-=
add-on =-
памятка инвестору про "самый защищённый-приватный-безопасный.."
https://habr.com/ru/post/456908/20 июня 2019
Как Telegram сливает вас Ростелекому... Как же так вышло? Мы решили поинтересоваться у Павла Дурова, через его же Telegram-аккаунт.
Что из этого вышло? Не то, чего мы ожидали от одного из создателей «самого безопасного мессенджера».
12 июня 2019 года мы решили написать Павлу Дурову на его аккаунт в Telegram
..Писали мы с конкретной целью:
Выяснить, как же так вышло, что данные российские конторы являются пирами Telegram, а также чтобы понять, не вредит ли это безопасности инфраструктуры мессенджера. Понятный и адекватный вопрос, на который без труда можно было ответить, если бы не было чего скрывать. Правда?
Скриншот сообщения в переписке с Дуровым
После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.
Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.
Позднее выяснилось, что переписки на данном аккаунте были чудесным образом удалены.
Самое интересное, что одно из сообщений о доступе сохранилось, и его я без зазрения совести предоставляю вам:
You have successfully logged in on desk.telegram.space via +42777. The website received your name, username and profile picture.
Browser: Chrome on Windows
IP: 149.154.167.78 (Netherlands)
You can press 'Disconnect' to disconnect desk.telegram.spaceWhois 149.154.167.0
Пара слов о telegram.space
А теперь несколько вопросов:
Почему к инфраструктуре Telegram напрямую подключен государственный провайдер Ростелеком?
Почему Павел Дуров начал этот цирк после прочтения сообщения, если ему действительно нечего скрывать?
Как мы можем доверять мессенджеру, в котором администратор сам проникает в ваш аккаунт после неудобного вопроса, используя свои инструменты администратора?
Вам решать, пользоваться ли данным мессенджером после всего этого.
Но, как мне кажется, есть то, что точно стоит сделать – попробовать добиться ответа от Дурова.
Если государственный провайдер имеет доступ к данным на серверах Telegram,
все слова Дурова о безопасности мессенджера – ложь, которой он прикрывал утечку информации прямо у вас на глазах.
Откуда нам знать, что у государства действительно нет ключей для сообщений, что хранятся на серверах? После того, что произошло, никто из нас в этом не уверен.
Comments
FreeManOfPeace 20 июня 2019 в 14:17
А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона? А касательно телеграма я давно сделал определённые выводы
https://c0r0van13r.dreamwidth.org/2588.htmlЯ считаю что все популярные мессенджеры так или иначе под колпаком у каких либо спецслужб, и прочих заинтересованных лиц. А если кто то хочет реальной безопасности, то есть такие вещи как
Jabber+OTR, Tox, Ricochet и т.п., они как минимум имеют
открытый исходный код. А ещё лучше, вообще не использовать для таких задач общедоступные компьютерные сети, а если и использовать то делать это как можно более нестандартно.
https://c0r0van13r.dreamwidth.org/2588.html,
https://c0r0van13r.livejournal.com/2619.htmlизначально этот мессенджер позиционировался как мессенджер для западной аудитории в официальном клиенте даже русского языка не было.
Но так ли он приватен на самом деле, лично у меня есть следующие претензии к этому мессенджеру:
1. Закрытость серверной части, невозможно поднять свой сервер, как например в случае с Jabber. В принципе это можно объяснить тем что надо же как то монетизировать,
а если каждый хакер Вася сможет поднимать свою ноду то монетизация будет невозможна, как и централизованное введение новых фишек (что и объясняет непопулярность Jabber). Так что в закрытости нет ничего страшного, тем не менее как правило проекты которые предлагают приватность, такие как
Jabber, OTR, Tor, Tox и многие другие имеют полностью открытые исходники.2. У меня со входа требуют номер телефона, и никаких альтернативных вариантов.
Это основная причина почему меня там нет. Я вообще стараюсь избегать сервисов которые требуют номер телефона
..
3. Telegram блокировали, но недоблокировали.
Из-за блокировки почти двух миллионов адресов пострадали различные гражданские сервисы. Сообщается о сбоях в работе крупных ритейл-компаний, банков из топ-20, частных клиник.
Однако Telegram продолжил работать, при этом я откровенно не понимаю,
почему при всей масштабности блокировки не прибегнули к самому очевидному варианту - заблокировать SMS от Telegram, и все у кого включена двухфакторная аутентификация автоматом отвалятся, а у тех у кого не включена функционал будет урезан.
При этом большинство сайтов и сервисов блокируют "втихую", а про Telegram рассказали аж по первому каналу.
Не забывайте что
антипиар это тоже хороший пиар.
Роскомнадзор снова сел в лужу, или
Telegram не был основной целью этих блокировок?
4. Telegram и сам замечен за блокировками
Telegram блокирует около 70 связанных с ИГИЛ каналов в день
Я их ни разу не осуждаю за это, с террористами фанатиками надо бороться (но лучше бороться
с теми кто их финансирует), но тем не менее о полной свободе общения там речи уже быть не может.
+
Telegram больше не анонимен? Китайцы нашли способ вычислять пользователей мессенджера «Конфиденциальность телефонного номера в Telegram всегда была проблемой. Мы знали, что установка конфиденциальности телефона на "Контакты" позволит вашим контактам видеть ваш номер, поэтому активисты всегда просили людей ставить "Никто", ожидая, что их номер будет скрыт в общедоступной группе. До сегодняшнего дня мы не знали, что параметр "Никто" по-прежнему позволит пользователям, которые сохранили ваш номер телефона в адресной книге, сопоставить его с участниками публичной группы. Это удивило всех нас», — сказал Чу Ка-Чон, глава гонконгского интернет-общества и один из программистов, который подтвердил существование ошибки.
Как только эта новость разлетелась по сети, пользователи стали активно покидать группы, где проходит координация протестов. Часть обсуждений перешла в
Signal и Wire, но так как там нельзя создавать большие группы, все важные сообщения будут и дальше публиковаться через Telegram.
Представители компании заявили, что все настройки мессенджера работают так, как и заявлено в описании. Параметр «Никто» позволяет скрыть номер телефона только от тех, у кого его нет в списке контактов. По словам разработчиков, так работают все популярные мессенджеры, которые связаны с идентификацией по номеру.
https://hitech.newsru.com/article/29Apr2016/telegramhackГеоргий
Албуров и директор НКО "Образ будущего" Олег Козловский сообщили в своих микроблогах в Twitter, что в ночь на 29 апреля неизвестные получили доступ к их аккаунтам в мессенджере Telegram. При этом, по данным сервиса, вход произошел с одного и того же IP-адреса, зарегистрированного в Нью-Йорке.
Как пишет TJ, судя по опубликованному Албуровым скриншоту, вход в его аккаунт был осуществлен через необычный клиент под названием
TelegramCli ...
.. Комментируя ответ техподдержки Telegram,
сотрудничающий с ФБК IT-специалист Владислав Здольников предположил, что взлом стал возможен благодаря участию ФСБ, а отключение приема SMS на сим-карте Албурова было спланировано заранее, чтобы хакеры могли перехватить сообщение с кодом при помощи дубликата сим-карты.
Аналогичным образом был осуществлен и
взлом учетной записи Олега Козловского, о чем он написал на своей странице в Facebook, отметив, что
служба доставки SMS на его номер была отключена отделом технической безопасности МТС на два с половиной часа.
https://www.atraining.ru/telegram-mtproto-2-0-security-questions/...
Вопрос по алгоритму Диффи-Хеллмана-Меркля
Для генерации сессионных ключей выбран алгоритм Диффи-Хеллмана-Меркля, что неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”.
Алгоритм Диффи-Хеллмана-Меркля
уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда. Дабы не переписывать документацию на 100500 раз задокументированный протокол, оставлю здесь ссылку на русский вариант его подробного описания и буду в дальнейших рассуждениях предполагать, что вы по ней сходили.
..
алгоритм не просто уязвим, а
полностью беззащитен перед MitM.
..
Вопрос по исходным кодам
Исходники клиентской части Телеграма доступны, но тут вступает в силу основная проблема СПО.
От теоретической доступности исходников и продвижения тезисов вида
“а раз исходник доступен, то ясное дело – миллионы полупрозрачных экспертов постоянно вычитывают код и постоянно находят в нём уязвимости и сразу же что-то заметят” до практического аудита кода – пропасть. В реальности все просто ходят с флагом “а главное что исходники доступны”, но ничего не делают – ждут, пока кто-то другой будет разбираться.
Вопрос “насколько то,
что выложено на гитхабе, действительно является текущей версией Телеграм” – актуален. Вдобавок актуален вопрос “нет ли в коде буквально крохотных различий, благодаря которым сервера Телеграм
могут различить “свой стандартный” клиент и “то, что собрано из исходников”. Если так, то можно иметь идентичный протокол MTProto 2.0,
но при использовании “самосборного” клиента применять другую логику поведения со стороны сервера. Мы никак не можем это узнать,
т.к. сервер – “чёрный ящик”. Надо проводить полновесное исследование, сравнивая фактический машинный код и поведение у “обычного” телеграм-клиента и у собранного из исходников с гитхаба.
+
https://4pda.ru/forum/index.php?showtopic=717365 (в шапке по Ctrl-F)
