Обдурили: почему удалось взломать Telegram - «Новости Банков»

То, что абоненты сотовых операторов все меньше и меньше пользуются СМС, — давно не новость. Многие используют для переписки сторонние мессенджеры, считая их более надежными и безопасными. Однако недавняя громкая история взлома Telegram оппозиционных гражданских активистов Олега Козловского и Георгия Албурова показала, что даже к защищенным средствам обмена сообщениями можно найти подход.

До недавних пор единственным широко распространенным мессенджером, использующим end-to-end-шифрование (или «сквозное шифрование» — термин означает, что доступ к сообщениям возможен только участникам чата), был Telegram Павла Дурова, изначально разрабатывавшийся как защищенное средство связи. Однако впоследствии другие игроки рынка добавили эту функцию в свои продукты.

На сегодняшний день сообщения шифруют все популярные мессенджеры: Viber, WhatsApp, ICQ. Разработчики других приложений для общения также так или иначе обозначили, что работают в направлении защиты пользователей от перехвата переписки. Но даже если все сообщения между пользователями шифруются, это не означает, что к ним нельзя получить доступ.

Взлом и его последствия

Произошедшему на данный момент посвящен целый сайт. Жертвы обвиняют сотового оператора МТС в пособничестве взломщикам: по их мнению, тот намеренно отключил на время взлома услугу передачи СМС, чтобы владельцы Telegram-аккаунта не смогли получить сообщение с кодом авторизации, и передал данные для авторизации злоумышленникам.

Основатель мессенджера Telegram Павел Дуров встречался в мае 2015 года с гендиректором американской компании Google Сундаром Пичаи, рассказал «Секрету Фирмы» источник, близкий к Telegram, и подтвердили несколько инвесторов на венчурном рынке.

Мнения экспертов по этому вопросу разделились. Кто-то открыто обвиняет оператора, кто-то, наоборот, встает на его защиту. Вокруг сложившейся ситуации гораздо больше вопросов, чем ответов. Если же абстрагироваться от попыток обличить виновного, становится очевидной довольно простая вещь: от взлома не способны спасти даже защищенные средства связи.

Никакое end-to-end-шифрование вместе с продвинутыми криптографическими алгоритмами не смогут защитить от подобной «лобовой атаки».

Можно сколько угодно доказывать, что если на стороне злоумышленника оказывается сотовый оператор — пользователь обречен. Однако проведенный Банки.ру экспресс-опрос экспертов в области информационной безопасности показал, что даже если из уравнения исключить «помощь» оператора, найдется как минимум пара способов провернуть аналогичный трюк: шпионское ПО на мобильном устройстве абонента или действия внедренного инсайдера в МТС. «Чем удобнее организован доступ к обмену информацией, тем большему риску эта информация подвергается», — считает главный аналитик Zecurion Владимир Ульянов.

Где спасение

Как ни странно, спасение — в изменении отношения к средствам обмена информацией. Несмотря на то что многие из них декларируются как «защищенные», пользователи не прибегают ко всем предоставляемым ими средствам защиты. К примеру, не пользуются двухфакторной аутентификацией. Если бы у жертв упомянутого взлома была включена эта функция, заполучить доступ к их аккаунтам оказалось бы сложнее. А сохранение истории общения — то самое удобство, которое способно скомпрометировать переписку.

Еще один совет, который многие неоднократно слышали и успешно игнорировали, — использование антивирусного ПО. Самый простой способ получения доступа к любой переписке пользователя на любом устройстве — заражение этого самого устройства. Путей для этого существует такое количество, что простой осторожности тут мало. Нужно использовать как минимум бесплатные антивирусные решения.

Гарантии безопасности

Но даже если оставить в стороне описанные выше методы получения доступа к содержимому переписки, могут ли мессенджеры в полной мере гарантировать неприкосновенность данных, достаточно ли просто использовать современные криптографические средства? В качестве подтверждения «стойкости» Telegram Павел Дуров не раз объявлял конкурс с внушительным денежным призом тому, кому удастся взломать переписку.

В одном из случаев пользователю удалось провести атаку на секретный чат. Но так как доступ к переписке взломщик получить так и не смог, сумма выплаченного вознаграждения была уменьшена вдвое. После этого в программу были внесены необходимые изменения, что исключило возможность повтора подобной атаки, поэтому следующий аналогичный конкурс остался без победителя.

Надо сказать, что некоторые эксперты считают, что в подобных «соревнованиях» больше популизма, чем желания подвергнуть алгоритмы защиты серьезной проверке. По их мнению, суммы призов слишком малы, чтобы окупить работу профессиональных криптоаналитиков: у профессионалов отрасли нет стимула участвовать в подобных мероприятиях — их работа попросту не окупится. А то, что никто не выиграл конкурс, означает лишь, что его никто не выиграл, это никак не может являться доказательством надежности ПО.

Кроме всего прочего, существует и конспирологическая теория, гласящая, что государственные структуры США приложили руку к разработке стандартов шифрования, использующихся в том числе в программах для обмена сообщениями. Согласно теории, разработчики стандартов шифрования оставили в них «бэкдоры», позволяющие получать доступ к зашифрованным данным.

Пусть это и звучит банально, но лучшим способом защиты информации остается использование всех возможных средств для ее хранения и передачи. Кроме того, важны вспомогательные средства защиты системы в целом. Практика показывает, что игнорировать эти старые истины слишком дорого.

Павел ШОШИН,