Пять лет назад власти блокировали Telegram, а после начала войны это одно из главных приложений в РФ. Как пользоваться им безопасно? Инструкция «Медузы»
Мы говорим как есть не только про политику. Скачайте приложение.
16 апреля 2018 года российские власти приступили к блокировке мессенджера Telegram. Основатель сервиса Павел Дуров тогда отказался предоставить Федеральной службе безопасности ключи для дешифровки переписки пользователей — и Таганский районный суд Москвы постановил ограничить доступ к приложению на территории РФ. Однако эффективно справиться с этой задачей Роскомнадзору так и не удалось — и через два года надзорное ведомство прекратило попытки заблокировать Telegram. С тех пор мессенджер значительно расширил аудиторию и влияние внутри страны, чему во многом способствовал конфликт российских властей с западными конкурентами сервиса. Так, американская Meta — владелец WhatsApp — в марте 2022 года была признана в РФ экстремистской организацией, а блокировка YouTube, судя по многочисленным слухам, — в ближайших планах Роскомнадзора. На этом фоне Telegram уже обогнал WhatsApp по объему трафика, а YouTube — по размеру ежедневной аудитории; количество неуникальных подписчиков русскоязычных телеграм-каналов за 2022-й выросло вдвое, до двух миллиардов. При этом скептики продолжают подозревать приложение в сотрудничестве с российскими властями — что может быть особенно опасно на фоне принятых после начала полномасштабной войны в Украине законов о военной цензуре. В годовщину начала блокировки Telegram «Медуза» напоминает, как минимизировать риски пользования приложением — и обезопасить себя от попадания персональных данных в руки злоумышленников или спецслужб.
Минимальные меры предосторожности
Обязательно установите пароль для двухэтапной аутентификации
Худшее, что с вами может произойти, — похищение аккаунта злоумышленником. Вся ваша обычная переписка, групповые чаты и подписки на телеграм-каналы хранятся в облаке. Это позволяет при подключении нового устройства перенести на него весь контент. Но этот удобный для обычного пользователя функционал может обернуться катастрофой, если вся хранящаяся в облаке информация попадет в чужие руки.
Для успешной атаки на учетную запись, не защищенную «облачным паролем», злоумышленнику достаточно получить дубликат вашей сим-карты. Например, перевыпустив ее в салоне связи с помощью поддельных документов.
«Облачный пароль» защитит вас от такой атаки. После его установки при подключении нового устройства нужно будет ввести не только код из СМС-сообщения, но и пароль, который злоумышленнику еще надо каким-то образом узнать.
Активно пользуйтесь секретными чатами
В отличие от обычной переписки, секретные чаты не хранятся в облаке телеграма. Старые сообщения можно прочесть только с того устройства, с которого они были отправлены. Поэтому даже если злоумышленник добудет «облачный пароль» и сможет подключить свой телефон к вашему аккаунту, он не узнает содержание переписки из секретных чатов. Секретные чаты доступны в приложениях на телефонах, а на компьютерах — только в macOS.
Выставьте таймер для автоматического удаления сообщений в чатах
Эту опцию можно включить для любых чатов — и обычных, и секретных. В секретных чатах автоуничтожение будет работать в интервале от нескольких секунд до одной недели, отсчет времени начнется после прочтения сообщения собеседником. Для обычных чатов интервал составит от 24 часов до года.
Такая мера предосторожности может спасти вас в случае, если злоумышленник получит доступ к вашему телефону. Чтобы изучить историю всех отправленных с него сообщений, в том числе секретных (если получит физический доступ к вашему устройству).
Установите код доступа для телеграма на вашем устройстве
Даже если вы используете полнодисковое шифрование вашего компьютера со сложным паролем и отключаете разблокировку телефона с использованием биометрии, злоумышленник в некоторых случаях все равно может получить полный доступ к вашему гаджету. Например, если попросит у вас телефон, чтобы срочно позвонить. Или обнаружит, что вы отошли от компьютера и забыли его заблокировать. В таком случае ему достаточно будет запустить установленное приложение, чтобы прочитать все ваши переписки.
Для защиты от такой угрозы установите код-пароль (passcode) в вашем телеграм-приложении на компьютере, планшете и телефоне. Его нужно будет вводить каждый раз при запуске приложения.
Одновременно можно настроить автоматическую блокировку приложения. Она сработает, если вы откроете приложение, а потом какое-то время не будете им пользоваться (от одной минуты до пяти часов). После автоматической блокировки вам снова нужно будет ввести код-пароль, чтобы запустить телеграм.
Что делать, если я параноик
Начинайте созвоны со сверки эмодзи
После того как телеграм установит соединение для аудио- или видеозвонка, обратите внимание на появившиеся четыре эмодзи. Они должны быть одинаковыми у каждого из собеседников. Это гарантия защиты от атак «человек посередине» (man-in-the-middle), когда злоумышленник вклинивается в защищенные соединения таким образом, что может перехватывать, расшифровывать и ретранслировать трафик.
Попросите вашего собеседника назвать вслух эмодзи, которые он видит. Если они отличаются от ваших, значит, что-то пошло не так. И надо либо выбирать альтернативный канал связи, либо отказаться от обсуждения чувствительных тем.
Не забудьте установить и включить VPN
VPN не только помогает обходить блокировки интернет-ресурсов, но и скрывает IP-адрес, выданный вам интернет-провайдером. Теоретически по этому IP-адресу вас могут вычислить те, у кого есть доступ к логам интернет-провайдеров (например, спецслужбы).
Чтобы узнать IP-адрес конкретного телеграм-пользователя, злоумышленнику надо убедить его перейти по уникальной ссылке и посмотреть, с какого адреса она была открыта.
Но если будет включен VPN, то злоумышленник не сможет узнать IP-адрес, выданный интернет-провайдером. Вместо него он увидит IP-адрес вашего VPN-сервиса.
Кроме того, VPN дополнительно защищает вас от перехвата трафика и атак «человек посередине» при использовании недоверенных сетей вроде общедоступного Wi-Fi.
Заведите себе новый аккаунт
Каждому пользователю Telegram присваивает уникальный идентификатор (user ID). Этот номер невозможно поменять. Даже если вы смените юзернейм, имя, фотографию и описание, идентификатор останется прежним. Различные боты, которыми вы пользовались, и специальные сервисы, анализирующие открытые чаты, могут собирать и хранить связки идентификаторов и публично доступных сведений о людях (вплоть до номеров телефонов). И отслеживать все изменения. Невозможно наверняка сказать, кто успел сохранить какие-то сведения о вас — и насколько они полные.
Поэтому, если вы по какой-то причине хотите сохранить анонимность, заведите новую учетную запись. Используйте иностранный и/или виртуальный номер: все российские номера должны быть зарегистрированы по паспортными данными их владельцев. Можете использовать его как основной или дополнительный.
Если у вас нет возможности обзавестись иностранным номером, то хотя бы удалите свою учетную запись, а потом зарегистрируйте ее заново на тот же телефонный номер. Так вы получите новый идентификатор пользователя. Чтобы не потерять безвозвратно все данные во время этой процедуры, сохраните их заранее.
Установите себе альтернативный телеграм-клиент от «Киберпартизан»
Помните совет использовать код-пароль (passcode) для запуска приложения? Так вот, телеграм-клиент «Киберпартизан» позволяет завести разные коды доступа. Один настоящий и один или несколько «фейковых».
«Фейковый» код-пароль можно использовать в случае, если вам угрожает какая-то опасность. Его активация автоматически запустит одно или несколько заранее выбранных действий:
- подмена настоящего номера телефона, привязанного к аккаунту, на ложный;
- удаление или сокрытие определенных чатов;
- завершение сеансов на других устройствах, подключенных к этой учетной записи;
- удаление сохраненных ранее контактов;
- удаление стикеров;
- очистка истории поиска;
- очистка черного списка заблокированных контактов;
- разлогинивание — выход из учетной записи телеграма;
- сокрытие одной из учетных записей (если в приложении их хотя бы две);
- удаление с устройства других «фейковых» код-паролей.
Активировать «фейковый» код-пароль можно разными заранее выбранными способами:
- ввести его на своем телефоне самому или выдать под давлением вместо настоящего;
- отправить с другого устройства специальное сообщение в любой из чатов, в котором вы состоите;
- дождаться, когда сработает таймер, если вы долго не открывали приложение;
- несколько раз неправильно ввести код-пароль.
Кроме того, приложение «Киберпартизан» умеет делать фотографии фронтальной и основной камерой в случае неудачных попыток ввода код-пароля. Так можно узнать, кто брал в руки ваш телефон и пытался получить доступ к телеграму.
Владельцы андроидов могут скачать приложение с сайта разработчика и сразу установить. Тем, кто пользуется айфонами, придется сложнее: нужно самостоятельно скомпилировать приложение из исходных кодов. Это непростая задача, но на сайте разработчиков можно найти подробную инструкцию.
(1) Где найти эту опцию?
«Настройки» — «Конфиденциальность» — «Облачный пароль».
(2) А это где искать?
«Настройки» — «Конфиденциальность» — «Код-пароль».
(3) Где их найти?
Посередине экрана во время аудиозвонка и в правом верхнем углу во время видеозвонка.
(4) Что это такое?
Фактически это любая внешняя сеть, которой вы не управляете и которую вы не контролируете.
(5) Кто это?
Это группировка анонимных белорусских хакеров, появившаяся осенью 2020 года. Они поддержали протестующих против режима Александра Лукашенко и занялись взломом сайтов государственных ведомств. В ноябре 2022 года «Киберпартизаны» взломали внутреннюю сеть и выкачали более двух терабайтов документов и писем сотрудников Главного радиочастотного центра (он же ФГУП «ГРЧЦ») — подразделения Роскомнадзора, выполняющего контрольно-надзорные и регуляторные функции.