Специалисты компании Falcongaze, которая занимается обеспечением информационной безопасности, разработали методику, которая позволяет перехватывать сообщения в Telegram. Этим они опровергли защищенность мессенджера Павла Дурова, сообщает сайт компании.
Зачем взламывать Telegram
Не секрет, что многие сотрудники используют популярный мессенджер с оконечным шифрованием для разговоров о начальстве, коллегах, обстановке в компании, а также могут передавать с его помощью секретную информацию.Эксперты создали технологию перехвата сообщений для обеспечения корпоративной безопасности.
Перехватывается всё: сообщения, фото, видео, аудио
Инструмент SecureTower позволяет осуществлять контроль и мониторинг мессенджера. Он способен перехватывать сообщения в Telegram, которые один пользователь отправил другому, а также получат доступ к аудио, видео и изображениям, отправленным в мессенджере.
По словам генерального директора Falcongaze Александра Акимова, SecureTower позволяет бороться с нелояльными руководству компании работниками, которые сотрудничают с конкурентами, и предотвращать утечку корпоративной информации. Однако он подчеркнул, что инструмент не будет использоваться для чтения личной переписки сотрудников.
Как прочитать переписку
Ксения Шестакова
Источник: police-russia.ru
Личные тайны: как защитить свою переписку в мессенджерах
Рассказывает руководитель проекта «Банки.ру — мобильная связь и интернет» Антонина Самсонова.
37 588 просмотров
Сейчас мы пользуемся тем, о чём раньше не могли и мечтать. Интернет на каждом шагу, гаджеты на любой вкус, электронные деньги, телемедицина, «умные» дома.
Но у любой медали есть обратная сторона. За цифровые блага мы вынуждены платить утратой конфиденциальности. В сети «гуляют» наши личные данные, злоумышленники могут залезть в электронный кошелёк, а личная переписка часто становится достоянием общественности.
Можно ли в таких условиях защитить свои тайны и личную жизнь? Давайте разбираться.
От кого мы защищаемся
Чтобы понять, насколько серьёзные методы защиты стоит применять, нужно определиться, от кого мы хотим защитить нашу переписку.
Все мы люди, ситуации и темы для обсуждения бывают разные, у всех есть личная жизнь. Если ваши близкие и коллеги не хакеры, а обычные пользователи, то достаточно простой защиты устройства. Пароль на вход и своевременное обновление операционной системы. И обязательно следить за тем, чтобы ваши устройства (полностью или частично) не попадали в чужие руки.
К примеру, вы общаетесь со смартфона и используете один из следующих мессенджеров: WhatsApp, Viber и Telegram. Сильная сторона этих программ (и их же слабость) — использование номера телефона в качестве уникального идентификатора.
Не имея доступа к номеру, никто в вашу переписку не заберётся. Но номер телефона — это ваша SIM-карта. Любой человек, у которого в руках оказался ваш телефон или сама SIM-карта, автоматически становится вами для мессенджера.
Как спецслужбы читают мессенджеры?
Если вспомнить, как часто злоумышленники совершают кражи данных с помощью перевыпуска SIM-карт, такой способ защиты уже не выглядит надёжным.
Тут нам приходит на помощь двухфакторная аутентификация: если защитить мессенджер ещё и паролем, никто, кроме вас, не доберётся до личных сообщений.
С этим разобрались. А кто ещё может читать ваши сообщения? Прежде всего, администраторы самих мессенджеров, спецслужбы и злоумышленники. И тут всё гораздо интереснее.
End-to-end-шифрование
Большинство специалистов по безопасности признают метод end-to-end-шифрования одним из самых надёжных. Он защищает практически от любого несанкционированного проникновения в переписку.
Данные передаются в сети и хранятся на сервере администратора мессенджера в зашифрованном виде, а ключи доступны только участникам разговора. Таким образом, ни спецслужбы, ни администрация мессенджера, ни злоумышленники доступа к ключам не получат.
Давайте разберёмся, как это работает. В начале сеанса связи у каждого из собеседников генерируются по два ключа. Один ключ — открытый — передаётся по сети собеседнику и работает для зашифровки сообщения.
