Колишній техдиректор VK судиться з Дурова. При чому тут безпеку Telegram?

1. І ВСЕ З ЦИМ ЗГОДНІ?
2. У ЧОМУ СУТЬ ЦЬОГО КОНФЛІКТУ?
3. ... І ПРИ ЧОМУ ТУТ БЕЗПЕКА?

ЧОМУ TELEGRAM ВВАЖАЄТЬСЯ САМИМ БЕЗПЕЧНИМ месенджер?

З року в рік профільні портали складають топи найбезпечніших сервісів для обміну повідомленнями. Звичайно ж, мається на увазі не державна безпека з її всевидячим оком Великого Брата або товариша майора, а безпеку особистого листування. (Це закономірно призводить до того, що найбільш захищені месенджери користуються підвищеною популярністю в злочинному середовищі - будь то продавці заборонених речовин або осередку ІГІЛ).

До 2014 року в числі "най-най" називали WhatsApp. Але коли це додаток купив Facebook - разом з даними про його користувачів - кандидатом на звання найбільш безпечного месенджера став Telegram. "Телеграм" - це дітище росіян Павла і Миколи Дурових, засновників "ВКонтакте". Однак на сайті програми, який переведений на 8 мов (російської серед них немає), окремо підкреслюється, що Telegram "ні юридично, ні фізично" не має відношення до РФ.

У Telegram навіть стандартні чати захищені складним протоколом шифрування MTProto (спочатку додаток взагалі було заявлено як майданчик для його тестування). У грудні 2013 року молодший з братів - Павло Дуров - запропонував $ 200 тис. За злом своєї листування в Telegram. Уразливість знайдена була.

ЧИТАЙТЕ ТАКОЖ
Як зберегти ваші файли в безпеці. Поради від "Літер"

Листування зі стандартних чатів зберігається на серверах і може бути відновлена ​​учасником після входу з іншого пристрою або видалення програми. Але є і секретні чати з end-to-end шифруванням, в яких користувачі отримують оповіщення навіть про те, що хтось зробив скріншот листування, а резервне копіювання в принципі не передбачено: повідомлення видаляються раз і назавжди, причому у всіх учасників.

І ще один важливий момент. В FAQ додатки стверджується, ніби дякуючи структурі безпеки Telegram "ніякий уряд (а) не зможе / не зможуть втрутитися в приватне життя людей (які мають Telegram - ред.) І їх свободу самовираження". Сама компанія модерує тільки публічний контент - стікери, канали і ботів, - і хоча її керівництво визнає, що при глобальній загрозі може "злити" дані спецслужбам, на сайті стверджується, що до цього дня вони не отримали від Telegram ні байта.

Те, що секретні чати "не є частиною хмари Telegram і можуть бути доступні лише з пристрою, через яке був спочатку виконаний вхід", начебто мало б означати, що співробітники компанії навіть теоретично не мають до них доступу

Це частково підтверджується одним з твітів з офіційного аккаунта Telegram:

- Telegram, ви звичайно прекрасні. Але є величезне питання: наскільки ймовірно, що Агентство нацбезпеки (АНБ) може читати секретні чати?
- Ніхто точно не знає, що є в їх (АНБ - ред.) Розпорядженні, але ми ось не змогли б читати секретні чати, навіть якби сильно захотіли

Твердження про те, що "ніхто, будь то персонал (Telegram) або зловмисник, не зможе отримати доступ до призначених для користувача даних", проговорюється тільки на неофіційному російськомовному сайті програми.

Як би там не було, практично з моменту створення Telegram ЗМІ рясніють заголовками про те, що він - найбезпечніший месенджер.

І ВСЕ З ЦИМ ЗГОДНІ?

Зовсім ні. У середовищі технічних фахівців популярна думка, що Telegram лише позиціонується як найбезпечніший сервіс, на ділі таким не будучи. У відповідному рейтингу Amnesty International за 2016 рік месенджер посів третю сходинку (найбезпечнішими були визнані продукти Facebook Messenger і WhatsApp , А друге місце посіли "еппловскій" iMessage і FaceTime). У 2015 році під твітів про слабкі місця Telegram підписався Едвард Сноуден:

"Я поважаю Павла Дурова, але [фахівець з інформаційної безпеки Томас] Птачек прав: настройки Telegram за замовчуванням небезпечні. Без великого оновлення він небезпечний"

Головним недоліком месенджера критики майже одноголосно називають те, що чати не є "секретними" за замовчуванням. Питанню "Чому б не зробити секретними все чати?" присвячений окремий пункт FAQ'а Telegram, де пояснюється, що будь-якому популярному месенджер необхідний механізм відновлення даних, а в парадигмі end-to-end шифрування це важко реалізувати.

Останнім часом суперечки про технічну сторону питання дещо вщухли, і в широких колах користування тим чи іншим додатком залишається справою смаку. Але через нещодавній конфлікт "батьків-засновників" Telegram з їх колишнім колегою є сенс згадати колишні переживання.

У ЧОМУ СУТЬ ЦЬОГО КОНФЛІКТУ?

18 вересня Антон Розенберг, який назвався колишнім технічним директором VK, опублікував історію своїх взаємин з братами Дуров. Його розповідь починається здалеку - зі шкільної дружби з Миколою Дурова, спільних поїздок на математичні олімпіади, а згодом і спільних авантюр на зразок перевезення серверів VK з Лондона "повз митниці без документів". Як добротний роман виховання, історія приходить до похмурої кульмінації - Микола Дуров почав задивлятися на дівчину Розенберга; той обурився і був звільнений; після чого звернувся до суду через незаконне звільнення. У відповідь Дурови нібито подали проти Розенберга позов про розголошення комерційної таємниці і вимагають з нього 100 млн рублів компенсації. (Сам Павло Дуров заперечує той факт, що Розенберг займав пост технічного директора VK, і натякає, що той психічно нездоровий).

За словами Розенберга, комерційною таємницею його колишні роботодавці визнали зазначений ним у Facebook місце роботи (компанію "ВКонтакте") і надані суду скріншоти листування. Але найбільш примітним в оповіданні колишнього топ-менеджера є не це, та не перераховані Розенбергом багатства Павла ( "Майбах", шикарна квартира, можливість орендувати літак або середньовічний замок) або дивацтва Миколи (який "вважає себе котом"), - і навіть не натяки на податкову неохайність братів. Якщо прийняти розповідь Розенберга за чисту монету, то самий примітний епізод в ньому - загадкова пропажа листування.

... І ПРИ ЧОМУ ТУТ БЕЗПЕКА?

За словами Розенберга, коли розгорівся конфлікт з Дурова, він виявив, що його листування в Telegram з моменту реєстрації в 2013 році по 14 лютого 2017 року видалена. "Вилучена вона була тільки на сервері, так як повідомлення, закешовану у мене в телефоні, нікуди не поділися", - пише він.

Розенберг стверджує, що написав офіційну заяву з проханням провести перевірку, оскільки запідозрив, що мав місце несанкціонований доступ до його особистому листуванні. "Забігаючи вперед, ніяких відповідей, усних або письмових, я так і не отримав - але через годину після того, як я вручив ці заяви директору, Павло Дуров прокоментував моє повідомлення в суспільну групу, назвавши все, що відбулося невеликим технічним збоєм і пообіцявши, що історія листування повернеться після нічної переиндексации. [...] На наступний ранок історія листування дійсно повернулася. Зате завдяки цій комбінації я зміг отримати деяку корисну інформацію, остаточно переконав мене, що ніякого бага не було, а за всією цією істо рией стояв Микола Дуров ", - пояснює Розенберг.

За його словами, саме Микола Дуров є автором движка text-engine, що дозволяє зробити запит delete_first_messages ( "видалити перші N повідомлень користувача"). У штатному режимі ця функція використовувалася автоматично для очищення пам'яті, щоб відображався тільки останній мільйон повідомлень. Розенберг же каже, що в його випадку повідомлень було тільки 300 тисяч, так що про автоматичне скидання мови не йшло.

Якщо історія листування нештатно зникає і відновлюється, легко слідом за Антоном припустити, що хтось навмисне робив маніпуляції з його членством. Тобто як мінімум одна людина (яким, згідно викладеної версії, був Микола Дуров) мав доступ до чужих повідомленнями. Що знають двоє, знає і свиня; якщо один неохайний співробітник готовий скомпрометувати безпеку клієнта - виникають питання до всієї компанії. Але у випадку з Telegram виникає ще й питання, чому взагалі у співробітника є інструменти доступу до "надійно зашифрованим" логам.

Плюс до всього Розенберг опублікував скріншоти, з яких випливає, що в офіс ТОВ "Телеграф" (юридична особа Telegram) за відбитками пальців могли проходити люди, вже не працювали в цій компанії або в VK. А у співробітників VK більше року був доступ в офіс "Телеграфа"; "Багато хто з них, особливо нові, навіть не підозрювали, що це не їхній офіс", - пише Розенберг.

Так що з одного боку йдеться про якусь розслабленості (і навіть недолугості), помилково асоціюється з культурою Силіконової долини, а з іншого - про навмисне втручання в дані користувача. Розенберг описує Миколи Дурова, згадуючи його "байдужість до колег, цинічність до людей, байдужість до тварин", тобто як класичного социопата. А в психіатрії це означає не тільки байдужість до почуттів інших людей і зневага соціальними обов'язками, а й нездатність відчувати почуття провини. Теоретично така людина може скористатися чужими даними заради власної вигоди або морального задоволення. Якщо Микола зробив це, знаючи репутацію Розенберга як "головного ревнителя безпеки" (яким себе називає сам Розенберг), а Павло підтримав його звільнення, то ситуація ще сумніша - виходить, що з дрібної мстивості Дурови були готові не тільки винести приватний конфлікт у публічну площину , а й поставити під загрозу репутацію "безпечного" месенджера. Адже ревнитель безпеки обов'язково помітить підступ і може заявити про нього привселюдно! Виходить, що бізнесмени байдужі не тільки до безпеки клієнтських даних, але і до власного бізнесу.

Але тоді на місці Розенберга може виявитися будь-який інший користувач Telegram. А раз сама можливість втручання існує, то і на місці Дурова - теоретично - може виявитися будь-який інший співробітник "Телеграфа".

Підписуйтесь на # Букви в Telegram і Viber . Найважливіші і свіжі новини - ви дізнаєтеся першими!