Как взломать Telegram и WhatsApp: спецслужбы не нужны

    На прошлой неделе общественность взбудоражила новость о возможной причастности спецслужб к взлому аккаунтов оппозиционеров в популярном мессенджере Telegram. На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб.

    Мы решили проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram. Для этого мы зарегистрировали тестовый аккаунт Telegram, обменялись несколькими тестовыми сообщениями:



    А затем мы провели атаку через сеть SS7 на один из тестовых номеров (подробнее о самих атаках мы писали ранее). И вот что у нас получилось:

    Сначала узнаем IMSI…





    Перерегистрируем абонента на наш терминал…



    Получаем профиль абонента…









    Завершаем процедуру перерегистрации абонента…



    Теперь номер жертвы под полным нашим контролем. Инициируем на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) — и получаем заветную SMS…



    После ввода кода мы получаем полноценный доступ к аккаунту Telegram. Теперь мы можем не только вести переписку от имени жертвы, но и прочитать всю переписку, которую клиент Telegram любезно подгружает (телефон справа имеет полную копию переписки телефона слева):



    Однако прочитать секретные чаты невозможно:



    Но можно создать новый — и переписываться от имени жертвы:



    После этого мы провели атаку по той же схеме на WhatsApp. Доступ к аккаунту мы конечно же получили, но так как WhatsApp (якобы) не хранит историю переписки на сервере, получить доступ к переписке, которая была ранее, не удалось. WhatsApp хранит backup переписки в Google Drive, поэтому для получения доступа к ней необходимо ещё взломать аккаунт Google. Зато вести переписку от имени жертвы, так что она не будет об этом знать – вполне реально:



    Выводы: уж сколько раз твердили миру, что передача одноразовых кодов посредством SMS — небезопасна, так как мобильная связь в целом небезопасна. Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрование радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. Стоит также отметить, что все тесты проводились с настройками по умолчанию, то есть в режиме, в котором работает большинство пользователей.

    Positive Technologies

    365,67

    Компания

    Поделиться публикацией
    Комментарии 242
      +24
      Для всех, кто ещё по каким-либо причинам не включил двухфакторную авторизацию: https://telegram.org/blog/sessions-and-2-step-verification
        +39
        Аутентификацию.
          +76
          Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.
            +8
            Но ведь это и правда очень разные вещи — авторизация происходит после аутентификации. Идентифицирует клиент сам себя, обычно, не спрашивая сервер ни о чём («Привет, я Вася/+79876543210»), аутентифицирует сервер клиента, запрашивая пароль/ключ/whatever («Чем докажешь, что Вася, тот самый Вася?»), а авторизует уже сам сервер, не спрашивая клиента («Так, вот васины письма, можешь брать»).
              0
              И двухфакторная авторизация тоже могла бы быть — например, предоставление двух типов прав (например, при первом логине получить сначала права на вход в личный кабинет, а потом и к услугам, связанным с ним, возможно даже оффлайновым).
                +2
                Двухфакторная авторизация есть в YouTube, когда для просмотра некоторых роликов нужно залогинится, а потом ещё и подтвердить, что есть 18 лет. :-)
                  –1
                  Тут нет двух разных факторов
                +6
                Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет. Ну разве что какой-то программист с синдромом Аспергера видит задачу «сделать двухфакторную авторизацию», смотрит в словарь, пожимает плечами и делает авторизацию вместо аутентификации.
                  +1
                  Аутентификацию…
                  … пожимает плечами и делает аутентификацию
                    +1
                    Люди, путающие «надеть» и «одеть» тоже, в общем, никому жить не мешают.

                    Но знать различие между аутентификацией (проверкой подлинности) и авторизацией (предоставлением или получением полномочий) таки не очень сложно. «Разница всё-таки есть».
                      +1
                      Я тоже с трудом различаю эти понятия, попытаюсь переложить своим языком.
                      Вот мой отпечаток пальца, он может подтвердить, что запрос исходит оит меня, голос, радужка глаза, но и предоставление секретного пароля также подтверждает подлинную принадлежность запроса мне.

                      Предоставив системе подтверждение подлинности источника запроса «кто там? это я»
                      совсем не значит, что я получу полономчия. Система может не дать мне разрешение на действие. Например потому, что я за последний час три раза неверно вводил пароль и нахожусь под подозрением. Пустить пустит но делать ничего не даст.

                      Установление личности и проверка подлинности значит тоже две разные вещи. Тут посложнее. Обратимся к фольклору.
                      Волк и семеро козлят: голос козлята слышат мамин и фраза верная (аутентификация пройдена), но установление личности мамы козы они не открыв двери провести не могут.
                      Т.е. в моем понимании, если система проводит идентификацию, это очень суровая система. Если знать пароль или иметь палец или глаз от тела не достаточно, а нужно быть опознаным системой как пользователь.
                      Значит даже намеренно желая поделиться данными учетной записи с другом, (ну в играх например, довольно частое явление) система с идентификацией даст доступ только одному из пользователей, а именно искючительно истинному владельцу.
                      Т.е. в таком случая вероятна фраза типа: «Я бы тебе дал свой аккаунт, но система тебя не опознает. Мне придется каждый раз ехать к тебе в Рязань и проходить идентификацию на твоей машине ;) „
                        0
                        Попытаюсь переложить своим языком:
                        идентификация — указание (обычно своего) логина.
                        аутентификация — указание пароля для доказательства права так идентифицироваться, доказательство аутентичности идентификации.
                        авторизация — предоставление системой прав в системе согласно аутентифицированной идентификации.

                        В некоторых случаях схема может меняться в более хитрую или более простую форму для повышения параноидальности, либо для комфорта пользователя.

                        Двухфакторная именно аутентификация, так как доказывать право на идентификатор пользователь должен двумя слагаемыми — к паролю ещё и доказать, что указанный ранее сотовый находится в минутной доступности, то есть, условно сотовый «свой».

                        P.S. В разговорной речи для пользователя, не вникающего в тонкости безопасности, слова почти синонимичны. Поэтому пользователь выберет наиболее лёгкое для произношения, наименее ломающее мышцу языка. Это, лично для меня — «авторизоваться».
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Видимо переводчик lastpass'а тоже решил, что «log in» проще перевести как «Авторизация» чем языколомательное «Аутентификация»
                            https://lastpass.com/?ac=1&lpnorefresh=1
                              0
                              Log in — это процедура входа, состоящая из идентификации и аутентификации.
                              На русском можно написать — «Вход», «Войти».
                          0
                          Было бы проще понять разницу интуитивно / из контекста, если бы их так массово не путали :)
                          +3
                          Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет.
                          Серьёзно? Ну, вот вам пример: при входе на ваш сайт через соцсети эти самые сети берут на себя функции как раз идентификации (установления личности) и аутентификации (проверки подлинности, аутентичности), а на долю сайта остаётся только авторизация (предоставление прав в соответствии с ACL и прочим). Соответственно, ничего «двухфакторного» сайт при этом сделать не может (ну, разве что впилить костыль и делать аутентификацию ещё раз). Именно поэтому гугловский сервис называется Google Authenticator, и именно поэтому всю эту двойную аутентификацию и можно выделить в отдельный сервис — потому что это отдельная от авторизации часть.
                            +2
                            На результат Cisco экзаменов для сертификации (не помню какой) CCNA или CCNP влияет. Там кроме Аутентификации и Авторизации еще и Акаунтинг есть :)
                              +2
                              1. Идентификация — установление личности. Используется что бы показать вашу аватарку при логине на гуглы, фэйсбуки как пример. Так же для аналитики, выбора сценария аутентификации.
                              2. Аутентификация — подтверждение идентификации. При помощи различных факторов, которыми вы владеете, знаете вы доказываете системе что вы — это вы. Вот тут всплывают факторы: пароль, сетчатка глаза, доверенный компьютер.
                              3. Авторизация — подтверждение права выполнить то или иное действие. Наличие аутентификации может являться основанием для авторизации. А может и нет. Авторизация то же может быть многофакторной. Например подтверждение операции в интернет банке. Вы вроде бы и зашли уже, и права есть, но не помешает еще разочек подтвердить.

                              Эти понятия нельзя путать, так как это приводит к феерическому пиз**у при разработке мало-мальски сложных систем.

