С сентября прошлого года Министерство обороны Украины ведет собственный канал в Telegram. За этот период каналу МОУ не удалось завоевать популярность у пользователей – на момент написания публикации у него всего 269 подписчиков. Однако последние события вокруг Telegram в России привлекли внимание к нему украинского экспертного сообщества. «Масла в огонь» подлила и новость о запуске в Telegram бота PrivatPayBot от ПриватБанка.
InternetUA разбирался, почему в среде украинских специалистов по кибербезопасности у Telegram дурная слава и его не рекомендуется использовать госструктурам. Особенно – Министерству обороны.
Первым на присутствие Минобороны в мессенджере Telegram обратили внимание разработчики компании «ИТ-Лаборатория», специализирующейся на защите и анализе информации, Александр Галущенко и Андрей Перцюх, после напоминания военными о своём канале на странице в Facebook.
– Никаких больше посредников, все и сразу! Прямым докладом в ФСБ! – эмоционально охарактеризовал присутствие Минобороны в Telegram-е Андрей Перцюх.
– Кто-то ведёт этот канал. Он включается с рабочего места в МО. Серый/белый адрес, гейт, трассировка, arp-a, список подписчиков, номера, их точки входа, геолокация и т.д. Это саботаж, другого названия нет. Кто-то мозг включает, думает о последствиях? – прокомментировал Александр Галущенко.
Его поддержал спикер Украинского киберальянса, известный под ником Шон Таунсенд, отметив, что подписчики и модераторы канала легко деанонимизируются обычным брутом по адресной книге.
– То, что Telegram использует собственный протокол, надежность которого неочевидна, уже создаёт проблемы. Криптография — не место для фантазий: малейшая ошибка может ослабить шифрование и надежность криптопротокола на порядок, – прокомментировал свою позицию нашему изданию спикер УКА. – Кроме того, Telegram позволяет сопоставлять прозвища и телефоны пользователей. Я бы рекомендовал не пользоваться Telegram.
О том, что Telegram не является защищенным мессенджером, говорит и консультант по кибербезопасности Егор Папышев:
– Я писал на странице МО, что Telegram не является защищенным мессенджером. Более того, реальная юрисдикция этой компании в свете текущих событий неизвестна, – говорит Папышев.
Для МОУ, считает консультант по кибербезопасности, использование Telegram может грозить компрометацией передаваемой информации и «всего, к чему имеет доступ приложение в телефоне»:
– К примеру, местоположение. Доступ к местоположению в Telegram включается на смартфоне при определенных обстоятельствах, например, если вы хотите передать свои координаты собеседнику в чате. Таким образом, у кого включен такой доступ, будут, по сути, передавать данные о своем местонахождении, что в контексте военной темы является довольно чувствительной информацией, – считает Папышев.
Не рекомендует использовать Telegram и Председатель ОО «Украинская группа информационной безопасности» Константин Корсун:
– Использование Telegram является большим риском для всех, а тем более — для серьезных организаций, отвечающих за нашу безопасность и за безопасность наших денег. Разработанный в стране-агрессоре, данный мессенджер не предоставил независимым экспертам свой алгоритм шифрования для независимого исследования. Поэтому оценить степень его безопасности невозможно — он по умолчанию должен рассматриваться как опасный и потенциально уязвимый.
Не исключено, говорит эксперт, что спецслужбы страны-агрессора имеют скрытый доступ к сообщениям, в том числе «шифрованным».
– Пока не будет доказано обратное — данный мессенджер не может считаться безопасным, – резюмировал Корсун.
Между тем, сомнения в том, что обратное будет доказано, растут. На днях недоверие к «оппозиционности» Павла Дурова и неподконтрольности мессенджера ФСБ высказали эксперты международного разведывательного сообщества InformNapalm, указав, помимо прочего, на «непрозрачных» инвесторов, от которых Telegram привлек 1,7 млрд долларов инвестиций.
– Сделайте выводы сами. Но пока в Украине продолжается война и каждая ошибка может стоить жизни, лучше обходить какие-либо программные продукты, разработанные россиянами. Просто на всякий случай, – резюмируют в InformNapalm.
InternetUA неделю назад обратился в Министерство обороны с просьбой прокомментировать его присутствие в Telegram. На момент публикации этого материала ответа мы так и не получили.