Детали / Компания недели
Статья опубликована в № 4072 от 12.05.2016 под заголовком: Компания недели: Telegram

Насколько защищен Telegram

Секретно лучше разговаривать в деревенском сарае

В конце апреля – начале мая в России разгорелся новый скандал, связанный с кражей данных. Неизвестные подключились к аккаунтам Telegram двух оппозиционных политиков – Георгия Албурова и Олега Козловского. Оба получили от мессенджера сообщения о входе с нового устройства: это был Linux-клиент с IP-адресом, принадлежащим серверу анонимной сети Tor.

В ходе расследования инцидента (активное участие в котором, кстати, принял сам Telegram) выяснилось: кто-то перехватил sms-сообщения с паролем для входа в мессенджер, которые приходят на мобильный номер пользователя при попытке зайти в клиент мессенджера с нового устройства. По стечению обстоятельств именно в ночь перехвата кодов услуги доставки sms на номерах Албурова и Козловского оказались отключены. Оба они абоненты МТС. Компания утверждала, что ничего не отключала, но политики представили доказательства обратного. Telegram, в свою очередь, отметил, что избежать такой ситуации может помочь двухфакторная аутентификация – когда помимо sms пользователя нового устройства мессенджер просит дополнительно ввести ранее установленный пароль.

Теперь Албуров и Козловский обещают подать иск против МТС в США. Они утверждают, что компания помогла хакерам взломать их аккаунты в мессенджере Telegram. Основатель сервиса Павел Дуров подозревает, что за взломом и вовсе стоят российские спецслужбы, пишет FT. МТС настаивает на своей непричастности к взлому.

Так или иначе, инцидент с оппозиционерами развеял столь искусно сотканный Дуровым миф о невозможности получить доступ к переписке пользователей Telegram. Стало ясно, что при желании способ взлома найдется.

А ведь именно защищенностью своего мессенджера хвастался Дуров, пытаясь объяснить, в чем отличие Telegram от других мессенджеров типа WhatsApp и Viber, в 2013 г. Насколько сильным было доверие к этим заявлениям, можно судить даже по частным беседам с чиновниками и предпринимателями, которые предлагали «перейти в Telegram» во время обсуждения чего-то важного.

Да, возможно, если включить двухфакторную аутентификацию, ты можешь быть защищен надежнее. Да, секретные чаты дают возможность шифрования переписки. Но во-первых, не всегда ты можешь быть уверен, что двухфакторная аутентификация включена у твоего собеседника. А во-вторых, кто гарантирует, что не обнаружится новый способ вскрыть тот самый секретный чат, на надежность которого ты так надеялся?

По заявлению многочисленных борцов за информационную безопасность, количество вредоносных программ как для Android, так и для iOS год от года только растет. А значит, растет и число способов получения доступа к содержимому вашего телефона.

И похоже, единственный способ провести действительно секретную беседу – встречаться с собеседником лично. И желательно где-нибудь за городом, в глуши, в деревенском сарае, под шум мотора трактора, пашущего весеннее поле.

emetlyaev
15:01 12.05.2016
Весьма опечален качеством данной статьи, т.к. автор явно нарушает правила логики. 1. Перехват смс-сообщения возможен при регистрации в сети дубликата симки. Чего нельзя сделать стороннему перехватчику, так это отменить доставку смс и прописать отмену в детализацию. 2. Подобный перехват, соответственно, у двух оппозиционеров из одной структуры в одно и то же время не может быть стечением обстоятельств просто по теории вероятности. 3. В статье требуется врезка о двухфакторной аутентификации. Дело в том, что под этим термином в том числе скрывается и аутентификация по логину и коду из смс. И нужно уточнение. 4. Пострадавшие не использовали secure chat - чат, который не хранит историю и где связь между абонентами осуществляется с помощью собственных ключей. В данном случае невозможно слить историю (как было в рассмотренном кейсе), ибо ее нет, а также нельзя перехватить общение атакой Man in the middle (т.е. пустить трафик через дополнительный прослушивающий узел), не имея обоих частных ключей. Взлом платформы не поможет. Взлом одного абонента не поможет. Поможет захват ключа или устройство и общение от имени абонента (и тут зависит как настроена двухфакторная аутентификация). Соответственно, вывод в статье неверный. Оппозиционеры использовали а) слабое звено в виде телефона; б) слабейший вид чата, не гарантирующий отсутствие перехвата. При этом в) платформа не взломана. Следовательно писать "инцидент с оппозиционерами развеял столь искусно сотканный Дуровым миф о невозможности получить доступ к переписке пользователей Telegram" - потому что про переписку как историю переписки Дуров и не говорил. Он говорил про общение в реальном времени через secure chat, где история не хранится. Что касается привязки к телефону, то после нахождения относительно дешевого способа перехвата симок в прошлом году (см. хабрахабр - там две статьи с описанием механики) и возможности вообще просто скопировать симку (уже много лет) говорить о безопасности при таком использовании не приходится. Точно так же ломалась скорее всего и почта. Заметим, что в недавно вышедшем рейтинге специалистов по безопасности what's up и telegram все еще лидеры. Просто нужно соблюдать рекомендации. Очень прошу, прежде чем публиковать статьи на технические темы, покажите их хотя бы своему системному администратору.
100
Комментировать