Jhorj Privacy специально для CyberWeekend
Содержание статьи:
1. Безопасность стандартных чатов в телеграме
2. Безопасность секретных чатов
3. Анонимность пользователей, с точки зрения спецслужб
4. Анонимность пользователей, с точки зрения киберрасследователя
5. Персонализированная реклама в телеграме
6. Репуация проекта и странные несостыковки в его истории.
7. Итоги
Безопасность стандартных чатов в телеграме
Как они работают? Пользователь отправляет сообщение, это сообщение попадает на сервер, а сервер перенаправляет это сообщение получателю.
Сообщение между сервером и отправителем/получателем - зашифровано, но вот сервер имеет ничем не защищенную переписку, сквозное шифрование в старндартных чатах отсутствует.
Что может сделать сервер с вашей перепиской? Все что угодно, он может ее сохранять и хранить годами, даже после ее удаления. Сервер может передать вашу переписку 3 лицам, будь то правоохранительные органы или коррумпированные сотрудники телеграма, так же сервер может быть взломан и ваша переписка может попасть в руки вообще не понятно кому.
Как проверить, что сервер этого не делает? Без доступа к серверу - никак. Серверная часть телеграма имеет, внимание, ЗАКРЫТЫЙ исходный код, соответственно понять что там и как - почти нереально.
Рядовой пользователь телеграма не узнает, куда, кому и зачем, передаютя данные его аккаунта/переписки, и что вообще происходит на сервере.
Безопасность секретных чатов в телеграме.
Многие "Разбирающися в теме специалисты" утверждают, что секретные чаты в телеграме имеют сквозное шифрование и их практически невозможно прочитать третьим лицам.
Почему секретные чаты не безопасны? Они имеют неполноценное, небезопасное сквозное шифрование.
Что именно не так? Для начала переписки со сквозным шифрованием, должно сгенерироваться случайное число, так вот в нормальном сковзном шифровании, это число генерируется непосредственно на самих устройствах пользователей, но в телеграме это число генерируется, внимание, на СЕРВЕРЕ.
Чем это опасно? Сервер сможет полностью читать всю переписку в секретном чате. А сервер, как юыло сказано ранее, имеет закрытый исходный код, соответственно проверить делает он это или нет - почти нереально.
Довольно резкое заявление, поэтому вот ссылки - https://ixbt-com.turbopages.org/ixbt.com/s/live/offtopic/analiz-formalnoy-vozmozhnosti-polucheniya-dostupa-k-soderzhimomu-sekretnyh-chatov-telegram.html
https://www.atraining.ru/telegram-mtproto-2-0-security-questions/
Кроме этого в чатах в телеграме используется ненадежный протокол шифрования MTProto 2.0, который НИКОГДА не подвергался внешнему аудиту безопасности. А конкурсы, которые проводит Телеграм по взлому данного протокола - не являются фактическим доказательством безопасности MTProto 2.0 (К тому же сумма выйгрыша не такая уж и существенная, что бы привлечь серьезные агенства).
Анонимность пользователей с точки зрения сервера.
Для начала поймем, кто вообще имеет потениальный доступ к серверам телеграма либо телеграм предоставляет им данные, возможно в неоффициальном порядке:
1. Сотрудники телеграма
2. Как минимум спецслужбы союза 14 глаз, тоесть: США, Великобритания, Австралия, Канада, Новая Зеландия, Дания, Франция, Нидерланды, Норвегия, Германия, Бельгия, Италия, Швеция, Испания.
Но как же политика прозрачности? Давайте обратим внимание на юрисдикцию телеграма, как компании - это США и Великобритания, а в этих странах действует такой закон как GAG ORDER, который предполагает полностью скрытую передачу данных спецслужбам страны.
Хорошо, но телеграм ведь сам заявлял, что будет передавать только данные террористов! Вы правда думаете, что компания, с много миллионной аудиторией, к которой ТОЧНО были запросы на выдачу данных от стран юрисдикций, все еще отлично работает, при том, что не соблюдает законы стран юрисдикций? Очевидно, что компания, которая так себя отлично чувствует и развивается, соблюдает законы стран своих юрисдикций.
Хорошо, какие данные может собирать телеграм?
1. Номер телефона
2. ip адрес
3. Отпечатки вашего устройства, тоесть модель вашего устройства, его технические характеристики, среди технических характеристик содержится укальные идентификаторы, которые сразу выведут на определенное устройство.
Телеграм так же имеет историю данных идентификаторов, более того, имеется возможность выгрузить эти данные самостоятельно в любой момент.
Так что смена устройства, идентификаторов или номера - врятли помогут для сохранения анонимности на одном и том же аккаунте.
Анонимность пользователей с точки зрения кибер расслелователя, OSINT специалиста.
Начнем с того, что каждый аккаунт имеет уникальный, несменяемый идентификатор, смена юзернейма его не меняет.
Существует несколько основных векторов деанонимизации, инструментов предоставяющих определенный функционал:
1. Проверка аккаунта по базам на утечки информации.
2. Проверка упоминаний аккаунта с помощью специализированных поисковиков по телеграму. При обнаружении таковых, выявляется контекст. Такие упоминания могут быть как на каналах, так и в публичных чатах.
3. Социальная инженерия при непосдедственном контакте с пользователем либо другими информаторами.
4. Боты ловушки (Ханипоты), бот с маскировкой под какой либо функционал, просящий номер телефона аккаунта.
5. Ханипоты, логеры в ссылках, файлах, телеграф статье (Существуют и другие ресурсы, в которых легко можно поместить логер). Возможно применение специализированного вредоносного ПО.
Существуют и другие методы деанонимизации.
Нельзя сказать на 100% заранее, будет ли расследование успешным, но по статистике компании "Интернет-Розыск" - 98% расследований по телеграм аккаунту заканчиваются успехом.
Возможности киберрасследователей намного меньше чем у спецслужб, но их всеравно не мало, а телеграм, как будто не обращает на это внимание и не затрудняет работу кибер расследователям.
5. Персонализированная реклама в телеграме.
Недавно в телеграме появилась реклама, и внимание, она персонализированная, а значит присутствует возможность деанонимизации. Как именно это работает рассказывать не буду ввиду неэтичности данного вопроса. Просто знайте, что телеграм уже персонализирует выдачу под вас, как и многие другие соц. сети.
6. Репутация проекта
Когда заканчиваются факты, мы можем лишь предполагать, как и что. На эти предположения сильно влияет репутация проекта - это важно.
Начнем еще с того, что было до телеграма - ВКонтакте, Павел Дуров заявлял, что сервера вк не ведут логов некоторых данных пользователей, но после продажи соц сети, оказалось, что эти логи ведутся.
В 2018 году телеграм начал пиар компанию, ага, именно ее.
Дурову пришла анкета регистрации телеграма, в которой требовалось заполнить:
Дуров же сообщил в своей соц сети, что рос комнадзор захотел от него конфиденциальных данных пользователей.
В ответ роскомнадзор даже выпустил пост в котором разъяснил что это за анкета.
Дуров же, в свое оправдание мог выпустить пост с прикрепленным сообщением от роскомнадзора, где было бы указано, что от него просили что то еще. Этого сделано небыло.
Дуров всячески пытался рекламировать свой мессенджер, как безопасный и приватный. Многие люди повелись на это, многие даже не знали о его технических характеристиках. Пиар компания удалась, почти вся страна считала, что телеграм не сотрудничает со спецслужбами, а Дуров красавчик, который борется против системы.
Дуров провел целую пиар компанию, до этого такую не делал пожалуй никто, удивительно как госудаственные органы реагировали на это - подавали в суд с требованием выдать некие ключи шифрования, пытались блокировать, пытались добиться выдачи данных от телеграма.
Не слишком ли классно все сложилось для Дурова? Вы не задумывались, что это была подготовленная с государством пиар акция?
Только в почти 2019 году появилась возможность скрывать номер телефона, до этого номер был доступен обсалютно всем и все аккаунты созданные до 2019 уже скомпрометированы и не являются анонимными.
В мае 2022 года в описании мессенджера обнаружили намёк на платные функции, поскольку вместо фразы «Telegram бесплатный навсегда. Без рекламы. Без абонентской платы» появилась «Telegram предоставляет бесплатное безлимитное облачное хранилище для чатов и медиа». Уже скоро после этого вышла премиум подписка.
Телеграм все дальше отдаляется от изначальных ценностей проекта, он постепенно превращается в какой то инстаграм, почти все обновления направлены именно на это, а не на анонимность, приватность и безопасность пользователей.
Итоги:
- Стандартные чаты в телеграм - небезопасны
2. Секретные чаты в телеграм - небезопасны
3. Телеграм сотрудничает со спецслужбами
4. Специалисты по кибер разведке уже давно умеют работать с телеграмом
5. Телеграм в превращается в инстаграм, отдаляясь от изначальных целей проекта