Эксперты высмеяли безопасность Telegram

Павел Дуров известен тем, что клонировал Facebook и создал соцсеть «Вконтакте», которая быстро превратилась в символ пренебрежительного отношения пользователей к своей приватности. Конечно, еще в большей степени разработка г-на Дурова являлась символом идиотизма обитавших там амеб, но сейчас не об этом.

Безопасен ли Telegram

Потом гражданин Дуров клонировал WhatsApp и представил Telegram. В отличии от Вконтакта, акцент на этот раз был сделан на безопасности и приватности. Такой разворот на 180° сбил многих с толку. Некоторые заговорили даже о том, что Дуров исправился и стал большим защитником прав на тайну связи и свободный обмен информацией. Но так ли это на самом деле? Эксперты по компьютерной безопасности изучили Telegram и нашли несколько фундаментальных изъянов. Похоже, приватности в новом мессенджере ничуть не больше, чем в предыдущем изделии от Павлентия:

  1. Шифрование выключено. Да-да, по умолчанию переписка не шифруется. Мессенджер, который преподносится разработчиками как суперзащищенный от прослушивания, передает сообщения открытым текстом. Для активации шифрования требуется прервать текущую сессию и установить новое защищенное соединение Secret Chat. Почему не включено шифрование по умолчанию? А вы не догадываетесь?!
  2. Номер телефона. При регистрации сервис требует сообщить свой номер телефона. Проигнорировать это требование нельзя, так как именно на этот номер приходит код активации. Вся пользовательская активность привязывается к этому номеру. Ну и какая тут может быть приватность?!
  3. Контактный лист хранится на сервере. Если у одного из ваших оппонентов изымут (или украдут) телефон, то о вас и ваших связях станет известно, ведь контактный лист может быть повторно запрошен с сервера.
  4. Метаданные. Telegram отправляет просто гигантские объемы служебных данных на сервер. Даже если включено шифрование в рамках защищенной сессии Secret Chat. Это значит, что в любой момент может стать известно с кем вы общаетесь, когда, откуда. Доступ к этим данным могут получить спецслужбы (официально или через эксплуатацию уязвимости).
  5. Надежность шифрования. Проблема в том, что её никто серьезно не проверял. Да, был объявлен конкурс на взлом с денежным призом. Никто не справился. Но давайте разберемся, является ли этот факт доказательством криптографической стойкости и надежности дуровских алгоритмов? Всем известно, что лучшие криптоаналитики работают на АНБ и иные спецслужбы. Можно ли предположить, что могущественное ведомство с многомиллиардным бюджетом сольет найденные и эксплуатируемые дыры, позарившись на денежное вознаграждение от г-на Дурова? Таким образом, конкурс задействовал лишь любителей и энтузиастов, которые не нашли в алгоритме уязвимости. Это единственное доказательство надежности шифрования в Telegram.
  6. Болтливость. Как уже говорилось, «безопасный» Telegram зачем-то отправляет гигантские объемы метаданных на сервера, принадлежащие г-ну Дурову. Но это еще полбеды. Настоящая проблема в том, что часть метаданных рассылается по списку контактов. Злоумышленник может обманом попасть в контактный лист жертвы и снимать часть метаданных. Работающие прототипы, позволяющие получать информацию об активности пользователя, уже представлены. В них эксплуатируется одна странная особенность официального клиента Telegram под Android: программа каждый раз высылает уведомление по всем контактам, когда пользователь делает окно с Telegram активным или переключается на другую программу. Сопоставляя эти данные с активностью других пользователей Telegram, аналитик может вычислять примерный круг общения жертвы.

Эксперты предупреждают: разработчики Telegram выдают свою разработку за средство защищенного общения, однако по факту Telegram им не является. Будьте внимательны и обязательно учитывайте этот факт.

Ваша оценка: Нет Средняя оценка: 4.5 (14 votes)

Ждём комментарий господина Дурова! А вообще-то не плохо было бы указать имена экспертов или ихней конторы.

Ваша оценка: Нет Средняя оценка: 3 (4 votes)

Вот-вот! И я все время об этом говорю. Пруфы! Пруфы где?!

ПС
Поймите правильно, я не спорю. Я даже Telegram не видел ни разу в жизни, и уж тем более не пользовался. Просто хочется подробностей.

Ваша оценка: Нет Средняя оценка: 4 (4 votes)

Эксперты, конечно же, из Вотсапа и вайбера. Это фактъ

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Он не Господин. . .

Ваша оценка: Нет

А что про Wickr думаете?
Мне кажется, что там с приватностью более-менее прилично.

Ваша оценка: Нет Средняя оценка: 3 (1 vote)

В веб-версии нет шифрования, полагаю это главная причина, почему по-умолчанию открывается чат без него

Ваша оценка: Нет Средняя оценка: 1 (1 vote)

Эксперд ничего не слышал о JavaScript?

Ваша оценка: Нет Средняя оценка: 3.3 (3 votes)

Кстати, решил установить Tox, свободный защищенный мессенджер, полностью децентрализованный. Что хочу сказать, вроде и прикольно, единственное, что не понравилось, Русский язык в настройках нужно выставлять вручную. Ну и отсутствие поиска как такового, добавление контактов только по уникальному ID.

Ваша оценка: Нет

Основной смысл децентрализованости в чем обменялись ID и общаетесь — никто кроме вас не знает об этом.

Ваша оценка: Нет

Tox соединяется напрямую с вашим собеседником и не скрывает ваш ip адрес от него . В логах провайдера сохраняется, с каким ip-адресом вы соединялись используя протокол tox.

Ваша оценка: Нет

В Telegram вообще русского "искаропки" не предусмотрено :)
Tox мне тоже очень понравился, но есть у него один недостаток: о нем известно полутора землекопам. Самому с собой общаться не слишком интересно. И в работе никак не помогает.

Ваша оценка: Нет Средняя оценка: 3 (1 vote)

Tox так-то нормальный мессенджер, не хуже всяких icq. Единственное, никто аудита безопасности не поводил, так что, нельзя быть полностью уверенным в отсутствие дыр, как случайных, так и целенаправленно оставленных.

Будь я на месте АНБ я бы обязательно подрядил своих сотрудников участвовать в разных OpenSource проектах, наподобие этого, и сознательно оставлять дыры, где можно и нельзя. Все это и пугает, раз я додумался до такого, то другие уже подавно, а значит это активно применяется.

Какой процент разработчиков ядра Linux работают на иностранные разведки? А разрабы популярных дистов? Вопросы на которые нет ответов.

Единственный способ обезопасить свою переписку ГАРАНТИРОВАННО, это вручную написать шифрующий текст скрипт и обменяться ключам на бумажке.

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
Texnoline

Вы забыли, про: бумажку с ключами сжечь (желательно в пламени водорода) после обмена, а пепел сразу съесть и запить большим количеством минеральной воды!:)

Ваша оценка: Нет

Предусмотрено... Google в помощь...

Ваша оценка: Нет

Тут что, пенсионеры кгб собрались?) Я думал я параноид, а тут оказывается ребяты покруче собрались :)
Очень полезные советы почерпнул (tox). Мессенджеры на p2p соединения, пока считаются лучшими по части приватности?
Ну а "Дурова" пускать на телефон думаю никому не следует.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Очень полезные советы почерпнул (tox).

Еще Bleep битторрентовский вроде неплохой и кажется, уже вышел из бетатеста

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline

Bleep and Tox, использую больше года, когда пересел с Bada на Android!;) Также перевел 80% людей, с которыми общаюсь на них, особенно деловых партнеров!

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline

Трудно быть не параноиком, когда везде вдоль и поперек идет охота за персональными данными в сети!?;) Так, что все нормально комрад...

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Тут что, пенсионеры кгб собрались?) Я думал я параноид, а тут оказывается ребяты покруче собрались :)

Это НЕ паранойя, а реальность, к сожалению. Например, я недавно узнал, что Intel может дистанционно получить доступ к своим процессорам и даже посмотреть, что там выводится на экран или находится в оперативке.

Цитирую:
http://libreboot.org/faq/#intel > Intel Boot Guard is an ME application introduced in Q2 2013 with ME firmware version 9.0 on 4th Generation    Intel Core i3/i5/i7 (Haswell) CPUs. [...] prevent the CPU from executing boot firmware that isn't signed with their private key. This means that coreboot and libreboot are impossible to port to such PCs, without the OEM's private signing key. > Before version 6.0 (that is, on systems from 2008/2009 and earlier), the ME can be disabled [...] ME firmware versions 6.0 and later, which are found on all systems with an Intel Core i3/i5/i7 CPU and a PCH, include "ME Ingition" firmware that performs some hardware initialization and power management. If the ME's boot ROM does not find in the SPI flash memory an ME firmware manifest with a valid Intel    signature, the whole PC will shut down after 30 minutes. > Due to the signature verification, developing free replacement firmware for the    ME is basically impossible. The only entity capable of replacing the ME firmware is Intel. As previously stated, the ME firmware includes proprietary code licensed from third parties, so Intel couldn't release the source code even if they wanted to. Ну и: > For years, coreboot has been struggling against Intel. Intel has been shown to be extremely uncooperative in general. Many coreboot developers, and companies, have tried to get Intel to cooperate; namely, releasing source code for the firmware components. Even Google, which sells millions of chromebooks (coreboot preinstalled) have been unable to persuade them. > ME firmware version 7.0 on PCHs with 2nd Generation Intel Core i3/i5/i7 (Sandy Bridge) CPUs replaces PAVP with a similar DRM application called "Intel Insider". [...] this hardware and its proprietary firmware can access and control everything that is in RAM and even everything that is    shown on the screen.

Ваша оценка: Нет Средняя оценка: 4 (2 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.