Анализ безопасности Telegram

Аватар пользователя Дед Маздай

В этой статье мы рассмотрим Telegram в целом, поговорим об используемом протоколе и проведем сравнение с другими аналогичными продуктами.

Авторы: Hayk Saribekyan (hayks@mit.edu), Akaki Margvelashvili (margvela@mit.edu)

Аннотация

Telegram представляет собой платформу для обмена мгновенными текстовыми сообщениями на базе протокола безопасности MTProto. Компания была основана в 2013 году, а сам мессенджер на данный момент имеет более 100 миллионов активных пользователей. Одна из главных целей Telegram – защита пользователей от слежки. Утверждается, что у этого мессенджера наилучшая защита на рынке и железобетонные гарантии безопасности среди приложений подобного рода. В этой статье мы рассмотрим Telegram в целом, поговорим об используемом протоколе и проведем сравнение с другими аналогичными продуктами. Кроме того, мы воспользуемся утечкой, связанной с доступностью пользователей, с целью обнаружение временных интервалов, когда два абонента разговаривают друг с другом.

Введение

За последнее десятилетие, по мере того как все больше и больше людей получают доступ к интернету, возрастает популярность приложений для обмена мгновенными сообщениями. По состоянию на май 2017 года 2 из 5 наиболее загружаемых Android-приложений используются для обмена мгновенными сообщениями [1].  За последние годы пользователи коммуникационных протоколов, в том числе связанные со службами обмена мгновенными сообщениями, становятся все более озабоченными относительно своей безопасности. С целью удовлетворения этих потребностей многие платформы стали предоставлять сквозное (оконечное) шифрование [2, 3]. Например, в WhatsApp сквозное шифрование появилось 3 года назад, и на данный момент эта функция используется во всех коммуникациях. Этот мессенджер имеет наибольшее количество пользователей, пользующихся сквозным шифрованием.

Telegram – еще одна служба, связанная с обменом мгновенными сообщениями, которая была основана в 2013 году. Несмотря на свою молодость, на данным момент ежемесячно Telegram используют более 100 миллионов пользователей, особенно в Западной Европе. Создатели Telegram утверждают, что у этого мессенджера наилучшая защита среди аналогичных продуктов на рынке, однако в целом доверие пользователей основывается лишь на истории появления этого приложения и таланте разработчиков. Мы поставили задачу проанализировать безопасность Telegram [4], поскольку этот мессенджер находится под непрерывной критикой многих специалистов по криптографии из-за неоднозначных решений, используемых разработчиками.

В этом разделе мы поговорим об истории Telegram и пользовательском интерфейсе. В разделе 2 будет описана архитектура Telegram. В разделе 3 описываются предыдущие проблемы, найденные в Telegram. В разделах 4 и 5 рассматриваются раскрытые уязвимости, связанные с безопасностью в Telegram. В разделе 6 мы рассмотрим текущие проблемы в Telegram и сделаем выводы.

История появления Telegram

Среди других технологических стартапов Telegram занимает особое место, вследствие чего получил повышенное внимание и доверие со стороны пользователей, и мы считаем, что полезно будет затронуть историю появления этого мессенджера.

Telegram был основан в 2013 году братьями Николаем и Павлом Дуровыми, которые были основателями популярной российской социальной сети Vkontakte. После давления со стороны российских властей на предмет получения специфических возможностей (или специальных лазеек для государственных органов) Дуров покинул компанию и заявил, что VK находится под контролем политической партии, находящейся у власти [5]. Затем Дуров покинул Россию и основал Telegram с целью предоставления средства обмена мгновенными сообщениями для простых пользователей, которое было бы защищено от слежки представителями государственных структур.

Благодаря популярности Павла Дурова в России, Telegram быстро завоевал популярность среди русскоязычной аудитории. Кроме того, по факту Telegram предоставляет наиболее удобное средство по сравнению с аналогичными продуктами за счет своей скорости и функциональности.

Протокол, используемый для обмена сообщениями, был разработан братом Павла Николаем, который является математиком, но малоизвестным специалистом по безопасности.

Telegram – уникальное явление среди технологических стартапов, в том числе благодаря тому, что Павел Дуров является единственным спонсором этого проекта. Кроме того, в Telegram отсутствует реклама, а сам клиент – не только бесплатный, но и с открытым исходным кодом.

Функциональность Telegram

Telegram позволяет обмениваться текстовыми и голосовыми сообщениями, а также общаться в группах. Кроме того, у этого мессенджера есть каналы, на которые пользователи могут подписываться и получать сообщения от создателя канала (обычно новостного веб-сайта или знаменитости).

Telegram также имеет функцию под названием «секретный чат», которая не включена по умолчанию. Секретные чаты доступны в версии Telegramа со сквозным шифрованием. Сообщения удаляются по прошествии определенного времени, устанавливаемого пользователем, и не могут быть восстановлены. Разработчики Telegram решили не включать сквозное шифрования по умолчанию с целью удобства: секретные чаты связаны с конкретными устройствами, и невозможно продолжить разговор там, где не был начат разговор. Мы не считаем, что такое положение вещей является бесспорным. Многие обычные пользователи полагают, что никто не может получить доступ к сообщениям, хотя по факту просто доверяют безопасности сервера.

Пользователи Telegram могут создавать учетные записи и выполнять авторизацию при помощи аутентификационного кода, получаемого в виде текстового сообщения. После первоначальной авторизации пользователи могут выполнять настройки и искать друг друга. У Telegram также есть функция двухфакторной верификации, если есть желание вводить пароль во время каждого входа в учетную запись.

Клиенты Telegram

У Telegram есть клиенты под все популярные платформы, включая веб-приложения. На Рисунке 1 показана Desktop- и Android-версия. Официальные клиенты идут с открытым исходным кодом, хотя есть и бинарные блобы (то есть исполняемые бинарные файлы без доступных исходных текстов).
clip_image002.png
Рисунок 1: Официальные клиенты Telegram. Слева: мобильная версия, справа: desktop-клиент. Все официальные клиенты имеют открытый исходный код. Пользовательский интерфейс Telegram довольно быстрый и удобный

У Telegram также есть возможность работать с командной строкой [6], обладающей практически полным функционалом платформы, хотя и не очень удобной для использования. Например, для добавления контакта нужно ввести следующую команду:

tg> add contact <phone number> <name> <lastname>

Во время исследования безопасности Telegram мы часто пользовались командной строкой.

2. Архитектура Telegram

Как и многие аналогичные приложения Telegram следует традиционному подходу и использует облако для хранения данных. То есть, если злоумышленник сможет получить контроль над сервером, то получит (как минимум) доступ к незашифрованным сообщениям и ко всем метаданным. Обмен сообщениями между пользователями и сервером происходит на базе собственно разработанного протокола MTProto.

Пользователи обмениваются информацией по методу Диффи-Хеллмана для создания общего ключа, который затем используется при передаче сообщений. Коммуникация с сервером осуществляется при помощи публичного RSA-ключа, который прописан внутри клиента Telegram и меняется достаточно редко.

Telegram используется протокол собственной разработки MTProto, который не использует множество традиционных подходов при обмене сообщениями. Создатели Telegram утверждают, что подобный подход используется с целью улучшения производительности, однако у многих экспертов по безопасности на этот счет есть большие сомнения.

3. Известные и исправленные проблемы

Как все компании с технологическим уклоном, у Telegram были, есть и будут уязвимости, связанные с безопасностью, и нестандартные проблемы, которые имеют косвенное отношение к безопасности. Мы расскажем о некоторых из этих проблем, а в последствии рассмотри более подробно один из таких случаев.

3.1 Проблемы нетехнического характера

На концептуальном уровне у Telegram есть несколько нестандартных решений, которые, как мы полагаем, не должны быть частью протокола безопасности. А конкретно:

  • Функция сквозного шифрования не используется по умолчанию [7]. По этой причине большинство технически неискушенных пользователей используют Telegram без функции секретного чата и считают, что сообщения шифруются. Без секретных чатов, по сути, пользователи должны доверять серверам Telegram.
  • Telegram использует криптографический протокол MTProto собственной разработки, что уже неоднократно подвергалось критике. Общая доктрина безопасности говорит о том, что разработчикам не следует изобретать велосипед в криптографической части, а доверить проектирование криптографического протокола экспертам. Те, кто исследовал этот протокол, также имеют скептическое мнение. Специалист по криптографии Мэтт Грин высказал следующее: «Telegram имеет 10 миллионов деталей, которые поддерживают единичный неавторизованный обмен ключами по методу Диффи-Хеллмана». [8]
  • Telegram изначально запрашивает список контактов с телефона/компьютера и хранит полученную информацию на сервере. То есть на серверах хранится огромна база контактов, которая может стать целью для атаки или быть попросту продана властям без ведома пользователя. Это еще один пример, когда пользователи должны доверять безопасности серверов Telegram.

