...
 
А какой мессенджер на данный момент безопасен?
 
Верх Низ