V neděli 26. srpna 2024 byl v Paříži francouzskými úřady zadržen CEO společnosti Telegram Pavel Durov. Podle zpráv souvisí Durovovo zatčení s probíhajícím vyšetřováním jeho údajného zapojení do několika závažných trestných činů a s tím, že odmítl vyhovět žádostem francouzských vyšetřovatelů o poskytnutí údajů.

Není to poprvé, co byl závazek zakladatele Telegramu k ochraně soukromí komunikací zpochybněn orgány činnými v trestním řízení. Již v roce 2018 se ruské úřady pokusily Telegram zablokovat poté, co Durov odmítl poskytnout FSB přístup k požadovaným údajům.

Jak ale může generální ředitel společnosti pomáhat agenturám, když jsou data uživatelů Telegramu šifrována end-to-end a jsou soukromá?

V tomto článku bude vysvětleno, proč Telegram není tak bezpečný, jak je prezentován, a budou vysvětleny mechanismy, které umožňují odmítat žádosti o data uživatelů. Bude také popsáno, jakou roli může hrát při vyšetřování, pokud je analyzován pomocí digitálních forenzních nástrojů, jako je například Belkasoft X.

Zabezpečení aplikace Telegram

Mnoho lidí předpokládá, že veškerá komunikace v aplikaci Telegram je chráněna šifrováním end-to-end. Ve skutečnosti toto bezpečnostní opatření nabízí pouze část funkcí služby Telegram. „Tajné chaty“ si skutečně vyměňují informace ve formě, kterou lze dešifrovat pouze na dvou zařízeních účastnících se chatu, a jsou uloženy výhradně na těchto zařízeních. Tato funkce je však dostupná pouze v mobilních aplikacích Telegramu a neexistuje žádná ekvivalentní možnost pro „tajné skupinové chaty“.

Finding the “secret chat” option in the Telegram app is not that easy

Většina uživatelů Telegramu obvykle komunikuje v pravidelných „cloudových chatech“, které se ukládají na serverech společnosti. Takové chaty používají jiný druh šifrování známý jako šifrování klient-server / server-klient. Tato architektura chrání data Telegramu před útoky typu man-in-the-middle a zabraňuje třetím stranám, včetně speciálních agentur, zachytit a číst vyměňované zprávy. Mohou však přesto získat přístup k datům uloženým na serverech Telegramu?

Podle stránky s nejčastějšími dotazy messengeru jsou všechny informace o uživateli uloženy také v šifrovaném formátu. Navíc jsou rozprostřeny ve více datových centrech v různých jurisdikcích a dešifrovací klíče jsou rozděleny a nikdy nejsou uloženy společně s daty. Toto nastavení téměř znemožňuje schválení žádostí o údaje uživatelů. Jaké možnosti jsou tedy k dispozici při vyšetřování trestných činů souvisejících s aplikací Telegram?

Forenzní analýza služby Telegram v cloudu

Ve skutečnosti mohou vyšetřovatelé při vyšetřování trestných činů nebo soudních řízeních stahovat a zkoumat data uložená v cloudu Telegramu. Tento proces vyžaduje SIM kartu majitele účtu a v případě, že je povoleno dvoufaktorové ověřování (2FA), i příslušné heslo. Data v cloudu sice neobsahují „tajné chaty“ (protože ty jsou dostupné pouze v zařízeních), ale poskytují celou historii „cloudových chatů“ a vyměněných souborů uživatele. Další informace o tom, co lze a co nelze z cloudových dat Telegramu získat, najdete v předchozím článku „Forenzní analýza Telegramu: Začínáme.“

Akvizice služby Cloud Telegram s Belkasoft X

Přístup k datům účtu Telegram a jejich stahování z cloudu není vždy možné. Uživatelé mohou vytvářet účty pomocí jednorázových SMS služeb, virtuálních čísel nebo čísel cizích zemí, která nelze dohledat podle jejich identity, nebo dokonce anonymních účtů v blockchainu. Vyšetřovatelé mohou rovněž čelit problémům, pokud není k dispozici heslo 2FA.

Forenzní analýza aplikace Mobile Telegram

Zařízení, kde je uživatel přihlášen ke svému účtu Telegram, mohou poskytnout cennější informace pro vyšetřování. Pokud jsou v zařízení k dispozici „tajné chaty“, mohou je digitální forenzní nástroje získat spolu s dalšími údaji. Data ze zařízení obvykle obsahují také nedávné příspěvky na kanálech, které mohou být zajímavé, pokud tyto kanály souvisejí s nezákonnou činností.

