Telegram — пожалуй, самый любимый мессенджер наших читателей. Но было бы неправдой назвать его безопасным. Чтобы разобраться, мы задали сами себе несколько вопросов о Telegram и попробовали кратко на них ответить.
Почему вы не считаете Telegram безопасным?
Вот некоторые причины:
- при регистрации Telegram требует телефонный номер и привязывается к нему;
- данные чатов хранятся на сервере;
- сквозного шифрования по умолчанию нет;
- сквозного шифрования для групп более 2 человек тоже нет;
- программный код открыт лишь частично.
Можно добавить, что Telegram требует доступ к списку контактов и вызовов. При регистрации аккаунта ему назначается специальный номер Telegram ID. Он не меняется и является связующим элементом для данных и действий пользователя. Это полезно для злодея, если тот нацелился на жертву, пользователя Telegram.
В Беларуси режим Лукашенко сажал админов протестных Telegram-каналов. До протестов 2020 года активисты не уделяли существенного внимания анонимности. Это позволило деанонимизировать многих пользователей Telegram. Отдельной проблемой стали боты. Выяснилось, что в Telegram можно обнаружить ботов, которыми вы пользовались, даже если вы их удалили.
Еще один момент, который может быть важен для гражданских активистов и независимых журналистов. Так называемые «силовики» осведомлены о Telegram. При проверках (задержаниях, досмотре вещей в аэропортах) они, бывает, целенаправленно ищут Telegram и читают переписку.
Советуете поменять на какой-то другой мессенджер?
Мы не говорим «прекратите пользоваться Telegram». Мы обозначаем риски.
Порой действительно можно использовать вместо Telegram что-то иное. Скажем, если нужно наладить коммуникации внутри небольшой команды: НКО, проекта, редакции СМИ. Для этой задачи многие используют мессенджер Signal. Его не назовешь идеальным, потому что Signal тоже привязывается к номеру телефона. Но Signal выигрывает у Telegram по ряду важных пунктов, связанных с безопасностью. Например, в нем сквозное шифрование включено по умолчанию и работает для групповых чатов. А таймер автоматического удаления сообщений реализован лучше, чем в Telegram.
Существуют и другие решения для внутрикомандных коммуникаций, например, мессенджер Element. Такой успешный опыт с Element уже есть у антивоенных активистов. Интересно выглядит Delta Chat. Палочкой-выручалочкой в некоторых ситуациях остается видеочат Jitsi Meet. Для решения задачи коммуникаций в большой команде можно посмотреть и в сторону корпоративного мультичата Slack (Mattermost, Rocket Chat).
А если я хочу продолжать использовать Telegram?
Можно посоветовать уделить внимание безопасности. В Telegram, как и в других программах или сервисах, нет волшебной кнопки, которая переводит мессенджер в «безопасный режим». Безопасность можно обеспечить рядом технических и организационных мер.
Советуем начать с определения ценностей. Какая самая важная, самая чувствительная информация в вашем Telegram, которую вы больше всего хотели бы защитить? Можно ли уменьшить количество таких данных?
Кто имеет доступ к важной информации в Telegram-чате? Начните с админов. Это должны быть надежные люди с оперативной и сравнительно безопасной связью (помимо Telegram). Если ваша модель угроз такая, что участников чата могут задерживать, досматривать и арестовывать, админам лучше быть за пределами «опасной зоны». Например, в другой стране, где с уважением относятся к правам человека. Число админов само по себе компромисс. Один админ — выше риск, что с ним что-то произойдет, и тогда он не сможет эффективно отреагировать на срочный вызов. Пять админов — выше вероятность, что раскрытие данных случится через кого-то из них. Проблема человеческого фактора.
Есть ли какие-то технические советы пользователям Telegram?