Второй — закрытый — остаётся на устройстве. Закрытый ключ используется для расшифровки сообщений. Расшифровать данные можно только при помощи этого ключа. Он никуда не передаётся, переписка становится защищённой.
Все ли популярные мессенджеры автоматически используют end-to-end-шифрование? К сожалению, нет. И тут нам приходят на помощь специалисты по безопасности и обнаружению целенаправленных атак.
До недавнего времени большинство мессенджеров не шифровало сообщения. Так, в Telegram end-to-end-шифрование реализовано только в функции секретных чатов, которая появилась в конце 2013 года. В этом случае никто не сможет получить доступ к сообщениям или подменить информацию (ни провайдер, ни разработчик мессенджера).
Важно понимать, что секретные чаты, а значит и end-to-end-шифрование, доступны только пользователям мобильных устройств. В десктопных версиях эта функция отсутствует (исключением является macOS). Недавно end-to-end-шифрование на базе Signal стало использоваться другими программами: WhatsApp, Facebook Messenger и Google Allo.
Viber внедрил протокол Proteus, но это практически Signal. В целом, обычный пользователь может считать свою переписку в этих мессенджерах защищённой. Но от взлома путём кражи аккаунтов iCloud или Google Account эти мессенджеры не защитят, так как они делают резервные копии истории переписки в облаке в незашифрованном виде. Тогда как Signal, WIRE и Telegram не копируют историю переписки в облако.
Андрей Воронов, технический директор Cezurity
Опасные и безопасные сети
Сейчас много разговоров ведётся о небезопасности открытых Wi-Fi. О том, что при использовании конфиденциальных данных в общих сетях следует соблюдать осторожность. Это, безусловно, так.
Особенное внимание надо уделить платёжным данным. Не рекомендуется использовать мобильный банк в общей сети Wi-Fi, так как пароль легко перехватить (а также подсмотреть через плечо).
А что же с мессенджерами? Как ни странно, открытые Wi-Fi-сети не представляют никакой угрозы тайне вашей переписки, если мессенджер использует end-to-end-шифрование. Если же ваши данные не шифруются, то легко могут «утечь» в сеть.
Большой брат следит за тобой
Любимая страшилка со времен разоблачений Сноудена состоит в том, что спецслужбы, хоть наши, хоть чужие, постоянно за всеми следят.
На этой волне люди начинают защищаться любыми доступными способами: заклеивают глазки камер на устройствах, удаляются из социальных сетей, используют вымышленные аккаунты. Тайна переписки в таких условиях становится ещё важнее для пользователя.
Давайте взглянем трезво, могут ли спецслужбы получить доступ к нашей переписке?
Предположим, администрация мессенджера не использует end-to-end-шифрование, но шифрует данные, передаваемые по сети. То есть перехватывать их нет смысла.
Но на сервере мессенджера они хранятся в открытом, либо в легко дешифруемом администрацией виде. Значит, при необходимости у администрации эти данные можно запросить. И она имеет право их предоставить.
Не стоит забывать также и о том, что, как я уже писала выше, получить данные можно, просто завладев устройством пользователя или получив к нему удалённый доступ. Поэтому современные антивирусы, своевременное обновление ПО и оригинальные пароли защитят ваше устройство и вашу личную жизнь от большинства угроз.
Но если всего вышеперечисленного вам недостаточно, чтобы чувствовать себя защищённым, то вот совет от директора департамента анализа защищенности Digital Security Алексея Тюрина.
Если вам нужно максимально безопасно использовать конкретный мессенджер, который не поддерживает end-to-end-шифрование, единственный рабочий и проверенный вариант — использовать шифрование PGP. Это специальная программа и библиотека функций, позволяющая не только шифровать текст, но и использовать цифровую подпись для файлов и данных.
Зашифрованные PGP данные представляют собой текст, который можно отправить в мессенджере, по почте, распечатать на принтере и передать лично. Ни администраторы мессенджера, ни злоумышленники не смогут посмотреть содержимое вашей переписки.
Но нужно помнить о метаданных: им всё ещё доступен список собеседников, время отправки сообщений и IP-адрес, по которому можно установить ваше местоположение с точностью до города.
