Оффтоп Andrey Frolov
41 069

Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp

21 сентября экс-сотрудник ЦРУ и АНБ Эдвард Сноуден выразил сомнение в надёжности хранения данных в мессенджере Telegram и предположил, что пользователям лучше общаться с помощью WhatsApp. Основатель Telegram Павел Дуров раскритиковал высказывание Сноудена и технологии защиты WhatsApp.

Вечером 21 сентября Сноуден отвечал на вопросы своих подписчиков о том, какой мессенджер лучше использовать для общения. Ранее в этот же день экс-сотрудник ЦРУ раскритиковал мессенджер Allo от Google за то, что он сохраняет на своих серверах всю переписку пользователей, которая может быть передана правоохранительным органам по их запросу.

По словам Сноудена, пользователям стоит чаще пользоваться защищёнными сетями типа Tor и мессенджерами с усиленным шифрованием — например, Signal. Это не идеальный рецепт для сохранения приватности, однако Signal надёжнее, чем Allo, добавил Сноуден.

Один из пользователей Twitter спросил Сноудена, что он думает о Telegram Павла Дурова, на что экс-сотрудник ЦРУ заявил, что по умолчанию этот сервис менее надёжен, чем WhatsApp, что может представлять опасность для «не-экспертов». Сейчас в WhatsApp используется end-to-end шифрование по умолчанию, тогда как в Telegram этот способ используется только в «секретных» чатах.

В ответ на это Дуров заявил, что «большинство пользователей WhatsApp хранят всю переписку в незашифрованном виде в Google Drive и iCloud» (такая возможность появилась в мессенджере в октябре 2015 года). «В результате, 80% сообщений в WhatsApp и 100% метаданных хранятся в США и доступны американским спецслужбам. Даже если один отключит эти бэкапы, другие пользователи могут хранить их. Это нулевая защита для групп в WhatsApp», — сказал Дуров.

Сноуден ответил, что поведение внешних сервисов значит меньше, чем работа самого приложения и порекомендовал Дурову реагировать на критику через описание изменений сервиса, а не в Twitter. Создатель Telegram ответил, что его приложение предоставляет защищённое «облако» для тех, кому нужно единое хранилище переписки для разных устройств и «реальное» end-to-end шифрование для тех, кто в нём нуждается.

«При этом WhatsApp может отключить их "end-to-end" удалённо со своего сервера в любое время», — добавил Дуров.

Впрочем, Сноуден согласился с высказыванием Дурова о том, что WhatsApp практически вынуждает пользователя включить хранение переписки в стороннем хранилище. Кроме того, он назвал «вызывающей сомнение» идею передавать данные о пользователях WhatsApp в Facebook, и добавил, что все сервисы сейчас нуждаются в доработке.

В итоге Дуров также признал, что вести дискуссию в Twitter не имеет смысла и пообещал прислать Сноудену ссылку на исследования по вопросу мессенджеров.

#Павел_Дуров #WhatsApp #Telegram #Эдвард_Сноуден #allo

Статьи по теме
Эдвард Сноуден призвал не пользоваться мессенджером Allo от Google
WhatsApp разрешил пользователям сохранять переписку и другие данные на Google Drive
{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u044d\u0434\u0432\u0430\u0440\u0434_\u0441\u043d\u043e\u0443\u0434\u0435\u043d","\u043f\u0430\u0432\u0435\u043b_\u0434\u0443\u0440\u043e\u0432","whatsapp","telegram","allo"], "comments": 74, "likes": 49, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 18615, "is_wide": true, "is_ugc": false, "date": "Wed, 21 Sep 2016 22:01:59 +0300" }
{ "id": 18615, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/18615\/get","add":"\/comments\/18615\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/18615"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

74 комментария 74 комм.

Популярные

По порядку

Написать комментарий...
11

Павел - лицо заинтересованное, а Эдуард - нет. Больше верю Эдуарду

Ответить
58

Правильно ли я понял, что даже если первоклассник и Павел Дуров будут спорить о шифровании, то первоклассник априори победит, так как не является заинтересованным лицом?

Ответить
4

нет, неправильно

Ответить
7

в чем конкретно? тут вопрос интерпретации - о фактах они не спорят.

Ответить
3

В том что телеграм опаснее для обывателей так как создает ложную уверенность в конфиденциальности переписки которой нет. Телеграм позиционируется как защищенный, но таковым не является.

Ответить
1

С возможностью защиты:)

Ответить
3

Бывший црушник, завербованный СВР, в чем-то да и заинтересован, раз кидает такие мессаджи.

Ответить
0

Кем завербован?

Ответить
–1

СВР - служба внешней разведки. Ужо и загуглить лень?

Ответить
3

У вас есть факты и прувы?

Ответить
2

- Пацаны, тема! Амерский шпион у нас в аэропорту застрял!
- И что?
- Как что? Тряханем! Вариантов у него нет, расколем по-быстрому.
- Паша, та нельзя. Не то время. Нас и так весь мир за зверей держит.
- Ты погоди, ногти вырывать не будем. Прессанем слегка. А у него секретов в башке - тьма!
- Паша, мы так больше не работаем. Забудь!
- И что? Мы просто так отпустим? Ничего не сделаем?
- Почему ничего? Надо помочь. Я похлопочу, чтобы ему быстро вид на жительство сделали. Ты займись защитой. Володя поможет его девушку из Штатов быстро и без проблем перевезти. Нужно быть человечнее, Паша. А не прессовать всех подряд!

Ответить
0

Кто этот Паша?

Ответить
0

а что его тут пустили и прячут за красивые глаза и из любви к человечности что ли? ))) не знаю что вы понимаете под "завербован" но шарить секреты работы и данные думаю он с первого дня начал - и не ту туфту что про призм и прочую попсу а гораздо более важные вещи - но это уже только "кому надо" типо СВР и тп

Ответить

1

Каждый прав по-своему. Telegram постоянно обращается к камере - зачем? А Signal разряжает батарею с огромной скоростью и нагревает процессор - зачем? Вот и верь им всем...

Ответить
2

Потому что оба засланные, они нам Эдика мы им Павлика.

Ответить
14

Надеюсь, ссылкой Дуров со всеми в Твиттере тоже поделится.

Ответить

2

Наш ответ Сноудену.

Ответить
17

Вот так незатейливо Азим примазался к международной группе разработчиков Telegram.

Ответить
6

То, что в Телеграм по умолчанию не включено end-to-end шифрование — логично. Ведь чаще всего мы все же пользуемся чатами для обсуждения вопросов, конфиденциальность которых не столь высока, чтобы в гонке за ней лишиться возможности облачного хранения истории переписки.

Ответить
0

И да, и нет. Можно было б сделать большой переключатель в интерфейсе чатика - когда он включен, то сообщения шифруются, когда выключен - нет. Если нужно что-то существенное обсудить - включили, если после этого опять переходим на бытовые темы, но с необходимость читать на ПК, например - то выключаем. Чтобы не путаться, можно визуально такие секретные фрагменты выделять.

Короче, сценариев и вариантов UX может быть масса. Тут уж что выбрали, то выбрали.

Ответить
5

Пашка..))

Ответить
4

Прочитал на одном дыхании, как будто новую серию "Санта-Барбары" посмотрел.

Ответить
1

Пфффф. Вотсап при их мега секьюрном энд ту энд шифровании by default присылают пуши с текстом сообщения. Какое нахрен шифрование, если мои сообщения хранятся в открытом виде на серваках гугла и эппла?

Это так, камень в сторону Сноудена. По умолчанию ведь нотификации включены, не так ли?

Ответить

0

Шаг 1. Ставишь вотсап.
Шаг 2. Юзаешь настройики "по умолчанию", т.е. Включенные пуши и показ текста сообщения.
Шаг 3. Получаешь пуш от кого-нибудь сообщение - видишь текст сообщения на экране телефона, без перехода в само приложение.
....
Profit.

Означает это лишь то, что вотсап отпраляет это "зашифрованное" сообщение на сервера гугла/эппла (в зависимости от платформы) в открытом виде, для последующей передачи его конечному пользователю в качестве пуш-уведомления. End to end шифрование как бы есть, но его как бы нет.

Телеграм, к примеру, в защищенном чате пришлет уведомление "You have a new message".

Ответить

–1

О какой расшифровке речь то вообще, если я про пуши? Их никто не расшифровывает. Они приходят. С серверов. Гугла или эппла. Это специфика платформ.

Никак иначе пуш не отправить. Только через приложение, которое ничего о сообщении не знает пока ты его не откроешь и только через пуш серверы.

Вы просто пришли пофлудить или хоть немного понимаете о чем речь?

Ответить
1

вы абсолютно не правы. Пуши там вообще не используются. Это приложение эмулирует вам якобы пуш на экране.