                              К слову User и UserAccount — то же разные вещи.
                                0
                                Ой, а расскажите пару примеров, как кто-то перепутал и это привело к феерическому пиз***у.
                                  +5
                                  Непонимание зон ответственности этих процессов ведет к тому, что компоненты системы начинают отвечать не за те функции а связи между ними некорректны.
                                  Самое простое — непонимание того, что OAuth2 — протокол делегированной авторизации, а не аутентификации. Их этого начинают вытекать нездоровые требования у ПМов, если никто не может их осадить, дальше начинаются костыли на ResourceOwnership и тд.
                                  Так же ведет к банальным дырам, необоснованным привилегиям у пользователя.

                                  Ignorant отношение вроде вашего не делает вам чести, просто говорит о том, что вы никогда серьезно не работали в этой области. Хотя кто-то и uuid считает за безопасный сессионный токен в распределенной системе и самоподписанные сертификаты на бою держит. Зачем разбираться то…

                                    0

                                    Вот вам пример:
                                    Одна фирма продала довольно сложный проект, в котором не в меру дотошный архитектор определил в условиях, что поддерживается сингл-сайн-он типа Negotiate или Kerberos. Ну бывают такие многословные писаки, т. е. а вдруг я чего-то не напишу, а потом придет пушной зверек (то что это работает и в обратную сторону, оне при этом не думают).
                                    Проект базируется на системе с довольно сложной собственной security-системой (т.е. собственными группами, ролями, правами и привилегиями).


                                    При этом он забыл (или не знал), что оба упомянутых — чистой воды авторизационные механизмы — т.е. грубо говоря позволяют (или запрещают) доступ к ресурсу. Иначе говоря, в отличии от тех же NTLM-ов, вы не получите не имени пользователя, не какого-либо другого идентификатора (только ответ да — авторизован, нет — идешь лесом).


                                    А это в свою очередь значит, что про собственный ролевой механизм можно забыть — т.к. тупо не удастся проверить какими правами и привилегиями в проекте он владеет (в каких группах находится и какие роли ему отвели).


                                    В данном конкретном случае это значит либо перетаскивать собственную ролевую систему чуть не полностью под винду (повторяю — система привилегий очень сложна), что есть геморрой на многие-многие человеко-дни.


                                    Либо как-то уговорить заказчика использовать другой сингл-сайн-он (например NTLM), который еще и аутентификационный, ибо позволяет получить имя пользователя с доменом, т.е. однозначно идентифицировать его в системе прав и привилегий проекта.


                                    Ну или как-то костылить, чтобы все таки каким-то образом сообщить серверу имя или идентификатор пользователя, как-то привязав его к токену соединения Negotiate или Kerberos...


                                    Достаточно феерически? И это на вскидку, из того что сразу вспомнил, а если подумать…

                                      0
                                      Вообще вроде с WindServer 2012 в в тикете катаются клэймы юзера ЕМНИП.
                                        0

                                        Ну-ну…
                                        Во первых, совсем не обязательно.
                                        Во вторых, емнип, там "катаются" только SAML-клеймы… Выдернуть из него или привязать как-то реального пользователя представляется мне довольно затратным делом.
                                        Ну и в третьих, на уровне того же SSPI это все для вас — blackbox, еще и с зашифрованным диалогом в довесок, — каким образом вы собираетесь оттуда чего-то там достать, не пользуя SSPI-API? Используя же последнее, вам не удастся получить информацию кто это только что завершил рукопожатие.


                                        Те же sharepoint-ы и иже с ними, требующие claims-auth, работают только потому, что управление группами там прямое, т.е. можно тупо спросить принадлежит ли connection-токен этого юзера такой-то "системной" группе (другими словами обладает ли некоторыми "системными" permissions).

                                          0
                                          С чего тяжело то? Катаются те, что настроите. Можно получить AccountName, PrimarySid, сиды групп. Проверить сиды групп на системные вообще не проблема.
                                          Enable Claims Support in Windows Server 2012 Active Directory
                                          Вы представляете или делали?
                                          Кейс — WCF + IntegratedAuth — Получаете готового принципала. Там есть ряд условий что бы Kerberos сагрился, но проблем нет. С вебом так же. Только есть пара нюансов и гемор в настройке.

                                          В принципе конечное приложение не должно с мучаться с этим. Настраиваете все для своего IdP, а приложение
                                          Ws-Fed или OIDC.
                                            0

                                            Детали не надо… т.к. я вам как бы не совсем про то...


                                            Гладко было на бумаге… Я не буду вам чего-либо доказывать, ибо вы читаете через строчку, да и это никоим образом не относится к теме ветки и уж тем более к теме поста.


                                            Кейс — WCF + IntegratedAuth — Получаете готового принципала.

                                            Вы правда понимаете о чем речь: сервер — не IIS, сервером юзается SSPI, имперсонификация запрещена от слова совсем (т.е. тупо нельзя ImpersonateSecurityContext и иже с ними, тем более запрещено имперсонировать поток/процесс, т.к. они обслуживает асинхронно кучу других соединений, других юзверей)...


                                            Ув. forgotten просил пример… Пример думаю как-таковой понятен? Не нравится вам Kerberos (как быть с Negotiate или если клиент не имеет AD, а юзает самбу с винбиндом или чего еще более экзотическое) — вычеркните или замените Kerberos на Auth-No-Way-To-Get-SID. Сам смысл остается.

                                              0
                                              Керберос — протокол аутентификации, а не авторизации. Он не несет в себе информации от группах и тд. То есть это само приложение должно связывать данные из тикета с профилями и группами.

                                              Если с Самбой то да. В основном Керберос для DesktopSSO на Win клиентах вижу.
                              +5
                              Надо не забывать ещё про вторизацию, которая, очевидно, противоречит авторизации.
                                +9
                                И фторизацию.
                                  0
                                  И сразу вспоминается «доктор Стрейнджлав» где генерал Риппер верил, что фторирование изобрели Советы чтобы отравлять «precious bodily fluids» of Americans;
                                  +4
                                  вторизация блокирующая, а авторизация — нет.
                                0
                                Данный пост подтверждает, что телефон не является аутентификационным сервисом.
                                0
                                Так код же в SMS придет. Все равно можно прочитать.
                                Или я чего-то не понимаю?
                                  0
                                  Нет, второй код ты должен запомнить просто и никому не говорить
                                +2
                                подробнее о самих атаках мы писали ранее
                                Что-то не могу скачать pdf-ник по Вашей ссылке.

                                UPD: отбой тревоги. Разобрался уже: скачивается, если в URL https заменить на http.
                                –7
                                ЧТД.
                                  +11
                                  Вообще-то, нет. Продемонстрированная атака отличается от той, что была использована.
                                    +5
                                    Вообще-то, да. Атака отличается, тут Вы правы. И товарищи из PT на фоне массового интереса к новости о взломе представителей какой-то оппозиции какими-то спецслужбами решили
                                    проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram.

                                    ну и еще разок упомянуть про свои ресерчи на эту тему, да себя показать. :)

                                    PT, вроде как не спецслужба (предлагаю не разводить демагогию сотрудничают ли сесурити-компании с правительством или нет, это не так важно), досуп получен? Получен! ЧТД — спецслужбой быть совсем необязательно :)

                                    И да, я понимаю, что получить доступ к SS7, это не за хлебушком сходить.

                                    З.Ы. И я наверно всё-таки оптимист, потому что считаю, что располагая возможностями специальных служб можно все это сделать не так чопорно. Элегантнее чтоль, если хотите. Хотя, быть может я ошибаюсь.

                                    З.Ы.Ы. Что же касается самой истории с МТС и Телеграмом, то какой-либо технической информации в сети крайне мало. Ну да, скорее всего без участия оператора не обошлось. Вся остальная инфа — политота. А это уже неинтересно.
                                  +3
                                  WhatsApp в последних версиях предупреждает о смене ключа шифрования на противоположной стороне — «Код безопасности пользователя * * * изменился.».
                                    +1
                                    Для некоторых, эта фраза напротив придаст уверенности в безопасности переписки, т.к. они могут ассоциировать ее с правилом «регулярной смены паролей, для увеличения уровни безопасности».
                                    Что тут говорить, если многие (из моего окружения), не задумываясь игнорируют предупреждения ошибки подлинности сертификата на порталах с денежными операциями.
                                    +6
                                    А про банк-клиенты что скажете? Там тоже всякие sms-подтверждения используются.
                                      –1
                                      Вы видели банковские приложения без многофакторной авторизации?
                                        +3
                                        У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.
                                          0
                                          Я не знаю, как у Сбера, а по-правильному, смена пароля — это операция точно так же, как и финансовая требует подтверждения одноразовым кодом либо из таблицы, либо по СМС и возможна только из самого приложения.
                                          Если забыл пароль, то тогда только визит в офис банка, либо звонок в поддержку с подтверждением.

