Решил сделать сводку известного о телеграме, чтобы иллюзия безопастности полностью изчезла.

Все данные взяты из разных тем разных форумов, и твиттов известных людей.

Надеюсь кому-то будет интересно.

1) Основатель мессенджера Signal Мокси Марлинспайк (Moxie Marlinspike)

раскритиковал Telegram, заявив о том, что сервис по умолчанию хранит все

сообщения и данные пользователей в незашифрованном виде. Также глава

мессенджера отметил, что WhatsApp предлагает большую конфиденциальность,

чем Telegram.

Марлинспайк резко отозвался о безопасности и конфиденциальности Telegram, сделав заявление в своем

Twitter-аккаунте. Он подчеркнул, что все сообщения, контакты и данные пользователей по умолчанию

хранятся на серверах Telegram в исходной форме и вообще никак не шифруются. Этот факт, по его мению,

ставит под сомнения безопасность мессенджера, так как сотрудники компании и хакеры могут без труда получить

всю необходимую информацию о пользователе.
Для того, чтобы самостоятельно убедиться в этом, Марлинспайк предложил провести эксперимент — удалить

приложение Telegram, установить его на новое устройство и пройти авторизацию. В этом случае пользователь

увидит историю своих звонков, контакты, чаты, сообщения и медиафайлы в том же виде, в котором они были на

прошлом устройстве. По словам основателя Signal, это указывает на то, что все эти данные хранятся в открытом виде.
Марлинспайк отметил, что WhatsApp и Facebook Messenger по умолчанию предлагают сквозное шифрование для всех

данных и сообщений, но при этом «‎никто не называет их зашифрованными мессенджерами». Глава Signal упомянул и

функцию секретных чатов в Telegram, но по его мнению, пользователи могут забыть создать секретный чат и тогда их

переписка может быть скомпрометирована.
Помимо этого, Марлинспайк выдвинул минимальные требования для того, чтобы мессенджер можно было назвать

«‎зашифрованным» — ко всем сообщениям и пользовательским данным по умолчанию должен применяться алгоритм сквозного

шифрования.

2) В сети продают бота, который находит все чаты в которых состоит пользователь

(подробности работы бота продажники не раскрывают).

3) так же существуют мануалы по деанону в тг (работоспособность не протестирована)

вот один из таких мануалов- https://anonfiles.com/j9Z075R5u4/_TG_pdf (в мануале затронута система записи данных)

Вот такой расклад, думаю не стоит рачитывать на безопастность в тг, но и удалять

месседжер тоже не стоит. Ведь главное делать всё тихо, а поговорить о делах

можно и в джабере.

До скорого)

Перефразирую:

Я собрал все слухи в Интернете про телеграм, чтобы иллюзия безопастности полностью изчезла.

Если бы вы проверили хотя бы один слух, то было бы более убедительно.

я ещё учусь)

Боты есть, это осинт в чистом виде. Просто многие админы чатов добавляют антиспам ботов не понимая кто за этими бесплатными ботами стоит, в итоге эти боты парсят участников группы и его владелец наполняет свою базу, какой пользователь (ник/id) в каких группах состоит, а потом продает.

Больше всего меня смущает история с финансированием от РФ через прокси - арабский фонд, тогда информация просочилась от властей, на что Дуров истерично кричал что никаких инвестиций от РФ не приминал и договоренностей с властями не имеет.

Факты говорят об обратном, 90% от оборота этого арабского фонда приходится на российскую компанию в совете директоров которой ранее состоял экс-зять ВВП.

Напрашивается вывод, что власти не врали сообщив о неких успешных договоренностях с Дуровым, как раз после крупного транша ему в Дубаи.

Помимо перечисленного доводы против использования сего поделия для передачи чувствительной информации из того, что помню:
— Необходимость наличия MSISDN, сообщения которого легко перехватываются фемтосотой или опсосом
— Не работающий скомпилированный из последних исходников клиент (не проверял)
— Отсутствие аудита самописного “шифрования”
— Арест участников групп в Гонконге
— Свидетельства от соседей по шконке о фигурировании в судопроизводствах баронов “секретных” переписок из этого мессенджера (бароны с яббером+омемо пока не фигурируют)
— Автор внезапно расплатился с долгами и убежал из США

Из доводов за использование, говорят удобство, ну а мне пока яббера хватает.

Чтобы подключить своего клиента (скомпилированный не равно дистрибутив) к ТГ нужно иметь ключи, которые нужно получать в ТГ через клиента с ключами и аккаунтом.

В этом смысле ТГ никогда не был FOSS.

Параметры для обмена ключами, для секретных чатов, выдаются сервером, через который идет обмен. Это обнуляет любой аудит.

Впрочем, блокировка ТГ в РФ вполне реальна. Потому что этим всегда мало, а коготок давно увяз. Если кто забыл, ТГ – ОРИ.

Инсайдер Телеграм

Ещё один довод против использования подъехал, подождём суда.

Вы про это?

Суть обвинений сводтся к тому, что Telegram не сливает своих пользовтелей.

Посмотрим, может ещё что-нибудь вскроется.

ну, в 1 посте описано почему это неправда

Павел Дуров задержан во Франции Ему могут предъявить обвинения по тяжким статьям из-за отказа модерировать контент в Telegram: французские линуксоиды удовлетворённо читают заголовок этой новости за чашкой чая.

tf1info.fr:
Действительно, Telegram — это улей криминального контента
За долгие годы он стал платформой номер 1 для организованной преступности

Вот такую репутацию Telegram имеет на Западе. Никто не знает про противодействие блокировкам при митингах в Беларуси и России.

Сервис защищённых сообщений

Миф, созданный Telegram. Защищённый не по умолчанию, только на нескольких платформах.

Дуров знал, что в стране он «персона нон грата», он мало путешествовал по Европе и избегал государств, где работа Telegram находится под наблюдением силовиков. «Сегодня он совершил ошибку. Мы не знаем почему», — добавил источник журналистов.

А вот это странно. Решил сделать из себя публичную жертву в предверии каких-то событий?..

Я думаю что это маркетинговый ход, на фоне блокировок телеги в России Дуров сделал шаг конём, чтоб привлечь к себе больше пользователей из Европы

Не думаю, учитывая какая там ЦА.

Попробуем немного разобраться:
В telegram большинство чатов нешифрованные, но сами владельцы неохотно контактируют с властями в раскрытии этих данных.
Чаты бывают одиночные (друг с другом) и групповые (в том числе каналы, где, например, сми распространяют новости).
Одиночные чаты зашифрованы и лучше зашифрованы (e2e) в whatsapp и signal.
Приватность это когда два известных человека разговаривают неизвестно о чём, анонимность это когда неизвестно кто с кем разговаривает (причём, анонимность может быть без приватности, например уличные графити).
Оппозиционные политические каналы действительно лучше иметь в telegram, т.к. групповые чаты там лучше развиты, чем в whatsapp и signal.
В telegram есть пункты пожаловаться на сообщение в групповом чате. И модераторы действительно удаляют, но далеко не всё, более лояльны к расизму и такому, что не любят в европе. Кстати, модераторы вроде бы волонтёры. А до тех. поддержки действительно нереально достучаться.
Несмотря на e2e в android версии whatsapp предположительно правительство сша встраивает бэкдоры, но ясно, что это для ловли крупной рыбы. В остальном, в whatsapp есть приватность, но нет анонимности (метаданные сливаются), signal гораздо лучше.

Ещё можно заметить, что на западе решили обеспечивать приватность end-to-end (e2e) шифрованием (что менее удобно при синхронизации), а у нас (в telegram) “пуленепробиваемой” оффшорной политикой и юрисдикцией.

В общем, telegram [предположительно] анонимный, полуприватный. Для властей, по крайней мере.
whatsapp приватный, но не анонимный.
signal приватный и анонимный, вроде как (несмотря на требование номера телефона, там есть какие-то хитрости, чтобы пользователи оставались анонимными, даже если это и на честном слове). На него не возбудились, потому что на западе им пользуются и обычные люди, даже Маск.
Такие дела.

Неанонимность это утечка метаданных (кто с кем общается, даже если неизвестно о чём, у кого какие IP, номер телефона). Слив этих данных тоже неприятен. А также может быть вскрыт сам девайс у собеседника.

А как gnupg вписывается во всю эту e2ee картину в чатах? Даже если допустим чат весь сливается, то gpg сообщение все равно будет зашифровано. В интервью я видел что какие-то группировки что переписываются на украине говорили что они юзают gpg для коммуникаций, а если даже боевики это используют, то может действительно есть в этом смысл? Может ли сам телефон слить приватный ключ gpg если там бэкдоры постоянно сканируют устройство при подключение к сети?

И раз такая тема то еще спрошу про сервисы\мессенджеры в россии. Закон о приземление как бы не намекает про то что e2ee вообще до одного места? Если сервера кэшурутся в россии, то любой силовик может их просматривать когда ему нужно получается?

Я не слышал о таком. Какой-то сторонний pgp (например, в неофициальных клиентах, типа Pidgin) поверх нешифрованных чатов Telegram?
Тогда текст сообщений не расшировать, если только устройство не будет захвачено.
Но метаданные (кто, с кем, IP сливаются на сервер Telegram).
Официальные секретные чаты тоже безопасны, вроде как. Но они только на смартфонах, а также в Mac OS.

В noname телефонах может быть всякое, но я сомневаюсь, что это массово практикуется.

Если e2e есть, то оно есть. Не важно где проходит трафик. Он шифруется у отправителя и расшифровывается у получателя. Сервер видит только “мусор”. Как в зашифрованных чатах Telegram, Whatsapp.
Мессенджеры без e2e (VK, например) сливают переписку.
Если популярные e2e мессенджеры ещё работают в России, то опять же, потому что их доля очень высока. А малопопулярные Signal, Session у нас недавно как раз заблокировали.

Кстати, о задержании, смотрю сейчас разное. Как же опп. СМИ брызгают желчью, комментируя происходящее. Кто ещё пропагадисты вопрос. Либералы традиционно осуждают то, что защищает Россия. Несмотря на то, что здесь есть внутреннее противостояние, ведь Telegram дал им свободу.

Я думаю, Россия заставила Дурова (может быть, шантажом) попасться в руки французам, что разогреть новость, что он слил им ключи шифрования и Telegram теперь небезопасен - дескать, давайте минимизируем его использование. В след за ютубом прикроется последняя популярная независимая площадка… Печально это видеть, конечно.
Ох, что-то нас ждёт. Такие приготовления…

Пишут о том что Дуров был в рф довольно долго, даже после блокировки и когда у него в рф просили ключи, так что пора уходить с платформы Telegram: Contact @istories_media Не рекламы ради, а как пример новости.

Пока шансы что телеграм сотрудничал с ФСБ гораздо больше чем то что он сотрудничал с США или Европейскими странами, поэтому неудивительно что Россия пытается его обратно вернуть к себе на родину.
Вопрос лишь в том сольётся ли Дуров со всех сторон.

миф о отсутствии цензуры и свободы в тг должен быть развеян

С Дуровым и его телеграмом было все понятно уже очень давно.
Переходите на MATRIX

Что именно вы пытаетесь скрыть и от кого?

matrix - это metadata disaster

пришли мне доступ к своему аккаунту тг. я посмотрю и сразу выйду (с)

Объясните цель своего вопроса? Вы живете в мире розовых пони? Двери закрываете? Государство хотело получить все данные о гражданах, теперь все эти данные может купить любой мошеннник и террорист.
Это называется цифровая гигиена. Мне скрывать нечего, но я не хочу чтобы каждый обрыган имел доступк к моим мыслям и данным, а потом использовал это против меня и моих близких. Я уже не говорю про целые манипулятивные медия и психо компании и вбросы основанные страхах и желаниях людей. Я скрываю от всех, кто не мой личный круг общения. Нарратив “вам есть что скрывать” уже поднадоел и уже ни никого не работает.

ну мета это не так страшно, если что можно поднять свой закрытый сервер.
вот телеграм это реально катастрофа, просто любое тело с доступом может как у себя дома рассхаживать по вашим личным чатам и продать что нибудь интересное.

