Безопасен ли телеграмм для компьютера
Телеграмм безопасность — очень волнующий раздел всех пользователей приложения. Мы расскажем все в одной статье о Telegram и его безопасности. Читай быстрее!
Одним из самых важных критериев в пользу выбора приложения является безопасность пользователя и сохранение полученных им данных. Практически все программы и приложения, несмотря на высокую степень защиты, поддавались взлому – информация передавалась третьим лицам, а аккаунты использовались в качестве разносчика спама. Разработчики предусмотрели возможность полного контроля над доступом к профилю, поэтому при создании приложения использовался секретный код, вскрыть который не предоставляется возможным. Разработчики доказали: Телеграмм = безопасность.
Безопасен ли Телеграмм именно в РФ?
Это интересно: Telegram использует специальный протокол шифрования MTProto, который разработал Николай Дуров и команда программистов. Является на 2016 год одним из самых защищенных протолоков. Именно поэтому у Дурова возник конфликт с ФСБ в 2017 году у них просто не получалось прослушивать Телеграмм.
Как увеличить безопасность Телеграмма?
Несмотря на сильную безопасность, не стоит пренебрегать мерами предостережений – программа обладает высоким уровнем дополнительной защиты:
Реальные пользователи Telegram оставили весьма положительные отзывы о безопасности мессенджера. Прочитать их можно как и на главной странице Telegram в магазине приложений, так и посмотрев различные обзоры блоггеров.
Предоставление данных третьим лицам
Очень многие крупные компании и приложения признаются, что имеют доступ к аккаунтам пользователей, используют их данные и сохраненные файлы, объясняя это тем, что так легче узнать, чего не хватает программе. Многие пользователи крайне недовольны таким исходом событий. С Телеграммом вам не придется задаваться вопросом, сливает ли он данные ФСБ или третьим лицам – даже разработчики не имеют доступа к чужим данным профиля. В противостоянии с Телеграмм, ФСБ не раз требовали предоставить подобную информацию, однако ни разу требования ФСБ не были выполнены.
Безопасность Телеграмм или миф о прослушке
Еще одной немаловажной проблемой является возможность прослушивания данных ФСБ. Причин для паники нет: благодаря высокому уровню защиты и сильной кодировке данных Telegram, данные невозможно прослушать и передать мошенникам. Прежде чем задаться вопросом, можно ли прослушать данные, или нет, ознакомьтесь со статистикой пользователей: в число юзеров Telegram входят бизнесмены и известные политики, специальные службы и даже секретные группировки. Ни один из них не смог пожаловаться на плохую безопасность Телеграмма. Криптографический договор, установленный создателями приложения, обеспечивает дополнительный уровень защиты. Так что отвечая на вопрос, можно ли прослушать Телеграмм в РФ, ответ довольно однозначен — нет (или пока нет), даже если вы секретный агент ФСБ) Также, если программа регистрирует попытку взлома, она автоматически отправляет пользователю код подтверждения доступа, который, в свою очередь, также исключает возможность совершения взлома.
С другой же стороны, большинству пользователей на самом деле все равно прослушивается Телеграмм спецслужбами ФСБ или нет, ведь скрывать по сути нечего.
Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках.
Как работает сквозное шифрование в Telegram
В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption).
В общих чертах сквозное шифрование работает так.
У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.
Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.
Метод действительно мощный. Но… всё не так однозначно.
Увы, Telegram уже взламывали, причём демонстративно
Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт.
Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало.
ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома.
При этом реальный владелец аккаунта даже не видел, что его взломали.
А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись.
В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем.
Пароль любой длины в Telegram тоже можно обойти
Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам.
Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram.
Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам.
Серверы Telegram уже взламывали, причём публично
Передаваемые через Telegram файлы уже перехватывали
В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно.
Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать.
Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа.
Связи пользователей Telegram друг с другом тоже раскрывали
Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.
Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных.
У Telegram закрытый код, поэтому объективно проверить его безопасность не получается
Разработчики Telegram заявляют:
Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.
Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.
Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др.
Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть
Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов.
Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации.