3.2 Проблемы, связанные с технической безопасностью

  • Группа исследователей в 2015 году анонсировала схему атаки на Telegram типа «челове-посередине», которая может быть осуществлена властями конкретного государства. Атака связана с генерированием общих секретов по методу Диффи-Хеллмана для двух жертв, имеющих одинаковый 128-битный визуальный отпечаток, и пользователи, которые сравнивают отпечатки, не смогут обнаружить атаку. При реализации атаки «дней рождения» потребуется всего лишь 264 операции. С того момента количество битов, используемых в отпечатках, значительно увеличилось, однако в целом проблема остается актуальной. Чтобы проверить ключи и предотвратить MITM-атаки, пользователи должны визуально сравнить сетку квадратов с четырьмя оттенками синего. Здесь сразу же всплывает человеческий фактор. Во-первых, пользователь может не заметить едва различимых отличий между сетками. Во-вторых, у пользователя вообще может не быть желания возиться со сравнением сеток.
  • До 2014 года протокол MTProto использовал модифицированную версию схему обмена ключами по методу Диффи-Хеллмана [9]. Вместо генерации ключей при помощи стандартного протокола на базе алгоритма Диффи-Хеллмана, сервер отсылал пользователю ключ, обработанный операцией XOR вместе с произвольным числом (nonce). Сей факт позволяет фальшивому серверу использовать различные nonce-переменные для двух пользователей, в результате чего будет один и тот же ключ, но который будет известен серверу. Повторимся еще раз: пользователи должны доверять серверу Telegram. Несмотря на то, что этот вопрос был решен, одно только присутствие этой проблемы вызывает массу вопросов относительно компетенций разработчиков Telegram в области безопасности, поскольку проблема чрезвычайно проста.
  • В некоторых частях протокола при хешировании вместо SHA-256 используется алгоритм SHA-1, который, как известно, неустойчив к коллизиям [10]. Создатели Telegram утверждают, что SHA-1 используется в тех частях протокола, где устойчивость к коллизиям не принципиальна, однако все же более сильная хеш-функция была бы уместнее. История не раз доказывала, что бреши и неучтенные моменты – довольно распространенное явление.
  • Даже при использовании секретного чата, мобильная версия Telegram позволяет третьей стороне просматривать информацию о метаданных. Например, злоумышленник может узнать, когда пользователи выходят в онлайн и уходят в оффлайн вплоть до секунд. Telegram не требует соглашения от обоих сторон для установления коммуникации, и злоумышленник может подключиться и получить информацию о метаданных без ведома пользователя. Кроме того, у злоумышленника есть хороший шанс обнаружить, общаются ли два пользователя между собой посредством подключения и анализа метаданных на обоих концах провода. Мы назвали эту проблему «утечка доступности». Более подробно этот вопрос будет рассмотрен в разделах 4 и 5.

Как показывают предыдущие примеры, во многих случаях пользователи Telegram должны полностью доверять безопасности сервера, что немного иронично, поскольку изначальной целью основателей Telegram было создание продукта, защищенного от слежки. Даже несмотря на то, что многие уязвимости, связанные с безопасностью, были устранены, некоторых найденных проблем не должно было быть изначально.

4. Эксплоит для обнаружения доступности пользователей

Как было упомянуто в предыдущих разделах, Telegram передает информацию о доступности каждому, у кого есть телефонный номер нужного пользователя. Предположим, Ева добавила Алису в список контактов. В этом случае протокол Telegram не оповещает Алису об этом событии. В свою очередь Ева начинает регулярно получать информацию о том, когда Алиса использует Telegram, а Алиса все также не получает никаких оповещений.

clip_image004.png
Рисунок 2: В командной строке выводится имя пользователя, если тот использует Telegram. В противном случае ничего не выводится

Проблема, связанная с утечкой, легко обнаруживается в командной строке Telegram, как показано на Рисунке 2.

Более того, на Рисунке 3 показано, что Ева может видеть, что Акакий и Хайк выходят в онлайн и уходят в оффлайн. Затем Ева может сопоставить временные интервалы и сделать вывод, что Акакий и Хайк общаются между собой. В следующих разделах будет рассказано, как можно использовать эксплоит для обнаружения того, что два пользователя разговаривают друг с другом.

4.1 Постановка эксперимента

Для отслеживания использования Telegram и коммуникаций мы выбрали 15 активных пользователей среди международных студентов Массачусетского технологического института. Таким образом, мы знали, что студенты общались между собой на ежедневной/еженедельной основе.

Для подключения к пользователям мы использовали командную строку Telegram. Для отслеживания и сбора метаданных был выделен специальный сервер. В итоге было собрано несколько мегабайт необработанных метаданных для последующего анализа.

4.2 Алгоритм корреляции

Мы создали алгоритм корреляции, которые анализирует информацию об использовании Telegram двумя пользователя и выводит последовательность совпадений, где каждое совпадение представляет собой временной интервал с вероятностью того, что пользователи общаются между собой (вероятность всегда не менее 0.5).

clip_image006.png
Рисунок 3: Ева отслеживает активность Хайк и Акакия и может сказать, когда каждая персона появлялась в онлайне. Обратите внимание на проблему: разница между появлением в онлайне и уходом в оффлайн составляет примерно 5 минут

На базе полученных метаданных на каждого пользователя была создана последовательность временных интервалов активности отсортированных по времени. Алгоритм находит совпадения по двум пользователям, общающихся между собой, на базе последовательностей временных интервалов.

clip_image008.png
Рисунок 4: Диаграмма, иллюстрирующая основные концепции алгоритма корреляции

Утверждается, что два активных временных интервала Алисы и Боба соединены (см. фиолетовые стрелки на рисунке выше), если эти промежутки пересекаются в течение времени gap_time. То есть, два временных интервала пересекаются, если две точки пересечения находятся на расстоянии больше, чем gap_time. Этот допущение введено потому, что требуется время для открытия приложения после получения сообщения.

Теперь, рассматривая каждый активный временной интервал в качестве вершины и каждое соединение как ребро, мы получаем двухсторонний граф. В этом двухстороннем графе мы ищем связанные компоненты, которые имеют как минимум одно ребро. Если мы отсортируем активные временные интервалы в связанном компоненте, то увидим цепочку пересекающихся интервалов, в течение которых Алиса и Боб использовали Telegram. Каждая соединенная пара временных интервалов указывает на определенную вероятность того, что два пользователя общаются друг с другом. Цепочка соединенных интервалов значительно повышает шанс того, что Алиса и Боб общаются с друг с другом.
Каждый связанный компонент представляет возможную коммуникацию (во время которой происходит обмен сообщениями за относительно короткое время) между пользователями. Поскольку пользователь может оставить Telegram открытым (когда метаданные передаваться не будут), мы не принимаем во внимание размер активного временного интервала. Мы полагаем, что количество активных временных интервалов – наиболее важный показатель, поскольку пользователь, часто выходящий в онлайн и уходящий в оффлайн, скорее всего, активно использует Telegram.

Мы ввели коэффициент вероятности (likelihood coefficient), который определяет, насколько вероятно связанный компонент представляет собой коммуникацию между пользователями. Обратите внимание, ребро внутри связанного компонента, принадлежащее активному временному интервалу, которое соединено со многими другими вершинами, рассматривается как менее значимое по сравнению с ребром, концы которого не соединены с другими интервалами. По этой причине, вместо подсчета количества ребер в связанном компоненте, мы определили коэффициент вероятности как половину всех соединенных вершин внутри компонента. Таким образом, очень длинный активный временной интервал, который пересекает множество других интервалов не особо влияет на увеличение коэффициента вероятности.

Как только коэффициент вероятности рассчитан, вычисляем вероятность общения двух пользователей в течение промежутка времени внутри связанного компонента по следующей формуле:
clip_image010.jpg
Рисунок 5: Формула расчета вероятности общения двух пользователей

Идея заключается в том, что если коэффициент вероятности равен 0, то и вероятность общения тоже равна нулю. С другой стороны, каждая единица коэффициента вероятности увеличивает вероятность общения на половину. Альфа-множитель определяет степень влияния коэффициента вероятности на итоговую вероятность.

5. Результаты использования эксплоита

После реализации алгоритма, описанного выше, мы проанализировали метаданные, полученные сервером. Поскольку мы использовали Telegram во время работы сервера, то подстроили параметры на базе частоты нашей коммуникации и внесли некоторые коррективы.

Наиболее приемлемые значения: gap_time = 30 секунд, альфа-множитель = 1. При таких значения нам удалось отследить все коммуникации и не обрезать лишнего. Результаты показали, что количество ошибочных совпадений колеблется в районе 15%. Другими словами, иногда, когда два пользователя одновременно используют приложение, алгоритм работает некорректно.

clip_image012.png
Рисунок 6: Совпадения, найденные алгоритмом корреляции

clip_image014.png
Рисунок 7: Сообщения, соответствующие найденным совпадениям. Предпоследнее совпадение соответствует сообщениям, написанным в интервале от 23:31 до 23:35

6. Заключение

В этом проекте мы провели исследование мессенджера Telegram. Когда Telegram оформился как самостоятельная компания, то приобрел популярность, благодаря заявлениям создателей, доверием и удачным временем выхода (в то же время произошли утечки с подачи Сноудена). Если верить заявлениям создателей Telegram, можно подумать, что этот мессенджер обладает высоким уровнем безопасности. Однако наше исследование показывает, что у Telegram были серьезные и в тоже время простые проблемы в протоколе (например, модифицированный и уязвимый алгоритм обмена ключами по методу Диффи-Хеллмана), которые может обнаружить любой знающий эксперт по безопасности.
При помощи командной строки мы смогли подключиться к некоторым нашим друзьям, и обнаружить интервалы общения. Мы полагаем, что это серьезная проблема, связанная с утечкой персональной информации, которая может, например, помочь обнаружить, у кого из группы более тесные взаимоотношения.

Из всего вышесказанного можно сделать вывод, что Telegram, как и все другие продукты, имеет уязвимости, о которых пользователи должны знать. Однако, к сожалению, заявления компаний заставляют пользователей верить в то, что переписка защищена от прочтения третьей стороной.

Ссылки

[1] Android market app ranklist. http://www.androidrank.org/. Accessed: 2017-05-16.
[2] Secret conversations in facebook. https://www.facebook.com/help/ messenger-app/1084673321594605. Accessed: 2017-05-16.
[3] End-to-end encryption (whatsapp). https://www.whatsapp.com/faq/en/general/28030015. Accessed: 2017-05-16.
[4] Telegram. telegram.org. Accessed: 2017-05-16.
[5] Vkontakte founder pavel durov learns he's been _red through media. Accessed: 2017-05-16.
[6] Telegram messenger cli. https://github.com/vysheng/tg. Accessed: 2017-05-16.
[7] Operational telegram. https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a. Accessed: 2017-05-16.
[8] Matt green on twitter about telegram. https://twitter.com/matthew_d_green/status/582916365750669312. Accessed: 2017-05-16.
[9] Is telegram secure (russian). https://habrahabr.ru/post/206900/. Accessed: 2017-05-16.
[10] Shattered. https://shattered.io. Accessed: 2017-05-16.

Авторство: 
Копия чужих материалов
Комментарий автора: 

Это всё, что надо знать о "суперзащищённом" и "приватном" мессенджере Дурова, таком защищённом и приватном, что террористы и наркобарыги всего мира (если верить СМИ, хехе) пользуются только им. 

Комментарии

Аватар пользователя Згебдиг
Згебдиг(8 лет 4 дня)

Надеюсь наши спецслужбы Телеграм не применяли в служебной переписке. Потому как, если применяли, то атака РКН является попыткой избежать утечки. В пору задуматься о расследовании действий "американских хакеров" и составлении "особо секретного доклада" для Совета Федерации.

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

В спецслужбах идиотов не держат. Во всяком случае, будем надеяться... А вот чиновники, ЕМНИП, использовали. И не только "защищённый" Телеграм, но и насквозь дырявые поделия от филиалов АНБ. 

Аватар пользователя Згебдиг

А, вот с чиновниками наши спецслужбы недоработали - для обеспечения конфиденциальности связи, как минимум обеспечить чиновников служебными мобильными средствами связи в соответствующей сети. Куда смотрит ФАПСИ ?!

Аватар пользователя Отнюдь
Отнюдь(9 лет 1 месяц)

ФАПСИ нет с 2003 года, за СКЗИ отвечает ФСБ.

Аватар пользователя голос из Пустоты

<blockquote>
<p>с чиновниками наши спецслужбы недоработали</p>
</blockquote>

<p>Не уверен, что это входит в обязанности "спецслужб". Если в конторе принят определенный уровень секретности и неразглашения, и если служащий нарушает его, то тут всё очень просто. Причем к нарушению я бы отнес не просто пользование скайпами/телеграмами, но и даже просто пронос своих устройств на рабочее место и пользование этими устройствами в рабочих целях и смешивание рабочих целей с личными. Вон, в иранском ядерном центре центрифуги вывели из строя через комп, который даже не был подключен к интернету. Просто какой-то дятел сунул в него свою флешку и этого оказалось достаточно.</p>

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

В спецслужбах идиотов не держат.

Чё то сразу вспомнился автопарад выпускников Академии ФСБ несколько лет назад. С многочисленными фотками во всяких инстаграмах,фейсбуках и прочих вконтактиках.laugh

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Насколько помню, эти мажорчики  отправились следить за распространением исламизма среди белых медведей :)

Впрочем, что уровень падает - тут соглашусь. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Насколько помню, эти мажорчики  отправились следить за распространением исламизма среди белых медведей :)

Учитывая "уровень благосостояния" их родителей, позволю себе усомниться. 

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Возможно и такое... Но тогда точно придётся вызывать дух Железного Феликса, потому как, только ему под силу зачистить органы от заразы. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Неа, не под силу.

Года полтора назад прочитал на просторах интернета любопытный диалог:

"-Стране нужен Сталин!

-Нет. Стране нужны граждане, которым нужна страна."

А в России с этим сейчас напряг. Собственно, как и в любой капстране.

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Дух Железного Феликса можно воспринимать метафорически. Как символ человека, делающего своё дело, а не зарабатывающего бабки и место в пирамиде статусов. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Да я понял. Но, в таком случае, этот метафорический дух должен вселиться сразу во много-много народу. Иначе толку не будет. Хотя, есть пример Ли Куан Ю.smiley

Аватар пользователя Victor
Victor(11 лет 7 месяцев)

В 1905-м (трибуналами и расстрелами на месте) и в 37-м вселили.

В 1913 Россия стала мощнейшей державой мира, с которой сравнивают экономические показатели до сих пор. Ну, что было после 37-го и напоминать не надо - победа в ВОВ.

"Доброе слово" намного эффективнее для народа при присутствии револьвера. ИМХО

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

В 1913 Россия стала мощнейшей державой мира, с которой сравнивают экономические показатели до сих пор.

Извини, но, глупость сморозил. Дважды в одном предложении.

...и в 37-м вселили.

Сравнить Дзержинского и Ежова... "Это пять ящитаю"©

 

Аватар пользователя Victor
Victor(11 лет 7 месяцев)

Корежит от отечественных исторических примеров? - Берите иностранные, не возражаю. 1989 - площадь Тяньаньмэнь. И где теперь Китай?

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Корежит от отечественных исторических примеров?

Ась? 

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Ли Куан Ю хороший пример для нашего Темнейшего лишь в том плане, что пересажал своих друзей, желающих попилить. В остальном - ну на хрен такое счастье! Всё-таки, человеку нужно нечто иное, нежели комфортабельный концлагерь. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

В том то и дело, что никакой это не концлагерь, по факту. Я, врать не буду, думал так же как и ты, но, потом прочитал детальный разбор его решений, которые, со стороны, кажутся нелепыми. Оказалось, что он всего лишь учитывал местные реалии. Даже в таком деле, как запрет на домашние растения.smiley

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Не стоит сбрасывать со счетов особенности азиатской психологии. Они там, да, привыкли жить под тяжёлым сапожищем, и не имеют ничего против тотальной слежки и мелочной регламентации жизни. И пусть их живут, как хотят. но на нашу почву этот опыт переносить - это будет полный звиздец. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Да не в азиатской психологии дело, в основном. Я ж говорю - причины для ограничений были вполне житейские.

С теми же комнатными растениями всё просто - из за них в городе развелось море комаров, которые были переносчиками заболеваний, в частности - малярии. После введения запрета численность комаров снизилась очень резко. И так со всеми запретами и ограничениями. А уж про запрет на проезд личных автомобилей в центре города и говорить не приходится - лично я ЗА обеими руками.

Так что меньше слушай разных пропагандонов.

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Ага! А наши-то совки дремучие с малярией по старинке боролись. Болота осушали, комаров дустом травили, среди народа профилактику устраивали, медосмотры, лекарства новые разрабатывали... А надо было взять и запретить! 

Чует моё сердце, в Сингапуре тоже и осушали и травили и врачи не бездельничали. Только отчего-то, вспоминаются запреты. 

С мусором, конечно, они драконовскими штрафами, справились. Со жвачкой тоже. И целоваться на улицах запретили, дабы не оскорблять чувства верующих. Только вот, ЧСХ, и у нас срача на улицах я сейчас не вижу, даже в моём Мухосранске, жвачек тоже нигде не налеплено. И верующие ни на что не агрятся, наоборот, оскорбленцев кроют по матушке. А ведь никто не штрафует и не запрещает, и камеры на каждом углу не висят. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Ты бы про топографию государства Сингапур почитал, что ли. Что ты там осушать собрался? Жвачка, кстати, выплюнутая на асфальт в условиях тамошней жары становится реально проблемой.

Ну а веру я принципиально не трогаю, нуивонах.smiley

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Ну да, тащемта, в Сингапуре с пресной водой вообще проблема. Но травили-то комаров наверняка, не только запрещали. 

Жвачка и у нас тем ещё геморроем была. Хрен отдерёшь. Но мода прошла, и всё. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Комарам среду обитания в городе подрубили(влажная земля в горшках с растениями) и численность сократилась. До запрета никакие меры не помогали.

В общем, ты оцениваешь законы другого государства по реалиям местности, в которой проживаешь.

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Согласен, что в Сингапуре свои условия и разбирать тамошние законы по частным случаям - дело бесполезное. Другое дело - общая концепция тотального контроля и гипертрофированного патернализма, которую, ЧСХ, обожают наши "либералы". Типа, вот устроим тотален орднунг, тогда заживём кучеряво. Да ни хрена подобного! 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Это ж либералы, чего ты от них ожидал?

Аватар пользователя chem
chem(7 лет 11 месяцев)

Все мерседесы были арендованные. А понтогоны отправились нести службу на просторах России.

В европе аренда порше стоит вполне бюджетно. И ряд знакомых берет на пару дней. Почувствовать что оно такое.

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

То есть, ты считаешь, что мы именно об этот аспект обсуждали?

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Вопрос не в стоимости удовольствия (оно действительно, относительно по карману), а в самом факте выпендрёжа. Типа, новоявленные представители "элиты" показали холопам, кто в стране хозяин. Опричники хреновы, мать их за ногу! 

Я б вообще, за такое выгонял за профнепригодность, супермаркеты сторожить. Это обычной студоте такое позволительно, на худой конец, новоиспечённым армейским летёхам, но никак не гэбэшникам. 

Аватар пользователя Дядя Иштван2
Дядя Иштван2(6 лет 10 месяцев)

Вопрос не в выпендрёже как таковом, а в том, что будущие сотрудники спецслужб выложили свои фото на общедоступных сайтах. На радость "нашим зарубежным партнёрам". Если это не тупость в терминальной стадии, то я даже и не знаю...

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Потому как, если применяли, то атака РКН является попыткой избежать утечки

Какая связь?

Аватар пользователя Згебдиг

Связь очевидная - РКН госконтора, что и как она там блокировала нам неведомо. Т.о. допускаем, что РКН пыталась блокировать дальнейшее распространение возможной утечки.

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Да ну, бредовая идея.

Аватар пользователя Згебдиг

Так и я не всерьёз, но в каждой шутке есть доля шутки.

Аватар пользователя zap
zap(8 лет 4 месяца)

В данном случае доля равна 100%.

Если чойта и утекло, то уже бесполезно что-то блокировать.

Аватар пользователя голос из Пустоты

Не знаю какая связь, но, думаю, когда телега начала отваливаться, кто надо анализировал что делают эти "чиновники", и через что начинают "общаться".

Аватар пользователя pz_true
pz_true(12 лет 3 месяца)

У их небось свой мессенджер. Тот же джаббер, внутри vpn, достаточно надёжная штука.

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Это всё, что надо знать о "суперзащищённом" и "приватном" мессенджере Дурова, таком защищённом и приватном, что террористы и наркобарыги всего мира (если верить СМИ, хехе) пользуются только им. 

То есть пиар-кампания РКН направлена всего-лишь на выдавливание конкурента ТамТам с рынка. О чём и говорили.

Граждане, будьте бдительны! За разговорами о цифровом суверенитете и боротьбе с терроризмом скрываются финансовые интересы особ, приближённых к императору.

Аватар пользователя prior
prior(10 лет 7 месяцев)

ура! до вас дошло что все о деньгах, а не о каких то свободах слова. и учатся у американцев же.

Аватар пользователя Нехороший
Нехороший(8 лет 6 месяцев)

Я в этом сразу не сомневался. Только патриботы верещат про т.н. "борьбу с терроризмом". Терроризм и борьба с ним ведётся, конечно, но правильные люди под шумок на этом о бабле заботятся. Кому война, а кому мать родна. Олигархи во власти одинаково подлые ублюдки что у нас, что в залужье.

 
Аватар пользователя Weard
Weard(7 лет 1 месяц)

По моему, это вы верещите про борьбу с терроризмом. На самом деле причина проста - или ты соблюдаешь законы РФ, или не работаешь в РФ. И именно об этом говорят патриоты и я, в том числе.

Аватар пользователя zap
zap(8 лет 4 месяца)

 

таком защищённом и приватном, что террористы и наркобарыги всего мира (если верить СМИ, хехе) пользуются только им. 

То есть пиар-кам­па­ния РКН на­прав­ле­на всего-лишь на вы­дав­ли­ва­ние кон­ку­рен­та ТамТам с рынка. О чём и го­во­ри­ли.

"Л" - Логика. Хотя, скорее, "Ш" - шизофрения.

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

оказывается нешифрованные чятики не шифруются! сенсация! кто бы мог подумать

оказывается неанонимный мессенждер -не анонимный! срочно в номер

 

Что нового мы узнали из статьи? то что меесенджер использует нестандартные алгоритмы шифрования, в которых вероятно  есть ошибки. а может и нет.

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Это всего лишь квалифицированное обоснование (и не васянами из чятика, а специалистами по ИБ) того, что дуровское поделие тупо не дотягивает до нормальных стандартов безопасности. И что все сказочки о настолько безопасном мессенджере, что им могут пользоваться даже террористы, можно рассказывать лишь хипстоте и домохозяйкам. Отсюда вывод: к блокировке Телеги никакие террористы не имеют отношения. Вычислить и выловить оных, при желании, не составляет особого труда. 

Аватар пользователя Vaal
Vaal(7 лет 9 месяцев)

Чтобы без труда было, надо иметь доступ к серверам Телеграма, то бишь к его облаку. Дуров, как известно, в доступе ФСБ отказал, за что и бенит его РКН.

Логика проста, - внести сбои в работу (что уже имеет место), сократить таким образом число пользователей.

А среди оставшихся можно уже начать ловить рыбку, используя уязвимости, которые есть и будут. Но это совсем не "без труда".

Террористы пользуются им не потому, что Телеграм сверхзащищенный.

А как раз потому, что Дуров отказывается предоставлять доступ спецслужбам к облаку. Из-за политики компании.

Вотсап тот же вполне себе защищен. Но ключики спецслужбам раздает по требованию, в соответствии с законодательством.. Поэтому проблем с РКН не имеет.

Я лично считаю позицию Дурова глупой и вредной. Для общества в целом и для компании в частности. Либертирианец хреновый...

Аватар пользователя бывший
бывший(10 лет 7 месяцев)

то что меесенджер использует нестандартные алгоритмы шифрования, в которых вероятно  есть ошибки. а может и нет.

Если нестандартные - то ошибки скорее всего есть.

Слишком много всего надо сделать правильно, чтобы обмен был устойчив к атакам. А детские ошибки Телеги (типа того самого nonce) заставляют думать, что создатели протокола еще малоопытны в безопасности.

Аватар пользователя radicalmonkey
radicalmonkey(9 лет 10 месяцев)

Кроме того, можно брут форсом узнать телефон по нику.

https://habr.com/post/329982/

Т.е. ФСБ ничего не мешает иметь базу данных всех юзеров. Единственный способ анонимизироваться, это регистрировать телегу с анонимной симки, а пользоваться с другой. Но, во-первых, большинству это на фиг не надо, а во-вторых, можно приведенным в оригинальном посте способом вычислить круг общения абонента и сопоставить его с таковым в соцсетях. Вобщем, анонимность тут весьма призрачна. 

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Вот и я о чём. Туту даже анонимная симка не спасёт, потому как, Телега сливает на сервера слишком много. 

Единственный, по-настоящему безопасный мессенджер - это старый, добрый Jabber, с учётом OTR и использования заведомо надёжного сервера (возможно, своего собственного). 

Аватар пользователя Rashad_rus
Rashad_rus(12 лет 9 месяцев)

Я столько раз ломал аккаунты к Жабе и сами сервера, что ни о какой надежности не может идти речь...

Аватар пользователя Дед Маздай
Дед Маздай(8 лет 6 месяцев)

Сломать, при желании, можно всё, что угодно, даже нефритовый жезл с титановыми шарами :) Речь идёт о возможности действительно конфиденциального общения и нормального (а  OTR ещё никто не скомпрометировал) шифрования. 

Оно, конечно, p2p было бы намного лучше, но все реализации пока либо глюкавы, либо неудобны. 

Страницы