Бьет ключом: почему поздно беспокоиться о дешифровании переписки в Telegram

По данным Mediascope за июнь 2024 года, среднемесячный охват Telegram в России составляет 86,3 млн человек, это 70% населения. Ничего удивительного. Это один из самых удобных инструментов коммуникации, не сравнимый с корпоративной почтой или тем же WhatsApp. В целом, сложно не вести переписку в Telegram, если твой же собственный начальник пишет тебе именно в нем.

Кроме того, именно этот мессенджер всегда позиционировал себя как площадку, которая решает главную задачу информационной безопасности — конфиденциальность. Удобство и вера в «серебряную пулю» в этом случае привели к тому, что сегодня этот мессенджер едва ли не стандарт де-факто для ведения рабочей переписки у значительной части отечественных компаний. Понятно, что многие пользователи чуть ли не в панике: «А что будет именно со мной, моей анонимностью и конфиденцильностью моих переписок, если Дуров отдаст ключи?»

Но имеет ли паника основания? Вернее, имеет ли она основания именно сейчас? На самом деле скорее нет, чем да.

Приведу собственный пример, классический для кибербезопасности: лично я пользуюсь мессенджером едва ли не с самого его появления, сейчас это фактически основной мой способ коммуникации в цифровом мире. При этом с первого дня я понимаю, что моя переписка может стать публичной в любой момент. При этом Дуров, ключи или инфраструктура мессенджера тут совершенно ни при чем. Любое мое сообщение может быть переслано (а если я это запретил настройками, то «заскриншочено», а уж если и это невозможно — сфотографировано с экрана) и опубликовано. Да и историю с возможностью «угона» хакерами аккаунта у моего визави по переписке тоже сбрасывать со счетов нельзя: если я, скажем, пишу Васе Пятибратову и у него взломали аккаунт — вуаля! — вся моя переписка прочитана.

Это отнюдь не плод моего воображения: мы делаем десятки расследований хакерских атак ежегодно и в каждом третьем случае атака начинается с угона аккаунта IT-администратора для последующего взлома компании. Сегодня это уже стало базой для злоумышленников. Из переписки они получают самые разные данные: логины и пароли от учетных записей, личные персональные данные, порой даже фотографии документов и массу другой информации, которая в разы повышает успешность атаки.

Таким образом, если кратко, то коллективная истерия о том, что именно сейчас все пропало, по факту лишена смысла: все, что может быть утеряно, будет утеряно вне зависимости от того, кому и какой доступ дадут (или дали) разработчики Telegram. И мы не сможем на это повлиять.

Анонимность аккаунтов в Telegram тоже под большим вопросом. Конфиденциальность авторов в каналах всегда обеспечивалась только за счет самой инфраструктуры мессенджера. И на самом деле сейчас никому не известно, кто, кроме команды мессенджера, имеет доступ к ней. Конфиденциальность переписки тоже в критической зоне: тот, кто получит доступ к серверам этого мессенджера (легально или нелегально, может, и вовсе в ходе хакерской атаки — чем черт не шутит), сможет получить и доступ к этим данным, ведь коммуникация происходит как раз через эти серверы.

Исключения могут быть по большому счету только в двух случаях. Первый — вы используете функцию секретных чатов между двумя устройствами. Положа руку на сердце, стоит признать, что мы этого в большинстве случаев не делаем. Второй — вы используете мессенджеры, которые развернуты на серверах, подконтрольных только вам. Тогда, кроме вас самих, никто не будет нести ответственности за обеспечение безопасности и контроль доступа посторонних к вашим данным. Истины ради, есть open-source-вариации мессенджеров, которые каждая компания может развернуть в своем периметре и сделать внутренним стандартом коммуникаций с необходимым уровнем безопасности (например, Mattermost). Но, к сожалению, большинство частных пользователей этого себе позволить не смогут.

Возвращаясь к вопросу, надо ли сейчас срочно чистить свои истории переписки? И что делать? Мой ответ: ничего. Разве что только честно признать, что нет такого Лас-Вегаса, за пределы которого не выходит ничего из того, что там было. Все, что вы написали в Telegram или другой социальной сети (мессенджере, по СМС), в любой момент может стать достоянием гласности. В этом случае совет один: не пишите того, что боитесь озвучить офлайн. Нет никаких объективных подтверждений того, что при удалении переписки у вас и у вашего собеседника она удалится и на серверах Telegram. Равно как и нет гарантий, что разработчики не делают бэкапы и удаление переписки в аккаунте приводит к их автоматической чистке. Это настолько сложная процедура, что с высокой долей вероятности можно предположить, что эта манипуляция не выполняется. Так что удалять что-либо из мессенджера как минимум уже поздно.

При общении с использованием мессенджеров стоит учитывать, что на самом деле не существует групповых «закрытых» чатов (кто бы что ни говорил): везде, где общение ведется больше, чем двумя людьми, технологически сложно обеспечить режим конфиденциальности переписки. А самое главное — существующие технические решения защиты не имеют удобного интерфейса и совершенно не удобны в каждодневном использовании. И, как следствие, конечно, не используются.

Что важно, так это то, что переписка в мессенджерах — это всего лишь вершина айсберга под названием «цифровой след». Любая коммуникация с использованием тех или иных технологий и диджитала этот цифровой след ежесекундно пополняет: посещение сайтов в интернете, запуск мобильных приложений на смартфоне, перемещение по городу под неусыпным контролем камер, финансовые трансакции… Да даже просто телефон в кармане, который постоянно подключен к интернету и передает различным сервисам и службам не только свое местоположение, но и «подслушивает», о чем вокруг него говорят. Все это собирает огромный data lake на каждого из нас, востребованный индустрией маркетинга и продаж во имя нашего удобства. Например, производители современных умных телевизоров значительную часть своей прибыли получают именно из перепродажи персональных данных своих пользователей. С другой стороны, раз эти данные есть, они всегда могут быть использованы иначе и в иных целях.

При этом ситуация в целом очень характерная для истории многих технологических компаний, которые строили свой бренд на обеспечении конфиденциальности личности и шифрования данных. Вспомним историю со смартфонами BlackBerry, которые еще лет 15 назад также считались самым защищенным решением в области обмена сообщениями. На деле же оказалось, что доступ к данным все же есть и при необходимости может быть «расшарен» за пределы команды разработки продукта. Похожая история была с устройствами Apple, правда, там поучаствовала третья сторона, которая смогла обеспечить доступ к данным защищенных устройств по запросу. Сначала это были разовые акции, но с течением времени это становится все более распространенной практикой.

Даже если вы организуете «слепые пятна», удалив части своих переписок, гипотетически они могут быть восполнены данными о ваших, скажем, лайках, используемых приложениях, трансакциях и пр. Цифровое забвение, о котором сегодня так много говорят, технически почти невозможно, учитывая разнообразие мест и скорость оставления нами цифровых следов, помноженные на объем всевозможных утечек данных, относительно легко доступных в даркнете. Впрочем, если вы не являетесь преступником, то по большому счету вам не стоит беспокоиться о том, что эта угроза для вас актуальна. А если вы все же на темной стороне, спешу вас расстроить: Лас-Вегас и его тайны — на самом деле скорее кинематографическая сказка, а жизнь все больше похожа на сюжеты «черного зеркала».

Мнение редакции может не совпадать с точкой зрения автора