[Информационная безопасность] Приватность в Telegram
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Написать эту статью я решил, прочитав отзывы на свою реплику о том, что Telegram Павла Дурова, ставший, де-факто, инструментом координации протестного движения в ряде стран, не подходит для этой цели, поскольку имеет очевидные проблемы с приватностью.
Должен отметить, что я не являюсь экспертом по компьютерной безопасности — я экономист, который пишет на досуге фантастические книги. Поэтому цель этой статьи — в первую очередь — предоставить площадку и повод высказаться экспертам.
Предлагаю начать обсуждение с того, что при регистрации пользователя в Telegram необходимо сообщить номер своего сотового. Собственно, на этом можно и закончить. С точки зрения обеспечения приватности — это худшее из возможных решений.
Хотите узнать почему?
Увы, в большинстве стран мира для приобретения sim-карты необходимо предъявить паспорт. Даже в тех странах, в которых возможно анонимное приобретение sim-карты, её использование связанно с риском деанонимизации — сотовые компании собирают и хранят статистику подключений, так что IMEI телефона, ровно, как и данные о геолокации, будут зафиксированы и сохранены на долгие годы.
Не спасет даже использование одноразового телефона — поскольку настоящий находится рядом и включен. Естественно, можно озаботиться и придумать схему обхода — но подобным, я думаю, способны озаботиться только люди, параноидально заботящиеся о собственной приватности. Включая, естественно, жуликов и террористов.
Понимает ли Павел опасность сбора подобной информации? Вне всякого сомнения. История учит нас, что любые данные могут быть получены официально или похищены — через запросы суда, подкуп и шантаж сотрудников…
Или через лазейки в клиенте — как случилось в Гонконге, когда власти загрузили в приложение огромное количество номеров, чтобы идентифицировать пользователей этих групп. Для защиты от этого, было разработано обновление мессенджера Telegram. Теперь, члены больших групп смогут поменять настройки и скрыть свои номера.
Но, для участников протестов в Гонконге было уже поздно — данные утекли. И это вопрос жизни и смерти — подобные преступления караются лишением свободы на срок от трех лет до пожизненного заключения.
Мог ли Павел защитить пользователей? Мог, при этом без особого труда — никто не украдет данные, которых нет. Чтоб перестать представлять опасность для пользователей из стран с тоталитарными режимами, Павлу нужно всего лишь перестать собирать их данные.
Если Павел откажется от привязки учетной записи к sim-карте, значительная часть проблем с безопасностью исчезнет. Так почему Telegram реализует именно такое решение?
Существует мнение, что это обоснованно используемой Павлом бизнес моделью. Известная максима гласит: «Если вы получаете что-то бесплатно – значит, товаром являетесь вы» — не убавить и не добавить. Павлу нужны ваши данные — так как целью его деятельности является получение прибыли. А получить её он может — продавая данные пользователей в обезличенном (надеюсь) виде и (или) показывая им персонифицированную рекламу.
Нет ничего плохого в том, что пользователь поступается частью приватности — в обмен на удобный бесплатный сервис. Естественно — когда он предупрежден об этом и понимает сопутствующие риски. И если ему предоставлена возможность отказаться от этой сделки — зарегистрироваться и пользоваться сервисом анонимно.
Анонимность не противоречит коммерческим интересам Павла — не получая денег от продажи данных, Павел может получать их напрямую от пользователей — через разные модели анонимных продаж. (Например, через Google Play Gift Cards — приобретаемую, в том числе и за наличные, подарочную карту, которую можно активировать и использовать для покупки различного цифрового контента в Google Play Market).
Так почему это не было реализовано? Думаю, что под влиянием спецслужб — в последнее время по всему миру происходит «закручивание гаек» — повсеместное ограничение личных свобод. В этом случае — слежка за пользователями является условием выхода на рынок — программы, предоставляющие коммуникационные услуги без идентификации пользователей — закрываются при помощи административного ресурса.
Сказанное касается только крупных продуктов — мелкие, пользуясь уловкой «Неуловимого Джо» пока остаются неохваченными. Так что, протестующим я бы рекомендовал координировать свою активность любом из непопулярных мессенджеров — или по электронной почте. Это решение, правда, имеет и негативные стороны — эффективность протеста в массовости, а подобные решения имеют высокий порог вхождения.
На КПВД картина художника John Brosio
Сцена после титров:
SPL
Статья не будет пятничной, если я не добавлю в неё какую-нибудь шутку или загадку. Так вот — не так давно стал известен ответ на загадку Л. Кэрролла «Чем ворон похож на конторку?» — они покрыты перьями!
Сумет ли читатели Хабра дать ответ на более простую загадку (не заглядывая в гугл) — что общего у мыла и ворон?
Завершая этот небольшой обзор, хочу сказать, что я известен на Хабре как автор статей хороших, плохих и средних. При этом средних статей — у меня откровенно мало — я стараюсь беспокоить публику только по значимым поводам — когда точно уверен, что мне есть что сказать.
Эта статья средняя. И написана в виде эксперимента. Я бы хотел бы вести еженедельную пятничную рубрику — прекрасно понимая, что еженедельные заметки будут заметно уступать заметкам развполгодовым. Увы и ах — я не гений уровня Мартина Гарднера. А даже у него были проходные выпуски — вошедшие в канон, но не переведенные в СССР!
Будет ли это востребовано? Решать вам. А я умываю руки, поскольку понимаю важность личной гигиены в период глобальной пандемии люблю вставлять в статьи отсылки и аллюзии.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Гаджеты] В чипе Qualcomm Snapdragon нашли более 400 уязвимостей
- [Информационная безопасность, Беспроводные технологии] Атака недели: голосовые звонки в LTE (ReVoLTE) (перевод)
- [Информационная безопасность, Сетевые технологии, Сетевое оборудование] Как траблшутить отечественный IPsec VPN. Часть 1
- [Информационная безопасность] Безопасна ли ваша банковская карта с чипом? Зависит от банка (перевод)
- [Информационная безопасность, Законодательство в IT, IT-компании] СКБ Контур помогает распространению коронавируса?
- [Системы обмена сообщениями, API, R, Data Engineering] Пишем telegram бота на языке R (часть 1): Создаём бота, и отправляем с его помощью сообщения в telegram
- [Информационная безопасность] ViPNet в деталях: разбираемся с особенностями криптошлюза
- [Информационная безопасность, Системное администрирование, Серверное администрирование, DevOps] Как незакрытый Docker API и публичные образы от сообщества используются для распространения майнеров криптовалют (перевод)
- [Информационная безопасность, Сетевые технологии, Сетевое оборудование] В Беларуси частично восстановили интернет, неполадки всё так же объясняют DDoS-атаками
- [Информационная безопасность, Исследования и прогнозы в IT, Статистика в IT] 3 самых интересных инцидента в области информационной безопасности за июль 2020
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_telegram, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 20:55
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Написать эту статью я решил, прочитав отзывы на свою реплику о том, что Telegram Павла Дурова, ставший, де-факто, инструментом координации протестного движения в ряде стран, не подходит для этой цели, поскольку имеет очевидные проблемы с приватностью. Должен отметить, что я не являюсь экспертом по компьютерной безопасности — я экономист, который пишет на досуге фантастические книги. Поэтому цель этой статьи — в первую очередь — предоставить площадку и повод высказаться экспертам. Предлагаю начать обсуждение с того, что при регистрации пользователя в Telegram необходимо сообщить номер своего сотового. Собственно, на этом можно и закончить. С точки зрения обеспечения приватности — это худшее из возможных решений. Хотите узнать почему? Увы, в большинстве стран мира для приобретения sim-карты необходимо предъявить паспорт. Даже в тех странах, в которых возможно анонимное приобретение sim-карты, её использование связанно с риском деанонимизации — сотовые компании собирают и хранят статистику подключений, так что IMEI телефона, ровно, как и данные о геолокации, будут зафиксированы и сохранены на долгие годы. Не спасет даже использование одноразового телефона — поскольку настоящий находится рядом и включен. Естественно, можно озаботиться и придумать схему обхода — но подобным, я думаю, способны озаботиться только люди, параноидально заботящиеся о собственной приватности. Включая, естественно, жуликов и террористов. Понимает ли Павел опасность сбора подобной информации? Вне всякого