About Teletype
Join
К
Кибер Революция
@cyber_revolution
Кибер Безопасность
June 2, 2022

"Двойное дно" в Telegram | Основы сетевой безопасности

В современных реалиях жизнь в Российской Федерации становится все больше и больше похожа на Северную Корею и другие тоталитарные страны - полная отмена свободы слова, репрессии всех несогласных с "линией партии", нарушение элементарных прав и свобод, прописанных в Конституции и своевольное трактование законов как представителями силовых ведомств, так и в высших эшелонах власти. Для людей, которые привыкли свободно выражать свое мнение и позицию настали темные времена... Именно поэтому мы решили создать этот блог, где планируем собирать полезный контент, инструкции и руководства для начинающих оппозиционеров и активистов.

Мы заинтересованы, чтобы все наши единомышленники и соратники могли обеспечить собственную безопасность.

Безопасность аккаунта в Telegram

Не секрет, что в последнее время телеграм для многих из нас стал не только мессенджером, но и единстивенным источником альтернативной информации. Мы все подписаны на десятки, если не сотни различных каналов, учавствуем в групповых чатах, да и не редко обсуждаем различные секретики "с глазу на глаз". Но представьте, что кто-то получил полный доступ к этой информации, может ли это вам навредить? В последнее время множество людей, попавших в полицию из-за антивоенных митингов или по другим причинам, заявляли о том, что сотрудники полиции заставляли их разблокировать телефоны, после чего тщательно изучали его содержимое, включая такую приватную информацию как личные сообщения, подписки и чаты, в которых вы состоите. Как оказалось, мало кто знает о том, как возможно обезопасить себя от подобных "осмотров" и хотя в официальном клиенте Телеграма нет функций, речь о которых пойдет дальше, тем не менее есть кастомные клиенты, которые помогут вам хоть немного, но все-таки повысить сохранность приватных данных. Для примера, некоторые из них имеют функцию "двойного дна", когда два разных пароля дают доступ к разной информации. Более подробно с теоретической частью вы можете ознакомиться в видео ниже.

Подробное разъяснение, что такое "двойное дно" и зачем оно нужно в Телеграм

Автор этого видео весьма доходчиво объяснил саму идею "двойного дна" в Телеграм, даже призвал всех подписать петицию к Павлу Дурову для того, чтобы эта возможность была добавлена в официальный клиент, но он совсем не упомянул о кастомных решениях этого вопроса, что мы решили исправить. Далее мы приводим краткий обзор кастомных клиентов и их возможностей для обеспечения большей сохранности ваших личных данных.

"Партизанский Телеграм"

Этот клиент был разработан участниками белорусского проекта "Кибер Партизаны", а уж кто может больше знать о диктатуре и тоталитарном режиме, чем граждане Белоруси?

Вариант от партизан внешне неотличим от всем привычной версии мессенджера, но адаптирован, так скажем, под реалии современной Беларуси(да и России тоже), как бы грустно это не звучало - когда приходиться содержимое телефона и его приложений прятать как можно глубже в закрамах смартфона.

В чем смысл П-Telegram?

Сразу после анонса приложения многие пользователи сочли П-Telegram - версией мессенджера с дополнительной функцией «Двойного дна». На самом деле, этой функции в П-Telegram нет, как и в принципе возможности входить в два аккаунта по разным паролям. Партизанское приложение больше похоже на тревожную кнопку, совмещенную с удалением чатов, но от этого эта идея не становится менее крутой. Теперь про функции, которые отлично себя показывают в тестах, а именно:

При вводе неправильного пароля:

  1. Все заранее выбранные чаты и группы стираются из приложения;
  2. Автоматически отправляется SOS-сообщение выбранным предварительным контактам;
  3. Выход из заранее выбранных аккаунтов;
  4. Закрытие сессии на все устройствах.

К существенному плюсу такой альтернативы "двойному дну" относится то, что приложение полностью аналогично стандартной версии Telegram, визуально отличить никак не получится. Мы пытались 😅

Как установить П-Telegram?

