Malý medzinárodný výskumný tím v oblasti informačnej bezpečnosti vykonal podrobnú bezpečnostnú analýzu celosvetovo populárneho telegramového messengeru. Kryptológovia z ETH Zurich a Royal Holloway College (University of London) dokázali identifikovať niekoľko zraniteľností. Väčšine z viac ako 570 miliónov používateľov telegramu však žiadne bezprostredné nebezpečenstvo nehrozí.
Do tohto vyšetrovania šifrovacích služieb Telegramu sa zapojili profesor Kenny Paterson a Dr. Igors Stepanovs z ETH Zurich a profesor Martin Albrecht a doktorandka Lenka Mareková z University of London. Jedna vec by sa mala povedať hneď: podrobná kryptografická bezpečnostná analýza posla tejto veľkosti bola viac ako oneskorená. Štyri kryptografické zraniteľnosti, ktoré našli kryptológovia, veľmi jasne ukazujú, že systém Telegramu je jednoznačne horší ako bezpečnostné štandardy iných bežne používaných šifrovacích protokolov, ako je Transport Layer Security (TLS).
Prvá bezpečnostná chyba opísaná v tomto dokumente zahŕňa útočníkov v sieti, ktorí sú schopní manipulovať so sekvenciou správ odoslaných klientom na jeden z cloudových serverov prevádzkovaných spoločnosťou Telegram po celom svete. Kryptológovia z ETH Zurich poznamenávajú: „Ak teda niekto dokáže zmeniť poradie správ „Hovorím „áno“?, „Pizza!“, „Poviem „nie, zločinu“, „áno“ by mohol povedať „Áno“ jesť pizzu sa zrazu stáva zločinom. Druhá zraniteľnosť zistená pri bezpečnostnej analýze je len teoretickej povahy, ale aj tak ju treba spomenúť. Sieťový útočník by teoreticky mohol zistiť, ktorá z dvoch správ od klienta alebo servera je šifrovaná. Pravdaže, na prvý pohľad to znie dosť dramaticky. Zneužitie tejto zraniteľnosti nájdenej v bezpečnostnej analýze by si však od útočníkov vyžadovalo obrovské úsilie. Podľa bezpečnostných expertov by útočník musel svojmu cieľu najskôr poslať milióny starostlivo vytvorených správ a identifikovať najmenšie rozdiely v čase doručenia príslušných odpovedí. Vedci sú si však istí, že aj túto kryptografickú zraniteľnosť treba brať vážne.
Ak by však bol takýto útok úspešný, malo by to ničivé následky pre dôvernosť správ telegramu a samozrejme aj pre ich používateľov.
Posledná zistená bezpečnostná diera sa týka veľmi dôležitej výmeny kľúčov medzi užívateľským klientom a telegramovým serverom. Keďže Telegram štandardne neposkytuje end-to-end šifrovanie, toto spojenie je veľmi dôležité pre každého používateľa platformy messenger. Kryptológovia poznamenávajú, že v prípade úspešného útoku by mohla byť natrvalo narušená dôvernosť aj integrita našej komunikácie. Vedci tu však tiež tvrdia, že aktívne využitie tejto bezpečnostnej medzery by bolo veľmi ťažké:
Našťastie je táto metóda útoku tiež pomerne náročná na vykonanie, pretože útočník by musel poslať miliardy správ na telegramový server v priebehu niekoľkých minút.
Ako obvykle, výskumný tím informoval posla o bezpečnostných dierach, ktoré našli 90 dní pred zverejnením. Telegram teraz zareagoval na hlásené bezpečnostné problémy a opravil ich pravidelnými aktualizáciami softvéru. Ako už bolo spomenuté na začiatku, podľa odborníkov väčšine z viac ako 570 miliónov používateľov telegramu na celom svete nehrozí žiadne bezprostredné nebezpečenstvo. Podľa výskumníkov incident odhaľuje aj pochybný prístup vývojárov Telegramu pri opravovaní takýchto problémov. Citát (preložený) z blogového príspevku:
Vývojári Telegramu nás informovali, že nevydávajú špeciálne bezpečnostné vydania ani opravy chýb. Jedinou výnimkou sú rýchle opravy pre predchádzajúcu nesprávnu aktualizáciu. Vývojový tím nám tiež povedal, že nechce vydávať bezpečnostné upozornenia v čase záplatovania, ani sa nechce zaviazať k dátumu vydania konkrétnych opráv. V dôsledku toho boli opravy zavedené ako súčasť pravidelných aktualizácií telegramu.
„Vývojári Telegramu nás informovali, že nevydávajú bezpečnostné ani opravy chýb, s výnimkou opráv zlyhaní okamžite po vydaní. Vývojový tím nás tiež informoval, že si neželá vydávať bezpečnostné upozornenia v čase záplaty…“ https://t.co/2eETQyOwBg
— Nicholas J. Percoco (@c7five) Júla 16, 2021
Podľa samotného Telegramu neboli bezpečnostné medzery kritické. Možno to vysvetľuje aj prístup k spomínaným medzerám. Telegram má na to ešte jeden Blogový príspevok zverejnený, ktorá podrobne rozoberá odhalené problémy.
Náš kanál nájdete na telegrame na adrese: https://t.me/dravenstales
Viac pre vás:
„Dravens Tales from the Crypt“ už viac ako 15 rokov očaruje nevkusnou zmesou humoru, serióznej žurnalistiky – pre aktuálne udalosti a nevyvážené spravodajstvo v politike tlače – a zombíkov, ozdobených množstvom umenia, zábavy a punk rocku. Draven zo svojho koníčka urobil obľúbenú značku, ktorá sa nedá zaradiť.
Môj blog nebol nikdy navrhnutý tak, aby šíril správy, nieto ešte politický, ale pri aktuálnych udalostiach si nemôžem pomôcť a nezachytím tu informácie, ktoré sú inak cenzurované na všetkých ostatných kanáloch. Som si vedomý toho, že dizajnová stránka sa mnohým v tomto smere nemusí zdať „seriózna“, ale nebudem to meniť, aby som potešila „mainstream“. Každý, kto je otvorený informáciám, ktoré nie sú v súlade so štátom, vidí obsah a nie obal. Za posledné 2 roky som sa snažil poskytnúť ľuďom informácie dosť, ale rýchlo som si všimol, že nikdy nezáleží na tom, ako sú „zabalené“, ale aký je k tomu postoj toho druhého. Nechcem nikomu naliať med na ústa, aby som akýmkoľvek spôsobom splnil očakávania, takže si ponechám tento návrh, pretože dúfam, že raz budem môcť prestať robiť tieto politické vyhlásenia, pretože nie je mojím cieľom pokračovať takto navždy 
Nechám na každom, ako sa k tomu postaví. Môžete však jednoducho skopírovať a distribuovať obsah, môj blog bol vždy pod Licencia WTFPL.
Je pre mňa ťažké popísať, čo tu vlastne robím, z DravensTales sa za tie roky stal kultúrny blog, hudobný blog, shock blog, tech blog, hororový blog, zábavný blog, blog o nájdených položkách na internete, bizarný internet, trash blog, art blog, ohrievač vody, zeitgeistický blog , Šrotovací blog a blog s názvom grab bag. Všetko, čo je správne ... - a predsa nie. Blog sa zameriava hlavne na súčasné umenie v najširšom slova zmysle.
Pre zabezpečenie chodu stránky ste vítaní Darujte kreditnou kartou, Paypal, Google Pay, Apple Pay alebo inkasom/bankovým účtom. Veľká vďaka všetkým čitateľom a podporovateľom tohto blogu!
