Сигурен телеграм месинджър. Telegram – безопасността на регистрираните потребители е най-важна. Как да използвате програмата

Програмата за незабавни съобщения Telegram от създателя на социалната мрежа VKontakte се нарича основният конкурент на световноизвестния WhatsApp. На пръв поглед те наистина си приличат: една и съща цел, почти идентични диалогови прозорци и сходна функционалност. Така че може би това са приложения за клонинг? Или между тях има глобални различия? И като цяло имаше ли смисъл да се създава продукт, който вече има аналози?

Предлагам кратко въведение в безплатния междуплатформен месинджър Telegram. След като прочетете, вие сами ще отговорите на тези въпроси и ще можете да решите дали си струва да преминете към него от продуктите на конкурентите.

Защо е създаден Telegram?

Според автора на проекта Telegram е преди всичко защитен месинджър (). Този месинджър е създаден специално с цел защита на данните, обменяни между потребителите, от прихващане и подслушване. За целта програмата използва собствената си криптографска технология за криптиране MTProto, която е ако не невъзможна, то много трудна за кракване. Точно това няма WhatsApp, Viber и други подобни продукти.

Друга цел е да получите най-бързия пратеник в света. Разработчиците също се справиха с тази задача с гръм и трясък, така че високата скорост и ниската консумация на трафик са втората глобална разлика между Telegram.

Как да използвате програмата

Обвързване на телефона и русификация

Нека започнем да се запознаваме с момента на инсталиране. Изтеглете Telegram за вашия компютър или мобилно устройствои инсталирайте като нормално приложение. След стартиране въведете номера си в месинджъра мобилен телефон- това ще бъде вашият акаунт. След това ще последва проверка - код за потвърждение ще бъде изпратен на посочения телефонен номер. След потвърждение въведете вашето име и фамилия в профила си, така че другите потребители да могат да ви намерят по тях. Регистрацията вече е завършена.

По подразбиране месинджърът е инсталиран на английски език, и превключването му на руски просто няма да работи. За добавяне към Телеграма руски, украински, беларуски и редица други липсващи езици, трябва да изтеглите файла за локализация, като го изпратите до себе си от друг клиент на Telegram. Или го поискайте от Robot Anton, като изпратите една от командите:

• локал на android– означава „изпратете крак за телефон или таблет с Android“.
• локализирамios– същото за джаджите на Apple.
• намерете tdesktop– за Windows.
• намерете osx– за OS X.

След като файлът бъде изпратен, щракнете върху него, за да го изтеглите на вашето устройство (изображението на стрелката трябва да се промени на кламер).

IN мобилна версияклиент, кликнете върху бутона „три вертикални точки“, който се намира от дясната страна на съобщението.

В менюто на този бутон изберете елемента „ Прилагане на файл за локализация", отидете на раздела " Настройки» – « език"и задайте езика на руски.

В компютърната версия (Windows и OS X) щракнете с десния бутон върху изпратения файл и изберете " Запазване на файла като“ и го запазете навсякъде.

Изтеглете крака и рестартирайте приложението.

Добавяне на контакти

За да търсите приятели сред потребителите на Telegram, отворете менюто „ Контакти" Списъкът ще покаже хора, чиито номера са във вашия телефонен указател. За да добавите нови контакти, отворете секцията със същото име и щракнете върху бутона, показан на екранната снимка.

Въведете своя телефонен номер и потребителско име. Щракнете върху " Запазване».

За да започнете да общувате с хора, които все още не използват програмата, отидете на " Контакти"и натиснете" Покани приятели».

Изберете инструмента, който искате да използвате, за да им изпратите покана, като Skype, WhatsApp или приложение за SMS.

Намерете приятел в списъка с контакти на това приложение. Вашата покана ще включва връзка за изтегляне на Telegtam.

Веднага щом приятел инсталира месинджъра, той веднага ще се появи в списъка ви с контакти.

Размяна на съобщения

За да изпратите съобщение до някого, щракнете върху потребителското име на Telegram, въведете текст в прозореца за чат или щракнете върху иконата на микрофона и запишете гласово съобщение. Щракнете върху бутона за изпращане.

Можете да прикачвате файлове към съобщения, както и да вмъквате в тях емотикони и стикери - снимки, които изразяват емоции.

За да създадете най-сигурния чат - таен, щракнете в менюто " Нов таен чат» и изберете абоната. Всичко, което си кажете ще остане строго поверително.

За допълнителна защита от любопитни очи тайните данни за чат могат да бъдат изтрити ръчно или чрез таймер с помощта на опциите на менюто (което се отваря чрез бутона „три точки“ в горния десен ъгъл).

В допълнение към индивидуалните чатове, програмата има функция за съобщения в група (стартира се от главното меню - “ Нова група ") и създаване на канали (на същото място, през реда по-долу). Каналът по правило е масово разпространение на демонстрационни материали до избрани абонати.

Между другото, освен живи хора, Telegram се обитава от роботи (ботове). Ботовете са скриптове, предназначени да изпълняват задача. Например, регистриране на потребители на вашия сайт, преброяване на съобщения и много други. Ако желаете, можете да поръчате свой собствен бот с даден набор от функции.

Какво друго отличава Telegram от неговите аналози?

С изключение подобрена защитаи висока скорост на предаване, този месинджър се отличава с факта, че:

• Работи в облака, синхронизира не само настройките и контактите между устройствата, но и чатовете (с изключение на тайните).
• Прави възможен обмен на всякакви файлове, не само видеоклипове и снимки. И без ограничение на размера.
• Работи както на мобилни, така и на настолни платформи, има и уеб версия.
• Кодът с отворен код (все още не целият) и API на програмата могат да се използват от всеки.
• Не показва реклами.
• Безплатно дори за търговска употреба.

И ако намерите грешка, можете да намерите няколко недостатъка: липсата на режим на невидимост и прекомерни движения на тялото при добавяне на руски език. Разработчиците дадоха следното обяснение на втория: „рускоезичната аудитория може успешно да замени Telegram с функцията за съобщения VKontakte, а освен това активният растеж на потребителите от Русия най-вероятно ще стане причина за забрана на разпространението на програмата. в нашата страна."

Поздрави, мои любими читатели! Днес приготвих подробен прегледМесинджър на Telegram.

Неговият създател е добре познатият Павел Дуров.

Този човек знае как да създава висококачествени проекти, които завладяват милиони потребители.

Първо VKontakte, сега Telegram. Месинджърът Telegram е създаден през 2013 г. Но разбрах за него и започнах да го използвам съвсем наскоро.

Какво е Telegram и защо е необходим?

За тези, които все още не знаят какъв вид Telegram е това, ще обясня.

Това е услуга, която ви позволява да обменяте незабавни съобщения или друг месинджър. Нещо като Skype, Viber или Agent Mail.

Сега има и функция за повикване!

Ето как изглежда месинджърът на компютър:

Семпло, стилно, удобно.

Telegram е най-сигурният месинджър. Можете да създавате тайни чатове. И никой освен вас и адресата няма да знае за какво е била кореспонденцията.

Telegram е месинджър, но все повече заприличва на социална мрежа. Има канали, чатове и ботове. Има много възможности и предимства.

Защо и кому е нужен месинджър?

• За обикновени потребители - за обмен на съобщения и различни файлове.
• За фирмите – за организиране на комуникацията между служителите. Telegram ви позволява да създавате групови чатове до 200 души по подразбиране. След като този брой бъде достигнат, чатът може да бъде увеличен до 5000.
• За инвеститори - за инвестиране. Платформата ви позволява да създавате специални инвестиционни ботове. Като инвеститор се запознах с Telegram.
• Това е страхотен инструмент за блогъри да уведомяват своите абонати. Обхваща потребителите на компютри, таблети, смартфони. Няма риск съобщенията да се окажат спам. Имам и собствен канал. Абонирай се!
• Telegram не е просто месинджър, а истински социална мрежа.
• Можете дори да приемате плащания с помощта на Telegram.
• Постоянно се актуализира, появяват се нови функции.

Предимства на Telegram

• Сигурност

Позволява ви да създавате тайни чатове и да задавате таймер за автоматично изтриване на кореспонденция.

Вярно е, че тази функция не е налична на лаптоп, но месинджърът е предназначен предимно за смартфони. Искате ли да защитите кореспонденцията си? Telegram към вашия смартфон. Не използвах тази възможност. Все още няма какво да крия.

• Безплатно

Е, всеки обича безплатни неща, без коментари тук).

• Кросплатформен

Messenger на Telegram е достъпен на много устройства: компютър, лаптоп, таблет, смартфон.

Всички данни са синхронизирани. Можете да започнете да пишете съобщение на лаптопа си и да завършите на телефона си.

• Бързина

Това е най-бързият съществуващ пратеник. Съобщенията се доставят за част от секундата. И дори когато интернет е бавен и сайтовете не се зареждат, Telegram работи.

• Изпращане на големи файлове

Telegram ви позволява да изпращате файлове от всякакъв формат с размер до 1,5 GB. Файловете могат да се съхраняват в облака. Готино, нали?

Е, има и много други интересни функции, невъзможно е да ги изброим всички. Въпреки че ще научите за някои по-нататък от статията.

Messenger на Telegram: ръководство за начинаещи

Интересувате ли се от месинджъра? След това пристъпваме към монтаж и активна работа.

Как да инсталирате месинджър на Telegram

Е, тук всичко е просто.

Първо, има уеб клиентът на Telegram. Тук не е необходимо да инсталирате нищо. Telegram Web на руски е достъпен на web.telegram.org.ru.

Второ, има версия за компютър. Можете да го изтеглите от официалния уебсайт: https://telegram.org

Всичко, както обикновено, изтеглете, стартирайте, инсталирайте, както всяка друга програма.

Трето, месинджърът на Telegram може да се инсталира на смартфони и таблети. Търся приложение в GooglePlay или AppStore.

След инсталацията посочете телефонния си номер, въведете получения на него SMS и сте вътре лична сметка.

Преди това беше необходимо да се предприемат допълнителни стъпки за инсталиране на руски език. Но сега вече е добавен в настройките.

Как да настроите Telegram

В горното меню щракнете върху Настройки.

Тук ви съветвам да качите снимка или аватар и да посочите вашето логин, за да можете да бъдете намерени по логин, а не по телефонен номер.

Има много други настройки: звук, настройки на папка за изтегляне, фоново изображение, стикери, известия, сигурност.

Няма да се спирам на това. Веднага след като преведете Telegram на руски, лесно ще разберете всичко.

И още малко за възможностите на Telegram...

Стикери

Стикерите са картинки, които представят емоции и правят комуникацията по-изразителна. Всички стикери в Telegram са безплатни.

В допълнение към стандартните емотикони има много други снимки за всеки вкус: за любителите на котки, кучета, Pokemon, Путин, различни телевизионни сериали и компютърни игри.

Как да добавя стикери към Telegram?

Отидете в Настройки и изберете Управление и сортиране на стикери. Кликнете върху рекламираните комплекти и изберете това, което ви харесва. Можете също да премахнете стикери в настройките.

Всички стикери можете да намерите в каталога на https://tlgrm.ru/stickers.

Ако вашият събеседник ви е изпратил готин стикер и искате да го добавите към себе си, щракнете с десния бутон върху него и изберете Добавяне на стикери.

Цялата колекция ще се отвори и можете да я инсталирате.

Можете да добавите свои собствени стикери към месинджъра на Telegram. Намерете робот @стикери,изпратете му командата /newpack, след което следвайте инструкциите.

Как да създадете свой собствен канал в Telegram

Както вече казах, вашият собствен канал в Telegram е отлично средство за защитаизвестия до вашата аудитория.

Създаването на канал е лесно. На вашия смартфон в Telegram изберете „Създаване на канал“:

Въведете името на канала и Кратко описание, измислете линк, където можете да го намерите.

И накрая, посочете вида на канала: обществен (достъпен за всички, показан в търсене) или частен (достъпен само чрез връзка).

Всички тези данни могат да бъдат редактирани в бъдеще. След като създадете канал, съветвам ви да качите аватар за него.

Можете да създадете канал на компютър, въпреки че тук не е толкова очевидно, случайно открих как да го направя.

Всичко, което трябва да направите, е да кликнете върху молива в лентата за търсене:

Тук можете също да създадете групов чат. Изберете каквото ви трябва и следвайте инструкциите.

На вашия компютър, като щракнете с десния бутон върху името на канала, ще получите информация за него, можете да деактивирате или активирате известията и да намерите съобщенията, от които се нуждаете.

На Android трябва да щракнете върху името на канала в горната част на екрана.

Броят гледания се показва в долния десен ъгъл на всяка публикация. В информацията за канала можете да видите броя на участниците.

Комуникация

Ето още няколко интересни функции на Telegram, които може да са ви полезни:

• Ако имате дълга кореспонденция, използвайте хаштагове, те ще ви позволят бързо да намерите правилното послание;
• Можете да редактирате вече изпратено съобщение в рамките на 2 дни. Сам го използвах, удобно е.
• Качете няколко файла наведнъж, ако е необходимо, няма нужда да ги добавяте един по един;
• Винаги можете лесно да блокирате потребител, ако ви омръзне.

А чрез използването на ботове вашите възможности се увеличават многократно.

Ботовете са програми, които извършват автоматизирани действия. В Telegram това са акаунти, управлявани от програми. Telegram ботовеспособен на много неща: да докладва прогнози за времето, валутни курсове, да търси филми и снимки, да превежда на различни езици…

Ще ви запозная с един бот @Storebot.Позволява ви да търсите ботове в Telegram.

Как да изтрия Telegram

Въпреки всички предимства на месинджъра, вече не искате да го използвате и решихте да изтриете акаунта си? След това прочетете как да го направите.

Изтриването на профил в Telegram става на уебсайта: https://my.telegram.org/auth

Въведете телефонния си номер и щракнете върху Напред. Ще получите код в Telegram, въведете го и ще влезете в акаунта си.

Изберете втория ред Деактивиране на акаунта. Сега ще бъдете помолени да посочите причината за изтриването и ще бъдете предупредени, че всички контакти, групи и канали ще бъдат изтрити:

И накрая, след това ще се появи червен бутон Да, изтрий моя акаунт. Щракнете и това е, вашият акаунт в Telegram е изтрит.

Но се надявам, че тази инструкция няма да ви бъде полезна.

Заключение: Messenger на Telegram е надежден и удобен и непрекъснато се подобрява. Струва си да започнете да го използвате активно. Какво мислиш?

Сигурността на Telegram е много тревожен раздел за всички потребители на приложението. Ще ви разкажем всичко в една статия за Telegram и неговата сигурност. Четете по-бързо!

Един от най-важните критерии за избор на приложение е безопасността на потребителя и запазването на данните, които получава. Почти всички програми и приложения, въпреки висока степензащита, бяха податливи на хакване - информацията беше прехвърлена на трети страни и акаунтите бяха използвани като разпространител на спам. Разработчиците предоставиха възможност за пълен контрол на достъпа до профила, така че при създаването на приложението, което използваха таен код, който не може да бъде отворен. Разработчиците са доказали: Telegram = сигурност.

