Колонка Дурова про WhatsApp: обвинение в работе на ФБР, критика за сливы данных и намерение опередить Facebook
«Почему WhatsApp никогда не будет безопасным» — название статьи сразу намекает, что внутри много жёстких высказываний.
Павел Дуров написал колонку, в которой жёстко раскритиковал главного конкурента Telegram — мессенджер WhatsApp, принадлежащий Facebook. Статья в том числе посвящена недавно найденной уязвимости, которая позволяла злоумышленникам устанавливать на устройство шпионское ПО без ведома пользователя.
TJ кратко приводит тезисы из колонки Дурова — с главными цитатами.
- Если пользователи WhatsApp шокированы тем, что мессенджер оставил уязвимость, позволяющую получить доступ к фото, адресам и контактам, то Дуров нет. В 2018 году подобная лазейка уже была — давала хакерам доступ к данным на смартфоне;
- WhatsApp не хранит исходные коды приложения в открытом доступе, чтобы их не могли изучить специалисты по кибербезопасности. Более того, разработчики намеренно запутывают файлы своих приложений. В то время как Telegram делает наоборот и во всём открыт;
- Facebook, вероятно, сотрудничает с ФБР и вынуждает WhatsApp оставлять для них уязвимости, чтобы получать данные пользователей. Дуров напоминает, что мессенджер по-прежнему работает в России и Иране — намекает, что местные власти не против, так как имеют доступ к перепискам и личной информации;
- Telegram начали разрабатывать в 2012 году как раз потому, что самый популярный мессенджер был небезопасен. По словам Дурова, правительство, провайдеры, хакеры имели доступ к данным пользователей;
Почти за шесть лет существования Telegram не происходило крупных утечек данных или проблем с безопасностью, которые происходят с WhatsApp каждые несколько месяцев. За эти шесть лет мы раскрыли ровно ноль байт информации третьим лицам, в то время как Facebook и WhatsApp делились информацией почти со всеми, кто утверждал, что работает на правительство.
- Три года назад WhatsApp заявил, что ввёл сквозное шифрование, а параллельно предложил пользователям создать резервную копию чатов в облаке. Дуров считает, что этот шаг позволил передать информацию третьим лицам и правительству, так как в облаке она не защищена сквозным шифрованием;
- Дуров напомнил, что сооснователь WhatsApp покинул компанию из-за разногласий с Facebook, а другой сооснователь призвал подписчиков удалить аккаунт в соцсети. Кроме того, они признались, что «продали конфиденциальность своих пользователей» ради компромисса;
Не было ни одного дня в десятилетней истории WhatsApp, когда он был безопасен. Вот почему мне кажется, любое обновление приложения не сделает его безопасным. Чтобы WhatsApp стал сервисом, ориентированным на конфиденциальность, ему придётся рисковать потерять часть рынков и столкнуться с властями. Кажется, они к этому не готовы.
- Малое количество пользователей Telegram знают о том, что основные нововведения сначала появляются у них, а затем их копирует WhatsApp. Дуров назвал это эффективной стратегией Facebook и напомнил, как Инстаграм (тоже принадлежит компании) заимствует у Snapchat;
- Пользователи не могут отказаться от WhatsApp, потому что им пользуются родственники или друзья. Дуров признался, что это и проблема Telegram тоже: компания не смогла перенять часть аудитории и та остаётся «в заложниках Facebook/WhatsApp/Instagram»;
Несколько лет назад мне пришлось покинуть свою страну после отказа нарушать конфиденциальность пользователей «ВКонтакте» по желанию правительства. Это было неприятно. Но сделаю ли я так снова? С удовольствием.
- Telegram соревнуется с Facebook уже 13 лет — Дуров имеет в виду, что он, как основатель «ВКонтакте», конкурировал с соцсетью на восточноевропейском рынке. И компания преуспевает, несмотря на то, что не тратится на маркетинг, а у соцсети есть «огромный департамент по маркетингу»;
- Дуров заявил, что Цукерберг украл философию Telegram, когда заговорил о важности защиты данных на конференции F8. «Либо мы, либо монополия Facebook. Либо свобода и приватность, либо жадность и лицемерие»;
Если каждый пользователь Telegram уговорит трёх своих друзей удалить WhatsApp и перейти на Telegram, то Telegram будет популярнее WhatsApp. Век жадности и лицемерия закончится. Начнётся эра свободы и приватности. Это ближе, чем кажется.
Alexey Vinogradov
Статистический
Ну тип он вместо того чтобы показывать сильные стороны своего проекта, бегает и тыкает в слабые стороны противника пытаясь тем самым казаться более выигрышным. Со стороны это смотрится комично и никак не поможет в продвижении
он вместо того чтобы показывать сильные стороны своего проекта
А теперь просто зайди на https://t.me/durov и посмотри на количество постов про телегу и конкурентов. Он не просто пришел и покакал на WhatsApp, а привел достаточно аргументированные доводы со ссылками на источники. Срать на конкурентов в условиях рынка нормально (если закон позволяет). И твой скрин как уже упоминали выше от 2015 года по факту не актуален, так как люди меняются и естественно это никакой не страх перед конкурентом, а лишь грамотный маркетинг
Проектный
Ты его слова как-то неправильно читаешь. Вся философия Телеграма это постоянное совершенствоание и доведение до идеала. За счет этого аудитория расчет органически, а не потому что "воцап у всех".
Не тыкал на проблемы Воцапа только ленивый, назвать это "вредом", рука не поднимается.
каждый видит то, что хочет видеть, я тоже не увидел ничего, чтобы он чем-то вредил конкурентам, ну сказал что вотсап говно, так это ведь правда, так же как и заявления что фейсбук дырявое говно.
Так что старое его высказывание ничему не противоречит!
чтобы не говорил дуров в прошлом... сейчас он действительно делает верные вещи.
видимо поступила команда от фсб, чтобы отвлечь внимание протестной аудитории от последних событий
Статистический дым
Да нет, просто Дуров слишком много уделяет времени слежкой за цукером,фб и ватсаппом и совершенно безобразным образом забил на свой продукт ) надо вернуть человека на путь истинный
Телеграм сейчас растёт очень быстро, быстрее чем когда либо за прошедшие 5 лет
Проектный
А как ты привлечешь новую аудиторию? Я не думаю, что у Дурова есть миллиарды на рекламу. Весь его бюджет забит на зарплаты сотрудников и совершенствование продукта.
Бедный Кирилл
Они в последнем апдейте на iOS изговнили эмоджи вхлам. Зачем-то обводят их теперь в белую рамку. И поиск через двоеточие сломался - он теперь что-то не находит и сортировка странная. А как по мне - очень вяло развивается. Апдейты редкие, на UI вообще забили, год наверное ничего нового особо не было, если не больше. А уже давно пора что-то делать со списком чатов, там сейчас такая каша адская, когда много каналов и групповых чатов.
Предельный рак
Человек первым же абзацем пишет «крайне не люблю говорить о конкурентах, но вы заебали спрашивать в приватах изза взлома».
Мне кажется, ты слишком много времени уделяешь слежке за Дуровым. WhatsApp?
Шурочка, чего вы так страстно доебались до Павла? Он может и не идеал, но дело своё нормально делает, получше многих.
то, что мнение человека относительно любых вещей со временем может меняться – нормальная практика
С помойкой-то (Вотсап) всё и так понятно (как и с Цукербергом), но он не может объяснить внятно, почему телефон обязательно надо привязывать к Телеграму и почему десктоп-версии до сих пор засирают незашифрованными файлами ЖД. Про безопасность такого подхода и лёгкость восстановления аккаунта как-то неубедительно: почему та же почта, которую гораздо проще держать анонимной, и приложение генерации кодов аутентификации не смогли бы обеспечить того же? Я уж не придираюсь к тому, что секретные чаты не включены по умолчанию. В этом есть некий практический смысл: все любят одно и то же видеть на всех своих устройствах.
Сумасшедший жар
Почему? Я вполне видел заключения экспертов, где они не смогли справиться со вполне попсовыми стандартами шифрования вроде Битлокера, либо просто не понимали, где искать, потому что прога создавала множество файлов непонятного формата, похожих на системные.
Сумасшедший жар
Я про это как раз. Он миллиард раз отговаривался вроде «ну это проблема не телеги, а ОС». Всмысле, блеать?! Твой мессенджер срёт мне прямо в систему, никак не скрывая эти файлы: в тех же форматах, с теми же именами, то есть тупо их дублирует. Несмотря на то, что установлен и пароль на авторизацию, и пароль на само приложение.