Пользователям (админам в первую очередь) следует защищать свои устройства. Речь, конечно, о тех устройствах, где есть Telegram. Возможно, стоит уменьшить их число. Применимы обычные рекомендации. В первую очередь, блокировка устройства с помощью пароля, пин-кода, FaceID, отпечатка пальца или чего-то еще. Недопущение вирусов и прочего вредоносного кода. Двухфакторная аутентификация — в Telegram она называется «облачный пароль». Как и прочие пароли, этот пароль должен быть надежным.
Скройте номер телефона в Telegram от посторонних, пусть видят только ваш никнейм. На просьбу поделиться контактом в Telegram отвечайте не номером телефона, а никнеймом. Для важных разговоров старайтесь прибегать к секретным чатам. Используйте автоматическое удаление данных по таймеру. Возможно, вам пригодится бот Гретель для сокрытия участников при инциденте.
Подумайте о том, чтобы для самых важных чатов (каналов) использовать админские аккаунты на отдельных устройствах. Таких, которые ни для чего больше не используются.
О привязке Telegram к телефонному номеру
Увы, мы не можем «отвязать» Telegram от телефонного номера. Давайте хотя бы попробуем контролировать этот номер, насколько возможно.
В частности, если вы выехали из России на значительное время, лучше привязать аккаунт Telegram к своему мобильному номеру в стране пребывания. Зачем? Если вы потеряете телефон или ваша российская сим-карта выйдет из строя, вам будет очень нелегко ее восстановить из-за границы. Поэтому лучше использовать местную «симку». Более того, если ваша новая сим-карта анонимна (в некоторых странах сим-карты продаются без проверки документов), это способно сделать невозможным ее восстановление после потери. Вы просто не докажете, что номер ваш. Поэтому, возможно, лучше привязать сим-карту к вашей личности, оформить договор в салоне связи.
Бывает и наоборот: вы живете в такой обстановке, что нужно обеспечить анонимность вашего Telegram-аккаунта. Тогда используйте SIM-карту, которая с вами никак не связана: не покупалась на ваше имя, не устанавливалась в то устройство, которое вы используете повседневно, не использовалась для регистрации в других аккаунтах и т.п.
Как быть с беспечными коллегами?
Люди, которые ответственно подходят к безопасности, нередко сталкиваются с более легкомысленными коллегами. Бывают даже случаи открытого и «принципиального» игнорирования правил безопасности. Причины в разных случаях могут отличаться друг от друга. Например, это может быть латентный конфликт в команде или собственный негативный опыт с каким-либо мессенджером. Поэтому мы дадим лишь несколько общих советов.
Вы можете выиграть, если станете проводить пусть небольшую, но регулярную работу по продвижению базовых мер безопасности с членами вашей команды. Не ограничивайтесь руководством и админами. Можно ориентировать людей на уже готовые статьи и материалы, в том числе опубликованные «Теплицей». Если хотите провести для своих сотрудников и коллег вебинар по безопасности, пожалуйста, связывайтесь с «Теплицей», постараемся помочь.
А правила внутри самого чата?
Да, базовые правила работы в чате («code of conduct») нужны. Это условия общения и соблюдения основных стандартов безопасности. Обычно такие правила касаются конфиденциальности и анонимности. Туда включены этические вопросы, меры против харрасмента, языка вражды и пр. Правила «задают атмосферу» чата. Он может быть технически неплохо защищен, но если там случаются всплески обесценивания, нетерпимости и агрессии, такой чат безопасным не назовешь.
Правила должны включать понятный алгоритм предупреждения и исключения подобных ситуаций. Важно следить за порядком в чате, не допускать провокаций, способствующих конфликтам и порождающим риски.
Возможно, правила чата стоит дополнить FAQ. Иногда FAQ помогает разгрузить ведущих чата. Они смогут больше внимания уделять безопасности.
Хорошо иметь кризисный протокол на случай инцидента безопасности. Представьте: участника чата арестовали, изъяли смартфон, где есть доступ к чату. Что делать? (Возможный сценарий: администратор как можно быстрее исключает пользователя из чата).
Важно о любом подозрительном инциденте сообщать администраторам. Это тоже можно прописать в правилах.
Что лучше не отправлять в чат?
Убедитесь, что в фото и видеоматериалах, которые вы размещаете в чате, нет метаданных; для фотографий это называется EXIF. Много информации может дать и сам снимок. Скажем, по приметным зданиям, длине и положению теней, даже по погоде можно делать предположения о месте съемки.
Скриншоты смартфона или компьютера тоже способны стать источниками данных. По местному времени, оператору связи, открытым окнам приложений можно собрать дополнительную информацию о человеке.
Чем это опасно? Публиковать избыточные данные означает повышать риски в принципе. Такие данные используют, например, социальные инженеры. Но особенно важно избегать этого для людей, которые желают сохранить анонимность.
Что даст анонимность и как ее обеспечивать?
В какой степени в вашем чате нужно соблюдать анонимность? Условия бывают разные. Например, это может быть чат, созданный специально для ответов на вопросы потенциальных волонтеров. Или чат с 10 участниками, членами одной организации, которые давно работают друг с другом.
Первая ситуация означает, что в такой чат может прийти буквально кто угодно и задать вопрос. Логично, если вы обеспечите этому человеку анонимность. Люди могут стесняться или опасаться задавать вопросы под своими реальными именами. Они только присматриваются к вам. Доверительные отношения еще не сложились.
Что касается второго примера, то кажется, что внутри такого чата и так все друг друга знают. Зачем скрывать лица и менять голоса? Но и здесь анонимность может сыграть на пользу команде. Например, если чье-то устройство изымут, чат просмотрят, а участников идентифицируют. Если ваша модель угроз подразумевает вероятность такой ситуации, возможно, лучше и в таком чате оставаться анонимными (использовать ники, а не реальные имена).
Анонимность обеспечивают не только технические, но и организационные меры. Если участник выступает под ником и хочет сохранить анонимность, не следует называть его по имени (даже если вы знаете, кто это). Не стоит публиковать в чате другую идентифицирующую информацию. Эти условия тоже можно включить в правила чата.
Вряд ли стоит использовать голосовые записи. По ним можно провести анализ совпадения записанного голоса с вашим голосом на публичных выступлениях или на записи, специально сделанной для такой экспертизы.
Несколько советов напоследок
Иногда несанкционированный доступ к содержимому чата может нанести ущерб его участникам. Например, человек со смартфоном пересекает границу, а там есть вероятность досмотра устройств. Лучше заблаговременно покинуть чат. Какие-то личные чаты, возможно, лучше совсем удалить. Подробнее о том, как подготовить устройства к пересечению границы (да и вообще к «просмотру» силовиками), «Теплица» писала в отдельной статье.
В зависимости от условий чата, возможно, понадобится верификация участников. Понятно, что если это чат на 5 человек, которые все в одном офисе, проверка участников как таковая не потребуется. Но если люди разбросаны по разным и городам и странам, и если это не компактная команда со стабильным составом, а, скажем, расширяющееся сообщество, возрастает риск несанкционированного доступа.
О том, как можно противодействовать бот-атаке в чатах, написано здесь.
Все медиафайлы, которые вам присылали в чате, сохраняются в устройстве. Есть смысл их периодически удалять.
В Telegram можно выполнять платежи банковскими картами. Из соображений безопасности лучше это не делать. А если делать, то с разовых виртуальных карт. Не стоит переходить по ссылкам из Telegram вида username.t.me. Такие ссылки позволяют вас деанонимизировать. Если вам нужно добавить в чат пользователя, лучше сделать это в приложении по его аккаунту.
Наконец, имеет смысл настроить время неактивности аккаунта, по истечении которого он будет полностью удален.
Автор благодарит коллегу, эксперта по цифровой безопасности Михаила Ивановского за ценные комментарии и дополнения к материалу.