Небезпечний для життя Telegram

Костянтин Корсун

Усі, хто мене почитує, знають, що я лютий супротивник Телеграму. Прибічники ж Телеги намагаються аргументувати: «Якщо Телеграм використовується рашистськими спецслужбами – де докази? Покажи приклади? Хто постраждав від цього?».

Ось розказую.

Видання The Washington Post 18 листопада 2022 опублікувало історію про херсонських партизан, у тому числі про українця Ігоря.

Ігор активно допомагав силам спеціальних операцій України в окупованому Херсоні: передавав координати та локації ворожих позицій, складів, артилерії, бронетехніки. Його зв’язковим був український офіцер з позивним Smoke, який знаходився у підконтрольному Миколаєві.

Але сталося так, що окупанти спіймали Ігоря, 11 днів катували та ледь на вбили.

У його смартфоні свинособаки знайшли переписку у Телеграмі між ним та Smoke. Щоб продовжити шпигунську гру та виявити мережу українського підпілля, Ігоря випустили, але під страхом смерті зобов’язали пересилати їм усі скриншоти переписки зі Смоуком. При цьому попередили, що будуть моніторити їхнє листування. Але Ігорю вдалося попередити Смоука, що він працює під примусом, завдяки завчасним домовленостям про певні «сигнальні» слова у повідомленнях.

Цим моментом – як русня використовує Телеграм для слідкування за українцями – зацікавилося видання PwnAllTheThings. І виявили вкрай небезпечні недоліки побудови цього російського месенджера.

Не буду переказувати усі консьорни (concern – занепокоєння, англ.) стосовно Telegram, про які пише PwnAllTheThings і про які давно відомо всім фахівцям з кібербезпеки.

Одразу до суті: окупанти сказали Ігорю, що будуть моніторити обмін повідомленнями між Ігорем та Смоуком, і щоб він не намагався їх дурити. І тут є кілька непоняток. Чи мали вони можливість моніторити зміст повідомлень чи просто факт відправки таких повідомлень (метадані)?

Якщо припустити найбільш вірогідний варіант, що моніторили лише метадані, тоді зрозуміло, навіщо примушували робити скрини кожного повідомлення – адже ру$$аки не мали доступу до їхнього змісту.

Але тут ось починається найцікавіше.

Телеграмівський алгоритм шифрування MTProto шифрує і звичайні чати, і “секретні”. З тією лише різницею, що ключи «секретних» чатів зберігалися на пристроях користувачів, а звичайних – на серверах Телеграма. А от метадані звичайних повідомлень взагалі не шифруються в можуть бути перехоплені. Запам’ятаємо цей важливий момент.

І другий момент. При першому запуску на девайсі Телеграм створює унікальний номер для кожного користувача: auth_key_id. Це можуть бути, скажімо, якість цифри, наприклад, 718. І цей номер передається разом з усіма повідомленнями – як зі звичайними, так і з «секретними». Передається у відкритому, незашифрованому вигляді. А тому цей ідентифікаційний номер можна внести у систему моніторингу Інтернет-трафіку (у чому кремлівці вже собаку з’їли) та у режимі реального часу моніторити факт отримання/передачі абонентом повідомлень – і секретних, і не секретних. Тобто кожен унікальний ідентифікаційний номер можна відслідковувати і розуміти хто, кому і коли передав чи прийняв повідомлення.

І таким чином, коли фсб-шніки бачать, що Ігор отримав якесь повідомлення (хоча не бачать його вміст), але протягом кількох хвилин не передав їм скриншот, – значить, він їх дурить і не виконує свого зобов’язання. За ним виїжджає «чорний ворон», і українського партизана знов кидають на підвал.

Слід зазначити, що нормальні месенджери (наприклад, Signal) не роблять такої помилки. Усі їхні повідомлення за замовчуванням передаються у зашифрованому вигляді – і метадані також. І тому подібна схема з ними не спрацювала б. А з Телегою спрацювала, хоча і не досягла своєї мети – виявити усе українське підпілля у тимчасово окупованому Херсоні.

І ще один цікавий висновок з цієї історії.

Про систему сигнальних слів на випадок арешту та «роботи під примусом» Ігор домовився зі Смоуком у тому ж Телеграмі, оскільки вони не зустрічалися раніше особисто. Але московіти чомусь не дочитали до тих домовленостей. Хтозна чому. Можливо, не мали на це часу чи полінувалися, або ж ці повідомлення були видалені. В останньому випадку їх можна було б відновити, але кацапи напевно що не захотіли паритися. Або не знали, як це зробити. У будь-якому разі це показує справжній рівень технологічної компетентності «другої армії Світу» та їхнього гестапо.

І останній висновок.

На думку автора статті (Matt Tait), той факт, що окупанти в Херсоні не мали доступу до змісту повідомлень Ігоря, – це зовсім не означає, що кремль не може цього зробити. Зміст нешифрованих повідомлень вони могли отримати кількома іншими способами: секретні домовленості отримувати зміст листування деяких абонентів в обмін на гроші, вплив, уникнення погроз чи навіть «з патріотичних міркувань». Або те ж саме можна зробити без допомоги керівництва Telegram, просто тихенько хакнувши їх сервери. Або інфільтрувавши свого агента, або завербувавши інсайдера з числа працівників. Або ще якось.

І усе це цілком можливо саме тому, що за замовченням дані в Телеграмі не шифруються належним чином, а дані зберігаються на їхніх серверах.

До речі, нічого подібного не могло б статися з нормальними E2EE-месенджерами, про які я розказував у 2 епізоді подкасту КіберКорсун та на YouTube.

Автор статті Matt Tait дивується, що попри факти співпраці Телеги/Дурова з росіянською владою та явні проблеми з безпекою самого месенджера, безліч українців схильні вважати ці проблеми «теоретичними» та «не доведеними на практиці». І тому віддають перевагу функціональності цього російського месенджера та використовують його як джерело новин.

Також пан Метт вважає, що українці – а також усі інші – мають знайти інший «шифрований» додаток для чатів та дзвінків. Тому що «використання Телеграма для дзвінків та чатів не є безпечним. Скрізь. Для кожного. А особливо в Україні».

Від себе добавлю, що історію про двох українців, що сталася в Україні і яка вкотре дискредитує месенджер, розроблений ворогом українців, ми дізнаємося із закордонних джерел. Цікаво, чому вона не стала відомою спочатку в Україні?

Чи не тому, що у Телеграма забагато прихильників серед українських можновладців, які використовують цей повністю російський месенджер (який намагається прикидатися неросійським) як канал офіційних комунікацій? На десятий місяць війни на знищення України як країни та українців як нації. А мільйони українців продовжують ним користуватися.

P.S.: До речі, так само слідкувати за користувачами Telegram, як це робили рашисти в Херсоні, теоретично може будь-яка влада будь-якої країни. Або будь-хто, хто має можливість моніторити великі обсяги Інтернет-трафіку.

Автори