Czy szyfrowanie Telegramu zostało złamane przez rosyjskie FSB i co z WhatsApp’em?

19 stycznia, 2017

Do sieci trafił dokument potwierdzający rzekome kompromitujące dowody obecnego prezydenta USA Donalda Trumpa (w posiadaniu których są agenci FSB), w trakcie gdy ten (podobno) zabawiał się w hotelu „Moskwa” z rosyjskimi prostytutkami. Dokument przez wiele serwisów jest dementowany i uznawany za fałszywy, jednak nas najbardziej interesuje coś innego – w raporcie znajduje się zdanie, które mówi, że „FSB z powodzeniem złamało szyfrowanie komunikatora Telegram, więc nie może być on dłużej uznawany za bezpieczny”.

FSB dok
Tak „mówi” opracowany raport przez tajemniczego brytyjskiego szpiega.

„His/her understanding was that the FSB now successfully had cracked this communications software and therefore it was no longer secure to use”.

Śpieszymy z wyjaśnieniem, że Telegram został zafundowany przez rosyjskiego przedsiębiorcę Pavla Durova, co sprawę czyni jeszcze bardziej podejrzaną. Jednak to nie wszystkie poszlaki, które mogą wskazywać na rzekome złamanie stosowanych szyfrów wiadomości przez komunikator Telegram (a w przeszłości zdarzało się to co najmniej dwa razy). Tak się składa, że Telegram wspiera szyfrowanie „end-to-end”, które uznawane jest za niezwykle bezpieczne i trudne do złamania, jednak nie stosuje go domyślnie (użytkownik musi to zrobić sam wybierając „czat bezpieczny” z drugą osobą), czyli podobnie jak komunikatory: Facebook Messenger, Kakao, Snapchat i (o dziwo) BlackBerry Messenger.

Czy raport jest prawdziwy?

Za bardzo nie interesują nas rzekome prywatne i intymne igraszki Donalda Trumpa z prostytutkami – nawet, jeżeli do takiego spotkania doszło, a dowody w posiadaniu których jest FSB (według doniesień szpiega brytyjskiego). Najistotniejszą sprawą jest fakt, czy raport jest prawdziwy, a jeżeli nie, to komu mogło zależeć, aby skompromitować Donalda Trumpa? Aby uzyskać odpowiedź na to drugie pytanie zachęcamy do prywatnego śledztwa, natomiast w kwestii Telegramu śpieszymy z pomocą:

– Rzekomy raport pochodzi z sierpnia 2016 roku i został opracowany przez brytyjskiego szpiega (prawdopodobnie).

– Zarówno Trump, jak i „Rosja” stanowczo zaprzeczają tym „dowodom” (chociaż ten argument chyba nikogo nie przekonuje).

– Raport wspomina o spotkaniu prawnika Trumpa z wysoko postawioną osobą z Kremla w Pradze, Michael Cohen temu zaprzecza i publikuje zdjęcie strony tytułowej swojego paszportu (rozgrzewa gorąca dyskusja na Twitterze bogata w memy wyśmiewające przedstawione „dowody”).

– Donald Trump mógł zdawać sobie sprawę, że w hotelowym pokoju mogą być ukryte kamery oraz podsłuchy. Czy podjąby się takiego ryzyka dla chwili perwersyjnej przyjemności?

– Żaden większy serwis informacyjny nie potwierdza autentyczności raportu.

– Rzekomy brytyjski agent nie wyjaśnia, w jaki sposób Telegram mógł zostać zhackowany.

Co z Telegramem?

Jeżeli raport jest fałszywy i ma on na celu tylko skompromitowanie Donalda Trumpa, to i tak warto zastanowić się dwa razy, czy swoją prywatność można powierzyć komunikatorowi Telegram. W całej swojej nowoczesnej technologii zastosowanej do szyfrowania komunikacji, Telegram może mieć słaby punkt, albo nawet kilka punktów:

– We wrześniu 2016 roku irański rząd oraz Amir Rashidi (badacz bezpieczeństwa) potwierdzili, że irańscy hackerzy zdołali przechwycić 15 milionów numerów telefonów użytkowników komunikatora Telegram (co pozwoliło im odczytywać wiadomości), chociaż trzeba szczerze powiedzieć, że nie złamano w jakiś magiczny sposób szyfrowania, lecz wykorzystano błąd, który umożliwiał przechwycić wiadomości SMS podczas uwierzytelniania nowego urządzenia.

– Jednak rok wcześniej tzw. „Secure Chat”, czyli czat z drugą osobą, który szyfrowany jest metodą end-to-end został złamany (pisali o tym eksperci z Zimperium), a zazyfrowane wiadomości można było odczytać nawet wtedy, kiedy wiadomość została usunięta z konta użytkownika (uruchomienie exploita wymagało fizycznego dostępu do urządzenia).

Jeżeli macie coś do ukrycia, lub po prostu cenicie swoją prywatność, to na obecną chwilę jedynym bezpiecznym komunikatorem ciągle pozostaje Signal. Jest on dostępny dla Androida, iOS-a, przeglądarki Google Chrome, a także jej pochodnych (dostępna jest wtyczka).

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]