Comments 497
2. Тут все ок, вопросов нет
да я бы так не сказал. Владея адресами, вы можете легко сделать анонс нужного IP-prefix в любой точке подключения к сети подконтрольного оператора связи (или даже транзитного оператора), реализовав схему, известную как "MITM". Это можно сделать, впрочем, даже не будучи законным владельцем соответствующей автономной системы (AS) — догадаетесь когда операторы связи примут такой ваш анонс на вполне законных основаниях(?). Но — владелец AS это может делать гораздо свободнее, по определению — особенно там, где подконтрольных операторов нет. Впрочем, учитывая доступ к оборудованию в DC, это всё несколько избыточно всё равно. Хотя, кто сказал, что запасные варианты это плохо, особенно когда они по факту могут оказаться более удобными сами по себе или в комплексе.
P. S. Они там ссылочки про BGP приводили, продолжим традицию: https://en.wikipedia.org/wiki/BGP_hijacking
Издание IStories обнаружило доказательства того, что все сетевые коммуникации в инфраструктуру Telegram и из нее проходят через компанию, связанную с российскими спецслужбами.
Сова и глобус - созданы друг для друга.
В отсутствии доказательств процитированного утверждения (доказательств в общепринятом смысле этого слова, а не в стиле "ежели два россиянина были в городе во время покушения, то они его хайли лайкли и совершили).
Да, да, смешно
Конечно, тот факт, что инфраструктуру Телеграм контролируют люди, которые сотрудничают с ФСБ и то, что мессенджер в открытую передает идентификаторы пользователя - это просто такое совпадение.
Ничего необычного, спите спокойно
тот факт
Так где "факт"-то? В статье только домыслы (которые могут быть верными или нет - но домыслы).
P.S.
в открытую передает идентификаторы пользователя
Не пользователя. Если вы говорите о технической части - соблюдайте точность формулировок. Да, по всей вероятности, этот идентификатор можно легко проассоциировать с пользователем, но "идентификатором пользователя" он не является.
Домыслы в чем?
В части того, кто обслуживает инфраструктуру телеграмма?
Или в том, что auth_key_id передается в открытом виде?
Я в самом первом комменте написал. Хорошо, давайте войдем в рекурсию - https://habr.com/ru/articles/917154/comments/#comment_28419862 .
Так вот же, ссылку публиковали в статье на публикацию самой Глобалнет: https://gblnet-ru.gbl.dev.it-service.io/news/39
Не вижу по ссылке ничего про "связь со спецслужбами".
А они должны были так и написать «нас крышует ФСБ»? 🤣
Я не знаю, что они "должны были написать", почему, а также зачем вы меня об этом спрашиваете. Это ведь вы, а не я, привели ссылку как "доказательство" связи с ФСБ, вот и объясните, как эта "связь" оттуда следует.
У вас какой-то бесмысленный спор как по мне. Телегу норм использовать для трёпа и потребления контента, но для чего-то ценного в плане приватности лучше использовать суровые гиковские решения, не требующие никаких цифровых отпечатков вроде номера телефона.
Это по-моему должно быть очевидно любому квалифицированному айтишнику безотносительности мутности хозяина сервиса и его отношений со спецслужбами.
Централизовано, имеет закрытые компоненты, требует номер телефона -> о какой приватности и анонимности может идти речь, лол. Понятно же, что это изначально попсовое решение, в лучшем случае косплеящее какую-то секурность.
Проблема в том, что если вы, например, в ходе трёпа где-нибудь напишите в публичном чате, что Эдуард спалил амбар Святослава по пьяни, тогда как государство Российское называет это терактом, то вы можете огрести уголовку за оправдание терроризма.
Если вы живёте в коричневой юрисдикции (т.е. в зоне произвола), то никакой мессенджер вас не защитит от набутыливания за публичные разговоры, которые идут вразрез с нарративами фюрера. Потому что вы не можете быть уверенным в том, что ваш собеседник в том же Briar - не шнырь фюрера, получивший из ваших прошлых бесед некоторые личные данные о вас.
Такое чинится переездом в более человечную юрисдикцию или уходом во Внутреннюю Монголию. То есть если вы по каким-то причинам до сих пор живёте в России, то из понятия "трёп" стоит исключить вообще всю политику и все происшествия. Таковы реалии жизни в коричневой диктатуре.
Если же вам нужен канал общения со 100% надёжными людьми, то Телегу рассматривать просто смешно, да.
Интересная формулировка.
А где еще должен жить гражданин России как не в России?
Корректнее вопрос формулировать "Если вы, россиянин, по каким-то причинам проживаете уже не в России.."
Кстати, просто любопытство, а вы сами где проживаете, когда столь авторитетно и безапелляционно заявляете о реалиях жизни в коричневой диктатуре?
Вы хотите уверить меня (а в действительности - самого себя), что диктатура в России не такая коричневая? Или что это не диктатура? Можете не напрягаться, у меня глаза на месте, и голова тоже. Себе можете аутотренингом что угодно внушать.
Корректнее вопрос формулировать "Если вы, россиянин, по каким-то причинам проживаете уже не в России.."
Это было бы корректнее, не будь в России парафашистской диктатуры, которая развязала агрессивную войну. При таких условиях нормально эмигрировать, а вот оставаться в стране - не очень (не очень умно и безопасно, прежде всего). Впрочем, я не осуждаю, у людей бывают непреодолимые причины остаться (отсутствие финансовой возможности, например). Я лишь про изменения в представлениях о нормальности.
Меня вот уже четвёртый год мучает вопрос: как же выглядит "неагрессивная война"?
Как оборонительная же. Скажем, в СССР власти незачем было 3+ года изобретать причины войны одна охренительней другой с боевыми комарами Вермахта - несмотря на то, что сталинский режим многим не нравился, люди в массе своей чётко понимали, что они защищаются от врага и их дело правое. А сейчас люди в массе своей понимают, что дело пахнет ультраправым, поэтому массового энтузиазма как-то не видно, приходится шаманьи пляски подключать.
Отлично, теперь расскажите, как можно развязать "оборонительную войну".
расскажите, как можно развязать "оборонительную войну".
Как-то так
Если есть знакомые, жившие в СовСоюзе - спросите у них про мантру "коварный враг в первые же часы войны захватил 80% нашей авиации, а ещё за пару дней - 60% бронетехники".
А в чём проблема-то?
В некритическом восприятии.
Восприятии кем и чего?
Людьми - любой важной информации, вроде очевидно.
Людьми - любой важной информации, вроде очевидно.
Нельзя сказать, что человеку XXI века особо важна информация о том, как располагалась авиация на аэродромах в середине прошлого века.
Речь не о том, где что располагалось, а о том, как сотни миллионов людей спокойно не замечают/фильтруют очевидное.
Я не знаю, что там «очевидно» для лично Вас. Для параноиков тоже вполне очевидно, что за ними следят спецслужбы. А с год назад один дяденька прямо на Хабре рассказывал, что над ним злодеи поселились и у него по потолку шары катают.
Подсказка: самолёты и танки - сугубо наступательная техника.
подсказка - кухонный нож наступательная техника. Тяпка наступательная техника. Мотыга наступательная техника. Кулак, локоть, колено, нога, лоб - наступательные средства. Зубы, опять же.
Потому что "наступательная техника" от "оборонительной" не отличается ничем, совсем. Ну, может, подвижностью. Неподвижный дот нельзя свдинуть на десяток километров левее, где внезапно ухудшилась ситуация. А танки можно. А ещё лучшая оборона - это атака, встречная, опережающая, отвлекающая, рессеивающая ресурсы нападающего на отражение атаки обороняющегося. И даже цели ударов в обороне будут те же - узловые станции, базы снабжения, штабы, важные объекты вроде радаров/центров связи/заправок/аэродромов.
