В распоряжении BuzzFeed оказался отчет от якобы разведчика Великобритании в отставке. Материал неким образом впоследствии попал в руки американских спецслужб разведки.
В тексте выдвигаются обвинения в адрес правительства России, которое «помогало и поддерживало» республиканца Дональда Трампа в течение нескольких лет и заодно собирало различного рода компромат, чтобы иметь над политиком полный контроль.
Особо примечательным является упоминание в докладе мессенджера Telegram. По заявлению агента,
Федеральная служба безопасности (ФСБ) пристально следила за этим мессенджером, так как он активно используется российскими «политическими активистами и оппозиционерами», а потому представляет опасность.
В отчете сообщается: источник этой информации уверен, что российские спецслужбы успешно взломали Telegram, а потому пользоваться этим приложением теперь небезопасно.
Основатель социальной сети «ВКонтакте» и создатель Telegram Павел Дуров рассказал «Секрету фирмы», что отчет, опубликованный BuzzFeed, вызывает сомнения в его подлинности.
Основатель мессенджера отметил, что даже если он и является правдивым, то заявление о взломе Telegram, скорее всего, относится к захвату аккаунтов оппозиционеров Олега Козловского и Георгия Албурова в апреле 2016 года.
В своем же твиттере Дуров посоветовал и вовсе не пользоваться сервисом, если есть доверие к опубликованному BuzzFeed отчету, который «игнорировался авторитетными СМИ в течение месяцев».
@g_a_l_i_b @anoopsankar The report is 99% fake. If it isn't, it probably refers to SMS interception by FSB https://t.co/Z3t6yYjlkL
— Pavel Durov (@durov) January 11, 2017
SMS как открывалка
Прошедшей весной активисты заявили о том, что их профили в Telegram были скомпрометированы.
Албуров выложил в своем твиттере скриншот сообщения техподдержки Telegram, согласно которому доступ к аккаунту был перехвачен пользователем с нью-йоркским IP-адресом. Козловский сообщил о взломе с того же IP.
Павел Дуров отреагировал на это заявление, подчеркнув, что его мессенджер не виноват, а, «судя по всему»,
спецслужбы надавили на операторов связи и узнали верификационный SMS-код, который и обеспечил доступ к аккаунтам представителей оппозиции.
Telegram и другие мессенджеры используют для авторизации отправку сообщений на номер телефона. В основе такого способа передачи информации лежит технология Signalling System No.7 (SS7). Уязвимость в этой системе позволяет хакерам теоретически перехватить сообщение с секретным кодом, а затем без труда получить доступ к аккаунту жертвы.
Проблема подробно была разобрана экспертами по кибербезопасности из Positive Technologies. Специалисты указывают, что «прослушка» мессенджеров по плечу не только спецслужбам, но и обычным злоумышленникам, владеющими определенными техническими знаниями и умением искать нужные инструменты в даркнете.
Positive Technologies проанализировала защищенность сетей SS7 шестнадцати ведущих мобильных операторов регионов EMEA (Европы, Ближнего Востока и Африки) и APAC (Азиатско-Тихоокеанского региона). Тест продемонстрировал, что входящие SMS можно было перехватить в сетях всех участников, попавших в отчет.
«Экспертам достаточно было зарегистрировать нужного абонента в фальшивой сети, после чего все сообщения SMS приходили в руки «потенциального злоумышленника».
В 67% случаев могли быть успешно реализованы мошеннические операции, в том числе нацеленные на банальное воровство денег со счетов абонентов», — пояснили в компании.
На одном из ресурсов в сети Tor однократный перехват SMS или звонка стоит $250. Аналогичная расценка установлена злоумышленниками и на доступ в течение месяца к SS7 для самостоятельной реализации атак. «Поймать» трафик и манипулировать данными на чужом устройстве можно и с помощью поддельных базовых станций.
По утверждениям Positive Technologies, устройство размером с сигаретную пачку можно приобрести за пару тысяч долларов.
По умолчанию небезопасно
Telegram — мессенджер, разработанный основателями «ВКонтакте» Павлом и Николаем Дуровыми на основе протокола MTProto. Telegram использует функцию сквозного шифрования, которая позволяет обмениваться защищенными сообщениями, не опасаясь, что переписка попадет к третьим лицам.
Пользователь должен самостоятельно включить дополнительную приватность, в отличие, например, от WhatsApp, в котором она активируется автоматически.
Именно эта деталь стала предметом спора в Twitter между Павлом Дуровым и бывшим сотрудником АНБ Эдвардом Сноуденом, который посчитал, что усиление конфиденциальности может быть неочевидно для «не-экспертов».
Тогда создатель Telegram ответил Сноудену следующим образом: «Ты учел, что большинство пользователей WhatsApp хранит всю историю переписки в незашифрованном виде в Google Drive или iCloud?» Но потом Дуров сам завершил спор, отметив, что Twitter — не лучшее место для подобных дискуссий.
Несмотря на то что приватность пользователей обеспечивается только в режиме «секретного чата»,
согласно отчету ESET 31% россиян назвали самым безопасным мессенджером именно Telegram.
Однако, как ранее сообщала в беседе с «Газетой.Ru» компания ESET, настройки по умолчанию Telegram проигрывают, например, WhatsApp как раз из-за отсутствия end-to-end шифрования вне секретного чата. Еще до повсеместного внедрения данной технологии в мессенджеры Telegram действительно считался надежным сервисом из-за опционального шифрования, недоступного в WhatsApp.
«Требования к безопасности мессенджеров изменились. Сейчас Telegram проигрывает WhatsApp или Viber, внедрившим е2е-шифрование по умолчанию», — сообщил вирусный аналитик ESET Russia Артем Баранов.
Соревнования без призеров
Дуров не раз проводил конкурсы среди всех желающих с крупным денежным призом, который предназначен для тех, кто «взломает» Telegram. Одно подобное соревнование было запущено в декабре 2013 года.
«Скажем, я готов открыть трафик всей моей переписки с момента регистрации в Telegram и вручить $200 тыс. любому, кто его расшифрует и расскажет как. В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит еще одно доказательство нерушимости своего протокола», — сообщил Дуров условия конкурса. Спустя три месяца конкурс закрылся без победителей.
В ноябре 2014 года была запущена еще одна акция с призовым фондом в $300 тыс. Главной задачей стал взлом переписки двух ботов в специально созданном секретном чате. Тогда приз опять остался неразыгранным.
Но однажды Павлу Дурову все же пришлось раскошелиться: в 2013 году пользователь x7mz опубликовал на «Хабрахабре» статью, в которой подробно описал найденную им уязвимость в программном интерфейсе сквозного шифрования Telegram.
«Еще раз убедился в том, насколько правильным решением было полностью открывать протокол и исходный код. Это позволяет привлекать тысячи умных людей, которые могут помогать постоянно совершенствовать систему, находя потенциально уязвимые места», — сообщил Дуров на странице во «ВКонтакте» и выделил программисту награду в размере $100 тыс.