Мнение профессионалов: «совершенный» Телеграм небезопасен

«Телеграму» вообще невыгодна дискуссия вокруг возможных недостатков своего продукта, который подаётся как вершина совершенства.



Уже неоднократно замечалось: чем пафоснее рекламная кампания, чем исступлённее вопли «экспертов», тем более серьёзные недостатки они призваны «замазать» в своём продукте. Каждый, почти наверняка, вспомнит из своей жизни немало случаев, когда разрекламированное «чудо» потом начинало показывать свои самые малопривлекательные стороны. Из недавнего и общеизвестного: то всепогодный и малозаметный американский истребитель F-35 оказывается ни разу не всепогодным, и к тому же чрезвычайно заметным, то супер-авианосец «Джеральд Форд» после спуска на воду получает кличку «плавучей катастрофы». Впрочем, мало у кого есть возможность познать на своём горьком опыте недостатки истребителей или авианосцев, а вот «косяки» одного из самых популярных мессенджеров касаются сотни миллионов человек.

Продолжая аналогию с американским «недо-чудом», «Телеграм» Павла Дурова оказался вовсе не тем, за что так старательно его пытались выдать – безопасным и зашифрованным средством связи. А как бы вовсе даже и наоборот.

При минимальной настойчивости и теоретических знаниях, можно обойти это шифрование и получить доступ к секретным чатам, которые позиционируются Дуровым энд Ко как «святая святых». Процесс взлома был подробно описан на сайте Habr одним из сознательных хакеров, пожелавшим показать обществу, что «самый защищённый мессенджер в мире» таковым абсолютно не является. Были похищены ключи шифрования, прочитаны секретные чаты с другого устройства, а также совершена подмена пользователя в переписке. Собственно, этого целиком и полностью достаточно для того, чтобы считать «Телеграм» не «конспиративной квартирой», а «проходным двором».

Но интереснее всего, как отреагировали в самой «Телеге» на попытки сообщить им о имеющихся уязвимостях: «Обойдя end to end encryption Telegram мессенджера на Android, баг-репорт отправил письмом на вышеупомянутый e-mail. Ответа не получил, спустя несколько дней написал в техподдержку волонтерам Telegram. Волонтеры мне ответили, что донесут мою мысль до руководства Telegram, запросив с меня уточнение: откуда и когда я отправил свое письмо. Спустя две недели тишины я еще раз напомнил о своем письме волонтерам, на этот раз и добровольцы мессенджера полностью проигнорировали моё напоминание. Через неделю я снова повторил отправку письма на официальную почту Telegram — нет ответа. Что же остается, чем же заняться? докучать со своим баг-репортом по Telegram через микроблог?, осаждать неофициальные источники общения команды durov-а? Или написать и выложить статью для СМИ? Прямо какая-то кибербюрократия сформировалась в рядах Telegram»

Чуть дальше парень жалуется, что и до него были подобные случаи с тем же результатом: «Не могу не отметить w9w с habr.com, который, по моему мнению, нашел лучшую уязвимость на платформе Telegram: уязвимость в telegra.ph. Суть – любой юзер мог отредактировать чужую статью на telegra.ph. Со своим отчетом об уязвимости w9w (он нашел их несколько) так же не смог достучаться на security@telegram.org. После прохождения бюрократического квеста, w9w получил за найденные уязвимости маленькое финансовое вознаграждение. Интересно, это жадность Telegram? или какая-то другая причина?».

Именно, что причина — другая. «Телеграму» вообще невыгодна дискуссия вокруг возможных недостатков своего продукта, который подаётся как вершина совершенства. Это что же получается – одному ответь, второму, они потом с гордостью начнут писать свои баг-репорты «Как я спас нашу любимую Тележку», а попробуй ещё эти баги почини! Лучше уж «отморозиться». Ну, с другой стороны, тогда есть риск, что мессенджер взломают вовсе не доброжелательные хакеры, а настоящие злоумышленники или спецслужбы – НО ОНИ-ТО ОБ ЭТОМ КРИЧАТЬ НЕ БУДУТ! Будут себе тихонько воровать данные да следить за юзерами, но без лишней огласки, по-прежнему для виду поддерживая репутацию Дуровского детища как лучшего средства для обмена секретами. И всем выгодно: Дурову, преступникам и спецслужбам. Невыгодно только пользователям. Но им никто в этой проблеме помогать не собирается

Григорий Игнатов


Обращаем ваше внимание что следующие экстремистские и террористические организации, запрещены в Российской Федерации: «Свидетели Иеговы», Национал-Большевистская партия, «Правый сектор», «Украинская повстанческая армия» (УПА), «Исламское государство» (ИГ, ИГИЛ, ДАИШ), «Джабхат Фатх аш-Шам», «Джабхат ан-Нусра», «Аль-Каида», «УНА-УНСО», «Талибан», «Меджлис крымско-татарского народа», «Мизантропик Дивижн», «Братство» Корчинского, «Тризуб им. Степана Бандеры», «Организация украинских националистов» (ОУН).

Чем WhatsApp отличается от Telegram
Чем WhatsApp отличается от Telegram

Руководство мессенджера WhatsApp сообщило, что с 2019 года в приложении больше не будет применяться сквозное шифрование переписок пользователей. По словам основателя компании Facebook Марка Цукерберга (владелец WhatsApp), данная мера была вызвана требованиями властей Соединенных Штатов.

Ранее один из основателей и глава компании WhatsApp Ян Кум объявил на своей странице в Facebook, что покидает пост. По информации американских СМИ, Кум покинул компанию на фоне разногласий с Facebook. Его, в частности, не устраивали попытки Facebook «использовать персональные данные и ослабить шифрование». Сообщается, что благодаря этому спецслужбы смогут легко получить доступ к перепискам всех пользователей.

Когда в СМИ и блогах был шум по поводу блокировки Telegram в РФ и не выполнении Дуровым требований закона России — народ хихикал и ехидничал. Однако еще в 2015 году на слушаниях в сенате директор ФБР Джеймс Коми обратился к правительству США с просьбой предоставить сотрудникам ведомства доступ к системе шифрования, которую используют мессенджеры WhatsApp, iMessage и Telegram. «Моя работа — обеспечивать безопасность людей. И я вижу, что сквозное шифрование коммуникаций, активно набирающее популярность в последнее время, влияет на мою способность выполнять свою работу эффективно», — написал в своём письме Коми. Ну и вот — все взяли под козырёк еще тогда, а сейчас Цукербрин просто решил перестать придуриваться и честно сообщил, как на самом деле обстоят дела.

Так что у нас с Дуровым делали не так? И где все эти «борцуны за свободу дырнета» сейчас? То ли ссыкотно борцунам протестовать против США, то ли за это просто не платят, как за Дурова.


Источник: jpgazeta.ru/mnenie-professionalov-sovershennyiy-telegram-nebezopasen/
  • avatar
  • 1
  • .
  • +18

3 комментария

avatar
Не поню, озвучивал ли на магспейсе свою конспирологичекую теорию, о, в общем, вот.
А тчо если телеграм и спецслужбы — две сторон одной медал?
И существует некий хитрый план.
— Телеграм демонстративно во всех СМИ бьёт себя пяткой в грудь и наигранно ругается с ФСБ.
— все террористы/закладчики/кто там ещё остался группируются, концентрируясь в одном мессенджере
— ФСБ потирает руки: теперь все подозрительные личности в одном месте И телеграм не в обиде: словил хайпа. Все довольны, все в профите.

И тут приходит энтузиаст с хабры и всё обламывает. выдавая схему. Его. ясно дело пытаются замолчать
avatar
Мы к этой версии пришли еще в первую волну событий.
У этой версии есть один недостаток: по закону телеграм не должен работать. А он работает до сих пор, что ставит закон под сомнение.
avatar
Не, немного не так. Тут теперь оказывается что по закону США там телеграм не должен работать. А он там работает. А на две спецслужбы работать не получится, санкции же.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.