Transcription

Cześć! Jeżeli nie żyjecie pod kamieniem, to pewnie słyszeliście, że jest niezłe zamieszanie wokół Telegrama. Aresztowano we Francji Pawieła Durowa, jego właściciela oraz prezesa, jak tylko wysiadł ze swojego prywatnego dżeta na lotnisku pod Paryżewem. A Telegram to jeden z najpopularniejszych na świecie komunikatorów. Korzysta z niego prawie miliard ludzi, co stawia go w ścisłej czołówce obok WhatsAppa, Messengera czy chińskiego WeChata. Niedziwne więc, że podniósł się solidny raban. No bo jak to tak? Przecież Pawieł to ostatni sprawiedliwy bojownik o wolność słowa. To jest cenzura, zła Unia, jeszcze gorsi Francuzi. Do tego hasztagi FreeDurow i FreePawel na Twitterze. To więc dobra okazja, żeby opowiedzieć Wam o problemach związanych z Telegramem i dlaczego lepiej z niego nie korzystać. Zapraszam! Najpierw będzie bardziej technicznie, a potem nieco bardziej filozoficznie. Jak któraś część interesuje Was bardziej, to materiał podzielony jest na rozdziały. A teraz do rzeczy. Zacznijmy od kwestii szyfrowania, bo to jest to, co tygryski zajmujący się bezpieczeństwem lubią najbardziej. Tu pokurczę się ośmiałą tezę, którą zresztą postaram się obronić. Telegram nie jest bezpiecznym komunikatorem. Nie jest i w sumie nigdy nim nie był. Po pierwsze i najważniejsze, rozmowy prowadzone za pośrednictwem Telegrama nie są szyfrowane. Dotyczy to nie tylko czatów grupowych, co akurat jest częstą praktyką wielu średniobezpiecznych komunikatorów, ale też rozmów prywatnych prowadzonych przez dwóch użytkowników. Tak, rozmowy takie nie są domyślnie szyfrowane. Jeżeli chcemy skorzystać z szyfrowania end-to-end, musimy osobno zainicjować taką rozmowę, korzystając z funkcji czatów sekretnych. Dopiero wtedy możemy mówić o jakiejś namiastce bezpieczeństwa i prywatności. Co istotne, dotyczy to tylko rozmów we dwoje. W czatach grupowych taka możliwość nie jest dostępna wcale. Nie każdy użytkownik jest tego świadomy. W efekcie gro osób pobiera aplikację obiecującą bezpieczne i prywatne rozmowy, a następnie prowadzi konwersacje z innymi, które są szyfrowane jedynie w drodze od użytkownika do centralnego serwera. A to wcale nie gwarantuje ich bezpieczeństwa. Dlaczego? Bo mogą być bez problemu przechowywane i odczytywane po stronie serwerów Telegrama. Z praktyki wiemy, że jedyną metodą, aby nie przekazywać danych różnorakim służbom albo nie być narażonym na czytanie ich przez jakiegoś przypadkowego pracownika, jest niezbieranie ich wcale albo brak technicznych możliwości odczytania przez operatora. Architektura Telegrama w tej formie nie ma więc nic wspólnego z prywatnością. No dobra, ktoś powie, to wina użytkownika, powinien przecież wiedzieć, że musi coś kliknąć. Zgoda, ale jest też prostsze rozwiązanie. Można zrezygnować z nieszyfrowanych rozmów jeden na jeden. Niestety, mimo wielu nacisków, od lat, aby to właśnie szyfrowane rozmowy były domyślną opcją, Telegram z uporem godnym lepszej sprawy nie chce tego wprowadzić. Dlaczego? Dobre pytanie. Niestety, nie jest to jedyny problem dotyczący Telegrama i kryptografii. Bo Telegram nie korzysta ze znanych, otwartych i szeroko audytowanych algorytmów szyfrowania. Wykorzystują oni swoją własną kryptografię nazwaną MT-Proto, co u osób zajmujących się bezpieczeństwem powoduje różne niekontrolowane odruchy. Bo to prosta droga do katastrofy. Chcecie jakiś przykład? Ciekawą historię opowiedział parę lat temu Filip Owalsorda, inżynier zajmujący się tematami okołokryptograficznymi. To nie jest jakiś przypadkowy rzuczek. Przewodził choćby zespołowi odpowiedzialnemu za bezpieczeństwo języka Go w Google'u, czy zajmował się szyfrowaniem w Cloudflare, także raczej wie, o czym mówi. Opisał błąd w kryptografii Telegrama sprzed jakichś dziesięciu lat, nazywając go błędem, który ze wszystkich mu znanych najbardziej przypominał Begdura. A to odważna teza. Uprzedzając pytania, tak, został on już po cichu załatany i nie mamy żadnych dowodów, że obecna wersja protokołu posiada jakieś podobne błędy. Chodzi jednak o przykład. Praktycznie każda bezpieczna komunikacja poprzez Internet opiera się w swoich podstawach na wymianie pary kluczy. Obecnie najpopularniejszą metodą rozwiązania tego problemu jest algorytm Diffiego-Hellmana. Pozwala on na utworzenie bezpiecznego kanału komunikacji nawet w realiach, kiedy ktoś nas podgląda. Jak? Nie wchodząc w tym miejscu w matematyczne dowody, chodzi o to, że wykorzystując generatory liczb losowych i ogromne liczby pierwsze można ustalić w takich realiach wspólny klucz szyfrujący, który pozostanie sekretem i nie będzie można go odtworzyć, nawet podglądając