Многие эксперты считают защиту в Telegram просто маркетингом
В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит не проводили ни разу.
Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.
Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их.
Что делать обычному пользователю Telegram?
Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас.
Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram.
(54 голосов, общий рейтинг: 4.74 из 5)
Ксения Шестакова
Живу в будущем. Разбираю сложные технологии на простые составляющие.
Вы подключите платную подписку Telegram, чтобы не было рекламы?
Павел Дуров анонсировал платную подписку на Telegram. Она будет отключать рекламу в каналах
В Telegram появилась реклама. Первое объявление ведёт на канал Дурова
Власти России обязали все мессенджеры регистрировать пользователей по паспорту
Госдума: блокировать и признавать Telegram СМИ никто не планирует
Telegram добавил вызывающую анимацию к эмодзи баклажана. Пользователи возмущены
🙈 Комментарии 27
Я кстати, последнее время заметил проблему в нем. Хочу зайти через рабочий компьютер в telegram web(пусть даже это будет зеркало) и когда пароль должен придти в его в итоге нет. Причём аналогичную схему делал и через телефон (заходил в web версию через браузер) и все нормально приходило.
«Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др.»
Зачем ссылки на Google Play на сайте iphones? Для iOS только Signal?
Что про wire скажете?
думал в конце будет ссылка на тамтам
Привет от Threema ;)
Это скорей для политиков, оппозиционеров, бизнесменов встреча в чистом поле (хотя и там могут прослушать, перехватить и тд). Для большинства людей прятать то особо и нечего, максимум политические репосты. Хотя, статья очень интересная))))
Всегда говорил и говорю. Все там сливается и на кого он работает давно известно. А так да сделали хороший пиар и люди побежали устанавливать телегу. Другое дело да он удобен, многофункционален и т.п..
@Trooper , бот всегда говорил и будет говорить, а другие боты его лайкать. только толку от твоей жизни, бот, ноль
Неплохая попытка, маил ру, но нет.
гдето читал правприменительную практику по таким делам (не тут ли?)- там нет переписок, если только чел сам не дал свой телефон прочитать.
так что норм безопасность, не сцыте
@joker2k2 , наркотой и по смс торгуют, там тоже никто не прочитает?)))
@triller , чет не слышал про такое ) это менты наверное )) сами читают, сами торгуют )
@joker2k2 , да тут же статья была, что многие совсем о безопасности не заботятся))
Телега ваша у Билайна не работает уже несколько дней. Усе
@iphoneriddick , в смысле? У меня на билайне пашет
@ram_ler , задайте вопрос, как могут существовать свободно распространяемые протоколы шифрования? :) Поищите историю PGP, например, и не путайте свои домыслы с реальностью. А, еще про Кузнечик почитайте, тоже в тему.
Сложно отделить истину, так перемешанную с мифами.
Собственно, статья несёт в себе верную мысль, но экспертного мнения катастрофически не хватает (за Диффи-Хеллмана особенно больно было), очень много поверхностных утверждений.
В этой статье мы рассмотрим Telegram в целом, поговорим об используемом протоколе и проведем сравнение с другими аналогичными продуктами.
Авторы: Hayk Saribekyan ([email protected]), Akaki Margvelashvili ([email protected])
Аннотация
Введение
В этом разделе мы поговорим об истории Telegram и пользовательском интерфейсе. В разделе 2 будет описана архитектура Telegram. В разделе 3 описываются предыдущие проблемы, найденные в Telegram. В разделах 4 и 5 рассматриваются раскрытые уязвимости, связанные с безопасностью в Telegram. В разделе 6 мы рассмотрим текущие проблемы в Telegram и сделаем выводы.
История появления Telegram
Среди других технологических стартапов Telegram занимает особое место, вследствие чего получил повышенное внимание и доверие со стороны пользователей, и мы считаем, что полезно будет затронуть историю появления этого мессенджера.
Благодаря популярности Павла Дурова в России, Telegram быстро завоевал популярность среди русскоязычной аудитории. Кроме того, по факту Telegram предоставляет наиболее удобное средство по сравнению с аналогичными продуктами за счет своей скорости и функциональности.
