Послушав и почитав множество СМИ о Telegram, волосы встают дыбом от слов экспертов, которые дают свои комментарии. После 20 минут прослушивания свежей передачи Точка на Эхе с заголовком «Цифровое сопротивление» пришлось закатить глаза и выпить литр кефира, чтобы привести разум в нормальное состояние. Картина в СМИ и соцсетях раскрашена всеми цветами радуги.
Федеральные СМИ не освещают ситуацию с Telegram или освещают её нейтрально. Образ господина Дурова освещается строго нейтрально. Потому что аудитория этих СМИ никакого интереса для реализуемого проекта Telegram не представляет, а негативный фон от этой аудитории будет плохо влиять на другую важную для проекта аудиторию.
Подавляющее большинство условно независимые СМИ поддались течению масс и обожествляют образ господина Дурова (как нового борца и праведника). «Дурова в президенты! Он спаситель нашей страны! Telegram — самый технологичный мессенджер с защитой конфиденциальности переписки»! Твинки/боты вступили в бой в соцсетях для защиты от любых нападок на Telegram и на новый образа господина Дурова.
Эти боты действуют один в один, как те, что используются системой пропаганды в России. Сам Дуров делает заявления, которые ещё больше подкрепляют его образ независимого борца и праведника. Они пропитаны такой наивностью, что не поверить им нельзя. Люди в экстазе запускают бумажные самолёты. Тут крыша поедет даже у людей с иммунитетом к пропаганде. Кого надо любить, кого ненавидеть, во что верить…
Хоть правильнее в этом случае было бы занять сторону сильных, потому что пытаться убедить того, кто сам хочет, чтобы их обманули — это очень неблагодарное занятие. Но все заслуживают шанса. Я постараюсь упростить трактовку технической части, чтобы даже те, кто свободно может цитировать целые части «Преступление и наказание» Федора Михайловича Достоевского, могли понять суть, но не потерять детали.
Давайте попробуем ответить на следующие вопросы:
- Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах?
- Если имеет, может ли он изменять содержимое сообщений при передаче в секретных чатах по своему усмотрению?
- Если имеет, может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)?
- Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников?
- Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям?
- [ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать?
- [ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится?
Протокол обмена сообщениями в секретных чатах Telegram называется MTProto, он обеспечивается так называемое сквозное шифрование (End-to-End Encryption). Первый и самый главный этап обмена сообщения между пользователями — это генерация общего для пользователей базового ключа шифрования. Для этого используется протокол Диффи — Хеллмана. В дальнейшем этот базовый секретный ключ используется для шифрования сообщений с помощью алгоритма AES.
Давайте рассмотрим его принцип при общении Ани и Бори относительно Telegram.
Аня придумывает два случайных числа g и p, соответствующие определённым критериям. Она их ни от кого не скрывает. Дополнительно Аня придумывает очень больше число a, никто другой его знать не должен. По формуле g_a = gᵃ mod p (возведение g в степень a и вычисление остатка от деления на p) Аня вычисляет ещё одно число g_a, которое она ни от кого не скрывает. Числа g, p, g_a она даёт Боре.
Боря придумывает очень большое число b, никто другой его знать не должен. По формуле g_b = gᵇ mod p Боря вычисляет ещё одно число g_b, которое он ни от кого не скрывает, и даёт его Ане.
У Ани есть числа: g, p, g_a, g_b и секретное a. У Бори есть числа: g, p, g_a, g_b и секретное b.
Теперь у Ани и Бори есть одинаковое число key, которое вычисляется по формуле key = g_bᵃ mod p = g_aᵇ mod p, и которое знают только они.
Это есть общий секретный ключ — основа всей системы шифрования в Telegram. Этот ключ в дальнейшем используется Аней и Борей для шифрования и расшифровки сообщений с помощью алгоритма AES.
Описанный протокол Диффи — Хеллмана достаточно надёжен с одним условием — не должно быть между Аней и Борисом посредника, который может менять передаваемые числа. Вся коммуникация между собеседниками в сервисе Telegram происходит только через серверы Telegram. Аня и Борис живут далеко друг от друга. В игру вступает Тегран (сервер Telegram), который взялся доставлять сообщения между Аней и Борисом. Но благие намерения являются лишь предлогом (предположим этом).
Аня даёт Теграну числа (она их ни от кого не скрывает): g, p, g_a. Тегран придумывает очень больше число ta и вычисляет по формуле g_ta = gᵗᵃ mod p ещё одно число g_ta. Он передаёт его Ане. Тегран придумывает очень больше число tb и вычисляет по формуле g_tb = gᵗᵇ mod p ещё одно число g_tb.
