Швейцарский защищённый мессенджер Threema обвинили в сотрудничестве с российскими спецслужбами Статьи редакции
Сотрудники организации «Роскомсвобода» обнаружили веб-версию разработанного в Швейцарии защищённого мессенджера Threema в Реестре организаторов распространения информации (РОРИ). Согласно Федеральному закону №97, находящиеся в этом реестре организации обязаны «собирать, хранить и предоставлять информацию о действиях пользователей на своём ресурсе уполномоченным госорганам».
UPD: представители Threema в комментарии TJ заявили, что компания действует согласно законодательству Швейцарии и отказывается собирать данные пользователей или передавать их представителям иностранного государства. Они добавили, что в реестр их включили представители Роскомнадзора, которые запросили у швейцарцев имя, физический и веб-адреса разрабатываемого ими сервиса.
В «Роскомсвободе» отметили, что сервис может быть освобождён от обязанности хранить информацию пользователей, если он согласится на гипотетическое предложение спецслужб об обеспечении доступа к ней «в полном объёме на постоянной основе и без каких-либо запросов».
К «информации пользователей», по данным экспертов «Роскомсвободы», относится большая часть метаданных: контакты пользовательской адресной книги, электронной почты, количество и объём сообщений, все авторизации через сторонние сервисы и точное время посещений.
Общественники добавили, что Threema изначально не соответствует своему позиционированию и не может считаться полностью защищённым. Они связали это с тем, что мессенджер основан на закрытом исходном коде и распространяется по проприетарной лицензии, из-за чего он заведомо не соответствует критериям «безопасного и защищённого использования».
По данным «Фонтанки», мессенджер стал набирать популярность в России летом 2016 года, вскоре после принятия Закона Яровой. Как тогда писало петербургское издание, приложение использовалось среди чиновников и крупных бизнесменов, которые начали пользоваться Threema вслед за силовиками и специалистами по цифровой безопасности.
Комментарий недоступен
У меня тоже есть такой знакомый
А что, пароль на телефоне отказался сообщать и все) или второго пользователя открыл и показал пустой телефон)
И как с ходу незаметно открыть второго пользователя?
На Андроиде у меня с экрана блокировки на одну кнопку надо нажать
А это вообще законно?
Ну, про Телегу даже заикаться не стоит. Там пацан ваще красиво отъехал отдыхать с 360 млн $
Что ты имеешь в виду ?
Я имею в виду, что борец за приватность Павел Дуров уехал от кровавого режима рейдеров с 360 млн $ на кармане и если уж швейцарский, никак не связанный с правительством РФ мессенджер, якобы что-то куда-то сливает, то Телега изначально не внушает доверия в этом плане.
То есть, ваши предположения о защищённости телеграма основаны на состоянии Дурова?
Хорошо, я попробую более полно раскрыть момент, если это так необходимо:
Способ связи, в современных реалиях, может быть или скомпрометирован или же нет. Конечно, можно взять отдельно взятый продукт, сделать code review того, что в открытом доступе (если есть) и сделать вывод о надежности применяемых средств криптографии, платформы и т.д. Однако, это только техническая часть вопроса, которая никак не отвечает на сам вопрос скомпрометирован ли способ. Подобный метод может быть на 100% действенным только для проектов с полностью открытым исходным кодом, поскольку тогда их механика и работа полностью прозрачны и понятны.
В связи с тем, что Telegram использует собственный проприетарный способ генерации ключей (насколько я знаю на серверной стороне) и передачи данных (протокол MTProto), подобный подход к нему не применим. Даже при использовании секретных чатов, ключи генерирует серверная сторона и сверяет их соответствие друг другу в том числе. Следовательно, можно сделать вывод, что сервер может иметь возможность перехвата содержимого секретных чатов.
Во-первых, сложно поверить что они смогли бы изобрести здесь велосипед: есть уже устоявшиеся и проверенные способы шифрования и передачи информации которым доверяют.
Во-вторых, сомнительным выглядит позиционирование продукта в области полной безопасности данных, как у OpenSource проектов. Телеграм — это ближе к BlackBerry Messenger: сохранность данных определяется компанией владельцем в "безопасной" юрисдикции, а не математикой, поскольку часть кода проприетарна.
И тут необходимо дополнительно к ревью кода, оценивать компанию Telegram и ее владельца на аффилированность со спецслужбами и чистоту репутации в целом. А, как мы все помним, Павел уехал из России не нищим оборванцем, у которого режим отнял всё, а получив со сделки 360 миллионов долларов, чего, пожалуй, не делал ни один из ИТ-предпринимателей России в истории (IPO Яндекса не в счет, там много бенефициаров) Это первый момент, который по сути чистая догадка, но зная российские реалии и то как у нас все устроено, он может многое значить.
Смотрим далее. Компания Telegram как юрлицо точно не помню где зарегистрирована, но по-моему то ли в Германии, то ли в Великобритании. И то и другое, гипотетически, обязывает ее подчиняться местным законам, которые в случае с UK — по сути такая же история как закон Яровой или PRISM.
Но есть и еще момент:
Скорость работы Telegram обеспечивается благодаря распределенной CDN-системе. Сервера разбросаны во всему миру и совершенно не факт, что отсутствуют в России. Когда вы пишете своему собеседнику из РФ чисто технически проще обрабатывать ваши запросы и данные находясь на территории РФ. А это уже рождает доступ спецслужб к серверам как законодательный, так и иные возможности по перехвату.
Надеюсь ответил достаточно полно, извиняюсь за простыню.
Ответ один: Tox.
Жаль что он всё ещё кривой и забагованный :(
Что за Тох?
Тор, что ли?
Не-не. Вот тут: https://tox.chat/index.html
Понял, спасибо
Комментарий недоступен
Да вроде как.
Latest commit bf0e681 5 days agoЭто у qTox-а.
https://github.com/qTox/qTox
Комментарий недоступен
Нравится во Threema, что нет привязки к e-mail и мобильному телефону.
Это конечно круто в наше то время. Еще бы в компьютерном клубе, да в маске в нем сидеть.
Ну или vpn там (на своей машине) все дела там, да?;)
а остальные мессенджеры не сливают инфу как будто.
А причём здесь остальные мессенджеры, если речь об одном, севшем в лужу говна?
По крайней мере, за Телеграмом или Вайбером такого замечено не было пока.
телеграм, помнится, банил ботов за нарушение авторских прав и группы, посвященные игил. А вайбер перенес сервера в Россию.
ВК и Одноклассники читают наши спецслужбы, ФБ и Твиттер - западные.
Так что ничего удивительного в этой новости нет.
Банить ботов ИГ — одно, а сливать переписку спецслужбам — другое. А про Вайбер не знал.
И всё-таки в новости есть кое-что удивительное: швейцарский сервис вполне может забивать болт на любые запросы и претензии, но нет…
сливают переписку только по требованию в случаю оперативно-розыскных мероприятий. И телефоны прослушивают при необходимости, и письма читают, и ведут человека по сотовому сигналу. Это обычная работа силовиков.
Можно, конечно, отказаться от благ цивилизации и не пользоваться электроникой, а еще надеть шапочку из фольги и запереться дома.
И когда это Телеграм сливал переписку по запросу спецслужб?
Достаточно запроса от правообладателей, чтобы они удалили ботов.
И если в сми этой инфы нет, это не значит, что они не сотрудничают.
И конечно удобнее всего перескочить на тему с телеграмом, хотя я привел достаточно примеров со слежкой, где задействованы не только мессенджеры, но и операторы связи, провайдеры, хостеры (кстати забыл о них) и тд и тп.
Терема
Комментарий недоступен
Телюга