Telegram – уникальное явление среди технологических стартапов, в том числе благодаря тому, что Павел Дуров является единственным спонсором этого проекта. Кроме того, в Telegram отсутствует реклама, а сам клиент – не только бесплатный, но и с открытым исходным кодом.
Функциональность Telegram
Клиенты Telegram
У Telegram есть клиенты под все популярные платформы, включая веб-приложения. На Рисунке 1 показана Desktop- и Android-версия. Официальные клиенты идут с открытым исходным кодом, хотя есть и бинарные блобы (то есть исполняемые бинарные файлы без доступных исходных текстов).
Рисунок 1: Официальные клиенты Telegram. Слева: мобильная версия, справа: desktop-клиент. Все официальные клиенты имеют открытый исходный код. Пользовательский интерфейс Telegram довольно быстрый и удобный
У Telegram также есть возможность работать с командной строкой [6], обладающей практически полным функционалом платформы, хотя и не очень удобной для использования. Например, для добавления контакта нужно ввести следующую команду:
tg> add contact <phone number> <name> <lastname>
Во время исследования безопасности Telegram мы часто пользовались командной строкой.
2. Архитектура Telegram
3. Известные и исправленные проблемы
Как все компании с технологическим уклоном, у Telegram были, есть и будут уязвимости, связанные с безопасностью, и нестандартные проблемы, которые имеют косвенное отношение к безопасности. Мы расскажем о некоторых из этих проблем, а в последствии рассмотри более подробно один из таких случаев.
3.1 Проблемы нетехнического характера
На концептуальном уровне у Telegram есть несколько нестандартных решений, которые, как мы полагаем, не должны быть частью протокола безопасности. А конкретно:
3.2 Проблемы, связанные с технической безопасностью
Как показывают предыдущие примеры, во многих случаях пользователи Telegram должны полностью доверять безопасности сервера, что немного иронично, поскольку изначальной целью основателей Telegram было создание продукта, защищенного от слежки. Даже несмотря на то, что многие уязвимости, связанные с безопасностью, были устранены, некоторых найденных проблем не должно было быть изначально.
4. Эксплоит для обнаружения доступности пользователей
Как было упомянуто в предыдущих разделах, Telegram передает информацию о доступности каждому, у кого есть телефонный номер нужного пользователя. Предположим, Ева добавила Алису в список контактов. В этом случае протокол Telegram не оповещает Алису об этом событии. В свою очередь Ева начинает регулярно получать информацию о том, когда Алиса использует Telegram, а Алиса все также не получает никаких оповещений.
Рисунок 2: В командной строке выводится имя пользователя, если тот использует Telegram. В противном случае ничего не выводится
Проблема, связанная с утечкой, легко обнаруживается в командной строке Telegram, как показано на Рисунке 2.
Более того, на Рисунке 3 показано, что Ева может видеть, что Акакий и Хайк выходят в онлайн и уходят в оффлайн. Затем Ева может сопоставить временные интервалы и сделать вывод, что Акакий и Хайк общаются между собой. В следующих разделах будет рассказано, как можно использовать эксплоит для обнаружения того, что два пользователя разговаривают друг с другом.
4.1 Постановка эксперимента
Для отслеживания использования Telegram и коммуникаций мы выбрали 15 активных пользователей среди международных студентов Массачусетского технологического института. Таким образом, мы знали, что студенты общались между собой на ежедневной/еженедельной основе.
Для подключения к пользователям мы использовали командную строку Telegram. Для отслеживания и сбора метаданных был выделен специальный сервер. В итоге было собрано несколько мегабайт необработанных метаданных для последующего анализа.
4.2 Алгоритм корреляции
Мы создали алгоритм корреляции, которые анализирует информацию об использовании Telegram двумя пользователя и выводит последовательность совпадений, где каждое совпадение представляет собой временной интервал с вероятностью того, что пользователи общаются между собой (вероятность всегда не менее 0.5).