Ответить
0

А вас посещала мысль, что в push-сигнале через сервера гугла может быть лишь команда приложению "проснись и проверь новое сообщение". Дальше уже приложение с шифрованиями и прочим вступает в игру и генерирует вам уведомление на экран?

Ответить
2

Так вот почему эта сволочь батарею жрет!!1

Ответить
3

"сервис менее надёжен, чем WhatsApp, что может представлять опасность для «не-экспертов»" - o'rly? Вацап так вообще, согласно последней политике, всю инфу якобы сливает Фейсбуку, про что многие "не-эксперты" даже не догадываются... Даже если убрать галочку - вы уверены, что это что-то изменит? ;)

Ответить

4

Имеется в виду, что WhatsApp может ВНЕЗАПНО отключить шифрование, тогда как в пашкограме его нужно запускать отдельно, эти чаты создаются параллельно открытым и их пропажу заметить будет достаточно трудно даже без оповещения + эти данные не хранятся на сервере/облаке.

Ответить

3

в том что это попросту не возможно - это функция клиентов а не сервера

Ответить
1

Ну, в целом они могут незаметно добавить бэкдор под это в апдейте, если уж об этом говорить.

Ответить
6

Код клиента открыт, и очень много людей следит за ним. Дуров не будет так себя компроментировать

Ответить
8

Вопрос гуманитария: а могут они скомпилировать не то же самое, на что выложили код. Например, встроить тот самый бэкдор. И отправить это всем в виде обновления. Кто-то из сообщества следит за этим что-ли?

Ответить
4

Нет, не могут. Иначе контрольные суммы их измененной программы и программы, скомпилированной из открытого источника не совпадут.

Ответить
1

Это теоретически. А практически кто-то реально компилирует прогу в Xcode, а потом сравнивает с контрольной суммой из App Store? Можно пруфы?

Ответить
0

Если бы были прецинденты об этом бы уже раструбили. Как минимум я думаю следят за этим конкурирующие сервисы.

Ответить
0

...не то же самое, на что выложили ИСХОДНЫЙ код*

Ответить
3

К слову, код андроид-клиента в репозиториях не обновлялся 6 недель, а iOS 7 месяцев.
Обновления при этом выходили. Фактически код из репозиториев уже не является актуальным. Так что возможность вероятности наличия в приложениях следилки есть. Хотя, наверно, стоит просто послушать какие пакеты и куда отправляют приложения и убедиться наверняка, если так интересно.

Ответить
0

Только код на гитхабе клиента под айос, например, не обновлялся уже 7 месяцев, там до сих пор версия 3.6. Как-то не очень усердно следят.

Ответить
0

Ой. Не прочитал всю ветку. Чукча писатель.

Ответить
0

Во-первых, Для старта секретного чата нужно, чтобы соебtседник был онлайн. Вдобавок есть графические изображения ключей, которые можно сопоставлять.

Ответить

0

а так. Когда вы начинаете секретный чат - то севрера дурова не имеют ваших ключей.

Ответить
0

Всегда было интересно, как ключ попадает на другое устройство, минуя сервер Telegram. А если все таки не минует, что мешает записать ключ на сервере?

Ответить
4

Если я не ошибаюсь, речь идёт об обычном MITM? Ну, для этого и есть сверка ключей на клиентах.
То есть, если Telegram перехватит публичные ключи и будет вести переписку через себя, то отпечатки на клиентах просто не совпадут.

Другое дело, что сервер может сказать клиенту нарисовать нужную картинку в той менюшке, но это можно проверить, заглянув в исходники, например, Android-приложения. Под словом "проверить" я имею в виду "посмотреть, что именно передается в функцию отрисовки отпечатков и откуда это что-то берётся"

Ответить
0

Меня в этой нашей телеге не смущают нисколько вероятные проблемы с выворотами государственной цензуры с mitm, но очень и очень сильно смущает, что серверы захардкожены и при желании даже эта текущая реализация блеклистов (ха) создаст проблем обычным баном /24 нескольких подсетей. Бутстрапилку бы какую с dht, об этом пока рано думать, но уже можно начинать.

Ответить
4

Дуров ещё в апреле 2015-го говорил про разработку P2P-решения. Видимо, берегут для "особых случаев".

Ответить
2

если посмотреть все го лишь один firechat на планете умеет p2p. Есть еще один опенсорс проект - я их проверял - они декларируют что умеют - в реальности - клиенты не обнаруживают друг друга ио ноду найти не могут.

Ответить
0

О, отличные новости.

Ответить

0

Телеграм использует алгоритм Диффи-Хеллмана для создания ключа на двух устройствах, который сервер или "человек по середине" не смогут никак узнать. https://ru.m.wikipedia.org/wiki/Протокол_Диффи_—_Хеллмана

Ответить
2

По вашей же ссылке в 3 абзаце:

"В чистом виде алгоритм Диффи-Хеллмана уязвим для модификации данных в канале связи, в том числе для атаки «Человек посередине», поэтому схемы с его использованием применяют дополнительные методы односторонней или двусторонней аутентификации."

Так что утверждение, что ""человек по середине" не смогут никак узнать" - неверное. Да, можно сверить коды - это и есть те самые "дополнительные методы". Это позволит диагностировать MitM, но уже постфактум.

Ответить
0

В основе лежит этот алгоритм, но, безусловно, он модифицирован для устранения возможных уязвимостей.

Ответить

1

А что если Эдвард специально сначала говорил правду про Америку, чтобы приобрести доверие. А теперь будет советовать всякую дичь

Ответить
0

:thinking:

Ответить
0

Он двойной агент?

Ответить
1

Секретные чаты) а чего скрывать то вам от спецслужб? Как вы бухали?

Ответить
0

Нет, ну как-бы типа сам факт не радует что за мной следят. Вот буду я со своей девушкой выбирать ей нижнее белье, предварительно обсуждая его в переписке. Вроде все законно, недавно 18 ей исполнилось, ничего запретного не обсуждаем. Но блин, как-то не очень греет мысль, что мы с ней под колпаком. Суть, думаю, понятно донес...

Ответить
0

Вопросы бизнеса.
Телега пользуется большой популярностью среди предпринимателей.

Ответить
1

Не выдержал и таки установил Телеграм.

Ответить
0

А про Пашу фильм снимут? В стиле "Сноудент 007" ?

Ответить
2

"Сноудент" - хорошее название для стоматологии.

Ответить

0

Как в Telegram сделать секретный чат в группе? Есть ли такая возможность?

Ответить
0

jabber + tor

Ответить
0

Еще есть Antox, что работает через Тор. Но люди не пользуются им. Секретность важна, но не всегда. Люди имеют выбор. Проблема в том, что Дурова сложно конкурировать с гигантами, но в этом забеге Сноуден мог бы стать союзником Дурова. Странно, что Сноуден топит за фейсбушный мессенджер.

Ответить
0

А кто-нибудь из вас пробовал этот Signal, за который Снежок так ратует? Я попробовал. Перегрев смартфона, быстрый разряд аккумулятора, постоянное обращение к камере (у меня стоит контроль разрешений, аппарат vibe z2 pro).....
Я не верю в Сноудена

Ответить
0

А с WhatsApp как дела?

Ответить
0

Пока нормально, откатил обновления, можно юзать не принимая новое соглашение

Ответить
0

Но ведь он использует с некоторых пор протокол от Signal. Не смущает?

Ответить
0

Вообще ни разу не смущает. Он у меня ни камеру не включит, ни местоположение не определит. Да и номер привязки из другой страны.

Ответить
–1

Я согласен с тем, что Телеграм намного опаснее того же Allo или WhatsApp. Дело в том, что Телеграм создает иллюзию безопасности у пользователей, но по факту таким не является. И дело тут не столько в самом мессенджере, сколько в самих людях, которые им пользуются.
Например есть полностью открытая сеть LetsFree.su, которая гарантировано не защищает данные пользователей, так как не берет о них никакие данные. А есть сеть facebook.com, которая гарантировано собирает всю информацию о пользователе и которую усиленно защищает. Так возникает вопрос на миллион: "А зачем вообще собирать информацию, чтобы потом ее защищать и никому не передавать"?

Ответить
0

Зачем вы везде пишет один и тот же комментарий? Например, вот здесь -https://vc.ru/n/snowden-vs-google

Вы рекламируете LetsFree.su?

Ответить
0

Причем тут реклама? По вашей логике я и фейсбук рекламирую.
Я просто показываю диаметрально противоположные подходы с данной проблеме, реализованные в США и призываю людей задуматься о том, что зачем собирать подробную информацию о людях (по заявлению соцсетей нигде ее не используя), но чтобы потом ее усиленно защищать? Где логика?

Ответить
–2

В Эристике поспорили?:thumbsup_tone1::thumbsup_tone1::joy:

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }