Наприкінці березня засновник компанії Petcube Ярослав Ажнюк заявив, що настав час заборонити використання Telegram в Україні. Водночас, цей месенджер вже став для українців важливим інструментом споживання новин про війну, сервісом оперативного отримання інформації та сповіщення про критичні ситуації. Додаток використовують навіть офіційні особи – і для комунікації, і для інформування громадськості про свою діяльність. Тимчасом Telegram має далеко не найкраще реноме серед фахівців з безпеки. Але довгий час теорія про зв’язок Telegram з російською владою та відкритістю додатка для зловживань вважалася якщо не міфом, то суттєвим перебільшенням. Проте сьогодні сумнівів залишається все менше.
Дуров і Кремль
За словами «батька» Telegram Павла Дурова, він замислився над створенням захищеного месенджера ще в 2011 році, коли до нього звернулися російські спецслужби. За два роки Дуров представив перший додаток для Telegram. На той момент йому уже не належала частка у створеній ним соцмережі «ВКонтакте» – внаслідок низки угод понад 52% акцій викупила Mail.Ru Group, після чого Дуров продав решту та виїхав із Росії.
У 2017 році російська влада намагалась заблокувати Telegram через невиконання сервісом так званого «закону Ярової». Серед вимог положень закону було обмеження на використання будь-яких інструментів шифрування та вимога зберігати дані про активність користувачів інтернету й розміщення серверів проектів на території Росії. Активні спроби блокування, що розпочалися уже у 2018 році, на доступність Telegram майже не вплинули. Тривале протистояння між продуктом Дурова і Роскомнаглядом завершилося обопільними поступками. Спочатку Telegram повідомив про розміщення своїх серверів на території Росії (що й було однією із ключових вимог «закону Ярової»), а потім депутати Думи підготували законопроект про розблокування Telegram.
Читайте також: Цифрові шпигуни державного масштабу
Згодом у Telegram стали масово з’являтися канали російських державних структур та високопосадовців. Свій канал у завів і Роскомнагляд, який так настирно домагався блокування месенджера. Чому російська влада, яка так завзято протистояла Telegram, вирішила «змінити гнів на милість»? Це питання й досі залишається без відповіді, що підживлює підозри стосовно того, які насправді стосунки у Дурова з Кремлем.
Малозрозумілий і фінансовий аспект справи. Ще у 2016 році Дуров розповідав, що витрачає на забезпечення роботи Telegram близько $1 млн власних коштів на місяць. Тоді аудиторія Telegram складала близько 100 млн користувачів, а у 2021 році вона перевалила за півмільярда. Реклама у месенджері стала з’являтись досить пізно – лише з листопада 2021-го. Тимчасом у березні того ж року Дуров залучив інвестиції у розмірі $1 млрд шляхом розміщення облігацій через російські банки. Хто є кінцевими власниками облігацій Telegram, достеменно невідомо. Точно можна стверджувати, що серед інвесторів Telegram є Російський фонд прямих інвестицій – державна фінансова структура, котра, до речі, з 28 лютого минулого року знаходиться під санкціями США.
Дірки в захисті
Щоб месенджер можна було назвати захищеним, він повинен відповідати певним критеріям. Передусім, це підтримка наскрізного (end-to-end) шифрування, що унеможливлює втручання в повідомлення чи їхнє читання сторонніми особами. Друга обов’язкова вимога –збереження повідомлень лише на пристроях користувачів-учасників діалогу, але не на серверах компанії-провайдера месенджера. Бажані також відкритість програмного коду, проходження компанією аудиту, відсутність випадків зламів та витоків даних.
Читайте також: Фіктивні лицарі приватності
Тимчасом Telegram не відповідає першому ж обов’язковому критерію безпечності месенджера – наскрізне шифрування у нього використовується лише у секретних чатах, а не у всіх чатах по замовчуванню. Та й повідомлення на своїх серверах месенджер зберігає. А якщо пригадати, що компанія виконала «закон Ярової» та поставила сервери у Росії, українці не можуть бути впевненими у тому, що їхні повідомлення не опиняться на серверах, що фізично розташовані в країні-загарбниці. Необхідність для усіх компаній, що працюють у Росії, мати спеціальне обладнання, зробить можливим читання повідомлень в Telegram. Що стосується відкритості коду, до Telegram теж є запитання. Відкритий код мають лише мобільні додатки, проте не серверна частина. Тож що саме відбувається, коли повідомлення користувача опиняється на серверах Telegram, знають лише у компанії Telegram.
Промовисті факти
У лютому 2023 року масла у вогонь підозр стосовно Telegram підлило велике розслідування видання Wired. Журналісти навели декілька кейсів, коли працівники ФСБ заарештовували опозиціонерів, посилаючись на листування у Telegram. Одна із заарештованих стверджувала, що переписувалась із колегами у секретних чатах месенджера. Автори розслідування назвали це одним із можливих прикладів співпраці Telegram з російською владою, яка, маючи ключі шифрування сервісу, може читати повідомлення користувачів.
Журналісти Wired також підкреслюють, що є ціле море запитань до безпеки API Telegram (інтерфейсу для сторонніх розробників, які можуть користуватися функцією додатку). Його функції дозволяють визначати точну геолокацію користувачів, бачити, на які канали вони підписані та створювати детальний портрет для кожного користувача сервісу.
А ще у грудні 2022 року фахівець з безпеки Мет Тейт розповів про інші випадки стеження за українцями за допомогою Telegram. Герої його історій – жителі окупованих територій України, за листуванням яких російські спецслужби стежили через Telegram.
Читайте також: Як Telegram став одним з основних діджитал-інструментів цієї війни
Тейт аналізує історію мешканця Херсона, чиє листування із представниками українських спецслужб потрапило до рук окупантів. Чоловіка захопили й протягом 11 днів утримували в полоні й катували, а після того намагалися використати його для виявлення інших партизан. На думку експерта, росіяни отримали доступ до його переписки через метадані та вразливості алгоритму обміну повідомленнями, який використовує Telegram. «Безпека Telegram вже давно ставиться під сумнів спільнотою інформаційної безпеки. Є багато аспектів його будови, котрі не мають сенсу з точки зору безпеки. Але досі не було вагомих доказів того, що це використовувалося російськими спецслужбами на практиці. До цього моменту», – писав Тейт.
Звичайно, просто заблокувати Telegram в нашій країні вкрай непросто. Хоча б вже тому, що за час повномасштабної війни його популярність стрімко зросла. Причому месенджер стали застосовувати й офіційні структури, яким перед гіпотетичним «баном» Telegram доведеться підшукати альтернативний майданчик. Хай там як, зважаючи на реальні та потенційні ризики, Україні треба поступово рухатись у напрямі відмови від сервісу, навіть якщо для цього знадобиться тривалий час.