Фота: Stock Catalog/flickr.com
Шыфраванне
Telegram не выкарыстоўвае скразное шыфраванне, а толькі шыфраванне на транспартным узроўні, што азначае, што стваральнікі Telegram могуць бачыць усе паведамленні карыстальніка ў любы час. Яны таксама захоўваюць усе даныя і паведамленні карыстальнікаў на сваіх серверах.
Да шыфравання паведамленняў існуе два падыходы. Адзін з іх заключаецца ў выкарыстанні шыфравання на ўзроўні перадачы даных (транспартным узроўні), калі паведамленне шыфруецца толькі падчас перадачы паміж рознымі серверамі, але не на саміх серверах. У гэтым выпадку даныя на мэтавым серверы расшыфроўваюцца і захоўваюцца там жа або перасылаюцца на іншы сервер (у гэтым выпадку яны могуць быць зашыфраваныя паўторна, але з іншым ключом).
Другая канцэпцыя заключаецца ў шыфраванні ўсяго шляху перадачы даных. Гэтая канцэпцыя таксама вядомая як скразное шыфраванне. Тут паміж кожным канчатковым пунктам (напрыклад, двума тэрміналамі сувязі) наладжваецца зашыфраваная сесія, што азначае, што сувязь шыфруецца на ўсім шляху ад прылады да прылады. У гэтым выпадку сувязь не можа быць падслуханая правайдарам сеткавай інфраструктуры або пастаўшчыком паслуг сувязі (аднак яна можа быць перахопленая на зыходным або канчатковым пункце, але гэта таксама працуе пры выкарыстанні шыфравання на транспартным узроўні).
Па змоўчанні Telegram — воблачная база даных з копіяй кожнага паведамлення, якое калі-небудзь адпраўляў кожны чалавек, уключаючы фота, відэа і іншыя тыпы файлаў. Гэтая база даных таксама змяшчае ўсе кантакты і сяброўствы ў групах карыстальніка.
Гэта можна лёгка праверыць, выдаліўшы Telegram з мабільнага тэлефона і ўсталяваўшы яго на іншую мабільную прыладу — Telegram сінхранізуе ўсе кантакты і паведамленні на новай прыладзе, не запытваючы ніякага пароля. Паведамленні і кантакты могуць быць выдаленыя з сервера Telegram толькі ў тым выпадку, калі карыстальнік выдаліць свой акаўнт (зрабіць гэта можна тут).
Telegram не выкарыстоўвае скразное шыфраванне па змоўчанні. У сваіх прома-матэрыялах кампанія кажа, што прапануе скразное шыфраванне, але толькі таму, што ў ім ёсць функцыя Secret Chat, якая шыфруе адпраўленыя паведамленні. Аднак гэтую функцыю трэба ўключаць уручную і карыстацца ёй нязручна.
Для шыфравання Telegram выкарыстоўвае ўласны пратакол шыфравання, вядомы як MTProto. Гэты пратакол быў распрацаваны кампаніяй. Ён быў прааналізаваны некаторымі экспертамі па бяспецы, і яны знайшлі там некалькі слабых месцаў.
Якаб Бьерэ Якабсэн з Орхускага ўніверсітэта правёў крыптааналіз пратаколу ў 2015 годзе для сваёй магістарскай дысертацыі і адкрыў дзве невялікія атакі на асноўную схему шыфравання. Ён прыйшоў да высновы, што лепш аддаваць перавагу добра вывучаным і доказна бяспечным схемам шыфравання перад самаробнымі пратаколамі.
Навукоўцы з ETH Zurich і Royal Holloway правялі агляд бяспекі MTProto ў чэрвені 2021 года і знайшлі ў ім чатыры ўразлівасці. Прафесар ETH Zurich Кені Патэрсан адзначыў, што шыфраванне «будзе лепшым, надзейнейшым і больш вартым даверу пры выкарыстанні стандартных падыходаў да шыфравання».
Выяўленыя ўразлівасці былі не вельмі сур'ёзнымі, а Telegram хутка адрэагаваў і амаль адразу ж іх выправіў. Але аналіз паказаў важнасць правіла нумар адзін у крыптаграфіі: ніколі не стварайце уласную крыптаграфію. Гэтае правіла значыць, што не варта ствараць уласныя крыптаалгарытмы і схемы, бо, хутчэй за ўсё, вы дапусціце сур'ёзную памылку ў бяспецы, калі вы не з'яўляецеся экспертам у галіне бяспекі або крыптаграфіі і ваша схема не была прааналізаваная некалькімі іншымі экспертамі па бяспецы.
Даныя геалакацыі
Telegram мае доступ да геалакацыйных даных сваіх карыстальнікаў, таму ён можа адсочваць іх дакладнае месцазнаходжанне.
