После скандала с новой политикой конфиденциальности WhatsApp, которая открыто говорит о передачи данных в Facebook, пользователи начали массово переходить в Telegram и Signal. Владельцы этих мессенджеров оседлали волну и начали особо подчёркивать, что их сервисы собирают минимум информации, а ещё максимально защищают конфиденциальность клиентов. Но так ли это на самом деле?
Telegram-канал создателя Трешбокса про технологии
Telegram и Signal — что с ними не так
Telegram, Signal, WhatsApp, Viber — всё это централизованные мессенджеры. У них есть серверы, которые контролируются разработчиками. Вспомните все эти новости о том, что Telegram снова «лежит», а Signal не позволяет отправить сообщение. Такие ситуации возникают из-за того, что сервисы работают централизованно.
Безопасен ли Телеграм и как его обезопасить
Чтобы централизованные мессенджеры с большой аудиторией стабильно работали, им нужна мощная инфраструктура. И здесь появляются как минимум две проблемы:
- Это дорого. Неудивительно, что тот же Павел Дуров заявил о грядущей монетизации Telegram. Пользователей становится слишком много, чтобы можно было поддерживать инфраструктуру из личных сбережений.
- Есть зависимость от других компаний. Например, Signal использует инфраструктуру AWS. Её же использовала социальная сеть Parler — до того, как в Amazon отключила серверы компании якобы из-за нерешаемых проблем с незаконным контентом.
И Signal, и Telegram требуют для регистрации номер телефона — минус анонимность. Telegram собирает контакты, контактные данные, идентификаторы. Цели благие — сделать регистрацию и авторизацию на разных устройствах удобными, защититься от массового создания фейковых аккаунтов, помочь людям быстрее находить знакомых в мессенджере. Но фактически мы говорим о сборе очередного массива информации о пользователях.
В настройках десктопного клиента Telegram можно заказать экспорт ваших данных, которые собрал мессенджер. Попробуйте, получается интересный архив — с контактами, сообщениями и социальными связями
В контексте конфиденциальности значение имеют не только данные, но и метаданные. Сообщения шифруются, переписку никто не читает — ок, будем считать так. Но из списков контактов можно легко собирать цепочки пользователей, которые знакомы, переписываются между собой, состоят в одних и тех же чатах. Обнаружив человека, получив доступ к его устройству, можно достать любую информацию — никакое шифрование уже не спасёт.
Настоящая конфиденциальность — в децентрализованных мессенджерах
Противоположность централизованных мессенджеров — децентрализованные. Для регистрации в них не требуется номер телефона, а других пользователей можно добавить только по именам или адресам.
Как читать чужие переписки?
Крайний пример децентрализации — пиринговые (P2P) мессенджеры. У них нет серверов, все участники равноправны и обращаются друг к другу напрямую. У такого подхода есть проблемы — например, при отсутствии подключения к сети сообщения не сохраняются, потому что им негде храниться.
Другой формат децентрализации — федерации. При таком подходе используется неограниченное количество серверов, которые общаются между собой. Пользователи могут подключаться к имеющимся серверам или создавать свои. Это исключает и чрезмерную централизацию, и абсолютный хаос пиринговых сетей.
Пример федеративности: можно подключиться к общему серверу или создать свой
Один из самых известных федеративных протоколов сейчас — Matrix. Это его нативный клиент Element в конце января по ошибке удалили из Google Play из-за нарушения политики площадки. Недоразумение быстро исправили, но оно подсветило главный плюс Matrix — его нельзя просто взять и закрыть.
Допустим, Element бы не восстановили в Google Play. Это не стало бы проблемой, потому что нативный клиент — лишь способ пользоваться сетью. Вместо Element можно было бы установить Ditto Chat, Nio, Pattle, FluffyChat, использовать десктопные приложения и веб-версии. Заблокировать сам Matrix, как тот же Parler, невозможно — нет единой инфраструктуры, пользователи способны сами поднять столько серверов, сколько захотят.
Важно, что для регистрации в сети Matrix не нужен номер телефона. Вы придумываете имя пользователя и получаете индивидуальный адрес. Единственное, что клиент предлагает сделать, — добавить электронную почту. Можно отказаться, но тогда вы не сможете восстановить доступ к своему аккаунту, если забудете пароль.
Не только конфиденциальность, но и анонимность
Ещё приложения, использующие Matrix, не получают доступ к контактам. Проще говоря, все проблемы централизованных мессенджеров здесь решены. Но возникают другие сложности — чтобы начать общаться с другим человеком, нужно знать его имя или идентификатор.
Безопасность — не главное. Пользователи выбирают простоту и удобство
Децентрализованные мессенджеры — это правда круто. Можно поднять свой сервер, создать анонимную комнату для таких же повёрнутых на конфиденциальности, строчка за строчкой изучать открытый исходный код, искать уязвимости.
Но проблема децентрализованных систем в том, что они раз раз разом оказываются без денег. Тот же протокол Matrix в 2017 году искал спонсоров для продолжения разработки. Проблему тогда решили, но многое держится на энтузиастах Open Source. Сейчас разработка финансируется сообществом через Patreon и другие подобные сервисы.
Кроме Matrix есть XMPP (он же Jabber, который использовали «ВКонтакте», Facebook, «Одноклассники», LiveJournal и другие). Но аудитория таких проектов слишком мала, чтобы можно было говорить о стабильном развитии и безоблачных перспективах. Даже самыми популярными децентрализованными мессенджерами пользуются в лучшем случае сотни тысяч человек — кто-то пробует и больше не заходит, другие поднимают свой сервер для компании или семьи. Но всё это очень далеко от массовости.
Децентрализованные мессенджеры нельзя просто установить и пользоваться — как минимум придётся заполнять книгу контактов вручную
Даже если вы осознаёте минусы Telegram и Signal, их плюсы перевешивают. Например, регистрация по номеру телефона — очевидно не самое безопасное решение. Но это удобно для пользователей, которые меняют устройства и хотят сохранить доступ к своему аккаунту. Та же история с синхронизацией переписки — чтобы она работала, сообщения должны храниться на удалённом сервере. На этом и поднялись централизованные мессенджеры — они дают удобство и взамен не требуют ничего, кроме наших персональных данных.
Тем не менее, децентрализованные мессенджеры тоже развиваются — пусть и малыми силами. Тот же Element, работающий в федеративной сети Matrix, предлагает отправку сообщений, стикеров, фото и видео. Здесь есть комнаты — групповые чаты с пользователями со всего мира, аудио и видеозвонки.
Так что если хотите добиться максимальной конфиденциальности в общении, подумайте о децентрализованных мессенджерах. Для начала — хотя бы для личного общения с близкими людьми.
Источник: trashbox.ru
Безопасен ли мессенджер Telegram?
Telegram — безопасный мессенджер, но так ли это? по замечаниям Павел Дуров речи.
Это самый безопасный мессенджер из когда-либо созданных, а также более безопасный, чем WhatsApp!
Telegram имеет более 200 миллионов активных пользователей в месяц.
В дополнение к красивому внешнему виду, Простому и практичному в использовании, Теме, которая привлекла пользователей, Заявление состоит в том, что Telegram безопасен.
Другие люди не могут отслеживать сообщения пользователей, но насколько это правда?
Безопасность, о которой говорит кампания Telegram, отличается от того, что есть на самом деле!
Согласно интервью со специалистами по безопасности и расшифровке, у мессенджера Telegram еще много проблем с безопасностью, которые должны быть решены в следующих обновлениях.
Одна из самых важных проблем с Telegram заключается в том, что он не шифрует разговоры по умолчанию, а также ваша информация хранится в базе данных Telegram.
Кристофер Согоян, эксперт по технологиям и аналитик с политическим прошлым в Американском союзе гражданских свобод, сказал в интервью сайту Gizmodo:
У Telegram много пользователей, которые думают, что общаются в зашифрованном пространстве.
Хотя это не потому, что они не знают, что они должны включить дополнительные настройки. Мессенджер Telegram сделал все, что хотят правительства.
Предпочел бы я, чтобы Telegram использовал предыдущий метод, который использовался лучшими приложениями для обмена сообщениями, такими как WhatsApp и Signal?
Что делать, если этот метод не включен по умолчанию?
Нет никаких причин для того, чтобы ваши сообщения не шифровались по умолчанию на серверах Telegram.
Похожие сообщения
Особенно для такого приложения, которое идентифицировало себя как приоритет безопасности.
Вопреки мнению всех специалистов по криптографии и безопасности.
Оно занесло себя в FAQ раздел как более безопасный сервис лучше, чем WhatsApp.
Но на самом деле, несмотря на все скандалы, о которых мы слышали от WhatsApp.
Telegram использует самый безопасный протокол шифрования, доступный на данный момент, который шифрует все тексты и звонки.
Эксперты по безопасности заявили, что технология шифрования, используемая в Telegram, имеет некоторые проблемы с безопасностью, но она намного безопаснее и быстрее, чем другие мессенджеры.
Telegram использует свою систему шифрования и уникален, поэтому может обеспечить большую безопасность для пользователей по всему миру.
Основатель Telegram говорит, что легальный доступ к информации его пользователя очень сложен.
Потому что информация и контент пользователей в каналах, группах и личных беседах хранятся в зашифрованном виде на серверах в разных странах.
Единственный законный способ получить доступ к информации о пользователях — это получить судебный приказ из нескольких разных стран.
Telegram заявляет, что до сих пор не раскрывал никакой информации, но реальность такова, что, как и другие интернет-компании, он может тайно предоставлять информацию государственным органам!
Другими словами, мы можем доверять этой компании, но всегда быть осторожными в своем поведении в социальных сетях, а виртуальный мир не является на 100% безопасным местом.
я предлагаю тебе защитите свою учетную запись Telegram и защитить его от хакеров, потому что защита личной информации очень важна для каждого.
Источник: www.telegramadviser.com
Неуязвимый? Безопасен ли Telegram
Вокруг безопасности Telegram снова ломаются копья: 30 октября американский разработчик заявил, что Telegram хранит переписку в незашифрованном виде. Но на следующий день Павел Дуров ответил, что претензии беспочвенны. Каков будет вердикт экспертов по безопасности?
Ранее американский инженер Натаниэль Сачи сообщил, что приложение Telegram Desktop не зашифровывает переписку пользователя и хранит ее в базе данных SQLite. Это означает, что программа переводит переписку в текстовые файлы, которые лежат в системе в незашифрованном виде. Причем там хранятся сообщения как из открытых чатов, так и из «секретных». Такую же проблему Сачи обнаружил и в другом мессенджере, считавшемся хорошо защищенным, — Signal. Еще Сачи обратил внимание, что пароль, который необходимо ввести при входе в настольную версию Telegram, не защищает файлы, сформированные в SQLite.
Павел Дуров в очередной раз вынужден отстаивать репутацию своего мессенджера. В своем телеграм-канале он заявил, что российские СМИ распространяют сообщение об уязвимости, которая на самом деле таковой не является: «C технической точки зрения утверждение заявившего об уязвимости сводится к следующему: если бы у меня был доступ к вашему компьютеру, я бы смог прочитать ваши сообщения».
Известно, что команда Дурова выплачивает вознаграждения всем, кто помогает находить уязвимости в мессенджере, и тем самым помогает улучшить его надежность. Но Сачи, видимо, ничего не получит.
«В данном случае и та, и другая сторона несколько искажает факты. Уязвимости как таковой нет. При наличии удаленного доступа к ПК злоумышленник и так все получает, включая тексты чатов. А компьютеры Macintosh, для которых актуально хранение секретных чатов, защищены FileVault. Действительно, при доступе к компьютеру жертвы (или каким-либо иным образом — к локальной базе данных SQLite, в которой хранит переписку Telegram) можно восстановить информацию и прочитать ее, но получить такой доступ непросто», — объясняет руководитель департамента системных решений Group-IB Антон Фишман.
Во-первых, в настольной версии возможность создавать Secret-Chat присутствует только на Mac, в приложении из официального магазина приложений. Windows-версия этого не позволяет. Во-вторых, злоумышленник должен сначала суметь получить такой доступ: MacOS является достаточно защищенной операционной системой, разработчики которой внимательно следят как за появлением вредоносных программ под нее, — и достаточно быстро выпускают патчи, — так и за теми приложениями, которые публикуются в App Store. В-третьих, на компьютерах Mac уже очень давно по умолчанию включено полнодисковое шифрование FileVault, что предотвращает риск получения доступа к базе при потере устройства или диска из него. В-четвертых, если у злоумышленника уже есть удаленный доступ к вашему компьютеру (он мог получить его через вредоносные ссылки, фишинговые сайты, хакерские атаки на сервер и т.д.), то он и так (без использования Telegram) может получить доступ к оперативной памяти, где хранится вся загруженная в нее информация, в том числе и текст чатов.
«С моей точки зрения, это нельзя назвать уязвимостью, так как в шифрованном виде на диске приложения хранят данные крайне редко, — соглашается руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. — Разработчики Telegram прямо заявляют, что десктопная версия не поддерживает шифрованные секретные чаты и сквозное (end-to-end) шифрование. Если нужно защитить данные в случае потери ноутбука, то следует использовать полнодисковое шифрование, оно доступно практически для всех популярных операционных систем».
В сухом остатке: уязвимостей в самом Telegram нет. Однако при наличии удаленного доступа к ПК злоумышленник получит все данные, какие захочет, включая тексты чатов Telegram.
Источник: www.forbes.ru