О безопасности Telegram

Решил сделать сводку известного о телеграме, чтобы иллюзия безопастности полностью изчезла.

Все данные взяты из разных тем разных форумов, и твиттов известных людей.

Надеюсь кому-то будет интересно.

1) Основатель мессенджера Signal Мокси Марлинспайк (Moxie Marlinspike)

раскритиковал Telegram, заявив о том, что сервис по умолчанию хранит все

сообщения и данные пользователей в незашифрованном виде. Также глава

мессенджера отметил, что WhatsApp предлагает большую конфиденциальность,

чем Telegram.

Марлинспайк резко отозвался о безопасности и конфиденциальности Telegram, сделав заявление в своем

Twitter-аккаунте. Он подчеркнул, что все сообщения, контакты и данные пользователей по умолчанию

хранятся на серверах Telegram в исходной форме и вообще никак не шифруются. Этот факт, по его мению,

ставит под сомнения безопасность мессенджера, так как сотрудники компании и хакеры могут без труда получить

всю необходимую информацию о пользователе.
Для того, чтобы самостоятельно убедиться в этом, Марлинспайк предложил провести эксперимент — удалить

приложение Telegram, установить его на новое устройство и пройти авторизацию. В этом случае пользователь

увидит историю своих звонков, контакты, чаты, сообщения и медиафайлы в том же виде, в котором они были на

прошлом устройстве. По словам основателя Signal, это указывает на то, что все эти данные хранятся в открытом виде.
Марлинспайк отметил, что WhatsApp и Facebook Messenger по умолчанию предлагают сквозное шифрование для всех

данных и сообщений, но при этом «‎никто не называет их зашифрованными мессенджерами». Глава Signal упомянул и

функцию секретных чатов в Telegram, но по его мнению, пользователи могут забыть создать секретный чат и тогда их

переписка может быть скомпрометирована.
Помимо этого, Марлинспайк выдвинул минимальные требования для того, чтобы мессенджер можно было назвать

«‎зашифрованным» — ко всем сообщениям и пользовательским данным по умолчанию должен применяться алгоритм сквозного

шифрования.

2) В сети продают бота, который находит все чаты в которых состоит пользователь

(подробности работы бота продажники не раскрывают).

3) так же существуют мануалы по деанону в тг (работоспособность не протестирована)

вот один из таких мануалов- https://anonfiles.com/j9Z075R5u4/_TG_pdf (в мануале затронута система записи данных)

Вот такой расклад, думаю не стоит рачитывать на безопастность в тг, но и удалять

месседжер тоже не стоит. Ведь главное делать всё тихо, а поговорить о делах

можно и в джабере.

До скорого)

Перефразирую:

Я собрал все слухи в Интернете про телеграм, чтобы иллюзия безопастности полностью изчезла.

Если бы вы проверили хотя бы один слух, то было бы более убедительно.

я ещё учусь)

Боты есть, это осинт в чистом виде. Просто многие админы чатов добавляют антиспам ботов не понимая кто за этими бесплатными ботами стоит, в итоге эти боты парсят участников группы и его владелец наполняет свою базу, какой пользователь (ник/id) в каких группах состоит, а потом продает.

Больше всего меня смущает история с финансированием от РФ через прокси - арабский фонд, тогда информация просочилась от властей, на что Дуров истерично кричал что никаких инвестиций от РФ не приминал и договоренностей с властями не имеет.

Факты говорят об обратном, 90% от оборота этого арабского фонда приходится на российскую компанию в совете директоров которой ранее состоял экс-зять ВВП.

Напрашивается вывод, что власти не врали сообщив о неких успешных договоренностях с Дуровым, как раз после крупного транша ему в Дубаи.

Помимо перечисленного доводы против использования сего поделия для передачи чувствительной информации из того, что помню:
— Необходимость наличия MSISDN, сообщения которого легко перехватываются фемтосотой или опсосом
— Не работающий скомпилированный из последних исходников клиент (не проверял)
— Отсутствие аудита самописного “шифрования”
— Арест участников групп в Гонконге
— Свидетельства от соседей по шконке о фигурировании в судопроизводствах баронов “секретных” переписок из этого мессенджера (бароны с яббером+омемо пока не фигурируют)
— Автор внезапно расплатился с долгами и убежал из США

Из доводов за использование, говорят удобство, ну а мне пока яббера хватает.

Чтобы подключить своего клиента (скомпилированный не равно дистрибутив) к ТГ нужно иметь ключи, которые нужно получать в ТГ через клиента с ключами и аккаунтом.

В этом смысле ТГ никогда не был FOSS.

Параметры для обмена ключами, для секретных чатов, выдаются сервером, через который идет обмен. Это обнуляет любой аудит.

Впрочем, блокировка ТГ в РФ вполне реальна. Потому что этим всегда мало, а коготок давно увяз. Если кто забыл, ТГ – ОРИ.

Инсайдер Телеграм

Ещё один довод против использования подъехал, подождём суда.

Вы про это?

Суть обвинений сводтся к тому, что Telegram не сливает своих пользовтелей.

Посмотрим, может ещё что-нибудь вскроется.

ну, в 1 посте описано почему это неправда

Павел Дуров задержан во Франции Ему могут предъявить обвинения по тяжким статьям из-за отказа модерировать контент в Telegram: французские линуксоиды удовлетворённо читают заголовок этой новости за чашкой чая.

tf1info.fr:
Действительно, Telegram — это улей криминального контента
За долгие годы он стал платформой номер 1 для организованной преступности

Вот такую репутацию Telegram имеет на Западе. Никто не знает про противодействие блокировкам при митингах в Беларуси и России.

Сервис защищённых сообщений

Миф, созданный Telegram. Защищённый не по умолчанию, только на нескольких платформах.

Дуров знал, что в стране он «персона нон грата», он мало путешествовал по Европе и избегал государств, где работа Telegram находится под наблюдением силовиков. «Сегодня он совершил ошибку. Мы не знаем почему», — добавил источник журналистов.

А вот это странно. Решил сделать из себя публичную жертву в предверии каких-то событий?..

Я думаю что это маркетинговый ход, на фоне блокировок телеги в России Дуров сделал шаг конём, чтоб привлечь к себе больше пользователей из Европы

Не думаю, учитывая какая там ЦА.

Попробуем немного разобраться:
В telegram большинство чатов нешифрованные, но сами владельцы неохотно контактируют с властями в раскрытии этих данных.
Чаты бывают одиночные (друг с другом) и групповые (в том числе каналы, где, например, сми распространяют новости).
Одиночные чаты зашифрованы и лучше зашифрованы (e2e) в whatsapp и signal.
Приватность это когда два известных человека разговаривают неизвестно о чём, анонимность это когда неизвестно кто с кем разговаривает (причём, анонимность может быть без приватности, например уличные графити).
Оппозиционные политические каналы действительно лучше иметь в telegram, т.к. групповые чаты там лучше развиты, чем в whatsapp и signal.
В telegram есть пункты пожаловаться на сообщение в групповом чате. И модераторы действительно удаляют, но далеко не всё, более лояльны к расизму и такому, что не любят в европе. Кстати, модераторы вроде бы волонтёры. А до тех. поддержки действительно нереально достучаться.
Несмотря на e2e в android версии whatsapp предположительно правительство сша встраивает бэкдоры, но ясно, что это для ловли крупной рыбы. В остальном, в whatsapp есть приватность, но нет анонимности (метаданные сливаются), signal гораздо лучше.

Ещё можно заметить, что на западе решили обеспечивать приватность end-to-end (e2e) шифрованием (что менее удобно при синхронизации), а у нас (в telegram) “пуленепробиваемой” оффшорной политикой и юрисдикцией.

В общем, telegram [предположительно] анонимный, полуприватный. Для властей, по крайней мере.
whatsapp приватный, но не анонимный.
signal приватный и анонимный, вроде как (несмотря на требование номера телефона, там есть какие-то хитрости, чтобы пользователи оставались анонимными, даже если это и на честном слове). На него не возбудились, потому что на западе им пользуются и обычные люди, даже Маск.
Такие дела.

Неанонимность это утечка метаданных (кто с кем общается, даже если неизвестно о чём, у кого какие IP, номер телефона). Слив этих данных тоже неприятен. А также может быть вскрыт сам девайс у собеседника.

А как gnupg вписывается во всю эту e2ee картину в чатах? Даже если допустим чат весь сливается, то gpg сообщение все равно будет зашифровано. В интервью я видел что какие-то группировки что переписываются на украине говорили что они юзают gpg для коммуникаций, а если даже боевики это используют, то может действительно есть в этом смысл? Может ли сам телефон слить приватный ключ gpg если там бэкдоры постоянно сканируют устройство при подключение к сети?

И раз такая тема то еще спрошу про сервисы\мессенджеры в россии. Закон о приземление как бы не намекает про то что e2ee вообще до одного места? Если сервера кэшурутся в россии, то любой силовик может их просматривать когда ему нужно получается?

Я не слышал о таком. Какой-то сторонний pgp (например, в неофициальных клиентах, типа Pidgin) поверх нешифрованных чатов Telegram?
Тогда текст сообщений не расшировать, если только устройство не будет захвачено.
Но метаданные (кто, с кем, IP сливаются на сервер Telegram).
Официальные секретные чаты тоже безопасны, вроде как. Но они только на смартфонах, а также в Mac OS.

В noname телефонах может быть всякое, но я сомневаюсь, что это массово практикуется.

Если e2e есть, то оно есть. Не важно где проходит трафик. Он шифруется у отправителя и расшифровывается у получателя. Сервер видит только “мусор”. Как в зашифрованных чатах Telegram, Whatsapp.
Мессенджеры без e2e (VK, например) сливают переписку.
Если популярные e2e мессенджеры ещё работают в России, то опять же, потому что их доля очень высока. А малопопулярные Signal, Session у нас недавно как раз заблокировали.

Кстати, о задержании, смотрю сейчас разное. Как же опп. СМИ брызгают желчью, комментируя происходящее. Кто ещё пропагадисты вопрос. Либералы традиционно осуждают то, что защищает Россия. Несмотря на то, что здесь есть внутреннее противостояние, ведь Telegram дал им свободу.

Я думаю, Россия заставила Дурова (может быть, шантажом) попасться в руки французам, что разогреть новость, что он слил им ключи шифрования и Telegram теперь небезопасен - дескать, давайте минимизируем его использование. В след за ютубом прикроется последняя популярная независимая площадка… Печально это видеть, конечно.
Ох, что-то нас ждёт. Такие приготовления…

Пишут о том что Дуров был в рф довольно долго, даже после блокировки и когда у него в рф просили ключи, так что пора уходить с платформы Telegram: Contact @istories_media Не рекламы ради, а как пример новости.

Пока шансы что телеграм сотрудничал с ФСБ гораздо больше чем то что он сотрудничал с США или Европейскими странами, поэтому неудивительно что Россия пытается его обратно вернуть к себе на родину.
Вопрос лишь в том сольётся ли Дуров со всех сторон.