                                          Рассылка связки логин: пароль, даже не думал что такое кто-то практикует.
                                            0
                                            Не совсем правильно написал. Не логин и пароль пришлют, а пришлют код подтверждения для создания новых л и п. Но, сути это не меняет.
                                              0
                                              Почему же, это как раз и есть двух-факторная. Логин-пароль кроме вас никто не знает, а подтверждение открытым каналом приходит — это общепринятая практика.
                                                0
                                                Логин и пароль после этого создаются пользователем (злоумышленником, в нашем случае) новые, старые уже никого не интересуют
                                                  0
                                                  Речь о том, что старые-то надо было знать.
                                                  Но — да, после кражи пароля такая аутентификация не защитит владельца аккаунта по причине тех же самых дыр в защите SMS.
                                              0
                                              Так и есть у Сбера.
                                              Либо из приложения, либо прямо из банкомата.
                                              +1
                                              Я не очень в курсе, как работает атака из поста, но сбер или тинькофф, например, детектят смену сим-карты. Возможно, конечно, с такой атакой можно номер симки тоже сэмулировать.
                                                0
                                                Одна из наших недавних публикаций была как раз о том, как перехватываются одноразовые пароли банка, а также эмулируется отправка команд SIM-карты:
                                                https://habrahabr.ru/company/pt/blog/280095/

                                                Ну и в прошлом году в «Позитиве» делали исследование на ту же тему:
                                                https://habrahabr.ru/post/243697/
                                                  0
                                                  С перехватом паролей всё понятно. Я не очень понял, можно ли таким образом дистанционно узнать и подменить IMSI, на который смотрят банки. Ваше второе исследование, как я понял, делает это путём физического доступа к симке.
                                                0
                                                У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.

                                                А кто-нибудь пробовал им сказать что это плохо? :)
                                                Точнее не то, что именно это плохо, а то, что плохо что нужно лишь только это.

                                                Насколько я помню, крупнейший негосударственный банк Украины (Приватбанк) для восстановления пароля требует указания номера, срока действия и PIN-кода любой из действующих карточек клиента. То есть даже если украсть у клиента сумочку с карточками и телефоном, чтобы получить доступ к управлению финансами, потребуется дополнительно как-то узнать ещё и либо пароль в онлайн сервис, либо PIN-код карточки. Без этого — максимум можно будет совершать покупки в онлайн магазинах, при условии что для карточки (-чек) была разблокирована ранее такая возможность (лимит установлен не нулевой) и с телефона можно считать 3D-secure код…
                                                Государственный банк на мой взгляд как бы обязан иметь безопасность такого же уровня.
                                                  0
                                                  У сбербанка на этот счет отдельная услуга под названием «Защита средств на банковских картах».
                                                    0
                                                    Кхм. Это совсем не то же самое, это фактически страхование. А речь об элементарной безопасности аккаунта.
                                                0
                                                Что бы сбросить пароль у Tinkoff достаточно знать номер карты клиента и номер привязанного телефона.
                                                  0
                                                  Ага, поэтому в нормальных банках твердят что нельзя указывать кому бы то ни было свой полный номер карты.
                                                    0
                                                    Номер карты видит любой кассир и может запомнить, некоторые магазины раньше страдали тем, что печатали номер карты на чеке, как сейчас, не знаю. Если «банк» позволяет сбросить пароль, зная номер карты и номер телефона, это не банк, это анекдот.
                                                      0
                                                      Это пример, когда баланс между безопасностью и удобством сдвинули не в ту сторону.
                                                      Хотя у ТКС нет особого выбора с одним офисом на всю страну, они не могут посылать клиента в отделение с паспортом для получения логина к ЛК, как делает Альфа.
                                                        0
                                                        Человека можно обязать позвонить по телефону в банк и спросить у него данные, которые трудно получить злоумышленнику, хоть набившее оскомину секретное слово.

                                                        Конечно, на 100% это не защитит, но от пионера, который подсмотрел номер карты/подобрал чек и потом стрельнул телефончик у девушки, легко.
                                                          0
                                                          Ну они могли бы поступать как Яндекс, проверять людей через каких-то партнеров у которых есть отделения по всей стране (системы денежных переводов, кассы, службы доставки).
                                                          0
                                                          А что скажете про банк из Top 5, у которого в интернет-банке пароль:
                                                          a) должен быть цифровым
                                                          б) состоять из не более чем 6 (шести) символов
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                      0

                                                      В онлайн-банках они совместно с паролем используются, что даёт двухфакторность.

                                                        0
                                                        у меня есть карта, и не одна, в которых VISA 3DS реализуется не паролем, который я когда то создал, а кодом через смс. оборжаться.
                                                      +39
                                                      Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти (возможно, одного конкретного сотрудника, возможно, по просьбе извне) без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома. If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck.
                                                        –3
                                                        Ох уж эта общественность. Куча объявлений, где предлагают детализацию разговоров за деньги, вы думаете откуда они ее берут? от ФСБ? Такие же кроты внутри операторов, их СБ щучит, но они есть всегда. И это общественность не волнует… Сайтов не создают, обращения в прокуратуру не пишут.
                                                        Хотите анонимности и прайвита — купите десяток симкарт у метро, они все на ООО «Василек» и меняйте раз в 3 дня. Но если возьмутся органы, а не как эти пионЭры, то еще надо будет не бывать в одних и тех же местах.
                                                          –4
                                                          Вот я тоже не понимаю этого шума ах взломали то, ах взломали это. При необходимости власть всегда сможет надавить на бизнес и вынудить компанию выполнить необходимые требования. Пустая болтовня большинства граждан власть не интересует, а если уж органы и власть заинтересовались, они всегда могут доставить человека в удобное им место для разговора.
                                                          Если же вы ведете какую-то противозаконную деятельность, то безопасность какого-то вацапа это вообще второстепенный ворос.Вся эта шумиха о безопасности и приватности не более, чем страх своих комплексов.
                                                          0
                                                          Мне когда-то пришлось восстанавливать потерянную сим карту в Украине (lifecell). Меня спросили дату одного из последних пополнений счета и 3 номера, на которые я часто звонил. Не так уж и сложно увести чей-то номер телефона (пополняешь человеку счет и узнаешь с кем общается). Следует отметить, что это не сработает, если у вас контракт.
                                                          +26
                                                          Вероятно вы правы, что не нужно быть спецслужбой. Но в упомянутом вами случае МТС отключил доставку СМС абонентам.

                                                          Пруф с печатью самого МТС

                                                          Так что ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно неуместно. Или вы знаете другую организацию, которая может заставить МТС совершить подобную операцию, а потом ещё заставить представителей компании врать?
                                                            +5
                                                            Странно, то что по описанному варианту это получается проще. Да и врать потом не надо будет.
                                                              +6
                                                              Все ошибаются.

                                                              Кстати, интересно было бы, если бы ptsecurity описал бы необходимые условия для осуществления атаки. Если я правильно понимаю, нужно как-то подключиться к сети или собрать специальный девайс, который нужно ещё физически привезти близко к абоненту, это отдельная спецоперация. Вероятно, проще прийти к оператору и попросить отключить на пять минут.

                                                              Никто же не ожидал того, что это заметят. Но, очевидно, подготовились очень плохо. Благодаря этому мы теперь знаем. Ну и заодно нам напомнили, насколько ненадежен канал SMS.
                                                                +1
                                                                Говорят, что и девайс не нужен, достаточно лишь подключения к пиратскому хабу.
                                                                blog.kaspersky.ru/hacking-cellular-networks/9862
                                                                  +1
                                                                  Необходимо подключение к сети SS7, собрать девайс можно на коленке из ПО свободно распространяемого в интернете, к абоненту возить его не нужно, наоборот, можно находиться на другом конце земного шара.
                                                                    +2
                                                                    Научите.
                                                                      0
                                                                      Хакнуть Voice IP оператора, например
                                                                      0
                                                                      Gimme a little clue, pse!
                                                                    –12
                                                                    Ну вот раскрыли махинацию МТС и что? Им что-то будет? Нет. Будет что-то спецслужбам? Нет. Зачем парится?
                                                                      –2
                                                                      Эм… я не прав? Я действительно готов пересмотреть свою точку зрения, если укажите где ошибка в моей логике.
                                                                        +9
                                                                        1. МТС торгуется на международной бирже. Сейчас хотят инициировать судебный процесс по поводу вот этого действия в юрисдикции неподвластной нашему правительству. Это может уронить акции и МТС и отвадить его от совершения подобного в будущем.
                                                                        2. Скорее всего минусуют за «тся».
                                                                          +1
                                                                          А разве МТС может отказать в предоставлении данных при каком-либо расследовании? Если есть бумага свыше?

                                                                          PS: про тся я заметил при нажатии на кнопку «отправить», но кнопки редактирования нет, к сожалению.
                                                                            +1
                                                                            Предоставлять данные — нет. Насчёт отключения услуг — может быть прописано в договоре что может, но цена акций строится больше из общественного мнения, презентаций и инсайдов. Щёлкнуть тигра по носу — старая народная забава. Особенно если щёлкают другие, а ты сидишь с попкорном.
                                                                              –4
                                                                              цена акций не складывается из общественного мнения :)) иначе биржи были бы не нужны.
                                                                                +2
                                                                                но цена акций строится больше из общественного мнения, презентаций и инсайдов
                                                                                Стоимость акций отражает способность компании зарабатывать деньги. Некоторые считают, что она справедливо равна дисконтированному денежному потоку на акцию в перспективе существования компании (в академической ситуации — ∞).

                                                                                Общественное мнение имеет, скажем так, опосредованную роль. Вот, скажем, Lockheed Martin производит ракеты самолеты AC-130, один из которых разбомбил госпиталь в Кундузе, Афганистан. Общественное мнение это осуждает, но вот курс акций продолжает расти. Потому, что очевидно, что армия США продолжит покупать у Lockheed Martin.
                                                                                  +1
                                                                                  Не верная трактовка.
                                                                                  Более правильная:

                                                                                  Вот, скажем, Lockheed Martin производит ракеты самолеты AC-130, один из которых разбомбил госпиталь в Кундузе, а потом разбился при заходе на посадку. Разбился из-за отключения одной из систем.

                                                                                  МТС получает деньги с клиентов, если начнётся массовый исход клиентов — упадут доходы и инвесторы могут пересмотреть свои планы.

                                                                                  Мне как клиенту не нравится эта ситуация. А учитывая активный форсиг темы «МТС ниуновен» я все больше склоняюсь к уходу.
                                                                                +1
                                                                                Думаю, что про «тся» — это была шутка. А минусуют Вас за сам посыл — мол, вот вы фигнёй страдаете, вместо того, чтобы делом заниматься. Наверное Вы не в курсе, что людям нравятся подобные детективы. Они с удовольствием их читают и не считают, что люди, исследовавшие дыру и опубликовавшие информацию о ней, потратили время впустую. Короче, не согласны с Вами. Вот и минусуют.
                                                                                  +1
                                                                                  Да нет у меня такого посыла, извините если Вам это показалось. Фраза «зачем париться» относится к действиям спецслужб, а не как обращение к читающим. Читать следует как «Зачем им думать о том, как сделать что-либо скрытно, когда можно сделать как привыкли?»
                                                                            +1
                                                                            Если вам не хочется «париться», то зачем вы это читаете?

                                                                            Я тут, не из за МТС, у меня другие оператор и страна, но мне интересно знать о подобных махинациях, а также интересны подробности выполнения подобных атак.

                                                                            Лично я тут потому что:
                                                                            1. в целом интересуют безопасностью, 0-day и т.д.
                                                                            2. хочу знать о уязвимостях в софте, протоколах и вообще всём с чем я работаю или имею в использовании
                                                                            3. хочу знать о подобных прецедентах, сделали в одной стране/компании, сделают и в другой
                                                                              0
                                                                              Где вы в моих словах увидели хоть какой-то намек на то что статья не нужна?! Статья интересная и нужная, и я лишь указал на то, что спецслужбы будут думать о репутации оператора в последнюю очередь. Их совершенно не волнует обвалившиеся акции или мнение людей, у них есть задание. Любые официальные претензии к оператору будут перенаправлены в сторону спецслужб. Любые претензии к спецслужбам, скорее всего, будут замяты. Никакой претензии к статье у меня нет, я ответил на комментарий.
                                                                          +8
                                                                          Вам вводная:
                                                                          — У МТС, Мегафона, Йопты и т.д. стоит СОРМ, который собирает все СМС.
                                                                          — Блокировка приема СМС — это один бит в профиле абона на HLR(HSS) и не надо никакие услуги подключать\отключать, ни в одном счете этого никогда не будет. Есть ли на него доступ у органов — предположите сами.
                                                                          Вот имея такую вводную, ответьте — зачем ФСБ отключать услуги через биллинг?
                                                                          Поэтому да, ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно уместно.

                                                                          Произошедшее объясняется ИМХО проще — эти олени имели доступ к сетям оператора на более высоком уровне — СРМ или Удаленный дилер, возможно к межсистемной шине. Народа с этим доступом тысячи 3-4 человек. Никому не охота признаваться, что твоя система безопасности пропустила крота.
                                                                            0
                                                                            Что касается вводной, операции планируют люди. Возможно это была такая проходящая история, которую получили лояльному хакеру на аутсорсинге. Он сказал, «сделаю, но отключите смс».
                                                                            Дальше звонок в МТС, возможно какое-то недопонимание. Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.

                                                                            Что касается «не охота признаваться», с какого-то момента ясно, что с точки зрения имиджа лучше рассказать правду, если это был взлом. Да, нас взломали. Внутреннее расследование, независимый аудит, уголовное дело, предоставим всю необходимую информацию суду и пострадавшим, ущерб компенсируем, мы улучшили систему, ввели дополнительную аутентификацию и вообще молодцы.
                                                                            За исключением ситуации, когда компания просто по закону не имеет права сообщить правду.
                                                                              +3
                                                                              с точки зрения имиджа лучше рассказать правду
                                                                              Как показывает практика, с точки зрения имиджа тут надо просто молчать и в лучшем случае идти в органы и суд. У нас люди очень быстро все забывают, если не напоминать.
                                                                              Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.
                                                                              вы думаете что откл услуг — это для них такая редкая, единичная операция?
                                                                            –5
                                                                            Источник не очень достоверный, я вам таких 100 напечатаю)
                                                                              0
                                                                              Источник чего? Коменты вытягиваются, не понятно. Про счет?
                                                                                +4
                                                                                А вы что хотите, новость по 1 каналу? Чистосердечное признание от мтс?
                                                                                p.s. поздравляю с 1 комментарием… за 5 лет.
                                                                                  +1
                                                                                  Он из read-only.
                                                                                +1
                                                                                «Заставить» МТС совершить подобную операцию может любой человек, имеющий доступ к интерфейсу управления подобными операциями.
                                                                                Абсолютно любой пользователь либо кто угодно с его аутентификационными данными.
                                                                                +6
                                                                                Каким образом мониторите GSM запросы в wireshark? Какая аппаратная часть?
                                                                                  0
                                                                                  Скорей всего HackRF.