Источник: vc.ru
Верховный суд отказал Telegram по праву россиян на тайну переписки
Telegram требовал признать недействующим приказ ФСБ о передаче ключей для расшифровки сообщений пользователей, но суд согласился с позицией ФСБ, что сбор данных для декодирования не является нарушением тайны связи.
В Верховном суде Российской Федерации состоялось заседание по иску компании Telegram Messenger LLP, которая оспаривает приказ ФСБ от 19 июля 2016 года № 432. Истец ссылается, что приказ противоречит закону об информации, закону о ФСБ и принят неуполномоченным органом с превышением полномочий. Также, по мнению истца, противоречит другим законным актам, в частности законам о противодействии коррупции и антикоррупционной экспертизе и об оперативно-розыскной деятельности. Интересы мессенджера в суде представляет адвокат ассоциации «Агора» Рамиль Ахметгалиев. На заседании присутствовала медиаюрист Центра цифровых прав Екатерина Абашина, которая вела онлайн-трансляцию прямо из зала суда.
«Позиция Телеграма: речь идёт об информации ограниченного доступа, а в Приказе ФСБ нет ни сроков, ни формы передачи данных, — сообщает она. — Произвольное регулирование типа такого недопустимо.
Теперь ФСБ отвечает: [они] считают приказ принятым строго в соответствии со своими полномочиями. […] ФСБ вот уже 5 минут рассказывает, как классно они соблюдали процедуру принятия приказа (это ответ на первый довод истца об отсутсвии полномочий на его принятия… приказ начали разрабатывать до вступления закона в силу). Довод ФСБ — информация для декодирования не является информациейй ограгиченного доступа. Поэтому УПУ [уголовно-процессуальному кодексу] и ФЗ [федеральному законодательству] об оперативно-розыскной деятельности не противоречит. У истца [якобы] есть возможность самостоятельно выбрать безопасный способ передачи информации для декодирования. Процедурные требования соблюдены при принятии приказа, информация не тайная».
Затем свои вопросы задавал Telegram, который пытался подвести ФСБ к ответу, что информация о дешифровке всё-таки ограниченная, потому что нужна для дешифровки переписки (соблюдение права на тайну связи, тайну переписки и т.п), но представительница силового ведомства привела довод о необходимости прямого указания на это в федеральном законе.
Часть этого диалога выглядела так:
— Уважаемый оппонент говорил о том, что информацию для декодирования нельзя отнести к информации ограниченного доступа. А информация какую функцию выполняет, для чего она нужна?
— Для того, чтобы расшифровать информацию, полученную в ходе ОРМ по судебному решению.
— Информация для декодирования — речь идет об информации для дешифровки конкретной переписки двух человек или всех пользователей?
— Мы запрашиваем информацию о конкретных пользователях.
— Ваш приказ предусматривает приложение к запросу конкретных судебных актов, где бы говорилось о переписке конкретных двух граждан, которую надо расшифровать?
— Я не поняла, предусматривает ли приказ приложение судебного решения? Уважаемый суд, я хочу еще раз для истца повторить, что информация запрашиваемая не является сведениями, составляющими тайну переписки. Соответственно, это не ограничивает права граждан, и судебное решение не требуется.
— Как сроки исполнения определяются? Произвольно определяются?
— Рассуждения истца об отсутсвии положений по срокам полагаю ошибочным и ничем не подтвержденным. К коррупциогенным факторам относится отсутствие срока принятия решения. Мне кажется очевидным, что ФСБ запрашивала у вас информацию, и организатор в тот или иной срок должен исполнить решение.
Представители ФСБ, Минюста и прокуратуры в ВС РФ на заседании по делу «Telegram vs ФСБ»
Как стало понятно из позиции ФСБ, силовое ведомство вообще не считает, что тайна переписки может распространяться на мессенджеры.
«Согласно позиции Конституционного суда, переписка граждан в мессенджерах не составляет охраняемую законом тайну, для получения доступа к которой ФСБ необходимо судебное разрешение», — отметила представитель ФСБ.
По словам представителя спецслужбы, без судебного решения ФСБ будет запрашивать информацию о конкретных пользователях, а не массивы данных о многих людях — в этом случае, «конечно, нужно будет решение (суда)».
