Nikto netvrdí, že je priamo rizikový. Je zhruba na takej úrovni ako väčšina najpoužívanejších „messengerov“.
Dejová línia ruskej aktivistky Mariny Matsapuliny sa odohráva na Telegrame aj v reálnom živote. Začína sa konverzáciou a neskôr návštevou bezpečnostných zložiek. Ako ju mohli vysledovať, keď je Telegram bezpečný? Informácie o infiltrovaní do Telegramu a aký to má v praxi dopad priniesol magazín Wired.
V skratke
- Telegram neustále naráža na kritiku v oblasti jeho zabezpečenia
- Zatkli hlavnú hrdinku tohto príbehu na základe infiltrovania do Telegramu?
- Základná téza bezpečnosti je, aby vás aplikácia o jej dôveryhodnosti nemusela presviedčať
- Sú používatelia telegramových skupín v ohrození pred sledovaním vlády?
- Šifrovanie a súkromie používateľov nemuselo znamenať kompromitáciu priamo na serveroch Telegramu
V podobných situáciách bude vždy viacero otázok, ktoré budú spochybňovať základnú tézu bezpečnosti na úrovni poskytovateľa alebo inak povedané konkrétnej aplikácie. Vždy môžeme hovoriť o tom, že únik nastal vo vnútri skupiny alebo daná osoba urobila niekoľko základných chýb. V prípade telegramu sa ale nemusíme dopúšťať základných bezpečnostných pochybení. Ide skrátka o uvedomenie si, že aplikácia je z pohľadu bezpečnosti nedôveryhodná.
Policajti jej povedali, aby si ľahla na zem tvárou k zemi.
Vyjadrenie Telegramu na informácie v tomto článku – Aktualizované: 15. 2. 2023
Po publikovaní tohto článku nás kontaktoval zástupca Telegramu, ktorý tvrdí, že informácie ohľadne možnosti sledovania aplikácie niekým iným je nepravdivé. Podľa vyjadrenia firmy má API rozhranie prísne obmedzenia v tom, čo sa dá cez toto rozhranie získavať. Informácie nemôže vidieť bežný používateľ a všetky dáta na serveroch Telegramu sú uložené v zašifrovanej forme.
K tomu dodáva, že „A samotná pani Matsupulina uviedla, že jej telefón bol v policajnej úschove niekoľko hodín, čo poskytlo čas na získanie prístupu k údajom v ňom uloženým pomocou digitálneho forenzného softvéru.“
Detailnejšie vyjadrenie má firma vo svojom príspevku a poskytuje niekoľko bodov s vysvetlením informácií, ktoré sú z ich pohľadu rozporuplné. Odporúčame si ich v rámci možnej objektivity prečítať a zohľadniť.
Anonymné či verejné?
Teraz nemáme na mysli všeobecnú dôveryhodnosť aplikácie a fakt, že vaše údaje sú dostatočne dobre chránené voči cudzím, povedzme bežným osobám alebo iným používateľom. Pod otázkou dôveryhodnosti a bezpečnosti máme na mysli aplikáciu, ktorú nebude možné len tak jednoducho infiltrovať alebo z nej priamo na základe vstavaných funkcií dopytovať údaje či už nezávislými organizáciami alebo vládami. Zatiaľ sa javí, že Telegram nespĺňa ani jednu z týchto požiadaviek.
Téza o tom, že aplikácia chráni vaše súkromie funguje len dovtedy, kým nemáte v štáte pomýleného vodcu. Rovnako to ale funguje v iných online službách. Princípom bezpečnosti nie je o tom dôverovať službe, ale spoľahnúť sa na to, aby ste danej službe veriť nemuseli a neboli závislí na otázke bezpečnosti vašich dát na tom, aká silná je vaša viera.
Dobre chránená služba, ako napríklad rôzne četovacie aplikácie Threema alebo Signal majú poskytnúť adekvátne zabezpečenie a vaša primárna úloha je nedôverovať im. Z princípu fungovania ich služby to nie je potrebné.
Má Rusko prístup do vašich správ?
Toto ale nie je príbeh telegramu a Ruska či iných vlád, ktoré sa dokážu do tejto siete infiltrovať. Nemusia na to použiť žiadne špeciálne nástroje postačí im API funkcionalita, ktorú Telegram sám poskytuje. Najrizikovejšie sú verejné skupiny. Súkromné skupiny na Telegrame sú podstatne viac chránené, avšak podľa informácií rôznych bezpečnostných expertov sú informácie z nich uložené v čistom texte, to znamená údajovom formáte, ktorý si môže prečítať každý, kto má prístup k serveru. Podobne je to aj s obrázkami, videami a ďalším multimediálnym obsahom prípadne meta dátami.
