Рубрика развивается при поддержке
Advertisement

Дуров поспорил со Сноуденом о безопасности Telegram Статьи редакции

Вопросы приватности популярных мессенджеров снова стали предметом обсуждения после того, как Эдвард Сноуден указал на недостаточную, по его мнению, безопасность Telegram. Вскоре к обсуждению в Твиттере присоединился и основатель Telegram Павел Дуров, вступивший в спор с другими блогерами и Сноуденом о необходимости по умолчанию использовать шифрование в мессенджере.

О том, что Telegram не использует шифрование по умолчанию и хранит переписку в обычных чатах в виде незашифрованного текста на своих серверах, заявили представители Open Whisper Systems (OWS) в ответ на комментарий одной из пользовательниц Твиттера, написавшей, что Telegram, по её мнению, достаточно безопасен.

Твитом, в котором другой пользователь цитирует OWS, поделился Эдвард Сноуден. Он добавил, что Telegram следует провести масштабное обновление, чтобы избавиться от «опасных» настроек по умолчанию.

К обсуждению присоединился Мокси Марлинспайк (Moxie Marlinspike, псевдоним) — основатель OWS и создатель мессенджера Signal, ранее работавший главой отдела безопасности Twitter. Signal позиционирует себя как защищённый мессенджер, и Сноуден неоднократно утверждал, что использует его ежедневно.

Марлинспайк подчеркнул, что существует разница между тем, как позицинирует себя Telegram и чем он является на самом деле. По словам главы OWS, мессенджер Дурова не шифрует сообщения по умолчанию, но хранит их на своих серверах. При этом мессенджер позиционируется как защищённый, однако оконечное шифрование используется только в «секретных чатах».

Сноуден намекнул, что доступ с серверов Telegram к открытому тексту переписки подразумевает техническую возможность слежки.

Сам Дуров заявил, что Telegram не хранит незашифрованных сообщений, а в случае их удаления с телефонов они пропадают навсегда; автора сообщения он обвинил в «проплаченной брехне». Сноудену он ответил, что в случае, если пользователю не нужна «облачная» синхронизация или если он не доверяет Telegram, он может использовать «секретные чаты» — их прочесть не может никто, кроме самих участников беседы.

Проблема «секретных чатов» заключается в том, что ключ шифрования к ним физически находится на устройстве, а не на удалённом сервере, поэтому они не могут быть синхронизированы «облачно». По словам основателя Telegram, среднестатический пользователь его мессенджера предпочитает синхронизацию шифрованию.

Дуров также ответил на изначальную критику Сноудена о небезопасности Telegram словами «Достаточно безопасный для ИГИЛ», однако впоследствии удалил свой твит. По всей видимости, он имел в виду обвинения Telegram в пособничестве террористам, которые он ранее уже отвергал: согласно доводам Дурова, злоумышленники всегда найдут другой способ коммуникации.

18 ноября Telegram отчитался об удалении по требованию Apple 78 каналов, связанных с запрещённым в России «Исламским государством». По стечению обстоятельств, за день до этого на закрытом джихадистском форуме «Шурух аль-Ислам» появились обсуждения предположительных сторонников ИГИЛ, в которых они подвергали сомнению безопасность используемого ими Telegram.

0
52 комментария
Популярные
По порядку
Написать комментарий...
Уполномоченный файл

«Достаточно безопасный для ИГИЛ» звучит в этом контексте как «а твоей мамке понравилось»

32
Уполномоченный файл

Оба правы в принципе. Синхронизация переписки между устройствами одна из киллер-фич телеграма, а реализовать ее одновременно с end-to-end шифрованием наверное тяжеловато.

15
Уполномоченный файл

Я болтал с парнем из Open Whisper Systems чуть больше года назад, он как раз публично рассказывал о концепции синхронизации полностью зашифрованных данных между устройствами и полностью шифрованных оффлайн-сообщениях. Суть была в генерировании множества эфемерных ключей для всех в списке контактов. Достаточно адекватно могло бы получится.

Но проблема с telegram не в этом. Шум, как я полагаю, пошел от СМИ, которые добавляли желтизну в заголовки, умышленно или по незнанию технической части. Добавляли шума в СМИ еще и теоретические террористы, пользующуюся Telegram. Мне не нравится Telegram, но, в целом, он определенно лучше прочих популярных мессенджеров хотя бы тем, что там есть возможность сделать шифрованный чат с более-менее нормальной сверкой отпечатка ключа, но у обычных чатов-то защищен только транспорт, как и у, собственно, большинства прочих популярных мессенджеров, а СМИ, по большей части, описывают Telegram как супер защищенное решение, которым пользуются даже террористы, так что вам, типа, точно подойдет. Я считаю такое преувеличение со стороны СМИ достаточно большой проблемой, без шуток, т.к. такие новости привлекают в Telegram много технически неграмотных новых пользователей. Если в тот же Tor безопасность заложена архитектурно, то безопасность переписки неграмотных пользователей Telegram держится только на принципиальности разработчиков о нераскрытии данных и физической сохранности серверов, а в случае компрометации страдают не только сами пользователи, но и вы тоже, если вы переписывались с пользователем, данные которого, например, выдали правительственным организациям.

24
Уполномоченный файл

там есть возможность сделать шифрованный чат с более-менее нормальной сверкой отпечатка ключа

И даже в этом случае ты полагаешься на то что в приложении скаченном из магазина нет ветки кода отправляющей нешифрованные сообщения на сервер.
Конечно эти приложения проверяют энтузиасты на наличие такой хрени и если найдут то будет большой скандал, но в принципе выкатить апдейт в случае большой заварушки и отрубить у террористов секретность телеграм может, а чтоб точно обновились можно перестать подрубать старых клиентов к серверу.

3
Уполномоченный файл

А можно оконечный ключ шифрования сделать из пароля пользователя?

Правда если юзер забудет пароль весь чат кирдык..

1
Уполномоченный файл

Можно.

0
Уполномоченный файл

Бл* вам платит TJ , чтобы такие тупые заумные комментарии писать?? Какая компрометация ?? О чем речь вообще? Если наплыв лохов произошёл в программу, ты от этого Как страдаешь??

–47
Уполномоченный файл

вам платит TJ

Конечно. Одна половина TJ покупает подписку для того, чтобы писать глупые комментарии, а Никита и Вадим на вырученные деньги оплачивают подписку другой половине пользователей, способной писать заумные комментарии.

32
Уполномоченный файл

TJ заплати мне! Или хотя бы продли подписку на полгода в КЗ курс 350.

0
Уполномоченный файл

Если у меня будет телеграм, и эти лохи будут со мной общаться, то при взломе этих лохов, история общения подгрузится с сервера в том числе и со мной.

А речь о том, что все современные мессенджеры говно из-за того, что нет нормального открытого стандарта. Вот есть Signal, которым пользуется Сноуден, он технологически крутой, и я бы рад им пользоваться, но не могу в нем зарегистрироваться — требует ввести номер телефона.

4
Уполномоченный файл

Раз так , то ты лох, если с лохами будешь общаться за те вещи, чтобы за яйца тебя можно было схватить

–47
Уполномоченный файл

Что это за киллерфича такая если ей обладает половина мессенджеров?

3
Уполномоченный файл

Может я не совсем правильно выразился, но не в последнюю очередь благодаря синхронизации, в сочетании с кроссплатформенностью, телеграм отвоевывает пользователей у того же ватсапа например.

1
Уполномоченный файл

Можно же хранить зашифрованные данные.

Скачиваешь архив и расшифровываешь на устройстве.

2
Уполномоченный файл

#суть:
- Смотри, у тебя уязвимость, исправь её!
- Ах ты {ольгинский/госдеповский/___} бот!

6
Уполномоченный файл

"А вы уязвимость Фейсбука видели?!"

19
Уполномоченный файл

- Уязвимость нашли по заказу Браудера!

7
Уполномоченный файл

-- Уязвимость была закрыта месяц назад!

0
Уполномоченный файл

-- Уязвимости не было, это подтверждает файл с логами!

0
Уполномоченный файл

-- Разработчика уже давно уволили.

0
Уполномоченный файл

Наградили же. Уволились они сами... Месяц назад.

0
Уполномоченный файл

- Мне нужно уточнить это в офисе!

0
Уполномоченный файл

Комментарий удален по просьбе пользователя

5
Уполномоченный файл

В этом опасность сарказма, привыкнув круто шутить в интернете, потом перестаешь чувствовать грань

15
Уполномоченный файл

Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось.

4
Уполномоченный файл

Ну, по сути, правда же, но в современном толерантном запуганном обществе это не красиво.

3
Уполномоченный файл

Слово "толерантном" как сюда попало?

6
Уполномоченный файл

Как это мило, Сноуден борется за большую безопасность обычных пользователей, все бы хорошо, только нужна ли она всем пользователям? У меня вот почти все друзья/знакомые не знают что такое двухэтапная аутентификация, какое там еще end to end шифрование... Все правильно делает Дуров, для простых пользователей обычные функциональные чаты, для тех кому нужна безопасность секретные.

2
Уполномоченный файл

У моей знакомой абсолютно одинаковые пароли везде. Абмолютно везде. Когда я ей намекнул, мол, "ты чё, ебанулась?", она мне ответила, что безопасность ей нахер не нужна. Ничего важного она не хранит. Вот в этом проблема - никому эта безопасность не нужна.

0
Уполномоченный файл

Пока деньги с карты не списали

7
Уполномоченный файл

Пока не посадили за лайк поста Навального (а лайк взломщиком).

3
Уполномоченный файл

Пока не удастся отмазаться, что лайк поставили хакеры потому, что всюду один пароль :)

1
Уполномоченный файл

На подписку TJ?

0
Уполномоченный файл

У меня тоже почти везде пароли одинаковые, ну может 2-3 использую. И че? Для каждого сайта свой пароль чтоли придумывать?

0
Уполномоченный файл

И двухфакторную авторизацию отключил кстати. Потому что неудобно блядь. Очень неудобно. Даже если предположить, что когда нибудь деньги реально с карточки спиздят, или уведут акк, у меня такое чувство что на решение этой проблемы я потрачу меньше времени, чем на каждодневную еблю с этой двухфакторной авторизацией.

0
Уполномоченный файл

Сноуден переоценён.

1
Уполномоченный файл

Я об этом уже давно говорил. То что передается через сервер вполне себе может там и оседать. А дальше — если клиентские приложения OpenSource и шифрование end-to-end, но трафик идет через сервер, то вопрос стоит только в надежности шифрования. Но если кому-то очень будет надо — почти все можно расшифровать.
Энивей, самый надежный месенджер — P2P с end-to-end шифрованием.

2
Уполномоченный файл

Комментарий удален по просьбе пользователя

0
Уполномоченный файл

Если оно не open source, то тогда разработчик мог напихать туда что угодно, а наличие шифрования никак нельзя проверить.

0
Уполномоченный файл

Нельзя только если религия запрещает анализ бинарников.

Который должен быть в любом случае, независимо от лицензии исходного кода, за исключением если вы же сами эти бинарники и собирали. Или если это редкий случай когда реализованы воспроизводимые сборки (reproducible builds).

1
Уполномоченный файл

Ну это разумеется. Просто анализ бинарников произвести куда труднее. "Мало кто может это делать".

0
Уполномоченный файл

Комментарий удален по просьбе пользователя

0
Уполномоченный файл

Исходный код открыт, значит аудит может провести любой знающий пользователь, также можно самостоятельно собрать свой клиент. Пока поводов не доверять секретным чатам в стандартном клиенте нет.

2
Уполномоченный файл

Комментарий удален по просьбе пользователя

0
Уполномоченный файл

Нужно помнить, что у паранойи может не быть дна. Мне кажется использовать более менее защищенный мессенджер это только пол дела, гораздо большую "опасность" таит в себе провайдер.

1
Уполномоченный файл

По-сути, если ты чатишься в крипточате по P2P, в теории, никто не сможет даже различить тип трафика, который ты передаешь собеседнику. Так что, когда никто не знает, что ты делаешь, качаешь торрент, чатишься или что-то еще, "подслушивающим" трафик даже невозможно будет понять, на расшифровку чего бросать силы. Если используются хорошие алгоритмы шифрования, получение третьим лицом содержимого передаваемого сообщения маловероятно.

А что касается телеграм, то тут такая атака более вероятна, ведь весь чат идет через сервера, адреса которых известны.

0
Уполномоченный файл

Посмотрим со стророны провайдера в некоторой вымышленной стране (ближайший аналог -- Китай, но не сказать, чтобы совсем совпадало).

Дело в том, что хорошие пакеты (в смысле отправляемые с девайса, а не те которые идут прям через сеть) содержат специальную часть, которая говорит, какой алгоритм/протокол используется (естественно без ключа). Их не так и много. Поэтому любой пакет с заголовками, неизвестными провайдеру можно отдельно рассматривать. Вряд ли ты пользуешься многими приложениями с нестандартными (непопулярными) протоколами. Вот когда ты их используешь -> используешь криптомессенджер -> посадить (это уже запрещено). Примерно так и ловят в китае новые адреса tor-bridges.

Если что, bittorrent протокол без проблем можно отследить. Единственный выход -- это заворачивать все в впн (и надеяться, что провайдеру на выходе из него на тебя пофиг -- другая юрисдикция, например).

1
Уполномоченный файл

Чувак, тут все зависит от конкретного приложения. Но хотя бы понять логику работы приложения, если исходники открыты, может любой знающий человек. А что касается серверов и дядей: вот тут уже читай выше, что я писал про P2P. По-сути, если два человека общаются в крипточате по P2P, найти и вычислить их очень сложно. И даже если они общаются без шифрования, но по P2P, вероятность, что их переписку прочтет кто-то еще, меньше, чем если они общались бы через сервер. Так что, я считаю, децентрализация, может быть, даже важнее шифрования, а вместе они дают почти стопроцентную гарантию конфиденциальности.

0
Уполномоченный файл

Комментарий удален по просьбе пользователя

0
Уполномоченный файл

автора сообщения он обвинил в «проплаченной брехне»

Snowden sucks for me and for most of my team (c)

0
Уполномоченный файл

Синхронизировать сообщения между устройствами можно и без хранения открытого текста на серверах, но надо чтоб устройства синхронизировали между собой ключ при установке приложения, например показать на одном устройстве QR код и считать его на другом, а на серверах тогда будет храниться только зашифрованная переписка.

0

Комментарий удален

Уполномоченный файл

Ну тогда пусть юзеры пароль придумывают длинный стойкий и несменяемый

0
Читать все 52 комментария
null