Расследования · Политика

В одной телеге

Как работает платформа, ставшая ключевой для независимых медиа и для пропаганды, и стоит ли считать ее безопасной

Фото: Гавриил Григоров / ТАСС

Отказ*** Павла Дурова заблокировать Telegram-каналы, связанные с палестинским движением ХАМАС, вызвал бурную реакцию в медиапространстве, но это лишь один из многих случаев возникновения вопросов к платформе, ставшей за последние годы основным источником нецензурируемой информации не только в России, но и во многих странах постсоветского пространства, а также в Китае, Иране, Афганистане и других авторитарных обществах.

Очень любопытно наблюдать, как «вопросики» эти интерпретируются разными медиа исходя из политических и религиозных предпочтений. И те, кто еще вчера ратовал за свободу интернета и священное право на получение немодерированной информации, сегодня столь же убедительно доказывают необходимость оградить неокрепшие умы от пропаганды насилия, а террористов — от инструментов манипулирования массами.

Но чем на самом деле сегодня является Telegram — феноменом, порожденным остатками советской математической школы и предпринимательским гением его основателя — или мировой «помойкой» для распространения откровенно «трешевого» и неприемлемого для приличных ресурсов контента? Форпостом информационной свободы — или сливным бачком спецслужб?

Павел Дуров родился в 1984 году в семье преподавателя ЛГУ Валерия Дурова. В первый класс пошел в Турине, где его отец проработал несколько лет. Учитывая давние и прочные связи ЛГУ с КГБ СССР и обстановку тех лет, сложно представить себе ситуацию, при которой молодой ученый был бы отправлен в конце 80-х годов на работу в капиталистическую страну, входящую в НАТО, без согласования.

После возвращения на родину Валерий Дуров идет на повышение и занимает должность заведующего кафедрой классической филологии филологического факультета СПбГУ, а Павел продолжает образование в Академической гимназии СПбГУ — элитном образовательном учреждении для талантливых детей с углубленным изучением всех предметов, включая четыре иностранных языка. После ее окончания поступает на филфак, где за выдающиеся достижения награждается стипендиями правительства и президента РФ.

В 2006 году друг Павла, вернувшийся с обучения в США, знакомит его с набирающим популярность интернет-проектом для студентов вузов Америки — Facebook’ом*, и

Дуров создает фактический клон социальной сети под названием «ВКонтакте», скопировав не только идею, но и элементы дизайна и даже корпоративные цвета оригинала.

Так как на тот момент Facebook не присутствовал на российском рынке и не имел русскоязычного интерфейса, возможное заимствование оставалось незамеченным до 2008 года, когда Facebook якобы намеревался отстоять свои права в суде, но затем отказался от этой затеи.

Фото: Станислав Красильников / ТАСС

Успех «ВКонтакте» был оглушительным, соцсеть быстро стала самой популярной в России и многих странах СНГ, потеснив первопроходцев этого сегмента рунета — «Одноклассников». Во многом этому способствовала политика полного игнорирования интересов правообладателей, дававшая всем участникам соцсети возможность безлимитной загрузки музыки, фильмов и изображений и став, по мнению Американской ассоциации звукозаписи (RIAA), крупнейшим сайтом с пиратским контентом в мире.

После этого следуют годы внутрикорпоративных скандалов и разборок, выглядящих скорее элементами игры по набиванию цены актива, в ходе которых Павел продает контроль «ВКонтакте» Mail.ru Group.

Справка

Соцсети, мессенджеры и репрессии

На момент приобретения соцсети, которую вскоре переименовали в VK, Mail.ru Group контролировалась Алишером Усмановым. Через несколько месяцев его холдинг вышел из капитала VK. Ее крупнейшим акционером сегодня является АО «МФ Технологии», контролирующее 57,3% голосов холдинга. В свою очередь, совладельцами АО МФТ выступают СОГАЗ, «Газпром-Медиа Холдинг» и «Ростех». Возглавляет VK сын Сергея Кириенко — Владимир Кириенко.

По статистике «ОВД-Инфо»**, на середину 2023 года VK стала основным источником материалов для возбуждения административных дел о дискредитации по сравнению с иными соцсетями.

  • На 27 июля 2023-го в доступных ресурсу судебных актах материалы из VK (посты, лайки и комменты) фигурировали 1544 раза,
  • на втором месте оказался Telegram — 652,
  • WhatsApp — 184.

Про возможное сотрудничество «ВКонтакте» еще до продажи с государственными структурами — ФСБ, управлением «К» МВД и администрацией президента (АП) — «Новая» неоднократно писала, однако сам Дуров и бывший пресс-секретарь «ВКонтакте» Владислав Цыплухин всегда отказывались от авторства попавших в публичное поле писем, якобы адресованных ими курирующим чиновникам и силовикам.