                                                                                  Но мне тоже интересно, с какой железки брали данные.
                                                                                    +3
                                                                                    Полковник Иван Петрович то же интересуется.
                                                                                      +3
                                                                                      Мне кажется они не с радио слушали а с A-интерфейса, так как в скринах видим что MAP протокол слушают, а он от коры до контроллера. То есть, конечно, спецслужбы-то не нужны для того чтоб конкретного юзера смс-ки посмотреть, но неавторизованный доступ извне в операторский IPBB или что там у них, был бы серьезным про… махом со стороны оператора, а ежели авторизованный — то это сотрудник, а надо ли оно сотруднику, в наше нелёгкое время — вопрос.
                                                                                      0
                                                                                      HackRF/BladeRF, видимо
                                                                                        0
                                                                                        Нет. SS7 — это отдельная сеть, которая никак не относится к радиоинтерфейсу.
                                                                                          0
                                                                                          Т.е. разобранная GSM-диссектором Wiresjark-а информация — она из IP-пакета(-ов), правильно понимаю?
                                                                                      +15
                                                                                      Да действительно, всего-то нужно иметь доступ в SS7 сеть и быть мобильным оператором.
                                                                                        0
                                                                                        формально — да. но вот вопрос, является ли, ну например, ptsecurity лицензированным мобильным оператором?
                                                                                          +3
                                                                                          Ок. Вы подключились к SS7. Клиент у которого вы угнали Telegram обращается с официальной жалобой к оператору. Сколько времени понадобиться оператору, чтобы понять что и как произошло и кого за это притягивать по уголовке?
                                                                                            +2
                                                                                            ключевой вопрос — как вы подключились к SS7?
                                                                                              +3
                                                                                              То есть статья не полна: нужно к ней ещё писать дополнение: как подключиться по SS7 и чтоб тебя не поймали ни разу.
                                                                                              И всё тогда становится более интересно и гораздо менее очевидно. И менее соответствует пафосу статьи: «смотрите, можно же просто без отключения SMS...»
                                                                                                0
                                                                                                Вы сами с собой сейчас общаетесь?
                                                                                                  0
                                                                                                  Ну конечно. Давайте еще в открытом доступе выложим инструкции, как выращивать грибы и делать оружие.
                                                                                                  Никто не станет рассказывать таких подробностей из соображений здравого смысла.
                                                                                                    +4
                                                                                                    Понимаю, конечно. Я это к «смотрите, можно же просто без отключения SMS...». Выясняется, что не так уж просто.
                                                                                                      0
                                                                                                      Кстати, сомневаюсь, что могут существовать какие-то универсальные инструкции, все будет очень индивидуально не только для конкретного оператора, но даже и внутри его сети тоже. Строго говоря, если абонент, СМС которого злодей хочет перехватить, зарегистрирован в GSM сети — это одно, если в 3G — другое, в LTE — уже совсем иной подход нужен. И есть еще такой ньюанс — допустим, некий злодей извне получил доступ к сети оператора, но к какой? Грубо, как минимум для всех нод в мобильных сетях существуют две сетки — это O&M (управление) и собственно жирный транспорт для пользовательского трафика плюс сигнализация. Так вот, имея доступ к O&M, сниффить пользовательский трафик нетривиальная задача, скажем, в данном примере мы ищем СМС в A-interface, то есть у нас есть BSC к примеру, ок, зашли на него — и все, через O&M просто так не получить пакетов из A, A-bis etc. Тут все будет очень vendor specific, да к тому же есть очень вероятная возможность наследить (вплоть до рестарта ноды) если неаккуратно действовать. Конечно, если есть возможность физически подключиться к отзеркалированному порту какого-нибудь пакетного коммутатора (через который интересующий нас интерфейс проходит), то дело нехитрое, но ведь это уже совсем другая история…
                                                                                              0
                                                                                              Вы можете поставить фемтосоту, подхачить немного ее, подключиться с нее к оператору. У вас появится доступ к сети SS7
                                                                                                +2
                                                                                                BTS нельзя подключить напрямую к SS7, она подключается к BSC (интерфейс A-bis).

                                                                                                image
                                                                                              +2
                                                                                              Вообще не понимаю этих «безопасных» проприетарных мессенджеров.
                                                                                              Если мне нечего скрывать — я буду пользоваться чем угодно, вне зависимости от того, «безопасный» протокол или нет.
                                                                                              Если же мне потребуется действительно безопасная коммуникация, уж поверьте, я точно не буду пользоваться проприетарными решениями, а сделаю что-то свое, устойчивость к взлому и исходный код которого я смогу контролировать лично.
                                                                                                +7
                                                                                                Далеко не каждый, сможет самостоятельно реализовать такое решение. Да и между данными, которые совершенно не требуют особых мер безопасности при передаче и сверхкритичными, про которые вы написали, существуют и промежуточные, когда защита требуется, а реализация отдельного решения — нерентабельна.
                                                                                                  –2
                                                                                                  Ну, на сегодняшний день все предлагаемые решения являются промежуточными(уже нет мессенджеров, которые легко перехватываются и дешифруются) — все предлагают шифрование и «безопасность».
                                                                                                  P.S. А по поводу «далеко не каждый», я уверен, что 99% программистов осилят SSL, используя какую-либо библиотеку, например, OpenSSL:)
                                                                                                    +2
                                                                                                    Вам не кажется, что далеко не все — программисты, а написать не дырявый продукт могут далеко не 99% из них?
                                                                                                      –6
                                                                                                      Конечно, не все — программисты, но можно ведь нанять человека для этой задачи или, при острой нужде, поучить какой-то python месяц-другой.
                                                                                                      Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.
                                                                                                        0
                                                                                                        Вы машину самостоятельно чините? Если в сервис отдаете, проверяете ли потом ее на предмет неоговоренных модификаций?
                                                                                                        «Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.», установят вам какую-нибудь закладку незаметно, которая тормоза в один прекрасный момент отключит.
                                                                                                          –1
                                                                                                          Если
                                                                                                          при острой нужде
                                                                                                          от умения чинить машину будет зависеть моя жизнь или свобода — научусь.
                                                                                                          +1
                                                                                                          Проблема в том, что даже профессиональные разработчики редко выпускают безупречно безопасный продукт, везде находят дыры.
                                                                                                          При отсутствии опыта разработки таких приложений вероятность сделать какую-нибудь глупость, используя OpenSSL напрямую, значительно выше.
                                                                                                          А потом такие велосипеды взламывают за день (а то и быстрее) те, кто этим занимается каждый день.
                                                                                                          Поэтому обычно надёжнее использовать проверенные решения, в которых многие проблемы безопасности уже исправлены.
                                                                                                      +1
                                                                                                      Эти все «end-to-end» шифрования всего лишь дают ложное чувство безопасности, и всё. Пока нет открытого кода, пока не было публичного аудита безопасности, всё это шифрование = буллшит.

                                                                                                      Хотя, справедливости ради, у Telegram было и то, и другое. Тут надо обращать внимание на то, можно ли поставить свой сервер (вместе с авторизацией на нём). В этом плане лучшие — tox и jabber.
                                                                                                        0
                                                                                                        Как открытый исходный код и аудит безопасности помог бы от указанной в статье атаки?
                                                                                                        Возможно, программы были бы безопаснее, если бы не использовали СМС.
                                                                                                        Но тогда бы они не были бы такими популярными и в статье упоминался бы не Telegram, а OtherBrandName.

                                                                                                        Проблема в том, что настоящая безопасность, очень дорогая, непонятная и неудобная для обывателя.
                                                                                                        Многие ли оппозиционеры прочитают данную статью? Вряд ли, ведь они не являются специалистами по безопасности или айтишниками. Они не знают, что можно кого-то нанять, кто настроит им собственный защищённый сервер. И даже если знают, то клиентские программы ещё нужно настроить. Представьте, что агент Freedom связывается с агентом Solomon и говорит: «установите себе программу Х, подключитесь к серверу Y и войдите с логином Z». А агент Solomon отвечает: «Нет Алексей, это вы установите себе программу Х', подключитесь к серверу Y' и войдите с логином Z' ». Слишком много сложностей.
                                                                                                        Зато про Дурова знают всё. Тем более, что он выступает против российской власти, значит свой. А Telegram популярный и проверенный миллионами пользователей, значит не исчезнет в одночасье, а самое главное в нём есть все нужные люди.
                                                                                                        Я даже не уверен, что оппозиционеры в курсе, что Дуров объявлял награду за удачную попытку взлома Telegram. Более того, пострадавшие даже не знали, что можно было включить двухфакторную аутентификацию в Telegram.
                                                                                                          0
                                                                                                          Все эти ваши алгоритмы ассиметричного шифрования — маркетинговый буллшит, пока не доказано P != NP все ваши RSA, elliptic-curves, etc — буллшит. [/sarcasm]
                                                                                                            0
                                                                                                            Скорее открытый код дает ложное чувство безопасности.
                                                                                                              0
                                                                                                              У Telegram _не было_ публичного аудита безопасности. Была лишь премия за взлом на невнятных, по мнению множества комментаторов, условиях.
                                                                                                                0
                                                                                                                Информацию брал из EFF Secure Messaging Scorecard. Напритив Telegram в колонке про аудит стоит галочка.
                                                                                                                  0
                                                                                                                  Да, странно, считал, что EFF более надежный источник.

