Курсы валют
USD 58,5318 0,0696
EUR 69,3309 0,1526
USD 58,46 50 −0,0025
EUR 69,3675 0,0000
USD 58,46 13 −0,0048
EUR 69,3 545 −0,0235
USD 58,4800 58,5900
EUR 69,3100 69,4900
покупка продажа
58,4800 58,5900
69,3100 69,4900
27.11 — 04.12
58,4000
69,5000
BRENT 63,56 −0,11
Золото 1289,30 −0,02
ММВБ 2156,54 −0,13
Главная Новости Аналитика Обдурили: почему удалось взломать Telegram
Обдурили: почему удалось взломать Telegram

Обдурили: почему удалось взломать Telegram

Источник: Банки.ру |

То, что абоненты сотовых операторов все меньше и меньше пользуются СМС, — давно не новость. Многие используют для переписки сторонние мессенджеры, считая их более надежными и безопасными. Однако недавняя громкая история взлома Telegram оппозиционных гражданских активистов Олега Козловского и Георгия Албурова показала, что даже к защищенным средствам обмена сообщениями можно найти подход.

 

До недавних пор единственным широко распространенным мессенджером, использующим end-to-end-шифрование (или «сквозное шифрование» — термин означает, что доступ к сообщениям возможен только участникам чата), был Telegram Павла Дурова, изначально разрабатывавшийся как защищенное средство связи. Однако впоследствии другие игроки рынка добавили эту функцию в свои продукты.

 

На сегодняшний день сообщения шифруют все популярные мессенджеры: Viber, WhatsApp, ICQ. Разработчики других приложений для общения также так или иначе обозначили, что работают в направлении защиты пользователей от перехвата переписки. Но даже если все сообщения между пользователями шифруются, это не означает, что к ним нельзя получить доступ.

 

Взлом и его последствия

 

Произошедшему на данный момент посвящен целый сайт. Жертвы обвиняют сотового оператора МТС в пособничестве взломщикам: по их мнению, тот намеренно отключил на время взлома услугу передачи СМС, чтобы владельцы Telegram-аккаунта не смогли получить сообщение с кодом авторизации, и передал данные для авторизации злоумышленникам.

 

Мнения экспертов по этому вопросу разделились. Кто-то открыто обвиняет оператора, кто-то, наоборот, встает на его защиту. Вокруг сложившейся ситуации гораздо больше вопросов, чем ответов. Если же абстрагироваться от попыток обличить виновного, становится очевидной довольно простая вещь: от взлома не способны спасти даже защищенные средства связи.

 

Никакое end-to-end-шифрование вместе с продвинутыми криптографическими алгоритмами не смогут защитить от подобной «лобовой атаки».

 

Можно сколько угодно доказывать, что если на стороне злоумышленника оказывается сотовый оператор — пользователь обречен. Однако проведенный Банки.ру экспресс-опрос экспертов в области информационной безопасности показал, что даже если из уравнения исключить «помощь» оператора, найдется как минимум пара способов провернуть аналогичный трюк: шпионское ПО на мобильном устройстве абонента или действия внедренного инсайдера в МТС. «Чем удобнее организован доступ к обмену информацией, тем большему риску эта информация подвергается», — считает главный аналитик Zecurion Владимир Ульянов.

 

Где спасение

 

Как ни странно, спасение — в изменении отношения к средствам обмена информацией. Несмотря на то что многие из них декларируются как «защищенные», пользователи не прибегают ко всем предоставляемым ими средствам защиты. К примеру, не пользуются двухфакторной аутентификацией. Если бы у жертв упомянутого взлома была включена эта функция, заполучить доступ к их аккаунтам оказалось бы сложнее. А сохранение истории общения — то самое удобство, которое способно скомпрометировать переписку.

 

Еще один совет, который многие неоднократно слышали и успешно игнорировали, — использование антивирусного ПО. Самый простой способ получения доступа к любой переписке пользователя на любом устройстве — заражение этого самого устройства. Путей для этого существует такое количество, что простой осторожности тут мало. Нужно использовать как минимум бесплатные антивирусные решения.

 

Гарантии безопасности

 

Но даже если оставить в стороне описанные выше методы получения доступа к содержимому переписки, могут ли мессенджеры в полной мере гарантировать неприкосновенность данных, достаточно ли просто использовать современные криптографические средства? В качестве подтверждения «стойкости» Telegram Павел Дуров не раз объявлял конкурс с внушительным денежным призом тому, кому удастся взломать переписку.

 

В одном из случаев пользователю удалось провести атаку на секретный чат. Но так как доступ к переписке взломщик получить так и не смог, сумма выплаченного вознаграждения была уменьшена вдвое. После этого в программу были внесены необходимые изменения, что исключило возможность повтора подобной атаки, поэтому следующий аналогичный конкурс остался без победителя.

 

Надо сказать, что некоторые эксперты считают, что в подобных «соревнованиях» больше популизма, чем желания подвергнуть алгоритмы защиты серьезной проверке. По их мнению, суммы призов слишком малы, чтобы окупить работу профессиональных криптоаналитиков: у профессионалов отрасли нет стимула участвовать в подобных мероприятиях — их работа попросту не окупится. А то, что никто не выиграл конкурс, означает лишь, что его никто не выиграл, это никак не может являться доказательством надежности ПО.

 

Кроме всего прочего, существует и конспирологическая теория, гласящая, что государственные структуры США приложили руку к разработке стандартов шифрования, использующихся в том числе в программах для обмена сообщениями. Согласно теории, разработчики стандартов шифрования оставили в них «бэкдоры», позволяющие получать доступ к зашифрованным данным.

 

Пусть это и звучит банально, но лучшим способом защиты информации остается использование всех возможных средств для ее хранения и передачи. Кроме того, важны вспомогательные средства защиты системы в целом. Практика показывает, что игнорировать эти старые истины слишком дорого.

Поделитесь с друзьями
Оставить комментарий
Рубрики
Аналитика
Еще от Банки.ру