Среди политических активистов и активной молодежи распространилась мода на Телеграм, как средство связи. В целом, Телеграм в любом случае гораздо лучше, чем тот же вконтакт, Viber или facebook.
Среди его плюсов:
- Судя по всему, IP адреса пользователей Телеграм не выдает, в особенности правительствам постсоветского пространства. В отличии от того же вконтакта, который без всяких документов информацию о вас выдаст любому оперативнику.
- Секретные чаты обеспечивают end-to-end шифрование, истории которых не хранятся ни на каком сервере, обеспечивая анонимность переписки.
- Есть различные способы защитить свой аккаунт: поставить пароль на открытие переписок, установить таймер на удаление переписки.
- Есть клиенты как на мобильные телефоны, так и на компьютеры.
- Есть супергруппы до 5000 человек, боты, и многие другие полезные вещи для модерации общения.
Но также, как и плюсы, у Телеграм есть значительные минусы, которые не дают нам возможности назвать его полностью безопасным средством связи.
Самые значительные его минусы:
- Привязка к телефону и отправка ваших контактов на сервер. И тут даже не проблема в выдаче вашего списка контактов. Гипотетически КГБ может взять базу всех телефонов Беларуси, залить ее себе в контакты и, таким образом, получить связь между всеми номерами и пользователям в телеграме.
- Сообщения сами по себе не зашифрованы. Они не передаются по открытому протоколу и в любом случае провайдер не может их прочитать (SSL мешает), но на сервере Телеграма они хранятся и при повторном логине в аккаунт — придут и туда.
- На ПК нет секретных чатов. Только на телефонах.
- При добавлении нового аватара — старый НЕ удаляется. Его необходимо удалять вручную. Многие люди думают, что подгрузив новый аватар, старый канул в нибытие. Нет, это не так.
Это крайне существенные минусы, многие из которых могут привести к тому, что человека банально раскроют спецслужбы. Но их можно обойти даже без замены аккаунта.
Сейчас мы пройдемся по каждому из минусов:
- Зарегистрировать Телеграм можно на виртуальный номер в Америке. Да, в США есть сервис, который позволяет создавать виртуальный номер мобильного телефона и принимать на него СМС. Телеграм еще пока принимает такие номера, и этим стоит пользоваться. Для регистрации на этом сервисе не нужна реально существующая почта, хотя если вы планируете поддерживать свой номер привязки в Телеграм под своим контролем — стоит раз в две недели просто логиниться на сайт. После регистрации от вас потребуют Area Code — введите такой, который сможете найти в США. Не используйте один и тот же, что написан в публичных инструкциях — будет меньше вероятности, что у вас украдут аккаунт. Также безопасным способом будет регистрация Телеграма на сим-карту в России и Украине. Мы призываем всех читающих нас УЖЕ сменить белорусский номер в телеграме на какой-нибудь иностранный. Так вы защитите себя и своих близких от возможных репрессий.
Инструкция для всего этого со скриншотами. - Всю чувствительную информацию можно передавать сервисом одноразовых сообщений privnote.com и onetimesecret.com Просто напишите то, что необходимо передать, и скиньте ссылку вашему собеседнику. Сообщения можно также запаролить, чтобы их не открыл потенциальный мусор.
- Удаляйте все медиа, что у вас осталось с прошлых аватарок. Иначе их могут просмотреть.
- Включайте двухэтапную верификацию — она поможет создать пароль на сервере (кроме пин-кода, присылаемого на телефон) и привяжет ваш аккаунт к почте восстановления, который не даст потом человеку с точно таким же номером (особенно это касается виртуальных) использовать ваш личный аккаунт. В настройках Turn on Two-Step verification. Доступна в версиях Telegram Desktop.
Добавим несколько полезных рекомендаций:
- Не используйте для своих никнеймов или имен что-либо, связанное с вами реально. Никнейм вконтакте и в телеграме НЕ ДОЛЖЕН совпадать. Уже не говорим о реальных имени и фамилии. Не используйте одинаковых аватарок.
- Не пишите в публичных группах в Телеграме что-то, что выдает вас. Пишите только то, что не может вывести на вас лично.
- Используйте Тор для подключения к Телеграму на ПК. Скачайте ТорБраузер. Он пригодится и при посещении заблокированных сайтов в интернете. При подключении — включите мосты в Торе [1]. В настройках, в Connection Types (Настройках соединения) поставьте Socks5 прокси, в IP адрес впишите 127.0.0.1 и порт 9150. После этого ваш Телеграм будет работать через Тор. Абсолютно безопасно для вас.
- Не добавляйте никого незнакомого в контакты. Это выдаст ваш виртуальный номер и человек сможет следить за вашим статусом в сети.
После того, как вы учли все минусы и обошли их, мы с радостью ждем вас в нашей группе в Телеграм. Ответы на вопросы по безопасности, проведению агитаций, анархических идей, поиск белорусских мусоров — все тут.
[1] Чтобы включить мосты в Торе необходимо:
Выбрать «Мосты» — Bridges в настройках Tor как для настольных компьютеров («Настройки» — Settings), так и для мобильных устройств (например, в Orbot для Android в боковом меню найти переключатель «Мосты» — Bridges). Дальше выбираете опцию «Мой провайдер цензурирует доступ к интернету», а после этого выбираете соединение через Мост. Обычно работает с первого раза с obfs4.
Signal, который не присутствует на ПК
Сигнал есть и на ПК если что.
Но в целом, можно любой номер не своей страны. Почему именно США?
Друзья, ваша концепция безопасности — это пользователи телеграмма, зарегистрированные на американские временные номера? Бесплатный сыр только в мышеловке — стоит помнить об этом, т.е. в данном случае сложно сказать, что безопаснее — беларуские симки, которые могут клонировать беларуские мусора или бесплатные виртуальные номера, которые могут использоваться не только вами, но и другими людьми. Сами ведь пишете, то надо каждые 2 недели проверять, чтобы номер не был передан кому-то другому. Что за глупые предложения?!
При этом 15 суток (читай больше 2 недель) будет достаточно для того, чтобы потерять доступ к вашему аккаунт (так как привязан к виртуальному телефону)
Многие крупные коммерческие сайты уже не позволяют регистрироваться на виртуальные телефоны, поэтому решение может быть прикрыта в ближайшее время.
Идея о двухступенчатой аутентификации выглядит вроде как безопасно, но автор забывает о том, что для такого рода аутентификации вам надо будет постоянно пользоваться сайтом виртуального телефона для логина в ваш аккаунт.
Использование клиента телеграмма через тор не спасает вас от, к примеру, dns leak проблем, которые были известны на других клиентах.
Ну и одноразовые сообщения типа privnote и прочих сервисов — шаг назад в вопросе безопасности: при прочтении и создании этих сообщений используется только SSL/TLS стэк, в то время как в ОТР/ПГП решениях шифрование реализовано куда более грамотно. Помимо этого полностью уничтожается концепция цепи доверия — вы не сможете узнать, что именно тот человек, которому вы доверяется передал вам сообщение — сейчас не составляет труда отправить сообщение от revbel@riseup.net на адрес человека с запиской привнота в которой будет указан адрес сбора — а там уже будут ждать мусора.
Ваша критика справедлива, но оторвана от контекста. Факт есть — многие люди УЖЕ используют Телеграм для коммуникации, в том числе протестной. Одними призывами уходить в XMPP не спасти людей от деанонимизации в протестной группе в Телеграме, зато виртуальным номером — спасти. Об этом мы и написали.
В целом мы всегда стояли на использовании безопасных каналов связи — XMPP + OTR (OMEMO) или GnuPG + почта.
DNS leak лишь выдаст использование Телеграма как приложение, но спасет от перехвата трафика и подлога другого сертификата.
Такая же ситуация и с privnote.com. Имея каждый человек джаббер или хотя бы чтобы большая часть XMPP клиентов была воплощена настолько продумано, как любой проприетарный мессенджер — то проблем бы не возникло. Но из таких проектов можно вспомнить разве что Signal, который не присутствует на ПК. Поэтому privnote.com это лучше, чем писать открытым текстом. Все познается в сравнении.