Перейти к содержанию

Насколько безопасно пользоваться Telegram? | Блог Касперского


Рекомендуемые сообщения

Создатели Telegram позиционируют свой мессенджер как безопасный и защищенный. Но на практике это не совсем так: дело в том, что у «Телеги» есть ряд особенностей, из-за которых защитить свою переписку в реальной жизни оказывается не слишком легко, — и связаны они вовсе не со сложностями криптографии, а с гораздо более прозаическими вещами. Давайте поговорим про несколько весьма неоднозначных решений в интерфейсе и общей логике работы Telegram, делающих его совсем не таким безопасным, как принято считать.

Оттенки безопасности переписки

Для начала разберемся, как работает защищенный (или безопасный) мессенджер. Первое, что стоит понимать: практически все существующие системы обмена сообщениями уже давно используют шифрование данных при их передаче с устройства пользователя на сервер. Это тот минимум, который должен обеспечивать любой современный мессенджер. Однако этого недостаточно, чтобы считать систему обмена сообщениями защищенной, поскольку это не гарантирует полной безопасности переписки.

И вот почему: если доступ к сообщениям, помимо участников беседы, есть и у сервиса, то это создает дополнительные риски. Например, сами владельцы сервиса могут оказаться излишне любопытными или жадными. Или допустим даже, что нынешние владельцы кристально честны и не суют нос в данные пользователей, — кто гарантирует, что это не сделают следующие, к которым мессенджер перейдет после продажи? В конце концов, сервис может кто-то взломать — и в этом случае доступ к переписке может получить взломщик.

Есть очень эффективный способ избежать всех этих опасностей и сразу закрыть вопрос о том, можно ли сервису доверять, — для этого используют сквозное шифрование. Оно предполагает, что информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. Таким образом, сам сервис пересылает туда-сюда только зашифрованные данные и доступа к содержанию сообщений не имеет. Это автоматически обеспечивает защиту переписки от любопытства нынешних и будущих владельцев сервиса и от всех неприятностей, которые с ним могут произойти.

Итак, мы приходим к очень простой формуле: защищенный мессенджер — это такой мессенджер, который использует сквозное шифрование. Теперь самое время перейти к тому, как с этим обстоят дела у Telegram.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

  • Umnik

    13

  • Mrak

    9

  • sputnikk

    6

  • ska79

    4

Почти никто не делает e2ee. Это просто очень дорого в сопровождении и накладывает тонну ограничений. Честный e2ee есть лишь в горстке мессенджеров и всё. Тот же Zoom тоже не поддерживает его. Они _заявили что будут поддерживать_ (это раз) и только для корпоративных за отдельные деньги (это два).

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

мне кажется разработчики телеграм ни когда на это не пойдут, т.к. большей части пользователей это не понравится из-за того, что при внедрении e2ee исчезнет возможность синхронизации между устройствами, а многие используют телеграм на смартфоне, и не одном, плюс еще и ПК

Ссылка на комментарий
Поделиться на другие сайты

18 hours ago, Mrak said:

Какова вероятность внедрения в телеграмм сквозного шифрования по умолчанию во всех чатах?

Во всех прям? Нулевая. В только 1 на 1 - могут и сделать. Правда в других клиентах придётся авторизовываться через QR или похожим методом, как сейчас делают остальные. В таком случае общение идёт через один клиент, а все остальные на самом деле пишут ему. То есть у тебя чат создан с телефона. Ты заходишь с компа и комп на самом деле пишет телефону, а телефон прозрачно передаёт от имени компа.

 

В групповых чатах это будет невозможно в принципе. У тебя в чате 15 человек, их них онлайн - 5. Заходит новый человек и рассылает всем свой ключ. Все присылают свои ему. Теперь он может общаться, но только с теми, кто был онлайн. Другие то не прислали ему ключи и не получили его. Начнётся свистопляска с передачей ключей. Это реализуемо (там, где я работаю - именно e2ee на абсолютно всё и другого варианта чатов не существует), но требует целенаправленной работы. То есть если инвесторы решат, что эта фича будет хороша для маркетинга - сделают. Решат, что не нужна и достаточно только того, что есть сейчас - рекламный слоган защиты и отсутствие защиты по умолчанию на самом деле - не будут делать.

 

Только если с сообщениями ещё туда-сюда, то со звонками капец. Нам пришлось приложить много усилий для групповых звонков, потому что эти звонки. Ведь нельзя гнать видео просто на сервер, а сервер уже формирует картинку (так делает zoom и вообще абсолютно все, у кого есть групповые видеозвонки без e2ee) - ведь трафик зашифрован. Сервер ничего не понимает. В итоге, на самом деле, все участники шлют всем другим участникам свои видеопотоки (15 человек - значит 1 человек шлёт на 14 одновременно) и получают от всех (1 человек получает 14 видеопотоков). Это прям очень тяжело для мобилок. У нас такое есть, но мы искусственно ухудшаем качество видео и ограничиваем сверху количество возможных участников видеозвонка. ТГ так не сделает массово, ведь у них рекламная фишка - чаты на сотни человек. По этой же причине так не делает zoom. По этой же причине многие мессенджеры, которые умеют в e2ee, просто не поддерживают групповые видео вообще или поддерживают с большими ограничениями.