Он передаёт Борису g, p, g_tb. По формуле g_b = gᵇ mod p Боря вычисляет ещё число g_b, которое он ни от кого не скрывает, и даёт его Теграну, чтобы он передал его Ане. Но Тегран не передаёт это число Ане. Теперь у Теграна есть два секретных ключа key_a и key_b, с помощью которых он может читать и изменять зашифрованную переписку Ани и Бориса.
А у Ани и Бориса поддельные ключи Теграна. Например, Аня даёт письмо Теграну, чтобы он передал его Боре. Тегран расшифровывает письмо, используя ключ key_a. Делает с содержимым, что угодно. Зашифровывает письмо обратно с помощью ключа key_b и отдаёт письмо Боре.
Пример:
| Аня | Тегран | Боря |
| p = 23 | p = 23 | p = 23 |
| g = 5 | g = 5 | g = 5 |
| a = 6 | ta = 7, tb = 8 | b = 9 |
| g_a = 8 | g_ta = 17, g_tb = 16 | g_b = 11 |
| key_a = 12 | key_a = 12, key_b = 8 | key_b = 8 |
Быть посредником постоянно для всех секретных чатов — это гарантия дискредитации и очень большая нагрузка на серверы Telegram. Но на стороне сервера всегда можно дождаться момента нового запроса на создание секретного чата и войти посредником. Или инициировать отмену секретного чата, чтобы собеседники создали новый.
Собеседникам (в официальных клиентах Telegram для iOS и Android) при каждом новом секретном чате нужно по дополнительному каналу связи вручную сравнивать визуальную часть общего ключа, чтобы удостовериться в их идентичности. В официальных клиентах после отмены сессии секретного чата ключи удаляются, и сверить их в будущем уже нельзя (при этом отмена сессии может быть инициирована со стороны сервера Telegram). Важный нюанс состоит в том, что хоть и исходный коды официальных клиентов опубликованы, нет никаких гарантий, что те версии, опубликованные в App Store и Google Play, не манипулируют отображением визуальной части общего секретного ключа клиента (о таких гарантия читайте в ответах на вопросы) в определённых сессиях.
Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах? Да. При этом секретный ключ клиентов сессии будет разный. В какой из сессий секретных чатов это может произойти, предугадать невозможно, и зависит только от решения на стороне сервера Telegram.
Может ли сервер Telegram изменять содержимое сообщений по своему усмотрению? Да. Т.к. у сервера Telegram могут находится два общих секретных ключа для обоих собеседников, сервер Telegram может вносить любые изменения в передаваемые сообщения.
Может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)? Да. Что автоматически следует из ответа на самый первый вопрос.
Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников? Да. Сервер Telegram в любой момент может инициировать секретный чат между собой и любым собеседником. При этом второй собеседник (реальный, от лица которого выступает Telegram) о происходящем не будет знать, если его не оповестить по независимому от Telegram каналу.
Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям? Telegram предоставляет исходный код клиентов, но не предоставляет исходный код сервера. Есть два возможных варианта доказательства заботы о конфиденциальности переписки своих клиентов:
- Предоставить исходный код сервера Telegram (как это делает Signal), чтобы при необходимости группы людей или компании, которые хотят гарантированной конфиденциальности, могли использовать свои проверенные версии сервера и клиентов Telegram на своём оборудовании. В этом случае за конфиденциальность отвечают только эти группы людей и компании. Все другие могут спокойно продолжать пользоваться официальными клиентами и официальным сервером, если вопрос конфиденциальности переписки для них не актуален.
- Создать центр сертификации с открытым исходным кодом и добавить возможность его использования в клиентах. Это просто программа, которую группы людей или компании могут развернуть на любом своём сервере. Например, вы используете проверенный на бэкдоры клиент Telegram, собранный из исходных кодов теми, кому вы доверяете. В настройках этого клиента вы добавляете адрес центра сертификации, своё учётную запись и корневой сертификат этого центра. В этом случае вы спокойно можете продолжать пользоваться официальным сервером Telegram (его исходные коды не нужны, он вообще не используется для связи с центром сертификации). А все секретные чаты визуально отмечаются небезопасными до тех пор, пока у обоих собеседников не подключён один и тот же центр сертификации, который подтвердит идентичность ключей обоих собеседников.
[ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать? Причины кроются в самой личности Павла Дурова и становлении проекта Telegram. Всё со ссылками на заявления и публикации в СМИ детально расписано Павлом Ивановым вот в этом материале. (нет смысла его пересказывать, просто отстранитесь от того, что вы знаете о Павле Дурове, от его навязанного образа, и вдумчиво прочитайте).
[ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится? Действует ли ведомство Жарова напрямую, или его используют вслепую — это не важно. Почему до сих пор не удалена программа Telegram из App Store и Google Play Store — это не важно. Почему до сих пор не заблокированы серверы push-уведомлений Google и Apple — это тоже не важно.
Закончится всё ровно тогда, когда очередные новости о действиях Роскомнадзора больше не будут являться инфоповодом как в России, так и за рубежом. Т.е. наступит определённое насыщение — основная масса людей, которую можно было бы убедить, что проект Telegram является оплотом свободы, техническим совершенством и обеспечивает полнейшую конфиденциальность переписки, уже будет убеждена.
Источник: www.ixbt.com
Как ломают Телеграм и способы защиты от взлома
Лента
На чтение 5 мин
Любой аккаунт в телеграмме — это отличная цель для хакеров. А если он ещё и принадлежит владельцу канала с большой аудиторией — тем более. Сегодня мы расскажем, как взломать Телеграмм аккаунт и как от этого можно защититься.
Можно ли взломать Телеграмм
Мессенджер Telegram считается одним из самых надежных в своей категории. У разработчиков получилось достичь этого с помощью использования особого протокола телеграмма — MTProto. По заверению создателей, он обеспечивает наибольшую защиту персональных данных и переписок в предложении.
Для обоснования безопасности программы, разработчики даже объявили специальный конкурс: любой желающий мог попробовать взломать «телегу». Победителю достался бы денежный приз. Итак, попытаемся разобраться, как можно взломать группу в телеграмме, аккаунт, канал.
Часть протокола MTProto находится в открытом доступе. Протокол основан на общедоступных алгоритмах криптографического шифрования. Разумеется, создатели мессенджера предприняли меры для защиты от различных атак, но быть на 100% уверенными в безопасности этой системы они не могут.
Именно поэтому нельзя сказать, что Telegram гарантированно безопасный. Для примера опишем один очень распространенный способ, с помощью которого мошенники взламывают учетные записи в телеграмме. Пользователь получает в мессенджере сообщение от своего друга или знакомого с текстом, где просят что-то скачать, или обещающим, какой-нибудь выигрыш, или возможность для заработка, если перейти по такой-то ссылке. Так как он действительно общался с этим человеком, он ему доверяет. Но перейдя по этой ссылке, человек просто передает свой аккаунт в распоряжение злоумышленников.
И таких случаев очень много, поэтому важно обезопасить свой аккаунт от взломов. Подробную инструкцию о том, как это сделать, мы описали ниже.
Взлом Телеграмма: самые популярные случаи
В основном, все массовые случаи взлома телеграмм-аккаунтов совершаются группой мошенников с целью шантажа и вымогательства денег. Самые известные «версии» таких взломов:
- Письма «несчастья». Это те самые случаи с переходом по ссылкам от своих контактов, который мы описали выше. Дальше — хакеры получают доступ к вашей учетке и говорят, что вернут ее только за определенную сумму.
- Вымогательство через ботов. В Телеграмме появился новый метод мошенничества — логины и пароли, личные данные пользователей собираются локальными ботами, а затем люди получают электронные письма, в которых шантажисты обещают раскрыть личную информацию о деятельности жертвы в сети, отправить ее их друзьям, родственникам и т.д.
- Перехват смс-кодов. Такая участь может ждать пользователей не включавших двухфакторную аутентификацию. Хакеры входят в ваш аккаунт с помощью перехваченного кода-пароля и получают доступ ко всем вашим данным.
И подобных мошеннических схем как взломать Телеграмм учетных записей существует немало. Правда, иногда взлом бывает и не в корыстных целях. Так в марте 2022 года массовый взлом телеграмм-каналов произошел в связи с желанием хакеров размещения на них призывов к участию в незаконных акциях.
Взломали Телеграмм: что делать
Если кто-то пытается зайти в ваш телеграмм-аккаунт, вам придет сообщение с кодом-паролем для входа. В случае, если кто-то уже зашел с нового устройства, неважно с компьютера или смартфона, вам придёт оповещение с указанием айпи адреса, местонахождением, датой и временем нового входа. Если вы не совершали данный вход, значит, ваша учётная запись была взломана, и теперь ее могут использовать в корыстных целях. Вот некоторые решения, чтобы устранить данную проблему.