historię procesu jego ustalania. Co jednak istotne, wymiana kluczy metodą Diffiego-Hellmana nie odpowiada na zagrożenia kategorii men in the middle, bo sprytny atakujący, zamiast tylko podsłuchiwać, może wejść w rolę głuchego telefonu i w całym tym procesie ustalania kluczy stanąć na drodze pomiędzy nadawcą a odbiorcą i zestawić dwa osobne szyfrowane połączenia pomiędzy interlokutorami. Połączenie więc będzie co prawda szyfrowane, ale osobno od nadawcy do podsłuchującego serwera i osobno od tego serwera do odbiorcy wiadomości. Nie zagwarantuje nam to prywatności, bo w ten sposób serwer jest w stanie czytać każdą wiadomość. Rozmówcy muszą mieć też sposób na sprawdzenie, czy wykorzystują do szyfrowania ten sam sekret, jednak bez ujawniania go komuś postronnemu. W bezpiecznych komunikatorach można często porównać ustalony klucz z wykorzystaniem innego kanału komunikacji, np. spotykając się w cztery oczy. W ten sposób da się sprawdzić, czy sekrety, najczęściej w postaci tabeli liczb czy kilku słów, pokrywają się ze sobą na oburządzeniach. Jeżeli tak, to komunikację można uznać za prywatną i bezpieczną. No i tu dochodzimy do sedna. Telegram robił to początkowo nieco inaczej. Zadeklarowali oni, że generatory liczb losowych na urządzeniach mobilnych są słabej jakości. Stąd pospieszą nam z pomocą i dodadzą do losowości, koniecznej w ustalaniu sekretnego klucza komunikacji, jeszcze jedną losowość dostarczaną i gwarantowaną przez serwer Telegrama. Tu pojawia się jednak bardzo istotny problem, ponieważ oznacza to, że w pełni musimy takiemu serwerowi zaufać. No bo jeżeli serwer dobierze tę swoją losowość w pewien odpowiedni sposób, to jest w stanie położyć całą ideę szyfrowania, bo nie ma już wtedy mowy o losowości i odgadnięcie, co było kluczem, staje się banalnie proste. Nie tylko pozwala to na przeprowadzanie ataku man-in-the-middle, ale czyni go w dodatku niewykrywalnym. Bo nawet sprawdzanie poprawności kluczy po obu stronach rozmowy potwierdzi, że one się zgadzają. Po prostu serwer może posiadać do przesyłanych informacji dodatkowy wytrych, taki klucz master. I to nie jest tak, że to jakiś błąd wynikający z implementacji, który pojawił się tam przypadkiem. To całkowicie zbędne zachowanie z punktu widzenia logiki kryptografii i nie przewiduje tego algorytm Diffiego Hellmana. Ale ktoś celowo to zakodował. Czy Telegram wypowiedział się dlaczego? Rzekomo miało to wspomóc szyfrowanie u klientów z urządzeniami o niskiej mocy obliczeniowej i ze słabymi generatorami liczb losowych. Ale teoria ta nie trzyma się kupy. I wiem, że to historia sprzed lat, ale niesmak pozostaje. I wiem, że MT Proto jest otwartym protokołem, który każdy może sprawdzić. Nie da się zaprzeczyć. Telegram zresztą chwali się tą swoją otwartością, ale nie jest ona pełna. O ile kod źródłowy aplikacji Telegrama jest otwarty, to nie dotyczy to kodu serwerów. Telegram go nie upubliczna, twierdząc, że nie jest to konieczne do weryfikacji bezpieczeństwa, ponieważ i tak nie ma żadnej gwarancji, że jest to kod wykorzystywany na produkcji. Ciężko się z tą tezą nie zgodzić, ale to wcale nie uspokaja, bo nadal nie wiemy, co tam się tak naprawdę dzieje. Skąd inąd wiemy jednak, że dane użytkowników są przechowywane na serwerach Telegrama w niezaszyfrowanej postaci? Mowa o kontaktach, rozmowach czy przesyłanych plikach. Ale wróćmy do algorytmu kryptograficznego. Biorąc pod uwagę, że wykorzystywany jest tylko w jednej aplikacji, nie przebadano go aż tak dokładnie jak protokołów znanych od lat, choćby Signala. Kiedy już do takich badań czy audytów dochodzi, to często znajdowane są w nim różne podatności. I nawet nie chodzi o to, czy są one poważne, czy nie i na co narażają użytkowników. Po prostu potwierdza to kolejny raz, że nie robi się własnej kryptografii, a korzysta ze znanych i popularnych standardów, jak choćby z TLS-a. To po prostu bezpieczniejsze rozwiązanie, któremu warto bardziej ufać niż czymś z deklaracją, że ich szyfrowanie jest najlepsze na świecie, bo w końcu zrobił je brat, Pawieła Durowa. Bezpieczeństwo nie powinno nigdy opierać się na zaufaniu, a zawsze musi być potwierdzone srogą matematyką. Warto też zwrócić uwagę, że po zgłoszeniu podatności Telegramowi ich naprawienie nie staje się priorytetem, a po prostu zostają one załatane przy wydaniu następnej wersji aplikacji. Telegram nie ma w zwyczaju wydawania hotfixów, no chyba, że uniemożliwiają one korzystanie z usługi. A to niezbyt dobra praktyka. Nie chodzi jednak tylko o bezpieczeństwo, ale też o prywatność, a w zasadzie jej brak. Wspomniałem już, że domyślnie Telegram ma dostęp