Почти каждый обладатель смартфона ежедневно использует какой-либо мессенджер. Например, для связи с друзьями или семьей одними из самых популярных являются Viber, WhatsApp и Messenger. Однако растет количество людей, которые пользуются альтернативными приложениями для коммуникации, в том числе Telegram. Одни его очень хвалят, у других он не вызывает особого доверия. Давайте же разберемся, что такое Telegram, и можно ли назвать этот мессенджер безопасным.
Что такое Телеграм?
Telegram — популярное кроссплатформенное приложение для обмена сообщениями, которое имеет ряд отличительных характеристик.
- Нет привязки к другим социальным платформам (например, чтобы использовать Messenger, вам нужна учетная запись Facebook).
- Приложение можно запустить как на телефоне (iOS, Android), так и на компьютере. Telegram для ПК работает на Windows, Mac, Linux. Доступ к нему также можно получить через веб-браузер.
- С его помощью можно передавать файлы, записывать голосовые сообщения, делиться своим местоположением и добавлять смайлики, гифки и стикеры.
- Является эффективным маркетинговым средством для бизнеса. Особо важную роль играют тематические каналы. Подписчики в телеграмм могут добавляться естественным образом, либо накручиваться искусственно.
Безопасен ли Telegram?
С начала пандемии Telegram стал популярнее, чем когда-либо. Это связано с тем, что приложение не передает персональные данные пользователей властям и не удаляет спорный контент, в том числе о коронавирусе.
ХАКЕРСКАЯ ШКОЛА. Безопасен ли Телеграмм, насколько?
Посты в Telegram не подлежат никакой цензуре, поэтому приложение стало популярным во время пандемии среди людей, чьи аккаунты были заблокированы на других платформах за распространение ложной информации и разжигание ненависти.
Тот факт, что каждый может написать в приложении все, что захочет, привлекает не только сторонников теорий заговора, но и людей, которые занимаются противоправной деятельностью, например, распространением поддельных справок о прививках от COVID-19.
Из-за продолжающейся войны в Украине в сети появляется много дезинформации. Не является исключением и Telegram, который активно используется для распространения фейковых новостей в связи с конфликтом. Основатель мессенджера, Павел Дуров, призвал пользователей самим проверять достоверность информации, так как у платформы нет физической возможности вести такую деятельность.
Источник: md-eksperiment.org
Безопасен ли Телеграмм, так ли это? Как доказать безопасность мессенджера
На фоне борьбы мессанджеров, особенно когда What’s Up так сильно скомпрометировал себя, очередной раз встал вопрос о безопасности общения и приватных данных. И конечно что же всех интересуют доказательство того, что нашу переписку никто не читает и невозможно ее читать.
Естественно все известные мессанджеры пытаются показать(или доказать) своим скептическим пользователям, что вся переписка надежно защищена. Обычно это мудреные описание современных механизмов шифрования, перегрузка технических терминов, а так же открытия исходных кодов(но не всегда).
SIGNAL заменит ТЕЛЕГРАМ
Не преминул сделать это и телеграм. Павел Дуров уже опубликовывал свой критический пост и заявил что исходники клиентского приложения открыты. Да это действительно так, любой пользователь может найти исходники для сборки под Андроид или например для IOS. Да действительно можно найти места реализации секретных чатов с использованием всех современных стандартов криптографии.
Так же Павел совершенно верно прокомментировал вопрос о закрытых исходников для серверного приложения. :
Exactly, I’m also puzzled by folks who even mention server-side code in this context. Publishing the server code doesn’t guarantee privacy, because — unlike with the client-side code — there’s no way to verify that the same code is run on the servers.
Перевод:
Меня также озадачивают люди, которые упоминают серверный код в этом контексте(контексте о безопасности). Публикация серверного кода не гарантирует конфиденциальности, потому что, в отличие от клиентского кода, нет возможности проверить, выполняется ли тот же код на серверах.
Тут Павел абсолютно прав, когда какая то компания выкладывает свой серверный код и говорит что она полностью опенсорсная — это всего лишь маркетинг или пиар ход, поскольку никакой возможности у пользователей нету проверить, что именно этот код работает на серверах(не будут же разработчики давать доступ на сервера каждому встречному поперечному). Когда как проверка клиентского кода не составляет трудностей для специалиста.
Далее же Павел пишет
And you don’t even need the server-side code to check the integrity of Secret Chats — they are solid regardless of how the servers function (that’s the whole point). In other words, publishing server-side code won’t help verify Secret or Cloud Chats, and would constitute a marketing gimmick that has nothing to do with security.
Перевод:
И вам даже не нужен код на стороне сервера для проверки безопасности секретных чатов — они надежны независимо от того, как работают серверы (в этом весь смысл). Другими словами, публикация серверного кода не поможет проверить секретные или облачные чаты и будет представлять собой маркетинговый трюк, не имеющий ничего общего с безопасностью.
И вот тут уже с этим нельзя соглашаться. Поскольку протокол Диффи-Хелманна, тот самый которым пользуется телеграмм для обмена секретным ключом подвержена атаки Человек Посередине(Man In The Middle). Изначальна известно что протокол Диффи-Хелмана можно использоваться для обмена общим секретом по незащищенному каналу связи между двумя участниками, при этом все сообщения могут читаться третьей стороной, но ни в коем случае не изменяться.
Простыми словами это значит что безопасный зашифрованный канал можно установить только в том случает если Мэлори(см изображение) может читать сообщения между Бобом и Алисой, но не изменять.
Это значит при открытии секретного чата в приложении Телеграмм между двумя участниками происходит обмен ключами(так называемый handshake). При этом ключи идут по каналу телеграмма, т.е. через сервера телеграмма. И в этом случае та самая Мелори — является сервером телеграмма, который может ключи подменить, при этом оба участника не будут знать об этом.
Это старая и известная проблема, которая имеет решение — выдача сертификатов сертификационными центрами для доказательства владением публичным ключом. Это решение удачно применяется для реализации SLL(тот самый https который мы видим в строке браузера при посещении сайта использующего безопасное соединение). Да это решение годится когда есть один сервер и много клиентов. Сертификат выдается серверу и канал браузер — сервер защищен от атаки по середине.
В случае же с мессанджером это не возможно. Так как надо каждому пользователю выдать по сертификату, а это колоссальные нагрузки, при этом пользователь должен пройти формальную процедуру, предоставив стратификационному центру свои данные и доказав что он — это именно он.
Итог: как бы телеграмм себя не позиционировал безопасным мессенджером с невозможностью раскрыть данные — это не так. В текущей реализации клиентского приложения обмен ключами происходит через сервера телеграмма, поэтому у сервиса есть возможность провести атаку и начать читать переписку секретных чатов.
Решение: добавить возможность пользователям передавать ключи по любым другим каналам, но не через сервера мессенджера. Самый безопасный способ — это физический обмен ключами, например через считывание qr-кода. Да этот способ очень неудобен, поскольку требует, чтобы участники были непосредственно рядом, но он является самым безопасным. Другой способ — выгрузить ключи в файловую систему и передать их по другим каналам связи — соц сети, другой мессенджер, электронная/обычная почта, факс или продиктовать по телефону(что будет трудно выполнимо поскольку ключи имеют гигантские размеры). Этот способ менее безопасен, но тем не менее вероятность атаки очень мала.
И да, надо не забывать, что обязательно должны быть исходники всей реализации(если говорить о любой другой компании)
Получается чтобы любая компания могла доказать своим пользователям что она использует защищенный канал связи она должна предоставить:
- Исходники клиентского приложения
- Реализацию обмена ключами сторонники каналами.
При этом открывать серверный код ей не к чему абсолютно.
Источник: temofeev.ru
Насколько на самом деле безопасен мессенджер Telegram
Обзоры
Telegram многие называют одним из самых безопасных мессенджеров на рынке 2021 года. Специально для наших читателей мы разобрались в том, правда это или нет, и какую степень защиты детище Павла Дурова предоставляет своим пользователям.
Насколько безопасен Telegram
Основная фишка мессенджера создана для тех, кто хочет, чтобы его сообщения не попали кому-то кроме прямого адресата. Называется она секретный чат. В нем ваша переписка не хранится на серверах Telegram, поэтому третьи лица попросту не могут получить к ней доступ. Все благодаря продвинутому методу сквозного шифрования. К тому же сообщения в таком чате нельзя переслать или заскриншотить .
Интересно, что даже участник секретного чата не сможет открыть его компьютера, если оригинально он был создан с телефона. Все, потому что действует привязка к девайсу. Действительно круто.
К тому же при желании вы можете поставить таймер самоуничтожения сообщений. После этого они будут удаляться автоматически по истечению заданного времени.
В чем Telegram проигрывает топам рынка
Самым лучшим мессенджером для тех, кто высоко ценит безопасность, является Signal . У него есть сразу несколько преимуществ перед телегой.
Первое – сквозное шифрование в Telegram доступно только в секретном чате, а в Signal даже в обычной переписке. Поэтому оно действует и в групповых чатах.
К тому же Telegram все-таки собирает некоторые данные о пользователях. Например, IP адрес. А вот Signal в таком замечен не был.
Конечно, телега куда надежнее какого-нибудь WhatsApp или Viber , но у нее все же есть огрехи по части безопасности. Тем не менее можно смело утверждать, что среди популярных в России мессенджеров он самый надежный. Ну а если вам нужна максимальная конфиденциальность – качайте Signal .
Источник: 4pda.tech