Как войти анонимно в Телеграм

Когда в 2011 году за Павлом Дуровым пришел спецназ хотя есть версия, что это инсценировка, он написал своему брату Николаю. И понял, что надежного способа обмениваться сообщениями у него, в общем-то, нет. 

Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках. 

Но даже сейчас, после тысяч багфиксов и улучшений, Telegram не гарантирует безопасность и конфиденциальность. И сквозное шифрование – не панацея. 

Как работает сквозное шифрование в Telegram

В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption). 

В общих чертах сквозное шифрование работает так.

У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.

Отправитель и получатель вместе генерируют общий секрет или эфемерный ключ. Каждый использует свой приватный ключ и оба публичных. В Telegram для этого взяли за основу алгоритм Диффи-Хеллмана. Общие ключи временные и перегенерируются автоматически, чтобы много похожих сообщений (смайликов, текста с одинаковыми метаданными) не шифровались одним и тем же ключом.

Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.

Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки – и у получателя. и ни у кого больше.

Схема работы алгоритма Диффи-Хеллмана. Алиса и Боб имеют по паре ключей – публичный и приватный. g и p – публичные ключи, А и В – приватные. mod – деление по модулю (остаток от деления), К – секрет, или эфемерный ключ.

Метод действительно мощный. Но… всё не так однозначно. 

Главное достоинство алгоритма Диффи-Хеллмана – возможность передавать открытые ключи и сообщения по публичным каналам. Но всё ломается, если хакер проведет активную MITM-атаку (атаку “человек посередине”) и подменит трафик. 

Что же с ключами для облачных чатов? Один ключ у пользователя, второй – в облаке. И теоретически “облачный” ключ можно выдать кому угодно. 

Увы, Telegram уже взламывали, причём демонстративно

Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт. 

Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало. 

ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома. 

Результат: хакер обошел двухфакторную авторизацию, получил доступ к секретным чатам со сквозным шифрованием, смог читать и отправлять сообщения в них. 

При этом реальный владелец аккаунта даже не видел, что его взломали.

А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись. 

В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем. 

Пароль любой длины в Telegram тоже можно обойти

Действительно, четырехзначный pin – не самая надежная защита аккаунта. Полноценный пароль надежнее. Но ne555 выяснил, что и он не спасает – существует схема обхода пароля любой длины. 

Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам. 

Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram. 

Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам. 

Серверы Telegram уже взламывали, причём публично

Ещё один Habr-пост – от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности. 

Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера. 

С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. Но если пойти дальше, можно было бы наворотить гораздо больше – научиться “ронять” серверы, вытаскивать логи падения и т.д. 

И вы можете попробовать заработать. Письма с багами можно отправлять на  [email protected]. 

Передаваемые через Telegram файлы уже перехватывали

В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно. 

Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать. 

Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа. 

Связи пользователей Telegram друг с другом тоже раскрывали

Ещё один скандал вокруг Telegram  разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.

Сачи заявил: Telegram использует базу данных SQLite для хранения сообщений. Прочитать её “в лоб” не получится, но имена и телефонные номера вполне можно проассоциировать друг с другом. 

Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных. 

У Telegram закрытый код, поэтому объективно проверить его безопасность не получается

Разработчики Telegram заявляют:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.

Но клиент работает через API и никак не взаимодействуя напрямую с “безопасными датацентрами”. Что происходит внутри этого черного ящика, неизвестно. 

К тому же эксперты не верят, что ключи шифрования собираются на лету при отправке и приеме каждого сообщения. Это как минимум вызвало бы определенные задержки, а Telegram, надо признать, работает очень быстро. 

Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др. 

Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть

Братья Дуровы считали MTProto настолько неуязвимым, что в 2013 году даже пообещали награду в 200 тыс. долларов за взлом этого протокола и чтение переписки между ними. В переписке содержался адрес, на который нужно было отправить письмо. 

Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов. 

Протокол в дальнейшем доработали и объявили новый конкурс. Модель возможной атаки расширили – например, разрешили выступать в роли сервера MTProto и менять пересылаемые данные. 