Штаб-квартира VK — офис Mail.ru Group. Фото: Артем Геодакян / ТАСС

Ключ в яйце

Начиная с 2013 года Павел Дуров на собственные средства и привлекая ресурсы «ВКонтакте» начинает разработку мессенджера Telegram на базе криптопротокола MTProto, созданного командой разработчиков под руководством технического директора «ВКонтакте» и родного брата Павла Николая Дурова.

В основе протокола лежат алгоритмы блочного симметричного шифрования AES (принят в качестве стандарта шифрования правительством США) и протокол Диффи–Хеллмана, позволяющий конечным устройствам обмениваться ключами шифрования в незащищенной среде.

Сами по себе применяемые технологии являются проверенными и достаточно надежными, однако дьявол, как всегда, кроется в деталях.

  • Первая и основная претензия к Telegram заключается в том, что аккаунт пользователя должен быть привязан к телефонному номеру, и авторизация происходит посредством СМС-сообщения. Понятно, что при такой схеме обеспечение анонимности пользователя становится крайне затруднительным.
  • Вторая претензия — что все создаваемые по умолчанию чаты являются облачными, то есть хранятся на сервере Telegram. Что толку, что соединение между устройством пользователя и хостом осуществлено по защищенному протоколу, если вся информация продублирована на сервере, контролируемом самой компанией? Круг лиц и организаций, которым предоставлены доступы к этому серверу, установить невозможно, и остается лишь верить на слово PR-службе Telegram.

Исключением являются так называемые «секретные чаты», при создании которых используется end-to-end шифрование, т.е. теоретически криптографические ключи в этом случае имеются только на устройствах конечных пользователей — участников чата. Однако и тут не все так гладко, как кажется на первый взгляд.

  • Все приложения Telegram являются проприетарными продуктами, т.е. их исходный код является закрытым. Это означает, что

мы не имеем никакой возможности проверить, хранит ли устройство сгенерированный по всем правилам криптоключ только внутри приложения и строго в период использования, или делится им с хостом Telegram, кэширует куда-либо, предоставляет кому-то по специальному запросу.

И снова мы должны верить лишь честному слову разработчиков.

Фото: Imago images / Shotshop

справка

Проприетарное и Свободное ПО

В противоположность проприетарному программному обеспечению, исходный код которого закрыт и является собственностью разработчика (вендора), свободное программное обеспечение имеет открытый исходный код с правом его свободного использования, копирования, распространения и модификации.

В этом случае любой другой разработчик, лаборатория, общественный институт или просто энтузиаст могут провести аудит данного кода, чтобы удостовериться в его безопасности и соответствии заявленным характеристикам.

Как пример мессенджеров с открытым исходным кодом и сквозным шифрованием можно привести проекты Signal и Session. Но, несмотря на все преимущества и открытость, следует помнить, что ни одно криптографическое средство не гарантирует 100% защиты информации.

  • Другой претензией к шифрованию Telegram является использование достаточно простых ключей, преимущественно 32- и 64-битных, в некоторых случаях — 128-битных. Вместе с тем то же АНБ рекомендует использование 192- и 256-битных ключей для информации уровня конфиденциальности top secret.

20 лет назад проекту энтузиастов distributed.net понадобилось 1757 дней для взлома шифра RSA с 64-битным ключом. Сегодня для такой задачи будет достаточно нескольких дней работы мощной фермы для майнинга криптовалюты. Причем мы говорим о стандартном, кремниевом «железе», доступном на массовом рынке. Если же говорить о квантовых компьютерах, изначально «заточенных» на решение подобного рода задач, то на это могут уйти оценочно считанные минуты.

Справка

Возможности квантового компьютера

Квантовый компьютер оперирует не привычным двоичным кодом (битами 0 и 1), а кубитами, имеющими одновременно оба значения, и обсчитывает таким образом сразу все состояния системы. Это возможно благодаря таким явлениям квантовой механики, как квантовая суперпозиция и квантовая запутанность, которые создают так называемое квантовое превосходство над обычными компьютерами. За последнее десятилетие произошел значительный прогресс в практическом создании образцов квантовых вычислителей: если в 2012 году корпорация IBM только заявила о возможности соединения сверхпроводящих кубитов с кремниевыми микросхемами, то спустя 10 лет, в 2022 году, представила квантовый процессор Osprey c 433 кубитами «на борту».

IBM заявляет, что возможности этой машины по обработке чисел намного превосходят возможности любого традиционного компьютера, утверждая, что для представления состояния на процессоре Osprey обычному компьютеру потребуется больше битов, чем атомов в известной Вселенной.

Один из теоретиков и пионеров квантовых вычислений, профессор Центра квантовых вычислений Оксфордского университета Дэвид Дойч, более известный широкой аудитории как популяризатор науки и автор бестселлеров «Структура реальности» и «Начало бесконечности», объясняет эти фантастические возможности распределенными вычислениями в миллиардах параллельных вселенных Мультиверса.

Таким образом, выбранный уровень сложности криптографии действительно защищает от мелких мошенников, но не является какой-либо проблемой для «солидных господ» с солидными ресурсами.

  • Что касается достаточно частых эпизодов «слива» личной переписки пользователей мессенджера, вплоть до случаев, когда она становилась поводом для уголовных дел, думаю,

в 99% случаев причиной был человеческий фактор — предоставление физического доступа к одному из устройств, передача под давлением паролей от учетной записи или несоблюдение элементарных правил «цифровой гигиены», о которых мы подробнее поговорим ниже.

И дело не в «честности» платформы, а в элементарном здравом смысле — если исходить из теории заговора (в прямом смысле) со спецслужбами, зачем компрометировать такой совершенный, общемировой инструмент слежки и контроля ради уголовного дела на студентов из глубинки?

Битва при РКН

После продажи «ВКонтакте» в 2013 году Павел уехал из России, офис Telegram был перенесен в Дубай, а в 2022 году сообщалось о получении его владельцем гражданств Франции и ОАЭ.

Telegram же вырос в по-настоящему глобальный проект, войдя в топы по скачиванию и став, по данным Similarweb, третьим по популярности мессенджером в мире. И вынужден теперь вести очень гибкую политику в отношении конфиденциальности и соблюдения гласных и негласных норм ведения глобального бизнеса. Дело не только в возможных блокировках мессенджера на отдельных рынках (которые уже не являются критичными для существования платформы), но и в присутствии приложения в AppStore и GooglePlay, а тут уже надо договариваться с другими «центрами принятия решений».

Наиболее показательным случаем «недоблокировки» Telegram является эпическая борьба, развернувшаяся между Роскомнадзором и платформой после вступления в силу в 2017 году «закона Яровой»,

обязывающего операторов хранить записи телефонных сообщений и интернет-трафик их клиентов на протяжении полугода, а также хранить ключи для расшифровки переписки пользователей и предоставлять их ФСБ России по запросу.

Петербург, 2018 год. Акции в поддержку мессенджера Telegram. Фото: Петр Ковалев / ТАСС

Началось все с относительно безобидного требования главы Роскомнадзора Александра Жарова предоставить информацию о компании для последующего внесения мессенджера в Реестр организаторов распространения информации в сети, которое г-н Дуров исполнить отказался. Далее события развивались по сценарию советского анекдота про лавки из церкви для партсобрания. До «партбилета на стол» вроде как дело не дошло, так как заблокировать Telegram окончательно и бесповоротно власти не смогли. Более того, в Госдуму даже был внесен (однако в дальнейшем отклонен) законопроект о запрете блокировки Telegram, так как «множество российских государственных органов… используют мессенджер Telegram официально как один из своих основных информационных ресурсов в сети «Интернет».

18 июня 2020 года Роскомнадзор официально объявил, что снимет ограничения доступа к Telegram согласно достигнутой с Генпрокуратурой договоренности, «позитивно оценив высказанную основателем Telegram готовность противодействовать терроризму и экстремизму».

Справка

Личные данные и борьба с терроризмом

12 июля 2017 года ФСБ запросила у Telegram информацию, нужную для декодирования сообщений, чтобы получить доступ к переписке шести лиц, обвиняемых в совершении теракта в Петербурге. Отказ. В октябре суд оштрафовал за это Telegram на 800 тысяч рублей. По заявлению Павла Дурова, требования ФСБ подразумевали передачу универсальных ключей шифрования для просмотра переписки неограниченного числа лиц.

20 марта 2018 года Верховный суд отклонил жалобу Telegram, признав приказ ФСБ, обязывающий мессенджеры раскрывать ключи шифрования, законным. Мессенджеру было предъявлено требование предоставить в течение 15 дней технологию дешифровки личных сообщений пользователей. Роскомнадзор пообещал немедленно заблокировать Telegram в случае невыполнения требований.

13 апреля 2018 года Таганский суд Москвы вынес решение в пользу Роскомнадзора, тем самым позволив начать блокировку мессенджера на территории России, которая началась через три дня. За первую неделю было заблокировано более 18 млн IP-адресов, используемых сетью. Однако Telegram продолжал работать, а количество просмотров каналов увеличилось с 138,9 млн до 159,5 млн. При этом недоступными оказались многие сторонние сервисы. За 10 дней Роскомнадзор получил 46 тысяч жалоб.

