Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Режим читання
Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Завершити
Який месенджер ви вважаєте справді безпечним? Якщо хочете назвати Telegram, то маємо погану новину — питань щодо захищеності месенджера не менше, ніж до його зв’язків з рф. У цьому тексті розберемося, чому Telegram не такий безпечний, як всі звикли вважати, чому він цікавий російським спецслужбам та про ризик використання «секретних чатів».
Чому важливе наскрізне шифрування?
На самому початку повномасштабної війни, 25 лютого 2022-го, засновник Signal Моксі Марлінспайк Авторитетний фахівець у сфері кібербезпеки, автор протоколу шифрування що використовується у Signal та WhatsApp. заявив у Twitter: «Telegram — найпопулярніший месенджер у містах України. Після десятиліття оманливого маркетингу й медіа більшість людей вважають, що це “зашифрований застосунок”. Реальність протилежна». Марлінспайк пояснює, що всі повідомлення в Telegram доступні людям всередині компанії. Винятки — функція «секретні чати», яку потрібно вмикати окремо.
Марлінспайк не сказав нічого нового, а швидше акцентував на проблемі. У Telegram дійсно є наскрізне шифрування: його пропонує функція «секретних чатів». Проте вона не ввімкнена за замовчуванням. Тобто потрібно спочатку дізнатися, що ця функція є, а потім скористатися.
Тут варто зупинитися й пояснити, чому це важливо для безпеки користувача. Наскрізне шифрування — метод захисту повідомлень між одержувачем і відправником, який влаштований таким чином, щоб вони були єдиними, хто може розшифрувати дані. Воно не дозволяє отримати доступ до ваших повідомлень навіть серверу, який з’єднує вас зі співрозмовником. Переписка зберігається лише на пристроях у вас та співрозмовника. Цим наскрізне шифрування й відрізняється від звичайних чатів.
Тобто, коли ви заходите в безпечний, як вам здається, Telegram та спілкуєтесь зі знайомим на фронті без наскрізного шифрування, то все, про що ви говорили, зберігатиметься й на серверах месенджера.
Відповідно переписку можуть отримати ті, хто має до них доступ. Це й означає «відсутність наскрізного шифрування» за замовчуванням.
У мережі наразі складно знайти релевантне дослідження, яке показує, наскільки активно в Україні використовують «секретні чати». Проте цей показник значно нижчий, ніж звичайних переписок у месенджері. Навіть у нас в редакції більшість людей не використовувала «секретні чати».
«Безпека добре продається»
Чому ж тоді Telegram усі вважають безпечним? Бо так роками позиціонували месенджер. Навіть ідея створити Telegram начебто виникла в Павла Дурова, коли в грудні 2011 року до нього додому завітали силовики, яким він не відчинив. Докладніше про ранню історію Telegram та його колишні й нинішні зв’язки з росією можна прочитати тут.
Ексдиректор особливих напрямів Telegram Антон Розенберг Дуров стверджує, що Розенберг не мав стосунку до месенджера. Сам Розенберг мав конфлікт з засновником Telegram. стверджував, що історія про Telegram як єдиний приватний месенджер у мережі — міф, придуманий Дуровим.
«Виявилося, що безпека добре “продається”, і наголос у піарі було зроблено саме на неї. Багато років тому я запитав, чому вхід у Telegram здійснюється тільки за кодом з SMS, адже це небезпечно, чому не зробити вхід за паролем? І отримав відповідь: у WhatsApp усе працює за SMS, а кожна зайва дія під час реєстрації знижує кількість нових користувачів. Двофакторну аутентифікацію в Telegram розробили тільки у квітні 2015-го, але залишили опціональною навіть після низки гучних зломів.
Міф про приватність підтримує і те, що Telegram одним із перших розробив так звані «секретні чати» з кінцевим шифруванням для передачі максимально конфіденційних відомостей. Можливо, це була данина тому самому спогаду про візит ОМОНу в ЖК “П’ятий елемент”. Але навіть у команді Telegram ними майже ніхто не користувався», — зазначав Розенберг.
