Небезопасный Telegram

someone

someone

сисадмин сервера 0ed
Команда форума
Администратор
Регистрация
3 Апр 2006
Сообщения
554
Реакции
896
  • Автор темы
  • Модер.
  • #1

История, репутация и техническая сторона вопроса.​

С чего все началось? В 2013 году к Дурову пришли с обыском, а когда он захотел безопасно написать своему брату, он якобы не знал о безопасном способе сделать это, о мессенджере, который бы не читали третьи лица. В этом же году началась разработка Telegram и его собственного протокола MTProto.

В 2017 мессенджер сменил протокол шифрования с MTProto 1.0 на 2.0, в виду того, что первая версия была частично взломана.

В 2018 году начался активный грязный пиар Telegram со стороны его владельца. Сначала Роскомнадзор выслал только анкету для регистрации организации. Дуров же рассказал в своем блоге, что Роскомнадзор требовал выдать ключи дешифровки сообщений (без толковых доказательств, например, публикация письма от Роскомнадзора), хотя о такой просьбе не было и речи. Естественно, этот вброс от Дурова распространили СМИ, даже не перепроверив информацию. Отсюда и пошел миф о конфиденциальности Telegram.

Кстати, ещё во времена «ВКонтакте» он заявлял, что не хранит логи на серверах, но после продажи социальной сети оказалось, что на серверах хранилась вся «не хранящаяся» информация.
Нажмите для раскрытия...
Только в 2019 году появилась возможность скрывать номер телефона; до этого номер был доступен абсолютно всем, и почти все аккаунты, созданные до 2019 года, уже скомпрометированны и не являются анонимными...

Позже Telegram официально согласился выдавать личные данные пользователей, а именно:
  • IP-адреса,
  • номер телефона.
Кроме этого, Telegram имеет возможность регистрировать и другую информацию; перечисленные выше идентификаторы — это лишь то, что он выдает в официальном порядке, не учитывая закон «Gag Order» (закон о неразглашении).

Вот доказательство: Для просмотра ссылки Войди или Зарегистрируйся
При этом не учитывается закон Gag order, то есть секретная передача данных спецслужбам. А в странах, где Telegram зарегистрирован как компания, данный закон действует).

Подробнее: Для просмотра ссылки Войди или Зарегистрируйся

Вопросы к мессенджеру.​

Телеграм имеет закрытый исходный код серверной части — следовательно, сервера Telegram являются не доверенной средой, на которой могут находиться какие угодно бэкдоры и уязвимости, несмотря на заявления разработчиков (проверить их заявления фактически невозможно). Также из этого вытекает невозможность проверить такие вещи, как:

  1. Вся ли информация на серверах зашифрована?
  2. Telegram удаляет с серверов все, что удалил пользователь?
  3. Telegram не хранит переписку на серверах?
  4. Сервер Telegram не может произвести MITM (человек по середине) атаку?
  5. Протокол шифрования MTProto 2.0 никогда не подвергался внешнему аудиту безопасности. А конкурсы, которые проводит Telegram по взлому данного протокола, не являются фактическим доказательством безопасности MTProto 2.0 (к тому же сумма выигрыша не так уж и существенная, чтобы привлечь серьёзные агентства).
  6. Регистрация по номеру телефона — это недопустимо в ориентированном на информационную безопасность мессенджере.
  7. Актуальный исходный код клиента выкладывают с запозданием. В Google Play и App Store код вообще может отличаться.
  8. Весь трафик идет только через сервера Telegram. Даже в секретных чатах. Это косвенно подтверждает их уязвимость к MITM.
  9. Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основаны в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию.
🔓 Сервер Telegram может произвести MITM-атаку на протокол Диффи-Хеллмана, который используется для сквозного шифрования.

В виду того, что весь трафик идёт только через сервер, и если сервер теоретически произвёл MITM-атаку на указанный протокол (подменив числа генератора псевдослучайных чисел), то секретный чат, хоть и выборочно, но может быть скомпрометирован (проще говоря, даже имея сквозное шифрование, вся информация в секретных чатах читается).

Стандартные чаты полностью доступны для сервера.


Автор статьи: Для просмотра ссылки Войди или Зарегистрируйся - специально для CyberWeekend (Для просмотра ссылки Войди или Зарегистрируйся)
 
Что сказать-то хотели? Это всем давно известно. Ну, кому надо, тем известно. С Пашей договорились 5 лет назад. Используйте Jabber+OTR или Jabber+OMEMO. Тут тоже ничего нового. Спасибо за внимание, теперь расходимся.
 
  • Автор темы
  • Модер.
  • #3
Если что, вот более старая, но более подробная по некоторым вопросам версия статьи
Для просмотра ссылки Войди или Зарегистрируйся
Но суть та же - телега и безопасность, анонимность и рядом не стояли.
 
  • Автор темы
  • Модер.
  • #4
И еще, jabber не обеспечивает много чего, даже при использовании OMEMO/PGP (с OTR не все так просто) все равно вы светите в интернет много лишней информации.
Так что если вам надо пообщаться еще более безопасно, смотрите на Tox, Session, может еще несколько мессенжеров подобных названным ...
 
  • Автор темы
  • Модер.
  • #5
Вот такое : российские спецслужбы имеют возможность читать удалённую (стертую) переписку в телеграм
Для просмотра ссылки Войди или Зарегистрируйся
PS: кое где уже прокомментировали, что это скорее всего сделано путем восстановления бэкапов с облачных хранилищ
 
Небольшой FAQ по Телеге:
Q: Откуда инфа?
A: Оттуда
Q:Так это получается, они всё это время читали всё?
A: Да, так получается.
Q: А когда это было именно?
A: Когда его перестали блокировать.
Q: А как именно?
A: Старым дедовским способом. Просто приехали и сделали предложение, от которого невозможно отказаться.
Q: А ты-то сам кто такой?
A: Тот, кто тебя не боится.
Q: Я тебе не верю!
A: Пофиг. Оставайтесь смешными наивными людьми с Украины, которые веруют в Телеграм.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху