Анонимный режим в Телеге — как скрыть владельца канала или убрать анонимное сообщение

Хотите быть полностью анонимными в Telegram? Вот вам небольшое руководство.

1. Настройте параметры конфиденциальности. Установите все параметры, как на скриншоте ниже.

   как оставаться анонимным в телеграмме

Никто не сможет увидеть ваш номер телефона, когда вы были активны последний раз, никто не сможет указывать ваше имя при пересылке сообщений, которые написали вы, и никто не сможет позвонить вам через Telegram. Просматривать фото профиля и приглашать вас в групповые чаты смогут только те, у кого есть ваши контакты. Функции «Никто» для этих параметров нет. Но вы можете не ставить фотографию. А добавление в чаты можно ограничить: кто может приглашать вас туда, и кто нет.

Стоит помнить, что если ваш номер уже есть у кого-то в контактах, то они смогут его видеть в Telegram. Именно так действуют хакеры и некоторые правоохранительные органы: добавляют в записную книжку номера телефонов, а потом синхронизируют контакты в мессенджере.

1. Не указывайте имя пользователя (@username).  Если же без него никак, то хотя бы не делайте в нем отсылки к своим личным данным. Найти вас будет сложнее. Особенно, если другому пользователю неизвестен и ваш номер телефона. Если же личный номер телефона привязан к паспорту, то найти вас не составит труда. Что приводит нас к пункту 3.
2. Приобретите отдельную SIM-карту. К сожалению, не везде можно купить симку без паспорта. На такой случай есть сервисы, где можно купить анонимный виртуальный номер телефона. Также при регистрации может сработать, если вы воспользуетесь стационарным телефоном. Telegram отправит голосовое сообщение, если поймет, что вы не можете получить СМС.
3. Используйте секретные чаты с таймером удаления сообщений. Во-первых, сообщения в них шифруются «от устройства к устройству». Во-вторых, все сообщения хранятся на вашем устройстве, а не на сервере. В-третьих, сообщения из секретных чатов нельзя переслать. Можно настроить их автоматическое удаление после того, как собеседник прочтет. Оно исчезнет и у вас, и у собеседника.
4. Внимательно читайте, к какой информации просят доступ чат-боты. Вы уже не будете анонимны, если позволите им видеть ваш номер телефона.
5. Будьте предельно осторожны, когда выкладываете документы в чат. Они также сохраняют некоторые данные с вашего компьютера. Например, из документов Word можно узнать имя вашего компьютера. А из фото и видео может извлечь информацию о том, где и когда они были сделаны. Метаданные можно убрать с помощью специальных сервисов, а можно самостоятельно. Для этого нажмите на фотографию правой кнопкой мыши, перейдите в «Свойства», затем во вкладку «Подробнее». Чтобы стереть всю информацию, нужно нажать на «Удаление свойств и личной информации». Есть возможность выбора пунктов на удаление, а можно удалить все и сразу.

Следуйте этим правилам, и вычислить вас будет намного сложнее.

Читать в Telegram Информационная безопасность * Написать эту статью я решил, прочитав отзывы на свою реплику о том, что Telegram Павла Дурова, ставший, де-факто, инструментом координации протестного движения в ряде стран, не подходит для этой цели, поскольку имеет очевидные проблемы с приватностью. Должен отметить, что я не являюсь экспертом по компьютерной безопасности — я экономист, который пишет на досуге фантастические книги. Поэтому цель этой статьи — в первую очередь — предоставить площадку и повод высказаться экспертам. Предлагаю начать обсуждение с того, что при регистрации пользователя в Telegram необходимо сообщить номер своего сотового. Собственно, на этом можно и закончить. С точки зрения обеспечения приватности — это худшее из возможных решений. Хотите узнать почему? Увы, в большинстве стран мира для приобретения sim-карты необходимо предъявить паспорт. Даже в тех странах, в которых возможно анонимное приобретение sim-карты, её использование связанно с риском деанонимизации — сотовые компании собирают и хранят статистику подключений, так что IMEI телефона, ровно, как и данные о геолокации, будут зафиксированы и сохранены на долгие годы. Не спасет даже использование одноразового телефона — поскольку настоящий находится рядом и включен. Естественно, можно озаботиться и придумать схему обхода — но подобным, я думаю, способны озаботиться только люди, параноидально заботящиеся о собственной приватности. Включая, естественно, жуликов и террористов. Понимает ли Павел опасность сбора подобной информации? Вне всякого сомнения. История учит нас, что любые данные могут быть получены официально или похищены — через запросы суда, подкуп и шантаж сотрудников… Или через лазейки в клиенте — как случилось в Гонконге, когда власти загрузили в приложение огромное количество номеров, чтобы идентифицировать пользователей этих групп. Для защиты от этого, было разработано обновление мессенджера Telegram. Теперь, члены больших групп смогут поменять настройки и скрыть свои номера. Но, для участников протестов в Гонконге было уже поздно — данные утекли. И это вопрос жизни и смерти — подобные преступления караются лишением свободы на срок от трех лет до пожизненного заключения. Мог ли Павел защитить пользователей? Мог, при этом без особого труда — никто не украдет данные, которых нет. Чтоб перестать представлять опасность для пользователей из стран с тоталитарными режимами, Павлу нужно всего лишь перестать собирать их данные. Если Павел откажется от привязки учетной записи к sim-карте, значительная часть проблем с безопасностью исчезнет. Так почему Telegram реализует именно такое решение? Существует мнение, что это обоснованно используемой Павлом бизнес моделью. Известная максима гласит: «Если вы получаете что-то бесплатно – значит, товаром являетесь вы» — не убавить и не добавить. Павлу нужны ваши данные — так как целью его деятельности является получение прибыли. А получить её он может — продавая данные пользователей в обезличенном (надеюсь) виде и (или) показывая им персонифицированную рекламу. Нет ничего плохого в том, что пользователь поступается частью приватности — в обмен на удобный бесплатный сервис. Естественно — когда он предупрежден об этом и понимает сопутствующие риски. И если ему предоставлена возможность отказаться от этой сделки — зарегистрироваться и пользоваться сервисом анонимно. Анонимность не противоречит коммерческим интересам Павла — не получая денег от продажи данных, Павел может получать их напрямую от пользователей — через разные модели анонимных продаж. (Например, через Google Play Gift Cards — приобретаемую, в том числе и за наличные, подарочную карту, которую можно активировать и использовать для покупки различного цифрового контента в Google Play Market). Так почему это не было реализовано? Думаю, что под влиянием спецслужб — в последнее время по всему миру происходит «закручивание гаек» — повсеместное ограничение личных свобод. В этом случае — слежка за пользователями является условием выхода на рынок — программы, предоставляющие коммуникационные услуги без идентификации пользователей — закрываются при помощи административного ресурса. Сказанное касается только крупных продуктов — мелкие, пользуясь уловкой «Неуловимого Джо» пока остаются неохваченными. Так что, протестующим я бы рекомендовал координировать свою активность любом из непопулярных мессенджеров — или по электронной почте. Это решение, правда, имеет и негативные стороны — эффективность протеста в массовости, а подобные решения имеют высокий порог вхождения. На КПВД картина художника John Brosio Сцена после титров: Статья не будет пятничной, если я не добавлю в неё какую-нибудь шутку или загадку. Так вот — не так давно стал известен ответ на загадку Л. Кэрролла «Чем ворон похож на конторку?» — они покрыты перьями! Сумеют ли читатели Хабра дать ответ на более простую загадку (не заглядывая в гугл) — что общего у мыла и ворон? Завершая этот небольшой обзор, хочу сказать, что я известен на Хабре как автор статей хороших, плохих и средних. При этом средних статей — у меня откровенно мало — я стараюсь беспокоить публику только по значимым поводам — когда точно уверен, что мне есть что сказать. Эта статья средняя. И написана в виде эксперимента. Я бы хотел бы вести еженедельную пятничную рубрику — прекрасно понимая, что еженедельные заметки будут заметно уступать заметкам развполгодовым. Увы и ах — я не гений уровня Мартина Гарднера. А даже у него были проходные выпуски — вошедшие в канон, но не переведенные в СССР! Будет ли это востребовано? Решать вам. А я умываю руки, поскольку понимаю важность личной гигиены в период глобальной пандемии люблю вставлять в статьи отсылки и аллюзии.

Недавно WhatsApp изменил политику конфиденциальности пользовательских данных. Многим пользователям такой шаг не понравился — и это привело к бегству части из них из WhatsApp в другие мессенджеры, в том числе в Telegram. Судя по всему, именно этот «исход» помог Telegram всего за несколько дней набрать 25 миллионов новых пользователей — суммарная аудитория мессенджера теперь составляет более 500 миллионов пользователей.

Самое время рассказать о том, как нужно действовать, чтобы общение в Telegram было действительно безопасным и приватным.

Самое главное: сквозное шифрование в Telegram по умолчанию не используется

Первое, что нужно знать о Telegram: в «облачных» чатах — так Telegram называет стандартный тип чатов, которые используются по умолчанию, — не применяется сквозное шифрование. Что такое сквозное шифрование и почему оно важно для безопасности переписки — можно прочитать тут.

Если кратко, то это означает, что Telegram имеет доступ не только к метаданным (кому вы писали, когда писали и как много), как WhatsApp, но и ко всему содержимому переписки пользователей в стандартных чатах, используемых мессенджером по умолчанию. На данный момент, согласно политике конфиденциальности Telegram, эти данные не используются для рекламы. Но, как мы уже знаем по опыту, политика может измениться.

Как включить сквозное шифрование в Telegram: «секретные» чаты

При этом сквозное шифрование в Telegram есть — просто его нужно включать отдельно. Поэтому, если вы дорожите конфиденциальностью своих данных, надо не забывать использовать чаты, в которых сквозное шифрование включено, — Telegram называет их «секретными» чатами.

В «секретных» чатах и текст сообщений, и картинки, и видео, и все остальные файлы передаются с использованием сквозного шифрования. Ключ для расшифровки есть только у собеседников — поэтому Telegram не может получить доступ к этим данным.

Более того, содержимое «секретных» чатов не хранится на серверах Telegram. «Секретные» чаты хранятся только на устройствах участников переписки — как следствие, к ним нельзя получить доступ с другого устройства, плюс они исчезают при выходе из Telegram и при удалении приложения.

Секретные чаты доступны в приложениях для iOS, Android и macOS. В веб-версии и в приложении для Windows «секретные» чаты не поддерживаются, потому что эти версии не могут обеспечить безопасное хранение переписки на устройстве. Так что использовать Telegram для конфиденциальных разговоров на компьютере с Windows или Linux нежелательно.

Как создать «секретный» чат в Telegram

В текущих версиях приложений Telegram опция создания «секретного» чата спрятана довольно глубоко, и ее не так-то легко обнаружить — особенно начинающему пользователю мессенджера.

Чтобы создать «секретный» чат, необходимо открыть профиль вашего собеседника, нажать кнопку с тремя точками (иногда у нее есть подпись Еще, а иногда подписи нет) и выбрать Начать секретный чат.

Как создать «секретный» чат в Telegram

После этого откроется чат, сообщения в котором будут зашифрованы сквозным шифрованием (поначалу в окне чата даже будет об этом специально написано). Также можно установить время, по истечении которого ваши сообщения будут автоматически удаляться: для этого надо кликнуть на значок часов в панели ввода сообщения.

Как установить автоматическое уничтожение сообщений в Telegram по таймеру

Разумеется, автоматическое удаление сообщений не помешает вашему собеседнику сделать скриншоты, но в таком случае в чате появится сообщение об этом. Правда, есть исключение: если скриншот сделал пользователь на macOS, то уведомление об этом не придет.

Что еще полезно знать о Telegram: секретных чатов с одним и тем же собеседником может быть несколько. А вот групповые чаты «секретными» быть не могут, — в отличие от WhatsApp, в котором все чаты по умолчанию используют сквозное шифрование.

Как внутри чата понять, включено ли сквозное шифрование: иконка с замочком

Поскольку в Telegram есть два типа чатов — обычные «облачные» и «секретные», в которых включено сквозное шифрование, в некоторых случаях бывает важно вовремя понять, в каком из них вы общаетесь. Если в переписке есть какие-то очень важные данные, то лучше бы этому чату быть «секретным», верно?

К сожалению, внутри «секретные» и «облачные» чаты выглядят практически идентично, различаясь буквально несколькими деталями. Чтобы убедиться в том, что сквозное шифрование включено, поищите значок замочка рядом с именем или номером телефона вашего собеседника. Если замочек есть, то это «секретный» чат. Если замочка нет, то сквозное шифрование не включено — и лучше создать новый чат.

Как понять, что вы находитесь в «секретном» чате: ищите замочек вверху экрана

Также можно кликнуть по иконке вашего собеседника — если в чате используется сквозное шифрование, то в самом низу открывшегося окна отобразится строчка Ключ шифрования.

Как настроить безопасность и приватность в приложении Telegram

Также не помешает правильно настроить безопасность и конфиденциальность в приложении. Для этого нажмите кнопку Настройки в правом нижнем углу экрана и выберите пункт Конфиденциальность.

Настройки безопасности в Telegram

Первым делом следует позаботиться, чтобы кто-нибудь не прочитал вашу переписку в тот момент, когда вы случайно оставили разблокированное устройство без присмотра. Для этого на открывшейся вкладке выберите пункт Код-пароль, нажмите Включить код-пароль, придумайте пин-код, который вы не забудете, задайте его и подтвердите.

После этого выберите пункт Автоблокировка и установите какое-нибудь небольшое значение — одну минуту или пять. Если ваше устройство поддерживает вход по отпечатку пальца или по распознаванию лица — можете включить здесь же соответствующую опцию.

Как правильно настроить безопасность в Telegram

Дальше стоит обезопасить аккаунт от угона с помощью двухфакторной аутентификации. Поскольку первичным способом подтверждения входа в аккаунт в Telegram служит одноразовый код в SMS, то в качестве второго фактора мессенджер предлагает задать пароль.

Для этого на вкладке Конфиденциальность выберите Двухэтапная аутентификация (в Android) или Облачный пароль (в iOS) и установите какую-нибудь надежную комбинацию. Важно помнить, что вводить этот пароль вы будете нечасто, поэтому его очень легко забыть. Так что лучше сохранить его в каком-нибудь надежном месте — например, в менеджере паролей.

Что будет, если вы забудете этот облачный пароль? Вам придется сбросить аккаунт. По сути это означает, что вы отправите заявку на полное удаление аккаунта, после чего придется подождать семь дней. Через неделю учетная запись удалится (со всеми контактами, «облачными» чатами и подписками на каналы), и вы сможете завести новый, совершенно пустой аккаунт на тот же номер телефона.

Настройки конфиденциальности в Telegram

Чтобы не делиться лишней информацией со всеми 500 миллионами пользователей Telegram, стоит настроить приватность профиля. Для этого пройдитесь по пунктам настроек Конфиденциальность и поменяйте установленные значения — по умолчанию все эти данные и возможности доступны всем желающим. Мы рекомендуем вот такие настройки:

• Номер телефона -> Кто видит мой номер телефона — Никто.
• Номер телефона -> Кто может найти меня по номеру — Мои контакты.
• Последняя активность -> Кто видит, когда я в сети — Никто.
• Фотография профиля -> Кто видит мою фотографию — Мои контакты.
• Звонки -> Кто может мне звонить — Мои контакты (или Никто, если вас вообще не интересует эта функция).
• Звонки -> Peer-to-peer — Мои контакты (или Никто, если предпочитаете не делиться информацией о своем IP-адресе с собеседниками).
• Пересылка сообщений -> Кто может ссылаться на мой аккаунт при пересылке сообщений — Мои контакты.
• Группы и каналы -> Кто может приглашать меня — Мои контакты.

Как правильно настроить конфиденциальность в Telegram

Также можете заглянуть в Конфиденциальность -> Управление данными и удалить из хранилища Telegram ту информацию, которые покажется вам лишней.

Безопасность Telegram для самых осторожных

Вышеприведенных советов должно хватить для большинства пользователей, но для наиболее осторожных у нас есть еще несколько рекомендаций:

• Используйте для входа в Telegram отдельный номер телефона. А может быть, даже виртуальный номер телефона вместо настоящего мобильного. Однако будьте осторожны и убедитесь в том, что этот номер не одноразовый — иначе к вашему аккаунту может получить доступ кто-то другой.
• Включайте защищенное соединение, чтобы скрыть свой IP-адрес — Telegram может сообщать его, например, по запросу правоохранительных органов.
• Подумайте о том, чтобы использовать другой мессенджер, более приспособленный для безопасного и конфиденциального общения — например, Signal или Threema. В отличие от Telegram, все чаты в них шифруются по умолчанию и есть дополнительные механизмы обеспечения конфиденциальности. Но они не так популярны, и в них нет некоторых функций, которые привлекают пользователей Telegram.

Ну и, конечно же, не забывайте о том, что даже самый безопасный в мире мессенджер становится беззащитным, если к вашему устройству кто-то получит доступ — физический или удаленный.

Поэтому обязательно блокируйте все свои устройства пин-кодом, вовремя обновляйте все установленные на них программы и операционную систему, а также защищайте их от вредоносного ПО надежным антивирусом.

Когда в 2011 году за Павлом Дуровым пришел спецназ хотя есть версия, что это инсценировка, он написал своему брату Николаю. И понял, что надежного способа обмениваться сообщениями у него, в общем-то, нет. 

Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках. 

Но даже сейчас, после тысяч багфиксов и улучшений, Telegram не гарантирует безопасность и конфиденциальность. И сквозное шифрование – не панацея. 

Как работает сквозное шифрование в Telegram

В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption). 

В общих чертах сквозное шифрование работает так.

У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.

Отправитель и получатель вместе генерируют общий секрет или эфемерный ключ. Каждый использует свой приватный ключ и оба публичных. В Telegram для этого взяли за основу алгоритм Диффи-Хеллмана. Общие ключи временные и перегенерируются автоматически, чтобы много похожих сообщений (смайликов, текста с одинаковыми метаданными) не шифровались одним и тем же ключом.

Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.

Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки – и у получателя. и ни у кого больше.

Схема работы алгоритма Диффи-Хеллмана. Алиса и Боб имеют по паре ключей – публичный и приватный. g и p – публичные ключи, А и В – приватные. mod – деление по модулю (остаток от деления), К – секрет, или эфемерный ключ.

Метод действительно мощный. Но… всё не так однозначно. 

Главное достоинство алгоритма Диффи-Хеллмана – возможность передавать открытые ключи и сообщения по публичным каналам. Но всё ломается, если хакер проведет активную MITM-атаку (атаку “человек посередине”) и подменит трафик. 

Что же с ключами для облачных чатов? Один ключ у пользователя, второй – в облаке. И теоретически “облачный” ключ можно выдать кому угодно. 

Увы, Telegram уже взламывали, причём демонстративно

Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт. 

Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало. 

ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома. 

Результат: хакер обошел двухфакторную авторизацию, получил доступ к секретным чатам со сквозным шифрованием, смог читать и отправлять сообщения в них. 

При этом реальный владелец аккаунта даже не видел, что его взломали.

А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись. 

В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем. 

Пароль любой длины в Telegram тоже можно обойти

Действительно, четырехзначный pin – не самая надежная защита аккаунта. Полноценный пароль надежнее. Но ne555 выяснил, что и он не спасает – существует схема обхода пароля любой длины. 

Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам. 

Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram. 

Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам. 

Серверы Telegram уже взламывали, причём публично

Ещё один Habr-пост – от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности. 

Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера. 

С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. Но если пойти дальше, можно было бы наворотить гораздо больше – научиться “ронять” серверы, вытаскивать логи падения и т.д. 

И вы можете попробовать заработать. Письма с багами можно отправлять на  [email protected]. 

Передаваемые через Telegram файлы уже перехватывали

В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно. 

Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать. 

Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа. 

Связи пользователей Telegram друг с другом тоже раскрывали

Ещё один скандал вокруг Telegram  разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.

Сачи заявил: Telegram использует базу данных SQLite для хранения сообщений. Прочитать её “в лоб” не получится, но имена и телефонные номера вполне можно проассоциировать друг с другом. 

Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных. 

У Telegram закрытый код, поэтому объективно проверить его безопасность не получается

Разработчики Telegram заявляют:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.

Но клиент работает через API и никак не взаимодействуя напрямую с “безопасными датацентрами”. Что происходит внутри этого черного ящика, неизвестно. 

К тому же эксперты не верят, что ключи шифрования собираются на лету при отправке и приеме каждого сообщения. Это как минимум вызвало бы определенные задержки, а Telegram, надо признать, работает очень быстро. 

Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др. 

Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть

Братья Дуровы считали MTProto настолько неуязвимым, что в 2013 году даже пообещали награду в 200 тыс. долларов за взлом этого протокола и чтение переписки между ними. В переписке содержался адрес, на который нужно было отправить письмо. 

Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов. 

Протокол в дальнейшем доработали и объявили новый конкурс. Модель возможной атаки расширили – например, разрешили выступать в роли сервера MTProto и менять пересылаемые данные. 

Но, по мнению экспертов, такие конкурсы – просто дешевая реклама. Они не позволяют доказать безопасности шифрования и вводят пользователей в заблуждение. 

Организаторы не дают известный или выбранный открытый текст, шифротекст, возможность вызова повтора и использование других традиционных тестовых методов. Фактически вы можете отправить только одно зашифрованное сообщение – этого явно мало для полноценной атаки.

Присланные отчеты анализируют случайные люди. К тому же 100-200 тыс. долларов – слишком мало, чтобы это было интересно командам опытных криптоаналитиков. 

Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации. 

Многие эксперты считают защиту в Telegram просто маркетингом

В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит  не проводили ни разу. 

Ещё один момент: что происходит, когда пользователь Telegram отправляет сообщения, а адресат не в сети? Вероятно, сообщения отправляются на серверы Telegram, объединенные в виртуальное облако. Они синхронизируются между собой. Как только адресат появится в сети, он получит сообщения. 

Таким образом, трафик в любом случае проходит через сервер. Хотя многие эксперты считают, что логичнее было бы установить соединение “клиент – клиент” – например, пиринговое (P2P). 

В результате получается, что связь в Telegram вообще не работает без постоянного использования серверов. В других мессенджерах есть более элегантные и безопасные решения – например, когда серверы задействуют только для сравнения текущих IP-адресов собеседников и организации  прямого соединения между ними. 

Также специалисты считают, что алгоритм Диффи-Хеллмана в Telegram специально ослаблен на уровне генератора псевдослучайных чисел. Эти числа не генерируются на вашем смартфоне или ПК – приложение запрашивает их с сервера. Как там организована генерация, знают только разработчики. 

Открытый исходный код клиента – ещё один большой вопрос. Более-менее регулярно обновляется только репозиторий десктопной версии, да и то она урезанная. Из чего собираются готовые дистрибутивы, оперативно проверить нельзя. 

Привязка к телефону – последний гвоздь в крышку гроба

Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.

Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их. 

Перехватив код, можно получить доступ к переписке в обычных чатах. Даже не придется ломать MTProto. Сервер автоматически сменит ключ и дешифрует недоставленные сообщения. И это как минимум! 

Ещё одна проблема — push-уведомления. Именно они оповещают о новых входящих без запуска мессенджера. Но сервер push-уведомлений – это фактически разрешенная вами атака «человека посередине». И такая ситуация во всех популярных мессенджерах. 

Что делать обычному пользователю Telegram?

Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас. 

Альтернатива Telegram – например, Signal. Его рекомендовали основатель WikiLeaks Джулиан Ассандж и экс-сотрудник АНБ и ЦР Эдвард Сноуден. 

Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram. 

Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др. И личные встречи в чистом поле без свидетелей. 

🤓 Хочешь больше? Подпишись на наш Telegram. … и не забывай читать наш Facebook и Twitter 🍒–> iPhones.ru Разбираемся, что там на самом деле с безопасностью в Telegram. –>

Ксения Шестакова

@oschest

Живу в будущем. Разбираю сложные технологии на простые составляющие.

Идея разработки мессенджера возникла у Павла Дурова (основателя сайта соцсети ВКонтакте), когда ему потребовалось пообщаться с братом, находившимся далеко, срочно и конфиденциально, избежав прослушивания разговора или чтения переписки третьими лицами. На тот момент найти сервис, выполняющий эти условия, ему не удалось.

В 2013 году была основана новая, отличающаяся от остальных, служба обмена мгновенными сообщениями, с высокой степенью защиты от доступа не только злоумышленников, но и госструктур.

Спустя семь лет Telegram пользуются более четырехсот миллионов абонентов по всему миру. Считается, что Telegram полностью защищено, и все данные юзеров, переписки надежно скрыты.

Давайте разберемся в теме, безопасен ли Телеграмм на самом деле. Какие механизмы защиты данных используются. Что может стать причиной утечки сведений. Технические и нетехнологичные слабости. Опасные моменты при подключении к API. Возможности повышения степени защиты материалов, которые передаются.

Содержание

Уровень безопасности Telegram

Есть пользователи мессенджера, которые считают, что им в принципе все равно, обеспечивается анонимность в Telegram или нет. Существует даже такая шутка: «Товарищ майор, это я сейчас сказал (написал) для вас».

С одной стороны, недоумение этих людей по поводу шумихи вокруг обеспечения приватности разговоров и переписки понятно – они не нарушают никаких законов. А террористов и мошенников надо отслеживать.

А с другой стороны, мало кому понравится, если чужой человек влезет в личную переписку, узнает инсайдерские данные, добытые с большим трудом, или получит сведения, документы, составляющие коммерческую тайну.

Именно поэтому и надо защищать свой аккаунт от несанкционированного стороннего доступа.

Позиция Павла Дурова

После того как разработчиками было заявлено, что Телеграм обеспечивает полную безопасность всех данных, на мессенджер обрушилась критика со стороны специалистов и конкурентов о том, что особенность защищенности данных в Telegram сильно преувеличена.

Так, инженеры компании Open Whisper Systems, которая владеет защищенным сервисом мгновенных сообщений Signal, и Эдвард Сноуден почти одновременно заявили, что при использовании Telegram обычная переписка не проходит шифрование и хранится в виде текстовых файлов на сервере Telegram. А американский инженер Натаниэль Сачи заметил, что пароль, вводимый при входе в Telegram Desktop, не обеспечивает защиту файлов и не исключает взломы.

Павел Дуров в ответ на все нападки делает заявление, что в российских СМИ намеренно распространяется версия о небезопасности TG. Он считает, что все аргументы сводятся к тому, что можно прочитать переписку, если есть доступ к ПК, планшету или смартфону одного из участников диалога.

Эту особенность подтверждает руководитель департамента компании Group-IB (фирма-разработчик решений для детектирования и предотвращения кибератак) Антон Фишман. Он считает, что, правда, при наличии доступа к ПК пользователя восстановить содержание переписки и прочитать ее возможно. Но для этого надо найти возможность проникнуть в чужое устройство.

Также Павел Дуров объявил о выплате вознаграждения в 200 тыс. долларов тому, кто сможет прочитать сообщение в секретном чате. Пока выполнить эту задачу никому не удалось, но команда TG выплачивает премии всем, кто находит самые уязвимые места в защите приложения, помогая улучшить надежность .

Шифрование данных

Лучшая защита данных от взлома обеспечивается при общении в секретном чате:

• все сообщения в нем подвергаются шифрованию, включая видео, фото и др.;
• материалы нельзя скидывать сторонним лицам, сохранять, данные не копируются и не пересылаются, никто посторонний не сможет их увидеть;
• невозможно делать скриншот экрана и при попытке выполнить это действие второму участнику диалога поступит уведомление;
• можно настроить удаление сообщений после ознакомления с ними собеседника;
• читать и видеть переписку можно только с того мобильного телефона или другого устройства, на котором она инициирована;
• данные не поступают на сервер Telegram и сохраняются только на устройствах участников диалога;
• если удалить пост на телефоне одного собеседника, он исчезнет и из ленты второго;
• при закрытии весь диалог удаляется.

Для засекречивания передаваемых запросов командой Telegram был разработан протокол технологии MTProto, в основе которого лежит алгоритм Диффи – Хеллмана – Меркля (ДХМ).

Главной криптографической задачей является генерация сессионных ключей при открытии секретного диалога. При этом происходит обмен кодами собеседников, для которого используется открытый ключ сервера Телеграмм, генератор простых чисел.

Но к сожалению, алгоритм ДХМ уязвим для MitM-атак.

Man in the middle в переводе с английского языка обозначает «человек посередине» – это вид криптографической атаки, при которой третье лицо вклинивается в прямой процесс связи между сторонами диалога и может ретранслировать, искажать или удалять данные.

Выход там один: каждый раз по другому пути связи сверять конечный ключ обоим участникам сессии. Но это нереально. А пока такой возможности нет, то и MitM-атака вполне вероятна.

Слив информации третьим лицам

При использовании мессенджеров других компаний, передавая данные самым крупным агрегаторам, почтовым клиентам (Яндекс, почта mail.ru) надо понимать, что у них есть доступ ко всем данным, которые когда-либо проходили через их серверы. По решению суда полиция, ФСБ могут затребовать и получат все, что когда-либо проходило через отслеживаемый аккаунт, после вручения постановления суда. Все крупные компании, работающие на территории РФ, обязаны сотрудничать со специальными службами, в противном случае их ждет сначала штраф, а затем запрет на работу.

Руководители Телеграмм официально заявили, что при наличии документов, подтверждающих законность слежки, они могут предоставить только IP-адрес и номер телефона.

С таким предложением не согласилась Федеральная служба безопасности России и по ее настоянию (и решению суда) мессенджер должен был быть заблокирован на территории РФ. Много лет длилась борьба Роскомнадзора с Telegram. Все основные поставщики интернета (Ростелеком, МТС, Мегафон, Билайн) закрыли этот ресурс для своих пользователей.

Однако, поклонники все равно продолжали вести авторские паблики, открывать новые группы для общения, переписываться в диалогах. Более того, количество активных юзеров благодаря запрету TG даже возросло. Этому способствовал информационный шум вокруг сервиса и использование таких инструментов, как прокси или VPN, применять которые учили на каждом форуме в сети.

Итог: блокировка Telegram отменена.

На заметку. Открывая персональный проект – паблик или группу – постарайтесь особо не афишировать свое авторство, закрывайте доступ к номеру телефона, отслеживанию активности. Невозможно знать, кто может сдавать материалы фсбшникам. А в связи с недавно выпущенными законами об оскорблении власти, распространении фейковых новостей, сохранение анонимности в сети становится особенно актуальной.

Есть ли прослушка

Миф о том, снят ли запрет на использование мессенджера в России снят, потому что Дуров согласился передать госорганам все доступы к приложению, время от времени встречается на сайтах в интернете.

Так читается ли Телеграмм спецслужбами или это очередная ложь, распространяемая конкурентами сервиса? Сразу дадим ответ – нет. Несанкционированного вторжения можно не бояться, даже если вы находитесь под колпаком немецкой или американской разведки.

Однако, передавая сведения, имеющие особенную ценность, конечно, лучше использовать секретный диалог.

Еще один вопрос, который интересует юзеров: Телеграмм прослушивается или нет. Ответ тот же – нет. Пока не выявлено возможностей осуществить перехват поток звуковой и видеосвязи. Так что ФСБ Телеграм пока не прослушивает и не просматривает.

Но если появилось подозрение о возможной слежке и утечке содержания переписки, то существует смысл проверить смартфон на наличие маячков и микрофонов.

Уязвимости «Телеграма»

Каждый, кто занимается разработкой программного обеспечения, хочет, чтобы его продукт всегда функционировал правильно, полностью выполнял возложенную на него роль, не создавал проблем. Однако, к сожалению, так почти никогда не выходит.

У Telegram тоже существуют свои точки уязвимости. При получении сообщения об обнаруженном баге, запрос проверяется, и если он верный, ставится задача команде разработчиков.

Рассмотрим некоторые проблемы, относящиеся к безопасности передаваемых данных.

Нетехнические

К этому разделу относятся уязвимости, которые связаны с изначальной концепцией создания мессенджера.

Первая – это шифрование. Криптографический протокол MTProto разработан командой Телеграмм. С одной стороны, это правильное решение. Известен принцип создания кодов, но точные методы полностью знают только специалисты компании.

С другой стороны, неизвестно, насколько высок уровень криптографической экспертности разработчиков. Гуру криптографии Мэтт Грин весьма скептически оценил конечный продукт. Но пока еще никому не удалось предоставить доказательств, что дешифровка возможна и с помощью чего.

Вторая проблема заключается в том, что если начать общаться вне секретного чата, то сообщения шифроваться не будут. Все посты и файлы в первоначальном виде хранятся на серверах TG. Как правило, об этом нигде не упоминается и большинство абонентов считают, что подвергается шифрованию вся передаваемая и хранимая информация. При возможном вскрытии серверов мессенджера все сообщения пользователей (кроме secret chat) будут доступны злоумышленнику в виде текстовых файлов.

И третья нетехническая уязвимость Telegram в том, что после регистрации запрашивает полный список контактов из записной книжки пользователя. Полученные номера и имена хранятся также на сервере Телеграм. Таким образом, TG обладает огромной базой контактов, которые могут быть похищены или предоставлены властям, если они будут нужны, без согласия абонентов.

Технические

В мессенджере есть бот, который отслеживает попытки взлома учетных записей и сообщает об этом пользователю. Но и робота можно обмануть.

Легче всего вскрыть учетную запись в Телеграм через привязку к номеру телефона. Для входа с нового устройства нужно получить только пароль по СМС. Например, в 2016 году в России произошел взлом аккаунтов оппозиционеров. Как произошла эта история:

• была отключена услуга СМС;
• затем с IP-адреса точки тор (система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) был запрошен код на авторизацию;
• пароль введен, получен доступ к аккаунту;
• после скачивания данных восстанавливается подключение к услуге СМС.

Кстати. Даже в этом случае на вопрос, можно ли прослушать Телеграмм, ответим – нет. Таким путем прослеживается переписка, а звонок прослушать нельзя.

Для того чтобы избежать вскрытия аккаунта описанным образом, рекомендуется пройти двухэтапную (двухфакторную) авторизацию. Установка и настройка ее просты:

• зайти в главное меню и тапнуть по строке «настройки»;
• выбрать раздел «конфиденциальность»;
• найти на странице графу «безопасность»;
• включить двухэтапную аутентификацию.

При этом для входа в программу надо будет вводить два пароля. Первый пароль можно получить по СМС, а второй известен только владельцу аккаунта.

Еще один способ смотреть чужую ленту – это MitM-атака, описанная ранее.

Также специалисты отмечают, что в некоторых разделах протокола Телеграм для хеширования применяется алгоритм SHA-1 вместо SHA-256. А хеширование – это одна из главных криптографичеких функций, позволяющая преобразовать сведения в уникальный набор символов (хэш), присущий только этому массиву входящих данных.

Так вот SHA-1 очень слабый неустойчивый алгоритм, допускающий сбои и задвоение.

И последняя техническая уязвимость Telegram, которую мы рассмотрим – это утечка данных о метаданных пользователей.

Так, любой желающий может узнать, когда тот или иной абонент вышел в онлайн или ушел из него. Для этого рекомендуется внести телефон интересующего человека к себе в контакты. Такой шаг позволяет следить за активностью пользователя в мессенджере, можно даже узнать, общаются ли 2 юзера между собой, анализируя метаданные с двух сторон.

Пример. Абонент Икс добавил себе в контакт пользователя Игрек. Телеграмм не уведомляет Игрека об этом. Зато Икс свободно получает сведения, во сколько Игрек зашел в программу, когда вышел.

На заметку. Обезопасить себя от такого слежения можно, установив в разделе «Конфиденциальность» ограничение на просмотр времени последнего входа в сеть и статуса.

Безопасность неофициальных клиентов

API-Телеграм – это все тот же Telegram, «одетый» в другую оболочку, но дополненный некоторыми опциями (дополнительные стикеры, гифки и прочие сервисы бесплатно).

Альтернативные клиенты (API) применяют тот же криптографический алгоритм, не обладают правом менять основные функции мессенджера. Также они обязуются не передавать данные пользователей третьим лицам, но теоретически обладают к ним доступом.

При нарушении конфиденциальности максимальное наказание для таких приложений – это блокировка.

Способ, которым может прослеживаться отправляемая информация – это, например, «слушать» клавиатуру при наборе текста в клиенте.

Также неофициальные клиенты могут писать спам (хотя теперь спам-бот быстро блокирует такие пути), подписывать на паблики.

Как повысить безопасность своего аккаунта

Все способы взлома, которые были перечислены, могут быть использованы исключительно очень продвинутыми пользователями. Чаще всего в утечке данных можно обвинить только самого себя или собеседника.

Для того чтобы конфиденциальность данных не была нарушена, помогите своему аккаунту сами, лучше подстраховаться заранее:

• не давайте номер телефона незнакомым людям;
• поставьте сложный пароль на аппарате на android или iphone;
• при приобретении нового гаджета подготовьте старый к продаже, приведя все настройки к заводским, чтобы никто не смог вскрыть аккаунт с бывшего вашим смартфона;
• поставьте на вход в программу двухэтапную аутентификацию;
• скройте в настройках свой номер телефона;
• не забывайте выходить из профиля после окончания сеанса общения;
• используйте для последующей передачи конфиденциальной информации секретный чат;
• закройте возможность посмотреть время последнего пребывания в сети.

Павел Дуров утверждает, что его мессенджер хорошо защищен от атак хакеров должным образом. Несмотря на то что ряд экспертов опровергают это утверждение, осуществить взлом защиты и прочитать скрытые сообщения до сих пор еще никому не удалось и вряд ли получится.

Впрочем, каждый пользователь должен сам сделать выбор, пора искать новые способы общения или пока не стоит убирать Телеграмм из списков используемых приложений.