do niezaszyfrowanych, czyli domyślnie wszystkich wiadomości. Skoro ma do nich dostęp, to też je przechowuje. A skoro je przechowuje, to ktoś zainteresowany może uzyskać do nich dostęp albo próbować go uzyskać. Na przykład różne służby czy organy państwowe mogą wydawać różne nakazy i toczyć sądowe batalie. Ale wcale nie trzeba iść tak daleko. Mogą przecież być też wykorzystywane do profilowania użytkowników i choćby sprzedawania im różnych reklam. Albo wykradzione w efekcie wykorzystania jakiejś odnalezionej podatności. Takie dane w ogóle nie powinny być zbierane, bo jeżeli czegoś nie ma, to nie można tego udostępnić. To naprawdę proste. Robi tak choćby Signal, nie przechowując na swoich serwerach naszych wiadomości. Ale skoro w przypadku Telegrama te dane istnieją i da się uzyskać do nich fizyczny dostęp, to nie ma się co dziwić, że różne służby próbują. Legalnie czy też nie. Szczególnie, kiedy platforma prawie że wprost kieruje swoje usługi do osób chcących podnosić swoją prywatność w nie do końca słusznych celach. Tym mniej powinno nas dziwić, że służby próbują się do tego dobierać. Warto też wspomnieć, że aby przechowywać dane, trzeba mieć gdzie to robić. A to kosztuje. Ale o pieniądze jeszcze będzie, spokojnie. Telegram udostępnia też API, za pomocą którego można wyciągnąć z niego ogromną ilość danych o jego użytkownikach. Zawiera się w nich choćby lokalizacja, wszystkie przesłane na różne grupy i kanały wiadomości wraz z datami i godzinami. Oczywiście nie dotyczy to sekretnych konwersacji, ale analizując ten i tak potężny zbiór danych można bardzo wiele się dowiedzieć. Na przykład analizując trendy w całych społeczeństwach, a często nawet kogoś w ten sposób zdeanonimizować. Metadane są naprawdę potężnym źródłem wiedzy. Dane te zresztą są zbierane i komercyjnie przetwarzane przez różne podmioty, również rosyjskie. No i naiwnością byłoby myśleć, że różne organy też tego nie robią. Ale to nie wszystko. Dostęp do treści przesyłanych wiadomości stawia operatora usługi przed jeszcze jednym istotnym obowiązkiem w świetle prawa większości krajów. Mowa o moderacji treści. Bo Telegram nie jest wcale komunikatorem. Jest platformą informacyjną dokładnie tak samo jak Twixer czy Facebook, gdzie subskrybując odpowiednie kanały możemy czytać przesyłane za ich pomocą treści. Co wykorzystywane jest również przez różnych przestępców do dzielenia się nielegalnymi treściami czy ogłoszeniami o sprzedaży narkotyków. Albo do rozsiewania propagandy z każdej ze stron. Możliwość komunikacji we dwie osoby jest w sumie dodatkiem, jak prywatne wiadomości na Twixerze. I tylko ograniczony zasięg Telegrama w Unii Europejskiej, bo nie przekroczył oficjalnie 45 milionów aktywnych użytkowników miesięcznie, wyłącza go na razie z bycia zaklasyfikowanym do wlotów, czyli platform internetowych wielkich, olbrzymich. Kiedy to nastąpi, będzie podlegał pod przepisy dyrektywy DSA, nakładającej na niego wiele nowych obowiązków, z którymi teraz jest na bakier. A to wcale nie jest odległą w czasie perspektywą. A może to po prostu walka z systemem? Z badań przeprowadzonych na Rosjanach wynika... Nie, to nie będzie żaden suchy żart, choć nie powiem. A więc wynika, że ponad dwie trzecie społeczeństwa czerpie wiedzę o świecie z Telegrama. Dla porównania, mniej niż połowa Rosjan korzysta regularnie z VKontakcie, gdzie nieprzychylne władze treści znikają bardzo sprawnie. Z Telegrama raczej niewiele znika, chyba, że FSB osobiście dotrze do autora wspomnianych treści. Czy to oznacza, że Durov i Telegram stają okoniem rosyjskim władzom? Może to tak wyglądać. Dla kontekstu, jeżeli ktoś nie wie, to właśnie Durov był twórcą również VKontakcie, czyli takiego rosyjskiego klonu Facebooka. W 2014 roku publicznie odmówił udostępnienia Kremlowi danych użytkowników portalu zaangażowanych w antyrosyjskie protesty w Ukrainie czy zablokowania konta nawalnego w serwisie. Odmowa współpracy oznaczała, że serwis ten został efektywnie przejęty przez rosyjskie władze. Durov zrezygnował wtedy ze stanowiska prezesa i wyjechał z Rosji. Rozpoczął na emigracji w Dubaju pracę nad następcą VKontakcie, który miał być odporny na zakusy władzy. Jakiejkolwiek. I tak powstał Telegram. No, przynajmniej tak głosi oficjalna legenda. No tylko, że nie jest to do końca prawda. Kiedy niemieccy śledczy sprawdzili adres Telegrama, to okazało się, że w Dubaju jest po prostu puste biuro. Na recepcji przez trzy lata nie widziano nikogo, kto by z niego korzystał. Prawdziwe biuro ma rzekomo znajdować się niezmiennie w Sankt Petersburgu, co potwierdził jeden z byłych pracowników firmy. Zresztą o pracownikach w ogóle to niewiele wiadomo. Jest ich jedynie około trzydziestu, co Durow przyznał ostatnio w wywiadzie z Tukerem Carlsonem. Tak, tym Tukerem Carlsonem. A warto wiedzieć, że Durow wywiadów raczej nie udziela. Wrzuca jedynie pojedyncze treści na Telegrama, czy rzadziej na Insta. No ale wróćmy do pracowników. To bardzo hermetyczne środowisko. Mają oni rzekomo zakaz obecności na LinkedInie, więc stalkowanie ich stanowi nie lada problem. Wśród nich jest brat Pawieła, Nikołaj, odpowiadający za technologiczne aspekty Telegrama. Nic dziwnego, że przy tak małej liczbie pracowników nie mają czasu odpowiadać regulatorom i służbom. Ta liczebność składu, przedstawiona przez Durowa jako zaleta i dowód na niesamowitą wydajność firmy, cyberbezpiecznikom zapala czerwoną lampkę. Wydaje się niemożliwym walczenie z atakami, szczególnie w skali np. krajowych grup APT, taką załogą. A dane zebrane przez Telegrama są dla wszystkich łakomym kąskiem. Nie ma co się oszukiwać. Nieco później, po rzeczonym wywiadzie, rzecznik prasowy doprecyzował, że chodziło o 30 deweloperów, a firma zatrudnia jeszcze drugie tyle osób w ramach głównego zespołu. To jednak nadal nie wydaje się wystarczającym zespołem, gdyby stosować wszystkie dobre praktyki bezpieczeństwa. Cofnijmy się jednak w czasie do 2018 roku. Durow przebywa rzekomo na emigracji, kiedy w Rosji wchodzi w życie prawo nakazujące podsłuchiwanie komunikacji obywateli. Dotyczy ono także Telegrama. Jednak Durow nie ma zamiaru się podporządkować. Odmówił udostępnienia kluczy i wglądu w korespondencję terrorystów, którzy zaatakowali metro w Sankt Petersburgu. Został zmuszony do tego wyrokiem rosyjskiego sądu, jednak odmówił jego wykonania. Kreml rozpoczął więc próby blokowania komunikatora, które jednak nie były zbyt owocne. Przestawało działać wszystko inne, a Telegram jak działał, tak działał. Durow postawił się rosyjskim służbom. Ale czy na pewno? Ciężko uwierzyć, że mógłby śmiać się rosyjskim władzom latami w twarz, będąc w jawnej opozycji do Kremla i jego służb. Prędzej niż później wypadłby za to z jakiegoś okna, nawet będąc daleko od Moskwy. Tym bardziej jest to wątpliwe, bo Durow miał też rzekomo podróżować do Rosji wielokrotnie, jakieś 60 razy już po przejęciu w kontakcie. Trzeba przyznać, że jest to informacja dostarczono anonimowo, więc ufać jej należy na własną odpowiedzialność. Choć potwierdza ją niezależnie niedawny wyciek z bazy danych FSB związanej z kontrolą rosyjskich granic. Jeżeli to prawda, a na razie nic temu nie przeczy, sporym nadużyciem byłoby stwierdzenie, że Durow nie miał się co w Rosji pokazywać, bo walczył z systemem. Gdyby FSB miało z nim napięku, to podróże na pewno nie byłyby możliwe. Manifest o niewracaniu do Rosji można wsadzić między bajki. Nie chwalił się też tymi wizytami publicznie. Jedyna przerwa w odwiedzinach miała miejsce w trakcie, kiedy telegrama oficjalnie próbowano w Rosji blokować po braku zgody Durowa na udostępnienie danych użytkowników władzom. Durow wielokrotnie twierdził, że nie jest to możliwe w architekturze telegrama, bo klucze znajdują się jedynie na urządzeniach rozmówców, a nie są przechowywane na serwerach telegrama i ten nie ma do nich wglądu. W 2020 roku coś jednak się zmieniło, bo Reml doszedł do porozumienia z telegramem i zaprzestał jego blokowania. Powodem podobno miała być zgoda telegrama na zwalczanie treści ekstremistycznych i terrorystycznych na swojej platformie. Jednak telegram zaprzecza, jakoby do jakiegokolwiek porozumienia doszło i miała to być decyzja całkowicie po stronie rosyjskich władz, które wolały linię o współpracy niż przyznanie się do technologicznej porażki. Durow znów pojawił się w Sankt Petersburgu i znów regularnie bywał od tej pory w Rosji. Służby na pewno wielokrotnie próbowały wywrzeć na niego wpływ dokładnie w ten sam sposób, w jaki robiły to w przypadku w kontakcie. Czy w jakiś sposób się dogadali? Wiele wskazuje na to, że tak. W trakcie protestów mających miejsce na początku tego roku w jednej z rosyjskich republik, Bashkorstanie, wyglądało na to, że FSB było w stanie wykorzystać dane pozyskane z telegrama do ich tłumienia. Służbom udało się go też lokalnie wyłączyć, tak jak Whatsappa, co zaprzecza tezie, że nie umieją tego robić. Ba, krajom o znacznie słabiej rozwiniętych technologiach blokowania treści w internecie, jak choćby Kubie, jakoś się to udawało, więc jakim cudem Ruscy mają nie dawać sobie z tym rady? Walczą od niedawna przecież też z sygnalem i to z niezłym skutkiem. Facebooka też zablokowano bez większych problemów i bez VPN-a nie jest dostępny. A telegrama jakoś aktualnie omijają blokady. Podobne wiadomości dochodzą z Ukrainy, gdzie ukraińscy dziennikarze raportowali, że po byciu zatrzymanymi przez rosyjskie wojsko w trakcie przesłuchań cytowano im ich usuniętą wcześniej korespondencję, wymienianą wiele tygodni wcześniej przez telegrama. To nie jedyne takie doniesienia. W Rosji protestujący przeciwko inwazji na Ukrainę też mogli w trakcie przesłuchań przez FSB usłyszeć dokładne cytaty ze swoich prywatnych rozmów. Blokowano też boty na kanale Nawalnego czy innej opozycji w trakcie wyborów do Dumy w 2021 roku. Niedawno też ocenzurowano kanał z informacjami dla żołnierzy szukających sposobu na dezercję z frontu na wojnie w Ukrainie. Czy to oznacza, że telegram przekazał te informacje władzy? Niekoniecznie. Dane te mogły zostać pozyskane również z wykorzystaniem narzędzi pokroju Pegasusa, czyli takich, którymi wykrada się dane bezpośrednio z telefonów ofiar. Aplikacja, z której się wtedy korzysta, nie ma żadnego znaczenia. I tak wpadną w ręce służb. To niewykluczony scenariusz i w sumie nawet całkiem prawdopodobny. Ale być może o blokowaniu telegrama tylko głośno się mówi, a niewiele w tej sprawie robi? Przedstawiciele Roskomnadzor potwierdzali w różnych wywiadach, że pracownicy telegrama zaczęli współpracować z organami państwa. Z samym Durowem podobno też udało się wypracować odpowiedni i satysfakcjonujący wszystkich kompromis. A może po prostu rosyjskie służby nauczyły się go używać w celu siania propagandy tak wewnątrz, jak i na zewnątrz kraju i zyski z tego znacznie przewyższają ewentualne zagrożenia? Czy po prostu buduje się obraz walczącego z reżimem, aby po cichu podglądać i kontrolować? Bo telegram to w sumie największy sukces rosyjskiego startupu. Wykorzystywany jest nie tylko w świecie ruskiego miru, warto o tym pamiętać. Ma sporą społeczność na całym globie, przede wszystkim w Indiach czy Ameryce Południowej. Mimo licznych starań o nie bycie kojarzonym z Rosją, nie ma się co czarować. Pochodzi z Rosji, ma rosyjskich deweloperów, biura i serwery są w Rosji. Co zresztą jest prawnym wymogiem, kiedy przetwarza się dane rosyjskich obywateli. Niektórzy tytułują go wręcz najlepszą bronią rosyjskiego wywiadu. Tylko czy są ku temu podstawy? Rąbka tajemnicy uchylają m.in. wycieki korespondencji Durowa z Wladislawem Surkowem, jednym z rosyjskich polityków stojących za planami inwazji na Ukrainę jeszcze z czasów, kiedy Wikontakcie należało do Durowa. Przyznaje w niej, że współpracują z FSB, dostarczając wszystkie wymagane informacje o użytkownikach platformy. Podkreśla, że nie warto blokować ruchów opozycjonistycznych, ponieważ lepiej, gdy komunikują się one z wykorzystaniem narzędzi, do których ma się wgląd. Ewentualne blokady oznaczałyby odejście tych, których chce się podglądać na zachodnie platformy, gdzie byłoby to niemożliwe. Nie wszyscy jednak mają tak pragmatyczne podejście. Kiedy irańskie władze zażądały zablokowania kanałów opozycji, Durow przychylił się do ich prośby. Czy w przypadku podobnych żądań demokratycznych krajów dotyczących kanałów przestępczych Telegram postępuje tak samo? Jak się okazuje, czasem tak, ale bardzo, bardzo rzadko. Niemcom udało się wywrzeć odpowiednio silną presję i Telegram zablokował wiele kanałów ekstremistów, a serwis udostępnił punkt kontaktowy dla niemieckich służb. Choć początkowo nie wiedzieli nawet, dokąd wysłać wezwania, bo spółka operowała adresami z różnych krajów podatkowych. Podobnie ma się sprawa w Indiach, gdzie Telegram udostępnił sądowi najwyższemu adresy IP, numery telefonów i loginy osób podejrzanych o naruszenie prawa autorskiego i dzielących się nielegalnie podręcznikami akademickimi. Zresztą warto też skupić się na finansach. Większość przychodów Telegrama pochodzi z Rosji, choć szczegółowe finanse spółki są tajemnicą. I co warto podkreślić, Telegram nie przynosi zysku, a przepala naprawdę poważne ilości gotówki w coraz zresztą szybszym tempie. Szacunkowo kwoty te mogą już osiągnąć łącznie ponad pół miliarda dolarów. Durow pokrywał podobno wszystkie koszty z własnej kieszeni środkami pozyskanymi ze sprzedaży w kontakcie, ale gdzieś są limity, kiedy hajs się kończy. Powstał więc pomysł kryptowaluty o nazwie Gram opartej o blockchain Ton, czyli Telegram Open Network. Miała ona służyć do przesyłania środków pomiędzy użytkownikami aplikacji czy dokonywania drobnych zakupów. Biorąc pod uwagę potencjalny rynek wszystkich użytkowników Telegrama, sukces był praktycznie murowany. Zebrano naprawdę sporo siana od inwestorów, w tym rosyjskich oligarchów i nawiązano nawet współpracę z niemieckim operatorem płatności Wirecardem. Dodajmy, nie działającym już operatorem, bo zniknęło im skąd w dziwnych okolicznościach jakieś dwa miliardy euro. Ogromny międzynarodowy skandal sprzed paru lat. Ale wróćmy do krypto, bo z tej współpracy, co chyba nikogo nie dziwi, nic nie wyszło. Tak jak zresztą wtedy z projektu Ton, bo pomysł ten nie spodobał się tak amerykańskiej SEC, która zakwestionowała jego legalność, jak i rosyjskim służbom. I całe zebrane, solidne finansowanie na jakieś dwa i pół miliarda dolarów trzeba było zwrócić inwestorom. Z nawiązką. Pomysł na sfinansowanie biznesu poprzez krypto legł więc w gruzach. Niedługo później jednak rosyjscy politycy zaczęli sugerować zniesienie zakazu korzystania z Telegrama, malując go jako realną alternatywę, nawet dla komunikacji rządu na wypadek kryzysu. Durov oczywiście temu przyklasnął, podkreślając, że dopracowali metody wykrywania i usuwania ekstremistycznej propagandy i są teraz w stanie przeciwdziałać atakom terrorystycznym na całym świecie. Oczywiście z poszanowaniem prywatności swoich użytkowników, a jakże. Roskomnadzor zdecydował więc o zdjęciu blokady. Na jakich warunkach? Nikt nie chce tego ujawnić. Służby chwaliły jednak gotowość Durova do zwalczania terroryzmu i nawet sam Putin potwierdził, że władza doszła do porozumienia z Telegramem i wszystko działa git. Zaczęło się więc pozyskiwanie finansowania w bardziej klasyczny sposób od inwestorów wierzących w pomysł. Durov zebrał niecały miliard dolarów, głównie za pośrednictwem Rosyjskiego Państwowego Banku VTB, choćby od oligarchów znajdujących się w bliskim otoczeniu Kremla oraz przez powiązane z nimi spółki czy fundusze. A wiele z tych osób objętych jest europejskimi sankcjami. Telegram wyemitował też obligacje, którymi obrót odbywa się na giełdzie w Sankt Petersburgu. Kierował więc swoją ofertę głównie do Rosjan, ale trafili się też klienci z innych części świata, m.in. ze Zjednoczonych Emiratów Arabskich. Telegram znów stał się pupilkiem Kremla i wskazywano go jako ogromny, międzynarodowy, rosyjski sukces, gdzie swoje oficjalne kanały prowadzą teraz nawet rządowe agencje, co wcześniej było zakazane. Od momentu rosyjskiej napaści na Ukrainę więzy te wydają się tylko zacieśniać. No ale inwestycje inwestycjami, każdy startup musi kiedyś dorosnąć i zacząć w końcu generować zyski. Stąd na platformie pojawiły się niedawno reklamy, podobnie jak możliwość płatnej subskrypcji pakietu premium. Przychody z obu źródeł jednak wydają się totalnie nie przestawać do obecnie ponoszonych comiesięcznych kosztów, bo składają się na nie nie tylko koszty operacyjne, ale też oprocentowanie od wyemitowanych obligacji w niemałej kwocie setek milionów dolarów rocznie. Analitycy szacują, że bez zewnętrznych inwestycji Telegram nie jest w stanie się utrzymywać. A mimo tego jakoś działa. Durov przyleciał do Paryża z Baku, stolicy Azerbejdżanu, gdzie rzekomo miał nalegać na bezpośrednie spotkanie z Putinem. Do spotkania oficjalnie nie doszło. Zaraz po opuszczeniu samolotu na podparyskim lotnisku zatrzymano go pod licznymi zarzutami. Współudziału w przestępstwach narkotykowych, handlu ludźmi, wykorzystywaniu nieletnich czy prania brudnych pieniędzy, za co grozi mu jakieś 20 lat więzienia. Czy Durov był tym zaskoczony? Cóż, wątpię. Dobrze wiedział, że jest na liście poszukiwanych. Albo więc był to jedynie spektakl i oddał się dobrowolnie w ręce francuskiego wymiaru sprawiedliwości, albo też ktoś zapewnił go, że do zatrzymania nie dojdzie. Zresztą aresztowanie Durova malowane jest przez wiele osób jedynie w kategoriach zamachu na wolność słowa. Osobiście nie zgadzam się z tą oceną. Po pierwsze, wolność słowa nie oznacza, że nie ma żadnych konsekwencji wypowiedzi czy czynów. Po drugie, działając na jakimś rynku, w tym przypadku francuskim czy szerzej unijnym, należy podporządkować się jego prawom. I można uważać je za głupie, idiotyczne, a nawet się z nimi nie zgadzać i słusznie je zwalczać. Nie ma to żadnego znaczenia. Nadal trzeba się do nich dostosować, bo niezrobienie tego oznacza konsekwencje. Sprawa poruszyła szeroko społeczność, bo wypowiedzieli się w niej już chyba prawie wszyscy. Nawet prezydent Francji, Emmanuel Macron. Podkreślił on, że Francja stoi na straży wolności słowa i w tej kwestii nic się nie zmieniło. Po prostu prawo dotyczy wszystkich i ten, kto je narusza, musi liczyć się z konsekwencjami swoich czynów. Zresztą o tym decydują sądy, a nie opinia publiczna. Sprawa jego zdaniem nie ma nic wspólnego z polityką, a jest efektem prowadzonego śledztwa. Odpowiedział mu Elon Musk w zadziwiająco wyważonym jak na