Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
У цій публікації ми детально розглянемо що являє собою Telegram з погляду безпеки. Яка його архітектура і модель шифрування. Які налаштування приватності він надає. Як зберегти анонімність в Телеграм і захистити свої акаунти, канали, групи.
За статистикою, Telegram входить у п’ятірку найпопулярніших додатків в Україні. Користуються ним широкі верстви населення. Загальна кількість користувачів по всьому світу перевалила за пів мільярда. На перший погляд, це просто цифри. А для когось Telegram – серйозний інструмент електронної розвідки та соціальної інженерії. Чимало функцій у ньому є шпигунськими, у цьому ви переконаєтесь на власному досвіді, ознайомившись з нашим матеріалом.
ℹ️ Telegram – це централізована платформа для онлайн-комунікації, розроблена в російській федерації братами Павлом та Миколою Дуровими. Офіційно запущена 14 серпня 2013 року. Надає користувачам різноманітні електронні сервіси, такі як: обмін онлайн-повідомленнями, надсилання і зберігання файлів, чати, групи, канали, стрічки новин, голосові дзвінки, мультимедіа та багато іншого.
Штаб-квартира Telegram знаходиться в Дубаї, ОАЕ. Більшість розробників, як йдеться на офіційному сайті, родом з Санкт-Петербурга. Юридично, за даними комісії цінних паперів США, Telegram зареєстрований на Британських Віргінських Островах. За даними офіційного сайту, Telegram складається з 3-х компаній: материнської Telegram Group Inc., групи Telegraph Inc. (Британські Віргінські Острови) та Telegram FZ-LLC (Дубаї).
Архітектура Telegram є клієнт-серверною (Client-Server), тобто його функціонал складається з 2-х частин:
Клієнтська і серверна частини постійно комунікують між собою. Через клієнтську частину користувацькі дані синхронізуються з серверами інфраструктури Telegram.
Дані шифруються авторським алгоритмом – MTProto 2.0 з 256-бітними AES-ключами в режимі IGE (Infinite Garble Extension). Вихідний код алгоритму шифрування закритий — у вільному доступі є лише його специфікація, що не дає можливості незалежним дослідникам провести аудит, пентест та оцінити його захищеність. Користувачу залишається або відмовитися від використання продукту Telegram, або просто довіритися розробнику, що по суті суперечить правилу нульової довіри Zero Trust Architecture: «Ніколи не довіряти, завжди перевіряти».
Модель шифрування Telegram, реалізована за принципом – “клієнт-сервер/сервер-клієнт” (Client-Server/Server-Client, MTProto 2.0 Part 1) є найбільш критикованою серед спеціалістів з кібербезпеки. За такої моделі сервер виступає посередником і має доступ до ключа шифрування (!). Власники серверів в теорії можуть розшифрувати й прочитати будь-яке повідомлення.
Окрім того, зберігання ключів шифрування на сервері, а не на локальному пристрої користувача, є досить ненадійним і суперечить криптографії. Якщо на сервері з’явиться вразливість, то він може бути зламаний, скомпрометований і підроблений. У висновку зловмисник отримає доступ до конфіденційних або службових даних. Подібне регулярно траплялося з криптобіржами, які зберігали ключі на своїх серверах.
Зрештою, Telegram теж не виняток. У 2019 році хакер під ніком Bo0oM опублікував пост “Як я ламав Telegram”, де він детально розповів як наткнувся на один із незахищених Apache-серверів Telegram. У 2021 році видання The Guardian повідомило, що засновник Telegram фігурує у списку осіб, за яким стежить зловмисне програмне забезпечення Pegasus, яке може проникати на будь-які цифрові носії і викрадати дані.
Ще одним недоліком є те, що у всіх чатах Telegram, окрім секретних, відсутнє наскрізне E2EE-шифрування (!) – використовується звичайне TLS/SSL-з’єднання. Чому воно не працює у всіх чатах по замовчуванню Павло Дуров спробував відповісти в статті “Why Isn’t Telegram End-to-End Encrypted by Default?”. На жаль, його позиція базувалася в основному на спростуваннях і запереченнях іншого месенджера – WhatsApp. Можливо також, що розробники просто не хочуть позбавляти користувачів основної функціональності – хмарного накопичувача в режимі реального часу. Це дає можливість отримувати одночасний доступ до акаунта на багатьох пристроях і платформах. Якщо увімкнути E2EE – швидкість може знизитися у кілька разів (детальніше про секретні чати і як вони влаштовані читайте нижче в окремому розділі).
Щодо клієнтської частини Telegram. Вихідний код додатка розміщений у вільному доступі (ліцензія OpenSource GPLv2/v3), що дозволило незалежним розробникам створити власні альтернативні версії Telegram з додатковим функціоналом.
Ось деякі з них:
Неофіційний клієнт Telegram на основі Telegram Desktop з додатковими функціями. Забезпечує 64-розрядні збірки для Windows, Linux, MacOS. | |
Експериментальний форк, заснований на Telegram Desktop, має всі його функції, але також має деякі корисніші та косметичні функції. | |
Це неофіційний, FOSS-сумісний форк оригінального додатка Telegram для Android. Фактично, той самий Telegram, тільки без опцій та компонентів, які суперечать принципам прозорості і безпеки. | |
Експериментальний клієнт Telegram на основі TDLib. | |
Неофіційний додаток для обміну повідомленнями, який використовує API Telegram і додає нові функції, як-от справжню систему кількох облікових записів, менеджер завантажень і часову шкалу. | |
Telegram-клієнт для Windows. | |
Мобільний Telegram-клієнт з “подвійним дном” для iOS. | |
Сторонній клієнт Telegram із відкритим кодом і невеликою кількістю корисних модифікацій |
*Примітка: Користуючись неофіційними збірками Telegram, ви берете на себе усі ризики та відповідальність, які можуть бути з ними пов’язані. Telegram не відстежує їх вразливості. Один з таких випадків стався на початку 2023-го – хакерська група “StrongPity” поширювала троянізовані версії Telegram. Постраждали чимало користувачів.
Клієнтська частина Telegram, окремо від серверної, зберігає на пристрої користувача певні дані, а саме: дані профілю, кешовані повідомлення, файли, сесії, логи, конфіги. До прикладу, якщо ви знайдете папку Telegram-Desktop на своєму комп’ютері й зайдете в неї, то побачите там підпапку tdata і файл log.txt (журнал запуску додатка). В директорії tdata зберігаються усі технічні файли облікового запису Telegram, включаючи сесію користувача.
⚠️ УВАГА: Якщо ваша система зламана і зловмисник якимсь чином скопіював теку tdata собі на пристрій — він зможе безперешкодно отримати доступ до вашого акаунта БЕЗ АВТОРИЗАЦІЇ й ПАРАЛЕЛЬНО з вами користуватися ним. Цю сесію ви не побачите у налаштуваннях Telegram. Це дуже небезпечний і доволі поширений трюк.
На смартфоні усе діє аналогічно, хоча там дещо складніше розібратись (залежить від моделі смартфона та версії Android). Зловмисник зламує через шкідливе ПЗ (наприклад, стилер або Pegasus) дешевий, не оновлений китайський смартфон і отримує доступ до всіх файлів, далі просто копіює їх собі на локалку і вуаля.
На пристроях під управлінням ОС Android файли Telegram зберігаються в папці /Android/data/org.telegram.messenger
. Тут є директорії cache і files. Відповідно в них зберігається вся активність вашого акаунта в Telegram.
Рекомендуємо вищезгадані директорії час від часу очищати. Це можна робити вручну з допомогою файлового менеджера Total Commander та через налаштування Telegram: Settings -> Data and Storage -> Storage Usage.
Telegram також має власний API-інтерфейс (Application Programming Interface) – це технологія віддаленої взаємодії з серверами, що дозволяє досвідченим користувачам на базі Telegram створювати власні боти, додатки, інтеграції. Також присутній CLI (Command Line Interface) – керування Telegram засобами командного рядка, але він неофіційний. Обидві функції надають користувачам розширені переваги. Інструменти, які застосовують API та CLI Telegram детально розглянемо в окремому розділі нижче.
👉 Посилання на додаткові матеріали з аналізом безпеки архітектури Telegram:
У Політиці конфіденційності Telegram вказано наступне:
“Telegram підтримує величезні спільноти, які ми маємо контролювати проти зловживань і порушень Умов використання. Telegram також має понад 700 мільйонів користувачів, що робить його прибутковою мішенню для спамерів. Щоб підвищити безпеку вашого облікового запису, а також запобігти спаму, зловживанням та іншим порушенням наших Умов використання, ми можемо збирати такі метадані, як ваша IP-адреса, пристрої та програми Telegram, якими ви користуєтеся, історія змін імені користувача тощо. У разі збору ці метадані можна зберігати максимум 12 місяців.”
Точно з’ясувати які дані користувача зберігаються на серверах Telegram допоможе функція “Експорт профілю”. Її ввели на вимогу GDPR. Присутня вона лише на Telegram Desktop останніх версій і знаходиться в меню Advanced -> Export Telegram Data. Щоб розпочати, оберіть усі типи даних, виставте максимальний поріг об’єму даних, вкажіть шлях до збереження на комп’ютері і задайте формат – HTML або JSON. Отже, тиснемо Export – з’явиться вікно з ініціалізацією завантаження. Жодних додаткових підтверджень особи або введення пароля Telegram не потребує. І це теж трохи дивує.
Процес відбуватиметься у фоновому режимі, ви можете закрити вікно. У верхньому рядку побачите виконання – “Exporting your data”. Ви можете вилучити будь-який файл в процесі експорту, натиснувши “Skip this file”.
Після завершення побачите сповіщення з відомостями щодо кількості отриманих файлів та загального об’єму у мегабайтах. Натисніть “SHOW MY DATA”, щоби перейти безпосередньо до результатів:
Ви побачите збережені на вашому комп’ютері дані. Відкрийте файл export_results.html – відобразиться сторінка з вибором ваших даних, розбитих за категоріями:
Проаналізуємо, які користувацькі дані було отримано в результаті експорту:
Окрім того, вдалося з’ясувати які технічні/діагностичні дані про мобільний пристрій збирає Telegram. Це можна зробити з допомогою опцією “Help”, котра з’являється при проблемах реєстрації. Якщо натиснути на напис Help, то з’явиться можливість відправити діагностичний звіт в службу підтримки sms@telegram.org по електронній пошті – додаток сам створить заготовку для листа, в якому будуть вказані точні дані про ваш пристрій:
Отже, ви наочно переконались скільки всього про вас знає Telegram. Якщо прагнете повної і беззаперечної анонімності, рекомендуємо попрацювати з прошивкою так, щоби ви змогли підмінити назву мобільного пристрою. Інакше він стане ключовим індикатором компрометації.
Нижче можете ознайомитись з основними порадами як зменшити ризики витоку своїх даних в Telegram та захистити акаунт.
Основні налаштування безпеки мобільного додатка Telegram знаходяться в меню “Privacy and Security”:
В додатку Telegram Desktop є інші корисні опції, які знаходяться в меню “Settings” -> “Advanced”:
ℹ️ Примітка: Важливо провести усі налаштування безпеки одразу після реєстрації, адже потім може бути пізно — боти регулярно сканують Telegram на наявність нових профілів й відразу копіюють будь-яку знайдену інформацію у свою базу, де вона залишається фактично навічно (навіть після видалення акаунта Telegram).
Також радимо обмежити дозволи й доступи для Telegram на рівні операційної системи – Android (або iOS, залежно від операційної системи вашого пристрою). Для цього перейдіть в меню Apps та оберіть у списку додатків Telegram й відключіть усе зайве, наприклад:
https://t.me/USERNAME
. Такий профіль індексується пошуковими системами і з’являється у відкритому доступі. По юзернейму можна вирахувати ідентифікатор користувача Telegram ID і провести деанон. По юзернейму вас будуть парсити і аналізувати ваші повідомлення в групах. Якщо ж задаєте юзернейм, то робіть його унікальним, аби він не співпадав з іншими вашими URL та нікнеймами в інтернеті (перевірити їх можна інструментами Maigret, Sherlock або Instantusername). До речі, Username в Телезі можна змінити і навіть продати на аукціоні fragment.com.👉 Читайте більше рекомендацій в публікації “Безпека в інтернеті: поради і рекомендації”.
⚡ Лайфхак #1: Ще один недолік приватності Telegram полягає в неможливості приховати сам факт використання додатка. Якщо ваш номер зареєстрований в Телеграмі, то, по-перше, усім тим, хто має його у своїй телефонній книзі надійде сповіщення що ви там є, а по-друге, можна будь-який номер вручну пробити на наявність Телеграму, що дає можливість зловживати цим. Шахраї й спецслужби беруть відразу увесь пул номерів того чи іншого оператора, формують з них розбиту на частини телефонну книгу і з допомогою спеціалізованого софта на базі Telegram API, перевіряють кожен номер на наявність в Telegram. Якщо контакт присутній, через методи API далі отримується його ID, список груп, коментарі користувача, активність і багато іншого. Так проводиться деанонімізація. Шахраї ж можуть просто формувати базу даних номерів з метою збуту у даркнеті. Уникнути подібного можна таким чином – або купивши анонімний Телеграм-номер на +888, якого немає в жодних абонентських базах (тому що це штучний NFT-номер, читай вище). Або використовувати SIM-картки надійних іноземних операторів в країнах ЄС (з відповідним законодавством про захист персональних даних), регулярно сплачуючи їх послуги.
⚡Лайфхак #2: Якщо ви маєте номер телефону незнайомої особи і за ним є Telegram-акаунт, ви можете дізнатися справжнє ім’я або нікнейм цієї особи. Для цього додайте цей номер собі в контакти в Telegram під будь-яким іменем, а потім вилучіть його натиснувши Delete Account. Ви побачите ім’я, яке особа вказала сама собі в своєму акаунті.
👉 Додаткові посилання:
Усі чати в Telegram діляться на 2 типи:
Аудіо та відеовиклики, голосові повідомлення, стріми в Telegram підтримують наскрізне E2EE-шифрування. Принаймні так говориться в офіційній документації.
Нижче зображена схема наскрізного шифрування секретних чатів (MTProto 2.0 Part II):
Фахівці KR. Laboratories наполегливо рекомендують використовувати тільки секретні чати для листування в Telegram. До речі, міжнародна організація з захисту цифрових прав та свобод в інтернеті Electronic Frontier Foundation (EFF) на диво високо оцінила секретні чати Telegram.
Щоб розпочати секретний чат з користувачем в Telegram, необхідно відкрити його профіль, натиснути символ «…» в правому верхньому куті та обрати “Start Secret Chat”. Після цього у співрозмовника на головному екрані з’явиться новий чат зі значком замочка і написом “You joined the secret chat”. Увійдіть в нього та почніть діалог.
В чаті, поруч з аватаркою співрозмовника буде іконка таймера автознищення повідомлень “Self-Desctuct Timer”. Клацнувши по ній ви можете задати значення навіть в секундах. Щоб перевірити ключі шифрування, необхідно клацнути по аватарці співрозмовника і обрати пункт “Encryption Key”. Вам відкриється зображення ключа шифрування вашого секретного чату і його хеш. Надалі, ви можете порівняти цей хеш з тим, який має ваш співбесідник — якщо обидва сходяться, ви можете бути впевнені, що спілкуєтеся саме з цією особою і ніхто не перехоплює вашу розмову, а отже атака типу MITM (Man-in-The-Middle, «Людина посередині») неможлива.
Пересилання повідомлень й скріншоти по замовчуванню в секретних чатах заборонені. Однак, як сказано в довідці, у випадку, якщо хтось зробить знімок екрана в секретному чаті, Telegram повинен сповістити користувача про це.
Після завершення розмови рекомендуємо видалити секретний чат натиснувши на значок “…” в правому верхньому куті діалогу та обравши “Delete chat”, після чого у діалоговому вікні додатково позначити галочкою “Also delete for” й натиснути “Delete chat” – секретний чат видалиться і миттєво зникне з головного екрану і пристрою обох користувачів одночасно.
Пам’ятайте, що секретні чати Telegram залежать від пристрою. Їх немає в Desktop-додатку, вони доступні лише на мобільному пристрої. Якщо ви починаєте секретний чат на одному зі своїх пристроїв – цей чат буде доступний лише на цьому пристрої. Ви можете створювати скільки завгодно різних секретних чатів з одним контактом.
Посилання:
В Telegram розрізняють два типи ресурсів:
Групи і канали можуть бути публічними або приватними. Публічні мають URL-адресу, яка дозволяє кожному знаходити їх у пошукових системах, відкривати в браузері, приєднуватися. Приватні є закритими – щоб долучитися, потрібно мати посилання або QR-код запрошення. Згенерувати їх або оновити можна в налаштуваннях каналу або групи.
У всіх груп та каналів є свій ID (починається з символу мінус), ім’я, аватар, опис. Ім’я групи формує URL-адресу, яку можна переглянути як сторінку у будь-якому браузері. Максимальна довжина URL-адреси – 5 символів, включаючи 0-9, літери a-z та нижні підкреслення.
