БЕЗОПАСНОСТЬ TELEGRAM:
взгляд на текущую ситуацию
Волнуетесь за доступность и конфиденциальность Telegram после ареста Павла Дурова? Поговорим о том, что нужно либо не нужно делать прямо сейчас
Приветствуем гостей нашего блога!
На момент написания этого материала Павлу Дурову предъявлено обвинение во Франции, но он ещё не предстал перед судом. Юридические перспективы дела очень неочевидны, но интересом и паникой вокруг Telegram уже пользуются жулики, а по соцсетям ходят сомнительные советы о том, что делать с приложением и перепиской в нём.
Пользователям Telegram нужно сохранять спокойствие и действовать, основываясь на своей специфике использования мессенджера и доступной фактической информации.
Вот что можно порекомендовать уже сегодня.
Конфиденциальность переписки и «ключи от Telegram»
Если очень коротко, то большую часть переписки в Telegram нельзя считать конфиденциальной, и так было всегда. Если вы вели в Telegram конфиденциальную переписку без использования секретных чатов, считайте её давно скомпрометированной, а также переместите дальнейшие приватные коммуникации в другой мессенджер.
Многие новостные каналы предполагают, что основная претензия к Дурову и Telegram — отказ сотрудничать с властями Франции и предоставить им «ключи от Telegram». Якобы у Дурова есть какие-то криптографические ключи, без которых невозможно читать переписку пользователей, а при наличии этих ключей — станет возможно. На практике мало кто знает, как устроена серверная часть Telegram, но из доступной информации известно, что основная часть переписки хранится на серверах в минимально зашифрованном виде, то есть ключи для расшифровки хранятся в той же инфраструктуре Telegram. Создатели заявляют, что чаты хранятся в одной стране, а ключи их расшифровки — в другой, но насколько серьезно это препятствие на практике — не очевидно. Эта мера поможет против конфискации серверов одной страной, но и только. Стандартное для других мессенджеров (WhatsApp, Signal, даже Viber) сквозное шифрование называется в Telegram «секретным чатом», его довольно трудно найти в глубинах интерфейса, и оно доступно только для ручной активации в индивидуальной переписке.
Все групповые чаты, все каналы, а также стандартная личная переписка лишены сквозного шифрования и могут быть прочитаны как минимум на серверах Telegram. Поэтому переписку в Telegram гипотетически могут читать:
🔷 администраторы серверов Telegram;
🔷 злоумышленники, успешно взломавшие серверы Telegram и разместившие на них шпионское программное оборудование (ПО);
🔷 третья сторона, получившая какой-то доступ от администраторов Telegram;
🔷 третья сторона, нашедшая криптографические уязвимости в протоколах Telegram и способная избранно или целиком читать как минимум «несекретные» чаты, перехватывая трафик части пользователей.
Удаление переписки
Некоторым категориям пользователей рекомендуют удалить в Telegram старую переписку, например служебную.
Этот совет кажется спорным, потому что в базах данных (а переписка на сервере хранится в базах данных) строчки редко удаляются физически, они лишь отмечаются как удаленные.
Более того, у Telegram, как и у любой крупной IT-инфраструктуры, теоретически должна быть развитая культура резервного копирования данных, поэтому «удаленные» сообщения сохранятся как минимум в резервных копиях баз данных. Возможно, более эффективным будет полное удаление чата обоими собеседниками (или администратором для групповых чатов), но вопрос резервных копий останется и в этом случае.
Альтернативные клиенты
Для Telegram действительно существуют неофициальные, но работоспособные и легальные клиенты, и даже «официальный альтернативный клиент» Telegram X.
У всех этих клиентов есть нечто общее — они используют API Telegram, но дают ли они при этом дополнительные преимущества и дополнительный уровень безопасности переписки, сказать нельзя.
ТОП-5 альтернативных клиентов из Google Play под «улучшенной безопасностью» понимают функции вроде скрытия части чатов на устройстве.
Разумеется, под видом «альтернативного клиента Telegram» можно скачать и вредоносное приложение — мошенники вовсю пользуются популярностью мессенджера. Если вы интересуетесь альтернативными клиентами, тщательно соблюдайте общие советы по безопасной установке приложений:
🔷 скачивайте их только из официальных магазинов приложений;
🔷 убедитесь, что скачиваемое приложение существует давно, имеет высокий рейтинг и большое количество загрузок;
🔷 пользуйтесь надежной защитой от вредоносного ПО на всех платформах.
Сбор на помощь Дурову и защиту свободы слова
Эта тема не относится напрямую к переписке в Telegram, но не менее важно знать, что под видом различных сборов пожертвований на юридическую помощь Павлу Дурову мошенники выманивают платежные данные или переводы в криптовалюте.
Получив подобные предложения, отнеситесь к ним с максимальной подозрительностью и проверьте, действительно ли существует заявленная организация и ведёт ли она такую кампанию прямо сейчас.
О благотворительности в Интернете и о том, как вычислить мошенников, поговорим в следующий четверг.