                                                                                                                  Нагуглилось только это:
                                                                                                                  http://security.stackexchange.com/questions/49782/is-telegram-secure
                                                                                                                  и это (таблица от EFF там есть)
                                                                                                                  https://habrahabr.ru/company/edison/blog/273001/
                                                                                                                  Там очень хорошие комментарии вынесены в статью.
                                                                                                              +3
                                                                                                              Более того, никто не гарантирует что Google/Apple просто напросто не логируют нажатия на цифровой клавиатуре.

                                                                                                              Т.е. проприетарный смартфон с родной прошивкой это уже априори скомпроментированное устройство.
                                                                                                                +1
                                                                                                                Может быть, кто знает.
                                                                                                                Паранойю может усилить, к примеру, это:
                                                                                                                https://xakep.ru/2011/12/26/58104/
                                                                                                                Везде нужен здравый смысл.
                                                                                                                Если стоит задача защитить каналы связи от перехвата местными спецслужбами — то реализовывать нужно именно эту часть.
                                                                                                                Кроме того, для исключения Вашего предположения, можно помониторить сетевой трафик.
                                                                                                                  0
                                                                                                                  В том и проблема, что у Google/Apple есть четкая заинтересованность в том что бы не силньо мешать местным, иначе их выкурят с рынка вместе с франузским сыром.

                                                                                                                  Вы знали например, что на айфонах могут скапливаться болезнетворные микробы? Онищенко подтвердит.
                                                                                                                    0
                                                                                                                    Зачем тогда Apple зарубились в ФБР по поводу раскрытия данных, а Facebook с правительством Бразилии? Эти рынки точно не уступают российскому. Вполне возможно, что Google/Apple просто не хотят ложиться под правительство. Учитывая размеры этих компаний, в это не сложно поверить.
                                                                                                                      0
                                                                                                                      Любая крупная организация реализует обычно сразу несколько стратегий.

                                                                                                                      Один отдел борется с нарушением приватности, делает громогласные заявления и т.д.
                                                                                                                      Тем временем другой отдел сливает негласно все данные которые только можно выудить.

                                                                                                                      Тоже самое касается и государства, то что кто-то в ФБР захотел эксклюзивный доступ абсолютно не значит что у них уже этого доступа нет.

                                                                                                                      +2
                                                                                                                      >Вы знали например, что на айфонах могут скапливаться болезнетворные микробы?

                                                                                                                      Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.

                                                                                                                      Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
                                                                                                                  0
                                                                                                                  Мише и Пете нужна «безопасная коммуникация». Миша делает свой «безопасный» мессенджер, Петя свой. Чьим они пользуются?
                                                                                                                    0
                                                                                                                    google://open source
                                                                                                                  0
                                                                                                                  А в вазапе нет двухфакторной аутентификации? Или я плохо ищу?
                                                                                                                    0
                                                                                                                    нет — про любой сервис можно проверить здесь: https://twofactorauth.org/
                                                                                                                    +36
                                                                                                                    Всем привет. Как один из взломанных, хочу сказать следующее:

                                                                                                                    Во-первых, почитайте наш сайтик http://mts-slil.info/ и посмотрите там документы/скриншоты/аудио. В них всё-всё-всё.

                                                                                                                    Во-вторых, описанный метод совершенно не наш. Одновременно были взломаны 3 телефона, которые находились в разных частях Москвы. Я так понимаю, для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте. И самое главное, при такой атаке МТС не стал бы затирать логи (раньше техподдержка видела отключение услуг, а теперь нет) и публично адски врать.
                                                                                                                      +1
                                                                                                                      Никто ж не против что вас взломали способом как описано у вас. Автор немного громко выразился, а на самом деле показал еще один вариант взлома через SMS
                                                                                                                        +1
                                                                                                                        Автор Выразился таким образом, что между строк сквозит недоверие к самому механизму взлома Албурова и Козловского, это тянет за собой дальнейшие выводы о том, а так ли вообще был взломан телеграмм или как-то иначе? Читается этот скепсис в первых строчках статьи
                                                                                                                        Цитата: «На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб»
                                                                                                                        И автор статьи прав, и Козловский, Албуров тоже, но по факту получается безобразие ))
                                                                                                                        +1
                                                                                                                        А где взломанную переписку-то почитать?
                                                                                                                          +5
                                                                                                                          Когда опубликуют дам ссылочку )
                                                                                                                          +3
                                                                                                                          Я до сих пор не увидел внятного объяснения, как и куда злоумышленники получили SMS с кодами, если сервис на номере был отключен, а сообщения имеют статус «недоставлено»? Получается, что хакеры должны были перехватить SMS на этапе доставки, то есть иметь доступ к инфраструктуре МТС. Я предположу, что взломали первым делом МТС, а молчат они, потому что это еще больший позор, чем сливать что-то спецслужбам.
                                                                                                                            0
                                                                                                                            Не думаю, что ради наших скромных персон стали бы взламывать МТС
                                                                                                                              0
                                                                                                                              СОРМ умеет читать SMS.
                                                                                                                                +1
                                                                                                                                А госслужбы, как оперативно могут пользоваться тем, что аппаратура СОРМ записала?
                                                                                                                                Может быть там волынка с получением «ордера», потом время на доставание данных из сырого бэкапа… Как выглядит оперативная работа с этими данными?
                                                                                                                                  +4
                                                                                                                                  В России сотрудник ФСБ или МВД должен только получить ордер, но показывать его оператору он не должен. Более того, оператору запрещено требовать этот ордер, так как у него нет допуска к гостайне. Соответственно, в России системы прослушки сделаны как дистанционные системы, когда сотрудник ФСБ сидит в своем кабинете у ПУ СОРМ (пункт управления СОРМ) и вбивает команды, которые дистанционно передаются в систему оператора, а тот об этом ничего не знает.

                                                                                                                                  Тут подробно написано:
                                                                                                                                  https://roem.ru/02-05-2016/223498/anyone-mts-but-me/
                                                                                                                                    0
                                                                                                                                    thx
                                                                                                                                    но всё-равно, непонятно, в РВ идет оперативная работа или же есть время на обработку «команд».
                                                                                                                                    0
                                                                                                                                    Еще предположите, что они на перфокарты пишут, потом фельдегерем шлют :).
                                                                                                                                    Кто знает как чего там устроено, тут не напишет.
                                                                                                                                    0
                                                                                                                                    Проще было бы заглушить сотовую связь в районе расположения жертв, сославшись на сбой, и получить смс тихо и без следов. Я б так сделал.
                                                                                                                                    +1
                                                                                                                                    В нашем тесте мы получали SMS в Wireshark, при этом, для того чтобы сообщение считалось доставленным мы должны были отправить подтверждение о получении, мы такого не отправляли, поэтому на скриншоте видно второе сообщение с тем же SMS (сеть пытается доставить его посылая снова и снова, до тех пор пока не получит подтверждение). Мы могли отправить подтверждение, что сообщение получено, тогда реальный абонент никогда его не увидит, а могли оставить так как есть, тогда абонент получит это SMS через некоторое время когда у него пройдет периодический Location Uppdate.
                                                                                                                                      +2
                                                                                                                                      Про ваш метод более-менее ясно. Я про другой спросил.
                                                                                                                                        0
                                                                                                                                        У меня одно не вяжется. Есть (со слов пострадавших) ответ контент-агрегатора, о том, что злополучная СМС не была доставлена, и именно по причине отключенного сервиса, а не по тайм-ауту умерла. Я был уверен, что в начале проверяется доступность сервиса, а потом пойдет тело мессаги.
                                                                                                                                      +1
                                                                                                                                      для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте.

                                                                                                                                      Вы не правы, поправляю. Описанная выше в статье атака делается из любой точки мира, хоть из Вашингтона, хоть из Зимбабве, надо только иметь доступ к сигнальной сети (SS7 в статье ) — а это любой GSM оператор.
                                                                                                                                      Я выше описал как бы услугу отключали спецы, у вас явно какие то пионЭры работали. Думайте кому еще кроме ФСБ нужны ваши переписки, возможно внутренние терки, возможно кто то просто хотел прославиться.
                                                                                                                                        +1
                                                                                                                                        у вас явно какие то пионЭры работали.