Vždy sa môže nájsť istá skupina ľudí, ktorá bude informácie v tomto článku spochybňovať. Či už to budú dezinformátori, ruskí trollovia alebo samotní tvorcovia aplikácie. Mimochodom, od tvorcov aplikácie a jej PR oddelenia by sme ani nič iné nečakali. Rovnako môžete namietať, že chyba v odhalení bude na strane používateľa. Tak či tak nasledujúce okolnosti stoja za zamyslenie a nepasujeme sa do role niekoho, kto určuje pravdu a hovorí vám, čo si máte myslieť.
Vojna sa začala a na Telegrame tiež
Začiatok vojny, respektíve jej pokračovaním vpádom ruských vojsk na Ukrajinu znamenal aj otvorený protest pred budovou Práva, poriadku a bezpečnosti v Petrohrade. Opoziční politici sa zhromaždili, aby vyjadrili svoje znepokojenie voči tejto udalosti. Už vtedy im bolo jasné, že stanovisko, ktoré budú chcieť predniesť, bude zamietnuté. Tiež ale minimálne tušili, vzhľadom na pomery vo svojej krajine, že daná aktivita znamená upozorniť na seba a to nie je práve v tom najlichotivejším smere.
Marina Matsapulina, 30-ročná podpredsedníčka Ruskej libertariánskej strany si priamo v praxi vyskúšala zabezpečenie Telegramu či inú formu úniku informácií. Zhromaždenie, ktoré predstavovalo osobné riziko, účastníci akceptovali. Že to bude ale až tak horúce netušili. Jeden z hlavných aktérov si vyskúšal, ako to naozaj funguje. Na základe konverzácie, ktorú Marina viedla v telegramovej skupine, ju bola navštíviť FSB.
Aspoň s touto tézou podľa magazínu Wired pracovala. Pred samotným vyvalením dverí do jej bytu ešte stihla na telegrame napísať, že je nepravdepodobné, že by ju zavreli. Opak bol pravdou a do bytu vtrhlo osem ľudí štátnych zložiek. Správu, ktorú napísala, jej neskôr prečítal aj príslušník polície a štátnych orgánov pri dvojdňovom zadržaní. Môžete veriť vyhláseniam firiem alebo hlavných predstaviteľov aplikácií alebo spoločností o tom, ako chránia vaše dáta.
Avšak to je to, čo sme spomínali v úvode. Základom je, aby ste aplikácii nemuseli dôverovať. Chránia vaše dáta a neobviňujeme Telegram, že ich „rozdáva“. Zabezpečenie však nie je vždy tak silné, ako sa naň chcú používatelia spoliehať. Najmä treba byť opatrní pri verejných skupinách.
Nebola však jediná zatknutá a od svojho právnika sa dozvedela, že polícia prehľadala ďalších 80 ľudí prepojených na opozíciu a 20 z nich zatkla a obvinila z terorizmu. Zámienkou bola údajná bombová hrozba.
Príbeh Rusky pokračuje
Matsapuline sa v apríli podarilo bezpečne dostať do Arménska. Tu prirodzene nastáva otázka, že niekto vynášal z vnútra úzkej skupiny. To by znamenalo vyčlenenie Telegramu z podozrenia a zachovanie si tézy, že ide o bezpečnú aplikáciu. S touto úvahou by sa dalo pracovať, avšak už v minulosti sa objavili informácie od bezpečnostných expertov, že skutočné zabezpečenie aplikácie, respektíve vašich súkromných konverzácií, je jedna vec a tvrdenia predstaviteľov firmy, vec druhá.
Ak by sme vychádzali z tézy, že v skupine nikto nevynášal, znamenalo by to len jedno vysvetlenie. Polícia a štátne orgány museli čítať správy na telegrame. Jeden zo spôsobov je nainštalovanie škodlivého softvéru, ako napríklad známy nástroj Pegasus. Avšak tu narážame na jemný rozpor. Predstavitelia štátnej opozície pravdepodobne neboli tak dôležití, aby vláda musela vynakladať obrovské finančné prostriedky na zdiskreditovanie ich smartfónov. Je to len dohad a dôkazy na to, prirodzene, nie sú dostupné.
Tieto tézy by pravdepodobne poprel tvorca telegramu Pavel Durov, ktorý c žije v Dubaji. My sme o aplikácii telegram písali už v minulosti. Nebolo to práve v najpozitívnejšom zmysle. Odpoveď PR oddelenia Telegramu prišla ešte v ten istý deň. Náš článok pripájame aj na konci tohto textu.
Takisto sa dá pracovať s tézou, že v skupinách, ktoré obsahujú stovky ľudí nemáte šancu odhaliť používateľov, ktorí prišli špehovať. Toto by ale znamenalo priúzke zameranie a z pohľadu existencie počtu skupín na Telegrame by bolo značne neefektívne v čase. Je preto oveľa jednoduchšie infiltrovať ich ešte v základe a to priamo v spoločnosti alebo cez už spomínanú možnosť vo forme dopytov cez API kód, s ktorým vedia pracovať serveroví boti.
Problémom aplikácie je, že naskriptované aplikácie si môžu nechať vytiahnuť rôzne informácie a tak získať informácie o každom používateľovi v skupine. To okrem textov a iných dát bude obsahovať aj časové značky. Čas, kedy bol naposledy online alebo napríklad polohu s presnosťou na 1 m. Po odhalení faktu s možnosťou takto presnej lokalizácie upozorňujú bezpečnostní odborníci, že aplikácia zmenila svoj kód, ktorý neskôr umožňoval lokalizáciu s presnosťou iba na 600 m. Tiež je podozrivé, ak aplikácia po odhalení takýchto skutočností zmení svoj kód a ovplyvní sa tým práve pretriasaná funkcia.
Bezpečnostný odborník Jordan Wildon, ktorý je vyšetrovateľom z inštitútu pre strategický dialóg, hovorí, že na Telegrame sa dá sledovať extrémistický obsah a dezinformácie práve vďaka rozhraniu API. Na začiatku invázie spolu s ďalším výskumníkom zistil, že je možné podvrhnúť API rozhranie a určiť polohu ktoréhokoľvek používateľa v okruhu 3,2 km, ak si nedávno zapol lokalizáciou.
Telegram však nie je len taká obyčajná aplikácia a od svojho založenia sa za posledných 10 rokov rozrástla na jednu z najpoužívanejších komunikačných platforiem. Na svete ju používa až 700 miliónov používateľov. Durov sa vyjadril, že Telegram je pre nich myšlienka, aby každý na tejto planéte mal právo byť slobodný. Nejde o to obviňovať jednu či druhú stranu, avšak treba zvážiť aj technické možnosti samotnej aplikácie a jej zabezpečenie.
Komunikačný nástroj, ktorého sídlo je teraz v Dubaji má záväzok odstraňovať nelegálnu pornografiu, porušovanie práv duševného vlastníctva, rôzne podvody. Na tomto nie je nič výnimočné, avšak môžeme si položiť základnú otázku. Ako vie prevádzkovateľ služby určiť, čo je a čo nie je nelegálne? Najjednoduchšia odpoveď samozrejme znie vstúpením do verejných skupín, ktoré sú verejne viditeľné a tým pádom nie sú chránené.
Aplikácie o vás vždy niečo prezradia
Zostáva sa teda pýtať, či je súkromný obsah chránený dostatočne a či šifrovanie, ktorý ktoré telegram deklaruje, je skutočne na bezpečnej úrovni. Na rozdiel od aplikácií ako WhatsApp, Threema alebo Signal nie je šifrovanie typu end to end štandardne predvolené. Podobne je však na tom aj Messenger, ktorý používa takzvané tajné konverzácie a takisto nie sú v štandardnom stave predvolené. Je to najmä z dôvodu jednoduchšieho používania služby. Ak totiž zabudnete svoje heslo, šifrovanie sa postará o to, aby sa nikto k údajom nedostal.
Možno si ešte pamätáte na PR krízu, s ktorou sa stretol WhatsApp a išlo najmä o sprístupnenie viacerých meta údajov používateľov. WhatsApp síce deklaroval, že vaše údaje sú šifrované. Metadáta, ktoré mohol poskytovateľ o vás získať boli veľmi štedré. Mnoho používateľov prešlo na Telegram tak zažíval zlaté časy aj po zákaze Donalda Trumpa publikovať na Facebooku. Aplikácia ako taká nie je zlá a ide o spôsob jej použitia. Rovnako sa nedá hovoriť o tom, že je škodlivá. Je však domovom mnohých dezinformátorov, konšpiračných teórií a falošných informácií. Alternatívna scéna ako sa sama nazýva, si tu našla svoje útočisko.
Brazília a Čína
Napríklad v Brazílii je aplikácia vo viac ako 50 % smartfónov používateľov a veľká časť povstania z januára tohto roku bola plánovaná práve na tejto platforme.
V Rusku sa stal Telegram prakticky synonymom četovacej aplikácie a používatelia majú možnosť využívať aj sociálnu sieť VKontakte. Tu sa dá ale hovoriť o podobnosti s Čínou, kde režim dovoľuje priame sledovanie a prístup vlády do aplikácií. Vidieť to bolo aj v prípade aplikácií na Zimných olympijských hrách 2022, pričom mnohé aplikácie nefungovali.
Nebolo to z dôvodu priameho blokovania. Bolo to z dôvodu, že všetky aplikácie na nazvime to miestnom čínskom internete museli prechádzať vládnym serverom. Ak táto možnosť nebola zakomponovaná, aplikácia nefungovala, odmietala sa cez firewally pripojiť k internetu.
Rusko navyše označilo spoločnosť Meta, ktorá vlastní aplikácie Facebook alebo napríklad Messenger za extrémistickú organizáciu. Následne došlo v rúšku k zablokovaniu Facebooku, ktorý používalo približne 70 miliónov ľudí. A takisto aj Instagramu s 80 miliónmi používateľov.
K Telegramu sa vyjadril aj spoluzakladateľ spoločnosti Signal, Moxie Marlinspike. Ten na Twitteri deň po začatí invázie Ruska na Ukrajinu napísal, že Telegram je najpopulárnejší messenger v mestách na Ukrajine a že po rokoch zavádzajúceho marketingu tam veľa ľudí verí, že ide o skutočne šifrovanú komunikáciu. Avšak skutočnosť je opačná.
Rovnako ako aj ďalší bezpečnostní experti nezabudol dodať, že každá správa, fotografia, video alebo dokument odoslaný či prijatý za posledných 10 rokov, prípadne všetky kontakty a členstva skupinách sú dostupné komukoľvek z prístupom do tejto databázy. To celkom určite odporuje princípom end-2-end šifrovania.
Rusko vynaložilo obrovské finančné prostriedky na to, aby posilnilo svoju infraštruktúru a umožnilo tak spracovávať sledovaný obsah z rôznych sociálnych sietí. Vláda má vďaka tomu nástroj, ktorý môže neustále monitorovať približne 1,5 mil. účtov.
Putinov zákon
Deň pred tým, ako polícia zadržala Matsapulinu za údajný terorizmus, podpísal Vladimir Putin zákon, v ktorom sa hovorí o vysokých trestoch odňatia slobody a pokuty pre každého, kto vedome šíri nepravdivé informácie o ruskej armáde. Preložené do západnej reči a reči slobodného sveta, to znamená každého, kto kritizuje Rusko, armádu alebo vládu. Týka sa to aj kritiky vojny na Ukrajine a trestá sa až 15 rokmi väzenia.
Prípadov infiltrácii Telegramu je viacej a jeden zaznamenala aj opozičná aktivistka Ania Kurbatova, ktorá si uvedomila, že jej bežné správy, ale aj tajné čety sú označené ako prečítané. Vedela však, že príjemca si správy ešte neprečítal.
Hoci sa v tomto texte výrazne prepiera slovo Telegram, alebo aplikácia, ktorú charakterizuje, nedá sa uprieť fakt, že Telegram sa snaží o súkromie používateľov. Avšak ide viacmenej o hru na mačku a myš, kedy sa len môžeme dohadovať, ktorá zo strán urobila nejaké ústupky.
Financie pre najprv Telegram nevyšli
Tým, že aplikácia neobsahovala možnosť priamej inzercie a formy reklamy prípadne predplatného, bolo potrebné vymyslieť iný spôsob speňaženia ich úsilia. Firma vytvorila Telegram Open Network označovanú ako TON. Je to blockchainová platforma s vlastnou kryptomenou.
Týmto spôsobom si mohla zabezpečiť kapitál a ten bol vskutku rekordný. Počas ICO (Initial Coin Offering) sa podarilo vyzbierať až 1,7 miliardy dolárov, čo v tom čase predstavovalo najväčšiu sumu v histórii. Podľa informácií ruských nezávislých médií bola veľká časť investícia aj od kľúčového Putinovho spojenca Romana Abramoviča.
Novú kryptomenu však napadol americký SEC. Ročný súboj Durova s americkou legislatívou nakoniec znamenal zrušenie tejto „kryptomeny“. To sa udialo v máji 2020.
Podľa magazínu Wired prichádza hlavnej úlohe Rusko, ktorého parlament navrhol zrušiť zákaz Telegramu s odôvodnením, že by mohlo ísť o dôležitý nástroj na komunikáciu pre vládu v čase krízy. To prirodzene znamenalo pre Durova prílev nových peňazí a zmiernenie reštrikcií na domácej pôde.
Otázka bezpečnosti stále zostáva otvorená. Opäť sa dostávame k základnej téze, musíte veriť jednej zo strán. A to zároveň popiera ideológiu bezpečnej komunikácie. Marina Matsapulina a jej priatelia žiadali o telegram aby skontrolovali logy na serveri.
Predstavitelia Telegramu sa ale vyjadrili, že ich konverzácie neboli skompromitované, a tak je namieste zvážiť aj možnosť, že kompromitácia nastala prostredníctvom spywaru. Opozičná predstaviteľka tak opäť používa Telegram ako aplikáciu na komunikáciu a premnohých Rusov to znamená aj jeden z mála spôsobov šifrovanej komunikácie.
Zdroj: Wired
Prečítajte si aj: