Odinstaluj Telegrama

[1s2k.pl]

Tak, tytuł jest dość klikbajtowy :-) Ale jak posłuchacie poniższego i przeklikacie się przez podlinkowane materiały, to dojdziecie do wniosku, że bezpieczniej i prywatniej Telegrama nie używać, bo kontrowersji i niespójności wokół niego masa. A szyfrowania — wbrew obiegowej opinii — prawie w ogóle.

PoC

Poniższy filmik to spontaniczne nagranie Piotrka, któremu nudziło się w ostatnich dniach wakacji i postanowił nagrać podsumowanie wydarzeń w “cyber” z ostatniego tygodnia. Głównym tematem jest Telegram, ale w tym materiale jest też o złośliwych captchach infekujących użytkowników Windowsa, namierzaniu lokalizacji zdjęcia na podstawie długości cienia i o magicznym sposobie na wysuszenie zalanego smartfona (spoiler: to nie ryż!).

Rzućcie okiem, dajcie suba w górę i załapkujcie nasz kanał. Dajcie znać w komentarzach czy taka forma Wam się podoba i podrzućcie sugestię nazwy dla tego cyklu.

A poniżej skrót z transkrypcji wygenerowany przez ChatGPT, który stratnie uprościł 20 minut solidnego materiału do minuty lektury i usunął wszystkie smaczki. No ale przynajmniej możecie się zorientować, czy chcecie obejrzeć :)

Kontrowersje wokół Telegrama

Telegram, popularny komunikator, w rzeczywistości bardziej przypomina nieszyfrowany serwis społecznościowy niż bezpieczne narzędzie do komunikacji. Grupy i kanały na Telegramie, nawet te prywatne, nie są szyfrowane end-to-end, co oznacza, że treści mogą być odczytane przez pracowników Telegrama lub osoby, które przejmą jego infrastrukturę. Chociaż użytkownicy mogą włączyć szyfrowanie end-to-end dla rozmów jeden na jeden, jest to opcja ukryta w interfejsie aplikacji, co sprawia, że jest mało intuicyjna. Dodatkowo Telegram używa własnego protokołu szyfrowania MTProto, który nie jest uważany za bezpieczny przez kryptologów. Większość komunikacji na Telegramie nie zapewnia prywatności, co stwarza poważne zagrożenia dla użytkowników.

Paweł Durow, założyciel Telegrama, został zatrzymany przez francuskie władze z powodu braku współpracy z organami ścigania. Francuzi zarzucają Telegramowi brak usuwania nielegalnych treści, takich jak propaganda radykalnych grup, materiały CSAM (wykorzystywanie seksualne dzieci) oraz ułatwianie handlu zakazanymi substancjami medycznymi. Telegram nie odpowiada na nakazy sądowe i nie współpracuje z organizacjami walczącymi z tego typu treściami, co odróżnia go od innych platform, które umożliwiają służbom dostęp do potrzebnych danych. W przeciwieństwie do innych komunikatorów, Telegram nie oferuje pełnego szyfrowania end-to-end, co sprawia, że nielegalne treści są widoczne, ale trudne do usunięcia. Francuzi, zirytowani brakiem odpowiedzi na prośby o usunięcie nielegalnych treści, zdecydowali się na bezprecedensowy krok zatrzymania CEO Telegrama, zamiast próbować najpierw ograniczyć dostęp do aplikacji.

Nie używaj Telegrama jeśli…

Jeśli używasz Telegrama do wymiany wrażliwych informacji, warto rozważyć zmianę aplikacji na bezpieczniejszą. Z powodu braku pełnego szyfrowania end-to-end, dane przechowywane na serwerach Telegrama mogą być łatwo odczytane przez osoby trzecie. Alternatywy, takie jak Signal i WhatsApp, które oferują pełne szyfrowanie end-to-end, nie mają dostępu do treści komunikacji między użytkownikami i są uznawane za bezpieczniejsze. Nawet jeśli nie wymieniasz na Telegramie wrażliwych informacji, aplikacja zbiera dużo metadanych, które mogą ujawniać twoją lokalizację, z kim rozmawiasz i kiedy. Dla przeciętnego użytkownika Telegrama najlepszym rozwiązaniem może być rozważenie alternatywnych, bardziej bezpiecznych komunikatorów.

Lokalizacja na podstawie długości cienia

Bellingcat, organizacja zajmująca się dziennikarstwem śledczym, udostępniła nowe narzędzie do określania lokalizacji zdjęcia na podstawie cienia obiektu. Narzędzie to działa odwrotnie do znanego Suncalc, które pozwalało wyliczyć długość cienia w danym miejscu i czasie. Nowe narzędzie umożliwia wprowadzenie orientacyjnej godziny wykonania zdjęcia, długości cienia oraz wysokości obiektu, co pozwala oszacować miejsce, gdzie zdjęcie mogło zostać wykonane. Można podawać wysokości i długości cieni w dowolnych jednostkach, np. w pikselach, co jest szczególnie użyteczne w analizach OSINT (Open Source Intelligence). Tego typu techniki są przydatne dla osób prowadzących śledztwa internetowe lub poszukujących dodatkowych informacji na temat osób i firm.

Niebezpiecznik oferuje szkolenia z zakresu OSINT, które pozwalają na zdobycie umiejętności potrzebnych do wyszukiwania i analizy informacji w internecie. Kursy są dostępne w trzech wariantach: internetowy kurs OSINT, który zawiera ponad 24 godziny materiałów wideo do samodzielnej nauki; dwudniowe szkolenie z trenerami na żywo, które odbywa się w różnych miastach w Polsce i może być również realizowane online; oraz jednodniowe, skrótowe szkolenie z OSINT, które obejmuje tylko najważniejsze techniki i narzędzia, ale jest bardziej przystępne cenowo. Szkolenia te są idealne zarówno dla osób początkujących, jak i tych, które chcą pogłębić swoją wiedzę z zakresu cyberbezpieczeństwa i analizy danych.

Złośliwa CAPTCHA

W ostatnim czasie zaobserwowano nowy rodzaj ataku z użyciem złośliwych CAPTCHA na polskich stronach internetowych. Złośliwe CAPTCHA po kliknięciu na przycisk „Nie jestem robotem” mogą wyświetlać instrukcje, które prowadzą do uruchomienia złośliwego oprogramowania na komputerze użytkownika. Atak polega na skopiowaniu komendy do schowka przez JavaScript, a następnie jej uruchomieniu w wierszu poleceń systemu Windows. Nawet użytkownicy, którzy nie mają uprawnień administracyjnych, mogą być narażeni na kradzież danych, w tym ciasteczek sesyjnych umożliwiających dostęp do kont chronionych dwuskładnikowym uwierzytelnieniem. Ataki tego typu mogą być także skuteczne na innych systemach operacyjnych, takich jak Linux czy macOS, zmieniając tylko sposób wywołania terminala. Niebezpiecznik ostrzegał o tym użytkowników za pomocą aplikacji mobilnej CyberAlerty, którą można pobrać za darmo ze sklepu Google lub Apple. Aplikacja wysyła powiadomienie, kiedy Niebezpiecznik obserwuje zagrożenie dotyczące Polaków. Ostrzeżenia wysyłąne przez aplikację pozwalają ochronić się przed atakami, które mogą skończyć się utratą danych, kradzieżą pieniędzy lub naruszeniem prywatności.

Zalany smartfon? Jest na to apka!

Pojawiło się również interesujące rozwiązanie dla osób, które przypadkowo zamoczyły swoje smartfony. Zamiast stosować tradycyjne metody suszenia, jak wkładanie urządzenia do ryżu, można skorzystać ze specjalnego wideo na YouTube, którego ścieżka dźwiękowa generuje ciśnienie akustyczne, wypychając wodę z głośników telefonu. Ten trik, choć nie zawsze skuteczny w przypadku mocno zalanych urządzeń, może przyspieszyć proces suszenia sprzętu, który ma pewną klasę odporności na zalanie. W podobny sposób automatycznie oczyszczają się niektóre zegarki po zanurzeniu w wodzie, co pokazuje, że czasem fizyka może zastąpić tradycyjne metody naprawy.

Na koniec następuje przegląd najlepszych Twitów z konta Niebezpiecznika. Przywoływane jest ogłoszenie CBA, które wymaga średniej ocen 4,7 ze świadectwa oraz problemy Czytelnika Niebezpiecznika z przelewem poprzez Blika. Przelew został zatrzymany ponieważ w tytule znalazło się słowo kret. Bank w oficjalnym piśmie w kuriozalny sposób wytłumaczył dlaczego blokuje ten przelew.

No jak doczytałeś aż do końca, to idźże zobaczyć cały film, bo najwyraźniej jednak masz czas :)

Przeczytaj cały wpis