Сумасшедший жар
Так погоди. Ты зашифруешь диск тем же Битлокером, но при авторизации в системе ты всё увидишь, если эти файлы лежат открыто из-за Телеграма. То есть снимается автоматом второй уровень защиты, который в ином случае обеспечивал бы мессенджер. То есть товарищ майор взламывал бы не только пароль от системы, но и мессенджер. Это гораздо дольше и не оправдывает затрат. А так уже готово: в папочке Telegram~/snd/videos видно уже чётко, что ты кому-то посылал видео с совокупляющимися единорогами.
Сумасшедший жар
Вот мне тоже не совсем понятно, зачем ему упираться так. «Нашли, спасибо, исправим». Поэтому подозрения и рождаются.
Сумасшедший жар
Вот странная вещь. Никто из знакомых, кто в миллиард раз лучше меня разбирается в пограмистических вопросах криптографического огораживания, никогда не защищал Телеграм. А тут появляется Данила, который успел даже разозлиться (невидимо) за весь тред, хотя до этого был крайне позитивным элементом.
Данил, ты в команде Телеграма работаешь?
Сумасшедший жар
Давай сформируем конечный итог: ты с высоты своих знаний утверждаешь, что у Телеграма всё норм с безопасностью, а я несу полную хуйню?
А что если я тебе скажу, что десктопный Telegram может записывать сообщения в текстовой файл в открытом виде?
Вот кстати, в последней версии для линуха не нашёл файлов DB с перепиской. Толи пофиксили, толи перепрятали))
Твой мессенджер срёт мне прямо в систему, никак не скрывая эти файлы
Твой мессенджер на твоей системе можно просто открыть и прочитать все сообщения прямо в нём, какой смысл в шифровании файлов?
1. Вообще-то на сам мессенджер можно поставить пароль, но какой в нём смысл, если можно открыть панку с данными и всё прочитать без знания пароля.
2. Можно поставить пароль на саму ОСь, но это не спасёт от загрузочной флешки с любой Live-Linux.
3. Можно поставить шифрование через VeraCrypt, LUKS, EncFS, CryptoFS (или что там на винде), но зачем городить огород, когда эту элементарную функцию можно встроить в саму телегу!!
Нет, я в целом Пашку поддерживаю, но подобные моменты вывешивают.
Сумасшедший жар
Макось. До сих пор не поправили, говорю за последние версии, так как всегда всё обновляю. Заметил года полтора назад, когда при чистке обнаружил, что Телеграм со своими файлами занимает 16 ГБ. На Винде тоже находил такое в середине 2018, но не могу сказать за последние версии.
Можно самостоятельно шифровать диск. Макось, например, так и делает, думаю у остальных это тоже есть в том или ином виде.
Рецепт, берем некий мега распиареный безопаснвй менеджер, изучаем основы безопамности и криптографии, изучаем как работает всякие приблуды по шифрованию и вуаля, твои проблемы решены.
Ибо шифровать открытые данные нашего месенджера не дело разработчиков, а ответченность владельца компьютера. Вот.
Регистрация по номеру телефона (вместо e-mail) это своего рода защита от ботов/спама/накруток. Ты можешь зарегистрировать/использовать десятки тысяч e-mail адресов (даже свой почтовый сервер поднять для этого) и получить огромное кол-во аккаунтов в телеграме. В нынешнией ситуации получить такое количество учётных записей проблематично.
Сумасшедший жар
Соглашусь, это единственный хороший аргумент. Но руководствовался ли им Дуров как главным?
Ты просто не представляешь, какой рынок спама в соцсетях и мессенджерах существует. Как, например в ВК спамеры покупают тысячи номеров/аккаунты ежедневно, платят за это достаточные деньги, чтобы раскидывать рекламу, всякий фишинг и тд. Просто представь, что было бы, будь регистрация по бесплатной почте. Борьба со спамом - очень большая проблема, не меньше проблемы данной анонимности. Поставить знак равенства между страданиями миллионов пользователей от спама против 100% анонимности, которая по факту нужна не такому большому количеству людей - сложно. Может со временем будет какой-то иной вариант. Мне тоже не нравится регистрация по телефону, но.. Вообще можно с тем же успехом купить виртуальную симку за 5р, сделать на неё телеграм (такое себе). Или взять с рук без документов (да, продают).
Сумасшедший жар
Я знаю об этом прекрасно и в деталях, поэтому и сказал, что аргумент норм.
Сумасшедший жар
Привет, первый хороший аргумент. Однако возражу: это было бы так, если б нельзя было бы сделать несколько аккаунтов. Тем более, спам в Телеграме есть и будет.
Предельный рак
Спама там нет, по факту. За время 4 лет мне написало ровно два неизвестных хуя с рекламой. Угадай, сколько писем за это время отфильтровал гмейл?
Несколько аккаунтов нельзя будет сделать если прикроют за репорты.
В личку - да. Но в группах там сыпется невероятное количество говна.
В канал никто постить не может кроме владельца, о чем вы.
Большая публичная группа - заходит аккаунт - срет говно и выходит.
Сумасшедший жар
Кароч вот есть вася. У него есть Телеграм. Представим два пути:
1. Телеграм с привязкой к телефону.
2. Телеграм с привязкой к анонимной почте.
В первом варианте симку васи дублируют по приколу и вскрывают его чаты. Во втором вообще может не возникнуть подозрений к васе, поскольку мало ли кто сидит за этой почтой.
В каком из вариантов переписка васи будет более приватной?
Пашка на это говорил: «Хули, используйте номера телефонов вне авторитарных юрисдикций». Но это всё равно не считается, поскольку мы не обязаны доверять и другим юрисдикциям ровным счётом нисколько, как и, собственно, самому Паше. Ну да, не спорю, что секретные чаты — хорошая вещь. Но он не первый и не последний, кто реализовал эту технологию в своём мессенджере.
Проектный
Протон на самом деле одна из самых мутных контор. Гребут бабки лопатами на хомячках (я был в их числе), по факту же обмазались кучей проприетарщины и выпускают полторы обновы в год (когда там последний апдейт был вебпочты?).
Собственно вопрос: А где наши бабки? Когда там нормальный Bridge сделают (текущий сложно назвать чем-то хорошо рабочим)? Когда там календарь будет, поддержка хардварных ключей, WireGuard? Что они делают последний год? Бухают на Бали?
Проектный
В случае с VPN свой сервак всегда лучше, но когда берешь всякую попсу типа Протона, лучше трижды подумать. Такие сервисы встают в очередь первыми к АНБ.
Могу посоветовать эти: https://mullvad.net/, https://azirevpn.com/
Локаций мало, юзеров тоже. Зато держат WireGuard серваки и видно, что кастомеры действительно в приоритете. Впрочем вопрос доверия в любом случае всегда личный. Тут я вам не советчик.
Сумасшедший жар
Вопрос юрисдикции ещё очень важен. Как швейцарцы они могут посылать в хуй всех приходящих. Тогда как во многих странах действуют такие же правила по раскрытию логов, ключей итд.
Проектный
Важен, но лично для меня это не отменяет мутности команды Протона. Ну и не Швейцарией едины:
Сумасшедший жар
Германия не выдаёт ключей, но бля… Это ж один из основных больших бро. Но вот Польша, Гонконг, Панама, Болгария, Румыния, всякие тропические острова и ещё некоторые — да, вполне свободные юрисдикции.
Проектный
Есть сервисы, которым действительно нечего выдавать. Во всяком случае на данном этапе их развития. К примеру у AzireVPN свои стойки. Они просто ищут датацентры где дают свет и нормальный аплинк. Стойки разворачивают без жестких дисков. Ну типа тупо стартуют бут по сети и юзают пока не упадёт. Всё в оперативке. Сам софт юзают патченный, никаких логов от слова вообще.
Ясное дело, что верить их словам или нет дело каждого. На крайняк ничего не мешает тебе развернуть свой сервак (что к слову, тот ещё челлендж, если хочешь сделать это анонимно).
Сумасшедший жар
Есть какие годные статьи на примете по разворачиванию собственного?
Проектный
Статей уйма. Я и сам писал. Для тех кто не шарит есть из коробочное решение: https://github.com/StreisandEffect/streisand
Я лично предпочитаю сам всё ставить. Но тогда без соответствующих знаний лучше не соваться, иначе напилишь не секьюрное говно.
Проектный
Потому что ты вряд ли что-то из этого выиграешь, к тому же скорее всего в виду неопытности оставишь дыр для потенциальных атакующих. А ещё ведь за этим нужно обслуживание. Следить за всеми CVE-шками, обновлять пакеты, менять чиферы на более актуальные, в идеале проводить аудит и т. д. Проще платить те же самые пять баксов в месяц битками дядям и не парится.
впн нужен в первую очередь для сокрытия трафика и временных отметок от провайдера, а так-же шифрования трафика для тора
учтя что во время универсиады фсб активно блокировало почту протона, это повышает траст к их конторе, но опять же, это лишь как часть цепочки в анонимности, а не вся ее составляющая
плюс протон удобен и в повседневном использовании, но траблы с обрывом соединения пару раз в день возникают
Проектный
плюс протон удобен и в повседневном использовании, но траблы с обрывом соединения пару раз в день возникают
Чем же Протон так оригинален, что "удобен и в повседневном использовании"?
Проектный
Эээ. А у других провайдеров нельзя? Камон, как ты можешь что-то говорить о приватности и анонимности, если судя по всему Протон это единственное, что ты юзал? Типичное слышал звон...
а какая разница какой впн юзать, если изначально ни одному не доверяешь, а этот еще и скачать на телефон можно
меня больше волнует что в телеге нельзя отключить переход по ссылкам, вот что большой вред анонимности - это когда случайно тыкаешь пальцем и телефон сразу делает запрос в браузере
Так почта протон нормально или нет? Какие есть такие же альтернативы хорошие
Сумасшедший жар
Блин, сколько ж у нас тут погромистов и кулхацкеров живе! Аж радость пробирает. Всегда интересно поговорить.
Сумасшедший жар
Я задал этот вопрос президенту Казахстана… Шановні друзі, пропатчити можуть допомогти програмісти Секретаріату Президента у різних операційних схемах. Другий варіант — радив би користуватися новим програмним забезпеченням і не морочити собі голову.
Милицейский шар
Уже давно известно, что Протон делится со спецслужбами за милую душу. Простой запрос любого суда из Усть-Кукуево и все данные предоставлены.
Сумасшедший жар
Всё так, но вопрос в стоимости расследования. Например, гораздо проще и дешевле пойти и сделать дубликат васиной симки по официальному запросу к опсосу, чем сначала выяснять а кто за тем аккаунтом сидит, потом обращаться к владельцу почты, потом к ВПН-провайдеру, потом ещё к кому-нибудь. В общем, путь преследования с телефоном сильно сокращается, а его стоимость растёт в геометрической прогрессии, если убрать такой лёгкий путь.
Так что давай не будем абсолютизировать. Только ситхи это делают. Любое явление в нашем мире довольно сложное и представляет из себя не 0 и 1, а градацию чисел по возрастанию или убыванию от минус бесконечности до плюс бесконечности.
Упрощая, можно сравнить с квартирой: ты закрываешь дверь на ключ, иногда на два замка, не оставляешь её открытой. Да, при желании замок могут вскрыть умелые воры, его могут взломать полицейские с постановлением в руках, её может выломать с разбегу алкаш с первого этажа, однако ты всё равно её закрываешь. Очевидно тут мы наблюдаем и градацию безопасности: сколько замков, насколько прочная дверь, есть ли за ней ещё дверь, есть ли в квартире что или кто итд.
Сумасшедший жар
Так это нифига не даст. Читай пример с теми же файлами.
Повторюсь: вася в более безопасном положении, если вообще неизвестно, что данный аккаунт принадлежит ему. А этого явно не обеспечить привязкой телефона.
Сумасшедший жар
Он не является тем паролем, который нельзя сбросить. Иначе код-пароль на телефон был бы нинужон.
Сумасшедший жар
Ну да, некоторые из зарегистрированных указали почту для сброса пароля как дополнительную меру защиты. Некоторые не указали и, как утверждается в самом Телеграме, «начнёшь с чистого листа». Но поскольку список контактов всё равно подгрузится и копия переписки останется у собеседников.
Однако если бы почта и приложение аутентификации были бы единственной мерой защиты, всё было бы по-другому, о чём я изначально и сказал.
Милицейский шар
почему телефон обязательно надо привязывать к Телеграму
Потому что без этого товарищ майор не сможет установить, с какого телефона отправляли сообщение.
Сумасшедший жар
Что ж ты так в лоб. Не дал пацану оправдаться. Дескать, хуё-моё, модно-молодёжно, все таскают телефоны.