                                                                                                                                        ФСБ это не NSA, а судя по тому как делается всё остальное — они самые там и работают.

                                                                                                                                        Вообще странно, что в SS7 нет никакого механизма авторизации, ведь роуминг работает только при договоре между операторами.
                                                                                                                                          +2
                                                                                                                                          Смешивать интеллект тех кто работает в телекоме и «силовиков»… Получите 36,6 как по больнице.
                                                                                                                                          Вообще странно, что в SS7 нет никакого механизма авторизации
                                                                                                                                          добро пожаловать в новый дивный мир. Протоколу 35 лет, есть оборудование на сигнальной сети операторов против махинаций с сигнальным трафиком, но тут классика «щит-меч». Меняются алгоритмы, меняются сигнатуры обнаружения.
                                                                                                                                            0
                                                                                                                                            Протоколу 35 лет, есть оборудование на сигнальной сети операторов против махинаций с сигнальным трафиком, но тут классика «щит-меч». Меняются алгоритмы, меняются сигнатуры обнаружения.

                                                                                                                                            Наверняка можно фильтровать запросы по ACL, но этого почему-то не делают.
                                                                                                                                          +3
                                                                                                                                          Я выше описал как бы услугу отключали спецы, у вас явно какие то пионЭры работали.

                                                                                                                                          Вы слишком хорошего мнения о спецах ФСБ. На деле там всё не так радужно с кадрами, а учитывая, что у их спецов полная безнаказаность, то зачем заморачиваться и заметать следы? Скажут в очередной раз «ихтамнет» (с) и всё. Ну или как с тем же полонием наследили по всей Европе, и что? Жертва сама нализалась полония, а спецу — депутатская неприкосновенность.
                                                                                                                                          +1
                                                                                                                                          Для осуществления атаки нужен доступ к SS7 в любой точке мира, местонахождение абонентов не имеет никакого значения. Затирать логи можно по разным причинам. Подключать и отключать услуги можно через ту же SS7, например посредством USSD.
                                                                                                                                            +4
                                                                                                                                            А какой USSD-код надо набрать, чтобы заставить сотрудника МТС сказать клиенту «Услугу коротких сообщений вам отключил наш отдел тех. безопасности»?
                                                                                                                                              –2
                                                                                                                                              Да, еще есть ussd-код, который в офисе печатает документ с логом отключения услуг и ставит печать.
                                                                                                                                                +4
                                                                                                                                                Извините, мы не отвечаем за отдел безопасности МТС. Цель статьи — показать возможность атаки без лишней «теории заговора».

                                                                                                                                                Но кстати, если уж вы любите конспирологию, то должны понимать, что при недостатке информации можно всегда сочинить контр-теорию.

                                                                                                                                                Например: отдел безопасности телекома мог отключить SMS именно для того, чтобы *предотвратить* развитие атаки. Мы ведь не знаем, когда и на каком уровне их ломанули, и сколько абонентов были атакованы. Возможно, что они обнаружили подозрительные транзакции и на всякий случай заблокировали ряд сервисов (но было уже поздно).

                                                                                                                                                И это далеко не единственный возможный вариант. Но ещё раз: здесь статья об одном реальном варианте атаки. А не о всех гипотетических вариантах.
                                                                                                                                                0
                                                                                                                                                Плюс, описанная вами атака вроде как позволяет взломать абонента любого оператора? Почему же это произошло только с абонентами МТС (Албуров, Козловский, Ярмыш, Кац)? У злоумышленников какой-то фетиш на МТС?
                                                                                                                                                  0
                                                                                                                                                  >Почему же это произошло только

                                                                                                                                                  А почему вы решили, что «только»? Атаки, о которых сразу же становится известно и жертве, и прессе — это лишь небольшая часть успешных атак. Согласно исследованию FireEye (M-Trends 2015) сейчас среднее время нахождения хакера во взломанной сети до обнаружения составляет более 200 дней. Так что советуем подождать — может быть, всплывёт и более интересная переписка.
                                                                                                                                                +3
                                                                                                                                                alburov, вы уже включили двухфакторную авторизацию?
                                                                                                                                                Вы уже начали пользоваться секретными чатами?
                                                                                                                                                  +3
                                                                                                                                                  Кстати, десктопный клиент Telegram, если мне не изменяет память, до сих пор не умеет секретные чаты, что делает их довольно бессмысленными, если среди устройств есть десктоп.
                                                                                                                                                  И вот этот момент очень не вписывается в картину «Telegram — безопасный мессенджер».
                                                                                                                                                    0
                                                                                                                                                    При этом, плагин к Pidgin поддерживает секретные чаты.
                                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                        0
                                                                                                                                                        Дайте угадаю, вы говорите не про «дефолтный» десктопный клиент Telegram Desktop, который продвигается через сайт Telegram, а через «сторонний» клиент Cutegram?
                                                                                                                                                        Или быть может, тикет в репозитории — бред и я просто не нашёл где создать секретный чат и по случайности не вижу секретные чаты?
                                                                                                                                                          +1
                                                                                                                                                          в десктопной версии нет секретного чата — только обычные.
                                                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                              0
                                                                                                                                                              Внебрачные скриншоты моего Telegram Desktop 0.9.48 из пакета net-im/telegram-desktop-bin из оверлея jorgicio в Gentoo Linux
                                                                                                                                                              image

                                                                                                                                                              Очевидно, вы пользуетесь не кроссплатформенной версией Telegram Desktop, а специальной версией под Mac OS X, которая является совсем другим проектом. Можно порадоваться за пользователей Mac OS X, но это не меняет ситуации с основным клиентом.
                                                                                                                                                              до этого пользовался официальным линуксовым клиентом, и там тоже секретный чат присутствовал

                                                                                                                                                              Вы всё ещё можете показать скриншоты Telegram Desktop для Windows/Linux с секретными чатами. Я же ещё раз оставлю эту ссылку здесь.
                                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                  0
                                                                                                                                                                  Возможно, у вас был Cutegram. Либо начали общение вы в секретном чате с телефона, но потом с компьютера продолжили уже в обычном, т.к. секретные чаты не отображаются (и не отображались на моей памяти) в Telegram Desktop.
                                                                                                                                                                  UPD: К слову, речь не в «выходе при желании». Телеграм заявляют как очень безопасный мессенджер. Но то самое, предлагаемое по умолчанию большинству пользователей решение не является настолько безопасным, насколько сказано в этих заявлениях. Понятно, что гики всегда что-нибудь придумают. В конце концов, могут даже OTR прикрутить в качестве костыля. Но это не отменяет того, что подавляющее большинство end-user'ов не защищено ничем, кроме обычного TLS на транспортном уровне.
                                                                                                                                                      0
                                                                                                                                                      Пожалуй, всё-таки вступлюсь за МТС: если их «склонили к сотрудничеству» о обязали молчать — они будут молчать, какие бы сайты не создавались и сколько бы абонентов от них не уходило. Более того, в этой ситуации находятся вообще все Российские операторы.
                                                                                                                                                        +2
                                                                                                                                                        Они могут молчать не только из за того что их заставили, могут молчать банально из-за корпоративной этики и чтобы не выносить сор из избы.
                                                                                                                                                          +1
                                                                                                                                                          А могут и не поэтому. И этого мы, возможно, никогда не узнаем.
                                                                                                                                                      +4
                                                                                                                                                      В упомянутом документе с описаниями сценариев было сказано, что для осуществления всех этих атак нужна одна малость — подключение к сети оператора. Причем не такое, какое можно получить легально (будучи, к примеру, контент-провайдером). Оно прямо у вас было на этом тесте? Если да, то получено легально, по договоренности с оператором? В моем понимании это основополагающий момент для всей публикации.
                                                                                                                                                        +9
                                                                                                                                                        Dсе подобные вопросы они игнорируют, и я думаю, правильно делают. Еще нахватало армии скрипт-кидди вломившейся в SS7.
                                                                                                                                                        +1
                                                                                                                                                        От этого можно защититься, если проверять IMSI и MSC/VLR по белому списку перед отправкой?
                                                                                                                                                          0
                                                                                                                                                          После прочтения Вашей статьи вот эта новость life.ru/406279 заиграла новыми красками, хотя она (новость) и выглядит как фейк.
                                                                                                                                                            0
                                                                                                                                                            Опять кто-то кого-то «изнасиловал»:
                                                                                                                                                            """
                                                                                                                                                            При этом собственно электронную подпись россиянину теперь будут выдавать при личной явке после получения от него ответа на запрос по номеру мобильного, указанного гражданином.
                                                                                                                                                            """

                                                                                                                                                            Как выглядит «электронная подпись», которую можно выдать?!!!
                                                                                                                                                              0
                                                                                                                                                              Она на носителе, УЭК.
                                                                                                                                                                –1
                                                                                                                                                                Там не про УЭК и не про средства ЭЦП на токене.

