direct

ЛК опубликовала рекомендации по безопасной работе в Telegram после ареста Дурова

  • Дата: 

«Лаборатория Касперского» подготовила подробный материал, посвящённый тому, что нужно (и не нужно) делать пользователям Telegram в связи с арестом его основателя.

На момент написания материала основателю Telegram Павлу Дурову предъявлено обвинение во Франции, но он еще не предстал перед судом. Юридические перспективы дела очень неочевидны, но интересом и паникой вокруг Telegram уже пользуются жулики, а по соцсетям ходят сомнительные советы о том, что делать с приложением и перепиской в нем. Пользователям Telegram нужно сохранять спокойствие и действовать, основываясь на своей специфике использования мессенджера и доступной фактической информации. Вот что можно порекомендовать уже сегодня.

Конфиденциальность переписки и «ключи от Telegram»

Если очень коротко, то большую часть переписки в Telegram нельзя считать конфиденциальной, и так было всегда. Если вы вели в Telegram конфиденциальную переписку без использования секретных чатов, считайте ее давно скомпрометированной, а также переместите дальнейшие приватные коммуникации в другой мессенджер, например, следуя этим рекомендациям.

Многие новостные каналы предполагают, что основная претензия к Дурову и Telegram — отказ сотрудничать с властями Франции и предоставить им «ключи от Telegram». Якобы у Дурова есть какие-то криптографические ключи, без которых невозможно читать переписку пользователей, а при наличии этих ключей — станет возможно. На практике мало кто знает, как устроена серверная часть Telegram, но из доступной информации известно, что основная часть переписки хранится на серверах в минимально зашифрованном виде, то есть ключи для расшифровки хранятся в той же инфраструктуре Telegram.

Создатели заявляют, что чаты хранятся в одной стране, а ключи их расшифровки — в другой, но насколько серьёзно это препятствие на практике, учитывая, что все серверы постоянно коммуницируют друг с другом, — не очевидно. Эта мера поможет против конфискации серверов одной страной, но и только. Стандартное для других мессенджеров (WhatsApp, Signal, даже Viber) сквозное шифрование называется в Telegram «секретным чатом», его довольно трудно найти в глубинах интерфейса, и оно доступно только для ручной активации в индивидуальной переписке. Все групповые чаты, все каналы, а также стандартная личная переписка лишены сквозного шифрования и могут быть прочитаны как минимум на серверах Telegram.

Более того, Telegram использует как для секретных чатов, так и для всего остального свой собственный и совсем не стандартный протокол MTProto, в котором не раз находили серьезные криптографические уязвимости. Поэтому переписку в Telegram гипотетически могут читать:

  • администраторы серверов Telegram;
  • злоумышленники, успешно взломавшие серверы Telegram и разместившие на них шпионское ПО;
  • третья сторона, получившая какой-то доступ от администраторов Telegram;
  • третья сторона, нашедшая криптографические уязвимости в протоколах Telegram и способная избранно или целиком читать как минимум «несекретные» чаты, перехватывая трафик части пользователей.

Удаление переписки

Некоторым категориям пользователей рекомендуют удалить в Telegram старую переписку, например служебную. Этот совет кажется спорным, потому что в базах данных (а переписка на сервере хранится в базах данных) строчки редко удаляются физически, они лишь отмечаются как удалённые. Более того, у Telegram, как и у любой крупной IT-инфраструктуры, теоретически должна быть развитая культура резервного копирования данных, поэтому «удалённые» сообщения сохранятся как минимум в резервных копиях баз данных. Возможно, более эффективным будет полное удаление чата обоими собеседниками (или администратором для групповых чатов), но вопрос резервных копий останется и в этом случае.

Резервное копирование переписки

Ряд наблюдателей высказывают опасение, что Telegram могут удалить из магазинов приложений, заблокировать или могут еще как-то нарушить его работу. Хотя этот сценарий кажется маловероятным, провести резервное копирование важной переписки, фотографий и документов будет хорошей идеей — ведь это часть грамотной цифровой гигиены.

Чтобы сохранить важную личную переписку, необходимо установить Telegram на компьютер (официальный клиент здесь), войти через это приложение в свой аккаунт, а затем в настройках настольного Telegram пройти по пути Настройки → Продвинутые настройки → Экспорт данных из Telegram.

В появившемся окне можно выбрать, какие именно данные нужно экспортировать (только личные чаты или групповые тоже, с фото и видео или без них), установить ограничения на размер скачиваемых файлов, а также выбрать формат данных — HTML, который можно посмотреть в любом браузере, или JSON для автоматизированной обработки сторонними приложениями.

После этого скачивание данных на компьютер может занять несколько часов и потребовать десятков или сотен гигабайт свободного места, в зависимости от интенсивности использования Telegram и настроек экспорта. Окно экспорта можно закрыть, главное, не выключать само приложение Telegram и не отключать компьютер от Интернета или питания.

Мы рекомендуем использовать только функцию резервного копирования из официального клиента.

«Защита от удаления Telegram» со смартфонов

Apple не удаляет приложения со смартфонов пользователей, даже если удаляет их из App Store, поэтому совет о защите Telegram от удаления является бесполезным. Более того, гуляющий по Сети рецепт «защиты» через меню «Экранное время» (Screen time) не защищает приложения от удаления со стороны Apple, а ограничивает удаление самим пользователем — эта функция относится к родительскому контролю. Арест Дурова отправил на новый круг старый слух об удалении Telegram, который официально опровергали и Apple, и Telegram в 2021 году.

В Android также нет практики удаления приложений со стороны Google, не считая 100-процентного вредоносного ПО. Правда, дать такие гарантии для всех держателей собственных экосистем (Samsung, Xiaomi и так далее) нельзя — но на Android приложение легко установить и напрямую с сайта Telegram.

Альтернативные клиенты

Для Telegram действительно существуют неофициальные, но работоспособные и легальные клиенты, и даже «официальный альтернативный клиент» Telegram X. У всех этих клиентов есть нечто общее — они используют API Telegram, но дают ли они при этом дополнительные преимущества и дополнительный уровень безопасности переписки, сказать нельзя. Топ-5 альтернативных клиентов из Google Play под «улучшенной безопасностью» понимают функции вроде скрытия части чатов на устройстве.

Разумеется, под видом «альтернативного клиента Telegram» можно скачать и вредоносное приложение — мошенники вовсю пользуются популярностью мессенджера. Если вы интересуетесь альтернативными клиентами, тщательно соблюдайте общие советы по безопасной установке приложений:

  • скачивайте их только из официальных магазинов приложений;
  • убедитесь, что скачиваемое приложение существует давно, имеет высокий рейтинг и большое количество загрузок;
  • пользуйтесь надежной защитой от вредоносного ПО на всех платформах.

Сбор на помощь Дурову и защиту свободы слова

Эта тема не относится напрямую к переписке в Telegram, но не менее важно знать, что под видом различных сборов пожертвований на юридическую помощь Павлу Дурову мошенники выманивают платёжные данные или переводы в криптовалюте. Получив подобные предложения, отнеситесь к ним с максимальной подозрительностью и проверьте, действительно ли существует заявленная организация и ведет ли она такую кампанию прямо сейчас.