Blog (5)
Komentarze (79)
Recenzje (0)
@GeekOrganic_blogZmieniając komunikator nie wpadnij z deszczu pod rynnę - dlaczego Telegram NIE JEST prywatny i bezpieczny

Zmieniając komunikator nie wpadnij z deszczu pod rynnę - dlaczego Telegram NIE JEST prywatny i bezpieczny

Od kilku dni temat komunikatorów jest na topie wśród technologicznych blogów i serwisów, a nagły wybuch niezadowolenia związany z nową polityką prywatności WhatsAppa (notabene niewiele zmieniającą) przed jaką postawił Facebook swoich użytkowników doprowadziły do bezprecedensowego wzrostu liczby nowych rejestracji u dwóch głównych rywali - Signala i Telegrama. O ile pierwsza opcja jest zdecydowanie najrozsądniejszym na ten moment wyborem, tak przenoszenie się na Telegram, jeżeli to właśnie polityka prywatności i kwestia bezpieczeństwa danych jest tego powodem, to - ujmując to najłagodniej jak potrafię - zupełnie chybiony kierunek. Poniżej wyjaśnię dlaczego masowa migracja z WhatsAppa na Telegram pogorszyłaby jedynie naszą sytuację.

Telegram jest bezkonkurencyjny wśród komunikatorów jeżeli chodzi o ilość funkcji, ale nie prywatność
Telegram jest bezkonkurencyjny wśród komunikatorów jeżeli chodzi o ilość funkcji, ale nie prywatność

W wizerunek marketingowy Telegrama wpisana jest niezależność, bezpieczeństwo oraz prywatność, ale fakty przeczą tym hasłom. Niestety, pomimo oczywistych argumentów przeciwko, aplikacja nadal cieszy się w wielu kręgach taką opinią. Problem ujawnia się również we wpisach niektórych serwisów internetowych, gdzie powielane są mity na temat komunikatorów i ich bezpieczeństwa.

Jeden z powodów takiego stanu rzeczy jest, ujmijmy to, historyczny. Pozwolę sobie wprowadzić Was tutaj w odpowiedni kontekst, jeżeli nie interesowaliście się wtedy tematem.

Założyciel Telegrama Pavel Durov w złotych czasach swojego poprzedniego serwisu VK
Założyciel Telegrama Pavel Durov w złotych czasach swojego poprzedniego serwisu VK

Sam używałem Telegrama. Zainstalowałem go niedługo po premierze - było to w okolicach roku 2014, gdy WhatsApp ku mojemu rozczarowaniu został wykupiony przez Facebook. W tamtym czasie Telegram był faktycznie rozwiązaniem lepszym i bezpieczniejszym niż WhatsApp, który to nie stosował żadnego szyfrowania, a wiadomości przechowywał w zwykłych plikach tekstowych. Telegram miał natomiast klienta open-source, co było bardzo obiecujące (szkoda, że na kliencie się skończyło), miał jakieś szyfrowanie wiadomości oraz był dostępny na większej ilości urządzeń i systemów. Aplikacja Telegrama również była (i nadal jest) obiektywnie oceniając po prostu bardzo dobra - lekka, dobrze zaprojektowana, z dużą ilością przydatnych funkcji.

Jak dobrze wiemy, 6 lat to z perspektywy technologicznej wieczność i od tamtego czasu sporo się zmieniło. WhatsApp wprowadził domyślne szyfrowanie E2E rozmów z dwoma uczestnikami za pomocą protokołu stworzonego przez Signal i przynajmniej pod względem bezpieczeństwa tego elementu wypada dobrze (można przyczepić się do wielu innych elementów). Pojawiło się też dużo nowych, bezpiecznych komunikatorów, a Telegram pozostał z tym, z czym zaczynał - obietnicą prywatności.

Niżej kilka argumentów za tym, że szukając prywatnej alternatywy dla WhatsAppa zdecydowanie powinieneś skierować się gdzie indziej.

Telegram NIE SZYFRUJE domyślnie rozmów

Prywatny czat w Telegramie
Prywatny czat w Telegramie
716365

Jest to argument, którym w zasadzie mógłbym zakończyć ten wpis. Tak, aplikacja posiada opcję szyfrowania E2E - możemy uruchomić Szyfrowany czat. Jest jednak pewien problem - nie jest to opcja domyślna, wymaga zaangażowania użytkownika i ogranicza funkcje aplikacji.

Szyfrowane czaty są dostępne tylko na jednym urządzeniu. Większość z nas korzysta zamiennie z kilku urządzeń, co czyni czaty szyfrowane dużo mniej wygodną opcją.

Rozmowy prowadzimy nie tylko z rodziną, partnerem i bliskimi przyjaciółmi. Czy rozmawiając na co dzień z kontrahentem/szefową/osobą, która właśnie dostała do nas numer i kontaktuje się z krótkim pytaniem będziesz kończyć aktualną konwersację i zapraszać interlokutora do dołączenia do szyfrowanego czatu, tłumacząc że zależy Ci, aby wasza rozmowa na temat jutrzejszej dostawy była zaszyfrowana i przepraszając, że nie będzie miał dostępu do niej z komputera?

Odpowiedź jest prosta, a rezultat oczywisty - prawie wszystkie prowadzone czaty koniec końców (to wyrażenie ładnie koresponduje z szyfrowaniem end2end ;)) nie są szyfrowane i są przechowywane w chmurze (czyli czyimś komputerze) w podobny sposób, w jaki robi to Messenger i jemu podobne komunikatory. W skrócie - Telegram ma do prawie całej komunikacji zupełnie bezproblemowy dostęp, a jako użytkownik możesz mu jedynie ufać, że nie będzie z tego korzystał. Pssst - w dziedzinie internetowego bezpieczeństwa i prywatności zaufanie się nie sprawdza, a jedynym skutecznym podejściem jest to, w którym nawet twórcy nie mają możliwości dostępu do danych.

Szyfrowane czaty, jeżeli nie są domyślne, są jedynie błyskotką marketingową.

Dodatkowo, Telegram korzysta z własnej, kontrowersyjnej metody szyfrowania, w odróżnieniu od powszechnie chwalonego przez ekspertów ds. cyberbezpieczeństwa i opartego o powszechnie przyjęte standardy szyfrowania w Signalu.

Telegram nie jest w pełni otwarty

716373

Kod serwera Telegrama jest zamknięty. W przypadku aplikacji z odpowiednią implementacją szyfrowania E2E dla wszystkich wiadomości nie musi być to problemem, ale Telegram takiej nie posiada. Otwarte źródła (open source) ma jedynie klient (aplikacja na Twoim urządzeniu), co w przypadku programu służącego do wymiany wiadomości bez domyślnego szyfrowania nie stanowi żadnej gwarancji - nie możemy sprawdzić co z danymi dzieje się, gdy opuszczają nasze urządzenie.

Pozwoliłem sobie sprawdzić co w ostatnim czasie twórca, Pavel Durov miał do powiedzenia w tym temacie. Na telegramowym czacie z użytkownikami powiedział on, że otwarte źródło serwera to trik marketingowy. Dlaczego więc, w przeciwieństwie do wielu innych nie opublikuje go, choćby jako trik marketingowy? Durov odpowiada, że... (w tym miejscu włącza się potęgująca tajemnicę muzyka, rozsiądźcie się wygodnie w fotelu)

3 lata temu dowiedział się, że autorytarny reżim w jednym z krajów (Durov mówi, że możemy się domyślić w którym) próbował zdobyć kod serwerów Telegrama, aby wprowadzić podobną, równie wygodną lokalną aplikację i zakazać wszystkich innych komunikatorów na terenie kraju. Gdy twórca Telegrama o tym usłyszał, postanowił nie udostępniać kodu serwerów, nie chcąc dostarcząć dyktatorowi narzędzi do zniewolenia swojego ludu. Pavel Durov kończy wywód słowami "nie jesteśmy gotowi porzucić swoich wartości tylko dlatego, że kilku zdezorientowanym użytkownikom wydaje się, że udostępnienie kodu serwera w jakiś sposób zwiększy jego wiarygodność".

Sami zadecydujcie, na ile przekonuje Was ta historia, a ja tymczasem płynnie przejdę do...

Telegram a polityka, kwestia zaufania i Pavel Durov

Pavel Durov w różnych wersjach. W internecie dostępne są nawet bardziej roznegliżowane, ale postanowiłem oszczędzić Wam takich wrażeń.
Pavel Durov w różnych wersjach. W internecie dostępne są nawet bardziej roznegliżowane, ale postanowiłem oszczędzić Wam takich wrażeń.
716380

Powyższe trzy argumenty były natury obiektywnej. Tutaj natomiast poruszę kwestie, które zostawię Waszej ocenie. W dyskusjach o Telegramie często pojawiają się przepychanki na temat rosyjskich (bądź innych) wpływów. "Rosyjski Zuckerberg", jak bywa nazywany Durov, urodził się w 1984 w Leningradzie, ale według Wikipedii dużą część dzieciństwa spędził w Turynie. Durov to twórca rosyjskiego odpowiednika Facebooka - VKontaktie (VK). Ostatecznie został podobno zmuszony do sprzedania udziałów, a VK przejęte, na co Durov zareagował zakładając Telegram.

Durov następnie wybrał wygnanie, operując przez jakiś czas z Berlina. Zespół Telegrama od tamtego czasu miał siedziby, poza stolicą Niemiec, również w Londynie, Singapurze, a aktualnie znajduje się w Dubaju. Durov określany jest jako osoba ekscentryczna, nietrudno dostrzec jego zamiłowanie do luksusów i przepychu. To rzecz subiektywna, a pozory rzecz jasna bywają mylne, niemniej ja nie mogę oprzeć się wrażeniu, że ten wizerunek w stopniu umiarkowanym pasuje do bojownika o wolność słowa i prawo do prywatności.

Materiał z 2012 r. o tym, gdy znudzony Pavel Durov zaczął wyrzucać na ulicę z okna swojego biura pieniądze, formując papierowe samoloty z banknotów [YouTube]

Nie zamierzam wchodzić tutaj głębiej w teorie na temat tego czy Durov i Telegram mają powiązania niemiecko-amerykańsko-jakiekolwiek i Rosji faktycznie było z nim nie po drodze, czy może stanowi to właśnie sprytną zasłonę dymną. To czyste spekulacje, ale umówmy się - operowanie z emigracji bynajmniej nie rozstrzyga tematu na korzyść żadnej ze stron. Zakładając hipotetyczne wpływy Rosji, lepszego scenariusza niż historia o wyrzuceniu z kraju opozycyjnie nastawionego młodego programisty walczącego o wolność słowa nie da się wymyślić. Nie sugeruję ani wpływów wschodnich, ani zachodnich, nie ma to większego znaczenia. Absolutną oczywistością jest natomiast, że duże firmy z zasobami tak cennymi, jak dane użytkowników podlegają naciskom ze strony dużych podmiotów - państw i nie tylko. Dzieje się tak w USA i innych zakątkach świata.

Podobnych spekulacji może być mnóstwo i właśnie to jest problemem Telegrama. Brak przejrzystości w połączeniu z koniecznością zaufania powiernikom naszej prywatności to model, który już wielokrotnie się nie sprawdził. Jeżeli choćby jedna osoba ma dostęp do danych, to ostatecznie dostęp ten ma każdy z odpowiednią władzą, wiedzą lub umiejętnościami. Dlatego model zero knowledge zastosowany m.in. w Signalu jest jedynym słusznym.

Durov w pałacowej scenerii.
Durov w pałacowej scenerii.

Podsumowanie

Tak jak wspomniałem na początku, masowa migracja na Telegram byłaby moim zdaniem - pomimo podzielanej przez większość z nas niechęci do Facebooka - nawet gorsza niż tymczasowe trwanie przy WhatsAppie. Skąd to twierdzenie pomimo że uważam, że w tym momencie Telegram jest lepszą aplikacją niż WhatsApp? Stąd, że wszyscy wiemy jak problematyczna jest zmiana serwisów na których mamy zbudowane swoje sieci kontaktów i właśnie dlatego - skoro dokonujemy zmiany ze względu na prywatność i bezpieczeństwo - powinniśmy wybrać lepiej. WhatsApp też zdobył popularność w dużej mierze dzięki temu, że był alternatywą dla Facebooka, a jak się to skończyło wszyscy wiemy. Zwykły użytkownik, który zachęcony hasłami o prywatności i bezpieczeństwie zainstaluje Telegram, aby za parę miesięcy dowiedzieć się, że jednak wcale taki bezpieczny to on nie jest i w zasadzie powinien ponownie dokonać zmiany komunikatora, najpewniej zareaguje rezygnacją, jaką często dostrzec możemy w komentarzach pod wpisami dotyczącymi prywatności. Nie zmarnujmy więc okazji jaka teraz się natrafiła wybierając źle i trafiając z deszczu pod rynnę.

*

Jeżeli uważasz powyższy wpis za wartościowy, dowiedziałeś się z niego czegoś nowego i chciałbyś, aby podobne dalej się ukazywały - zachęcam do podzielenia się nim, dodania geekorganic.wordpress.com do zakładek/subskrypcji/RSS, a jeżeli masz social-konta - polubienia na FB/obserwowania na Twitterze, choćby dla cyferek.

O tym, dlaczego Signal jest najrozsądniejszym wyborem w tej chwili

O przyczynach kryzysu Whatsappa i wybuchu popularności alternatywnych ...

Wybrane dla Ciebie
Komentarze (95)