сомнения. История учит нас, что любые данные могут быть получены официально или похищены — через запросы суда, подкуп и шантаж сотрудников… Или через лазейки в клиенте — как случилось в Гонконге, когда власти загрузили в приложение огромное количество номеров, чтобы идентифицировать пользователей этих групп. Для защиты от этого, было разработано обновление мессенджера Telegram. Теперь, члены больших групп смогут поменять настройки и скрыть свои номера. Но, для участников протестов в Гонконге было уже поздно — данные утекли. И это вопрос жизни и смерти — подобные преступления караются лишением свободы на срок от трех лет до пожизненного заключения. Мог ли Павел защитить пользователей? Мог, при этом без особого труда — никто не украдет данные, которых нет. Чтоб перестать представлять опасность для пользователей из стран с тоталитарными режимами, Павлу нужно всего лишь перестать собирать их данные. Если Павел откажется от привязки учетной записи к sim-карте, значительная часть проблем с безопасностью исчезнет. Так почему Telegram реализует именно такое решение? Существует мнение, что это обоснованно используемой Павлом бизнес моделью. Известная максима гласит: «Если вы получаете что-то бесплатно – значит, товаром являетесь вы» — не убавить и не добавить. Павлу нужны ваши данные — так как целью его деятельности является получение прибыли. А получить её он может — продавая данные пользователей в обезличенном (надеюсь) виде и (или) показывая им персонифицированную рекламу. Нет ничего плохого в том, что пользователь поступается частью приватности — в обмен на удобный бесплатный сервис. Естественно — когда он предупрежден об этом и понимает сопутствующие риски. И если ему предоставлена возможность отказаться от этой сделки — зарегистрироваться и пользоваться сервисом анонимно. Анонимность не противоречит коммерческим интересам Павла — не получая денег от продажи данных, Павел может получать их напрямую от пользователей — через разные модели анонимных продаж. (Например, через Google Play Gift Cards — приобретаемую, в том числе и за наличные, подарочную карту, которую можно активировать и использовать для покупки различного цифрового контента в Google Play Market). Так почему это не было реализовано? Думаю, что под влиянием спецслужб — в последнее время по всему миру происходит «закручивание гаек» — повсеместное ограничение личных свобод. В этом случае — слежка за пользователями является условием выхода на рынок — программы, предоставляющие коммуникационные услуги без идентификации пользователей — закрываются при помощи административного ресурса. Сказанное касается только крупных продуктов — мелкие, пользуясь уловкой «Неуловимого Джо» пока остаются неохваченными. Так что, протестующим я бы рекомендовал координировать свою активность любом из непопулярных мессенджеров — или по электронной почте. Это решение, правда, имеет и негативные стороны — эффективность протеста в массовости, а подобные решения имеют высокий порог вхождения. На КПВД картина художника John Brosio Сцена после титров:SPLСтатья не будет пятничной, если я не добавлю в неё какую-нибудь шутку или загадку. Так вот — не так давно стал известен ответ на загадку Л. Кэрролла «Чем ворон похож на конторку?» — они покрыты перьями!
Сумет ли читатели Хабра дать ответ на более простую загадку (не заглядывая в гугл) — что общего у мыла и ворон? Завершая этот небольшой обзор, хочу сказать, что я известен на Хабре как автор статей хороших, плохих и средних. При этом средних статей — у меня откровенно мало — я стараюсь беспокоить публику только по значимым поводам — когда точно уверен, что мне есть что сказать. Эта статья средняя. И написана в виде эксперимента. Я бы хотел бы вести еженедельную пятничную рубрику — прекрасно понимая, что еженедельные заметки будут заметно уступать заметкам развполгодовым. Увы и ах — я не гений уровня Мартина Гарднера. А даже у него были проходные выпуски — вошедшие в канон, но не переведенные в СССР! Будет ли это востребовано? Решать вам. А я умываю руки, поскольку понимаю важность личной гигиены в период глобальной пандемии люблю вставлять в статьи отсылки и аллюзии. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 20:55
Часовой пояс: UTC + 5