Держите Павла Дурова под замком
БазарПавел был арестован не потому, что критиковал Макрона. Его арестовали за то, что он (предположительно) содействует целому ряду преступлений, включая торговлю наркотиками и группы, занимающиеся выкупами.
Его также следовало арестовать за ложь обществу и за связь с Кремлем.
Любой, кто сознательно и намеренно лжет гражданам о безопасности, должен быть в тюрьме.
- Telegram НЕ шифруется. Вся история ваших чатов хранится на серверах TG. В ЧИСТОМ ВИДЕ. НАВСЕГДА (см. ниже).
- Telegram - сомнительная компания (см. ниже).
- Интуиция подсказывает, что Telegram — это операция ФСБ.
Я не доверяю Telegram. Давайте поговорим о моих мыслях:
В 2022 году мы рассмотрели API Telegram. Существует «неофициальный» API, который позволяет злоумышленнику (или ФСБ) СКАЧАТЬ любой ГРУППОВОЙ ЧАТ (где присутствует бот). При этом злоумышленнику (или ФСБ) не обязательно быть в групповом чате и не обязательно владеть ботом. Более того, API повсюду пахнет «законным перехватом».
- Это возможно, даже если BOT настроен так, что у него «НЕТ доступа к сообщениям».
- Исчезающие сообщения / автоудаление Telegram — это маркетинговый фарс. Мы удалили ВСЕ сообщения. Годы и годы сообщений.
- Все имена пользователей, метаданные, медиа, голосовые записи, сообщения о присоединении... все это есть и прекрасно оформлено в виде HTML.
Telegram разработал причудливо выглядящий API для утечки данных? Со всеми прибамбасами и свистками? Красиво оформленные выходные данные. А потом не задокументировать его? ДЛЯ КОГО? По-моему, попахивает чем-то подозрительным.
ПРИМЕЧАНИЕ: атакующему не обязательно владеть BOT. Атакующему также не обязательно находиться внутри группового чата. Эксфилтрация возможна неосознанно для владельца бота.
(Пример выше: Бот перехватил всю историю чата, используя серию недокументированных API-запросов и cURL. Здесь важно то, что такой exfil-API существует. А не то, как мы его использовали).
Что еще попахивает «рыбой»:
- Россия запретила Signal и включила WhatsApp (Meta) в список «экстремистских организаций». Вместо этого россияне переходят на Telegram — приложение для обмена сообщениями без шифрования, имеющее недокументированный правительственный API для утечки данных. Вот так.
- Была «фейк новость» о том, что Telegram запретили в России. Это неправда. Вместо этого третьи лица были «временно» заблокированы за использование API Telegram. Все пользователи (в России) прекрасно пользовались TG. Никакого запрета. Никаких ограничений.
- Павел утверждает, что покинул Россию из-за конфликта с российским государством. Думаю, со временем мы узнаем, что Павел покинул Россию, чтобы оказаться в более выгодном положении на переговорах с ФСБ (его труднее контролировать, живя за границей, и меньше шансов совершить «оконное самоубийство»).
- Где «белые книги» их инженеров? Почему мы не видим их чаще на публике? Как, например, Мокси Марлинспайк, Мередит Уиттакер, Фил Циммерманн.
- Почему инженеры Telegram отсутствуют на каждом заседании IETF, где обсуждаются вопросы надежного шифрования и конфиденциальности?
- Почему Telegram не открыт в отношении своих шифров? Почему они не разрешают рецензирование? Или хотя бы частично открыть его для общественного контроля?
- Павел приветствовал клеветническую кампанию, направленную против SIGNAL, утверждая, что Signal «в постели с правительством». Мы знаем людей, которые работают в Signal, с детства. Они заслужили наше доверие — они неустанно боролись за то, чтобы сделать шифрование доступным для широких масс, и неустанно боролись во многих других сферах, чтобы помочь людям избежать авторитарного влияния. (Россия запрещает Signal, потому что его нельзя перехватить🖕🖕🖕. Вместо этого Telegram получает повышение. Вот так.)
- В июне 2020 года Путин высоко оценил Telegram как пример «конструктивного сотрудничества». Тем временем антивоенные блогеры исчезают как мухи.
- 20 августа 2024 года Павел отправился в Азербайджан, чтобы встретиться с Путиным. Подумаешь.
Telegram хочет стать «безопасным приложением для обмена сообщениями» и «бороться с репрессивными правительствами»? Вот мои советы:
- Внедрите p2p-шифрование по умолчанию.
- Откройте свои исходники. Перестаньте скрывать свое шифрование. Оно небезопасно, если не рецензируется. Что вам нужно скрывать?
- Ваш API для утечки данных не соответствует требованиям SORM/FSB. ОТКЛЮЧИТЕ ЕГО.
- TG - это C2, который выбирают (в основном) русские группы, занимающиеся выкупными программами. Станьте лучшим модератором.
- Скажите правду, что вы храните все сообщения, независимо от настроек «автоудаления», на своих серверах вечно. ПЕРЕСТАНЬТЕ ВРАТЬ ПОЛЬЗОВАТЕЛЯМ.
- Сделайте очевидным для нетехнических пользователей, что TG НЕ безопасен. Не безопасен по умолчанию. Что вы храните и записываете каждое сообщение, когда-либо отправленное - даже если оно удалено пользователем.
- Прекратите эти теневые укрытия. Будьте открыты. Покажите нам, кто вы такие. Встречайтесь с нами на конференциях. Приходите в IETF. Покажите нам, что у вас есть. Ваш набор навыков не ограничивается добычей, хранением и фильтрацией данных.
- Раскройте, откуда у вас деньги. Будьте открыты в своем бизнес-плане. Покажите свои счета, бенефициаров, корпоративную структуру и давайте прольем свет на прошлое каждого директора.
- Будьте больше похожи на SIGNAL или EFF.
Примечание: Не слишком ли сурово мы считаем, что Павла нужно посадить в тюрьму? Да. Спасибо, что не просто прочитали заголовок. TG нужно исправить свой подход к безопасности, конфиденциальности и свободе. Представьте, что производитель автомобиля говорит: «Эта подушка безопасности работает», а на самом деле это не так. Когда она никогда не работала, как было обещано. Улавливаете суть? TG не безопасен. TG регистрирует каждое отправленное вами сообщение — навсегда, независимо от того, удалили вы его или нет. TG есть над чем поработать.