У Telegram ёсць функцыя (якую карыстальнікі павінны актываваць уручную), якая дазваляе карыстальнікам знаходзіць людзей і групавыя чаты побач з іх месцазнаходжаннем. У мінулым Telegram паказваў карыстальнікам адносную адлегласць паміж імі і іншымі карыстальнікамі ў метрах. У сакавіку 2021 года даследчык бяспекі Джэфры Коапман выявіў, што гэтай функцыяй можна злоўжываць для вызначэння месцазнаходжання чалавека.
Ён распрацаваў доказ канцэпцыі і праграмнае забеспячэнне, якое можна выкарыстоўваць для аўтаматычнага збору месцазнаходжання карыстальнікаў Telegram. Ён таксама паведаміў пра гэта распрацоўнікам Telegram, і толькі ў канцы лютага 2022 года (прыкладна праз тыдзень пасля нападу Расіі на Украіну) Telegram знізіў дакладнасць функцыі «Людзі побач».
Важна таксама адзначыць, што гэтая ўразлівасць была выпраўлена пасля таго, як 3 лютага 2022 года OS2INT (арганізацыя, якая навучае і кансультуе ў галіне разведкі з адкрытым зыходным кодам) апублікавала падрабязны артыкул пра тое, як адсочваць перамяшчэнне расійскіх узброеных сіл з дапамогай гэтай уразлівасці. У сваім артыкуле яны паказалі, як атрымаць падрабязную інфармацыю аб рухах расійскіх узброеных сіл паблізу вайсковай базы ў пасёлку Салоці ў рэжыме рэальнага часу.
Ужыванне OSINT для геаманіторынгу расійскай ваеннай актыўнасці. На выяве паказанае адсочванне карыстальніка Telegram ад імавернага месца стаянкі транспартных сродкаў да галоўных варот ваеннага палігона ў Салоці на транспартным сродку (у адпаведнасці з хуткасцю перамяшчэння і месцазнаходжаннем карыстальніка). Фота: os2int.com
Нягледзячы на тое, што цяпер Telegram паказвае зніжаную дакладнасць месцазнаходжання карыстальнікаў, цалкам імаверна, што стваральнікі Telegram маюць доступ да высокадакладных геалакацыйных даных сваіх карыстальнікаў (для тых, хто даў дазвол на вызначэнне месцазнаходжання для праграмы Telegram).
Палітыка прыватнасці
Палітыка прыватнасці Telegram ўключае ў сябе мноства адмоваў ад адказнасці, што дазваляе ім на законных падставах збіраць мноства канфідэнцыйных даных. Напрыклад, тэлеграм можа запісваць шэраг метаданых і захоўваць іх на працягу года. Яны заяўляюць: «мы можам збіраць такія метаданыя, як ваш IP-адрас, прылады і праграмы Telegram, якія вы выкарыстоўвалі, гісторыю змяненняў імёнаў карыстальніка і г.д.» (што канкрэтна маецца на ўвазе пад «і г.д.» — не тлумачыцца — заўв. НН).
Яны таксама пішуць, што могуць чытаць і аналізаваць паведамленні карыстальнікаў ва ўсіх чатах, акрамя сакрэтных, каб расследаваць выпадкі рассылкі спаму і іншыя формы злоўжыванняў.
Telegram і спецслужбы
Расія і некаторыя іншыя краіны (найбольш вядомы выпадак з Іранам) у мінулым некалькі разоў спрабавалі заблакаваць Telegram. Калі ў Ірана атрымалася так сабе, то Расія дзейнічала больш актыўна.
Пасля таго як Telegram адмовіўся даць расійскім уладам доступ да паведамленняў карыстальнікаў, маскоўскі суд у 2018 годзе забараніў яго ў Расіі. Telegram спрабаваў абмінуць цэнзуру і гуляў у кошкі-мышкі з Раскамнаглядам, змяняючы IP-адрасы, якія праграма выкарыстоўвае для злучэння.
Але Раскамнагляд наважыўся заблакаваць 19 мільёнаў IP-адрасоў (уключаючы Amazon Web Services і Google Cloud, якія выкарыстоўваў Telegram), каб эфектыўна заблакаваць Telegram у Расіі. Паколькі расійскаму бізнэсу такім чынам нанеслі велізарную спадарожную шкоду, Раскамнагляд крыху адступіў. Але гэта паказала, што расійскія ўлады гатовыя пайсці на многае, каб атрымаць доступ да даных карыстальнікаў Telegram. Пасля гэтага расійскія ўлады паспрабавалі аказаць ціск на буйных воблачных правайдараў, якія размяшчаюць сэрвісы Telegram, каб тыя заблакавалі Telegram, а таксама на мабільныя кампаніі, каб тыя не прапаноўвалі праграму Telegram ў сваіх крамах праграм.
Гэта сведчыць пра тое, што Расія ў мінулым вельмі актыўна старалася атрымаць доступ да звестак Telegram. Але Расія вядомая магутнымі кампаніямі дэзынфармацыі і аперацыямі пад ілжывым сцягам. І гэта ставіць лагічнае пытанне: ці не з'яўляецца гэтая гульня ў кошкі-мышкі чарговай аперацыяй пад ілжывым сцягам з мэтай стварыць у карыстальнікаў ілжывае ўражанне, што выкарыстанне Telegram бяспечнае і надзейнае?
Telegram вельмі шырока распаўсюджаны ў постсавецкіх краінах, і, зыходзячы з маіх ведаў і досведу, некаторыя з постсавецкіх краінаў перыядычна блакуюць розныя месенджары, такія як WhatsApp або Signal, у той час як Telegram забараняюць вельмі рэдка. Гэта можа быць звязана з эфектыўнымі контрмерамі Telegram або нейкімі іншымі прычынамі.
Важна адзначыць, што тагачасны дарадца Уладзіміра Пуціна ў пытаннях інтэрнэту Герман Кліменка ў 2017 годзе выразна заявіў, што заснавальнік Telegram «рана ці позна будзе вымушаны супрацоўнічаць і легалізавацца ў Расіі».
У 2017 годзе таксама ўзніклі спрэчкі пра тое, ці сапраўды Telegram працуе за межамі Расіі. Хоць заснавальнік Telegram Павел Дураў адмаўляў, што ў Telegram ёсць супрацоўнікі ў Расіі, шматлікія крыніцы сцвярджалі, што супрацоўнікі Telegram у той час усё яшчэ працавалі ў Санкт-Пецярбургу ў тым жа будынку, што і сацыяльная сетка VK, якая знаходзіцца пад уплывам Крамля.
Пазней штаб-кватэра Telegram была перанесеная за межы Расіі, а ў 2013 годзе была зарэгістраваная сетка падстаўных кампаніяў па ўсім свеце, каб пазбегнуць падаткаў, заключыць кантракты з мясцовымі дата-цэнтрамі і схаваць сапраўдную юрысдыкцыю праграмы.
Пазней яны пераехалі ў Берлін, але з 2017 года працуюць з Дубая. Важна адзначыць, што Аб'яднаныя Арабскія Эміраты — глыбока рэпрэсіўная дзяржава, якая рэгулярна саджае ў турму палітычных дысідэнтаў і журналістаў за крытыку кіруючай сям'і, і таму не можа разглядацца як краіна, якая падтрымлівае свабоду слова.
У сярэдзіне сакавіка 2022 года Алег Матвейчаў (яго таксама называюць «паліттэхнолагам Крамля»), дэпутат Дзяржаўнай Думы РФ і намеснік старшыні Камітэта па інфармацыйнай палітыцы, інфармацыйных тэхналогіях і сувязі, заявіў, што «пакуль месенджар палітычна нейтральны, яго чапаць не будуць, і не трэба ставіцца да Telegram прадузята».
У той час як іншыя абароненыя месенджары рэгулярна блакуюцца ў Расіі, стаўленне Расіі да Telegram цалкам заканамерна выклікае некаторыя пытанні.
Вынік
Telegram мае шэраг канструктыўных асаблівасцяў, якія ўплываюць на агульную бяспеку і канфідэнцыяльнасць. Ён не рэкамендуецца для карыстальнікаў, якія маюць патрэбу ў бяспечных камунікацыях, і людзей, якія хочуць захаваць сваю прыватнасць.
Для такіх карыстальнікаў існуюць лепшыя і бясплатныя альтэрнатывы.
Няма неабходнасці выкарыстоўваць Telegram, калі ёсць больш бяспечныя альтэрнатывы з аналагічнымі магчымасцямі.
А што гэта за альтэрнатывы? Мацей Ковачыч прапануе Signal
Існуюць лепшыя і бясплатныя альтэрнатывы Telegram. Адна з іх — праграма Signal. Яна працуе на шматлікіх платформах, мае адкрыты зыходны код і бясплатная. Мадэль бяспекі Signal вельмі добрая і была правераная некалькімі вядомымі экспертамі па бяспецы, падтрымлівае скразное шыфраванне па змоўчанні, падтрымлівае групавыя чаты са скразным шыфраваннем, уключаючы групавыя відыачаты, а таксама абмен файламі, фота і відэа.
Signal збірае няшмат даных карыстальніка (толькі дату стварэння ўліковага запісу і час апошняга далучэння карыстальніка да сеткі Signal) і вядомы сваім падыходам, арыентаваным на ахову прыватнасці. Выкарыстанне Signal таксама рэкамендаванае некалькімі экспертамі па бяспецы і нават уладамі ЗША.
