Dlaczego bot ABW na Telegramie to kiepski pomysł

ABW uruchomiła chatbota na Telegramie, przez którego można zgłaszać m.in. przypadki dywersji/sabotażu i próby werbunku. (źródło)
Pomysł na ułatwienie kontaktu ze służbami sam w sobie jest sensowny. Tylko że przy sprawach wrażliwych liczy się nie tylko „żeby było szybko”, ale żeby kanał był zaufany. A Telegram – szczególnie w formie bota – jest wyborem, który to zaufanie potrafi skutecznie podkopać.

Poniżej przedstawię krótką opinię dlaczego to fatalny pomysł.




1) Telegram ma E2EE tylko w „Secret Chat”. Zwykły czat i rozmowa z botem to co innego

Wiele osób wrzuca Telegram do jednego worka „bezpieczne komunikatory” i zakłada, że każda rozmowa jest szyfrowana tak, że nikt po drodze jej nie zobaczy. I tu jest pierwszy zgrzyt.

Telegram działa w dwóch różnych trybach:

  • Secret Chats – to specjalny, ręcznie uruchamiany tryb rozmowy 1:1, w którym Telegram deklaruje szyfrowanie end-to-end (E2EE). Innymi słowy: to jest ta „najbardziej prywatna” opcja, którą ludzie mają w głowie, gdy mówią „Telegram jest szyfrowany”. (źródło)

  • Zwykłe czaty (Cloud Chats) – to domyślna forma rozmów, z której korzysta większość użytkowników na co dzień. To nie są Secret Chats, więc nie jest to ten sam model prywatności. (źródło)

I teraz najważniejsze w kontekście bota ABW: boty na Telegramie nie działają w Secret Chats, czyli rozmowy z botem nie da się w ogóle przenieść do trybu E2EE. Telegram pisze to wprost w dokumentacji identyfikatorów czatów dla botów („official instance of the bot API does not support secret chats”). (źródło)

Dlatego rozmowa z botem o werbunku czy sabotażu to bardziej rozmowa o ważnych rzeczach w zatłoczonym tramwaju: niby mówisz „do kogoś konkretnego”, ale nie masz tej pewności i komfortu, jaki daje kanał end-to-end. (źródło)

2) Zostają ślady – i jest też „ciemna strona konta”, której zwykły użytkownik nie widzi

Nawet jeśli nikt nie „czyta treści”, zostają metadane: kiedy pisałeś, z jakiego konta, z jakiego urządzenia i sieci. Telegram w polityce prywatności opisuje, że może zbierać metadane takie jak adres IP, informacje o urządzeniu i aplikacjach Telegrama, historia zmian nazwy użytkownika i że (jeśli są zbierane) mogą być przechowywane do 12 miesięcy.

Do tego dochodzi to, co fachowcy potocznie nazywają „ciemną stroną konta”: pakiet informacji, które w pewnych scenariuszach mogą zostać powiązane z użytkownikiem – są to dane „głębsze” o których pisać nie mogę ale proszę mi wierzyć że pozwalają na pełną identyfikację użytkowników.

 Tu ważne jest nie to, kto na pewno to zbiera, tylko fakt, że przeciętny użytkownik nie ma jak tego łatwo sprawdzić – a w sprawach o werbunku czy sabotażu taki brak pewności działa jak hamulec ręczny.

3) Boty są świetne — ale nie wtedy, gdy wpycha się je w Telegrama

Żeby było jasne: bot jako narzędzie to dobry pomysł. W wielu systemach (banki, urzędy, helpdeski) boty działają świetnie, doskonale sprawdzają się też na Ukrainie bo:

  • prowadzą człowieka „za rękę” i ograniczają chaos w zgłoszeniu,

  • wymuszają podstawowe dane (co, gdzie, kiedy),

  • skracają czas i zdejmują z ludzi barierę „nie wiem, co napisać”.

Problem nie jest więc w samym bocie. Problem jest w tym, że tutaj bot został wstawiony na platformę, która z definicji budzi wątpliwości i tworzy dodatkowe ryzyka.

Bo boty mają swoje typowe słabe punkty, a Telegram je potęguje:

  • Bot widzi wszystko, co mu wyślesz — Telegram opisuje, że dane trafiają do twórców bota przez wiadomości i interakcje.

  • Bot może otrzymywać wiadomości w prywatnych czatach — Telegram wyjaśnia to w Bots FAQ.

  • Podszycia i phishing — „oficjalny bot” staje się magnesem na klony i fałszywe „wsparcie”, a ludzie klikają szybciej, bo „przecież to ABW”.

  • Błędy po stronie operatora — logi, kopie zapasowe, złe konfiguracje serwera, wyciek tokena. Wystarczy jeden taki błąd i robi się problem dla zgłaszających.

  • Brak E2EE dla botów (o czym było w punkcie 1) sprawia, że rozmowa nie ma tej „ostatniej warstwy spokoju”, która w takich tematach jest kluczowa.

Czyli: boty są okej, ale do zgłaszania spraw o werbunku i sabotażu sens mają boty uruchomione w kanałach, które ludzie postrzegają jako bezpieczne i przewidywalne — a Telegram z tym przegrywa.

4) Największy problem: zaufanie. No bo kto poważny poda szczegóły ABW na Telegramie?

W wielu środowiskach Telegram ma opinię miejsca „wysokiego ryzyka” w kontekście rosyjskim. I nawet jeśli ktoś będzie się spierał, ile w tym faktów, a ile emocji — praktyczny efekt jest jeden: ludzie się boją.

Ukraina ograniczyła użycie Telegrama na urządzeniach służbowych, a Reuters opisywał tę decyzję jako związaną z obawami o rosyjskie szpiegowanie (Telegram temu zaprzeczał). (źródło)

I teraz lekko ironicznie, ale serio: jaki poważny człowiek — ktoś z pracy wrażliwej, ktoś kto realnie widzi próbę werbunku — ma wysyłać szczegóły ABW przez Telegrama, jeśli w jego głowie siedzi „prawie 100% pewności”, że te dane trafią „tam gdzie nie trzeba”? Nieważne nawet, czy to przekonanie jest w 100% uzasadnione technicznie — ważne, że ono istnieje i będzie blokować zgłoszenia od tych, którzy mają najwięcej do stracenia.





5) Świąteczne podsumowanie z przymrużeniem oka

Jeśli hasło brzmi: „Zgłaszaj dywersję i werbunek — szybko i anonimowo — przez bota na Telegramie”, to część ludzi usłyszy:
„Świetnie. To jeszcze dorzucę PESEL,  adres, zdjęcie piernika i plan mieszkania, żeby było kompletnie.”

W sprawach bezpieczeństwa państwa „nowoczesność” nie polega na tym, że jest bot. Polega na tym, że obywatel naprawdę czuje: to jest kanał, któremu mogę zaufać.
A Telegram-bot — jakkolwiek wygodny — wygląda raczej jak prezent, który ładnie wygląda pod choinką, ale po rozpakowaniu brakuje najważniejszego elementu: pewności, że zgłoszenie nie obróci się przeciwko zgłaszającemu.

Wesołych i bezpiecznych — także cyfrowo. 🎄




Podsumowanie video:





Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Socjotechnika wobec mundurowych: wojna o głowy w czasach social mediów i operacji hybrydowych

Obraz
Zanim ktoś podłoży ładunek pod torami, zanim wypchnie kolejną grupę ludzi na płot, zanim wyśle trolli do rozwalania debaty w Polsce – dużo wcześniej pojawi się coś banalnego: zaproszenie do znajomych, DM ( Direct Message - wiadomość prywatna wysyłana bezpośrednio do kogoś w social mediach) na LinkedInie, wiadomość na Messengerze, match na Tinderze. To właśnie tam, w twoim telefonie i w twoim feedzie, zaczyna się spora część współczesnej wojny hybrydowej i wojny kognitywnej. A mundurowy – żołnierz, funkcjonariusz, żołnierka, funkcjonariuszka – to dla wielu graczy (w tym Rosji i Białorusi) cel o wysokiej wartości. Mundurowy w sieci – cel z bonusem Z punktu widzenia napastnika nie jesteś „kolejnym użytkownikiem internetu”. Jesteś kimś, kto: widzi od środka , jak naprawdę działają procedury, patrole, granica, ochrona torów, konwoje, symbolizuje państwo  – to, co powiesz „po służbie”, łatwo sprzedać jako „głos służb” albo „prawdę z dołu”, nosi w sobie emocje  – zmęczenie, wkurzenie...
Czytaj więcej

Wojna kognitywna na granicy polsko‑białoruskiej: migracja jako broń, social media jako pole bitwy, a polscy żołnierze w centrum ataku

Obraz
Do napisania tego artykułu sprowokowały mnie ostatnie wydarzenia na granicy polsko-białoruskiej oraz całkowita bierność (pomimo upływu lat oraz wojny przy naszej granicy) naszego państwa w infosferze. Nasze działania przypominają boksera, który w narożniku próbuje ustać pod naporem uderzeń, od czasu do czasu tylko starając się wyprowadzić cios, który trafia w próżnię. Granica Polski z Białorusią to nie strefa kryzysu migracyjnego – to pole regularnej wojny hybrydowej, której celem jest podważenie spójności państwa i destabilizacja regionu. Mińsk, wspierany przez Moskwę, prowadzi działania, które idealnie wpisują się w definicję  wojny kognitywnej : manipulowanie informacją, emocjami i percepcją społeczną. Migranci stali się bronią. Social media – głównym polem bitwy.  A polscy żołnierze i funkcjonariusze Policji i Straży Granicznej?  Oni są dziś jednym z głównych celów ataków psychologicznych. To konflikt bez tradycyjnej linii frontu, ale jego skutki są równie groźne – od...
Czytaj więcej

Bitwa o uwagę: algorytmy rekomendacyjne jako broń informacyjna

Obraz
Wprowadzenie Wojna kognitywna to jedna z najnowszych i najbardziej subtelnych form konfliktu. Jej celem nie jest fizyczne zniszczenie przeciwnika, lecz przejęcie kontroli nad jego umysłem – emocjami, percepcją i decyzjami. W tym starciu najważniejszą areną są dziś media społecznościowe, a głównym orężem stały się  algorytmy rekomendacyjne . Pierwsze sygnały, że manipulacja tymi algorytmami może stać się narzędziem przewagi, pojawiły się już kilkanaście lat temu. Dobitnym przykładem była  operacja „Kylo” ( na temat operacji Kylo przeczytasz tutaj ) , która unaoczniła, że sterowanie mechanizmami rekomendacyjnymi pozwala nie tylko wzmacniać własne narracje, ale też skutecznie marginalizować przekaz przeciwnika. Od tamtego momentu stało się jasne, że  ten, kto opanuje sztukę manipulacji algorytmami, zyskuje przewagę strategiczną  – zdolność kształtowania świadomości mas na skalę globalną. Dominacja nad tymi mechanizmami oznacza dziś kontrolę nad strumieniem uwagi społecz...
Czytaj więcej