Рисунок 3: Ева отслеживает активность Хайк и Акакия и может сказать, когда каждая персона появлялась в онлайне. Обратите внимание на проблему: разница между появлением в онлайне и уходом в оффлайн составляет примерно 5 минут
На базе полученных метаданных на каждого пользователя была создана последовательность временных интервалов активности отсортированных по времени. Алгоритм находит совпадения по двум пользователям, общающихся между собой, на базе последовательностей временных интервалов.
Рисунок 4: Диаграмма, иллюстрирующая основные концепции алгоритма корреляции
Мы ввели коэффициент вероятности (likelihood coefficient), который определяет, насколько вероятно связанный компонент представляет собой коммуникацию между пользователями. Обратите внимание, ребро внутри связанного компонента, принадлежащее активному временному интервалу, которое соединено со многими другими вершинами, рассматривается как менее значимое по сравнению с ребром, концы которого не соединены с другими интервалами. По этой причине, вместо подсчета количества ребер в связанном компоненте, мы определили коэффициент вероятности как половину всех соединенных вершин внутри компонента. Таким образом, очень длинный активный временной интервал, который пересекает множество других интервалов не особо влияет на увеличение коэффициента вероятности.
Как только коэффициент вероятности рассчитан, вычисляем вероятность общения двух пользователей в течение промежутка времени внутри связанного компонента по следующей формуле:
Рисунок 5: Формула расчета вероятности общения двух пользователей
Идея заключается в том, что если коэффициент вероятности равен 0, то и вероятность общения тоже равна нулю. С другой стороны, каждая единица коэффициента вероятности увеличивает вероятность общения на половину. Альфа-множитель определяет степень влияния коэффициента вероятности на итоговую вероятность.
5. Результаты использования эксплоита
После реализации алгоритма, описанного выше, мы проанализировали метаданные, полученные сервером. Поскольку мы использовали Telegram во время работы сервера, то подстроили параметры на базе частоты нашей коммуникации и внесли некоторые коррективы.
Наиболее приемлемые значения: gap_time = 30 секунд, альфа-множитель = 1. При таких значения нам удалось отследить все коммуникации и не обрезать лишнего. Результаты показали, что количество ошибочных совпадений колеблется в районе 15%. Другими словами, иногда, когда два пользователя одновременно используют приложение, алгоритм работает некорректно.
Рисунок 6: Совпадения, найденные алгоритмом корреляции
6. Заключение
В этом проекте мы провели исследование мессенджера Telegram. Когда Telegram оформился как самостоятельная компания, то приобрел популярность, благодаря заявлениям создателей, доверием и удачным временем выхода (в то же время произошли утечки с подачи Сноудена). Если верить заявлениям создателей Telegram, можно подумать, что этот мессенджер обладает высоким уровнем безопасности. Однако наше исследование показывает, что у Telegram были серьезные и в тоже время простые проблемы в протоколе (например, модифицированный и уязвимый алгоритм обмена ключами по методу Диффи-Хеллмана), которые может обнаружить любой знающий эксперт по безопасности.
При помощи командной строки мы смогли подключиться к некоторым нашим друзьям, и обнаружить интервалы общения. Мы полагаем, что это серьезная проблема, связанная с утечкой персональной информации, которая может, например, помочь обнаружить, у кого из группы более тесные взаимоотношения.
Из всего вышесказанного можно сделать вывод, что Telegram, как и все другие продукты, имеет уязвимости, о которых пользователи должны знать. Однако, к сожалению, заявления компаний заставляют пользователей верить в то, что переписка защищена от прочтения третьей стороной.
Как работает Телеграмм
Безопасность Телеграмм обеспечивается за счет использования криптографического протокола MTProto Proxy . Мы не будем углубляться в цифры и узкоспециальные термины, а объясним особенности работы протокола более доступно:
Таким образом пользователи мессенджера надежно защищены от спам-атак, воздействия мошеннических схем и других неприятных вещей. Кроме того, отпадает вопрос, прослушивают ли Телеграмм.
В связи с последними действиями Роскомнадзора, Телеграм заблокирован в России. Программисты мессенджера стараются обойти это, чтобы программа работала стабильно на всей территории страны, однако бывает, что соединение не срабатывает и тогда нужно использовать дополнительные прокси, о том, как настроить прокси в Телеграмме читайте в другой нашей статье!
Насколько безопасен этот мессенджер
А теперь поговорим об уровне безопасности: можно ли прослушать Телеграмм, как обстоят дела с анонимностью, есть ли возможность слежки за пользователями и пр. По заявлению разработчика Телеграмм намного безопаснее других, аналогичных ему программ для общения, а взломать его невозможно. Помимо особенностей протокола, на котором работает мессенджер, хорошей защитой обладают и его сервера:
- Насколько анонимен Телеграмм? Личные данные пользователей мессенджера не разглашаются ни при каких условиях — такова политика руководства компании. В любом случае, дать доступ в систему шифрования мессенджера равнозначно передаче всех инструментов управления им запрашивающей стороне. Что, естественно, недопустимо.
- Прослушивается ли Телеграмм? Нет. как мы уже сказали, особенности шифрования исключают возможность доступ третьих лиц к трафику, передаваемому между двумя пользователями.
- Могут ли вычислить по Телеграмм мое местонахождение? Нет. Пользователя смартфона или планшета гораздо проще отследить по номеру телефона и по сигналам, передаваемым самим устройством. Поэтому для поиска кого-либо использовать мессенджер (который прочитать невозможно, к тому же) несообразно.
- Отслеживается ли Телеграмм властями и есть ли риск, что будут разработаны программы / обучены люди, способные его взломать? Логично предполагать, что попытки отслеживать деятельность разработчика предпринимаются. Однако за все годы существования системы, проблемы у ее пользователей возникли только единожды. Да и те, согласно информации на оф. сайте компании, стали следствием технических проблем — отключения подачи электричества к оборудованию.
Кстати говоря, за последние несколько лет на официальном сайте Телеграмм два раза разработчиками объявлялся конкурс: тому, кто сможет взломать протокол этого мессенджера, Павел Дуров вручит денежный приз. В первый раз было заявлено $ 200 000 , во второй — $ 300 000 . Однако получить вознаграждение никому так и не удалось — победителей выявлено не было. Как видите, уверенность этих ребят в том, что они создали и чем занимаются по сей день, вполне обоснована.
Способы сделать использование мессенджера еще более безопасным
Насколько безопасен Телеграмм мы выяснили. Но разработчики предоставили пользователям сервиса дополнительные инструменты, позволяющие сделать общение по-настоящему безопасным. Они работают как все вместе, так и по отдельности.
Создавайте секретные чаты для большей безопасности
К перепискам в секретных чатах применяется особый способ шифрования: пользователь — пользователь. Что это дает:
*100% безопасности от заскринивания переписок разработчик все же не обещает.
Создать секретный чат не сложно:
Подключайте двухэтапную авторизацию
Как вы понимаете, если злоумышленник получает доступ к вашей сим-карте, то он запросто может авторизироваться в вашем профиле Телеграмм на любом устройстве. Но если вы включите двухэтапную авторизацию, такой “фокус” у злодея не пройдет. Как это работает:
- Вы активируете двухэтапную авторизацию. В процессе понадобится придумать и ввести в специальную форму пароль. Пароль будет сохранен в системе.
- При последующих попытках авторизироваться система сначала в обычном порядке запросит код подтверждения (он приходит на телефон), а затем пароль, который знаете только вы.
Включить возможность очень просто:
- Откройте настройки Конфиденциальность — Двухэтапная аутентификация;
- Далее кликните на Установить дополнительный пароль и введите желаемое значение.
Таким образом, наличия сим-карты в руках злоумышленника будет недостаточно, чтобы получить доступ к вашему профилю в мессенджере. Ваши личные данные в безопасности
А для еще большей безопасности можно установить код-пароль
И в завершение напоминаем о необходимости соблюдения интернет-гигиены: в сеть выходим только с работающим антивирусом, на сайтах с вылетающими баннерами не задерживаемся и ни в коем случае не кликаем по этим баннерам. Также следует внимательно относиться к выбору сайтов для скачивания программ.
Читайте также: