Telegram теперь не анонимный
Мессенджер Павла Дурова приобрел славу «безопасного и защищенного» после того, как его владелец отказался отдавать ключи шифрования ФСБ . А благодаря разноплановому функционалу, Телеграм стал платформой для нового «даркнета», где анонимы договариваются о теневых сделках и продают незаконные услуги. Насколько люди, доверяющие мессенджеру, в действительности защищены?
Мнимая безопасность
Даже если человек не разбирается в технической стороне вопроса, ему достаточно посмотреть на набор фактов.
Существует отдельная услуга, которая продается открыто — деанонимизация аккаунта. В самом Телеграме есть сервисы и боты, показывающие данные по аккаунту в автоматическом режиме. В большинстве случаев можно за пару минут найти привязанный телефон, даже если он скрыт в настройках.
Анонимность и безопасность — это большой комплекс мер, который не сводится к выбору мессенджера. Давайте обозначим несколько ключевых моментов.
Как усилить защищённость
1. Секретный чат
Там же можно установить таймер автоматического удаления, чтоб переписка не попала в нежелательные руки, даже если телефон изымут и заставят разблокировать.
2. Привязанный телефон
Телеграм требует действующий номер телефона для регистрации, это его самое уязвимое место. Большинство известных взломов, о которых писали в СМИ, происходили как раз через сотовых операторов. А если телефон оформлен на ваш паспорт, это полностью нивелирует любые другие действия по созданию анонимности.
Можно использовать сервисы с виртуальными номерами для смс-активаций и телефонами других стран. Но тогда возникнут сложности при восстановлении пароля и подтверждении принадлежности. Вдобавок, тот же номер может повторно попасться кому-то, кто без проблем зайдет в ваш аккаунт.
Так что в этом вопросе придется маневрировать между безопасностью и надежностью.
3. IP, MAC, IMEI, цифровой след и пр.
Наконец, важно понимать кто и с какой целью будет вас взламывать. Если вы стали объектом интереса спецслужб, вряд ли какие-то методы по анонимизации в принципе смогут помочь. Лиц, причастных к террористической деятельности, Телеграм вообще выдает самостоятельно по запросу. Как в реальности устроены взаимоотношения руководства мессенджера с властями разных стран не знает никто. Где какой объем данных накапливается — остается только гадать.
В других случаях все зависит от того, насколько вы кому-то нужны. Вы можете в только что купленном устройстве зарегистрировать аккаунт на симку, оформленную на чужое имя. Выходить в сеть исключительно с помощью собственного VPN из разных мест, отключить все возможное отслеживание и другие устройства поблизости, не запускать никаких сторонних приложений. Словом, закрыть все возможные технические дыры.
Но даже в этом случае останутся оперативные методы и социальная инженерия, потому что работать с вами все равно будут люди, а не устройства. Среднему обывателю достаточно просто практиковать сетевую гигиену и смирится с мыслью, что полной анонимности и безопасности не существует в природе.
Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках.
Как работает сквозное шифрование в Telegram
В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption).
В общих чертах сквозное шифрование работает так.
У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.
Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.
Метод действительно мощный. Но… всё не так однозначно.
Увы, Telegram уже взламывали, причём демонстративно
Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт.
Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало.
ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома.
При этом реальный владелец аккаунта даже не видел, что его взломали.
А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись.
В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем.
Пароль любой длины в Telegram тоже можно обойти
Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам.
Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram.
Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам.
Серверы Telegram уже взламывали, причём публично
Передаваемые через Telegram файлы уже перехватывали
В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно.
Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать.
Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа.
Связи пользователей Telegram друг с другом тоже раскрывали
Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.
Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных.
У Telegram закрытый код, поэтому объективно проверить его безопасность не получается
Разработчики Telegram заявляют:
Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.
Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.
Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др.
Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть
Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов.
Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации.
Многие эксперты считают защиту в Telegram просто маркетингом
В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит не проводили ни разу.
Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.
Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их.
Что делать обычному пользователю Telegram?
Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас.
Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram.
(54 голосов, общий рейтинг: 4.74 из 5)
Ксения Шестакова
Живу в будущем. Разбираю сложные технологии на простые составляющие.
В WhatsApp можно будет скрыть время посещения от выбранных контактов
WhatsApp перестанет работать с 1 ноября на старых iPhone и Android-смартфонах
Преподавателей и чиновников обяжут общаться через российские мессенджеры
Telegram стал самым популярным приложением в России. Его скачивали чаще других в 2021 году
Полиция Австралии и ФБР как-то в баре придумали мессенджер. Его полюбили кланы мафии, 800 уже пожалели
Хочу такой! Обзор деревянного ящика Lenco TCD-2550 с Bluetooth, в котором есть кассетник, CD и винил-прослушка
🙈 Комментарии 27
Я кстати, последнее время заметил проблему в нем. Хочу зайти через рабочий компьютер в telegram web(пусть даже это будет зеркало) и когда пароль должен придти в его в итоге нет. Причём аналогичную схему делал и через телефон (заходил в web версию через браузер) и все нормально приходило.
«Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др.»
Зачем ссылки на Google Play на сайте iphones? Для iOS только Signal?
Что про wire скажете?
думал в конце будет ссылка на тамтам
Привет от Threema ;)
Это скорей для политиков, оппозиционеров, бизнесменов встреча в чистом поле (хотя и там могут прослушать, перехватить и тд). Для большинства людей прятать то особо и нечего, максимум политические репосты. Хотя, статья очень интересная))))
Всегда говорил и говорю. Все там сливается и на кого он работает давно известно. А так да сделали хороший пиар и люди побежали устанавливать телегу. Другое дело да он удобен, многофункционален и т.п..
@Trooper , бот всегда говорил и будет говорить, а другие боты его лайкать. только толку от твоей жизни, бот, ноль
Неплохая попытка, маил ру, но нет.
гдето читал правприменительную практику по таким делам (не тут ли?)- там нет переписок, если только чел сам не дал свой телефон прочитать.
так что норм безопасность, не сцыте
@joker2k2 , наркотой и по смс торгуют, там тоже никто не прочитает?)))
@triller , чет не слышал про такое ) это менты наверное )) сами читают, сами торгуют )
@joker2k2 , да тут же статья была, что многие совсем о безопасности не заботятся))
Телега ваша у Билайна не работает уже несколько дней. Усе
@iphoneriddick , в смысле? У меня на билайне пашет
@ram_ler , задайте вопрос, как могут существовать свободно распространяемые протоколы шифрования? :) Поищите историю PGP, например, и не путайте свои домыслы с реальностью. А, еще про Кузнечик почитайте, тоже в тему.
Сложно отделить истину, так перемешанную с мифами.
Собственно, статья несёт в себе верную мысль, но экспертного мнения катастрофически не хватает (за Диффи-Хеллмана особенно больно было), очень много поверхностных утверждений.
Создатели мессенджера Telegram всегда убеждали всех в том, что данный сервис для общения полностью безопасен и анонимен, однако это, к сожалению, далеко не так. В настоящее время на территории Гонконга проходят массовые протесты, в которых принимает участие едва ли не половина всего города. Возникли такие из-за нового закона, который приведет к тому, что правительство страны начнет выдавать Китаю преступников. Протестующие активно пользуются таким сервисом, как Telegram, чтобы поддерживать связь друг с другом, фактически действуя анонимно, однако сотрудники полиции начали массово выявлять тех, кто причастен к массовым беспорядкам.
Создать учетную запись в Telegram можно только одним единственным способом – с использованием номера телефона. Затем, чтобы его скрыть от посторонних, нужно придумать ник, и именно его можно раздавать всем посторонним. Такие не смогут понять, кому на самом деле принадлежит аккаунт, и даже запросы полиции в администрацию сервиса не приведут ни к какому результату. Тем не менее, хитрые правоохранительные органы нашли выход из этой ситуации, который уже позволил им задержать тысячи человек за последние несколько дней. Они используют одну особенность мессенджера, чтобы легко раскрыть личность каждого человека.
Так, в частности, сотрудники полиции под видом митингующую встречают в различные групповые чаты, в некоторых из которых сотни тысяч человек. Затем, после этого, они добавляют в список контактов все телефонные номера подряд. Список контактов затем синхронизируют с мессенджером, а он уже после этого показывает принадлежать номера телефона к конкретному аккаунту, думая, что владелец контакта и сам об этом знает. Вслед за тем, как сотрудники полиции получают доказательства принадлежности какого-либо человека к массовым митингам, они запрашивают у оператора связи все необходимые данные для идентификации.
Полученные сведения передаются в специальный отдел, который оперативно задерживает митингующего и привлекает его к ответственности. Подобным крайне простым способом можно легко раскрыть личность каждого человека. Чтобы этого не происходило, перед использование Telegram лучше всего позаботиться о том, чтобы получить где-либо анонимную SIM-карту, что митингующие теперь и советуют делать своим «собратьям». По их словам, это единственный способ защитить себя от действий правоохранительных органов, которые массово «пробивают» все телефонные номера Гонконга на причастность к таким правонарушениям.
47
- Cообщений: 877
- Поинты: 81
- Предупреждений: 0
- Онлайн: 23д 18ч 16м
Привет,дорогой форумчанин сегодня у нас пойдет речь о творении Павла Дурова, так называемый сверхзащищенный мессенджер Телеграм, который в последние дни потерял свою анонимность данных.
Что такое телеграм?
Telegram потерял свою анонимность данных
29 миллионов пользователей были раскрыты
- Российские разработчики создали специального бота: деанонимайзер пользователей телеграм, который может определять ваш IP, фамилии, имена и телефонные номера пользователей мессенджера Telegram, а также узнавать их текущую геопозицию устройства
- Для этого ему достаточно лишь знать ваш юзернейм в телеграм.
- В пример работы технологии: Разработчики привели пример дело об подполковнике полиции в 2018 году в Подмосковье уже через неделю был найден аккаунт телеграм с которого поступали угрозы в адрес подполковника
Наработки данного бота: позволяет нам эффективно устанавливать связь между привязанным номером и конкретным аккаунтом в мессенджере Telegram и получать необходимые данные (номер телефона,геометки,имя фамилия) @Пояснил источник из Спецслужб России
- В совокупности собранных нами данных пользователя Telegram мы можем с большой долей вероятности определить конкретное мобильное устройство, с которого человек пользуется мессенджером, телеграм — говорит генеральный директор разработчика деанонимайзера — компании «Интернет-розыск» @Игорь Бедеров.
- Спецслужбам разработка предоставляется бесплатно
От автора: Я в принципе подозревал,что телеграм не анонимен уж слишком много он прав запрашивает при установки.
Бесплатные просмотры на посты ВКонтакте: Ссылка
Администрация форума не имеет отношения к пользователям форума и к публикуемой ими информации. Пользовательское соглашение
- Cообщений: 567
- Поинты: 1 500
- Предупреждений: 0
- Онлайн: 19д 22ч 23м
- Cообщений: 6 430
- Поинты: 1
- Предупреждений: 50
- Онлайн: 34д 9ч 53м
ну да всё возможно поживём увидим !
- Cообщений: 1 452
- Поинты: 0
- Предупреждений: 30
- Онлайн: 57д 5ч 28м
Как экономить деньги на продвижении? Покупать из первых рук!
partner.soc-proof — именно то, что тебе нужно. SМM панель, у которой покупают все уже более 6 лет.
Самая низкая стоимость на любые услуги:
- Телеграм Подписчики от 17 Р, Просмотры - бесплатно
- Инстаграм лайки от 3 Р, YouTube лайки от 20 Р
Просмотры, комментарии, подписчики, лайки, репосты для ВК, YouTube, Instagram, Facebook, Telegram, Я.Дзен, ТикТок. Гарантированно лучшие цены от создателя услуг. Качественно - не значит дорого.
Присоединяйся. Будь частью лучшего.
Читайте также: