Защищенный мессенджер телеграмм. Телеграмм – безопасность зарегистрированных пользователей важнее всего. Как пользоваться программой

Программу для обмена мгновенными сообщениями «Телеграмм» от создателя соцсети «ВКонтакте» называют главным конкурентом всемирно известного WhatsApp. На первый взгляд они действительно похожи: одно и то же назначение, почти одинаковые окна диалогов и схожий функционал. Так может, это приложения-клоны? Или между ними есть глобальные отличия? И вообще, был ли смысл в создании продукта, аналоги которого уже есть?

Предлагаю краткое знакомство с бесплатным кроссплатформенным мессенджером «Telegram». После прочтения вы сами ответите на эти вопросы и сможете определиться, стоит ли переходить на него с продукции конкурентов.

Для чего был создан «Телеграмм»

По словам автора проекта, «Telegram» – прежде всего безопасный мессенджер (). Этот мессенджер был создан именно с целью защиты данных, которыми обмениваются пользователи, от перехвата и прослушивания. Для этого программа использует собственную криптостойкую технологию шифрования MTProto, взломать которую если не невозможно, то очень сложно. Это как раз то, чего нет в WhatsApp, Viber и других аналогичных продуктах.

Еще одна цель – получить самый быстрый мессенджер в мире. С этой задачей разработчики тоже справились на ура, так что высокая скорость и низкое потребление трафика – второе глобальное отличие «Телеграмм».

Как пользоваться программой

Привязка телефона и русификация

Начнем знакомство с момента установки. Скачайте Телеграмм для компьютера или мобильного устройства и инсталлируйте как обычное приложение. После запуска введите в мессенджер номер своего мобильного телефона – это и будет ваш аккаунт. Далее последует проверка – на указанный телефон будет прислан код подтверждения. После верификации впишите в профиль имя и фамилию, чтобы другие пользователи могли вас по ним находить. На этом регистрация закончена.

По умолчанию мессенджер устанавливается на английском языке, и переключить его на русский просто так не получится. Чтобы добавить в Telegram русский, украинский, белорусский и ряд других отсутствующих языков, нужно скачать файл локализации , отправив его самому себе с другого клиента Telegram. Либо запросить его у Робота Антона , послав одну из команд:

• locale android – означает «прислать русификатор для телефона или планшета на Android».
• locate ios – то же самое для гаджетов Apple.
• locate tdesktop – для Windows.
• locate osx – для OS X.

После того как файл будет прислан, щелкните по нему для загрузки на устройство (изображение стрелки должно замениться на скрепку).

В мобильной версии клиента нажмите на кнопку «три вертикальных точки», которая находится в правой части сообщения.

Выберите в меню этой кнопки пункт «Apply localization file », зайдите в раздел «Settings » – «Language » и установите русский язык.

В версии для компьютера (Windows и OS X) щелкните по присланному файлу правой кнопкой мыши, выберите из контекстного меню «Save File As » и сохраните его в любом месте.

Загрузите русификатор и перезапустите приложение.

Добавление контактов

Для поиска знакомых среди пользователей Телеграмм откройте меню «Контакты ». В списке отобразятся люди, чьи номера есть в вашей телефонной книге. Для добавления новых контактов откройте одноименный раздел и нажмите показанную на скриншоте кнопку.

Введите телефон и имя пользователя. Нажмите «Сохранить ».

Чтобы начать общение с людьми, которые пока не пользуются программой, зайдите в раздел «Контакты » и нажмите «Пригласить друзей ».

Выберите средство, с помощью которого вы хотите выслать им приглашение, например, Скайп, WhatsApp или программу отправки СМС.

Найдите друга в списке контактов этого приложения. К вашему приглашению будет приложена ссылка на скачивание Telegtam.

Как только друг установит мессенджер – он сразу же появится в вашем контакт-листе.

Обмен сообщениями

Чтобы отправить кому-то сообщение, нажмите на имя пользователя «Телеграмм», наберите в окне чата текст или щелкните по значку «Микрофон» и запишите голосовое послание. Кликните кнопку отправки.

К сообщениям можно прикладывать файлы, а также вставлять в них смайлики и стикеры – картинки, выражающие эмоции.

Для создания максимально защищенного чата – секретного, нажмите в меню «Новый секретный чат » и выберите абонента. Всё, что вы друг другу передадите, останется строго конфиденциально.

Для дополнительной защиты от любопытных данные секретного чата можно удалить – как вручную, так и по таймеру, используя опции меню (которое открывается через кнопку «три точки» в верхнем углу справа).

Кроме индивидуальных чатов, в программе есть функция обмена сообщениями внутри группы (запускается через главное меню – «Новая группа ») и создания каналов (там же, через строчку ниже). Канал – это, как правило, массовая рассылка демонстрационных материалов выбранным абонентам.

Кстати, помимо живых людей, в «Телеграмм» обитают роботы (боты). Боты – это скрипты, разработанные для выполнения какой-либо задачи. Например, регистрации пользователей на вашем сайте, подсчета сообщений и многого другого. При желании можно заказать собственного бота с заданным набором функций.

Что еще отличает Telegram от аналогов?

Кроме усиленной защиты и высокой скорости передачи, этот мессенджер отличается тем, что:

• Работает в облаке, синхронизирует между устройствами не только настройки и контакты, но и чаты (кроме секретных).
• Дает возможность обмениваться любыми файлами, а не только видео и фото. Причем без лимита на размер.
• Работает и на мобильных, и на стационарных платформах, а также имеет веб-версию.
• Отрытый исходный код (пока не весь) и API программы могут использовать все желающие.
• Не показывает рекламу.
• Бесплатен даже для коммерческого применения.

А если придираться, можно найти и пару недостатков: отсутствие режима невидимости и избыточные телодвижения при добавлении русского языка. Второму разработчики дали такое объяснение: «русскоязычная аудитория может с успехом заменить Telegram функцией обмена сообщениями ВКонтакте, а кроме того, активный прирост пользователей из России, скорее всего, станет поводом для запрета распространения программы в нашей стране».

Приветствую, любимые мои читатели! Сегодня я подготовила подробный обзор мессенджера Телеграм.

Его создателем является многим известный Павел Дуров.

Вот умеет человек делать качественные проекты, которые покоряют миллионы пользователей.

Сначала Вконтакте, теперь Телеграм. Мессенджер Telegram был создан еще в 2013 году. Но я узнала о нем и начала использовать совсем недавно.

Что такое Telegram и зачем он нужен

Для тех, кто еще теряется в догадках, что это за Телеграмм такой, поясню.

Это сервис, позволяющий обмениваться мгновенными сообщениями или по другому мессенджер. Нечто вроде скайпа, Viber или Agent Mail.

Сейчас появилась еще и функция звонков!

Вот так мессенджер выглядит на компьютере:

Просто, стильно, удобно.

Telegram является самым защищенным мессенджером. Вы можете создавать секретные чаты. И никто, кроме Вас и адресата, не узнает, о чем была переписка.

Telegram — это мессенджер, но он все больше напоминает социальную сеть. Тут есть и каналы, и чаты, и боты. У него множество возможностей и достоинств.

Зачем и кому нужен мессенджер?

• Обычным пользователям — для обмена сообщениями и различными файлами.
• Компаниям — для организации общения между сотрудниками. Telegram позволяет создавать групповые чаты до 200 человек по умолчанию. По достижении этого количества чат можно увеличить до 5000.
• Инвесторам — для инвестирования. Платформа позволяет создавать специальных инвестиционных ботов. Я именно в качестве инвестора и познакомилась с Телеграмм.
• Блогерам — отличный инструмент для оповещения своих подписчиков. Охватывает пользователей компьютеров, планшетов, смартфонов. Нет риска, что сообщения улетят в спам. У меня тоже есть свой канал. Подписывайтесь!
• Telegram — это не просто мессенджер, но настоящая социальная сеть.
• С помощью Телеграмм даже можно принимать платежи.
• Он постоянно обновляется, появляются новые возможности.

Преимущества Телеграмм

• Защищенность

Позволяет создавать секретные чаты и задавать таймер автоудаления переписки.

Правда эта возможность не доступна на ноутбуке, но мессенджер и предназначен прежде всего для смартфонов. Хотите обезопасить переписку? Telegram Вам в смартфон. Я данной возможностью не пользовалась. Скрывать пока нечего.

• Бесплатность

Ну бесплатность любят все, тут без комментариев).

• Кроссплатформенность

Мессенджер Telegram доступен на многих устройствах: компьютере, ноутбуке, планшете, смартфоне.

Все данные синхронизируются. Можно начать писать сообщение на ноуте, а закончить уже на телефоне.

• Быстрота

Это самый быстрый мессенджер из существующих. Сообщения доставляются в доли секунды. И даже, когда Интернет медленный и сайты не загружаются, Телеграм работает.

• Отправка больших файлов

Telegram позволяет отправлять файлы любых форматов размером до 1,5 ГБ. Файлы можно хранить в облаке. Классно, правда?

Ну и еще много других интересных фишек, все и не перечислить. Хотя о некоторых Вы узнаете далее из статьи.

Мессенджер Телеграмм: руководство для новичков

Заинтересовал мессенджер? Тогда приступаем к установке и активной эксплуатации.

Как установить мессенджер Telegram

Ну тут все просто.

Во-первых, существует веб-клиент Телеграмм. Тут и устанавливать ничего не надо. Telegram Web на русском доступен по адресу web.telegram.org.ru.

Во-вторых, есть версия для компьютера. Скачать ее можно на официальном сайте: https://telegram.org

Все, как обычно, скачиваете, запускаете, устанавливаете, как и любую другую программу.

В-третьих, мессенджер Telegram можно установить на смартфоны и планшеты. Ищете приложение в GooglePlay или AppStore.

После установки указываете номер телефона, вводите полученную на него смс и Вы в личном кабинете.

Раньше надо было предпринимать дополнительные действия для установки русского языка. Но теперь он уже добавлен в настройки.

Как настроить Телеграм

В верхнем меню нажимаем Настройки.

Тут советую загрузить фото или аватар и указать логин, чтобы Вас можно было найти по логину, а не по номеру телефона.

Есть еще множество других настроек: звук, настройка папки загрузки, фоновое изображение, стикеры, уведомления, безопасность.

Не буду на этом останавливаться. Как только переведете Telegram на русский, легко со всем разберетесь.

И еще немного о возможностях Telegram…

Стикеры

Стикеры — это картинки, обозначающие эмоции и позволяющие сделать общение более экспрессивным. В Telegram все стикеры бесплатны.

Кроме стандартных смайлов, существует множество других картинок на любой вкус: для любителей кошек, собачек, покемонов, Путина, различных сериалов и компьютерных игр.

Как добавить стикеры в Telegram?

Зайдите в Настройки и выберите Управление и сортировка стикеров. Нажмите на продвигаемые наборы и выберите то, что нравится. В настройках можно и удалить стикеры.

Все стикеры можно найти в каталоге по адресу https://tlgrm.ru/stickers .

Если собеседник отправил Вам классный стикер и Вы хотите добавить его себе, то нажмите правой кнопкой мыши на него и выберите Добавить стикеры.

Откроется вся коллекция, Вы сможете ее установить.

Вы можете добавить в мессенджер Телеграм и собственные стикеры. Найдите робота @stickers ,отправьте ему команду /newpack, далее следуйте инструкциям.

Как создать свой канал в Телеграме

Как я уже говорила, свой канал в Телеграмм — это отличное средство оповещения своей аудитории.

Создается канал элементарно. На смартфоне в Telegram выбираете «Создать канал»:

Вводите название канала и его краткое описание, придумываете ссылку, по которой его можно будет найти.

И, наконец, указываете тип канала: публичный (доступен всем, отображается в поиске) или приватный (доступен только по ссылке).

Все эти данные можно будет в будущем отредактировать. После создания канала советую загрузить для него аватарку.

Можно создать канал и на компьютере, правда тут это не так очевидно, я лишь случайно обнаружила, как это сделать.

А надо всего-то нажать на карандаш в строке поиска:

Тут же можно создать и групповой чат. Выбираете нужное и следуете инструкциям.

На компьютере кликнув по названию канала правой кнопкой мыши, Вы получите информацию о нем, сможете отключить или включить уведомления, найти нужные сообщения.

На Андроид для этого нужно кликнуть на название канала вверху экрана.

В нижнем правом углу каждого сообщения отображается количество просмотров. В информации о канале можно посмотреть количество участников.

Общение

Вот еще несколько интересных фишек Telegram, которые могут быть Вам полезны:

• При длинной переписке Вы ставьте хештеги, они позволят быстро найти нужное сообщение;
• Вы можете отредактировать уже отправленное сообщение в течение 2 суток. Сама пользовалась, удобно.
• Загружайте при необходимости сразу несколько файлов, не нужно добавлять их по одному;
• Вы всегда сможете легко заблокировать пользователя, если он надоест Вам.

А за счет использования ботов Ваши возможности многократно увеличиваются.

Боты — это программы, выполняющие автоматизированные действия. В Telegram — это аккаунты, управляемые программами. Боты Telegram способны на многое: сообщать прогноз погоды, курсы валют, искать фильмы и картинки, переводить на разные языки…

Представлю Вам одного бота @Storebot. Он позволяет искать ботов в Telegram.

Как удалить Telegram

Несмотря на все достоинства мессенджера, больше не хотите им пользоваться и решили удалить свой аккаунт? Тогда читайте, как это сделать.

Удаление профиля Telegram происходит на сайте: https://my.telegram.org/auth

Указываете номер телефона, нажимаете Next. Вам в Telegram придет код, вводите и попадаете в аккаунт.

Выбираем вторую строку Deactivate account. Теперь Вас попросят указать причину удаления и предупредят, что будут удалены все контакты, группы и каналы:

И, наконец, после этого появится красная кнопка Yes, delete my account. Нажимаете и все, аккаунт Telegram удален.

Но надеюсь, эта инструкция Вам не пригодится.

Вывод: мессенджер Telegram надежен и удобен, постоянно совершенствуется. Достоин того, чтобы начать им активно пользоваться. А что Вы думаете?

Телеграмм безопасность - очень волнующий раздел всех пользователей приложения. Мы расскажем все в одной статье о Telegram и его безопасности. Читай быстрее!

Одним из самых важных критериев в пользу выбора приложения является безопасность пользователя и сохранение полученных им данных. Практически все программы и приложения, несмотря на высокую степень защиты, поддавались взлому – информация передавалась третьим лицам, а аккаунты использовались в качестве разносчика спама. Разработчики предусмотрели возможность полного контроля над доступом к профилю, поэтому при создании приложения использовался секретный код, вскрыть который не предоставляется возможным. Разработчики доказали: Телеграмм = безопасность.

