Telegram Мессенджер

Продукт
Разработчики: Telegram Messenger LLP
Дата премьеры системы: 2014/07/21
Дата последнего релиза: 2018/10/31
Отрасли: Интернет-сервисы
Технологии: IP-телефония,  Офисные приложения

Содержание

2018

Telegram хранит переписку в незашифрованном виде

31 октября 2018 года стало известно, что Telegram в версии для десктопов сохраняет всю переписку пользователей на жёстком диске без шифрования.

Как выяснил эксперт по безопасности Натаниэль Сачи (Nathaniel Suchy), Telegram использует базу данных SQLite для хранения сообщений, которую не очень просто прочитать, но которая в целом лишена шифрования. Проанализировав «сырые» данные, предварительно сконвертированные в более простой для просмотра формат, Сачи смог найти имена и телефонные номера, которые можно проассоциировать друг с другом. Даже в этом виде информацию было непросто считать, однако нескольких специально написанных скриптов хватило, чтобы вычленить необходимые данные, сообщили в CNews.

Десктопная версия Telegram предлагает парольную защиту, чтобы предотвратить неавторизованный доступ к приложению. Эта опция не связана с шифрованием, и при должном умении злоумышленник может добраться до чатов пользователей и прочитать их. Как утверждает издание Bleeping Computer, в общую базу направляются все сообщения, вне зависимости от того, используется «секретный» режим переписки или «облачные чаты».

В CNews отметили, что Telegram Desktop не поддерживает секретные чаты как таковые, это функция доступна только в мобильных клиентах. В режиме Secret Chat Telegram исправно шифрует сообщения и файлы вложений при передаче; в этом режиме используется сквозное шифрование, исключающее возможность перехвата и просмотра содержимого переписки третьей стороной. Однако, при обмене данными через облако (то есть, не напрямую), сквозное шифрование не используется; разработчики утверждают, что алгоритм шифрования, защищающий каналы клиент-сервер и сервер-клиент, весьма надёжен, а благодаря тому, что переписка сохраняется в облаке, у пользователя существует возможность просматривать её с любого устройства.

В вопроснике Telegram говорится, что проблема с восстановлением данных в истории чатов на новом устройстве (в случае потери смартфона, например) не имеет элегантных решений в парадигме сквозного шифрования. В то же время надёжное резервное копирование - базовая функция любого мессенджера для массового рынка. Чтобы решить эту проблему, некоторые приложения (WhatsApp и Viber, в частности) допускают дешифруемые резервные копии, что ставит приватность их пользователь под угрозу - даже если они сами не активировали функцию резервного сохранения данных. Другие приложения вообще отказываются от резервных копий.

Далее разработчики указывают, что они выбрали «третий путь», в котором чаты дифференцированы: при использовании «облачных» чатов резервное копирование на клиентской стороне отключается, а при использовании секретного режима пользователи получают полный контроль над данными, хранение которых для них нежелательно (иными словами, резервные копии сохраняются локально).

Проблема в том, как именно они сохраняются: судя по тому, что написал Суиш, метод хранения как минимум части архивов далёк от безопасного.

«
«К сожалению, нежелание редакторов СМИ разбираться в деталях проблем с безопасностью приводит к тому, что читатели перестают в итоге обращать на них внимание. И когда появляются сообщения о настоящих угрозах, пользователь может не придать им значения».
»

Можно, сказать, что если некий злоумышленник получает неавторизованный доступ к компьютеру жертвы, это уже лишает смысла дискуссии о безопасности баз данных Telegram, - как и любых других данных. Существует, однако, ряд вполне жизненных ситуаций, когда архив сообщений в Telegram может утечь на сторону: например, если перед продажей компьютера его данные удалены небезвозвратно, а с возможностью восстановить их. Или же злоумышленник получает удалённый доступ к компьютеру жертвы (например, топ-менеджера) и его в первую очередь интересуют его коммуникации, в том числе содержимое переписки в Telegram. С такой особенностью Telegram мало что может помешать хакеру ознакомиться с этими сообщениями, отметили в CNews.

«
«С одной стороны, для того, чтобы скомпрометировать переписку Telegram в таком ключе, потребуется взломать компьютер жертвы, в таком случае говорить о безопасности данных вообще нет смысла. Однако вполне возможны сценарии, когда именно содержимое переписки Telegram будет представлять наибольший интерес для потенциальных злоумышленников, а её утечка - наибольшую угрозу для жертвы. В любом случае, наиболее эффективной будет многослойная защита, и если существует минимальная возможность компрометации конфиденциальной переписки Telegram, её следует устранить».
»

[1]

Деанонимизация пользователей Telegram

1 октября 2018 года стало известно, что в мобильном клиенте мессенджера Telegram выявлена серьезная уязвимость, которая при определенных условиях может выдавать IP-адреса пользователей.

Как установили исследователи, по умолчанию Telegram направляет голосовые звонки через P2P-соединения. При этом IP-адрес может выводиться в консоли. Правда, не все версии Telegram поддерживают консоль, например, она не видна под Windows, но вполне доступна под Linux.

Утечка IP-адреса пользователя Telegram версии для PC на базе Ubuntu Linux

Эксперты выяснили, что если перенаправлять звонки через серверы самого Telegram, IP-адрес виден не будет. Но это потребует ручного изменения настроек: Settings -> PrivateandSecurity -> VoiceCalls -> Peer-To-Peerна значения Never или Nobody, и при этом несколько снизится качество звучания.

Кроме того, отключить звонки через P2P легко удастся в iOS и Android, а, например, на десктопной версии Telegram под Windows это оказывается невозможным.