                                                                                                                                                                Вы статью читали? Она небольшая:
                                                                                                                                                                «Сегодня для получения многих госуслуг, связанных с денежными операциями или персональными данными, россиянину требуется электронная подпись. Минкомсвязи предложило добавить в постановление правительства „Об использовании простой электронной подписи при оказании государственных и муниципальных услуг“ (№ 33 от 25 января 2013 г.) новые подпункты. При использовании сотовой связи подтверждением волеизъявления россиянина на использование простой электронной подписи для получения государственной или муниципальной услуги или передачи её результата третьим лицам смогут служить его ответы на запросы сайта госуслуг. Для этого будет использоваться номер мобильного телефона, который сам россиянин ввёл в своём личном кабинете на сайте госуслуг.»

                                                                                                                                                                Речь об использовании моб. связи в качестве простой ЭП. И в конце, да, после того как услугу уже оказали по этой простой ЭП, «настоящую ЭП» выдадут уже лично.
                                                                                                                                                                  +1
                                                                                                                                                                  Ну вопрос не про статью был (:

                                                                                                                                                                  >Как выглядит «электронная подпись», которую можно выдать?!!!
                                                                                                                                                                  Я и написал про УЭК.

                                                                                                                                                                  Если исходить из статьи, то мне кажется что «простая электронная подпись в виде СМС» появится после прохождения семи кругов ада с получением УЭКа. Либо мы все равно должны будем заверить свою личность в отделении каком-либо, для привязки номера.
                                                                                                                                                            +3
                                                                                                                                                            Это все очень интересно, но никак не объясняет отключение сервиса смс для абонентов со стороны мтс.
                                                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                +5
                                                                                                                                                                Очевидно, что у нее нет другого способа добраться до домашней сети :)
                                                                                                                                                                0
                                                                                                                                                                Можно подробнее про регистрацию в сети без симки, только зная MSISDN и IMSI? Пока не очень согласуется вот с этим, например: pro-gsm.info/gsm-auth.html
                                                                                                                                                                  +1
                                                                                                                                                                  Подробнее есть здесь https://www.ptsecurity.ru/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf
                                                                                                                                                                  или на русском- http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf

                                                                                                                                                                  Если коротко, регистрации никакой нет, это воздействие на роутинг — мы просто сообщаем железкам оператора о том, что этот абонент теперь зарегистрировался у нас, и все служебные сообщения, предназначенные этому абоненту, адресуются нам.
                                                                                                                                                                    0
                                                                                                                                                                    del
                                                                                                                                                                      0
                                                                                                                                                                      Так «регистрации никакой нет» или «сообщаем, что этот абонент теперь зарегистрировался у нас»?
                                                                                                                                                                      Я не силен в МАР и допускаю, что у него нет стейт-машины, и в HLR без предварительной аутентификации абонента в гостевой сети может прийти updateLocation «оппа, я уже в Намибии, шлите все сюда» (кстати, не вижу ответа на updateLocation среди скриншотов). Тогда что будет, если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?
                                                                                                                                                                        0
                                                                                                                                                                        — сообщаем, что этот абонент теперь зарегистрировался у нас» -именно;
                                                                                                                                                                        — «оппа, я уже в Намибии, шлите все сюда» -именно так;
                                                                                                                                                                        — «кстати, не вижу ответа на updateLocation среди скриншотов» -пакет номер 8;
                                                                                                                                                                        — «если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?» — периодические updateLocation происходят раз в 6 часов, чтобы совершить атаку нужно несколько десятков секунд. Есть еще вариант что абонент переместится и сменит LAC, но это происходит тоже достаточно редко, на всю Москву десяток LAC. Но если вдруг допустить такое событие, то просто нужно будет отправить еще один updateLocation.
                                                                                                                                                                          0
                                                                                                                                                                          Спасибо, интересно. Пакет 8 видел, я просто ожидал, что он тоже раскрыт будет, интересно было бы посмотреть.
                                                                                                                                                                    0
                                                                                                                                                                    В клиенте Телеграма на мобиле есть пункт в настройках — «Активные сессии» — штука хорошая, показывает все мои используемые клиенты и браузеры на других компах. Допустим меня взломали методом в статье, то я увижу активную сессию злоумышленника? А там и IP указан, что при невнимательном подходе с той стороны у них могут сразу возникнуть проблемы.
                                                                                                                                                                      –1
                                                                                                                                                                      Сессию увидите, проблема IP решается с помощью Tor, например
                                                                                                                                                                      +1
                                                                                                                                                                      А можно перевод pdf документа?
                                                                                                                                                                        0
                                                                                                                                                                        Можно :) Вот он
                                                                                                                                                                          0
                                                                                                                                                                          Получить IMSI конечно можно и другим путём, но вот как перерегистрировать его на свой терминал? Можете сказать, что вы использовали (именно на ваших скринах)? Собственная сборка? Если да, то как собрать, великий гугл не дал ответа, уже пару часов копаюсь. Спасибо.
                                                                                                                                                                        0
                                                                                                                                                                        Скажите, а перед взломом вы закрыли сессию на первом устройстве? Ведь Телеграм не присылает смс на номер, а пишет сообщение с кодом в самом чате от своего бота, если хотя бы на одном устройстве есть активная сессия пользователя. Как можно в реальности применить этот способ без прямого доступа к устройству жертвы, чтобы разлогиниться на его устройстве? Если я не прав, поправьте, пожалуйста.
                                                                                                                                                                          0
                                                                                                                                                                          Выбор куда отправлять код появляется только при запущенном приложении на одном из устройств. В iOS процесс закрывается через какое-то время после сворачивания.
                                                                                                                                                                            0
                                                                                                                                                                            Вырубить устройству передачу данных, вот и не будет активной сессии.
                                                                                                                                                                              0
                                                                                                                                                                              Да, Telegram присылает код на девайс с открытой сессией, но при попытке авторизации на другом устройстве можно нажать «не получил код», и тогда он придет в виде SMS. Кроме того, после перерегистрации абонент теряет доступ к GPRS/3G/LTE, и если у него нет подключения к WiFi в текущий момент, то и активной сессии тоже нет. Мы не закрывали сессию специально, доступа к аппарату жертвы не нужно.
                                                                                                                                                                              0
                                                                                                                                                                              Красивая теория, но выглядит она мягко говоря сомнительно, если учесть что взломанные «товарищи» взяли официальную бумагу — биллинг из которой следует что сервис СМС сообщений отключался технической поддержкой МТС именно в момент осуществления взлома.
                                                                                                                                                                              Извините, но я верю бумагам с печатью, а не каким то красивым теориям перехвата СМС сообщений хакерами.
                                                                                                                                                                                +1
                                                                                                                                                                                Корреляция двух событий не означает, что первое событие стало причиной второго. Это даже в средней школе объясняют.
                                                                                                                                                                                  +1
                                                                                                                                                                                  А нужна ли корреляция в данном случае?
                                                                                                                                                                                    0
                                                                                                                                                                                    Тому, кто верит бумагам с печатью — наверное, не нужна.

                                                                                                                                                                                    Хотя до сих пор непонятно, почему из этой бумаги следует такое уверенное «участие спецслужб». Отключить абоненту SMS можно по разным причинам. Например, чтобы остановить уже идущую атаку. Представьте, что система безопасности оператора фиксирует массовую утечку, а затем — массовую рассылку SMS с запросами на авторизацию. Вы бы что сделали в этом случае? Подождали бы до завтра, пока у всех ваших абонентов уведут аккаунты?