***
Питання безпеки груп і каналів в Telegram сьогодні особливо актуальне, адже шахрайських схем дедалі більшає. Це і сквоттинг, і токсичні посилання, і злочинна накрутка конкуренту “липових” підписників, атаки з підставними каналами та інше. На щастя цього можна уникнути, користуючись відповідними налаштуваннями, які доступні усім адміністраторам груп і каналів:
✅ Removed Users – опція блокування учасників в групах і каналах. Необхідно перейти в пункт “Subscribers” й обрати у списку бажаного користувача та натиснути “Remove”. Він буде видалений і з’явиться в окремому списку забанених – “Removed Users”. Надалі ви зможете редагувати цей список – вилучати або заново додавати користувачів у групу.
✅ Approve new members – опція, яка дозволяє вступ в групу лише після попереднього схвалення адміністратора. Корисна функція, адже обмежує активність небажаних персонажів. Щоправда, доступна вона, чомусь, тільки в процесі створення групи, або при переведенні приватної в публічну.
✅ Restrict Saving Content – опція забороняє учасникам груп та каналів ділитися вашим контентом, копіювати та зберігати його. Це добре захищає від несанкціонованого повторного використання і просто приховує від зайвих очей.
✅ Chat history for new members – опція обмежує видимість історії чатів в групах для нових учасників. Тут є дві опції: “Visible” і “Hidden”. Якщо увімкнути режим “Hidden”, то нові учасники не зможуть переглядати хто і що писав раніше, до того як вони вступили в групу. В іншому випадку, кожен охочий зможе вивантажити й проаналізувати історію чату разом з усім контентом – фото, відео, посиланнями, вкладеннями та іншими матеріалами. Корисна функція, захищає від несанкціонованого парсингу.
✅ Permissions – гнучка опція, яка дає адміну можливість редагувати дозволи для учасників груп: обмежити відправу повідомлень і медіа, запрошувати, закріпляти повідомлення, змінювати інформацію в описі. Можна задати проміжок часу, через який користувач зможе почати надсилати повідомлення в чат. Є опція “Add Exception’, що дозволяє видавати окремі дозволи для тих чи інших користувачів, призначати модераторів.
✅ Remain anonymous, Custom title – опції доступні у налаштуваннях адміністраторів групи. Дає можливість адміну писати в чаті анонімно, від імені своєї групи, а також змінити напис “owner”, який відображається по замовчуванню. Боти-парсери таких адмінів не бачать і не можуть вивантажити при експорті, на відміну від решти учасників.
Основна відмінність Telegram-каналу від Telegram-групи полягає в тому, що в каналах користувач не може переглядати список учасників. Відповідно провести деанонімізацію адміністратора каналу стає важчим – допоможуть або соціальна інженерія, або спеціальні OSINT-інструменти. Причому, не завжди.
Більшість шахрайських схем в Телеграм розраховані на неуважність, довірливість та наївність, а також відсутність цифрової гігієни і недотримання вимог безпеки в інтернеті.
Додаткові посилання:
Існує безліч інструментів з допомогою яких в Telegram можна вести мережеву розвідку різних типів: OSINT, HUMINT, WEBINT, IMINT, GEOINT. Давайте розберемо їх детальніше.
Боти (bots) – це автоматизовані облікові записи, які базуються на функціях Telegram API. По суті це своєрідний інтерфейс API. Існують – вбудовані боти (надані самою платформою, наприклад @BotFather) та авторські – створені користувачами. Останні можуть працювати за підготовленими сценаріями й виконувати різноманітні операції: автоматизація дій в Telegram, парсинг і аналіз інформації, онлайн-сповіщення, розсилка повідомлень, відправка SMS і здійснення дзвінків, публікації матеріалів, математичні обчислення, конвертація файлів, інтернет-переклад, віддалене керування веб-додатками та інше. Користувачі можуть взаємодіяти з ботами з допомогою звичайних чатів.
Знаючи всього лиш Username користувача, з допомогою ботів в Telegram можна:
Це далеко не увесь список інформації, яку можна отримати. Ці дані у більшості випадків стають доступними, якщо користувач не захистив профіль налаштуваннями приватності (див. вище). По замовчуванню, кожен профіль в Telegram є відкритим та вільно індексується пошуковими системами.
Приклади Telegram-ботів для пошуку інформації:
👉 Більше Telegram-ботів, відсортованих за категоріями тут і тут.
⛔ Примітка: Хочемо зауважити, що не усім Telegram-ботам можна довіряти, і не всі з них є безпечними до використання. Часто вони використовують для деанонімізації або проведення атак. У 2019 році Juniper Threat Labs виявили шпигунське програмне забезпечення типу RAT, яке використовувало Telegram як сервер для поширення трояна. І це не одиничний випадок. У 2020 році спеціалісти Malwarebytes писали про стилер для викрадення платіжних даних, який маскувався під Telegram-бот. У 2021 році Avast повідомили про виявлення малварі, яка поширюється через Телеграм і краде криптовалюту у власників. В червні 2023-го викрили зловмисників, які через фішингових Telegram-ботів викрадали дані авторизації користувачів і зламували їх акаунти.
Деякі Телеграм-боти незаконно збирають користувацькі дані за межами Telegram. Так, у 2021 році громадськості стало відомо, що російський бот “Глаз Бога” імпортував клієнтські бази ПриватБанку, Нової Пошти, Київстару та інших компаній й роздає всім охочим за невелику плату. Внаслідок цього були скомпрометовані дані громадян України. При цьому, при завантаженні файлу звіту бот зберігає IP-адресу того, хто його завантажив.
Зловмисники вищевказану інформацію використовують для нелегального продажу персональних даних. У 2021 році 130 000 персональних даних було викрадено, і понад 1,1 мільярда євро витрачено на штрафи через порушення GDPR.
Окрім ботів, існують такі засоби експлуатації Telegram API як мережеві утиліти і засоби командного рядка (Command Line Interface, CLI):
site:t.me
site:t.me/joinchat
site:t.me/joinchat inurl:<anything>
site:t.me intext: 2 members
intext:t.me/
intext:t.me/joinchat
site:t.me/joinchat -Exchange -crypto -crypt -mining
"t.me/joinchat" "qanon" -site:t.me
ℹ️ Лайфхак: Як читати публічні Telegram-канали анонімно, без реєстрації в Telegram? Таку можливість дає нам онлайн-сервіс RSSHUB.APP. Просто відкриваємо URL-посилання і підставляємо ім’я Telegram-каналу, який хочемо читати. Наприклад: https://rsshub.app/telegram/channel/cybdetective
Відкриється звичайна RSS-стрічка в форматі XML, яку можна загнати в будь-який Feed Reader, наприклад Feedbro. Тепер усі сповіщення про нові публікації будуть надходити вам в RSS-стрічку і ви зможете читати їх у браузері.
👉 Корисні мануали і туторіали по OSINT в Telegram:
Багато-хто помилково вважає буцімто в Telegram все дозволено і цензури як такої немає, його ніхто не модерує, все анонімно та секретно. Насправді це велика ілюзія. Телеграм чудово модерується, в ньому працюють сотні, а то й тисячі людей, добре налагоджена система скарг і співпраця з правоохоронними органами. Інша справа, що рішення щодо блокування часто приймаються вибірково.
Сотні каналів і профілів блокуються мало не щодня через скаргу користувачів або самих модераторів. Не рідко цим зловживають спамери та недобросовісні конкуренти, які з допомогою автоматизованих систем накручують жалоби.
В Telegram також існує таке явище як “тіньовий бан”, коли сторінка з невідомих причин не з’являється у глобальному пошуку. Зняти його дуже складно, це може тривати до 6 і більше місяців.
В Telegram заборонено:
Користувачі Telegram мають право:
Якщо ви є рекламодавцем і використовуєте можливості Telegram Ads, то вам заборонено:
ℹ️ У довідці Telegram сказано, що у деяких випадках облікові записи користувачів можуть бути забанені без причини, якщо ваш мобільний номер має негативну історію в Телеграм, наприклад через дії попередніх власників (при покупці SIM-картки дивіться, щоб вона була чистою). Особливо це стосується віртуальних номерів, котрі можна придбати в онлайн-маркетплейсах.
Ліміти для облікового запису користувача:
Ліміти для особистих чатів та груп:
Ліміти для каналів:
Ліміти для ботів:
Ліміти для стікерів:
Ліміти для Telegraph:
Посилання:
Перш за все, необхідно терміново звернутися в технічну підтримку Telegram і повідомити про інцидент: https://telegram.org/support. Намагайтесь детально й водночас чітко та лаконічно описати ситуацію.
Не буде зайвим відправити електронного листа-звернення на email інших служб техпідтримки Telegram:
Надайте максимально всі матеріали: фото, відео, скріншоти. Листа бажано скласти двома мовами: українська і англійська (в одному листі). Також вкажіть свої контанти як з вами ще можна зв’язатися крім пошти. Писати краще всього зі звичайної гуглівської пошти GMAIL.
Додатково напишіть в форму на оф. сайті Telegram:
Відповідь може надійти не зразу, або не надійти взагалі. Подейкують, що сапорт волонтерський. У деяких випадках проблема може бути вирішена мовчки без зворотного повідомлення. Через деякий час спробуйте знову увійти у свій акаунт.
Окрім цього, у Telegram є спеціальний обліковий запис в Twitter – @SmsTelegram (Telegram Login Help). Спробуйте написати ще туди, це також може допомогти вирішити проблеми з входом.
Якщо маєте резервний обліковий запис, або в знайомих – можна ще написати в технічну підтримку безпосередньо в самому додатку і також повідомити про проблему.
Не забудьте також:
Коли у вас відновиться доступ до Telegram, негайно перейдіть в налаштування і увімкніть ДВОФАКТОРНУ ВЕРИФІКАЦІЮ. Рекомендується також змінити свій номер телефону в Telegram на інший (зловмисники могли перевипустити або клонувати SIM, чит. вище).
Ви також можете спробувати вилучити свій акаунт, якщо у вас є доступ до SIM-картки і вас впускає в акаунт (пробуйте з різних пристроїв Desktop/Mobile), але викидає через кілька секунд (зловмисник просто видаляє ваші сесії). Для цього необхідно спочатку перейти сюди, вказати свій мобільний номер і ввести код підтвердження, який надійде в чат в обліковому записі Telegram. Вам потрібно буде його відкрити швидше, ніж зловмисник встигне вас вилучити. Таким чином акаунт буде знищений, а зловмисник вже не зможе вчиняти несанкціоновані дії. Однак у цьому випадку дані облікового запису будуть втрачені назавжди.
Експериментальний спосіб: Спробуйте також додати мобільний номер хакнутого облікового запису в інший активний обліковий запис Telegram (опція мультиакаунт, Settings -> Add Account). Тоді можливо замість коду в додаток система відправить код в SMS на ваш телефон і ви зможете розлогінити зловмисника та залогінитися самому.
Якщо усі вищезгадані способи не допомогли, спробуйте цей лайфхак, який пропонує використати resetAutorizations
через самописного бота на базі API Telegram.
Чого не варто робити: Не звертайтесь ні до яких “хакерів” на OLX, Telegram, Viber, WhatsApp, Facebook або інтернет-форумах, які нібито пропонують відновити акаунт за відповідну суму. У 90% випадках це чистий розвод. Також не думайте платити якийсь викуп за повернення акаунта, якщо зловмисники пропонують такий варіант.
👉 Читайте також: Безпека в інтернеті. Основні поради і рекомендації
На щастя, процес видалення Telegram-акаунта забирає не так багато часу, однак візьміть до уваги, що ваші дані не зникнуть з серверів безслідно. Вони можуть зберігатися там певний період часу – до 12 місяців. Причому, ваші контакти зможуть спілкуватися в групах, які ви створили, і вони матимуть свою копію ваших повідомлень, але замість вашого ім’я буде напис – “Deleted Account”.
Щоб подати запит на видалення свого акаунта з Telegram необхідно перейти на веб-сторінку: https://my.telegram.org/auth?to=delete. Далі ввести свій номер телефону, зв’язаний з акаунтом Telegram і код, який система надішле вам в додаток (не SMS).
Припинення дії облікового запису Telegram є безповоротним. Якщо ви зареєструєтесь знову, то ви відобразитесь як новий користувач і не зможете відновити свою історію, контакти чи групи.
Порада: Перед видаленням акаунта рекомендуємо очистити історію ваших повідомлень у чатах і видалити діалоги з усіма вашими співрозмовниками з обох сторін.
ℹ️ За всю історію в Telegram, станом на Червень 2023-го, знайдено 32 офіційних вразливостей. Більшість з них виправлені. Хоча є й такі, які перебувають у стані диспуту або розгляду.
Пропонуємо ознайомитись з повним списком:
ℹ️ Примітка: Варто додати, що окрім офіційно зареєстрованих та задокументованих вразливостей Telegram, існує ряд неофіційних, які ніхто ніде не реєстрував і не звітував, або які були повідомлені в службу підтримки Telegram анонімно. До слова, чимало баг-хантерів нарікають на політику Telegram щодо виявлення вразливостей. Адже компанія не дозволяє публічно розголошувати будь-які дані, пов’язані з вразливостями, публікувати імена дослідників. Винагорода за виявлені баги також не є адекватною і не дотягує до виплат на платформах Bug Bounty. Так, у червні 2023-го дослідник з ніком Slonser виявив досить стару (існувала приблизно з 2021 року) і серйозну XSS-вразливість в веб-версії Telegram, яка давала змогу не тільки читати й надсилати повідомлення від імені користувача, а й повністю захопити доступ до акаунта. Команда Telegram отримала звернення від користувача і нічого не відповіла, після чого просто виправили баг. Лише після повторних запитів йому виплатили 500$ винагороди.
Хочемо зауважити, що подібна поведінка компанії Telegram веде до того, що майбутні баги будуть експлуатуватися хакерами таємно і нікому не повідомлятися. Відповідно команда Telegram не зможе вчасно виявляти та виправляти їх, а користувачі будуть наражатися на небезпеку. Це призведе до великої кількості інцидентів та катастрофічних наслідків.
👉 Додаткові посилання для дослідників безпеки:
У квітні 2016 року були зламані Telegram-акаунти двох російських опозиціонерів і активістів — Георгія Албурова і Олега Козловського. Троянським конем у цьому інциденті виступив оператор мобільного зв’язку — МТС. За словами одного з активістів, пізно вночі відділ технологічної безпеки МТС повністю відключив їм на телефонах приймання SMS та інтернет, а також повідомлення про підключені та відключені послуги. Після чого невідомі зловмисники (ймовірно ФСБ) через TOR направили запит на вхід до Telegram-акаунтів потерпілих. У відповідь месенджер відправив SMS з кодом авторизації на номери Козловського та Албурова. Але оскільки SMS-сервіс було відключено, ці коди вони не отримали — їх отримали зловмисники з продубльованими SIM-картками активістів. У результаті вони успішно увійшли в їх Telegram і завантажили звідти історію листування. На ранок МТС, як ні в чому не бувало, відновив усі відключені сервіси. Пізніше власник Telegram Павло Дуров підтвердив, що за зламом стояли спецслужби.
Через деякий час після цього випадку у мережі з’явився матеріал, де фахівці з кібербезпеки демонструють злам Telegram через вразливість SS7 – технологія, яка використовується в мережах мобільного зв’язку. Вони пояснили, що цю вразливість може проексплуатувати практично кожен хакер-початківець. Спеціалістам вдалося дізнатися IMSI-код SIM-картки жертви і перехопити SMS-повідомлення з кодом активації Telegram. Таким чином вони взяли під контроль акаунт. Щоправда, таке можливо лише за відсутності активної двофакторної авторизації, а також наявності у зловмисників спеціальних пристроїв та програмного забезпечення.
У січні 2017 року порталом BuzzFeed.News було розсекречено документ, створений офіцером британської розвідки, який містить збірку різноманітних записів. У ньому в основному йдеться про втручання російських хакерів і спецслужб у вибори в США, а також непомітно згадується Telegram. Невідомий автор заявляє, що ФСБ вдалося зламати додаток і тепер він не є безпечним до використання. Повідомлення датується 26 червня 2015 року. Документ було розміщено у вільному доступі на Document Cloud.
Того ж 2017 року в ЗМІ просочилася інформація про те, що Антон Розенберг, який стояв біля витоків “Вконтакте”, подав в суд на братів Дурових за своє неправомірне звільнення. Він опублікував довгий лонгрід на платформі Medium, де розповідає про всю “підноготну” Вконтакте й Telegram. За словами Розенберга, його звільнили через особистий конфлікт з Миколою Дуровим — братом Павла. Останній відзначився, на думку автора, особливою непорядністю. Історія закінчилася мировою: Розенбергу виплатили 1,5 мільйона рублів та зробили запис у трудовій книжці про звільнення за власним бажанням. Для себе з цієї історії можемо взяти наступне: Телеграмом керує не одна персона, а брати. І кожен з них має власні погляди, інтереси та ініціативи. Наприклад, компанія Telegraph Inc., яка числиться серед нинішніх груп-власників Telegram і зареєстрована на Британських Віргінських Островах, володіє ще однією ООО “Telegraph” в Росії, з якої усе починалось. Таким чином з допомогою різних юридичних схем, власники ймовірно приховують свої зв’язки з Росією.
Як повідомляють інсайдерські джерела, інвесторами компанії Telegram були російські підсанкційні особи та арабські фонди, які здійснювали інвестиції в російські бізнес та економіку.
1 липня 2017 року в РФ усіх телеком-провайдерів зобов’язали зберігати записи телефонних дзвінків і повідомлень та інтернет-трафік протягом пів року, а інтернет-месенджери – зберігати ключі розшифровування онлайн-листування та надавати ФСБ по запиту. Telegram відмовились надавати ключі шифрування, обґрунтувавши це тим, що їх архітектура не передбачає подібного втручання (лист-відповідь “Роскомнагляду”). Паралельно вони заручились підтримкою юристів міжнародної правозахисної групи «Агора» й звернулася до суду з вимогою визнати незаконною вимогу силовиків. Судову справу вони програли, що стало першим етапом їхнього блокування в Росії. У 2018 році “Роскомнагляд” почав банити IP-адреси Telegram, що привело до блокування цілого ряду ресурсів: Google, Viber, Twitter, Facebook та інших. Проте сам Telegram залишався доступним. Одна з причин: використання різних механізмів моментальної зміни IPv4-адрес на хостингах Amazon, Google, DigitalOcean, а також використання адрес IPv6, які “Роскомнагляд” не міг технічно заблокувати. Окрім того, вбудована підтримка проксі SOCKS5 і MTProto давала користувачам змогу обходити ці блокування. У висновку, “Роскомнагляд” зрозумів, що таким чином він заблокує увесь Рунет, але не Telegram. Через якийсь час все затихло, про «блокування» Telegram стали говорити дедалі менше, а різні російські чиновники заявляли, що в них вже все працює, і що «заблокований» не значить «заборонений». 18 червня 2020 року “Роскомнагляд” на своєму сайті оголосив:
“Позитивно оцінюємо висловлену засновником Telegram готовність протидіяти тероризму та екстремізму. За погодженням з Генеральною прокуратурою РФ Роскомнагляд знімає вимоги щодо обмеження доступу до месенджера Телеграм…”.
Ось так гучна справа блокування Телеграм в Росії дивовижним чином зам’ялася. Це породило масу чуток в ЗМІ про можливе співробітництво Telegram і ФСБ, зв’язки Дурова з Кремлем і таке інше. Правда це чи вигадки – питання досі відкрите. Хотілось би, щоб цим кейсом зайнялись провідні детективи світу, наприклад Христо Грозєв з “Bellingcat”.
У 2020-2021 роках силовики Білорусі широко застосовували функції Telegram для ідентифікації протестувальників. Зокрема, визначали Telegram ID, пробивали номери телефонів, парсили публічні чати, щоби дізнатися, які саме повідомлення публікував той чи інший користувач. І навіть відновлювали видалений користувачами контент через доступ до кешу, який накопичувався на їх пристроях. Більш детально про це у документі.
У 2019 році в Гонконгу спалахнули масові протести, викликані законом про екстрадицію, що дало уряду право передавати своїх громадян на запити країн, з якими не підписано угоду про екстрадицію. Жителі Гонконгу побачили в цьому загрозу автономії регіону й порушення прав громадян, що стало приводом до масових протестів. Через деякий час протестувальники розширили список своїх вимог, і на початок 2020-го протести продовжували вирувати. Для координації дій використовувався Telegram. На думку активістів, Telegram був кращим вибором через приватність даних, а також можливість створювати великі чати і групи. Саме в цих чатах та групах планувалися акції та обговорювалися протиправні, з погляду влади, дії. Дуже швидко всіх активістів вичислили і притягнули до відповідальності. Викриття відбулося, за деякими оцінками, через баг в Telegram.
У березні 2022 року уряд Бразилії виставив Telegram ультиматум – платформі дається 24 години на виконання рішень суду, інакше її блокують. Telegram дотримався умов, вибачився і зобов’язався:
Ось вам і “…право на конфіденційність та таємницю особистого листування залишаються фундаментальним принципом Telegram у всіх країнах”.
На початку повномасштабного військового вторгнення росії в Україну, ФСБ з допомогою Telegram визначало проукраїнських активістів та журналістів на окупованих територіях. Одним з них став Ігор Бондаренко. Чоловік вів листування з допомогою Telegram зі своїми побратимами. Коли його затримали, виявилося що військові мають доступ до всіх чатів активіста. Про цю історію детально розповів The Washington Post. Потім її детально розібрав американський експерт з безпеки Метт Тейт.
24 листопада 2022 року за рішенням Вищого суду Індії в Делі Telegram зобов’язали розкрити імена адміністраторів, номери телефонів та IP-адреси каналів, звинувачених у несанкціонованому обміні навчальними матеріалами для національних іспитів. Telegram стверджував, що його регіональні сервери розташовані в Сінгапурі, а тому жодні дані не можуть бути розкриті, оскільки місцеве законодавство забороняє це. Врешті-решт, Telegram оприлюднив всі дані, зберігши таким чином присутність в Індії, яка є їх найбільшим ринком – понад 700 мільйонів користувачів. Як кажуть, “бабло перемагає зло”.
У червні 2022-го в німецькому виданні Spiegel з’явилася стаття про те як Telegram співпрацює з правоохоронними органами Німеччини. За твердженням авторів, зафіксовані активні і постійні відносини Дурова з Управлінням кримінальної поліції Німеччини (Bundeskriminalamt або BKA) та Федеральним міністерством юстиції. Додається, що це відбулось внаслідок постійного тиску збоку німецького уряду. Telegram оштрафували на 55 мільйонів доларів згідно німецького Закону про захист мереж (Network Enforcement Act). У висновку, Telegram і уряд Німеччини домовилися про створення прямої лінії зв’язку.
У 2023 році губернатор штату Монтана Ґреґ Джанфорте ввів заборону на використання Telegram на державних пристроях. Чиновник обґрунтував це своїм занепокоєнням щодо безпеки та конфіденційності даних, припустивши, що Телеграм можна використовувати для моніторингу користувачів і доступу до особистої інформації.
У жовтні 2024 року Павло Дуров, засновник і генеральний директор Telegram, був затриманий у Франції після прибуття в аеропорт Парижа. Це сталося в рамках розслідування, яке стосується кіберзлочинів, зокрема звинувачень у поширенні незаконного контенту, такого як дитяча порнографія, наркотики і відмивання грошей через платформу. Дурова звільнили під заставу в 5 мільйонів євро, але він залишається під судовим наглядом й зобов’язаний регулярно звітувати в поліцію. Є побоювання, що це призведе до посилення цензури та нагляду на платформі Telegram.
👉 Посилання на інші кейси, матеріали, розслідування пов’язані з Telegram і Дуровим:
У першу чергу альтернативою можуть стати захищені месенджери, такі як Signal, Threema, Briar, XMPP Conversations, Wire та інші. Їх ми детально розглянули в окремій статті: ТОП безпечних та захищених месенджерів.
Ще однією альтернативою може слугувати добре знайомий нам Viber, який володіє широким функціоналом – канали, групи, чати, боти. Підтримує E2EE-шифрування в приватних і групових чатах. Є API-інтерфейс. Має достатньо непогану документацію. За останні роки Viber здійснив певний прогрес, додавши різноманітні функції приватності, однак він є централізованим і використовує ADINT (Ads Intelligence) – це система рекламної розвідки, яка збирає знеособлені дані користувачів та націлює на них таргетовану рекламу. З допомогою ADINT можна відстежувати особу та здійснити деанонімізацію. Щоправда, Viber не є виключенням, подібна система вже давно присутня в усіх продуктах Meta: Facebook, WhatsApp, Instagram. В Telegram, попри заяви Павла Дурова не вводити рекламу, вона теж присутня.
Найбільш схожим до Telegram за архітектурою та функціоналом є Matrix. На ньому зупинимось детальніше.
***
Matrix – це відкритий децентралізований протокол для інтернет-комунікації, який підтримує усі типи обміну повідомленнями: чати, голосові повідомлення, аудіо та відео виклики, обмін файлами, API-інтеграції і інше. Протокол складається з серверної та клієнтської частин. Підтримує E2E-шифрування і федеративну систему. Користувач має змогу розгорнути власний домашній сервер Matrix та під’єднати до нього клієнт. Движки для реалізації Matrix-сервера: Synapse, Dendrite, Construct, Ligase.
Користувачі, які не мають досвіду в адмініструванні VPS-серверів і не хочуть розбиратися з движками, можуть скористатися “коробочними” рішеннями від різних провайдерів, які надають Matrix-сервер і клієнт (програму). Все, що необхідно — це завантажити безкоштовно додаток і створити обліковий запис:
Переваги Matrix:
Посилання:
Сказати, що Telegram – це страшне зло, доступ до якого в Україні потрібно заблокувати вже завтра, складно. Сама ідея цікава та актуальна – створити кишенькову “хмару”, не вимогливу до пристрою, з допомогою якої можна отримати доступ до своїх мультимедіа у будь-якій точці світу та можливість виконувати найрізноманітніші операції в інтернеті: приватний месенджер, стрічка новин, плеєр, соцмережа, веб-сторінки, браузер, пошук, платежі, обчислення і так далі. Розробники ж, у свою чергу, можуть писати додатки для цієї платформи й таким чином заробляти. Це дійсно захопливо, але на практиці не так все казково, як здається. Захистити подібне непросто. Власне, що ми й бачимо — функціонал Telegram має прогалини, які роблять його “троянським конем”. А тому є привід поставитися з усією серйозністю та відповідальністю щодо техніки безпеки у цьому додатку.
Загалом, усі потенційні вразливості Telegram можна поділити на такі типи:
Основне, що варто назавжди запам’ятати користувачу:
Ну, а якщо ви знаходитесь в зоні підвищеного ризику (військові, журналісти, волонтери, політики), то рекомендуємо взагалі відмовитися від Telegram і використовувати децентралізовані захищені месенджери (див. вище).
З іншого боку, таке творіння П.Дурова як “ВКонтакте”, зі значно слабшим функціоналом та призначенням, на багато років заблоковано на території України. Сьогодні “ВК” практично мертвий і не являє собою жодного інтересу, тим часом як вся російська пропаганда переїхала в Telegram, який став одним з найпопулярніших додатків в Україні.
Громадянам України варто знати:
P.S. І на завершення. Безпека та комфорт, безпека і бізнес – часто суперечать один одному. Наприклад, щоби забезпечити наскрізне шифрування в Телеграмі не тільки в секретних чатах, а й на усіх інших рівнях інфраструктури, і при цьому зберегти швидкість, компактність, гнучкість – треба докорінно змінювати архітектуру, відмовлятися від принципів хмарного сховища (відмова від пересилки об’ємних файлів до 4 ГБ), вводити новий функціонал і вкладати у це кошти, а відтак змінювати сам тип і характер додатка. А хіба це їм потрібно? Навіщо Дурову щось змінювати, якщо Телеграм й так успішний. Це ж не захищений месенджер, а соціальна платформа з розвинутим функціоналом, де основна мета – збільшувати аудиторію і заробляти на ній. Слова “безпечно, конфіденційно” – маркетингова обгортка, аби користувач повірив у якусь ідею. Бо проєкт без ідеї – ніщо. Зараз вже можемо сказати чого варті обіцянки буцімто Телеграм ніколи не стане комерційним, ніколи не співпрацюватиме з урядами, вся ця критика вбік WhatsApp… Насправді і Telegram, і WhatsApp – “одного поля ягідки”. А ставлення Telegram до баг-хантерів бажає кращого.
У всякому випадку, хай кожен сам собі вирішує користуватися йому “Тєлєгою” чи ні. Можливо, хтось-колись створить добре захищений український форк чи аналог Telegram. Ми ж черговий раз повторюємо: читайте інструкції, вивчайте специфікації, досліджуйте хронологію і біографії, шукайте джерела і першопричини, зберігайте анонімність та вчасно оновлюйте програмне забезпечення!
👉 Читайте також:
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!