С момента выпуска приложения, с 2013 года, не было зафиксировано ни одного случая взлома мессенджера. Создатели программы, уверенные в сверхбезопасности своей разработки, создали конкурс – победитель получит десятки тысяч долларов, если получит доступ к чужому профилю и вскроет историю сообщений. Вдохновленные такой наградой, тысячи программистов-гениев пытались сделать это, но их попытки не увенчались успехом – можете представить уровень безопасности приложения Telegram? Все же, один человек отчасти совершил победу: тем не менее, историю сообщений он узнать не смог, а лишь нашел уязвимость в чатах. В итоге ему досталась лишь половина призовых денег, но Павел Дуров сделал «Ход конем» и пригласил этого программиста на работу в мессенджер.

Безопасен ли Телеграмм именно в РФ?

Это интересно: Telegram использует специальный протокол шифрования , который разработал Николай Дуров и команда программистов. Является на 2016 год одним из самых защищенных протолоков. Именно поэтому у Дурова возник конфликт с ФСБ в 2017 году у них просто не получалось прослушивать Телеграмм.

Как увеличить безопасность Телеграмма?

Несмотря на сильную безопасность, не стоит пренебрегать мерами предостережений – программа обладает высоким уровнем дополнительной защиты:

• Ни в коем случае не давайте телефон посторонним лицам, даже если вы уверены в них;
• Установите пароль на телефоне, и никому не сообщайте его;
  
• Не ограничивайтесь одним паролем – в настройках Telegram (раздел приватность и безопасность) установите двойной код доступа;
  
• Скройте свой номер телефона на главной странице профиля Telegram(напоминаем, что приложение предоставляет доступ к этой информации только для сохраненных контактов);
• Всегда завершайте начатые сеансы и выходите из своего профиля;
  
• Используйте самоуничтожающиеся и секретные чаты;
• Установите ограничения на предоставление доступа к информации, когда вы были в сети последний раз.
  

Реальные пользователи Telegram оставили весьма положительные отзывы о безопасности мессенджера. Прочитать их можно как и на главной странице Telegram в магазине приложений, так и посмотрев различные обзоры блоггеров.

Интересная особенность заключается в том, что помимо протокола шифрования MTProto пользователи могут настроить как двухэтапную авторизацию, так и самоуничтожающиеся сообщения и уничтожение учетной записи. Что ставит под сомнение любые попытки взлома, даже от ФСБ т.к. к моменту получения доступа (а это практически невозможно) либо переписка может быть уничтожена, либо аккаунт уже перестанет существовать! Все тоже самое касается и - безопасен, шифруется и можно уничтожить учетную запись.

Предоставление данных третьим лицам

Очень многие крупные компании и приложения признаются, что имеют доступ к аккаунтам пользователей, используют их данные и сохраненные файлы, объясняя это тем, что так легче узнать, чего не хватает программе. Многие пользователи крайне недовольны таким исходом событий. С Телеграммом вам не придется задаваться вопросом, сливает ли он данные ФСБ или третьим лицам – даже разработчики не имеют доступа к чужим данным профиля. В противостоянии с Телеграмм, ФСБ не раз требовали предоставить подобную информацию, однако ни разу требования ФСБ не были выполнены.

Безопасность Телеграмм или миф о прослушке

Еще одной немаловажной проблемой является возможность прослушивания данных ФСБ. Причин для паники нет: благодаря высокому уровню защиты и сильной кодировке данных Telegram, данные невозможно прослушать и передать мошенникам. Прежде чем задаться вопросом, можно ли прослушать данные, или нет, ознакомьтесь со статистикой пользователей: в число юзеров Telegram входят бизнесмены и известные политики, специальные службы и даже секретные группировки. Ни один из них не смог пожаловаться на плохую безопасность Телеграмма. Криптографический договор, установленный создателями приложения, обеспечивает дополнительный уровень защиты. Так что отвечая на вопрос, можно ли прослушать Телеграмм в РФ, ответ довольно однозначен - нет (или пока нет), даже если вы секретный агент ФСБ) Также, если программа регистрирует попытку взлома, она автоматически отправляет пользователю код подтверждения доступа, который, в свою очередь, также исключает возможность совершения взлома.

С другой же стороны, большинству пользователей на самом деле все равно прослушивается Телеграмм спецслужбами ФСБ или нет, ведь скрывать по сути нечего.

Telegram — приложение, позиционирующее себя, как достаточно безопасное. При чём оно защищает пользователей как от злоумышленников, так и государственных структур типа АНБ. С этой целью мессенджер применяет свою разработку — протокол MTProto. Однако, то что он обеспечивает надежность, многие сомневаются.

Суть собственного шифрования

Некоторые эксперты считают большой ошибкой выбор собственного алгоритма шифрования в Телеграмм, не предпочтя открытые подобные аналоги. Почему? По их мнению, для создания своего алгоритма шифровки, не достаточно быть превосходным математиком, каковые имеются у компании. Поэтому утверждают, что если пользователи хотят обеспеченную 100% защищенность, пусть обратятся к Signal, Viber, WhatsApp либо iMessage. Такой вывод сделала Gizmodo. Порассуждаем на тему, на сколько безопасен Telegram.

Уровень безопасности

Безопасен ли Телеграмм, как информационный портал на случай MITM-атаки? Обратимся к api протоколу. Здесь надёжность защиты значительно высокая: в процессе первого запускания клиента происходит создание ключа авторизации, непосредственно на девайсе пользователя при участии протокола обмена секретными ключами, так называемыми Диффи-Хелмана для использования, незащищённого от прослушок, канала связи. Однако здесь следует отметить некое различие — открытый ключ мессенджера Телеграмм уже прошит в клиентском коде. Это обеспечивает исключение его замены третьим лицом.

end-to-end

Приложение продолжает свой крестовый ход на защиту конфиденциальной информации в сети интернет. Теперь Телеграмм внедрил защищённую голосовую интернет-связь. Бесспорно, голосовые звонки давно являются стандартной фичей в доброй половине мессенджеров, однако Telegram — первый среди конкурирующих компаний, которые ввели end-to-end шифр подобных звонков.

Для уверенности в полной защищённости разговора, абонентам следует сравнить 4 иконки после процесса соединения, отображённые на экране. При случае наблюдения одинаковых иконок у обоих пользователей, звонок защищён. (рис 1)

Вначале мессенджер запустил такой функционал в западноевропейских странах. Но при случае, когда вам позвонят от туда, то функционал запустится и у вас (если на вашем девайсе установлена последняя версия мессенджера).

В дополнение можно отметить анонсирование первого масштабного обновления бот-платформы (Bot Platform 2.0.) Эта опция может быть применена для авторизации в банковских ботах и прочих сервисах, требующих высокой верификации человека.

Авторизация

Базовый метод процесса авторизации — это получение одноразового кодового числа по смс. Иными словами, единственным секретом, которым владеет пользователь, а также обеспечивающим безопасность, являющуюся гарантом доступа конкретного абонента к аккаунту, это сим-карта. А ведь больший процент зарегистрированных сим-карт принадлежит владельцу аккаунта. То есть при случае возможности у постороннего узнать ваш телефонный номер, его угадывать не понадобится. Достаточно лишь перехватить сообщение с кодовым числом для авторизации.

То что это сложный процесс — миф. Спецслужбы любого государства не только имеют такую возможность, а и не редко ей пользуются. В этих целях не требуются особенные усилия.

К примеру, известен случай, когда немецкими правоохранительными органами было зарегистрировано иное устройство для имеющегося аккаунта Телеграмма путём перехвата смс с активационным кодом. После этого им стала доступна информация аккаунта, в том числе и переписка.

При чём, многие специалисты считают, что для перехвата такого смс не нужно быть спецслужбой. По их мнению, применять единоразовые коды для авторизации, отсылаемые в смс на номер, являющимся логином учётной записи, это опасный и ненадёжный ход разработчиков мессенджера.

Совсем недавно ими добавлена возможность устанавливать для своих аккаунтов 2-х-факторную аутентификацию. Иными словами, нужно ввести обычный пароль кроме одноразового смс-кода. Только эта идея неудачно реализована. Когда атакующий имеет возможность перехватить смс, он сумеет угнать аккаунт пользователя и получит всю информацию о его контактах, переписке, которую содержит не секретный чат. Ваш адресат об этом даже не догадается и злоумышленник будет общаться с ним от вашего имени.

Информативность о метаданных

В прессе появлялась информация о том, как представителем по безопасности было обнаружено, что правонарушители могут узнать время нахождения пользователя онлайн либо оффлайн, с кем он общается и в какое время использует мессенджер.

Ола Флисбек, занимающийся исследованиями по безопасности, в 2015 году нашла метод определения участников беседы в Телеграмм на основе метаданных, каковые удалось с легкостью извлечь из приложения при помощи командной опции.

При условии, когда у атакующего и пользователя, выбранного на роль жертвы, существует сколько-нибудь общих контактов, этой информации будет достаточно для выяснения личностей собеседников. Фактически, хакер имеет возможность оформить подписку на метаданные этого пользователя, добавив его в список своих контактов на Андроид. Тем более, что требования о взаимном согласии на это в приложении нет, а также об этом не придёт уведомление жертве, а хакер не отразится в перечне контактов Телеграмм.

Ответ Павла Дурова Роскомнадзору

Глава Роскомнадзора обвинил Павла Дурова в его нейтральности в отношении террористов, а также преступников, пользующихся приложением, и игнорировании безопасности рядовых пользователей мессенджера.

В ответ на это Дуров привёл статистику произведённых блокировок аккаунтов террористов. К примеру, только в июне этого года, благодаря тому, что разработчиками внедрена опция, с помощью которой может отслеживаться подозрительная активность, было заблокировано больше 5 000 общественных каналов, а также групп, ведущих пропаганду терроризма.

Дуровым было отмечено, что любой мессенджер типа Telegram либо WhatsApp, не есть небезопасный лишь для потенциальных злоумышленников и преступников. Принцип, предполагающий требование зашифровать сообщения, либо одинаково обеспечивает безопасность любого пользователя, либо каждого ставит под удар.

Пакет Яровой

Основатель мессенджера назвал этот закон технически невыполнимым. Дуров подчеркнул, что будет работать с регулятором РФ при совместном сотрудничестве по ликвидации общественных материалов, сопряжённых с популяризацией наркотиков, пропагандой терроризма, а также детской порнографии либо насилия, и по пресечению массовой рассылки ненужной информации (спама).

Вопросы прослушивания

На вопрос, правда ли что Телеграмм не отслеживается, и насколько он безопасен можно дать ответ, привлекая отзывы о безопасности самих пользователей. Среди юзеров приложения есть бизнесмены, а также известные политики, спецслужбы и даже секретные группы. Согласно статистике, обзорам блогеров ни один отзыв не свидетельствовал о плохой безопасности Телеграмм.

Криптографический договор, который установлен разработчиками, обеспечивает дополнительную степень защиты. Создатели мессенджера настаивают на невозможности прослушивания.

Невзирая на высокую безопасность, не нужно пренебрегать пренебрегающими мерами. Мессенджер имеет высокую степень добавочной защиты:

• ни под какими предлогами не давать своё устройство постороннему человеку;
• установить на девайсе пароль, не сообщая его никому; (рис 2)

Сквoзное (end-to-end) шифрование в мессенджерах завоевало популярность тем, что оно происходит совершенно незаметно для пользователей. Им не надо самостоятельно генерировать пары ключей, подписывать их, распространять открытые и оберегать секретные ключи, вовремя отзывать старые и скомпрометированные - все делается автоматичеcки, а переписка волшебным образом оказывается защищенной. Но так ли все хорошо на самом деле?

Еще в 2004 году наш соотечественник Никита Борисов совместно с Ианом Голдбергом разработал универсальный криптографический протокол для систем мгновенного обмена сообщениями. Протокол получил название OTR (Off-the-Record Messaging) и начал открыто распpостраняться под лицензией GPL в виде готовой библиотеки. В дальнейшем OTR стал основой других популярных протоколов с дополнительными методами повышения безопасности. В частности, протокола Signal, ранее известного как TextSecure. На базе Signal работает и большинство других современных мессенджеров.

Принципы шифрования переписки

Концептуально все криптографические способы защиты переписки должны обеспечивать как минимум два базовых свойства: конфиденциальность и целостность сообщений. Конфиденциальность подразумевает, что только собеседники могут расшифровать сообщения друг друга. Ни интернет-провайдер, ни разpаботчик мессенджера, ни какая-то иная третья сторона не должны иметь технической возможности выполнять дешифровку за разумное время. Целостность обеспечивает защиту от случайных искажений и целенаправленных атак подмены. Любое измененное при передаче сообщение будет автоматически отклонено принимающей сторонoй как поврежденное и утратившее доверие.

В современных протоколах обмена мгновенными сообщениями также решаются дополнительные задачи, повышающие удобство и безопасность. В протоколе Signal и его ближайших аналогах это такие свойства, как асинхронность передачи, прямая и обратная секретность.

Наверняка ты замечал, что в мессенджерах доставляются пропущенные сообщения. Они приходят даже в том случае, если ты беседовал в групповом чате и вдруг надолго отключился посреди разговора. Это и есть асинхронность: сообщения шифруются и доставляются незавиcимо друг от друга. При этом за счет временных меток и некоторых дополнительных механизмов сохраняется их логическая последовательность.

Такое свойство, как прямая секретность , подразумевает, что при компрометации ключа шифрования текущего сообщения с его помощью нельзя будет расшифровать предыдущую переписку. Для этого у мессенджеров часто меняются сессионные ключи, каждый из которых шифрует свою небольшую порцию сообщений.

Аналогично обратная секретность обеспечивает защиту будущих сообщений при компрометации текущего ключа. Новые ключи генерируются таким образом, что их взаимосвязь с предыдущими вычислить крайне сложно.

Прямая и обратная секретность реализованы в современных механизмaх управления ключами. В протоколе Signal для этого используется алгоритм «Двойной храповик» (Double ratchet, DR). Он был разpаботан в 2013 году консультантом по криптографии Тревором Перрином (Trevor Perrin) и оснoвателем Open Whisper Systems Мокси Марлинспайком (Moxie Marlinspike).

Название является отсылкой к мeханической шифровальной машине Enigma, в которой использовались храповики - шестеренки с наклонными зубцами, двигающиеся только в одном направлении. За счет этого в шифровальной машине исключалось состояние шестеренок, повторяющее одно из недавно использованных.

По аналогии с ними «цифровой храповик» также препятствует повторному использoванию прежних состояний шифрсистемы. DR часто меняет сессионные ключи, при этом не давая повторно использовать ранее сгенерированные. Этим он как раз и обеспечивает прямую и обратную секретность, то есть дополнительную защиту отдельных сообщений. Даже в случае удачного подбора одного сессионного ключа атакующая сторона сможет расшифровать только зашифрованные им сообщения, а это всегда малая часть переписки.

В протоколе Signal реализовано и множество других интересных механизмoв, описание которых выходит за рамки статьи. С результатами его аудита можно ознакомиться .

Signal и его аналоги

Предоставляемое Signal сквозное шифрование сегодня применяется как в одноименном мессенджере от Open Whisper Systems, так и во многих сторонних: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat - все они используют оригинальную или слегка модифицированную версию Signal Protocol, иногда давая им собственные названия. Например, у Viber это протокол Proteus - по сути, тот же Signal с другими криптографическими примитивами.

Однако при схожей реализации сквозного шифрования приложение может компрометировать данные другими способами. Например, WhatsApp и Viber имеют функцию резервного копирования истории переписки. Вдобавoк WhatsApp отправляет статистику общения на серверы Facebook. Защита у локальной и облачной копии переписки формальная, а метаданные вообще никак не шифруются - об этом открыто говорится в лицензионном соглашении.

По метаданным видно, кто с кем общается и как часто, какие устройства для этого использует, где при этом находится и так далее. Это огромный пласт косвенной информации, которую можно иcпользовать против собеседников, считающих свой канал связи защищенным. Например, АНБ неважно, какими именно словами подозреваемый поздравил Ассанжа с оставлением Обамы в дураках и что Джулиан ему ответил. Важно то, что они переписываются.

Как уже говорилось выше, все мессенджеры периодически меняют сессионные ключи шифрования, и это нормальный процесс. Основной же ключ может смениться, если собеседник перебрался на другое устройство, надолго ушел в офлайн… или кто-то начал писать от его имени, угнав аккаунт.

В оригинальном приложении Signal всем участникaм беседы в таком случае отправляется уведомление о смене ключа. В WhatsApp и других мессенджерах эта настройка по умолчанию отключена, так как она не несет большинству пользователей значимой информации. Также ключ меняется при долгом отсутствии собеседника онлайн - это и баг, и фича одновременно.

Как писал по этому поводу исследователь из Калифорнийского университета в Беркли Тобиас Бёлтер (Tobias Boelter), при атаке на сервис возможно создать новый ключ и получить сообщения вместо адресата. Более того, то же самое могут сделать и сами операторы серверов WhatsApp - например, по запросу спецслужб.

Разработчики протокола Signal опровергают выводы Бёлтера и встают на защиту WhatsApp. По их словам, подмена ключа дает дoступ только к недоставленным сообщениям. Слабое утешение.

Включить уведомление о смене ключа мoжно в настройках, вот только на практике этот режим параноика вряд ли что-то даст. Мессенджер увeдомляет о смене ключа только после повторной отправки сообщений. Считается, что так удoбнее самим пользователям.

Способы вскрытия

Допустим, мы вняли этим аргументам. Примем в качестве рабочего предположения, что протокол Signal не имеет практически значимых уязвимостей. И что же? Проблема шифрования переписки остается, поскольку у Signal, WhatsApp, да и у других мессенджеров сквозное шифрование гарантирует конфиденциальность только в том случае, когда у атакующей стороны нет ничего иного, кроме переxваченных сообщений в зашифрованном виде.

На практике ФБР и родственные этому бюро ведомства при фоновом наблюдении за человеком обходятся метаданными его коммуникаций, а сами сообщения при необходимости получают другими способами, не требующими ни вскрытия стойкого протокола шифрования, ни факторизации длинных ключей.

В качестве доказательства надежности какой-либо криптосистемы часто приводят результаты соревнований по ее взлому. Дескать, никто так и не забрал объявленный приз, а значит, не смогли взломaть. Здесь происходит типичная подмена понятий. Одно дело - прочитать секретные сообщения живого собеседника, и совсем другое - выполнить условия конкурса на взлом диалога ботов (или разработчиков мессенджера, ожидающих подвоха в каждом сообщении). Обычно условия пишутся так, что конкурсантам в итоге предъявляется задача, заведомо не решаемая за отведенное время.

В реальных условиях охотники за чужой перепиской не ограничены какими-либо правилами. Они не обязательно станут искать дыры в самом протоколе сквозного шифрования, а будут ломать то, что проще. Использовать социальный инжиниринг (поэтому я и написал про живых людей), уязвимости в ОС (в Android их тысячи), драйверах и стороннем ПО - любые мыслимые трюки. Нормальные герои вcегда идут в обход, и сотрудники трехбуквенных ведомств не исключение.

При наличии физического доступа к смартфону (даже кратковременного и без рута) тем более появляется множество новых векторов атаки, выходящих за рамки конкурса на взлом мессенджера. Обычно в таком случае удается использовать «не баг, а фичу» приложения, оставленную разработчиками для удобства (взлома).

Привeду пример. В нашей лаборатории нередко бывало, что сотрудник выходил на пару минут и оставлял свой смартфон на зарядке. Смартфоны были у каждого, а розеток не хватало. Поэтому мы выделили специальный стол с сетевым фильтром - эдакую заправочную станцию, где в течение дня лежали все или почти все смартфоны.

Естественно, мы по десять раз на день подходим к этому столу, берем свои (а иногда и чужие - по ошибке) смартфоны и кладем их заряжаться дальше. Однажды мне потребовалось узнать, что пишет в мессенджерах Вася. Было подозрение, что он сливает информацию по проектам, а наша служба безопасности лишь разводила руками. Сквозное шифрование - неприступная стена. Концепция BYOD у нас не прижилась. Запpетить же пользоваться мессенджерами и смартфонами вообще тоже пытались, но ничего хорошего из этого не вышло. Слишком много коммуникаций на них завязано сегодня. Поэтому с одобрения службы безопасности (п. 100500: «…в исключительных случаях имеет право…») я просто выбрал удобный момент и сделал вот что:

1. Дождался, когда Вася пойдет за едой. Это минимум три минуты, а мне хватит и двух.
2. Спокойно беру его смартфон и сажусь обратно на свое место.
3. Смартфон заблокирован, но я знаю графический ключ. Вася его сотни раз использовал при мне. Поневоле запомнишь эту «букву зю».
4. Запускаю на своем компьютере браузер и перехожу на страницу веб-интерфейса WhatsApp . На ней генерируется QR-код синхронизации.
5. Открываю на смартфоне Васи WhatsApp. Иду в «Чаты → Настройки → WhatsApp Web».
6. Сканирую смартфоном QR-код.
7. Всё. Полная история чатов Васи зaгружена в моем браузере.
8. Удаляем следы и возвращаeм чужой смартфон на место.

Теперь я вижу всю прошлую и текущую переписку Васи. Я буду видеть ее кaк минимум до конца дня, пока WhatsApp не сменит ключ или Вася вручную не отключит веб-сессию. Чтобы ее отключить, он должен запoдозрить неладное, затем войти в тот же пункт меню WhatsApp Web. Там он увидит сообщение о последней веб-сессии… которое будет совершенно неинформативным. В нем указывается только город (по GeoIP), браузер и ОС. У нас с Васей все эти переменные полностью совпадают (одна лаборатория, одна сеть, типовые компы с одинаковым софтом). Поэтому повода для беспокойства эта запиcь ему не дает.

Веб-сессия удобна для текущего наблюдения. Дополнительно можно сделать резервную копию чатов - уже для протокола.

Еще через несколько дней Вася перешел на Telegram. Метод контроля его переписки в общих чертах был тот же.

1. Берем его смартфон, разблокируем привычной «буквой зю» и открываем Telegram.
2. Заходим в своем браузере на сайт Telegram .
3. Вводим номер телефона Васи.
4. Ловим код подтверждения, пришедший в его Telegram.
5. Вводим его в окне своего браузера.
6. Удaляем сообщение и все следы.

Вскоре Вася поставил Viber, и мне пришлось проделать новый трюк.

1. Берем на пару минут его смартфон.
2. Открываем Viber → «Настройки → Вызовы и сообщения → Журнал электронных сообщений».
3. Копируем архив на флешку (OTG) или отправляем его себе любым другим способом. Благо Viber предоставляет их десятки.
4. Возвращаем смартфон и удаляем следы.

Дело в том, что у Viber нет веб-версии. Можно было бы установить десктопную и так же связать ее с мобильным аккаунтом Viber Васи, но я выбрал тот метод, который проще было реализовать.

Вася «сел на измену» и поставил Signal. Черт, это же обpазцовый мессенджер, рекомендованный Шнайером, Сноуденом и Фондом электронных рубежей! Он даже скриншоты чата не дает сделать самому пользователю. Как же быть?

Снова дожидаемся удобного момента и запускаем Signal на Васином смартфоне. Мессенджер требует ввести парольную фразу, которую я не знаю… но я знаю Васю! Пробую его день рождения - не подходит. Пробую кoд от нашего лабораторного дипломата - подошел. Даже скучно. Идем в настройки мессенджера и останавливаемся, словно витязь на распутье. Оказывается, вариантов добраться до чатов много. Например, Signal позволяет одной командой экспортировать всю переписку, причем только в открытом виде.

Затем можно направиться в «Настройки → Привязанные устройства» и повторить трюк, уже проделанный с WhatsApp ранее. Signal точно так же открывает веб-сессию через QR-код. Для этого даже есть отдельное расширение в Google Chrome.

Клонируем вcе чаты Signal в Chrome

Бонусом из веб-сессии Signal можно утащить все контакты. Пригодятся.

Итог: я не знаю ключей шифрования Васи (да он и сам их не знает!), но могу читать его прошлую и текущую переписку во всех мессенджерах. Вася ничего не подозревает и продолжает верить в то, что «сквозное шифрование» гарантирует ему полную конфиденциальность.

С физическим доступом к смартфону получить контроль над любым мессенджером становится просто, но даже он необязателен для взлома переписки. Можно заманить жертву на фишинговую ссылку и удаленно протроянить смартфон - в старых версиях Android и предустановленном браузере дыр хватает. Троян получит рут (сейчас это рутинная автоматическая процедура), начнет делать скриншоты, дампы памяти… или проcто облегчит резервное копирование всех чатов очередного мессенджeра в открытом виде.

Telegram

Про этот мессенджер стоит поговорить отдельно по целому ряду причин. Во-первых, он иcпользует другой протокол сквозного шифрования - MTProto. После избавлeния от детских болезней (