В августе 2018-го Telegram изменил политику конфиденциальности, добавив в текст документа пункт о возможности передавать спецслужбам информацию о людях, подозреваемых в терроризме. Это было связано с принятым в ЕС законом о защите данных (General Data Protection Regulation). По новому правилу, Telegram оставляет за собой право раскрыть спецслужбам IP-адрес и номер телефона пользователя в случае, если получит судебное распоряжение, которое подтверждает, что пользователь подозревается в терроризме.

Мурал с портретом Дурова во дворе жилого дома в Петербурге. Фото: Александр Коряков / Коммерсантъ

Не помойка, а песочница

Несомненно, что именно Telegram стал в последние годы главным и основным источником нецензурируемой информации для миллионов пользователей во всем мире. Феномен его существования можно объяснить тем, что

сложившийся status quo устраивает и пользователей, голосующих скачиваниями и использованием приложения, и спецслужбы, имеющие доступ к тому, что им интересно, и лидеров мнений, получивших удобный инструмент работы с аудиторией.

Так что это скорее не помойка, а песочница дивного нового мира.

Какие практические выводы можно сделать из всего вышесказанного?

  • Использовать «телегу» в качестве источника информации и «бытового» мессенджера можно и нужно, тем более что для российских пользователей альтернатив не так уж и много.
  • Рассчитывать на конфиденциальность своих действий и чатов не стоит совершенно — кому надо, все увидят и прочтут с очень большой долей вероятности. Поэтому перед тем, как что-то написать или прокомментировать, задайте себе вопрос: не подставляю ли себя и других, и стоит ли это делать?
  • Соблюдайте все меры цифровой гигиены, так как практически все известные случаи взлома и «угона» аккаунтов связаны не с действиями «большого брата», а с безалаберностью и неграмотностью самих пользователей. Даже как-то неудобно писать о том, что нельзя использовать одни и те же пароли для скидочной карты магазина и аккаунта с персональными данными; что сложный пароль, состоящий из букв, цифр и служебных знаков — не придурь параноиков из служб информационной безопасности, а инструмент защиты от взлома вашего аккаунта за пять минут.
  • Если вам необходимо обсудить какую-то действительно конфиденциальную тему, сделайте это лично, очно и с выключенными, а лучше и убранными подальше телефонами. В переписке фраза «То, что обсудили за ужином, подтверждаю» куда лучше прямого пересказа достигнутой договоренности.
  • Если необходимо создать абсолютно конфиденциальный текст, подготовьте его на компьютере, не подключенном к сети. И чем старше ваш ПК, тем лучше. В идеале персоналка должна быть разработана в до-интернет эпоху. Например, у автора этих строк есть легендарный IBM PS/2 на 80286 процессоре и MS-DOS 3.30 на борту. Набранный на нем текст, переданный на 3,5-дискете из рук в руки — почти что гарантия от перехвата информации.

Компьютер из «доинтернетной» эпохи. Фото: Николай Бреус

  • Если этот файл все-таки надо отправить через интернет, то зашифруйте его на том же не подключенном к сети компьютере с помощью одного из свободно распространяемых средств криптозащиты информации (СКЗИ) — например, OpenPGP или VeraCrypt. Используйте 256-битное шифрование и следуйте рекомендациям при создании паролей, избегая использования словарных слов и фраз. Расшифровка должна происходить также на изолированной системе.
  • Ну а если уж говорить о мессенджерах, то хоть какую-то конфиденциальность могут обеспечить специальные продукты, созданные на базе открытых алгоритмов сквозного шифрования и (желательно) с открытым исходным кодом. Наиболее популярным является Signal, он обеспечивает высокую надежность при передаче данных, но не является анонимным, так как регистрация привязана к номеру телефона. Для обеспечения анонимности можно использовать менее известный у широкой аудитории защищенный мессенджер Threema: идентификатор пользователя (Threema ID) создается при помощи генератора случайных чисел, для чего не требуется ни адреса электронной почты, ни номера телефона. Новые контакты в мессенджере можно найти различными способами: по номеру телефона или электронной почте, если пользователь все-таки указал их в своем профиле Threema, но можно добавить контакт и напрямую через QR-код.
  • Ну и главное — соизмеряйте яд с противоядием! Глупо городить весь этот огород ради сокрытия переписки с любовницей. А лучший способ защитить себя от спецслужб — быть неинтересным для них.

Николай Бреус, специально для «Новой газеты»

* Принадлежит компании Meta, которую власти РФ считают экстремистской.

** Минюст РФ считает «иноагентом».

*** 23 октября 2023 года стало известно, что в Telegram был забанен канал движения ХАМАС для всех пользователей мессенджера на Android-устройствах.