Як насправді захищені месенджери Telegram, WhatsApp і інші

Чому жоден месенджер не може в повній мірі захистити від злому шахраїв і спецслужб, як Павло Дуров використовує ідею права людини на приватність для просування свого сервісу і чим насправді можуть похвалитися Телеграма, WhatsApp і інші месенджери – в матеріалі «Газети.Ru»

Телеграма вийшов на ринок набагато пізніше WhatsApp, Viber, WeChat і інших, але вдало зайняв нішу «безпечного месенджера. Продукт колишнього гендиректора «ВКонтакте» Павла Дурова був представлений під гаслом «Беручи назад наше право на приватне життя» ( «Повернемо собі право на приватність») і, оскільки інші месенджери не приділяли цьому аспекту належної уваги, став впізнаваним завдяки захисту даних.
В основі Телеграма лежить технологія шифрування листування MTProto, яку розробив брат Павла Дурова, Микола. За словами Павла, ІДЕЯ по-створення справжньому безпечного способу комунікації йому прийшла після того, як спецназівці «навідалися» до нього в квартиру.

На підтвердження своїх слів незабаром після запуску Телеграма Дуров влаштував конкурс на злом захисту месенджера. Учасникам Хакатона пропонувалося дістати листування Дурова в «секретному чаті» за $ 200 тис., Однак в рамках конкурсу ніхто цього зробити не зміг.

Захід зазнало критики, так як потенційні переможці стверджували, що були обмежені в своїх діях і мали в розпорядженні тільки зашифроване вміст листування. При цьому встояти перед атакою на основі шифротекста може навіть найпростіший алгоритм, хоча це одна з найскладніших і незручних для криптоаналитика моделей.

Через рік Дуров оголосив про початок нового конкурсу, збільшивши призовий фонд до $ 300 тис. Хакерам пропонувалося «розкрити» переписку двох ботів і вже дозволялося не просто виступати в ролі спостерігача, як у випадку з першим конкурсом, а й проводити активні атаки. Незважаючи на те що Дуров прислухався до зауважень і змінив умови конкурсу, переможці так і не були визначені, а на творця месенджера знову обрушилися критики.

Західні експерти скептично ставляться до Телеграма в основному через ТОЙ, що шифрування листування ВІДБУВАЄТЬСЯ Тільки в «чатах» секретних і за замовчуванням вимкнено. Так, головний технолог Американського союзу цивільних свобод Крістофер Согоян вважає, що позиціювання месенджера з точки зору безпеки невиправдано, оскільки компанії повинні думати про захист за замовчуванням, а не змушувати користувачів змінювати налаштування клієнта.
Уявний захист

Ряд західних фахівців у сфері криптографії також сумніваються в існуванні протоколу MTProto, хоча докладний опис роботи алгоритму викладено на сайті месенджера.
Шифрування – ключова особливість захисного спорядження месенджерів, при цьому найнадійнішим вважається наскрізне. Його суть полягає в тому, що ключі для розшифровки повідомлень зберігаються на пристроях користувачів, а не на зовнішніх серверах. Відповідно, ніхто, крім користувачів, не може отримати доступ до листування. Цей формат шифрування використовується за умовчанням в WhatsApp, Viber, IMessage і інших сервісах.

Навіть якщо MTProto дійсно існує, закритість для незалежного аудиту робить його потенційно вразливим для майбутніх атак, розповів «Газеті.Ru» вірусний аналітик ESET Russia Артем Баранов. Разом з цим спосіб від кінця до кінця (e2e) WhatsApp і шифрування Viber схвалений з боку експертів в області безпеки. Про MTProto можна сказати лише те, що на даний момент не зафіксовано успішних атак, які б привели до розшифровки повідомлень телеграм.

«Поки експерти схвалили тільки один протокол е2е-шифрування – Double Ratchet, який використовують WhatsApp і Viber. Протокол розроблений компанією Open Whisper Systems і лежить в основі месенджера сигналу, який схвалили Едвард Сноуден, Брюс Шнайер і інші фахівці з комп’ютерної безпеки », – додав Баранов.

«Зараз телеграмі WhatsApp або програє Viber, який запровадив е2е-за замовчуванням шифрування», – уклав експерт.

Сумніви в захищеності викликають і конкурси, що проводяться Дурова. Експерти в області безпеки стверджують, що подібні контексти проводяться виключно для піару, так як ці заходи недоводять захищеності сервісу і вводять в оману користувачів.

Також, після того як стало відомо про те, що бойовики «Ісламської держави» (терористичне угрупування, заборонена в ряді країн, у тому числі і в Росії) Телеграма використовують в своїх цілях, адміністрація сервісу видалила кілька десятків каналів ісламістів. При цьому при складанні рейтингу безпечних месенджерів експерти «Лабораторії Касперського» припустили, що виявлення екстремістського контенту допоміг той факт, що творці Телеграма мають можливість «читати» переписку.

«Самі розробники Телеграма, мабуть, -початок таки читати листування користувачів і видаляти небажані канали – поки тільки ті, які ніби як були пов’язані з тероризмом», – зазначалося в блозі компанії. Пізніше месенджер почав боротися з матеріалами, які порушують авторські права, а саме незаконним розміщенням фільмів, книг і аудіозаписів.
Зламати те що не зломлюється

Через те, що телеграма, як і безліч інших месенджерів, використовує для авторизації відправку повідомлень на номер телефону, отримати доступ до аккаунту і листуванні можна навіть не зламуючи MTProto. Справа в тому, що в основі такого способу передачі інформації лежить технологія сорокарічної давності Система сигналізації № 7 (SS7).

Хакери в теорії можуть перехопити повідомлення з кодом і отримати доступ до аккаунту. А завдяки тому, що телеграма зберігає всю історію звичайних повідомлень, зловмисникам це тільки на руку.

«Дірка» SS7 дозволяє, знаючи номер жертви, без праці ініціювати процедуру відновлення доступу до аккаунту, після чого перехопити повідомлення і встановити свій власний пароль.

Але з цієї вразливістю можуть зіткнутися в теорії будь-які сервіси – крім акаунтів Телеграма, WhatsApp і Facebook під загрозою можуть бути і «ВКонтакте», Twitter, Google і багато інших сервісів.

Шукайте деталі в групі Facebook