  1. Удаляем официальный Telegram с устройства. Перед удалением убедитесь, что у вас есть возможность зайти на ваш аккаунт, получив СМС с кодом подтверждением или с помощью другого девайса, где вы залогинились.
  2. Скачиваем приложение 👉🏻ТУТ (с канала «Кибер-партизан», мы не советуем скачивать с других источников) и устанавливаем его;
  3. Проходим авторизацию в свой аккаунт;

Заходим в «Настройки» ➡️ «Конфиденциальность» ➡️ «Код пароль», устанавливаем свой пароль который будет запрашиваться при каждом в ходе в приложение (время блокировки можно изменить). После этого у нас появляются дополнительные возможности.

  1. Устанавливаем «Ложный код-пароль» - при его вводе выбранные каналы/чаты буду удаляться (ниже есть ещё кнопка «Разрешать вход с ложным паролем» - если эту функцию не включить, то при вводе ложного пароля приложение просто не будет открываться. А если включить и ввести ложный пароль, выбранные чаты будут удалены); 🆕 Возможность создать несколько ложных паролей, каждый из них будет исполнять ряд действий на ваш выбор (отсылать СМС, удалять чаты и т.п)
  2. Выбираем чаты и каналы, которые в случае "шухера" лучше скрыть;
  3. Можно установить «SOS- сообщение», которое сработает при условии ввода ложного код-пароля и отправит доверенному лицу заданное заранее сообщение. 🆕 Добавлена возможность отослать два разных СМС. Например, первую семье, а вторую доверенному контакту.
  4. Добавлена опцию выхода из аккаунтапри вводе ложного пароля и также опцию выхода со всех других девайсов.

Как это выглядит на практике?

Если ввести обычный пароль, то мы попадаем в свой привычный аккаунт с подписками на все наши любимые каналы и чаты.

А вот при вводе ложного пароля, мы откроем Telegram с удаленными каналами/чатами, которые мы задали ранее. На выходе получаем то, что если вы показываете свой телефон посторонним лицам, они увидят только то, что вы им захотите показать.

🆕 31.01.2021 вышло новое обновление. Полный список здесь изменений, также добавлены все новые фишки оригинального Telegram.

🆕 25.02.2021вышло новое обновление. Полный список здесь изменений, также добавлены все новые фишки оригинального Telegram.

Телеграм с двойным дном - "Postufgram"

Летом прошлого года независимая компания Postuf разработала решение для Telegram-клиента, которое позволяет заходить в аккаунты через разные код-пароли. Аккаунты спрятаны друг от друга, а решение никак не выдает присутствие нескольких аккаунтов в Telegram-клиенте.

Что сделали разработчики?

Они взяли открытый исходный код официального Telegram-клиента и добавили туда решение по скрытию аккаунтов. В итоге получился тот же самый Telegram, но с нововведением. Ему название Postufgram.

Как заявили в команде, у них нет цели развивать свой альтернативный клиент для Telegram. Задача — показать, как это будет выглядеть, если Павел Дуров одобрит обновление. Решение доступно только для IOS-устройств.

Почему именно для Telegram?

Telegram — одно из самых популярных приложений в мире, которое было создано специально для общения. Каждый день в нем регистрируются 1,5 млн человек. Его основатель (Павел Дуров) заявил о том, что главное преимущество приложения перед конкурентами — скорость и доступность. Также мессенджер отлично работает на разных платформах, может быть, поэтому число его пользователей день ото дня неуклонно растет.

Важно отметить, что платформа позволяет хранить свои данные в облаке. Уже сегодня, согласно предоставленной статистике, число пользователей Telegram достигло 400 млн человек. Большинство информации, которой они обмениваются внутри сети, можно назвать «информацией личного характера».

Разумеется, создатели «платформы для общения» уверяют, что система надежно защищена от хакеров и позволяет вам свободно писать и рассказывать что угодно, но так ли это? Кто, к примеру, может дать гарантию, что ваш аккаунт не взломают или не атакуют извне? Кто может поручиться на все 100%, что информация личного пользования, которую вы там держите, не утечет в руки к конкурентам?

Как работает новая функция?

При вводе заранее заготовленного пароля, пользователь попадает не в основной, а в заранее подготовленный профиль, полностью чистый от переписок. Данное решение поможет в ситуациях, когда пользователь будет вынужден показать содержимое Telegram. Под угрозами пыток, расправы, давления у него может не быть другого выхода. Подобной защиты нет ни в одном мессенджере.

В сети появился хештег #дуровдобавьдвойноедно, который призывает владельца приложения добавить новую функцию прямо внутрь мессенджера.

Как установить новую функцию?

  1. Установите приложение через Testflight.
  2. Авторизуйтесь в приложении (Postufgram).
  3. Зайдите в «Настройки» -> «Конфиденциальность». Там вы должны увидеть кнопку «Двойное дно». Кнопка пропадает через минуту после авторизации аккаунта. (См. на картинку выше).
  4. Следуйте дальнейшим инструкциям.

Новая функция скрывает аккаунты, нигде их не отображает. Скрытые аккаунты не видят друг друга, основные аккаунты видят только основных. О существовании скрытого аккаунта знает только сам владелец устройств. Скрытые аккаунты не отображаются в общем списке аккаунтов, доступ к ним только через ввод код-пароля в режиме блокировки Telegram-клиента. Количество скрытых аккаунтов «Двойным дном» не ограничено.

Отметим, что скрыть аккаунт можно только в первую минуту после авторизации аккаунта в Telegram-клиенте. По истечении времени кнопка пропадает из «Настроек». Чтобы снова увидеть кнопку, нужно заново авторизоваться. Временное ограничение позволяет скрыть факт активации «Двойного дна».

Если бы кнопка не пропадала, то по ней можно было бы понять, активировано ли «Двойное дно». Это дает возможность показывать злоумышленнику любой аккаунт без намека на то, что имеются другие скрытые аккаунты.

Так как уведомления и звонки могут выдать присутствие скрытого аккаунта, «Двойное дно» дает возможность отключить их для скрываемого аккаунта. Но есть нюанс, Telegram применяет данные настройки на все устройства, где авторизован аккаунт (стандартный функционал Telegram). Это касается только мобильных устройств.

Счетчик уведомлений на иконке не будет учитывать скрытые аккаунты, так как при сворачивании Telegram-клиента в системе происходит переключение на последний основной аккаунт.

Зачем это нужно?

Это решение поможет в ситуациях, когда вы будете вынуждены открыть свой Telegram и показать содержимое. Под угрозами пыток, расправы, давления у вас может не быть другого выхода. Подобной защиты нет ни в одном мессенджере.

Разработчики уже написали письмо Павлу Дурову, в котором призвали добавить решение в официальный клиент Telegram, а также подробно описали принцип его работы.

«Двойное дно» выручит в ситуациях, когда пользователь будет вынужден разблокировать и показать содержимое Telegram, заявляют авторы письма. А будет вынужден, потому что его пытают, его шантажируют, на него давят.

Основной упор в Telegram — на защиту хранения и передачи данных, но очень мало делается для защиты от прямого (физического) доступа к устройству и пользователю, отмечают авторы письма. Это касается не только вашего мессенджера в принципе, ни в одном мессенджере нет защиты от подобной «атаки».

Команде разработчиков мессенджера известно об этой инициативе, но ее никак не комментируют.

Авторы разработки отмечают, что они готовы тесно взаимодействовать по улучшению и доработке «Двойного дна». По всем вопросам к ним можно обратиться здесь. О недочетах можно написать в чат.

Исходный код: GitHub.

Кибер Революция
June 2, 2022, 13:18
0 reactions
0 views