הפשיטה הבוקר של עשרות שוטרים וחוקרים על בתיהם של חשודים בהפעלת רשת “טלגראס” העלתה שוב את סוגיית האבטחה של פלטפורמת המסרים הפופולארית. ככל הנראה האבטחה היא אחת מהסיבות המרכזיות שגרמו למפעילי “טלגראס” לבחור בה ולא פלטפורמות מקבילות כמו ווטסאפ למשל. זכורה גם התבטאותו המדווחת של אפי נוה, יו”ר לשכת עורכי הדין לשעבר, שהאיץ במתמחה להתקין את טלגרם.
אז אנחנו עדיין לא יודעים כיצד בדיוק הצליחו חוקרי יחידת הסייבר הארצית ולהב 433 להתחקות על צעדיהם של מפעילי הרשת, ויש סיכוי לא רע, שמדובר יותר בהנדסה אנושית ולא יירוט תקשורת או פריצה בעלת מאפיינים טכנולוגיים, אבל האם טלגרם באמת יותר מאובטחת מהמקבילות שלה?
השיחות לא מוצפנות. לפחות לא כברירת מחדל
כאשר אתם מתחילים שיחה בווטסאפ עם משתמש אחר אתם מקבלים הודעה שהצ’אט מאובטח ומוצפן מקצה לקצה. לעומת זאת, כאשר אתם מנהלים שיחה עם משתמש אחר בטלגרם – השיחה אינה מוצפנת כברירת מחדל. זאת אומרת, כל מי שיצליח ליירט את התקשורת ביניכם – יוכל לקרוא אותה.
כדי לעבור לתקשורת מוצפנת אתם צריכים לעבור למצב Secret Chat. ואז כל התקשורת ביניכם תוצפן. אם תרצו תוכלו גם להציב טיימר שימחוק את ההודעות השונות בתום פרק זמן קצוב על פי בחירתכם.
הצפנה לא שגרתית
אבל גם אם עברתם לתקשורת מוצפנת – הרי שפרוטוקול ההצפנה של טלגרם מעלה כמה סוגיות לא פתורות. האפליקציה מצפינה את ההודעות של המשתמשים בפרוטוקול MTProto הקנייני שלה. לעומתה, אפליקציות כמו ווטסאפ, מסנג’ר של פייסבוק ו-Allo של גוגל – מתבססות בהצפנה שלהן על פרוטוקול סיגנל (The Signal Protocol). פרוטוקול זה פותח על ידי Open Whisper Systems, שעומדת מאחורי אפליקציית המסרים שנחשבת למאובטחת ביותר – Signal – ונתמך על ידי אדוארד סנואדן.
עוד ב-Geektime
מפתחת פיירפוקס השיקה שירות שליחת קבצים חינמי ומוצפן
מנכ׳׳ל סודהסטרים משקיע חצי מיליון דולר ברובוט לגידול קנאביס
אבל כאמור טלגרם מתבססת על פרוטוקול אבטחה קנייני שאמנם לא נפרץ עדיין על ידי מומחי אבטחה, אבל חשוב לזכור שיש לה את מפתחות ההצפנה וההודעות שלכם עוברות דרך השרתים שלה. כך שלפחות תיאורטית היא יכולה לקרוא כל הודעה שעוברת אצלכם. בנוסף, בניגוד לאפליקציות כמו “סיגנל” שכתובות בקוד פתוח, בטלגרם יש חלקים שהם בקוד פתוח – מה שמאפשר לקהילה לוודא שהאפליקציה לא עושה “פאולים” או לא מכילה פרצות אבטחה למשל, וישנם גם חלקים סגורים. לזכות המפתחים ייאמר שהם מתכננים בסופו של דבר להפוך את כל הקוד שלהם לקוד פתוח.
אגב, לא מן הנמנע שהמשטרה נעזרה באמנת הפרטיות החדשה של טלגרם, כדי לקבל את פרטי הסוחרים והמשתמשים ב”טלגראס”. על פי סעיף 8.3 באמנת הפרטיות החדשה של טלגרם “במקרה בו טלגרם תקבל צו בית משפט אשר מאשר כי הנך חשוד במעשי טרור, אנו עשויים להסגיר את כתובת ה-IP ומספר הטלפון שלך לרשויות הרלוונטיות”. אז אמנם חברי הרשת עצמה לא מואשמים בטרור כמובן, אבל על פי הודעת המשטרה, החשודים ביצעו במקביל לניהול רשת למסחר בסמים – גם “עבירות נוספות”, ויכול גם להיות שבמשטרה הצליחו להוכיח שחלק מהכסף השחור הגיע לגורמים עויינים.