От пускането на приложението, от 2013 г., не е регистриран нито един случай на хакване на месинджъра. Създателите на програмата, уверени в ултра-безопасността на своето развитие, създадоха състезание - победителят ще получи десетки хиляди долари, ако получи достъп до профила на някой друг и разкрие историята на съобщенията. Вдъхновени от такава награда, хиляди гениални програмисти се опитаха да направят това, но опитите им бяха неуспешни - можете ли да си представите нивото на сигурност на приложението Telegram? Все пак един човек постигна частична победа: той обаче не успя да разбере историята на съобщенията, а само намери уязвимост в чатовете. В резултат на това той получи само половината от паричната награда, но Павел Дуров направи „Ходът на коня“ и покани този програмист да работи в месинджъра.

Безопасен ли е Telegram в Руската федерация?

Това е интересно: Telegram използва специален протокол за криптиране, който е разработен от Николай Дуров и екип от програмисти. Към 2016 г. това е един от най-сигурните протоколи. Ето защо през 2017 г. Дуров имаше конфликт с ФСБ, те просто не можеха да слушат Telegram.

Как да повиша сигурността на Telegram?

Въпреки силната сигурност, не трябва да пренебрегвате предпазните мерки - програмата има високо ниво на допълнителна защита:

• Никога не давайте телефона си на непознати, дори и да сте уверени в тях;
• Задайте парола на телефона си и не я споделяйте с никого;
  
• Не се ограничавайте до една парола - в настройките на Telegram (раздел за поверителност и сигурност) задайте двоен код за достъп;
  
• Скрийте телефонния си номер на главната страница на профила на Telegram (напомняме ви, че приложението предоставя достъп до тази информация само за запазени контакти);
• Винаги прекратявайте всички сесии, които сте започнали, и излизайте от вашия профил;
  
• Използвайте самоунищожаващи се и тайни чатове;
• Задайте ограничения за споделяне на информация за последния път, когато сте били онлайн.
  

Реалните потребители на Telegram са оставили много положителни отзиви за сигурността на месинджъра. Можете да ги прочетете или на главната страница на Telegram в магазина за приложения, или като разгледате различни отзиви от блогъри.

Интересна функция е, че в допълнение към протокола за криптиране MTProto, потребителите могат да конфигурират както оторизация в две стъпки, самоунищожаващи се съобщения, така и унищожаване на акаунт. Което поставя под съмнение всякакви опити за хакване, дори от ФСБ. Докато се получи достъп (а това е практически невъзможно), или кореспонденцията може да бъде унищожена, или акаунтът вече няма да съществува! Същото важи и за и - безопасно е, криптирано и можете да унищожите акаунта си.

Предоставяне на данни на трети лица

Много големи компании и приложения признават, че имат достъп до потребителски акаунти, използват техните данни и запазени файлове, обяснявайки това с факта, че е по-лесно да разберете какво липсва на програмата. Много потребители са изключително недоволни от този резултат от събитията. С Telegram не е нужно да се чудите дали изтичат данни към FSB или към трети страни - дори разработчиците нямат достъп до данните от профилите на други хора. В сблъсъка с Telegram ФСБ многократно поиска да предостави такава информация, но исканията на ФСБ така и не бяха изпълнени.

Сигурността на Telegram или митът за подслушването

Друг важен проблем е възможността за слушане на данни от FSB. Няма причина за паника: благодаря високо нивозащита и силно криптиране на данните на Telegram, данните не могат да бъдат прослушвани и прехвърляни на измамници. Преди да се чудите дали можете да слушате данните или не, вижте потребителската статистика: потребителите на Telegram включват бизнесмени и известни политици, специални служби и дори тайни групи. Никой от тях не можеше да се оплаче от лошата сигурност на Telegram. Криптографският договор, създаден от създателите на приложението, осигурява допълнителен слой защита. И така, отговаряйки на въпроса, възможно ли е да слушате Telegram в Руската федерация, отговорът е съвсем ясен - не (или все още не), дори ако сте таен агент на ФСБ) Освен това, ако програмата регистрира опит за хакване, той автоматично изпраща на потребителя код за потвърждение на достъпа, което от своя страна също елиминира възможността за хакване.

От друга страна, повечето потребители всъщност не се интересуват дали Telegram се следи от разузнавателните служби на ФСБ или не, защото по същество няма какво да крият.

Telegram е приложение, което се позиционира като доста безопасно. Освен това защитава потребителите както от нападатели, така и от правителствени агенции като NSA. За целта месинджърът използва собствена разработка – протокола MTProto. Мнозина обаче се съмняват, че осигурява надеждност.

Същността на вашето собствено криптиране

Някои експерти смятат, че е голяма грешка да изберете свой собствен алгоритъм за криптиране в Telegram, като не предпочитате отворени подобни аналози. Защо? Според тях, за да създадете свой собствен алгоритъм за криптиране, не е достатъчно да сте отличен математик, какъвто притежава компанията. Затова те казват, че ако потребителите искат 100% сигурност, трябва да се обърнат към Signal, Viber, WhatsApp или iMessage. Това е заключението на Gizmodo. Нека обсъдим колко безопасен е Telegram.

Ниво на сигурност

Безопасен ли е Telegram, как? информационен порталв случай на MITM атака? Нека се обърнем към API протокола. Тук надеждността на сигурността е значително висока: при първото стартиране на клиента се създава ключ за оторизация директно на устройството на потребителя с участието на протокола за обмен на секретни ключове, така наречения Diffie-Hellman, за използване на комуникация канал, който не е защитен от подслушване. Тук обаче трябва да се отбележи разлика - публичен ключ Messenger на Telegram вече е вграден в клиентския код. Това гарантира, че няма да бъде заменен от трета страна.

от край до край

Приложението продължава своя кръстоносен поход за защита на поверителна информация в интернет. Сега Telegram въведе сигурна гласова интернет комуникация. Несъмнено гласовите повиквания отдавна са стандартна функция в добрата половина от месинджърите, но Telegram е първата сред конкурентните компании, която въвежда криптиране от край до край за такива повиквания.

За да сте сигурни, че разговорът е напълно защитен, абонатите трябва да сравнят 4-те икони, показани на екрана след процеса на свързване. Ако и двамата потребители виждат едни и същи икони, повикването е защитено. (Фигура 1)

Първоначално месинджърът стартира такава функционалност в страните от Западна Европа. Но ако получите обаждане от там, функционалността ще започне и за вас (ако имате последна версияпратеник).

В допълнение можем да отбележим обявяването на първата мащабна актуализация на платформата за ботове (Bot Platform 2.0.) Тази опция може да се използва за оторизация в банкови ботове и други услуги, които изискват висока човешка проверка.

Упълномощаване

Основният метод на процеса на авторизация е получаването на еднократен код чрез SMS. С други думи, единствената тайна, която потребителят притежава и също така осигурява сигурност, която е гарант за достъпа на конкретен абонат до акаунта, е SIM картата. Но по-голям процент от регистрираните SIM карти принадлежат на собственика на акаунта. Тоест, ако има възможност непознат да разбере вашия телефонен номер, няма нужда да го гадаете. Достатъчно е само да прихванете съобщение с кодов номер за авторизация.

Мит е, че това е сложен процес. Разузнавателните служби на всяка държава не само имат тази възможност, но и често я използват. За тези цели не са необходими специални усилия.

Например, известен е случай, при който германските правоприлагащи органи са регистрирали друго устройство за съществуващ акаунт в Telegram чрез прихващане на SMS с код за активиране. След това им стана достъпна информация за акаунта, включително кореспонденция.

Освен това много експерти смятат, че не е необходимо да сте специална услуга, за да прихванете такива SMS. Според тях използвайте еднократни кодове за оторизация, изпратени чрез SMS на номера, който е вход сметка, това е опасен и ненадежден ход от разработчиците на месинджъри.

Съвсем наскоро те добавиха възможност за настройка на 2-факторно удостоверяване за своите акаунти. С други думи, трябва да въведете обикновена парола в допълнение към еднократния SMS код. Само тази идея беше неуспешно реализирана. Когато нападателят има възможност да прихване SMS, той ще може да отвлече акаунта на потребителя и да получи цялата информация за неговите контакти, кореспонденция, която съдържа нетаен чат. Вашият получател дори няма да разбере това и нападателят ще комуникира с него от ваше име.

Информативност за метаданните

В пресата се появи информация за това как представител на сигурността откри, че нарушителите могат да разберат времето, когато потребителят е онлайн или офлайн, с кого комуникира и по кое време използва месинджъра.

Ola Fliesbeck, изследовател по сигурността, през 2015 г. откри метод за идентифициране на участници в разговор в Telegram въз основа на метаданни, които лесно се извличат от приложението с помощта на командна опция.

При условие, че нападателят и потребителят, избран за жертва, имат общи контакти, тази информация ще бъде достатъчна, за да се определи самоличността на събеседниците. Всъщност хакерът има способността да се абонира за метаданните на този потребител, добавяйки го към неговия списък с контакти в Android. Освен това в приложението няма изискване за взаимно съгласие за това и жертвата няма да получи известие за това, а хакерът няма да се появи в списъка с контакти на Telegram.

Отговорът на Павел Дуров на Роскомнадзор

Ръководителят на Роскомнадзор обвини Павел Дуров в неговия неутралитет към терористите, както и към престъпниците, използващи приложението, и пренебрегвайки безопасността на обикновените потребители на месинджъра.

В отговор на това Дуров предостави статистика за блокирането на сметки на терористи. Например, само през юни тази година, благодарение на факта, че разработчиците въведоха опция, която може да се използва за наблюдение на подозрителна дейност, бяха блокирани повече от 5000 публични канала, както и групи, насърчаващи тероризма.

Дуров отбеляза, че всеки месинджър като Telegram или WhatsApp не е опасен само за потенциални нападатели и престъпници. Принципът на изискване съобщенията да бъдат криптирани или гарантира сигурността на всеки потребител еднакво, или излага всички на риск.

Пакет Yarovaya

Основателят на месинджъра нарече този закон технически невъзможен. Дуров подчерта, че ще работи с регулатора на Руската федерация в съвместно сътрудничество за премахване на публични материали, свързани с популяризиране на наркотици, пропаганда на тероризъм, както и детска порнография или насилие, и за потискане масово изпращане по пощатаненужна информация (спам).

Въпроси за слушане

Въпросът дали е вярно, че Telegram не се проследява и доколко е безопасен, може да се отговори чрез обратна връзка относно сигурността на самите потребители. Сред потребителите на приложението има както бизнесмени, така и известни политици, разузнавателни агенции и дори тайни групи. Според статистиката, прегледи на блогъри, нито един преглед не показва лоша сигурност на Telegrams.

Криптографският договор, който е създаден от разработчиците, осигурява допълнителна степен на защита. Създателите на месинджъра настояват, че подслушването е невъзможно.

Въпреки високото ниво на сигурност, не е необходимо да пренебрегвате небрежните мерки. Месинджърът има висока степен на допълнителна защита:

• Не давайте вашето устройство на непознат под никакъв предлог;
• задайте парола на устройството, без да я споделяте с никого; (Фигура 2)

Криптирането от край до край в месинджърите придоби популярност, защото се случва напълно незабелязано от потребителите. Не е необходимо да генерират самостоятелно двойки ключове, да ги подписват, да разпространяват публични и да защитават частни ключове, да отменят своевременно стари и компрометирани - всичко се извършва автоматично и кореспонденцията е магически защитена. Но наистина ли всичко е толкова хубаво?

Още през 2004 г. нашият сънародник Никита Борисов, заедно с Иън Голдбърг, разработиха универсален криптографски протокол за системи за незабавни съобщения. Протоколът беше наречен OTR (Off-the-Record Messaging) и започна да се разпространява открито под GPL лиценз като готова библиотека. Оттогава OTR се превърна в основа за други популярни протоколи с допълнителни подобрения в сигурността. По-специално протоколът Signal, известен преди като TextSecure. Повечето други съвременни месинджъри също са базирани на Signal.

Принципи на криптиране на кореспонденция

Концептуално всички криптографски методи за защита на кореспонденцията трябва да осигуряват поне две основни характеристики: поверителност и цялост на съобщението. Поверителността означава, че само събеседниците могат да дешифрират взаимно съобщенията си. Нито интернет доставчикът, нито разработчикът на месинджър, нито която и да е трета страна трябва да има техническата възможност да извърши декриптиране за разумен срок. Целостта осигурява защита срещу случайна корупция и целенасочени измамни атаки. Всяко съобщение, променено по време на предаване, ще бъде автоматично отхвърлено от получаващата страна като повредено и вече не се вярва.

Съвременните протоколи за незабавни съобщения също се справят с допълнителни проблеми, които подобряват удобството и сигурността. В протокола Signal и неговите най-близки аналози това са свойства като асинхронно предаване, права и обратна секретност.

Вероятно сте забелязали, че пропуснатите съобщения се доставят в месинджърите. Те идват дори ако сте говорили в групов чат и внезапно сте прекъснали връзката за дълго време по средата на разговора. Това е асинхронност: съобщенията се криптират и се доставят независимо едно от друго. В същото време, поради времевите печати и някои допълнителни механизми, тяхната логическа последователност се поддържа.

Имот като предна тайна, означава, че ако ключът за криптиране на текущото съобщение е компрометиран, няма да е възможно да се дешифрира предишната кореспонденция. За да направят това, месинджърите често променят сесийните ключове, всеки от които криптира своя малка част от съобщенията.

По същия начин обратна секретностосигурява защита за бъдещи съобщения, ако текущият ключ е компрометиран. Новите ключове се генерират по такъв начин, че тяхната връзка с предишните е изключително трудна за изчисляване.

Правата и обратната секретност са внедрени в съвременните механизми за управление на ключове. Протоколът Signal използва алгоритъма Double Ratchet (DR) за това. Той е разработен през 2013 г. от консултанта по криптография Тревър Перин и основателя на Open Whisper Systems Мокси Марлинспайк.

Името е препратка към машината за механични шифри Enigma, която използва тресчотки - зъбни колела с наклонени зъби, които се движат само в една посока. Поради това състоянието на зъбните колела в машината за криптиране беше елиминирано, повтаряйки едно от наскоро използваните.

По аналогия с тях, „дигиталната тресчотка“ също предотвратява повторното използване на предишни състояния на системата за криптиране. DR често променя сесийните ключове, като същевременно предотвратява повторното използване на генерирани преди това. Именно това осигурява права и обратна секретност, т.е допълнителна защитаотделни съобщения. Дори ако един сесиен ключ бъде избран успешно, атакуващият ще може да декриптира само съобщения, криптирани от него, и това винаги е малка часткореспонденция.

Протоколът Signal също така реализира много други интересни механизми, чието описание е извън обхвата на тази статия. Резултатите от неговия одит могат да бъдат намерени.

Сигнал и неговите аналози

Криптирането от край до край, предоставено от Signal, днес се използва както в месинджъра със същото име от Open Whisper Systems, така и в много трети страни: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat - всички те използват оригинала или малко модифицирана версия Signal Protocol, като понякога им дава собствени имена. Например Viber използва протокола Proteus - по същество същият Signal с други криптографски примитиви.

Въпреки това, с подобна реализация на криптиране от край до край, приложението може да компрометира данни по други начини. Например WhatsApp и Viber имат функция за архивиране на историята на разговорите. Освен това WhatsApp изпраща статистически данни за комуникацията до сървърите на Facebook. Защитата на локалните и облачните копия на кореспонденцията е формална, а метаданните изобщо не са криптирани - това е открито посочено в лицензионното споразумение.

Метаданните показват кой комуникира с кого и колко често, какви устройства използва, къде се намира и т.н. Това е огромен слой непряка информация, който може да се използва срещу събеседници, които смятат комуникационния си канал за сигурен. Например, NSA не се интересува с какви думи заподозреният е поздравил Асанж, че е оставил Обама на студено и какво му е отговорил Джулиан. Важното е да си кореспондират.

Както бе споменато по-горе, всички месинджъри периодично променят ключовете за криптиране на сесията и това е нормален процес. Основният ключ може да се промени, ако събеседникът се премести на друго устройство, излезе офлайн за дълго време ... или някой започна да пише от негово име, отвличайки акаунта му.

В оригиналното приложение Signal всички участници в разговора получават известие за промяната на ключа. В WhatsApp и други месинджъри тази настройка е деактивирана по подразбиране, тъй като не предоставя значителна информация на повечето потребители. Освен това ключът се променя, когато събеседникът отсъства онлайн за дълго време - това е едновременно грешка и функция.

Като изследовател от Калифорнийски университетв Бъркли, Тобиас Боелтер, при атака на услуга е възможно да се създаде нов ключ и да се получават съобщения вместо получателя. Освен това самите оператори на сървъри на WhatsApp могат да направят същото - например по искане на разузнавателните служби.

Разработчиците на протокола Signal опровергават констатациите на Boelter и защитават WhatsApp. Според тях подмяната на ключ дава достъп само до недоставени съобщения. Малка утеха.

Можете да активирате известяване за ключова промяна в настройките, но на практика този параноичен режим е малко вероятно да даде нещо. Месинджърът ви уведомява за промяна на ключа само след повторно изпращане на съобщения. Смята се, че това е по-удобно за самите потребители.

Методи за отваряне

Да кажем, че сме изслушали тези аргументи. Нека приемем като работно предположение, че протоколът Signal няма практически значими уязвимости. И какво? Проблемът с криптирането на кореспонденцията остава, тъй като Signal, WhatsApp и други месинджъри имат криптиране от край до край, което гарантира поверителност само ако атакуващата страна няма нищо друго освен прихванати съобщения в криптирана форма.

На практика ФБР и свързаните с него агенции, когато извършват фоново наблюдение на дадено лице, се задоволяват с метаданните на неговите комуникации, а самите съобщения, ако е необходимо, се получават по други начини, които не изискват нарушаване на силен протокол за криптиране или факторизиране на дълги ключове.

Резултатите от състезанията за нейното кракване често се цитират като доказателство за надеждността на дадена криптосистема. Казват, че никой не е взел обявената награда, което означава, че не са могли да я хакнат. Тук става типична подмяна на понятията. Едно нещо е да прочетете тайните съобщения на събеседник на живо и съвсем друго е да изпълните условията на състезание за хакване на диалога на ботове (или разработчици на месинджъри, които очакват трик във всяко съобщение). Обикновено условията са написани по такъв начин, че състезателите в крайна сметка да бъдат поставени пред задача, която очевидно не може да бъде решена в определеното време.

IN реални условияЛовците на чужда кореспонденция не са ограничени от никакви правила. Те не е задължително да търсят дупки в самия протокол за криптиране от край до край, но ще разбият това, което е по-просто. Използвайте социално инженерство (затова писах за реални хора), уязвимости в операционната система (има хиляди от тях в Android), драйвери и софтуер на трети страни - всякакви възможни трикове. Нормалните герои винаги поемат по заобиколен път и служителите на трибуквените отдели не са изключение.

Ако имате физически достъп до смартфон (дори краткосрочен и без root), се появяват много нови вектори на атака, които надхвърлят конкуренцията за хакване на месинджъра. Обикновено в този случай е възможно да се използва „не грешка, а функция“ на приложението, оставена от разработчиците за удобство (хакване).

Ще ви дам пример. В нашата лаборатория често се случваше служител да излезе за няколко минути и да остави смартфона си да се зарежда. Всички имаха смартфони, но нямаше достатъчно изходи. Затова отделихме специална маса със защита от пренапрежение - нещо като бензиностанция, където през деня се съхраняваха всички или почти всички смартфони.

