Телеграм: плюсы и минусы

Среди политических активистов и активной молодежи распространилась мода на Телеграм, как средство связи. В целом, Телеграм в любом случае гораздо лучше, чем тот же вконтакт, Viber или facebook.

Среди его плюсов:

  1. Судя по всему, IP адреса пользователей Телеграм не выдает, в особенности правительствам постсоветского пространства. В отличии от того же вконтакта, который без всяких документов информацию о вас выдаст любому оперативнику.
  2. Секретные чаты обеспечивают end-to-end шифрование, истории которых не хранятся ни на каком сервере, обеспечивая анонимность переписки.
  3. Есть различные способы защитить свой аккаунт: поставить пароль на открытие переписок, установить таймер на удаление переписки.
  4. Есть клиенты как на мобильные телефоны, так и на компьютеры.
  5. Есть супергруппы до 5000 человек, боты, и многие другие полезные вещи для модерации общения.

Но также, как и плюсы, у Телеграм есть значительные минусы, которые не дают нам возможности назвать его полностью безопасным средством связи.

Самые значительные его минусы:

  1. Привязка к телефону и отправка ваших контактов на сервер. И тут даже не проблема в выдаче вашего списка контактов. Гипотетически КГБ может взять базу всех телефонов Беларуси, залить ее себе в контакты и, таким образом, получить связь между всеми номерами и пользователям в телеграме.
  2. Сообщения сами по себе не зашифрованы. Они не передаются по открытому протоколу и в любом случае провайдер не может их прочитать (SSL мешает), но на сервере Телеграма они хранятся и при повторном логине в аккаунт – придут и туда.
  3. На ПК нет секретных чатов. Только на телефонах.
  4. При добавлении нового аватара – старый НЕ удаляется. Его необходимо удалять вручную. Многие люди думают, что подгрузив новый аватар, старый канул в нибытие. Нет, это не так.

Это крайне существенные минусы, многие из которых могут привести к тому, что человека банально раскроют спецслужбы. Но их можно обойти даже без замены аккаунта.

Сейчас мы пройдемся по каждому из минусов:

  1. Зарегистрировать Телеграм можно на виртуальный номер в Америке. Да, в США есть сервис, который позволяет создавать виртуальный номер мобильного телефона и принимать на него СМС. Телеграм еще пока принимает такие номера, и этим стоит пользоваться. Для регистрации на этом сервисе не нужна реально существующая почта, хотя если вы планируете поддерживать свой номер привязки в Телеграм под своим контролем – стоит раз в две недели просто логиниться на сайт. После регистрации от вас потребуют Area Code – введите такой, который сможете найти в США. Не используйте один и тот же, что написан в публичных инструкциях – будет меньше вероятности, что у вас украдут аккаунт. Также безопасным способом будет регистрация Телеграма на сим-карту в России и Украине. Мы призываем всех читающих нас УЖЕ сменить белорусский номер в телеграме на какой-нибудь иностранный. Так вы защитите себя и своих близких от возможных репрессий.
    Инструкция для всего этого со скриншотами.
  2. Всю чувствительную информацию можно передавать сервисом одноразовых сообщений privnote.com и onetimesecret.com Просто напишите то, что необходимо передать, и скиньте ссылку вашему собеседнику. Сообщения можно также запаролить, чтобы их не открыл потенциальный мусор.
  3. Удаляйте все медиа, что у вас осталось с прошлых аватарок. Иначе их могут просмотреть.
  4. Включайте двухэтапную верификацию – она поможет создать пароль на сервере (кроме пин-кода, присылаемого на телефон) и привяжет ваш аккаунт к почте восстановления, который не даст потом человеку с точно таким же номером (особенно это касается виртуальных) использовать ваш личный аккаунт. В настройках Turn on Two-Step verification. Доступна в версиях Telegram Desktop.

Добавим несколько полезных рекомендаций:

  1. Не используйте для своих никнеймов или имен что-либо, связанное с вами реально. Никнейм вконтакте и в телеграме НЕ ДОЛЖЕН совпадать. Уже не говорим о реальных имени и фамилии. Не используйте одинаковых аватарок.
  2. Не пишите в публичных группах в Телеграме что-то, что выдает вас. Пишите только то, что не может вывести на вас лично.
  3. Используйте Тор для подключения к Телеграму на ПК. Скачайте ТорБраузер. Он пригодится и при посещении заблокированных сайтов в интернете. При подключении – включите мосты в Торе [1]. В настройках, в Connection Types (Настройках соединения) поставьте Socks5 прокси, в IP адрес впишите 127.0.0.1 и порт 9150. После этого ваш Телеграм будет работать через Тор. Абсолютно безопасно для вас.
  4. Не добавляйте никого незнакомого в контакты. Это выдаст ваш виртуальный номер и человек сможет следить за вашим статусом в сети.

После того, как вы учли все минусы и обошли их, мы с радостью ждем вас в нашей группе в Телеграм. Ответы на вопросы по безопасности, проведению агитаций, анархических идей, поиск белорусских мусоров – все тут.

[1] Чтобы включить мосты в Торе необходимо:
Выбрать «Мосты» — Bridges в настройках Tor как для настольных компьютеров («Настройки» — Settings), так и для мобильных устройств (например, в Orbot для Android в боковом меню найти переключатель «Мосты» — Bridges). Дальше выбираете опцию “Мой провайдер цензурирует доступ к интернету”, а после этого выбираете соединение через Мост. Обычно работает с первого раза с obfs4.

3 Comments

  1. Signal, который не присутствует на ПК

    Сигнал есть и на ПК если что.

    Но в целом, можно любой номер не своей страны. Почему именно США?

  2. Друзья, ваша концепция безопасности – это пользователи телеграмма, зарегистрированные на американские временные номера? Бесплатный сыр только в мышеловке – стоит помнить об этом, т.е. в данном случае сложно сказать, что безопаснее – беларуские симки, которые могут клонировать беларуские мусора или бесплатные виртуальные номера, которые могут использоваться не только вами, но и другими людьми. Сами ведь пишете, то надо каждые 2 недели проверять, чтобы номер не был передан кому-то другому. Что за глупые предложения?!

    При этом 15 суток (читай больше 2 недель) будет достаточно для того, чтобы потерять доступ к вашему аккаунт (так как привязан к виртуальному телефону)

    Многие крупные коммерческие сайты уже не позволяют регистрироваться на виртуальные телефоны, поэтому решение может быть прикрыта в ближайшее время.

    Идея о двухступенчатой аутентификации выглядит вроде как безопасно, но автор забывает о том, что для такого рода аутентификации вам надо будет постоянно пользоваться сайтом виртуального телефона для логина в ваш аккаунт.

    Использование клиента телеграмма через тор не спасает вас от, к примеру, dns leak проблем, которые были известны на других клиентах.

    Ну и одноразовые сообщения типа privnote и прочих сервисов – шаг назад в вопросе безопасности: при прочтении и создании этих сообщений используется только SSL/TLS стэк, в то время как в ОТР/ПГП решениях шифрование реализовано куда более грамотно. Помимо этого полностью уничтожается концепция цепи доверия – вы не сможете узнать, что именно тот человек, которому вы доверяется передал вам сообщение – сейчас не составляет труда отправить сообщение от revbel@riseup.net на адрес человека с запиской привнота в которой будет указан адрес сбора – а там уже будут ждать мусора.

    1. Ваша критика справедлива, но оторвана от контекста. Факт есть – многие люди УЖЕ используют Телеграм для коммуникации, в том числе протестной. Одними призывами уходить в XMPP не спасти людей от деанонимизации в протестной группе в Телеграме, зато виртуальным номером – спасти. Об этом мы и написали.

      В целом мы всегда стояли на использовании безопасных каналов связи – XMPP + OTR (OMEMO) или GnuPG + почта.

      DNS leak лишь выдаст использование Телеграма как приложение, но спасет от перехвата трафика и подлога другого сертификата.

      Такая же ситуация и с privnote.com. Имея каждый человек джаббер или хотя бы чтобы большая часть XMPP клиентов была воплощена настолько продумано, как любой проприетарный мессенджер – то проблем бы не возникло. Но из таких проектов можно вспомнить разве что Signal, который не присутствует на ПК. Поэтому privnote.com это лучше, чем писать открытым текстом. Все познается в сравнении.

Leave a Reply

Your email address will not be published. Required fields are marked *