В статье мы рассмотрим критерии, по которым можно оценивать безопасность наиболее популярных мессенджеров, риски, связанные с использованием мессенджеров, а также способы и методы злоумышленников, которые с их помощью охотятся за вашими деньгами и личными данными.
Безопасность переписки в мессенджерах
Введение
Бывают ситуации, когда для решения какого-либо вопроса необходимо срочно переслать другому человеку фотографию или реквизиты своего паспорта. Например, вы с друзьями собрались на выходные съездить в Санкт-Петербург. Чтобы выгодно купить билеты сразу на всю компанию, ваш друг просит выслать ему паспортные данные.
Другой случай: вы заключаете договор на оказание каких-либо услуг и, чтобы не встречаться лично с контрагентом, направляете копию своего паспорта через систему обмена сообщениями. Это быстро и удобно, но одновременно опасно.
Общение в мессенджерах стало настолько привычным, к тому же декларируемое шифрование переписки вызывает чувство безопасности, поэтому мы зачатую без каких-либо сомнений делимся в чатах своими персональными данными и, возможно, даже реквизитами банковских карт. При этом, кто из нас задумывался, насколько надёжно защищена переписка в мессенджерах?
Шифрование Диффи-Хеллман. Шифрование в телеграмм
Что произойдёт, если доступ к ней получат посторонние лица? Между тем мошенники изобрели множество методов, чтобы похищать персональные данные и денежные средства посредством приложений для обмена сообщениями. Кроме того, доступ к вашей переписке могут получить рекламные компании. Замечали ли вы случаи, когда после обсуждения какого-либо предмета в чате мессенджера, контекстная реклама с изображением этого предмета появлялась в других приложениях? Именно так корпорации, владеющие мессенджерами, зарабатывают на продаже ваших данных маркетологам и демонстрации таргетированной (персонализированной) рекламы.
Мессенджеры и безопасность данных
- Сквозное шифрование. Во многих последних версиях популярных мессенджеров (WhatsApp, Viber, Signal) предусмотрено так называемое сквозное шифрование (end-to-end encryption, E2EE) переписки по умолчанию. При таком типе шифрования данные шифруются на устройстве отправителя, а расшифровываются на устройстве получателя. Весь путь они проделывают в зашифрованном виде. Ключи шифрования также хранятся на устройствах отправителя и получателя, а не на сторонних серверах. В таких мессенджерах как Telegram, Facebook Messenger и Skype сквозное шифрование предусмотрено только для секретных чатов. При этом в Telegram реализован собственный протокол шифрования – MTProto, позволяющий применять несколько алгоритмов шифрования (используются 256-битное симметричное шифрование AES, алгоритм RSA-2048, обмен ключами методом Диффи-Хеллмана). Стоит отметить, что в Telegram сквозное шифрование не работает для групповых чатов, в то время как в WhatsApp, Viber такие чаты также защищены шифрованием. А версия Telegram для настольных ПК не поддерживает сквозное шифрование ни в одной из операционных систем, кроме операционной системы MacOS.
Угрозы, связанные с использованием мессенджеров
Приложения мессенджеров активно используют злоумышленники, чтобы похищать персональные данные, личную информацию и реквизиты банковских карт. Для этого они эксплуатируют уязвимости приложений, применяют методы социальной инженерии, рассылают фишинговые сообщения.
Шифрование сообщения. Секреты telegram и whatsapp
Ниже рассмотрим, какие угрозы касаются программ для обмена сообщениями:
- Уязвимости. Наиболее частными ошибками в приложениях мессенджеров являются слабые алгоритмы шифрования, небезопасные реализации SSL-протокола, возможность создать и прослушивать голосовое соединение до ответа пользователя на поступивший звонок.
- Вредоносные ссылки и файлы. Злоумышленники используют методы социальной инженерии, чтобы побудить жертву открыть файл или ссылку. Зачастую они представляются сотрудниками банка, подделывая «никнеймы» и «аватарки». Например, вам в мессенджер может поступить сообщение якобы от Сбербанка с номера 900, при этом вместо нулей будут использованы буквы «О» – 9ОО. В сообщении будет сказано, что с вашей банковской карты совершена покупка (перевод денег), а если вы её не совершали, то для связи с банком необходимо позвонить по указанному в сообщении телефону. Если пользователь позвонит, то операторы-мошенники, используя методы социальной инженерии, постараются выведать у него реквизиты банковской карты.
- Сообщения с взломанных аккаунтов. Получив доступ к учетной записи пользователя мессенджера, злоумышленник автоматически получает доступ ко всем его контактам. Это позволяет ему, выдавая себя за другого, рассылать по всем чатам сообщения с просьбой о перечислении денежных средств или с прикрепленными вредоносными файлами. Многие пользователи, получая такое письмо от «своего знакомого», попадаются на уловку мошенника.
- Предварительный просмотр ссылок. При получении входящего сообщения, содержащего ссылку или файл, мессенджеры формируют небольшое окно предварительного просмотра с кратким описанием страницы или файла – так называемое «превью». Для того чтобы создать такое превью, программа автоматически открывает эту ссылку или загружает файл, что потенциально может привести к заражению устройства вредоносной программой.
- Возможность доступа к переписке третьих лиц. Вы можете использовать все известные способы защиты своего смартфона, но не в силах требовать того же от своих собеседников. Нет гарантии, что к их устройствам не получит доступ кто-то ещё. Например, у вашего знакомого украли телефон, который не был защищен пин-кодом. Злоумышленник сможет прочитать всю вашу переписку или восстановить её из резервной копии.
- «Текстовые бомбы». Существуют определенные наборы символов, которые мессенджер не в состоянии обработать. В результате получения сообщения с подобным набором текста нарушается нормальная работа программы, и её приходится переустанавливать.
Заключение
Стопроцентную защиту от утечки информации не предоставляет ни одна программа мгновенного обмена сообщениями. У всех мессенджеров есть определенные преимущества и недостатки. В некоторых предусмотрено больше механизмов, позволяющих пользователю защитить свои данные, другие привлекают своей популярностью. Необходимо знать особенности и функционал мессенджеров, чтобы постараться максимально обезопасить свои данные.
При этом риск передачи информации третьим лицам существует в любом случае, какой бы мессенджер вы не выбрали. Даже сквозное шифрование и двухфакторная аутентификация не гарантируют полной защищенности. Поэтому для обмена действительно конфиденциальными данными (финансовой информацией, важными документами, фотографиями, для которых есть риск компрометации) не стоит использовать подобные программы.
Рекомендации
- Скачивайте приложения мессенджеров только с сайтов разработчиков и официальных магазинов приложений.
- Настройте двухфакторную аутентификацию в приложении мессенджера.
- Убедитесь, что выбранные вами приложения используют сквозное шифрование.
- Запретите в настройках получение сообщений от незнакомых контактов.
- Отключите автозагрузку файлов.
- С подозрением относитесь к полученным ссылкам и файлам, даже если они поступили от известного отправителя. Прежде чем переходить по ссылке или открывать файл, узнайте другим способом связи, действительно ли ваш знакомый отправлял их.
- Отключите функцию, позволяющую просматривать ваш профиль всем пользователям (сделайте его доступным только для ваших контактов).
- Избегайте обмена конфиденциальной информацией в чатах.
- Отключите функцию сохранения резервных копий переписки в облаке, т.к. они хранятся в незашифрованном виде.
- Соблюдайте осторожность при использовании мессенджеров через общедоступные сети Wi-Fi.
- Блокируйте свои устройства пин-кодом.
- Регулярно обновляйте все установленные программы и операционную систему своих устройств.
Источник: safe-surf.ru
Чаты Telegram по умолчанию не зашифрованы
Артур Шевцов / Shutterstock.com
Telegram и Signal — широко популярные приложения для обмена сообщениями, ориентированные на конфиденциальность. Однако у этих двух приложений есть некоторые большие различия: хотя все сообщения, отправленные через Signal, по умолчанию всегда зашифрованы сквозным шифрованием, сообщения Telegram — нет. Сквозное шифрование — это дополнительная функция Telegram.
Почему важно сквозное шифрование
Сквозное шифрование означает, что только отправитель и получатель сообщения могут видеть его содержимое. Даже компания, использующая сервер в середине разговоров, не может видеть содержимое сообщений.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
С Signal все разговоры всегда зашифрованы из конца в конец: Signal Foundation не может видеть содержимое сообщений.
С Telegram компания, отвечающая за Telegram, технически способна просматривать содержимое сообщений на своих серверах.
Конечно, в Telegram все еще есть шифрование: шифрование используется для передачи сообщений между вашим приложением Telegram, серверами Telegram и приложением Telegram другого человека. Ваш интернет-провайдер, оператор сети и любые третьи лица, отслеживающие вашу активность в Интернете, не могут видеть содержимое ваших сообщений. (Это большое улучшение по сравнению с традиционными SMS, которые позволяют вашему оператору сотовой связи видеть все ваши сообщения!)
Если, например, в будущем серверы Telegram будут взломаны, злоумышленники смогут увидеть содержимое разговоров людей в Telegram. Однако, если серверы Signal были взломаны, злоумышленники не могли видеть разговоры.
В этом отношении Telegram и Signal очень разные. Telegram — это гораздо больше традиционного приложения для обмена сообщениями. Он синхронизирует ваши чаты между вашими устройствами и сохраняет их в облаке. Если вас не волнует сквозное шифрование, это нормально, а функции Telegram определенно могут быть удобными.
Но если вы отправляете конфиденциальную информацию или просто хотите, чтобы ваши разговоры не отслеживались, вам следует использовать сквозное шифрование.
Как зашифровать сообщения в Telegram
Вам не нужно переключаться на Signal, чтобы использовать сквозное шифрование. Он встроен прямо в Telegram. Это просто дополнительная функция, о которой большинство людей не знает.
В Telegram зашифрованы только «секретные чаты». Чтобы использовать сквозное шифрование Telegram, вы должны начать секретный чат, нажав на имя человека, кнопку «Еще» или кнопку меню и «Начать секретный чат».
Секретные чаты появляются отдельно от несекретных чатов в списке чатов Telegram. Для секретных чатов Telegram показывает имя человека зеленым рядом с зеленым значком замка. Если вы уже с кем-то разговариваете, вы увидите два отдельных разговора в своем списке.
В секретном чате вы также можете включить таймер самоуничтожения для сообщений, гарантируя, что они будут удалены через заданный промежуток времени. (Конечно, человек, с которым вы разговариваете, всегда может сделать снимок экрана вашего разговора, чтобы сохранить его, если захочет.)
Telegram не может синхронизировать свои секретные чаты
Из-за сквозного шифрования секретные чаты не синхронизируются между приложением Telegram на нескольких устройствах. Секретный чат на одном устройстве остается на этом устройстве. Поэтому, если вы начнете секретный чат на своем телефоне, вы не сможете продолжить тот же секретный чат на планшете или компьютере. Он остается на вашем телефоне.
Signal был разработан с нуля для сквозного шифрования, поэтому он может дополнительно синхронизировать сквозное шифрование между вашими устройствами. Signal позволяет связать приложение на телефоне с другим устройством, например ПК с Windows, Mac или iPad. Вы можете вести разговоры между несколькими устройствами, не жертвуя сквозным шифрованием, как в случае с Telegram.
Telegram не может непрерывно шифровать групповые сообщения
Telegram предлагает огромные групповые чаты с количеством участников до 200000 человек. Однако в Telegram только разговоры один на один могут быть зашифрованы сквозным шифрованием с помощью функции «секретных чатов».
Signal поддерживает только до 1000 человек в групповом чате. Однако эти групповые чаты всегда зашифрованы. Если вам нужны групповые чаты с непрерывным шифрованием с тремя или более людьми, вам следует выбрать приложение Signal.
Другими словами, групповые чаты Telegram идеально подходят для крупных публичных каналов с тысячами людей, а функция группового чата Signal идеально подходит для частных бесед с меньшим количеством людей.
Сигнал лучше всего подходит для сквозного шифрования
Сигнал
Telegram, несомненно, является отточенным приложением для обмена сообщениями с приятным интерфейсом. Замечательно, что он также предлагает возможность секретного чата со сквозным шифрованием.
Однако, если вы действительно заботитесь о сквозном шифровании, вам следует использовать вместо него Signal. В Signal шифрование не является дополнительной функцией — оно встроено в каждый ваш разговор. Все функции Signal, включая синхронизацию сообщений между устройствами и групповые чаты, работают со сквозным шифрованием.
Такая простота использования очень помогает привлечь людей к безопасному приватному чату. Если вы хотите общаться со своими друзьями, членами семьи или коллегами с помощью сквозного шифрования, им будет намного проще использовать Signal. Сквозное шифрование «просто работает» во всех разговорах, и вам не придется объяснять им разницу между секретными и несекретными чатами, как в Telegram.
Telegram и Signal просто разные
Так что лучше, Signal или Telegram? Ну они разные. По состоянию на начало 2021 года у Telegram явно был более блестящий, более отполированный интерфейс с более красивыми наклейками и фоном для чатов. Он также идеально подходит для крупных публичных каналов, что делает его своего рода социальной сетью.
Обновление: в 2021 году Signal добавил множество ярких функций, в том числе обои для чата, анимированные стикеры и поле «О себе» для вашего профиля.
Однако, если вы ищете сквозное шифрование, чтобы компания, управляющая приложением чата, не могла видеть ваши сообщения (и к ним не могли получить доступ хакеры, взламывающие серверы компании), Signal — лучший вариант. .
К счастью, Telegram, по крайней мере, предлагает в качестве опции сквозное шифрование. Если вам когда-либо понадобится передать конфиденциальную информацию (например, финансовые данные), вы можете переключиться в секретный чат для этого.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Источник: cpab.ru
Ключи шифрования telegram. Правда, что их нет у телеграм?
Полезные программы
Автор Admin На чтение 2 мин Просмотров 628 Опубликовано 14.04.2018
Дуров говорит, что не может дать ключи шифрования telegram о данных пользователей, потому что их попросту нет, но так ли это на самом деле? Давайте разбираться.
Техническая сторона telegram
Немного технической стороны. В основе телеграма лежит собственная разработка брата Дурова – протокол MTProto, который предполагает применение нескольких протоколов шифрования. Для защиты данных используются следующие алгоритмы:
DH-2048, RSA-2048 (для авторизации и аутентификации);
AES (для пересылаемых сообщений);
SHA-1, MD5 (криптографические хеш-алгоритмы).
Два вида чатов в телеграм
В Telegram есть два вида чатов: облачные и секретные.
Все облачные чаты шифруются посредством алгоритма AES с ключом, который известен клиенту и серверу. То есть данный ключ имеется на стороне телеграма. Технически, Дуров может передать ключ AES и ФСБ получит то, что так хочет. Однако сам он неоднократно заявлял, что позиционирует свой мессенджер как безопасный и приватный, так что я не особо верю в его сотрудничество с властями.
Только в секретных чатах используется шифрование end-to-end (сквозное шифрование), то есть сообщение шифруется на телефоне отправителя, а расшифровывается только у получателя, так что Telegram не видит содержимое сообщения, так же это хорошая защита от любого перехвата, ведь подобрать ключ просто не получится. Не забываем, что сообщения в секретных чатах не хранятся на серверах и все данные находятся в телефонах людей, разве это не добавляет уютности?
Вывод о ключах телеграм
Не смотря на то, что Дуров говорит не совсем корректно касательно невозможности передачи ключей, вся переписка хранятся в зашифрованном виде, распределяется на различных подсистемах и не хранится в одном месте. Большинство людей пользуются обычными чатами и такое стремление ФСБ получить от них ключи говорит только о том, что им важна не защита, а именно полный контроль. В любом случае у ФСБ нет права требовать лишить людей их права на тайну переписки.
Что же, телеграм защищенное и удобное средство общение, радует его открытый код на стороне клиента и применение стойких средств криптографии. И совет на последок. Для улучшенной защиты я советую пользоваться секретными чатами, надеюсь в скором времени они будут включены по умолчанию.
Источник: 7sof.ru