Сначала разберем ситуацию, когда у вас имеется доступ к приложению Telegram:
- Первым делом заходим в «
Настройки» мессенджера и переходим во вкладку «Устройства». - Здесь мы видим все активные сеансы. Нажимаем на красную кнопку «Завершить все другие сеансы».
Это позволило нам, так сказать, «выкинуть» злоумышленника с нашего аккаунта. Но полностью мы не защищены. Поэтому:
- Заходим в настройки безопасности и включаем двухфакторную аутентификацию.
- Это значит, что хакер не сможет войти в вашу учётную запись, потому что для входа понадобится не только код-пароль, который генерирует мессенджер, но и пароль, который будет установлен вами.
Совсем другая ситуация, когда у вас нет доступа к вашему Telegram-аккаунту (например, если телефон украли), тогда:
- Звоним своему оператору и просим заблокировать симку. Теперь для восстановления доступа к учетной записи, запрашиваем восстановление старого номера на новой симке.
- После этого заходим в свой аккаунт и удаляем «Активную сессию».
Также можно обратиться в службу поддержки телеграмма. Для этого:
- Переходим по ссылке telegram.org
- Описываем свою проблему, указываем номер телефона и емейл, чтобы с вами могли связаться.
Многие люди через телеграм отсылают свои личные данные, номера карт, паспорт и т.д. И не чистят за собой, но можно создать секретный чат и настроить автоудаление. И если во время взлома, мошенники завладеют этой информацией — они могут и дальше продолжать портить вам жизнь. А чтобы избежать этого — необходимо защитить свой аккаунт. Об этом ниже.
Как защититься от взлома в Телеграмме
Чтобы по максимуму защитить свой профиль от других, нужно сделать следующее:
2. Активируем дополнительный пароль.
3. Время от времени мониторим активность чужих устройств: смотрим на активные сеансы, следим за оповещениями от мессенджера.
4. Включаем автоудаление переписок после какого-то периода неактивности.(подробнее..)
Дополнительно: скрываем фото профиля и номер телефона. Чем меньше личных данных есть в открытом доступе, тем больше вы защищены от хакерских атак.
Кроме того, ни в коем случае не переходите по каким-то подозрительным ссылкам. Даже если они от близких.
Источник: teleggid.com
Как в Telegram читать сообщения так, чтобы собеседник об этом не узнал
На данный момент главными преимуществами мессенджера Telegram можно назвать то, что он признан одним из самых безопасных и конфиденциальных, поэтому у него, как у WhatsApp, нет возможности создать резервную копию данных. Команда разработчиков пытается сделать все возможное, чтобы у пользователей не было проблем с сохранностью личных данных, что делает его лучше того же WhatsApp. Именно поэтому тут, в отличии от WhatsApp, не выйдет вернуть удаленное сообщение.
Подробности
При этом очень интересным преимуществом можно назвать наличие секретных чатов, которые можно назвать безопасными и удобными.
Они дают возможность пользователям сохранить конфиденциальность переписки, при этом доступ к сообщениям не смогут получить даже разработчики Telegram. Секретный чат можно создать на главном списке чатов, нажав “Создать секретный чат”. При этом данный чат будет работать только на том устройстве, на котором он был создан, а после выхода с вашего аккаунта данный чат полностью пропадет. При этом в этих чатах можно настроить обратный счет для самоуничтожения сообщений, для чего нужно воспользоваться иконкой с часами.
Но для многих пользователей безусловным плюсом Telegram являются не секретные чаты, а возможность прочитать сообщение собеседника так, чтобы он об этом не узнал. Это будет очень удобно в том случае, если вы не особо заинтересованы в диалоге с пользователем, который вам пишет. Безусловно, вы можете прочитать сообщение, просто зайдя в чат, но тогда вашему собеседнику станет понятно, что вы прочитали его сообщение, но проигнорировали его. Но Telegram дает возможность сделать это без неловкостей.
В том случае, если вы пользуетесь Telegram на смартфоне, работающем на базе операционной системы Android, нужно зажать аватарку нужного чата в списке чатов, после чего чат откроется во всплывающем окне и вы сможете прочитать сообщения. В этом случае не нужно тянуть его вверх, поскольку тогда вы попадете в полноценную версию чата и ваш собеседник увидит, что вы прочли сообщение. В смартфонах на базе iOS без 3D Touch это работает точно так же, а вот в случае, если у смартфона таки есть поддержка этой технологии, надо не задержать палец на аватарке, а просто нажать на нее сильнее.
Еще один способ незаметно почитать сообщения – включить авиарежим, открыть чат, просмотреть нужные сообщения, после этого закрыть приложение Telegram и после этого включить связь обратно.
Источник: prostomob.com