Эксперт по безопасности, известный под ником Дхирадж (Dhiraj), уже получил от разработчиков Telegram вознаграждение в размере 2 тыс. евро за обнаружение этой проблемы.

Уязвимость получила индекс CVE-2018-17780. На данный момент она исправлена в версиях Telegram for Desktop 1.3.17 beta и 1.4.0; теперь там появилась возможность отключать P2P-вызовы.

Разработчики Telegram изначально утверждали, что проблема с P2P-коммуникациями нейтрализуется тем обстоятельством, что по умолчанию выставлена опция My Contacts, ограничивающая возможность просмотра IP-адреса пользователя списком его контактов.

Однако позднее выяснилось, что в API Telegram содержалась ошибка, которая приводит к тому, что в течение нескольких часов после очередного логина P2P-соединения оставались открытыми для всех. По информации компании, на 1 октября 2018 года эта проблема исправлена.[2]

Роскомнадзор готов разблокировать Telegram с согласия ФСБ

Представители Роскомнадзора сообщили в конце августе о готовности разблокировать Telegram, если Федеральная служба безопасности признает внесенные в политику конфиденциальности изменения исполнением требований законодательства РФ. Об этом сообщило информагентство «ТАСС».

«Согласно решению Таганского районного суда Москвы от 13 апреля 2018 года, ограничение доступа на территории России к интернет-ресурсам, функционирование которых обеспечивается Telegram Messenger Limited Partnership, осуществляется до исполнения указанным организатором распространения информации в сети интернет обязанности по предоставлению в федеральный орган исполнительной власти в области обеспечения безопасности информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений», - пояснили в пресс-службе РКН.

Таким образом решение о выполнении требований законодательства будет принимать ФСБ. При наличии положительного решения Роскомнадзор готов начать разблокировку, отметили в ведомстве.

Telegram пообещал выдавать номера и IP-адреса террористов

Как стало известно 28 августа 2018 года, компания Telegram опубликовала на своем официальном сайте обновленную политику конфиденциальности, согласно которой администрация мессенджера обязуется выдавать правоохранительным органам информацию о пользователях при наличии соответствующего запроса.

Как следует из пункта 8.3 обновленной политики, Telegram может выдать IP-адрес и номер телефона человека, но только при наличии соответствующего решения суда, доказывающего причастность пользователя к террористической деятельности.

Telegram может тайно читать сообщения пользователей

Telegram, популярный мессенджер, разработанный Павлом Дуровым, основателем социальной сети «Вконтакте», может следить за перепиской пользователей «облачных» чатов. К такому выводу пришли авторы Telegram-канала Mediatube, проанализировав механизм авторизации пользователей мессенджера[3].

При установке приложения на новое устройство, пользователю приходит SMS-сообщение с пятизначным кодом авторизации. Кроме того, тот же самый код дублируется в чате служебных уведомлений. Его можно увидеть на каждом устройстве владельца учетной записи Telegram. Данный код необходимо ввести на новом устройстве, чтобы начать пользоваться приложением.

Пользователи заметили, что, если скопировать код авторизации или ввести его вручную и отправить в любой чат, код потеряет свою актуальность и не сработает при попытке авторизоваться с его помощью на новом устройстве. Стоит также отметить, что аннулирование кода авторизации произойдет даже в случае отправки смешанного сообщения – к коду можно добавить сколь угодно любых знаков, и это никак не повлияет на способность Telegram вычленить его из последовательности символов. Однако же при отправке кода в секретный чат данная процедура аннулирования не сработает.

Итоги проведенного эксперимента могут являться доказательством того, что переписка пользователей анализируется неким алгоритмом на стороне сервера, как минимум, при осуществлении авторизации. В пользу этой теории говорит тот факт, что код авторизации не аннулируется при отправке в секретный чат, поскольку сообщения в таких чатах подвергаются сквозному шифрованию, не хранятся на серверах Telegram и доступны лишь отправителю и получателю.

Данную особенность можно назвать интересным подходом к защите учетной записи от кражи кодов авторизации и предотвращению несанкционированного доступа к ней. Тем не менее, подобный подход оставляет поле для спекуляций и подозрений: не читает ли Telegram и другие сообщения пользователей?

РКН предложил изменить код Telegram для получения ключей шифрования

ФСБ и Роскомнадзор в течение года пытались убедить руководство компании Telegram изменить архитектуру мессенджера и предоставить ключи для дешифрования переписки пользователей. Как считают в ведомствах, у компании есть для этого техническая возможность. Об этом сообщила в июне представитель Роскомнадзора в ходе рассмотрения жалобы представителей Telegram на решение Таганского районного суда по блокировке сервиса в России.

«
«ФСБ и Роскомнадзор в течение года предпринимали попытки побудить Telegram изменить архитектуру мессенджера. Мы считаем, что структура любого мессенджера может быть изменена для приведения в соответствии с российским законом. Поэтому мы считаем, что Telegram имеет техническую возможность предоставить ключи для дешифрования», - приводит ТАСС заявление представителя надзорной службы.
»

Разблокированы 8 млн IP-адресов, которые использовал Telegram

Роскомнадзор разблокировал порядка 8 млн IP-адресов, которые входят в подсети Amazon и Online Sas. Все они ранее были использованы мессенджером Telegram для обхода блокировок, пишет "Интерфакс".

Путин высказался против блокировки Telegram

На ежегодной «Прямой линии с Владимиром Путиным» Президент России, отвечая на вопросы зрителей, прокомментировал ситуацию, сложившуюся в результате попыток Роскомнадзора заблокировать мессенджер Telegram[4].