Існуюць і іншыя бясплатныя альтэрнатывы, якія падтрымліваюць шыфраванне E2E па змаўчанні, і некаторыя з іх таксама выкарыстоўваюць пратакол Signal з адкрытым зыходным кодам.
Некаторыя з праграм, напрыклад WhatsApp і Google Message, прапануюць скразное шыфраванне па змоўчанні, у той час як іншыя, напрыклад, Facebook Messenger і Skype, прапануюць гэты пратакол толькі апцыянальна (калі карыстальнік ўключае так званыя сакрэтныя або прыватныя размовы). Viber таксама прапануе скразное шыфраванне, але выкарыстоўвае ўласны пратакол шыфравання, які, па іх словах, выкарыстоўвае тыя ж канцэпцыі, што і пратакол Signal.
Праблема з гэтымі праграмамі заключаецца ў тым, што некаторыя з іх прапануюць скразное шыфраванне толькі апцыянальна, і ў некаторых выпадках групавыя камунікацыі не шыфруюцца. Signal выкарыстоўвае скразное шыфраванне для групавых паведамленняў па змоўчанні.
Іншая праблема ў тым, што многія месенджары збіраюць асабістыя даныя карыстальнікаў і спрабуюць манетызаваць праграмы з дапамогай рэкламы. Некаторыя з гэтых месенджараў таксама належаць буйным тэхналагічным кампаніям, бізнэс-мадэль якіх пабудаваная на зборы персанальных даных (напрыклад, WhatsApp належыць Meta/Facebook).
Гэта таксама не адносіцца да Signal, якая збірае мінімальную колькасць даных і не выкарыстоўвае праграму для рэкламы. Напрыклад, праграмы для абмену паведамленнямі павінны мець магчымасць вызначыць, якія з кантактаў прылады выкарыстоўваюць тую ж праграму для абмену паведамленнямі, каб карыстальнікі маглі мець зносіны са сваімі кантактамі праз гэтую праграму.
У той час як большасць месенджараў збірае і аналізуе кантакты са спісу кантактаў карыстальніка, Signal распрацаваў так званае «прыватнае выяўленне кантактаў», якое дазваляе праграме Signal вызначаць, якія кантакты на прыладзе выкарыстоўваюць Signal, але без раскрыцця кантактаў з адраснай кнігі службе Signal.
Гэта толькі адзін з прыкладаў тэхналогіяў захавання прыватнасці, які распрацавалі і выкарыстоўваюць стваральнікі Signal, што сведчыць пра тое, што яны сур'ёзна ставяцца да прыватнасці сваіх карыстальнікаў.
Месенджары сталі крытычна важнымі ў паўсядзённым і прафесійным жыцці. Рашэнне пра тое, які з іх выкарыстоўваць, павінна быць заснавана на ўсвядомленым выбары. Асабліва калі вы хочаце захаваць сваю прыватнасць і бяспеку камунікацыяў.
Чытайце таксама наш агляд больш чым дзясятка месенджараў:
Месенджары: якія з іх сапраўды бяспечныя і чым Viber лепшы за Telegram
Мацей Ковачыч. Фота: delo.si
Доктар Мацей Ковачыч (Matej Kovačič) — славенскі даследчык. У межах сваёй працы займаецца пытаннямі канфідэнцыяльнасці і сачэння, вывучэння кіберзлачыннасці, інфармацыйнай бяспекі і фарэнзікі, а таксама адкрытых даных. Ён з'яўляецца аўтарам дзвюх кніг па канфідэнцыяльнасці: «Прыватнасць у Інтэрнэце» (2003) і «Кантроль і канфідэнцыяльнасць у інфармацыйным грамадстве» (2006), а таксама кнігі «Настольны дапаможнік па Linux» (2010). Ён таксама выпусціў шэраг артыкулаў у галіне канфідэнцыяльнасці, сачэння, кіберзлачыннасці і адкрытага коду.
Падчас працы ў камісіі па прадухіленні карупцыі ён удзельнічаў у стварэнні дадатку Supervisor. Зараз працуе ў Інстытуце імя Ёжафа Стэфана.
«Наша Нiва» — крыніца якаснай інфармацыі і бастыён беларушчыны
ПАДТРЫМАЦЬ «НН»Чытайце яшчэ:
Тлумачым, якім чынам сілавікі знаходзяць карыстальнікаў Telegram і як гэтага пазбегнуць
Вось як тыраніі выкарыстоўваюць Telegram
Расказваем, як даведацца, дзе і каму вы ставілі лайкі ў сацсетках, і перастрахавацца
колькі наіўных шчырых людзей трапіла ў чыюсьці пастку (