Естествено, идваме на тази маса десет пъти на ден, вземаме нашите (а понякога и чужди - по погрешка) смартфони и ги оставяме да се зареждат. Един ден трябваше да разбера какво пише Вася в месинджърите. Имаше подозрение, че изнася информация по проекти, а нашата служба за сигурност само вдигаше рамене. Криптирането от край до край е непреодолима стена. Концепцията BYOD не ни е привлякла. Те също така се опитаха да забранят използването на месинджъри и смартфони като цяло, но нищо добро не излезе. Твърде много комуникации са свързани с тях днес. Следователно, с одобрението на службата за сигурност (клауза 100500: „... в изключителни случаи има право ...“), просто избрах удобен момент и направих това:

1. Изчаках Вася да отиде да вземе храна. Това са поне три минути, но две са ми достатъчни.
2. Спокойно вземам смартфона му и се облягам на мястото си.
3. Смартфонът е заключен, но знам модела. Вася го използва стотици пъти с мен. Неизбежно ще запомните тази „буква зю“.
4. Пускам браузър на компютъра си и отивам на страницата на уеб интерфейса на WhatsApp. Той генерира QR код за синхронизиране.
5. Отварям WhatsApp на смартфона на Вася. Отивам на „Чатове → Настройки → WhatsApp Web“.
6. Сканирам QR кода със смартфона си.
7. Всичко. Пълна историяЧатовете на Вася се зареждат в браузъра ми.
8. Премахваме следи и връщаме чужд смартфон на мястото му.

Сега виждам цялата минала и настояща кореспонденция на Вася. Ще го видя поне до края на деня, докато WhatsApp смени ключа или Вася ръчно прекъсне уеб сесията. За да го деактивира, той трябва да подозира, че нещо не е наред, след което да влезе в същия елемент от менюто на WhatsApp Web. Там той ще види съобщение за последната уеб сесия... което ще бъде напълно неинформативно. Показва само града (по GeoIP), браузъра и операционната система. Ние с Вася имаме всички тези променливи напълно еднакви (една лаборатория, една мрежа, стандартни компютри с еднакъв софтуер). Следователно този запис не му дава повод за безпокойство.

Уеб сесията е удобна за текущо наблюдение. Освен това можете да направите резервно копиечатове - вече за протокола.

Няколко дни по-късно Вася премина към Telegram. Метод за наблюдение на кореспонденцията му в общ контурбеше същото.

1. Взимаме неговия смартфон, отключваме го с обичайната „буква zyu“ и отваряме Telegram.
2. Отидете на уебсайта на Telegram във вашия браузър.
3. Въведете телефонния номер на Вася.
4. Хващаме кода за потвърждение, който дойде в неговата Telegram.
5. Въведете го в прозореца на браузъра си.
6. Изтриваме съобщението и всички следи.

Скоро Вася инсталира Viber и трябваше да направя нов трик.

1. Заемаме смартфона му за няколко минути.
2. Отворете Viber → „Настройки → Обаждания и съобщения → Имейл регистър“.
3. Копираме архива на флаш устройство (OTG) или го изпращаме на себе си по друг начин. За щастие Viber предоставя десетки от тях.
4. Връщаме смартфона и премахваме следи.

Факт е, че Viber няма уеб версия. Би било възможно да инсталирам десктоп и да го свържа с мобилния акаунт на Вася във Viber, но избрах метода, който беше по-лесен за изпълнение.

Вася „предаде“ и инсталира Signal. По дяволите, това е примерен пратеник, препоръчан от Schneier, Snowden и Electronic Frontier Foundation! Той дори не позволява на потребителя да прави екранни снимки на чат. Как да бъдем?

Отново чакаме подходящия момент и стартираме Signal на смартфона на Вася. Месинджърът изисква да въведете парола, която аз не знам... но познавам Вася! Опитвам рождения му ден - не става. Пробвам кода от нашия лабораторен дипломат - работи. Дори скучно. Отиваме в настройките на месинджъра и спираме, като рицар на кръстопът. Оказва се, че има много варианти да стигнете до чатовете. Например, Signal ви позволява да експортирате цялата кореспонденция с една команда и само в чист текст.

След това можете да отидете в Настройки → Свързани устройства и да повторите трика, който направихте с WhatsApp по-рано. Signal отваря уеб сесия чрез QR код по същия начин. Има дори отделно разширение за това в Google Chrome.

Клонирайте всички чатове на Signal в Chrome

Като бонус можете да плъзнете всички контакти от уеб сесия на Signal. Те ще ви бъдат полезни.

В крайна сметка: не знам ключовете за криптиране на Вася (и той самият не ги знае!), но мога да прочета неговата минала и текуща кореспонденция във всички месинджъри. Вася не подозира нищо и продължава да вярва, че „криптирането от край до край“ му гарантира пълна конфиденциалност.

С физически достъп до смартфон става лесно да се получи контрол над всеки месинджър, но дори това не е необходимо за хакване на кореспонденция. Можете да примамите жертвата към фишинг връзка и дистанционно да троянизирате смартфона си - в стария случай Android версииИма много дупки в предварително инсталирания браузър. Троянският кон ще получи руут (сега това е рутинна автоматична процедура), ще започне да прави екранни снимки, дъмпове на паметта... или просто ще го улесни архивираневсички чатове на следващия месинджър в ясна форма.

Телеграма

За този месинджър си струва да се говори отделно по редица причини. Първо, той използва различен протокол за криптиране от край до край - MTProto. След като се отървете от детските болести (