Získání dat Telegramu z mobilního zařízení vyžaduje přístup k souborovému systému zařízení, což je možné pouze prostřednictvím pokročilých metod získávání dat z mobilních zařízení, které jsou k dispozici v digitálních forenzních nástrojích. Získané údaje však mohou být neúplné. Vzhledem k tomu, že Telegram využívá cloudové úložiště, nemusí uživatelé uchovávat všechny vyměňované soubory ve svých zařízeních. Mohou aplikaci nakonfigurovat tak, aby automaticky odstraňovala soubory uložené v mezipaměti po uplynutí určitého období nebo po dosažení limitů úložiště.

Může digitální forenzní software obnovit smazané zprávy Telegramu z mobilních zařízení? Odpověď zní: záleží na tom. Telegram používá k ukládání dat zpráv v zařízeních se systémy iOS a Android databáze SQLite a je známo, že tento formát uchovává některá smazaná data v transakčních souborech po omezenou dobu.

Databáze iOS Telegram s transakčními záznamy v prohlížeči SQLite společnosti Belkasoft X

Některé texty zpráv mohou zůstat zachovány i v databázích oznámení. Obecně platí, že čím dříve jsou data zařízení po smazání zprávy zkopírována, tím větší je šance na obnovu. Některé položky, například odstraněné „tajné chaty“ a zprávy v nich, však obvykle obnovit nelze.

Forenzní analýza Telegramu v počítačích

Telegram se obvykle používá na počítačích prostřednictvím webových prohlížečů nebo aplikace Telegram pro počítače, která je k dispozici pro systémy MacOS, Windows a Linux. Zatímco webová verze obvykle zanechává jen minimální stopy v mezipaměti, desktopové aplikace mají větší potenciál poskytovat cenné důkazy.

Například v počítačích se systémem macOS lze artefakty Telegramu zpřístupnit v souborovém systému. Oproti tomu forenzní analýza na počítačích se systémem Windows je složitější a často vyžaduje analýzu paměti RAM, aby bylo možné získat co nejkomplexnější data.

Pokud již vyšetřovatelé mají přístup ke cloudovým datům a datům z mobilních zařízení, je nepravděpodobné, že by zkoumání počítače uživatele poskytlo další jedinečné podrobnosti. Aplikace pro stolní počítače však stále může odhalit cenné důkazy, jako jsou vyměněné mediální soubory nebo vzory přihlašování uživatelů.

Forenzní analýza Telegramu

Telegram je rozsáhlá platforma pro zasílání zpráv, která nabízí různé komunikační funkce včetně hovorů, individuálních chatů, skupin a kanálů. V těchto nastaveních mohou uživatelé sdílet textové zprávy a mediální soubory, video a audio zprávy, dokumenty a statická nebo živá místa.

Platforma také umožňuje uživatelům vytvářet soukromé a veřejné boty komunikující s interními zdroji a externími databázemi nebo programy. Například bot Wallet umožňuje uživatelům nakupovat kryptoměny a vyměňovat kryptoměnové transakce s jejich kontakty.

Belkasoft X zobrazující kryptoměnové transakce uživatele Telegramu provedené pomocí bota Wallet

Záznamy Telegramu odhalují cenné informace a poskytují stopy o kontaktech, interakcích, finančních transakcích, poloze a životních zvyklostech uživatelů.

Zatímco data z cloudu Telegramu mohou poskytnout kompletní profil uživatele, data získaná z mobilních zařízení umožňují vyšetřovatelům odhalit to, co se uživatelé mohou snažit skrýt, například koncové šifrované konverzace a soukromé kanály.

Závěr

Závazek Telegramu k ochraně soukromí představuje pro vyšetřovatele výzvu, zejména vzhledem k end-to-end šifrování určité komunikace a bezpečné distribuci uživatelských dat napříč různými jurisdikcemi. Některá jeho technická řešení však vyšetřování spíše pomáhají, než aby mu bránila.

Pokročilé digitální forenzní nástroje, jako je Belkasoft X, nabízejí účinná řešení pro stahování dat Telegramu z cloudu a jejich extrakci z elektronických zařízení. Tyto nástroje rovněž poskytují forenzně spolehlivé prostředí pro analýzu dat a odhalení cenných informací, které mohou podpořit vyšetřování.

Originální článek najdete Zde.

WordPress Appliance - Powered by TurnKey Linux