siebie tonie, pytając po prostu o powody zatrzymania. Większość komentarzy to jednak wylewanie wiadra pomyj od oskarżeń o faszyzm po zwykłe stwierdzenia, że Francja nie ma wolności słowa wcale. Tylko jak jest naprawdę? Śledztwo w sprawie toczyło się od lipca i to początkowo nawet nie względem stricte Durowa. W jakiej sprawie, zapytacie? A no, trochę ich jest. Stworzenie platformy umożliwiającej nielegalne transakcje przez zorganizowane grupy. Odmowa przekazania informacji i dokumentów koniecznych do przeprowadzania zgodnych z prawem operacji wywiadowczych. Posiadanie dziecięcej pornografii oraz umożliwienie wymiany takimi treściami. Pozyskiwanie, transport, posiadanie, oferowanie oraz sprzedaż substancji narkotycznych. Udział w zorganizowanej operacji oszustw, pranie pieniędzy, import oraz udostępnianie usług i narzędzi kryptograficznych zapewniających poufność bez odpowiednich deklaracji. I jeszcze parę innych. Ogólnie i w dużym skrócie chodzi przede wszystkim o brak odpowiedniej moderacji nielegalnych, przestępczych treści, w tym głównie pedofili, a także niechęć do jakiejkolwiek współpracy w tym zakresie. Bo Telegramowi bliżej jest do ubogiej protezy Darknetu, gdzie ludziom wydaje się, że są anonimowi, niż do zwykłego komunikatora. Przynajmniej jeśli wziąć pod uwagę, w jaki sposób jest często wykorzystywany. W chwili nagrywania tego materiału wiemy już, że Durowowi zostały oficjalnie postawione zarzuty. Także zatrzymanie to nie było tylko w sprawie, ale potwierdza się, że jest w niej podejrzanym. Uruchomiono też kolejne śledztwo przeciwko niemu w sprawie rzekomej przemocy wobec jednego z jego setki dzieci, kiedy razem przebywali wspólnie w Paryżu. Sąd ustalił kaucję w kwocie 5 milionów euro, którą Durow zapłacił, a więc został zwolniony z aresztu. Ma zakaz opuszczania Francji i musi meldować się na posterunku dwa razy w tygodniu, jak jakiś pospolity złodziejaszek. Dowiedzieliśmy się też przy okazji, że służby tak Francji, jak i Zjednoczonych Emiratów Arabskich wspólnie włamały się na iPhona należącego do Durowa w 2017 roku w ramach operacji Purple Music. Miała ona związek z rekrutowaniem przez ISIS nowego narybku terrorystów właśnie przez Telegrama. Nie ma też mowy o ekstradycji, bo Durow jest francuskim obywatelem. Obywatelstwo uzyskał trzy lata temu w niezbyt jasnych okolicznościach. Miał w tym swój udział prezydent Macron, wielki fan i użytkownik Telegrama, który zaprosił Durowa na kolację w 2018 roku. Tak, już po przeprowadzeniu wspomnianej akcji Purple Music. Macron miał zaproponować przeniesienie biura Telegrama do Francji, jednak propozycja nie trafiła na podatny grunt. Skończyło się jedynie dodatkowym paszportem w kolekcji Durowa. Zatrzymanie Durowa rozeszło się szeroko nie tylko po europejskich mediach, ale również po rosyjskiej militarnej blogosferze. Stan ten można nawet nazwać lekką paniką. Dlaczego? Bo Telegram jest szeroko wykorzystywany tak przez rosyjską armię, jak i różnorakie służby, co podkreślają sami Rosjanie na każdym kroku. Również do komunikacji w kwestii działań ofensywnych czy nawet na wysokich szczeblach organizacyjnych. I oficjalne zakazy w tej kwestii nic nie dają. Nawołuje się więc do jak najpilniejszego stworzenia jakiejś wojskowej alternatywy, malując nawet obraz, że wyłączenie Telegrama w praktyce sparaliżowałoby rosyjskie wojsko. To pewnie przesada, ale w sumie też dość zabawna wizja, nie powiem. Osiągnięto więc przy okazji efekt propagandowy. Zasiano wątpliwości wśród rosyjskich oficjeli. Odpowiedzi do ataku ruszyli ruscy hakerzy wandale, blokując dostęp do serwisów internetowych francuskiej instytucji odpowiedzialnej za cyberbezpieczeństwo zajmującej się sprawą Durowa. Zresztą nie tylko jej. Bo przecież nic nie pokazuje siły tak jak atak Didos, prawda? O sprawie poinformował też oficjalnie Telegram, a jak na swoim kanale na Telegramie oraz na Twixerze. Twierdzą, że stosują się do europejskiego prawa, w tym do Digital Services Act, a moderacja na platformie nie odstaje od standardów stosowanych przez inne konkurencyjne podmioty. Podkreślają, że aresztowanie prezesa platformy w związku z udostępnianymi na niej treściami jest nie lada absurdem. Głos zabrał też znany szeroko i czysty jak łza bojownik o wolność słowa, Siergiej Ławrow. Jego zdaniem zatrzymanie Durowa ma na celu uzyskanie dostępu do treści rozmów prowadzonych przez Telegrama, a tym samym potwierdza to jego bezpieczeństwo. Niezły fikołek, nie powiem. Chyba zapomniał, bo pamięć mi rusza, jak nawoływał do jego zablokowania w Rosji. Z Rosji nadszedł też list otwarty autorstwa Aleksieja Neczewa, lidera jednej z partii politycznych wchodzącej w skład koalicji popierającej Wladimira Putina. Nawołuje on do wsparcia i żąda natychmiastowego uwolnienia Pawieła Durowa w związku z absurdalnymi zarzutami. Powołuje się oczywiście na wolność słowa i francuską konstytucję. Adresatem korespondencji jest m.in. Marine Le Pen, liderka skrajnie prawicowej francuskiej partii wiązanej wielokrotnie z rosyjskimi wpływami. Cóż, wybór ten pewnie nie był przypadkowy. Czy to dobrze, że Durow został aresztowany? Moim zdaniem nie. Taka meta nie zachowuje się jakoś wybitnie lepiej. Nie jest to jednak powód do aresztowania Zuckerberga. Przynajmniej na razie. Bo czy Telegram odpowiada za całe złotego świata? No nie, no i naiwnością byłoby tak sądzić. W wielu miejscach na świecie rzeczywiście jest realną alternatywą pozwalającą na nieco bezpieczniejszą komunikację opozycji czy dysydentów. Jak choćby Hongkongu, Brazylii, czy swego czasu w Ukrainie, czy Białorusi. Ale to wcale nie oznacza, że Durow powinien być pokazywany w tej sytuacji jako jakiś cierpiętnik i bojownik o wolność i prywatność wszystkich mieszkańców tej pięknej planety, bo po prostu nim nie jest. To niebezpieczny precedens i zobaczymy, dokąd nas zaprowadzi. Obawiam się, że wcale nie w lepsze miejsce. Co robić i jak żyć? Przede wszystkim nie używaj Telegrama. Robiąc to oddajesz ogromną ilość danych firmie, której ciężko zaufać. Nie wiesz też, co z tymi danymi dzieje się dalej. I już nawet nie chodzi o jakieś niebywałe sekrety, którymi wymieniasz się ze swoimi znajomymi. Korzystanie na Twoim telefonie z aplikacji Telegrama pozwala jej właścicielom budować i analizować grafy powiązań pomiędzy osobami, co może naprawdę sprawnie zdradzać tożsamość osób, które chcą pozostać anonimowe. Nawet tych nie korzystających z aplikacji, a po prostu będących w książkach adresowych innych. Nie twierdzę, że to robią, ale w ich architekturze jest to po prostu technicznie możliwe. A to wystarczający argument przeciw. Ich działania na przestrzeni lat rodzą zdecydowanie więcej pytań niż odpowiedzi, szczególnie w kontekście celów spółki. Zbierane przez nich metadane ujawniają też nawiki nasze i naszych rozmówców, godziny aktywności czy lokalizacje. Te jednostkowo nieważne rzeczy, zebrane w ogromne zbiory powiązanych ze sobą danych, potrafią ujawniać naprawdę cenne informacje o całych społeczeństwach. A chyba nie chcemy, aby trafiały one w ręce rosyjskich służb, nawet jeżeli to tylko podejrzenie. I nie, nie chodzi o to, że masz używać sygnala, bo jest taki boski. Możesz mu nie ufać. W sumie nawet nie powinieneś ufać na słowo nikomu i niczemu w internecie. Zwyczajnie możesz też nie chcieć wiązać swojego numeru telefonu z jakąś usługą. Masz do tego pełne prawo. Są po prostu inne rozwiązania, np. taki Simplex, ale na któlu nie używaj telegrama, bo to po prostu nie jest bezpieczny komunikator. Korzystaj z czegoś, co zostało stworzone w oparciu o zasady szanujące prywatność swoich użytkowników. Czegoś, gdzie nawet administrator serwera usługi nie ma technicznej możliwości czytania Twoich wiadomości, bo po prostu jesteś tego wart. Tak samo, jak jesteś wart przygotowanego przeze mnie szkolenia z bezpiecznej komunikacji, które już niedługo pojawi się na mojej platformie UczMnie.pl. Tam wszystkie takie wątpliwości omówię zdecydowanie szerzej. A teraz wróćmy do rzeczy. Biorąc pod uwagę kontekst, naprawdę dziwi nasilający się ostatnimi czasy szeroki trend dyskredytowania Signala. Elon Musk, niegdyś jego wielki orędownik, zmienił swoje zdanie na jego temat o 180 stopni. Owszem, zadawanie pytań nie jest niczym złym, ale na fali wszelkich wątpliwości, które zresztą moim zdaniem nie przekreślają dorobku Signala, zbudowano kampanię stawiającą naprzeciw niego telegrama jako rzekomo zdecydowanie lepszą alternatywę, co, chyba się ze mną zgodzicie, jest zwyczajnym wprowadzaniem społeczeństwa w błąd. Celowo, czy też nie. Czy więc zakazać telegrama całkiem? No, nie szedłbym tak daleko. Szczególnie, że jest on cennym źródłem wiedzy dla wielu badaczy. Pozwala on na wgląd z zewnątrz w aktualne rosyjskie nastroje i lokalne wiadomości, co jest nieocenionym źródłem informacji dla Zachodu w trakcie wojny w Ukrainie. Nawet jeżeli treści tam publikowane, to w większości pusta propaganda. A tak a propos, projekt kryptowaluty telegrama, to on przetrwał jednak próbę czasu i działa. Pojawiają się głosy, że jest ona wykorzystywana m.in. przez rosyjskie elity do obchodzenia zachodnich sankcji. Ciekawe, czy to prawda. No, ale to już materiał na zupełnie inną opowieść. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia.