Комментарии 50
Держите нас в курсе. Всецело ориентируемся на ваше мнение.
Что-то приведенные рекомендации на уровне "1) Пресс качат 2) бегит 3) анжумання". Если я писал переписку в несекретном чате, мне срочно удалять, считать априори слитой, что? А если в секретном - она секретная? Или скоро не будет? Или никогда не была, это маркер для бэкенда попристальнее ее перлюстрировать и хранить на серверах вечно? Телеграм так и остался невзламываемый, потому что ключи все еще надежно спрятаны под ковриком перед квартирой Дурова, или мне срочно вайбер качат/бегит?
За секретные чаты переживать не стоит, потому что они не хранятся на серверах телеграмма (после передачи их с сервера получателю) и шифруются сквозным шифрованием, это всё косвенно подтверждается тем, что они не восстанавливаются на новом устройстве и находятся лишь на одном устройстве, ну и не косвенно подтверждается анализом открыто кода официального приложения. А за обычные, не секретные чаты здесь вероятно имеется в виду что если кто то получит физически доступ к серверам телеграма (какое либо правительство или злоумышленники воспользовавшиеся арестом главы телеграма) то все переписки этих обычных чатов могут быть несанкционированно прочитаны (я думаю если такое и случится - то скорее все же какие либо представители власти получат доступ, а они вряд-ли "сольют" все переписки, у них все же другие цели)
Если я писал переписку в несекретном чате, мне срочно удалять, считать априори слитой, что?
Это как размер электрона, обсуждаемый по соседству. С некоторой очень ненулевой вероятностью она будет слита.
А в мессенджере, требующем номер телефона, я любую переписку заранее считаю не только слитой, но и привязанной ко мне.
Тут недавно была новость, как какие-то гении из далёкой страны пытались устроить госпереворот, и пользовались для координации телеграмовским каналом/группой. Когда власти, не будь дураки, путём сопоставления рандомных реальных номеров и сервиса Телеграма по определению контактов на каналах / в группах, начали вычислять героев, переворот захлебнулся. Телеграм, естественно, сказал, что это не баг, а фича. А чего они ждали? Сначала регистрируются по номеру паспорта, потом ждут анонимности. То же самое касается и Порнхаба — там др… по номеру паспорта. И — who knows? — может чьи-то фетиши уже послужили причиной резкой смены другой ориентации — политической. Народ не пойдёт на баррикады за любителем посмотреть на %сами_знаете_что%, зато в стукачи всегда возьмут.
Телеграм так и остался невзламываемый
Сегодня ночью взломали акк знакомого. Для всех с кем общаюсь это загадка. Никогда не слышали чтоб взламывали аккаунты в телеге, да и знакомый не из тех кто забивает на кибер безопасность.
в мессенджере нет сквозного шифрования по умолчанию, которое включено, например, в WhatsApp, Signal и даже Viber)
В whatsapp и viber по умолчанию e2e шифрование работает? Есть, кто может пояснить про эту тему? Почему тогда переписка доступна на других устройствах? Значит она подгружается с облака вместе с ключами? Иначе каким образом можно её прочитать на устройстве, на котором не был сгенерирован ключ?
Секретный чат телеграмм как раз и не прочитаешь с другого устройства. Кто шарит за whatsapp и viber, а также за e2e, объясните, пожалуйста, буду благодарен)
Насколько я понял из объяснений в интернетах, при подключении нового устройства к аккаунту WA, какой-то объём последних сообщений просто пересылается на него с исходного.
Как он может переслаться без ключей для шифрования?
Они же на исходном устройстве уже расшифрованы. А при пересылке на вновь подключённое устройство создаётся новый ключ между ним и исходным.
Но я не эксперт (с). Возможно, что-то не правильно представляю.
Не смотрел как устроено у них. Но то что вы описали - это дырень. Потому что, если «новое» устройство может через сервер запросить со «старого» пересылку расшифрованных сообщений без спросу - то сервер может это же сделать для кого угодно и без устройства. А значит шифрование фиктивное и по факту не защищает от атаки с сервера.
Когда я последний раз ставил viber - для авторизации на новом устройстве требовалось соединить его со старым через QR код (а если этого не сделать, то переписка терялась), так что, возможно, никакой дыры и нет. Но это не точно.
Не знаю, насколько там всё реально безопасно, но мнимую они дают. А именно, для перекачки телефон должен быть включен или можно использовать бэкап. Они создают бэкап автоматически на Гугл диск(можно отключить или настроить). Но думаю, что это всё туфта. Работает думаю примерно так: все переписки и разговоры на сервере как нужно оформляются и отправляются в систему хранения и обработки ЦРУ, а на сервере самого WA ничего особо не хранится и по этому есть эта механика с телефоном пользователя и бэкапами на Гугл диск. Думаю в ЦРУ никто не рассчитывает, что WA будет надлежаще хранить дикпики долгое время и по этому забирают инфу онлайн на лету)))
Там есть еще важный нюанс, что в тех же WhatsApp и Viber есть функция облачного бэкапа, позволяющая не терять историю переписки при смене устройства или регистрации нового. Соответственно, даже при сквозном шифровании сама история переписки по факту в расшифрованном виде передается на сервера для хранения. Так что толку от этого сквозного шифрования чуть менее, чем никакого.
В теории e2e работает так: используется протокол Диффи-Хеллмана - создаются пары ключей, открытыми ключами пользователи обмениваются, на их основе создаются симметричные секреты которыми шифруются и расшифровываются сообщения. Переписка хранится локально на устройствах, хранить зашифрованные сообщения на сервере не имеет смысла. При подключении другого устройства создаются новые пары ключей.
Нет там никакого полноценного Е2Е-шифрования, да и ждать такового от АНБ-шной подстилки было бы наивно.
В whatsapp и viber по умолчанию e2e шифрование работает?
Как и в телеге, всё только косвенно. Сам же whatsapp рассказывал что у них р2р еще на заре времен.
До того как whatsapp стал частью фейсбука, нельзя было зайти на другом устройстве и увидеть переписку с него если то устройство офлайн. Раньше в веб версия подключалась именно к самому устройству, а не просто к их серверам. Но все кого знаю, из за этого только говнялись. Это косвенно повышало шанс что они у себя на серверах ничего не хранят.
Да, в WhatsApp и Signal есть нормальное e2e шифрование (в случае WhatsApp приходится верить). Оба по протоколу, придуманному для Signal, с поддержкой синхронизации между многими устройствами. В Conversations это тоже точно есть (XMPP+OMEMO) и во многих других мессенджерах, вполне возможно что даже в Вайбере (тут не знаю).
Только в Telegram нет и не было нормального e2e шифрования, а вся переписка лежит на серверах как есть в почти открытом виде. На серверах и на несчётном количестве носителей, на которые делаются бекапы в серверных, и которые не известно где хранятся и как утилизируются.
А переписка в телеге ещё и к паспорту привязана через номер телефона (в отличие от Conversations, например).
Я бы ещё заслушал от Дурова рекомендаций по безопасной работе с продуктами Касперского.
Самая главная рекомендация - удалить продукты Касперского. В США они спалились они на том что скачивали заражённые вирусами документы к себе на сервера в России для "развития" продукта.
В смысле спалились? Сейчас у практически всех антивирусов есть включенная по умолчанию опция "отправлять всё подозрительное на свои сервера", даже у встроенного в винду дефендера. Называются они, конечно, для убедительности по-другому: "облачная защита", "LiveGrid" и т. п.
Вроде, помню какую-то историю: в США какой-то функционер не выключил KSN при установке и слил код ПО для слежки в облако Касперского. Сам виноват, ну или начальство его: не было инструкции по работе с Касперским. Я всегда включаю. Забавный случай был: у меня завалялись старые скрипты тестовые. Среди прочих бэкап файлового варианта 1С:Предприятия на JS! с теневыми копиями!! Запустил. Касперский вой поднял, три часа вирусы искал. Потом стал считать меня организацией и приглашать на мероприятия по безопасности. А может, так совпало: я примерно в то же время чего-то через его Threat Intelligence Portal проверял :) Любому пользователю продуктов Касперского (в том числе домашних) доступна бесплатно одна ограниченная проверка в сутки.
Какая может быть безопасность с мессенджером, требующим ему отдать номер телефона? Не было и нету там никакой безопасности, а обратные утверждения - лишь нечестный маркетинг.
Используйте альтернативы, не требующие никаких персональных данных для регистрации, не хранящие историю переписки на серверах и (естественно) с полным шифрованием.
С чего вдруг номер телефона, использованный один раз для регистрации аккаунта в телеге, стал персональными данными? Ну, если кто-то использует для этого свой личный номер, то конечно. Но тогда он ССЗБ.
Ну например потому что когда вы этот номер покупали - вы предъявляли паспорт. А если вы его не предъявляли - то номер на самом деле не ваш, и его однажды могут отобрать (а вместе с номером и аккаунт в телеге).
Для кого-то это может быть сюрпризом, но номера esim покупаются в онлайне без всякого паспорта. Или вообще есть виртуальные номера, которые можно купить за крипту.
Насчет номера, который не ваш: если даже кто-то получит к нему доступ, то при установленном облачном пароле к аккаунту так получить доступ сразу не получится. Как максимум - можно будет запросить сброс аккаунта, но тоже не сразу, а через несколько дней минимум. Номер привязки аккаунта за это время можно 100 раз сменить.
Используйте альтернативы, не требующие никаких персональных данных для регистрации, не хранящие историю переписки на серверах и (естественно) с полным шифрованием
Для чего конкретно? Для того чтобы потусить в канале для котиков? Получить информацию о различных мероприятиях в канале региона? Поиграть с ботом в ЧГК? Получить сообщение о скидке на интересующий товар на Амазоне?
А можете назвать альтернативы, в которых всё это будет работать?
А что случится если я и дальше это буду делать в Телеграмме?
Если всё использование сводится к просмотру котиков - то проблем особых нету.
Если мессенджер используется для обмена персональными сообщениями - уже могут быть проблемы, если переписка будет доступна кому-то ещё, чего без сквозного шифрования исключать нельзя. Кому будет приятно осознавать, что переписку с женой (например) могут читать модераторы мессенджера или другие люди с доступом?
Ещё больше проблем, если использовать мессенджер для доступа к (скажем так) неодобряемой информации. А нынче такой неодобряемой информации полно - посты иногентов, информация о трёхбуквенной технологии обхода блокировок и т. д. В настоящем или скором будущем один лишь факт того, что кто-то такую информацию получал, может плохо сказаться.
На счёт покупок проблема аналогичная. Третьи лица могут получить доступ к платёжным данным. А если они защищены, то как минимум могут стать известны купленные товары, что опять же для кого-то может быть проблематично, если товары были вроде бы и законные, но социально-неодобряемые.
Кому будет приятно осознавать, что переписку с женой (например) могут читать модераторы мессенджера или другие люди с доступом?
И опять же: пусть читают. Ну если им интересно читать вещи вроде "купи хлеб" :)
Ещё больше проблем, если использовать мессенджер для доступа к (скажем так) неодобряемой информации.
Ну так с этого наверное и стоило начинать. Если таким заниматься, то Телеграмм действительно не особо вариант. Но как много людей такое делают? Особенно во Франции?
На счёт покупок проблема аналогичная.
Я наверное что-то пропустил. А как в Телеграмме можно делать покупки? Через ботов?
> А нынче такой неодобряемой информации полно - посты иногентов, информация о трёхбуквенной технологии обхода блокировок
Дык, Дуров уже давным-давно все сливает нашим ребятам, которых все это интересует.
Ну а то, что после ареста он будет сливать еще и французским, на мой взгляд ни на что не влияет. Вряд ли французов будут интересовать посты о том, как обходить блокировку на ютуб.
Слегка настораживает часто звучащие утверждения, что и фсбшники, и "простые опера" имеют возможность читать чью угодно Telegram-переписку. При чём мне встречались даже случаи, когда у человека вроде бы не было мотива о таком заявлять, а ссылался он на личные наблюдения и информацию от знакомых ментов.
Понятно, что говорить можно что угодно, и речь там явно не про "секретные чаты", но осадочек, как говорится, остаётся. Более того, можно представить реалистичный сценарий создания дубликата симки или перехвата смски с одноразовым кодом, не говоря уж про намеренное распространение палёных прослушиваемых симок наивным желающим ради анонимности прикупить "левую".
И всё это, конечно же, не только к Telegram относится.
Если бы это было так, никто бы не просил господстилку рассказать какой телеграм ненадёжный и что надо переходить куда-то там ещё в более "надёжное" место.
Когда ты ФСБ и не можешь прочитать, то самое выгодное для тебя поведение - рассказывать на каждом углу, что ты можешь. Потому что осадочек остается и он уменьшает количество пользователей.
Читать чью-то переписку, на самом деле, очень просто - в любом чате сидит несколько человек, а значит надо контролировать лишь одного.
Чуть сложнее с контролем переписки на отнятом силой устройстве - если пытки для получения паролей (устройство+приложение) применить нельзя (при пересечении границы, например, времени может быть недостаточно), то остаётся лишь вариант со взломом телефона через имеющуюся уязвимость и сохранение медиафайлов/чатов. Кажется, телеграм это пофиксил, по крайней мере в официальном приложении.
А ещё сложнее с каналами - они, при правильном ведении - совершенно анонимны, для определения владельца гэбне и ментам приходится прибегать к косвенным признакам, ну или принудительно проверять всех подряд.
Итого - телеграм превосходный инструмент, случаи его взлома - это или принудительная выдача паролей пользователем под пытками/угрозами или нелегальный перевыпуск симкарт. Ну и, конечно, человеческий фактор.
А если в переписке всего двое?
То же самое - если один или оба участника беседы являются провокаторама, сексотами и стукачами или пот пытками сдали свои пароли - то никакое шифрование не поможет.
В противном случае, их переписку может читать телеграм, и, теоретически - внедрённый в телеграм милиционер под прикрытием
В случае сквозного шифрования - в теории можно специально для одного участника выпустить обновление приложения, сливающего ключ.
А можно использовать ТГ - только как канал для данных, а сообщения отдельно шифровать самописным дополнением, например аналогом pgp - собственно, с помощью этого даже в подментованном ВК можно общаться совершенно приватно.
Заголовок лучше поменять на: "Лаборатория Касперского нашла повод напомнить о себе".
Известно одно , ни в одном судебном заседании не было сообщения , что телеграм был взломан спецслужбами , и на суде были представлены какие-то факты по этому поводу...Так что пока у меня доверие к телеграм есть...
Может быть потому что в куче стран ни у спецслужб, ни у полиции нет права взламывать Телеграмм? Или как минимум доказательства полученные таким образом нельзя использовать в суде?
«Лаборатория Касперского» опубликовала рекомендации по безопасной работе в Telegram после задержания Павла Дурова