Но, по мнению экспертов, такие конкурсы – просто дешевая реклама. Они не позволяют доказать безопасности шифрования и вводят пользователей в заблуждение. 

Организаторы не дают известный или выбранный открытый текст, шифротекст, возможность вызова повтора и использование других традиционных тестовых методов. Фактически вы можете отправить только одно зашифрованное сообщение – этого явно мало для полноценной атаки.

Присланные отчеты анализируют случайные люди. К тому же 100-200 тыс. долларов – слишком мало, чтобы это было интересно командам опытных криптоаналитиков. 

Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации. 

Многие эксперты считают защиту в Telegram просто маркетингом

В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит  не проводили ни разу. 

Ещё один момент: что происходит, когда пользователь Telegram отправляет сообщения, а адресат не в сети? Вероятно, сообщения отправляются на серверы Telegram, объединенные в виртуальное облако. Они синхронизируются между собой. Как только адресат появится в сети, он получит сообщения. 

Таким образом, трафик в любом случае проходит через сервер. Хотя многие эксперты считают, что логичнее было бы установить соединение “клиент – клиент” – например, пиринговое (P2P). 

В результате получается, что связь в Telegram вообще не работает без постоянного использования серверов. В других мессенджерах есть более элегантные и безопасные решения – например, когда серверы задействуют только для сравнения текущих IP-адресов собеседников и организации  прямого соединения между ними. 

Также специалисты считают, что алгоритм Диффи-Хеллмана в Telegram специально ослаблен на уровне генератора псевдослучайных чисел. Эти числа не генерируются на вашем смартфоне или ПК – приложение запрашивает их с сервера. Как там организована генерация, знают только разработчики. 

Открытый исходный код клиента – ещё один большой вопрос. Более-менее регулярно обновляется только репозиторий десктопной версии, да и то она урезанная. Из чего собираются готовые дистрибутивы, оперативно проверить нельзя. 

Привязка к телефону – последний гвоздь в крышку гроба

Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.

Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их. 

Перехватив код, можно получить доступ к переписке в обычных чатах. Даже не придется ломать MTProto. Сервер автоматически сменит ключ и дешифрует недоставленные сообщения. И это как минимум! 

Ещё одна проблема — push-уведомления. Именно они оповещают о новых входящих без запуска мессенджера. Но сервер push-уведомлений – это фактически разрешенная вами атака «человека посередине». И такая ситуация во всех популярных мессенджерах. 

Что делать обычному пользователю Telegram?

Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас. 

Альтернатива Telegram – например, Signal. Его рекомендовали основатель WikiLeaks Джулиан Ассандж и экс-сотрудник АНБ и ЦР Эдвард Сноуден. 

Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram. 

Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др. И личные встречи в чистом поле без свидетелей. 

? Хочешь больше? Подпишись на наш Telegram. … и не забывай читать наш Facebook и Twitter ? iPhones.ru Разбираемся, что там на самом деле с безопасностью в Telegram. –>

Можно ли обеспечить абсолютную анонимность общения в современных условиях – этот вопрос стал еще более актуальным после разоблачений Сноудена. Именно на концепции безопасности решил сыграть Павел Дуров, который вместе со своим братом Николаем создал анонимный Телеграмм. По заявлению разработчиков данный мессенджер способен обеспечить защиту не только от рядовых злоумышленников, но и от действий государственных спецслужб. Но так ли это на самом деле? Попробуем разобраться ниже.

Основные параметры защиты информации

В основе приложения лежит собственная разработка – протокол MTProto, который предполагает применение нескольких протоколов шифрования. Для защиты данных используются следующие алгоритмы:

• DH-2048, RSA-2048 (для авторизации и аутентификации);
• AES (для пересылаемых сообщений);
• SHA-1, MD5 (криптографические хеш-алгоритмы).

В процессе передачи сообщений шифрование осуществляется посредством алгоритма AES с ключом, который известен клиенту и серверу. При этом защита от перехвата сообщений сервером реализуется только в специальном режиме анонимного Телеграмма – «Secret Charts» (секретный чат), где отправитель и получатель имеют общий ключ, известный только им. В отличие от стандартного режима, End-to-End шифрование исключает вероятность расшифровывания сообщений, а история переписки хранится только на устройствах клиентов.

Организация конкурсов для поиска уязвимостей

С момента выхода анонимного мессенджера в массы (август 2013 г.) его разработчики, в частности Павел Дуров, стали организовывать конкурсы среди экспертов криптографии с целью выявления уязвимостей.

Первый такой проект был организован в конце 2013 г. Перед участниками стояла задача расшифровать переписку Павла с братом, которая проводилась в секретном чате, используя для этого зашифрованные данные обмена между приложениями и сервером. Всего через несколько дней после старта конкурса один из участников обнаружил уязвимость системы. Она заключалась в том, что пользователь получал от сервера параметры для ключа без проверки. Такой баг снижал криптографическую стойкость и позволял провести скрытую MITM-атаку. И хотя расшифровку переписки между Павлом и Николаем произвести не удалось, была выплачена половина суммы гонорара — $100 тыс.

Несмотря на, казалось бы, открытость разработчиков к диалогу и стремление найти изъяны общими усилиями, многие специалисты скептически относятся к организации подобных конкурсов. Отсутствие победителей еще не гарантирует полную защищенность продукта, поскольку условия задаются разработчиком, а анализ производится зачастую случайными людьми. Кроме того, $200 тыс. призовых – это небольшая сумма для экспертов-криптографов, поэтому вероятность, что их лучшие представители принимают участие в таких конкурсах, достаточно мала.

Позволяет ли анонимный Телеграмм обеспечить полную безопасность общения

Главным аргументом противников данного приложения является привязка пользователя к номеру телефона. Может ли мессенджер считаться анонимным, если на сервере хранятся телефонные данные, по которым о человеке можно узнать практически все:

• ФИО;
• точные географические координаты;
• контакты;
• паспортные данные и т.д.

Аутентификация осуществляется посредством СМС, в котором указывается одноразовый код для подтверждения входа. Что настораживает еще больше – отсутствие пароля. То есть пользователю для авторизации достаточно ввести код из сообщения на телефоне. При множестве сложных алгоритмов шифрования элементарный пароль отсутствует. Таким образом, посредством перехвата СМС (что для спецслужб не является делом особой сложности), можно войти в аккаунт клиента.

Конечно, хранение информации на защищенных серверных площадках США предоставляет пользователям определенные гарантии. Однако сам факт того, что личная информация клиента может стать доступной третьему лицу противоречит идеи абсолютной анонимности. Кроме того, последние события в США, когда благодаря хакерской атаке была вскрыта почта кандидата в президенты Хиллари Клинтон, свидетельствует об уязвимости современных компьютерных систем безопасности.

Вывод

Без сомнения, Telegram обладает сложными алгоритмами шифрования, которые позволяют добиться высокого уровня защиты данных при общении в режиме секретного чата. Вместе с тем, привязка аккаунта к номеру телефона не позволяет говорить о стопроцентной безопасности, и что в результате атаки информация о клиенте не станет доступной третьим лицам.

В качестве итога: стоит ли пользоваться приложением? Для тех, кто хочет получить быстрый и удобный сервис с целью частного общения – это отличный вариант. Однако для людей с параноидальным настроением, которые хотят быть уверены в абсолютной защищенности переписки и персональных данных, Telegram не сможет Вам это гарантировать. Другое дело, что вряд ли какой-то другой мессенджер сегодня может предоставить подобные гарантии.

На сегодняшний день, некоторые пользователи привыкли общаться и находиться в сети Интернете анонимно. Т.к. Телеграм набирает многочисленные количества юзеров, многие задаются вопросом: «Анонимен ли телеграм?». Для того, чтобы дать ответ на этот вопрос, нам придется изучить безопасность и возможности популярного мессенджера.

Telegram messenger – самая популярная кроссплатформенная сеть, которая славится следующими параметрами:

1. Высокой скоростью передачи информацией – общайся и делись любыми типами файлов до 1 ГБ информации.
2. Большим количеством информации – присоединяйся к телеграмм-каналам, супер-группам и сообществам, используя Telegram на все 100!
3. Конфиденциальной безопасностью – переписывайтесь и не беспокойтесь за личные данные, находящиеся в телеграмм аккаунте

Как скрыть аккаунт в телеграмме?

Скрытый телеграмм – возможность общаться и использовать телеграм, без отображения вашего присутствия в сети. Далеко не каждый пользователь знает о том, как скрыть свое время нахождения в мессенджере.

Скрывать номер в телеграмме вам не придется, мессенджер сделает это за вас. Настройки в Telegram устроены так, что никто не увидит вашего номера телефона, кроме тех, у кого уже имеется ваш контакт. Но это не значит, что найти вас будет невозможно. Найти контакт, также можно через его @username. Для этого достаточно ввести имя пользователя в поисковую строку приложения или веб версии телеграмм онлайн.

Скрыть свое нахождение в онлайне возможно не только с помощью секретной функции веб телеграмма – “Режим инкогнито“, но и с помощью правильно настроенных параметров в разделе “Приватность и безопасность”.

Для того, чтобы вас никто не заметил в Телеграме, вы должны проделать следующие действия:

1. Войти (авторизоваться) в приложение или в Web telegram, после чего перейти к настройкам аккаунта.

2. Переходим в раздел “Конфиденциальность” – “Последняя активность”.

• Все.
  • Никто.
    • Мои контакты.

После выбора пользователей, чьи права вы хотите ограничить на просмотр вашего время посещения, вы можете добавить исключение. Сделать это вы можете кликнув по кнопке “Всегда показывать” и выбрав определенные контакты.Советуем вам изучить материал по настройке телеграмм аккаунта.

Для полной конфиденциальности, на пример, на работе где ваш компьютер могут контролировать сисадмины или когда невозможно установить приложение из за ограничений, вы можете войти в телеграм через браузер по адресу: https://web-telegramm.org

Главное: В конце рабочего дня выйти из телеграмм и почистить кеш компьютера чтобы не оставить следов активности.

Комментарии (2)ТЕЛЕГРАМ САЙТ:Вопросы и ответы про телеграмм ботовСкачать веб телеграмм онлайн на Андроид (Android)Сортировка чатов на категории в веб телеграммеВопросы и ответы официального сайта веб телеграммаТелеграм сбой и как с ним боротьсяМожно ли убрать номер телефона в телеграмм онлайн?Основные принципы работы телеграммВидео инструкция – как скрыть активность телеграмм аккаунтаКак скрыть номер в Телеграмм?

Телеграмм безопасность — очень волнующий раздел всех пользователей приложения. Мы расскажем все в одной статье о Telegram и его безопасности.  Читай быстрее!

Одним из самых важных критериев в пользу выбора приложения является безопасность пользователя и сохранение полученных им данных. Практически все программы и приложения, несмотря на высокую степень защиты, поддавались взлому – информация передавалась третьим лицам, а аккаунты использовались в качестве разносчика спама. Разработчики  предусмотрели возможность полного контроля над доступом к профилю, поэтому при создании приложения использовался секретный код, вскрыть который не предоставляется возможным. Разработчики доказали: Телеграмм = безопасность.

С момента выпуска приложения, с 2013 года, не было зафиксировано ни одного случая взлома мессенджера. Создатели программы, уверенные в сверхбезопасности своей разработки, создали конкурс – победитель получит десятки тысяч долларов, если получит доступ к чужому профилю и вскроет историю сообщений. Вдохновленные такой наградой, тысячи программистов-гениев пытались сделать это, но их попытки не увенчались успехом – можете представить уровень безопасности приложения Telegram? Все же, один человек отчасти совершил победу: тем не менее, историю сообщений он узнать не смог, а лишь нашел уязвимость в чатах. В итоге ему досталась лишь половина призовых денег, но Павел Дуров сделал «Ход конем» и пригласил этого программиста на работу в мессенджер.

Безопасен ли Телеграмм именно в РФ?

Это интересно: Telegram использует специальный протокол шифрования MTProto, который разработал Николай Дуров и команда программистов. Является на 2016 год одним из самых защищенных протолоков. Именно поэтому у Дурова возник конфликт с ФСБ в 2017 году у них просто не получалось прослушивать Телеграмм.

Как увеличить безопасность Телеграмма?

Несмотря на сильную безопасность, не стоит пренебрегать мерами предостережений – программа обладает высоким уровнем дополнительной защиты:

• Ни в коем случае не давайте телефон посторонним лицам, даже если вы уверены в них;
• Установите пароль на телефоне, и никому не сообщайте его;
• Не ограничивайтесь одним паролем – в настройках Telegram (раздел приватность и безопасность) установите двойной код доступа;
• Скройте свой номер телефона на главной странице профиля Telegram(напоминаем, что приложение предоставляет доступ к этой информации только для сохраненных контактов);
• Всегда завершайте начатые сеансы и выходите из своего профиля;
• Используйте самоуничтожающиеся и секретные чаты;
• Установите ограничения на предоставление доступа к информации, когда вы были в сети последний раз.

Реальные пользователи Telegram оставили весьма положительные отзывы о безопасности мессенджера. Прочитать их можно как и на главной странице Telegram в магазине приложений, так и посмотрев различные обзоры блоггеров.

Интересная особенность заключается в том, что помимо протокола шифрования MTProto пользователи могут настроить как двухэтапную авторизацию, так и самоуничтожающиеся сообщения и уничтожение учетной записи. Что ставит под сомнение любые попытки взлома, даже от ФСБ т.к. к моменту получения доступа (а это практически невозможно) либо переписка может быть уничтожена, либо аккаунт уже перестанет существовать! Все тоже самое касается и мессенджера Телеграм Х — безопасен, шифруется и можно уничтожить учетную запись.

Предоставление данных третьим лицам

Очень многие крупные компании и приложения признаются, что имеют доступ к аккаунтам пользователей, используют их данные и сохраненные файлы, объясняя это тем, что так легче узнать, чего не хватает программе. Многие пользователи крайне недовольны таким исходом событий. С Телеграммом вам не придется задаваться вопросом, сливает ли он данные ФСБ или третьим лицам – даже разработчики не имеют доступа к чужим данным профиля. В противостоянии с Телеграмм, ФСБ не раз требовали предоставить подобную информацию, однако ни разу требования ФСБ не были выполнены.

Безопасность Телеграмм или миф о прослушке

Еще одной немаловажной проблемой является возможность прослушивания данных ФСБ. Причин для паники нет: благодаря высокому уровню защиты и сильной кодировке данных Telegram, данные невозможно прослушать и передать мошенникам. Прежде чем задаться вопросом, можно ли прослушать данные, или нет, ознакомьтесь со статистикой пользователей: в число юзеров Telegram входят бизнесмены и известные политики, специальные службы и даже секретные группировки. Ни один из них не смог пожаловаться на плохую безопасность Телеграмма. Криптографический договор, установленный создателями приложения, обеспечивает дополнительный уровень защиты. Так что отвечая на вопрос, можно ли прослушать Телеграмм в РФ, ответ довольно однозначен — нет (или пока нет), даже если вы секретный агент ФСБ) Также, если программа регистрирует попытку взлома, она автоматически отправляет пользователю код подтверждения доступа, который, в свою очередь, также исключает возможность совершения взлома.

С другой же стороны, большинству пользователей на самом деле все равно прослушивается Телеграмм спецслужбами ФСБ или нет, ведь скрывать по сути нечего.

Используемые источники:

• https://www.iphones.ru/inotes/pochemu-telegram-ne-zashchitit-vashu-perepisku-10-09-2019
• https://ru.telegram-store.com/blog/anonimnyj-telegramm
• https://web-telegramm.org/telegramm/web/579-kak-voyti-anonimno-v-telegram.html
• https://telegramzy.ru/telegramm-bezopasnost/