Минюст и Генпрокуратура, по словам Екатерины Абашиной, вопросов к ФСБ не имеют, и в целом представитель министерства юстиции поддержал позицию силовиков и назвал доводы истца ошибочными. Утверждение нормативного правового акта до вступления в силу поправок в статью 10.1 149-ФЗ «Об информации», не влечет последствий отмены, потому что он вступает в силу после регистрации в Минюсте — приказ вступил в силу после вступления в силу соответствующих поправок.
Относительно полномочий сотрудник Минюста говорит, что ведомство провело экспертизу и установило: ФСБ не вышла за рамки своей компетенции, принимая приказ.
Передача информации для декодирования, по мнению представителя Минюста, не нарушакт права пользователей на тайну переписки, потому что её применение как инструмента должен осуществляться в соответствии с законодательством РФ. «Смысл такой, что передача инфы не тождественна дешифровке», — поясняет позицию Минюста Екатерина Абашина.
В целом, по её словам, позиция властей такая — ФСБ и Минюст не считают ключи шифрования sensitive data (чувствительными данными), поэтому в приказе ФСБ нет требований о приложении судебного акта к запросу о декодировании ключей.
«По поводу отсутсвия в приказе точных сроков для предоставления информации (а это правовая неопределённость) ФСБ ответила, что ведомтсво не заинтересовано устанавливать суперкороткие сроки, а с учетом наличия админответственности за бездействие ОРИ, мессенджер заинтересован предоставить информацию «в тот или иной срок»», — сообщает медиаюрист Центра цифровых прав.
Telegram отметил, что в приказе нет правил продления срока для передачи кодов.
Представитель Генрокуратуры в своём выступлении полностью повторил позицию Минюста.
В состоявшихся далее прениях Telegram подчеркнул: информация для декодирования по логике (вне зависимости от прямых указаний федеральном законе) является информацией ограниченного доступа, и именно в таком контексте должно рассматриваться дело. Недопустимо квалифицировать декодированные ключи как информацию для широкого доступа, и сравнить это можно с паролем на смартфоне. «Мессенджер имеет обязанность сохранять переписку в тайне, а требования ФСБ дискредитируют эту функцию», — заявил представитель Telegram.
«Уважаемые оппоненты говорили: «это необходимо для контроля переписки конкретных граждан». Но запрос поступил: «дайте информацию для декодирования с 19 июля и на будущее». Фактически, передайте любым способом на незащищенный ящик ФСБ.
Мой доверитель был, мягко говоря, удивлен происходящим, сохранность переписки — обязанность таких компаний, как Telegram, — сказал Ахметгалиев. — Что касается процедурных моментов: запрос отправляется 19 июля, поступил 21 июля, процедуры продления сроков нет. Как-то вопросы сроков же должны регулироваться — и не потому что нам так хочется, а потому что за нарушение сроков есть ответственность. В налоговой, например, есть срок, и есть ответственность за его нарушение».
Представитель ФСБ ответила: «Не спорим с профессиональной обязанностью организатора распространения информации (ОРИ) по сохранению тайны переписки, но декодер ключей — это не переписка, поэтому приказ тайной переписки не охраняется».
После получасового совещания судья Верховного суда РФ Назарова отказала Telegram в признании недействующим приказа ФСБ России от 19.07.2016 N 432 «Об утверждении Порядка представления организаторами распространения информации в информационно телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».
Судья Назарова оглашает решение по делу «Telegram vs ФСБ»
«Решение суда, думаю, для многих было ожидаемо. Но на этом отстаивание прав граждан России на тайну связи через российские и мировые судебные инстанции не заканчивается. Понятно, что даже если ЕСПЧ вынесет положительное решение по делу Telegram, как это произошло по кейсу «Захаров против России», вряд ли стоит надеяться на моментальные изменения. Но апелляция ко всем международным инстанциям будет иметь силу сильного внешнеполитического аргумента, благодаря которым российским властям в данном вопросе придется идти на компромиссы. Права граждан, обеспеченные конституционными нормами, выше желания спецслужб тотально контролировать коммуникации пользователей», — Саркис Дарбинян, РосКомСвобода.
Источник: roskomsvoboda.org