У Telegram-каналах самого Дурова Єдине місце, де він активно комунікує про роботу месенджера, дії конкурентів та свої погляди. досить складно знайти публікацію щодо «секретних чатів». Схоже, остання датується аж 10 січня 2021-го. У коментарях до одного з власних дописів Дуров розповів, що «максимізувати безпеку коштом зручності використання» хоче меншість користувачів Telegram. Їм Дуров рекомендував увімкнути «секретні чати» або встановити застосунок, у якому є тільки ця функція і нічого зайвого.
«Ми не збираємося калічити Telegram, викидаючи десятки його чудових функцій через те, що деякі люди введені в оману маркетинговими вивертами наших конкурентів або занадто ледачі, щоб запустити “секретні чати”, коли думають, що їм це потрібно», — підсумував засновник Telegram.
З самими «секретними чатами» теж не все просто. Як пояснює експерт з кібербезпеки Костянтин Корсун, навіть їхнє використання не гарантує безпеки. Річ у тім, що Telegram розробив власний криптографічний протокол MTProto. І з ним є проблеми. До прикладу, протокол Signal є відкритим і публічним. Тобто кожен фахівець з кібербезпеки може вивчити, чи все з ним гаразд. MTProto — повністю закритий. «Дуров його нікому не показує, але завіряє, що все безпечно», — підкреслює фахівець.
За бажання в мережі можна знайти матеріали про вразливості MTProto — наприклад, раз та два. Зазвичай вони не отримують широкого охоплення та уваги аудиторії чи медіа. Основна причина — сформульовані в них проблеми зрозумілі лише фахівцям. Тому краще погляньмо на кілька практичних кейсів з Telegram, які гостро ставлять питання щодо його безпеки.
Проблеми з «секретними чатами» та переписками
Колишній журналіст Ігор Бондаренко працював водієм у Польщі, але в січні 2022-го повернувся в рідний Херсон у відпустку. Тут він і зустрів війну та потрапив до окупації. Раніше Бондаренко волонтерив для інформаційного порталу «Сектор правди», який належить місцевому «Правого сектору». Також уже в окупації зустрічався з очільницею останнього Наталією Вотеічкіною.
У серпні 2022-го Бондаренко вирішив виїхати через Крим. Він видалив контакти лідерів «Правого сектору» (це сталось ще в березні), а також переписки в Telegram. При проходженні паспортного контролю співробітник фсб забрав у Бондаренка документи, телефон та планшет для перевірки. За пів години фсбшник повернувся з паперами та питанням «хто така Наталя Вотеічкіна». Серед паперів були роздруківки і його переписок в Telegram за пів року.
У коментарі для Vector Бондаренко розповів, що там були повідомлення як зі звичайних, так і з «секретних чатів». Чоловік не знає, чи могли вони отримати доступ до пристроїв його співрозмовників. Проте зазначає, що російські спецслужби приділяють особливу увагу саме Telegram.
Бондаренко не єдиний, хто мав проблеми з «секретними чатами». У лютневому матеріалі Wired російські дисиденти розповідали, що їхні і звичайні повідомлення, і «секретні чати» відображалися як «прочитані», навіть коли їх не відкривали. Подібне помітили, зокрема, російська правозахисниця Анна Курбатова та її партнер журналіст DOXA Іван Асташин — був засуджений у 2009-му до 10 років позбавлення волі за те, що кинув коктейль Молотова в офіс фсб. Словом, вони є потенційно цікавими російським спецслужбам особами.
Ми поговорили з Курбатовою та Асташиним про проблеми з переписками в Telegram. Асташин підтвердив, що помічав «прочитані» повідомлення і в звичайних, і в «секретних чатах». Проте в основному саме в останніх. Проблема спостерігалася приблизно протягом місяця влітку 2022-го. Асташин навіть змінив пристрій та Telegram-акаунт, але ситуація продовжилась.
Журналіст стверджує, що не бачив якоїсь логіки, коли конкретні чати відмічались як прочитані. Також зазначає, що принаймні щодо деяких людей, у переписках з якими була така проблема, впевнений — їхні пристрої не потрапляли в руки спецслужб.
Після тексту Wired в Telegram прокоментували ситуацію. За їхньою версією, «”помилково позначені як прочитані повідомлення” не можуть означати, що треті особи мають доступ до секретних чатів Telegram». До думки, що це був баг, схиляється й Асташин. За його словами, немає жодних логічних пояснень, як це могло статися та працювати саме вибірково. Також Асташин зазначає, не помітив, щоб інформацію з переписок якось використали проти нього чи проти інших людей.
У розмові з нами Іван звернув увагу на проблему з «секретними чатами», яка потенційно може становити небезпеку для користувачів. Коли людина розлогінюється з Telegram, то всі «секретні чати» у неї зникають. У співбесідників же залишаються. При цьому вони більше не можуть писати в такий чат. Іноді ж трапляється дивний баг.
З незрозумілих причин у співбесідників залишається можливість писати в «секретний чат» з людиною, яка розлогінитися та «втратила» його.
Чому це погано? Людина не знає, що переписка у вас більше недоступна. Тобто не видалить її у себе, а продовжить писати. Якщо спецслужби отримають доступ до її смартфона, то зможуть прочитати ваш «секретний чат». Відповідно краще не розлогінюватись, а видалити чат для себе і співбесідника: свайп вліво в списку чатів — «Видалити» — «Видалити для мене й [ім’я співбесідника]».
Курбатова розповіла, що подібна проблема з «секретними чатами» з’являлася випадково. Змоделювати її спеціально в них не вийшло. Щодо «прочитаних» переписок, то правозахисниця пригадує: почала помічати подібне приблизно весною 2022-го. Вона не відкидає можливості, що таке траплялося й раніше. Просто з початком повномасштабної війни в Україні ставки зросли, а переписки стали чутливішими. На той момент Курбатова перебувала в рф, але проблема зникла ще до того, як вона виїхала за кордон.
Курбатова також зазначає, що не бачила якоїсь системи в тому, які переписки відмічались прочитаними. Це могла бути й просто якась дружня комунікація. Тому вона також схильна вважати, що це баг. Крім того, Курбатова розповіла про правозахисницю Яну Теплицьку, яка зіштовхнулася з подібною проблемою, але не з секретними чатами, а зі звичайними.
І Курбатова, і Асташин допускають, що кремль може використовувати Telegram для слідкування за користувачами. «Мені здається, що тут скоріше сукупність чинників, якихось вразливостей, які ігноруються. Ті ж “секретні чати”, які залишаються відкритими для однієї зі сторін комунікації — це ж вже компрометуючий момент для людини», — пояснює Курбатова.
Також вона зазначила, що переписки Telegram стали частіше фігурувати в кримінальних справах в рф, ніж 5-7 років тому. Хоча при цьому уточнює, що і самих справ стало більше. Крім того, не зрозуміло, яким чином силовики отримують такі переписки. Це може, наприклад, бути передача доступу пристрою під тиском чи тортурами.
«У Telegram за ніком людини можна визначити Telegram ID і, відповідно, номер телефону, на який вона реєструвалася, IP-адреси тощо. І якщо раніше справи порушували здебільшого за постами та коментарями “ВКонтакте”, який співпрацює з владою рф, то зараз такі самі речі відбуваються з Telegram. Бо все вищезазначене легко встановити навіть без співпраці з месенджером», — вважає Асташин.
Чи поділяться вашими даними з владою?
Інший важливий момент пропаганди безпеки Telegram — численні заяви Дурова про те, що у месенджера не було витоків та він не ділиться даними з владою. Ось як підприємець описує це в тексті з критикою WhatsApp у 2019-му:
«За майже 6 років існування у Telegram не було витоків даних або дірок у безпеці рівня тих, які виявляються у WhatsApp кожні кілька місяців. За шість років ми не видали жодного байта інформації третім особам, поки Facebook і WhatsApp зливали потоки особистих даних кожному, хто говорив, що працює на уряд».
Звучить переконливо, але, попри таку начебто чітку позицію, до потенційної співпраці Telegram із урядами є питання. Ще 2018-го месенджер оновив політику конфіденційності — тепер у пункті 8.3 прямо сказано:
«Якщо Telegram отримає судове розпорядження, яке підтверджує, що ви є підозрюваним у тероризмі, ми можемо розкрити вашу IP-адресу та номер телефону відповідним органам».
У боті, де Telegram ділиться звітами про прозорість сказано, що для України ці звіти недоступні: «Якщо будь-які IP-адреси або номери телефонів будуть передані відповідно до пункту 8.3 “Політики конфіденційності”, ми опублікуємо звіт про прозорість протягом шести місяців після того, як це станеться».
При цьому додатково зазначають: щоб рішення суду вважалося релевантним, воно повинно походити «з країни з достатньо високим індексом демократії, щоб вважатися демократичною». Методики, які для цього використовує месенджер, на жаль, не вказані. І це проблема. Наприклад, у рф, куди їздить у відпустку віцепрезидент Telegram, терористом можуть визнати будь-якого українця.
Варто зазначити, що виключно «підозрою в тероризмі» причини надання даних про користувачів держорганам не закінчуються. Минулого року Telegram розкрив імена та номери телефонів адміністраторів, а також IP-адреси каналів, звинувачених у порушенні авторських прав, згідно з рішенням суду в Індії. У коментарі TechCrunch представник Telegram відмовився повідомити, чи ділиться застосунок приватними даними.
Цікаво, що за даними Statista, у період з січня по грудень 2022 року Індія була провідним ринком для Telegram за кількістю завантажень. Місцеві користувачі встановили застосунок приблизно 104 млн разів. Тож рішення піти на поступки могло бути продиктованим бізнес-інтересами. До речі, росія посіла друге місце з понад 34 млн завантажень.
Але й це не все. Співпраця з боку Telegram не завжди потрібна владі. У вже згаданому матеріалі Wired йдеться, що відкритий API Telegram за бажання можна використовувати для масштабного моніторингу користувачів. Він дозволяє автоматично зберігати та каталогізувати величезну кількість публічних каналів і групових чатів.
Наприклад, дослідник Інституту стратегічного діалогу Джордан Вілдон стверджує, що «маючи достатню силу волі, якісні сервери та потрібні API-ключі», можна було б заархівувати майже весь Telegram. Тобто сотні мільярдів текстів, аудіофайлів та зображень, якими публічно обмінюються користувачі месенджера.
Є навіть компанії, які застосовують Telegram для збору даних. Наприклад, російська TGStat надає інформацію про зростання каналів та користувачів у різних країнах. Вілдон стверджує, що компанія архівує загальнодоступні дані роками. Таким чином російські спецслужби можуть звернутися до неї та отримати інформацію про користувача. Наприклад, номер телефону та групи, у які він входить. Пряма допомога з боку Telegram їм не потрібна. У своїй політиці конфіденційності TGStat повідомляє, що зобов’язана законом передавати дані державним органам рф.
Замість висновків
Telegram не є безпечним сам по собі — потрібно скористатися «секретними чатами». При цьому приклад Бондаренка показує, що є імовірність, що спецслужби якимось чином здатні отримати доступ до видаленої переписки. Історія Асташина та Курбатової — те, що окремі баги Telegram здатні залишити видалені «секретні чати» доступними для переписки у людини, з якою ви спілкувалися.
Також Telegram може розкрити ваші IP-адресу та номер телефону відповідним органам, якщо вас визнають терористом. Або, наприклад, ви порушите авторські права.
Згідно з матеріалом Wired, API Telegram можна використовувати для збору даних про користувачів.
У підсумку — значну частину зазначених аргументів можна починати зі слів «Telegram стверджує, що він безпечний, але…». У цьому й проблема. В умовах повномасштабної війни з рф кожне таке «але» означає додаткові ризики для безпеки будь-якого українського користувача Telegram. Чи варто воно того — кожен має відповісти сам.
Знайшли помилку? Виділіть її і натисніть Ctrl+Enter
