Держите Павла Дурова под замком

Держите Павла Дурова под замком

Базар

Павел был арестован не потому, что критиковал Макрона. Его арестовали за то, что он (предположительно) содействует целому ряду преступлений, включая торговлю наркотиками и группы, занимающиеся выкупами.

Его также следовало арестовать за ложь обществу и за связь с Кремлем.

Любой, кто сознательно и намеренно лжет гражданам о безопасности, должен быть в тюрьме.

  1. Telegram НЕ шифруется. Вся история ваших чатов хранится на серверах TG. В ЧИСТОМ ВИДЕ. НАВСЕГДА (см. ниже).
  2. Telegram - сомнительная компания (см. ниже).
  3. Интуиция подсказывает, что Telegram — это операция ФСБ.


Я не доверяю Telegram. Давайте поговорим о моих мыслях:

В 2022 году мы рассмотрели API Telegram. Существует «неофициальный» API, который позволяет злоумышленнику (или ФСБ) СКАЧАТЬ любой ГРУППОВОЙ ЧАТ (где присутствует бот). При этом злоумышленнику (или ФСБ) не обязательно быть в групповом чате и не обязательно владеть ботом. Более того, API повсюду пахнет «законным перехватом».

  1. Это возможно, даже если BOT настроен так, что у него «НЕТ доступа к сообщениям».
  2. Исчезающие сообщения / автоудаление Telegram — это маркетинговый фарс. Мы удалили ВСЕ сообщения. Годы и годы сообщений.
  3. Все имена пользователей, метаданные, медиа, голосовые записи, сообщения о присоединении... все это есть и прекрасно оформлено в виде HTML.


Telegram разработал причудливо выглядящий API для утечки данных? Со всеми прибамбасами и свистками? Красиво оформленные выходные данные. А потом не задокументировать его? ДЛЯ КОГО? По-моему, попахивает чем-то подозрительным.


ПРИМЕЧАНИЕ: атакующему не обязательно владеть BOT. Атакующему также не обязательно находиться внутри группового чата. Эксфилтрация возможна неосознанно для владельца бота.


(Пример выше: Бот перехватил всю историю чата, используя серию недокументированных API-запросов и cURL. Здесь важно то, что такой exfil-API существует. А не то, как мы его использовали).


Что еще попахивает «рыбой»:

  1. Россия запретила Signal и включила WhatsApp (Meta) в список «экстремистских организаций». Вместо этого россияне переходят на Telegram — приложение для обмена сообщениями без шифрования, имеющее недокументированный правительственный API для утечки данных. Вот так.
  2. Была «фейк новость» о том, что Telegram запретили в России. Это неправда. Вместо этого третьи лица были «временно» заблокированы за использование API Telegram. Все пользователи (в России) прекрасно пользовались TG. Никакого запрета. Никаких ограничений.
  3. Павел утверждает, что покинул Россию из-за конфликта с российским государством. Думаю, со временем мы узнаем, что Павел покинул Россию, чтобы оказаться в более выгодном положении на переговорах с ФСБ (его труднее контролировать, живя за границей, и меньше шансов совершить «оконное самоубийство»).
  4. Где «белые книги» их инженеров? Почему мы не видим их чаще на публике? Как, например, Мокси Марлинспайк, Мередит Уиттакер, Фил Циммерманн.
  5. Почему инженеры Telegram отсутствуют на каждом заседании IETF, где обсуждаются вопросы надежного шифрования и конфиденциальности?
  6. Почему Telegram не открыт в отношении своих шифров? Почему они не разрешают рецензирование? Или хотя бы частично открыть его для общественного контроля?
  7. Павел приветствовал клеветническую кампанию, направленную против SIGNAL, утверждая, что Signal «в постели с правительством». Мы знаем людей, которые работают в Signal, с детства. Они заслужили наше доверие — они неустанно боролись за то, чтобы сделать шифрование доступным для широких масс, и неустанно боролись во многих других сферах, чтобы помочь людям избежать авторитарного влияния. (Россия запрещает Signal, потому что его нельзя перехватить🖕🖕🖕. Вместо этого Telegram получает повышение. Вот так.)
  8. В июне 2020 года Путин высоко оценил Telegram как пример «конструктивного сотрудничества». Тем временем антивоенные блогеры исчезают как мухи.
  9. 20 августа 2024 года Павел отправился в Азербайджан, чтобы встретиться с Путиным. Подумаешь.


Telegram хочет стать «безопасным приложением для обмена сообщениями» и «бороться с репрессивными правительствами»? Вот мои советы:

  1. Внедрите p2p-шифрование по умолчанию.
  2. Откройте свои исходники. Перестаньте скрывать свое шифрование. Оно небезопасно, если не рецензируется. Что вам нужно скрывать?
  3. Ваш API для утечки данных не соответствует требованиям SORM/FSB. ОТКЛЮЧИТЕ ЕГО.
  4. TG - это C2, который выбирают (в основном) русские группы, занимающиеся выкупными программами. Станьте лучшим модератором.
  5. Скажите правду, что вы храните все сообщения, независимо от настроек «автоудаления», на своих серверах вечно. ПЕРЕСТАНЬТЕ ВРАТЬ ПОЛЬЗОВАТЕЛЯМ.
  6. Сделайте очевидным для нетехнических пользователей, что TG НЕ безопасен. Не безопасен по умолчанию. Что вы храните и записываете каждое сообщение, когда-либо отправленное - даже если оно удалено пользователем.
  7. Прекратите эти теневые укрытия. Будьте открыты. Покажите нам, кто вы такие. Встречайтесь с нами на конференциях. Приходите в IETF. Покажите нам, что у вас есть. Ваш набор навыков не ограничивается добычей, хранением и фильтрацией данных.
  8. Раскройте, откуда у вас деньги. Будьте открыты в своем бизнес-плане. Покажите свои счета, бенефициаров, корпоративную структуру и давайте прольем свет на прошлое каждого директора.
  9. Будьте больше похожи на SIGNAL или EFF.


Примечание: Не слишком ли сурово мы считаем, что Павла нужно посадить в тюрьму? Да. Спасибо, что не просто прочитали заголовок. TG нужно исправить свой подход к безопасности, конфиденциальности и свободе. Представьте, что производитель автомобиля говорит: «Эта подушка безопасности работает», а на самом деле это не так. Когда она никогда не работала, как было обещано. Улавливаете суть? TG не безопасен. TG регистрирует каждое отправленное вами сообщение — навсегда, независимо от того, удалили вы его или нет. TG есть над чем поработать.

Report Page