«
«Я прекрасно знаю о ситуации вокруг Телеграма. Но я на своем месте волнуюсь за безопасность людей. Я сам работал в спецслужбах и знаю: легче всего запретить, труднее найти цивилизованные способы решения. Я буду убеждать коллег идти по этому пути», — сказал президент.
»

То же самое, по его словам, относится к возможности запрета в России YouTube и Instagram. Путин сообщил, что Россия не собирается закрывать популярные соцсети и интернет-ресурсы. По его мнению, правоохранителям следует искать такие способы борьбы с терроризмом, которые не будут в ущерб свободе в интернете. Он намерен побуждать силовиков не ограничивать эту свободу. Президент предлагает практиковать использование различных инструментов, а не их блокировку.

Telegram раскрыла исходники прокси для обхода блокировок

Компания Telegram разместила[5] на портале GitHub исходный код прокси-сервера, работающего по протоколу MTProto. Инструкция по его настройке опубликована[6] на Docker Hub. Протокол работает только внутри мессенджера и не совместим с другими сервисами[7].

Для создания собственного прокси-сервера потребуется компьютер с установленным Docker и подключением к сети провайдера, не блокирующего доступ к интернет-ресурсам. Порт 443 должен быть свободным.

Отмечается, что один процесс прокси-сервера поддерживает десятки тысяч подключений. В целях улучшения производительности разработчики установили ограничение по обработке подключений – до 60 тыс. на одно ядро процессора.

На данный момент к MTProto-прокси могут подключаться только пользователи Android-устройств. Новые MTProto-прокси не работают на клиентах Telegram и Telegram X на платформе iOS, поскольку Apple с середины апреля блокирует обновления приложения Telegram в App Store.

Apple запрещает обновлять Telegram для iPhone и iPad

Компания Apple уже полтора месяца не позволяет мессенджеру Telegram обновить его приложение в AppStore. Об этом создатели мессенджера сообщили на сайте проекта в разделе «Часто задаваемые вопросы» (FAQ)[8].

Отвечая на вопрос о соответствии Telegram «Общему регламенту по защите данных» (GDPR) Евросоюза, авторы проекта сообщили, что «пользователи Android получили обновление GDPR в версии 4.8.9, Apple же глобально блокирует обновления Telegram для его iOS-приложения с середины апреля».

Роскомнадзор потребовал от Apple удалить Telegram из AppStore

Роскомнадзор направил в компанию Apple письмо с требованием прекратить распространение через App Store мессенджера Telegram, а также рассылку его сервисных push-уведомлений для российских пользователей.

«
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим Вас в кратчайшие сроки проинформировать нас о дальнейших действиях Компании, направленных на решение данных проблемных вопросов», — говорится в письме (орфография и пунктуация сохранены).
»

Глава ведомства Александр Жаров добавил, что Роскомнадзор будет ждать ответа от Apple «в течение месяца», поскольку речь идет о «компании с высокой степенью бюрократии», передает «Интерфакс».

Роскомнадзор вооружился против Telegram новыми технологиями

Глава Роскомнадзора Александр Жаров пообещал и впредь внедрять новые технические решения для блокировки Telegram на территории России. Как сообщил Жаров журналистам «Интерфакса» в кулуарах ПМЭФ 2018, в распоряжении ведомства уже есть определенные технические решения, готовые к внедрению[9].

О каких именно решениях идет речь, глава Роскомнадзора не уточнил, однако блокировать подсети каких-либо компаний регулятор больше не будет. Теперь Роскомнадзор «работает точечно» без вреда для «добропорядочных ресурсов».

По словам Жарова, ряд компаний уже предприняли соответствующие шаги с целью лишить Telegram возможности обходить блокировку. К примеру, Microsoft больше не предоставляет мессенджеру возможность использовать конфигурационный файл своего сервиса Microsoft Download. Предоставлять Telegram свои IP-адреса прекратила Google. Кроме того, по поводу Telegram продолжается диалог с Amazon. Переговоры с компанией идут не так быстро, как хотелось бы, и о результатах пока говорить рано, но «мы люди терпеливые», отметил Жаров.

Русскоговорящие хакеры научились воровать переписку из Telegram

По сведениям экспертов по безопасности фирмы Talos, обнаруживших проблему, за две недели злоумышленники выпустили сразу две вредоносные программы, атаковавшие Telegram. Первая воровала реквизиты доступа и файлы cookie из браузера, вторая научилась воровать кэш Telegram, содержащий данные переписки, файлы ключей шифрования (а заодно и реквизиты доступа к Steam). Все эти данные вредоносная программа загружает на несколько аккаунтов сервиса pcloud.com - причём в незашифрованном виде[10].

Злоумышленник - а исследователи с высокой долей вероятности установили его личность - выбрали в качестве мишени именно десктоп-версию Telegram потому, что она не поддерживает функцию Secret Chats (секретные чаты) и имеет довольно слабые настройки по умолчанию. При этом вредонос не атакует никаких уязвимостей, эксплуатируются лишь архитектурные особенности.

Согласно пояснениям разработчиков Telegram, секретные чаты требуют наличия постоянного хранилища данных на устройстве; на данный момент эта функция не поддерживается на десктопной и веб-версии. На них содержание чатов подтягивается из облака и сбрасывается при отключении клиента. Секретные чаты не хранятся в облаке, поэтому они бы исчезали с каждым отключением компьютера. При этом автоматического разлогинивания в десктоп-версии Telegram не реализовано. Комбинацию этих особенностей и использует вредонос.

