Jhorj Privacy специально для CyberWeekend (CyberYozh)
История, репутация и техническая сторона вопроса.
С чего все началось? В 2013 году к Дурову пришли с обыском, а когда он захотел безопасно написать своему брату, он якобы не знал о безопасном способе сделать это, о мессенджере, который бы не читали третьи лица. В этом же году началась разработка Telegram и его собственного протокола MTProto.
В 2017 мессенджер сменил протокол шифрования с MTProto 1.0 на 2.0, в виду того, что первая версия была частично взломана.
В 2018 году начался активный грязный пиар Telegram со стороны его владельца. Сначала Роскомнадзор выслал только анкету для регистрации организации. Дуров же рассказал в своем блоге, что Роскомнадзор требовал выдать ключи дешифровки сообщений (без толковых доказательств, например, публикация письма от Роскомнадзора), хотя о такой просьбе не было и речи. Естественно, этот вброс от Дурова распространили СМИ, даже не перепроверив информацию. Отсюда и пошел миф о конфиденциальности Telegram.
Кстати, ещё во времена «ВКонтакте» он заявлял, что не хранит логи на серверах, но после продажи социальной сети оказалось, что на серверах хранилась вся «не хранящаяся» информация.
Только в 2019 году появилась возможность скрывать номер телефона; до этого номер был доступен абсолютно всем, и почти все аккаунты, созданные до 2019 года, уже скомпрометированны и не являются анонимными...
Позже Telegram официально согласился выдавать личные данные пользователей, а именно:
- IP-адреса,
- номер телефона.
Кроме этого, Telegram имеет возможность регистрировать и другую информацию; перечисленные выше идентификаторы — это лишь то, что он выдает в официальном порядке, не учитывая закон «Gag Order» (закон о неразглашении).
Вот доказательство: https://telegram.org/privacy#8-3-law-enforcement-authorities
При этом не учитывается закон Gag order, то есть секретная передача данных спецслужбам. А в странах, где Telegram зарегистрирован как компания, данный закон действует).
Подробнее: https://kod.ru/rieklamnaia-platforma-telegram-poluchila"
Вопросы к мессенджеру.
Телеграм имеет закрытый исходный код серверной части — следовательно, сервера Telegram являются не доверенной средой, на которой могут находиться какие угодно бэкдоры и уязвимости, несмотря на заявления разработчиков (проверить их заявления фактически невозможно). Также из этого вытекает невозможность проверить такие вещи, как:
- Вся ли информация на серверах зашифрована?
- Telegram удаляет с серверов все, что удалил пользователь?
- Telegram не хранит переписку на серверах?
- Сервер Telegram не может произвести MITM (человек по середине) атаку?
- Протокол шифрования MTProto 2.0 никогда не подвергался внешнему аудиту безопасности. А конкурсы, которые проводит Telegram по взлому данного протокола, не являются фактическим доказательством безопасности MTProto 2.0 (к тому же сумма выигрыша не так уж и существенная, чтобы привлечь серьёзные агентства).
- Регистрация по номеру телефона — это недопустимо в ориентированном на информационную безопасность мессенджере.
- Актуальный исходный код клиента выкладывают с запозданием. В Google Play и App Store код вообще может отличаться.
- Весь трафик идет только через сервера Telegram. Даже в секретных чатах. Это косвенно подтверждает их уязвимость к MITM.
- Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основаны в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию.
🔓 Сервер Telegram может произвести MITM-атаку на протокол Диффи-Хеллмана, который используется для сквозного шифрования.
В виду того, что весь трафик идёт только через сервер, и если сервер теоретически произвёл MITM-атаку на указанный протокол (подменив числа генератора псевдослучайных чисел), то секретный чат, хоть и выборочно, но может быть скомпрометирован (проще говоря, даже имея сквозное шифрование, вся информация в секретных чатах читается).
Стандартные чаты полностью доступны для сервера.
📝Автор статьи: Jhorj Privacy - https://t.me/+6YlYqZz7gMYyOTY6
Обратите внимание на закреплённый пост на канале 😉