 

7 hours ago, sputnikk said:

в ICQ упомято шифрование звонков https://icq.com/security-calls/ru

Для 1 на 1. Здесь всё просто. Когда речь про групповые, то туши свет. Только лучшие на такое способны :) // да, я назвал нас лучшими, потому что слежу за конкурентами и конкурентов у нас пока нет

  • Like (+1) 1
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, sputnikk said:

у кого у вас?

Не скажу. Во-первых мне нельзя особо распространяться о месте работы. Во-вторых мы делаем продукты под конкретный сегмент. В общем, они не публичные, обычным пользователям не доступны, к моему сожалению.

Изменено пользователем Umnik
Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...
22.02.2023 в 16:28, sputnikk сказал:

Способ решения проблемы умиляет - потерять все чаты, переписки:

Цитата

Они посоветовали лишь включать двухфакторную авторизацию и при смене номера телефона не менять его в настройках WhatsApp, а удалять учетную запись и регистрировать новую.

Как я понимаю, при удалении учетки, нужно, чтобы человека вновь в каждый чат добавили, но переписка все равно не сохранится. 

Ссылка на комментарий
Поделиться на другие сайты

ВотсАпп не позволяет читать переписку всем и каждому, потому что, в отличие от Телеграма, не хранит её на своих серверах. Ей просто неоткуда взяться. ВотсАпп имеет проблему, которая может помочь злоумышленнику ввести собеседников жертвы в заблуждение - это да. Такая проблема есть у всех, кто регается по симке. Аналогично и с банками, и с кучей 2FA. Люди очень часто используют SMS как второй фактор и это тоже огромная ошибка. Визг из ничего.

 

1. Нужно включать второй фактор в мессенджерах. В Сигнале чуть хитрее - нужно включить блокировку регистрации. Но суть не меняет, это тоже второй фактор

2. Нельзя никогда использовать телефонный номер как второй фактор ни в одном сервисе

  • Like (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sputnikk
      Автор sputnikk
      Wi-Fi запароленный, пацанов в семье нет, только девочки-школьницы. Подсоединил комп через свисток D-linк 2013 года утилитой Mediatek Wireless Utility.
       
      Я не был в интернете 5 дней. Украинцы пожгли железо местного провайдера и сети не будет ещё неделю, пришлось клянчить вай-фай у соседей, у них другой провайдер.  
      Железо Juniper, один коммутатор сейчас стоит 150к. Украинцам помогали индийцы через Австралию.
      Мобильного у меня нету.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Mrak
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • KL FC Bot
      Автор KL FC Bot
      Современный человек практически не расстается со своими девайсами. Согласно исследованию, проведенному в США аналитической компанией Reviews.org, за 2024 год среднестатистический пользователь потратил на смартфон примерно 2,5 месяца жизни. Это колоссальная цифра, показывающая, насколько глубоко мобильные устройства интегрировались в нашу повседневную жизнь.
      Цифровой детокс — это модное название простого отдыха от экранов и уведомлений, который пойдет на пользу всем, у кого есть смартфон или ноутбук. Согласно обзору десяти исследований, проведенных с 2013 по 2023 год, цифровой детокс способствует улучшению качества сна, удовлетворенности жизнью и субъективного благополучия, а также помогает уменьшить тревогу, стресс, депрессию и зависимость от телефона. К тому же регулярная цифровая разгрузка помогает восстановить способность мозга к длительной концентрации внимания и глубокой обработке информации.
      Однако полное отключение от Сети несет в себе риски для вашей цифровой жизни. Сегодня мы разберемся, как дать голове отдохнуть, сохранив при этом контроль над аккаунтами, устройствами, данными и даже умным домом.
      Что может случиться во время цифрового детокса?
      Всего предусмотреть невозможно, но «постелить соломку» для минимизации последствий некоторых рисков вам вполне по силам. Что это за риски?
      Кража аккаунтов — как обычных, так и экосистемных, вроде аккаунтов «Яндекса», «ВКонтакте», Google, Apple, Samsung, Xiaomi и так далее — через подбор паролей или подмену SIM-карт (SIM Swapping). Несанкционированные подписки и списания средств. Утечка личных данных из-за сливов паролей или отсутствия двухфакторной аутентификации. Угон аккаунтов в мессенджерах и соцсетях. Использование ваших устройств и аккаунтов для рассылки спама. Утеря или кража ваших гаджетов. Бытовые проблемы — взлом квартиры в длительное отсутствие, затопление, утечка газа или пожар.  
      View the full article
    • Elly
      Автор Elly
      Друзья!
       
      Приветствуем вас на викторине, посвящённой Telegram-каналу Kaspersky Club!
      Telegram-канал Kaspersky Club - это место, где интересно, уютно и полезно одновременно. Канал существует уже давно, но именно за последний год мы особенно активно его развивали: наполняли важными новостями, яркими историями и увлекательными конкурсами и викторинами, сделав его неотъемлемой частью жизни нашего сообщества.
      Сегодня мы хотим отметить этот путь вместе с вами! И, конечно, в формате викторины! 
      Предлагаем вам проверить, насколько внимательно вы следили за жизнью нашего Telegram-канала. Особое внимание в викторине уделено самому активному и насыщенному году развития канала.
       
      Все ответы на вопросы викторины вы найдёте в Telegram-канале Kaspersky Club https://t.me/kasperskyclub
       
      Готовы? Начинаем!
       
      НАГРАЖДЕНИЕ
       
      Без ошибок — 1000 баллов Одна ошибка — 800 баллов Две ошибки — 500 баллов  
      Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 20 июля 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • KL FC Bot
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article

×
×
  • Создать...