В Telegram встроили инструменты обхода блокировок нового типа

На странице локализации приложения Telegram для ОС Android в мае 2018 года появились новые строки текста для перевода с английского на другие официальные языки приложения, которые свидетельствуют о том, что в ближайшее время в популярном мессенджере будет реализована поддержка прокси-сервера (службы в компьютерных сетях, выступающей в роли посредника между пользователем и некоторым ресурсом в сети) нового типа под названием MTProto Proxy[11].

Это решение разработано специально для обеспечения функционирования Telegram в условиях блокировки мессенджера провайдерами услуг связи.

Преимущество нового решения перед HTTP- и SOCKS5-прокси, поддержка которых реализована в стабильных версиях мессенджера, заключается в более высокой производительности и защищенности.

Кроме того, серверы на MTProto провайдерам будет значительно сложнее заблокировать.

Запрет в иранских госорганах

18 апреля 2018 года было объявлено о запрете Telegram в иранских государственных органах после того, как верховный лидер страны аятолла Али Хаменеи (Ali Khamenei) перестал пользоваться этим мессенджером по соображениям национальной безопасности.

«
В соответствии с защитой национальных интересов и для устранения монополии Telegram аятолла Хаменеи прекратит свою деятельность в этой сети, — говорится в его последнем сообщении в Telegram.
»

По сообщению новостного агентства ISNA, иранским госслужащим запретили использовать Telegram. Какие меры будут приниматься в отношении нарушивших это требование, не уточняется.

В государственных учреждениях Ирана запретили мессенджер Telegram

Али Хаменеи является активным пользователем социальных сетей, даже несмотря на блокировку Twitter и Facebook в Иране. Его канцелярия постоянно публикует фотографии и информацию с выступлений лидера. Пользователям Telegram после блокировки предлагается читать сообщения Хаменени в мессенджерах Soroush и Gap иранской разработки.

Telegram уже блокировали в Иране — в конце 2017 года после серии антиправительственных демонстраций. Однако спустя две недели сервис возобновил работу.

К середине апреля 2018 года мессенджером Telegram пользуются около 45 млн жителей, тогда как все население Ирана составляет 80 млн человек. Telegram популярен в странах Ближнего Востока и бывшего СССР, отмечает агентство Reuters.

Иранские СМИ в своих Telegram-каналах за несколько недель до отказа канцелярии Хаменеи использовать Telegram также предложили своим подписчикам различные варианты, где будут публиковаться актуальные новостные сообщения. Иранские новостные агентства и телевидение, однако, по-прежнему продолжают пользоваться мессенджером Telegram.

В апреле 2018 года представитель Верховного суда Ирана заявил, что Telegram и другие иностранные мессенджеры смогут работать в стране только, если получат разрешения от правительства и будут хранить данные граждан внутри страны.[12]

Удаление из App Store и Google Play

Роскомнадзор направил магазинам App Store и Google Play требование удалить Telegram, сообщает 17 апреля РБК со ссылкой на представителей регулятора. Удалить приложение магазины должны в «максимально короткие сроки». Ранее Роскомнадзор также потребовал удалить Telegram из крупнейшего зеркала приложений APK Mirror. Telegram исчез с сайта apkpure.com, где выкладываются установочные файлы программ, а с форума 4pda пропала ветка обсуждения Telegram.

Дуров выделит "миллионы из личных средств на сохранение Telegram"

Создатель Telegram Павел Дуров заявил о готовности выделить миллионы долларов из личных средств на гранты для администраторов сервисов proxy/VPN, помогающих обойти блокировку мессенджера. Об этом он написал на своей странице «ВКонтакте»[13].

«В рамках Цифрового Сопротивления – децентрализованного движения в защиту цифровых свобод и прогресса – я начал выплачивать биткоин-гранты администраторам proxy и vpn. В течение этого года буду рад пожертвовать миллионы долларов личных средств на эти цели», — сообщил Дуров.

Блокировка 19 миллионов IP-адресов, в тч Google, Amazon, Microsoft

Основная статья [[Цензура (контроль) в интернете. Опыт России]

По данным главы Diphost, на данный момент в связи с блокировкой Telegram в реестр внесены около 18 млн IP-адресов. В частности, под блокировку попали пулы адресов, принадлежащие облачным сервисам Amazon, Google, Microsoft и др.

Роскомнадзор заблокировал подсети OVH, Hetzner, Online.net, Microsoft и др:

  • 18.236.0.0/15 - Amazon.com, Inc.
  • 54.64.0.0/13 - Amazon Technologies Inc.
  • 23.251.128.0/19 - Google LLC
  • 174.138.0.0/17 - DigitalOcean, LLC
  • 188.166.0.0/17 - Digital Ocean, Inc.
  • 159.203.0.0/16 - DigitalOcean, LLC
  • 128.199.0.0/16 - DigitalOcean Cloud
  • 159.65.0.0/16 - DigitalOcean, LLC
  • 52.32.0.0/16 - Amazon Technologies Inc.
  • 54.212.0.0/15 - Amazon.com, Inc.
  • 18.218.0.0/16 - Amazon Technologies Inc.
  • 13.230.0.0/15 - Amazon Data Services Japan
  • 35.176.0.0/15 - Amazon Data Services UK
  • 195.154.0.0/17 - Iliad Entreprises Customers
  • 51.136.0.0/15 - Microsoft Limited UK
  • 46.101.128.0/17 - Digital Ocean, Inc.
  • 185.166.212.0/23 - Clouding.io Virtual Machine Hosting
  • 178.63.0.0/16 - Hetzner Online GmbH
  • 51.15.0.0/16 - Online.net Dedicated Servers NL
  • 91.121.0.0/16 - OVH SAS
  • 18.204.0.0/14 - Amazon Technologies Inc.


21-22 апреля Роскомнадзор заблокировал несколько IP-адресов Google, следует из неофициальной копии выгрузки реестра, которую Роскомнадзор передает операторам связи для блокировки сайтов. Доступ ограничен к IP-адресам 74.125.131.101 и 64.233.165.106. По данным сервиса ipinfo.io, они принадлежат Google. По данным гендиректора провайдера Diphost Филиппа Кулина, всего заблокированы около 60 IP-адресов сайта google.com. Сбой в работе поисковой системы Google 22 апреля наблюдается в нескольких городах России, как свидетельствуют данные сервиса Downdetector, отслеживающего работу популярных интернет-ресурсов. Проблемы в работе поисковика начались примерно в час ночи по Москве. Сайт поисковика не открылся у 69% пользователей, еще 30% сообщили, что не могут войти в свои аккаунты.


К полудню 17 апреля в выгрузке черного списка Роскомнадзора, контролирующего блокировку операторами связи ресурсов с противоправным контентом, количество заблокированных IP-адресов превысило 4 500 000. Из них миллион представляют собой заблокированные подсети компании Amazon (52.58.0.0/15, 18.196.0.0/15, 18.194.0.0/15 и 35.156.0.0/14 были внесены в реестр одномоментно, позже в реестр была дополнительно внесены подсети 18.184.0.0/15 и 54.160.0.0/12), предоставляющей облачный сервис AWS, и более полутора миллиона — компании Google и холдинга Alphabet (подсети 35.192.0.0/12 и 35.184.0.0/13, чуть позже - 35.224.0.0/12).

За одни сутки 16 апреля 2018 года Роскомнадзор заблокировал в России примерно 0,04% всех IP-адресов пространства IPv4 (суммарно 2³² адресов). За вторые — еще столько же.

В результате этих действий менее, чем за двое суток с начала блокировки Telegram, частичную и временную недоступность испытали такие крупные компании, как Microsoft (Xbox), включая страницы с официально распространяемым ПО компании (http://software-download.microsoft.com/), Evernote, популярный и соблюдающий законодательство о передаче ключей шифрования мессенджер Viber, школа английского языка SkyEng, сервис курьерской доставки `Птичка`, платежный сервис Cloudpayments и многочисленные прокси- и VPN-серверы и сервисы. Также сообщалось о сбоях в работе банков из топ-20, частных клиник, шлюзов 3-D Secure.

По выражению руководителя надзорного органа Александра Жарова `происходит борьба брони и снаряда`, приведшая к недоступности не только провайдеров связи и хостинг-услуг, но и легитимных сервисов и продуктов многочисленных компаний, как российских, так и зарубежных.

Qrator Labs уведомляет о необходимости мониторинга состояния собственных сервисов и возможного попадания используемых IP-адресов в заблокированные подсети — технического решения данной проблемы, кроме как смены используемого IP-адреса, не существует. В ситуации дальнейшего блокирования подсетей крупных провайдеров проблема может запустить `эффект домино` и сказаться на сервисах, косвенно связанных с заблокированными подсетями. В случае попадания в блокировку подсетей таких сервисов, как GitHub, GitLab, DigitalOcean и многих других будет нарушена инфраструктура open-source модулей, приложений и расширений, используемых разработчиками при создании собственных систем и приложений.

Telegram обошел блокировку в России новым способом, который невозможно запретить

Изначально Telegram обошел блокировку Telegram в России с помощью IP-адресов компании Amazon, однако Роскомнадзор заранее заблокировал более полумиллиона из них, чтобы предотвратить работу сервиса ради исполнения российского законодательства. Тем не менее, администрация мессенджера нашла выход из сложившейся ситуации. Теперь производить блокировку отдельных адресов IP просто бесполезно, потому как сервис по-прежнему продолжит работать[14].

В приложение Telegram для всех платформ встроен сервисный пуш DC_Update, который служит для обновления адреса дата-центра, с которых осуществляется связь. В обычное время он используется для повышения стабильности и ускорения отправки / получения сообщений, однако его можно использовать и для обхода блокировок, что решила сделать администрация мессенджера. Ранее такой метод никто никогда не использовал.

Система пуш DC_Update работает так, что запрос происходит не от сервера Telegram, который в России блокируют, а с сервером Apple, Google и Microsoft. Каждый раз когда пуш обновляется, а это происходит постоянно, приложение может скрытно ото всех получать адреса новых серверов мессенджера. Чтобы заблокировать этот обходной путь Роскомнадзору придется заблокировать десятки миллионов IP-адресов, что приведет к полной изоляции всего российского интернета от мирового.

Даже если вдруг каким-то чудом Роскомнадзор сможет узнать адреса IP, к которым обращаются Google, Apple и Microsoft с помощью DC_Update, то он все равно не станет их блокировать, потому как в таком случае корректно перестанут работать все сторонние приложения, в том числе WhatsApp, Viber и прочие. Веб-версия месседжера Telegram не использует данный пуш из-за ограничений, поэтому она навсегда так и останется заблокированной.

Суд постановил немедленно заблокировать Telegram в России

Таганский районный суд города Москвы постановил ограничить на территории России доступ к сервису Telegram. Об этом заявила судья Юлия Смолина, передает корреспондент РБК с заседания[15].

Суд также удовлетворил ходатайство Роскомнадзора о немедленном вступлении в силу решения о блокировке мессенджера. Теперь Роскомнадзор должен направить решение суда операторам связи с указанием о необходимости принятия мер по ограничению доступа к сервису. В реестр заблокированных страниц могут быть внесены доменные имена telegram.org, web.telegram.org, t.me и IP-адреса серверов Telegram. После этого провайдеры должны будут ограничить доступ к ресурсам мессенджера в течение суток с момента обновления реестра (обновляется ежедневно в 09:00 и 21:00 мск).

Бизнесмен и программист Павел Дуров опубликовал для пользователей "Телеграма" подробную инструкцию о том, как продолжать оставаться на связи в популярном приложении. По его словам, мессенджер будет использовать встроенные методы обхода блокировок, не требующие действий от пользователей, однако он не гарантирует доступность сервиса без использования VPN.

Таганский суд Москвы вынес решение о блокировке Telegram на территории РФ. Что стоит иметь в виду пользователям:

  • Telegram будет использовать встроенные методы обхода блокировок, которые не требуют действий от пользователей, однако 100%-ая доступность сервиса без VPN не гарантирована.
  • В первые часы блокировки сторонние VPN/Proxy-сервисы могут быть перегружены и с большой вероятностью будут работать медленно.
  • Независимо от наличия блокировки, Telegram сохранит возможность централизованно рассылать уведомления всем российским пользователям, информируя о развитии ситуации.

Важно: не удаляйте и не переустанавливайте Telegram при возникновении проблем со связью. Старайтесь своевременно скачивать обновления Telegram в AppStore или Google Play.

Бывший коллега Дурова раскрыл принцип шифрования сообщений в Telegram

Бывший коллега Павла Дурова, Антон Розенберг, рассказал в интервью телеканалу RT о принципах шифрования сообщений, использующихся в популярном мессенджере Telegram[16].

По словам эксперта, чаты в приложении разделены на облачные и секретные. В случае с секретными чатами расшифровать переписку невозможно, поскольку шифрование сообщений является сквозным, то есть осуществляется только на устройствах отправителя и получателя.

«Telegram не видит содержимое сообщения, только метаданные. Это более надежно, но реализация в Telegram не очень удобна, секретные чаты доступны только с одного устройства, и поэтому ими практически никто не пользуется», - отметил Розенберг.

В свою очередь сообщения в облачных чатах передаются сначала на серверы Telegram, после чего расшифровываются с использованием протокола MTProto. В данном случае переписка может быть расшифрована администрацией мессенджера.

Чужие записи в Telegram может отредактировать любой желающий

Исследователь безопасности, известный в ИТ-блоге Habrahabr под псевдонимом w9w, рассказал об обнаруженных им уязвимостях в мессенджере Telegram[17].

В ходе исследования, проведенного автором, выяснилось, что привычные для пользователей Telegram ссылки вида t.me могут вести на фишинговые сайты, приватные чаты на самом деле не такие уж и приватные, а статьи в Telegraph, издательском сервисе, тесно интегрированном с Telegram, может редактировать любой желающий.

Редактирование чужих сообщений

Уязвимость затрагивает издательский сервис Telegraph, разработанный Павлом Дуровым и командой мессенджера Telegram в 2016 г. Проанализировав, HTTP-запрос, отправляемый на сервера Telegraph, автор пришел к выводу, что для редактирования абсолютно любой статьи злоумышленнику необходимо знать только ее уникальный идентификатор, который можно найти непосредственно в HTML-коде страницы с этой статьей.

Как правило, защита от подобных атак сводится к сверке токена (случайного набора байт), сгенерированного сервером, с отправленным пользователем при переходе по ссылке или нажатии кнопки. В случае несовпадения серверного и клиентского токенов, сервер отказывает пользователю в выполнении запрошенной операции. По словам автора исследования, в случае с Telegraph данный подход, как и иные способы защиты, не применяется.

Приватные чаты в опасности

Обнаружить одну из уязвимостей удалось в процессе тестирования стороннего ресурса, взаимодействующего с доменом t.me, который принадлежит Telegram и используется для создания коротких публичных ссылок на учетные записи пользователей, каналы и группы в мессенджере. Сайт предлагал платные советы по инвестициям в криптовалюты, и в качестве одного из каналов получения подобной информации выступал Telegram-бот. Бота можно было подключить, перейдя по ссылке вида t.me/Another_bot?start=CODE, где CODE – секретная последовательность символов, связанная с учетной записью пользователя на сайте. Решив проверить «чувствительные» данные в URL (едином указателе ресурса в интернете) на факт индексации поисковыми системами, исследователь обнаружил первую из трех уязвимостей в Telegram.

Сформировав так называемый «дорк» (Google Dork Query – особый запрос к поисковой системе, позволяющий найти скрытую от посторонних глаз публичную информацию) следующего вида: site:t.me inurl:Another_bot?start=, автор исследования обнаружил публично доступный личный код случайного платного подписчика того самого ресурса о криптовалютах. Из этого был сделан вывод, что на t.me отсутствует запрет на индексацию конфиденциальных данных. Причиной данного недоразумения автор называется отсутствие файла robots.txt в корневом каталоге ресурса, связанного с доменом t.me. Данный файл используется веб-мастерами для задания параметров индексирования сайта. К примеру, при помощи данного файла можно запретить поисковым роботам индексировать определенные разделы веб-ресурса, таким образом полностью исключив их появление в поисковой выдаче.

2017

Немецкой полиции удалось взломать Telegram

Сотрудники Федерального ведомства уголовной полиции Германии (BKA) на протяжении последних нескольких лет взламывают аккаунты пользователей в мессенджере Telegram. Об этом сообщило авторитетное издание Motherboard, которое опубликовало интервью с одним из сотрудников ведомства[18].

Впервые считавшийся полностью защищенным Telegram был атакован силовиками еще в 2015 г. Тогда ради этого было создано специальное программное обеспечение, получившее название Bundestrojaner. Тогда BKA удалось получить доступ к аккаунтам, групповым чатам и медиа-файлам, которые пересылали друг другу с помощью мессенджера 8 членов ультранационалистической группировки, планировавшей поджог общежития для мигрантов.

По словам осведомителя Motherboard, доступ был получен всего через несколько минут после атаки Bundestrojaner. Спустя 12 дней все члены группы были арестованы, вскоре их приговорили к длительным срокам заключения.

Доступ открывается через запрос кода аутентификации

Как сообщает издание, ссылаясь на собственные источники, с тех пор практика взломов прижилась: только в 2015 г. BKA получила доступ к 32 аккаунтам в Telegram, еще 12 подобных эпизодов относятся к этому году. Все их владельцы подозревались или подозреваются в серьезных преступлениях: международном терроризме, ультраправом терроризме или шпионаже.

Несмотря на то, что подобная деятельность в определенной степени регламентируется немецким законодательством (закон, дающий право подобного взлома, был принят еще в 2008 г.), журналисты Motherboard предположили, что отдельные методы BKA все же могут считаться противозаконными, также могут иметь место случаи злоупотребления как Bundestrojaner, применение которого было официально одобрено в 2016 г., так и другим созданным на его основе программным обеспечением.

При этом, используемые криминальной полицией Германии программы могут «читать» сообщения только из незашифрованных чатов. Против сквозного шифрования BKA пока ничего придумать не смогла, хотя специальная группа программистов ведет над этим работу.

Создание модифицированных версий Bundestrojaner под конкретные задачи, по словам собеседника Motherboard, даже не требует особой сноровки, речь идет об изменении одной-двух строчек исходного кода. Сами команды запрашивают переотправку кодов аутентификации, маскируясь на удаленных устройствах под оригинальный Telegram.

Из-за угрозы блокировки Telegram стал самым быстрорастущим мессенджером

С мая по декабрь 2017 года интерес пользователей к мессенджеру Telegram показал самый высокий рост по сравнению с другими популярными в России аналогичными сервисами, по данным исследовательской компании ​SimilarWeb, подготовленным по запросу РБК[19].

Если в мае Telegram из Google Play (за девять месяцев 2017 года доля Android в сегменте смартфонов в России составила 88%) скачали 833,2 тыс. раз, то в ноябре зафиксировано уже более 1,682 млн установок: с 1 мая по 1 декабря рост количества скачиваний составил 168%. Почти вдвое за этот период увеличилась и доля активных пользователей мессенджера (считается как доля пользователей приложения в сутки от общего числа всех пользователей устройств, работающих на операционной системе Android в России) — с 3,17 до 5,51%, что позволило по этому показателю обогнать, например, Skype (3,9% в ноябре).

Для сравнения, WhatsApp, самое популярное в России приложение для общения, в мае скачали 2,7 млн раз, в ноябре — 3,8 млн (активная аудитория за то же время увеличилась с 29,97 до 33,27%).

Возросшую популярность Telegram за последние месяцы в России подтверждают и рейтинги App Annie по скачиваниям. С октябрь по декабрь 2017 года Telegram входил в топ-3 приложений для общения как в App Store, так и в Google Play, а в июне и ноябре держался на первых строчках по скачиваниям среди всех приложений App Store. ​

Платежный функционал

Разработчики Telegram запустили в мессенджере функцию онлайн-платежей Bot Payments. Функция предназначена для создателей ботов, которые теперь смогут принимать платежи от своих клиентов из разных стран мира.

«Если у вас установлен Telegram 4.0 или более новая версия, вы можете заказать товары или услуги через предлагающих их ботов. Когда вы нажмете `Оплатить` (Pay), вам будет предложено ввести данные банковской карты, заполнить информацию о доставке и подтвердить платеж. И вы получите заказанное», — пишут разработчики. При этом если аккаунт пользователя Telegramзащищен двухэтапной авторизацией (подтверждение по СМС и ввод пароля).

Данные карты могут быть сохранены для будущих покупок. Таким образом, в следующий раз процедура заказа через ботов будет проще. Поскольку Telegram является открытой платформой, разработчики уточнили, что создатели ботов могут использовать необходимые API и принимать платежи без предварительной процедуры согласования.

Платформа для денежных переводов позволит пользователям совершать покупки через ботов внутри мессенджера. У ботов появится специальная кнопка для заказа и оплаты товаров и услуг.

Для оплаты клиенту бота необходимо будет ввести данные банковской карты и подтвердить платеж. Карта при этом будет привязываться к ботам, покупки у которых пользователь уже делал.

В тексте сообщается, что платеж будет идти напрямую от клиента разработчику бота, минуя сам Telegram. Никакой комиссии со сделок мессенджер взимать не будет. Кроме того, сервис не будет принимать жалобы и требования вернуть деньги пользователям, так как не будет хранить данные банковских карт.

Большинство платежей будет осуществляться через платежную систему Stripe, пока не развитую в России. Однако в описании подчеркивается, что платформа открыта для платежных систем и из других стран.

Бета с функцией голосовых звонков

13 марта 2017 года компания Telegram Messenger сообщила о выпуске бета-версии мессенджера Telegram, в которой стала доступна функция голосовых вызовов. Полный функционал услуги пока недоступен и о сроках его запуска неизвестно.

Со ссылкой на группу Telegram News в соцсети, СМИ сообщили о наличии режима шифрования голосовых вызовов в режиме end-to-end и доступности только личных звонков. Доступны функции отключения микрофона и включения громкой связи, возможность применить персональные разрешения для звонков (например, только пользователям, указанным в контактах)[20].

Доступна функция отключения звонков «Disconnected Calls». Предположительно звонки будут и на официальное приложение мессенджера для настольных ОС - Telegram Desktop.

Функционал окончательно не утвержден и некоторые функции могут быть недоступны. Возможность звонков названа «главным обновлением года», но период запуска полнофункционального режима никем из официальных лиц не комментируется.

Об официальных комментариях разработчиков мессенджера Telegram на 13 марта 2017 года неизвестно.

На 13 марта 2017 года действующая стабильная версия мессенджера для Android 3.17. Для iOS - 3.16.1.

2016: Telegram

На 13 марта 2017 года Telegram - интернет-мессенджер.

Приложение Telegram - бесплатный кроссплатформенный мессенджер для смартфонов и настольных компьютеров. ПО позволяет обмениваться текстовыми сообщениями и медиафайлами разных форматов.

В составе глобального сервиса используются проприетарная серверная часть c закрытым кодом и несколько клиентов с открытым исходным кодом, в том числе под лицензией GNU GPL.

Скриншот окна приложения на ПК, (2015)

Учётные записи пользователей привязываются к телефонным номерам. При регистрации в сервисе и последующей авторизации устройств, проводится проверка телефонного номера посредством SMS-сообщений с кодом или телефонный вызов.

Скриншот окна приложения на мобильном устройстве, (2016)

Для обеспечения безопасности сообщение мессенджера создан протокол MTProto. Он предполагает использование нескольких протоколов шифрования. При авторизации и аутентификации используются алгоритмы RSA-2048, DH-2048 для шифрования, при передаче сообщений протокола в сеть они шифруются AES с ключом, известным клиенту и серверу. Используются и криптографические хэш-алгоритмы SHA-1 и MD5.

Защита от перехвата пересылаемых сообщений со стороны сервера Telegram обеспечивается в режиме «секретных» чатов (Secret Chats) (доступен с 8 октября 2013 года). В этом режиме выполняется шифрование, при котором только отправитель и получатель имеют общий ключ (end-to-end шифрование), с применением алгоритма AES-256 в режиме IGE (англ. Infinite Garble Extension) для пересылаемых сообщений. Сообщения в секретных чатах не дешифруются сервером, а история переписки сохраняется только на двух устройствах, инициаторах создания чата.

При обмене файлами можно отправить файлы с устройства, искать медиаконтент в интернете, в том случае, если используется мобильная версия для iOS или Android. Размер передаваемых файлов ограничен 1,5 ГБ.

Программа использует систему продолжения передачи файлов в случае обрыва связи.

При помощи специального API сторонние разработчики могут создавать «ботов», специальные аккаунты, управляемые программами. Типичные боты отвечают на команды в персональных и групповых чатах, могут выполнять поиск в интернете, другие задачи, применяются в развлекательных целях или в бизнесе.

Смотрите также (мессенджеры)




Системы мгновенных сообщений с пользователями сайта


Локальные



Примечания

  1. Telegram хранит переписку в незашифрованном виде. Дуров негодует и оправдывается
  2. Доказано: Telegram не был анонимным
  3. Telegram может тайно читать сообщения пользователей
  4. Путин высказался против блокировки Telegram
  5. TelegramMessenger/MTProxy
  6. telegrammessenger/proxy
  7. Telegram раскрыла исходники прокси для обхода блокировок
  8. Apple запрещает обновлять Telegram для iPhone и iPad
  9. [1]
  10. Русскоговорящие хакеры научились воровать переписку из Telegram
  11. В Telegram встроили инструменты обхода блокировок нового типа
  12. Iran bans state bodies from using Telegram app, Khamenei shuts account
  13. Павел Дуров ВК
  14. Telegram обошел блокировку в России новым способом, который невозможно запретить
  15. Суд постановил немедленно заблокировать Telegram в России
  16. Бывший коллега Дурова раскрыл принцип шифрования сообщений в Telegram
  17. Чужие записи в Telegram может отредактировать любой желающий
  18. Немецкой полиции удалось взломать Telegram
  19. Из-за угрозы блокировки Telegram стал самым быстрорастущим мессенджером
  20. «Готовьтесь удалить WhatsApp и Viber»: в Telegram появились голосовые звонки


РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (172)
Название решенияРазработчикКоличество
проектов
Врачи ПодмосковьяМинистерство здравоохранения Московской области0


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Cisco Systems (8, 11)
  Microsoft (2, 10)
  Avaya (6, 9)
  ИнтелТелеком (Инфинити Трейд) (1, 6)
  Телефонные Системы (1, 5)
  Другие (19, 27)

  Naumen (Наумен консалтинг) (1, 7)
  Avaya (3, 3)
  S2S Next (1, 2)
  Microsoft (1, 2)
  Акадо-Телеком (Комкор) (1, 1)
  Другие (7, 7)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Microsoft (9, 73)
  LanCloud (ЛанКлауд) (1, 10)
  Ascensio System SIA (TeamLab) (3, 3)
  Yammer (1, 3)
  ОТР (1, 3)
  Другие (15, 21)

  Microsoft (11, 41)
  Синтеллект (Syntellect) (2, 33)
  Новые облачные технологии (1, 4)
  YSoft (1, 3)
  Preton (1, 2)
  Другие (16, 18)

  Microsoft (14, 30)
  Новые облачные технологии (3, 5)
  Adobe Systems (2, 4)
  LanCloud (ЛанКлауд) (2, 3)
  Foxit Software (1, 3)
  Другие (7, 9)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год