Задайте такой вопрос РКН

Сказало тело без стандартной формы имени и без номера паспорта в названии аккаунта.

Любой сервер если он не на вашем компе, то он уже не безопасен. Любой смартфон если не перепрошит то он не безопасен. Любая винда если не ручной работы, то она не безопасна. Любой роутер со стандартной прошивкой имеет бэктор. Так что я не понимаю о чём тут идёт дискуссия, а какой безопасности вообще идёт речь

С братом уже много лет используем Matrix в личном чате. Но сторонние клиенты (в основном Quaternion и Fractal) без e2e шифрования, чтобы было удобно (т.к. по опыту e2e шифрование страшный гемор при синхронизации, я на этом собаку съел). Это несколько нетривиально создать личный чат нешифрованным, но возможно. Для этого его надо создать в клиентах без поддержки шифрования, а потом уже можно использовать хоть где (хоть в официальном Element, который я иногда использую для заливки файлов, т.к. оно там менее глючное, главное, шифрование потом не включать).
Это довольно удобно, т.к. есть серверная история, файлы, фотки.
Кто-то скажет, а как же безопасность? Ну, я доверяю matrix.org больше, чем РФ софту и больше, чем Telegram. Нам важнее удобство. Хотя, один раз мой аккаунт matrix.org даже банили за действия в публичных каналах, но это я сам виноват. Так что, осторожнее.

В Matrix есть публичные комнаты (групповые чаты), в основном зарубежные. Некоторые шифрованные. Но я давно ими не пользуюсь.

Что касается Telegram, вот что я нашёл https://www.wired.com/story/the-kremlin-has-entered-the-chat/
В кратце: в Telegram есть богатое API для слежки. Telegram убыточен и его спонсирует ВТБ. Ссылка отсюда.

Я так и непонял в чем проблема с ключами, там же можно хранить фразу как от битка. У матрицы с клиентами единственное беда, зоопарк в разработках. FluffyChat более менее. Взяли бы форкнули клиенты того же телеграма и сигнала, чтобы поппривычнее.

Мы пытаемся приблизится как можно ближе к абсолютной приватности и безопасности. Как с болезнями - мы стараемся не болеть и потому соблюдаем правила гигиены, также и тут - обезопасить себя в сети, иметь тайну переписки это обязанность чтобы выжить и наше право. Никого не касается то что я пишу, кроме человека/людей которым я это пишу. Стремитесь защитить себя как можно лучше.

Пример из личной жизни, моя мать за последние три года чуть не стала жертвой мошенников по телефону и ватсапу несколько раз. Мошенники знали о ней буквально все, если бы не я, она бы осталась без последней копейки и с кредитами. Таких примеров тысячи! Защищайте себя и свои данные !

Экспериментатор 80 lvl. То есть если ты дашь мне файл на хранение, я его зашифрую и буду хранить один год в зашифрованном виде, потом ты потребуешь залить его тебе, я его расшифровываю, заливаю на твой сервер, ты делаешь вывод что файл 100% хранился расшифрованным?

Очередные набросы уровня мамкиных хакеров.

Кому должен, тому прощает.
То что в тг цензуры меньше чем в любом другом централизованном мессенджере отрицать глупо. Если заблокировали твой васянский канал из сотни тысяч аналогичных это не значит что там запредельная цензура.

Автор топика не делает вывод, а лишь скопировал другие комментарии из интернетов. К вопросу NP сложности получения содержимого криптоконтейнера необходимо подходить пессимистично, если нет убедительных доводов в её пользу. Я, например, не видел шифрования на стороне сервера в корпоративных продуктах, кроме как какого-нибудь HMAC пароля, это бесмысленая нагрузка на сервер.

Создание голословного реноме “безопасности” для меня является маркером honeypot.

А я где то утверждаю обратное?

Но в цитате утверждается что шифрования нет и предлагается даже эксперимент что бы проверить это.
Если ты считаешь что шифровать это бессмысленная нагрузка это не является 100% гарантией доказательства того что в тг данные на серверах не шифруются, типичное когнитивное искажение, проецируешь свои предположения как свершившийся факт.

Свершившиеся факты я не писал, я не знаю что там происходит; а любой другой может верить, что шифрует, для меня же нет убедительных доводов так считать, поэтому принимаю решение не доверять.

Вот, это правильное заключиение. У меня вопрос был лишь к той цитате и я привел контр пример из которого становится ясно что эксперимент по проверки того факта шифруются ли данные пользователей на серверах тг не выдерживает простого логического осмысления.
Просто странно что никто этого не заметил.

Ну так вот и надо говорить что это ВЕРА, как в бога, кто-то верит в бога, кто-то что телеграм работает с ФСБ. Конкретных фактов существование первого или второго я не видел, может кто подскажет.

По теореме Гёделя о неполноте любая система теорем не может доказать сама себя, в начале любой цепочке доказательств будут аксиомы, которые принимаются на веру. Я верю что решением парадокса линейной регресии является первопричина, для существования которой нет причин (отсюда вытекает концепт несозданности).

Шифруется, но вопрос каким шифрованием. Транспортным или шифрованием дисковой системы. Мокси видимо имел в виду end-to-end, которое единственное прозрачное для пользователя.

Ну там же ясно написано:

заявив о том, что сервис по умолчанию хранит все сообщения и данные пользователей в незашифрованном виде.

Хранит, а не передает. То что передача зашифрована вроде бы ни у кого из здравомыслящих не вызывает сомнения.

В свете свежего поста Дурова [1].

Privacy Policy

Было [2]

8.3. Law Enforcement Authorities
If Telegram receives a court order that confirms you’re a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.

Стало [3]

8.3. Law Enforcement Authorities
If Telegram receives a valid order from the relevant judicial authorities that confirms you’re a suspect in a case involving criminal activities that violate the Telegram Terms of Service, we will perform a legal analysis of the request and may disclose your IP address and phone number to the relevant authorities. If any data is shared, we will include such occurrences in a quarterly transparency report published at: https://t.me/transparency.

Раскрытие IP-адреса теперь не только для террористов. Но для кого? Ссылаются на ToS. Смотрим его.

Terms of Service

Было [4], стало [5].

By signing up for Telegram, you accept our Privacy Policy and agree not to:
Use our service to send spam or scam users.
Promote violence on publicly viewable Telegram channels, bots, etc.
Post illegal pornographic content on publicly viewable Telegram channels, bots, etc.
Engage in activities that are recognized as illegal in the majority of countries. This includes child abuse, selling or offering illegal goods and services (drugs, firearms, forged documents), etc.

Выделенного текста два дня назад не было. В “etc” самая мякотка.

Все изменения сегодняшние.

[1] Telegram: Contact @durov
[2] https://web.archive.org/web/20240923034057/https://telegram.org/privacy
[3] https://web.archive.org/web/20240923154330/https://telegram.org/privacy
[4] Terms of Service
[5] Terms of Service

offering illegal goods and services

В россии продавать впн это illegal services именно и есть этот et cetera. В китае я слышал есть некие брокеры которые сами настраивают сервера и потом продают местным кластерам, может в россии вот эти etc к этому потом и приведут. Все это так называемый фундамент и мы это уже видели про защиту детей. Все эти ваши боты в телеги с генерируемыми конфигами и мостами к этому приводят

Про Telegram не упоминается почему-то

Потому-что давно уже “секретные” и “удаленные” чаты читают. Предполагаю, он изначально создавался как honeypot.

Что его туда вносить, с Телеграм и так давно уже все понятно, особенно после каминг-аута руководства.

Переписку из секретных чатов (про остальные не говорим, и так понятно) можно получить не только сливом с сервера. Можно захватить контакта и посмотреть в его смартфоне, где всё расшифровано (ключ он даст). Это самый распространённый способ.

Такой способ работает с любым мессенджером. Но если секретные чаты удалены, то доступ не восстановить.

Мне больше интересно, как децентрализованные мессенджеры будут хранить и передавать переписку спецслужбам…

Да очень просто, ИИ будет работать по ключевым словам и сливать кому надо

“Договорились с телеграмом”

телега теперь это дыра, людей вычисляют на раз