А про самолёты в ПВО, ПЛО, поддержке войск переднего края и разведке, и танки в контрударах, обороне и укрепрайонах со времён резуновских автострадно-агрессорных фантазий написано уже много было.
Отличается. Танки в обороне не участвуют - участвуют дзоты и ПТР. Самолёты - опять же, ПВО + на переднем крае в случае обороны очевидным образом минусуются.
Но не буду спорить с идеологией.
Танки в обороне не участвуют
"ВОЕНИЗДАТ НКО СССР 1941
Пособие для бойца-танкиста
...
(часть) 6. Танки в обороне
Танки являются главным образом средством наступления, но тем не менее они успешно действуют и в оборонительном бою. В обороне танки чаще всего действуют совместно с пехотой. В зависимости от обстановки танки в обороне могут располагаться группами по 2-3 танка, повзводно, поротно и целыми батальонами. При наступлении противника танки встречают его вначале огнем с места, затем выходят во фланг и тыл наступающего, отрезают ему пути отхода и совместно с пехотой уничтожают его.
...
(про применение в обороне в качестве квази-артиллерии)
Стрельбу танк ведет как "кочующее орудие". После двух-трех выстрелов с основной позиции танк быстро покидает ее и открывает огонь с другой позиции, расположенной в 50-100 метрах от первой (рис. 47)
...
" тут, например
"
Кузнецов, Т. П.
Тактика танковых войск
...
Глава VI.
Оборона
Основы применения танковых частей и соединений в общевойсковом оборонительном бою
Танковые войска по своим боевым свойствам являются средством наступательного боя, но это ни в какой мере не исключает возможности применения их и в обороне, особенно на этапах наибольшей ее маневренности (переход от обороны в контрнаступление, контрудары перед передним краем, контратаки внутри оборонительной полосы), и в тех случаях, когда оборона в целом принимает одну из подвижных форм боя (подвижная оборона).
...
Как правило, танки применяются в общевойсковом оборонительном бою. В исключительных случаях танковое соединение может вести, самостоятельно организованные оборонительные действия в подвижной форме и на широком фронте.
...
Инженерное обеспечение танковых войск в обороне будет выражаться в подготовке направлений для их контратак и искусственных укрытий для ведения огня танков с места по прорвавшимся танкам противника. Особое внимание уделяется тщательной маскировке танков на их позициях.
...
Танки применяются в обороне как ночью, так и при плохой видимости (туман, дождь и т. д.), ибо боевые действия в обороне, как и в других видах боя, не ограничиваются ни временем суток, ни состоянием погоды. [141]
Как показал опыт современных войн, применение танков в обороне ночью лишь ограничивает их подвижность, но оставляет неизменными силу огня и удара на ближних дистанциях.
Использование танков ночью возможно внутри оборонительной полосы и перед передним краем.
...
Танковое соединение, предназначаемое для действий в оборонительном бою стрелкового корпуса, к моменту назревающей угрозы будет обычно сосредоточено за пределами оборонительной полосы в готовности оказать содействие одному из корпусов.
С получением приказа о выделении танков для содействия данному стрелковому корпусу организуется марш танкового соединения из района его сосредоточения в выжидательный район, выбираемый вблизи тыловой оборонительной полосы корпуса или вблизи места расположения его резерва.
При этом марш танкового соединения должен совершаться с соблюдением мер строжайшей скрытности и постоянной готовности к развертыванию и ведению встречного боя с прорвавшимся подвижным противником.
" вот тут
И теория применения разрабатывалась, и практика применения излагалась, и применялись(уж про Колобанова и Курскую битву вы точно слышали - причём во второй в обороне танками стояли сперва советы, затем немцы). Участвовали и поныне участвуют. И как о-стационаренные укрепления(временно или на-постоянной основе - как окопанные танки на Дальнем Востоке), и как мобильные резервы перехвата и контрудара.
Кое-кто вообще свои танки разрабатывал исходя именно из ведения ими обронительных боёв в первую очередь и ведения огня из укрытий, из-за преград и из засад - шведы и евреи первыми вспоминаются с безбашенным STRV и Меркавой.
Такая вот "идеология".
Танки в обороне не участвуют
Да что ви такое говорите
Положение «танк в окопе» — огневая позиция танка, при нахождении на которой во фронтальной зоне видимости находятся только ствол и лобовая часть башни танка, тогда как остальные его части полностью скрыты. По оперативно-тактическим нормативам скрытый таким образом танк соответствует трём-четырём танкам неукрытым.
ПВО + на переднем крае в случае обороны очевидным образом минусуются.
Дяденька также ничего не слышал о противозенитных манёврах
Подсказка: самолёты и танки - сугубо наступательная техника.
Так и запишем: мсье ничего не знает про истребители, про бомбёжку наступающих колонн на марше, про встречные танковые бои, и т.д и т.п.
А применение в (ЖЁСТКИЙ ОФФТОПИК) истребителей-завоевания-превосходства-в-воздухе(и, до кучи, стелса) и бомбардировщиков в радиолокационном дозоре и перехвате прямо актуальнейшее даже, да и тянитолкаи оборонительные танками с обеих сторон.
То есть совсем актуально примеры есть, и фото танков на Дальнем Востоке давнейше есть, и тот же Колобанов как ярчайший пример.
И это не вспоминая те же японские проекты танков береговой обороны ВМВ, с орудием 140мм(противоминное орудие японских линкоров).
Оборонительная. От агрессора, перешедшего твою границу и захватившего твою землю
Тут уже достали главный козырь джугашфилов - "Мы нападали, но с оборонительными целями".
Оборонительные бои и оборонительные операции происходят у всех сторон во всех войнах, кроме тех, где всё "в одну калитку" и инициатива наносить удары всегда у одной.
По этой причине можно приводить в пример, например, немецкое применение танков в обороне в ходе Великой Отечественной - а оно там было, и было именно обронительным. Причём в ходе изначально их же наступательной операции, когда "что-то пошло не так".
Разговор с "оборонительная война" на "сугубо оборонительное/наступательное оружие" перевели именно Вы:
Подсказка: самолёты и танки - сугубо наступательная техника.
Танки в обороне не участвуют - участвуют дзоты и ПТР. Самолёты - опять же, ПВО + на переднем крае в случае обороны очевидным образом минусуются.
Примеры применения именно "наступательного" оружия в оборонительных действиях Вам привели.
То, что Вас не устраивает эта реальность и эти, и исторические, и актуальные, факты - это уже не рационализация.
Как здесь уже писали мне - и нож, и зубы, и табуретка - всё можно использовать для обороны. Но бык - лучше: наступательное вооружение гораздо эффективнее и дешевле использовать при нападении, а для обороны - оборонительное. Хотя что коммунисты понимали в военном деле...
наступательное вооружение
... попросту не существует. Существует просто вооружение. Потому что даже ядерную бомбу и минные поля можно использовать в обороне(и мины - используют). Теоретически, можно и орбитальные ломы с метеоритами ронять в целях обороны.
А "оборонительные" ПТРК или ПВО, например, прекрасно используют в наступлениях. Или бульдозеры, "наступательно-штурмовые" бульдозеры, которые вовсе оружия не несут, но используются в городской среде - тема вполне конца 20 - начала 21-го века. Или лопатка малая сапёрная какая, или каска. Доты и крепости - использовали как опорные пункты в операциях, заставляя противника на них отвлекать силы(потому что не отвлёкшись он мог оттуда получить удар прикрытых укрепрайоном войск; а отвлёкшись тратил возможности манёвра силами).
А разгадка просто - "наступательное" и "оборонительно" это только и исключительно по отношению к действиям применимо. И оружие в этих действиях может участвовать, а может и не участвовать, причём любое. И только в прочтении конкретных групп людей эти действия получат метки. У других групп оно может быть другим. Политика это, политикой и определяется что чем когда обзовут.
Бритва сия как раз работает против искусственного(и неудачного) деления на "это вот наступательное оружие, и в обороне оно не применяется; а вот это оборонительное, и наступлении не применяется".
А против исторических фактов она вообще не работает - применяются разные средства во всех видах операций разных конфликтов/войн/столкновений, разным способом, вне зависимости от обзывания/классификации систем политиками и журналистами.
Если Вы для опровержения простого вывода привлекаете выписки из ГОСТов и сборники парадоксов - то это как раз её клиент. Но - не буду спорить с убеждениями.
Да, вот прямо так и вижу
— Почему вот тут вот немцы провались? Мы же дали вам кучу танков!
— Ну, понимаете, то были наступательные танки, а нам пришлось обороняться!
ну формально оборонительное и наступательное оружие может различатся например сроком службы и необходимым обслуживанием
условно, наступательный танк должен иметь возможность уехать далеко вперед и быть отремонтированным в любой канаве и залить его систему охлажения можно водой из речки...пока его догонит техника снабжения...
а оборонительный всегда будет находится рядом с базой обслуживания и вообще в щадящих условиях
также всякое ПВО, взять какиенить управляемые ракеты, при наступлении - надо обеспечивать связь с ними на территории противника, при обороне вся ваша инфраструктура доступна для этого
по
ну нету такого деления по факту, нету. Нету "а вот специальный танк для обороны"(хотя STRV-103 к этому очень и был близок, но самоходки в атаку ходили тоже) - есть танк который есть тут, а понадобится им только сидеть в укреплении или прорывать фронт - это по актуальной ситуации. С него могут снять двигатель и сделать долговременным неподвижным укреплением - обычно, когда от него пользы только орудие и осталось, а подвижность уже плоха и/или защищённость уже пробивается чем угодно. А ещё ведь были передвижные доты - которые таскать/возить можно; вроде как для обороны, а по факту можно усилить фланг перед наступлением, сделав временное укрепление для снижения опасности
Вписывание ПВО в контур управления как проблема и действие - есть и в обороне, и в наступлениию. Есть системы, способные с вести огонь с ходу или сразу с остановки, есть не способные. Но связывать их воедино необходимость есть всегда.
Вот броненосцы береговой обороны как класс делать пытались. Только погибли они во время наступательной операции, где показали что "ухудшать что-то ради обороны" дело гиблое, экономия меньше, чем потеря возможностей и гибкости. Плавбатареи(те же "поповки"), конечно, в атаку никто не водил - но не из-за "только для обороны", а из-за совокупности характеристик и банального отсутствия необходимости так делать.
как же выглядит "неагрессивная война"?
Торговая, холодная и т.п.
Для понаехавших поясняю: торговая война - это агрессивная торговая конкуренция. Собственно "война" тут употребляется в метафорическом смысле, подчёркивая аналогию с войной настоящей. А Холодная Война - оксюморон, подчёркивающий всестороннее противостояние на грани войны настоящей.
Ну и для понауехавших с "глазами и мозгом на месте" (правда не том) тоже поясню: ретранслирование глупых тавтологий демонстрирует некритичность мышления и подверженность манипуляциям.
никакой мессенджер вас не защитит от набутыливания за публичные разговоры
Более того, никакой мессенджер и никакие разговоры в общем‑то и в принципе не нужны, ибо, как говорится, «был бы человек, а статья дайте мне 6 строчек, написанных рукой самого честного человека, и я найду в них то, за что его можно повесить» ©, а парочка самых честных свидетелей этих (никогда не существовавших в реальности) разговоров всегда найдётся.
Я не обсуждаю степень приватности, анонимность, не агитирую за или против телеги и т.п. Все, что я хочу - получить от автора и сочувствующих четкий и ясный ответ - где же в приведенном материале "доказательства" того, что весь трафик телеги проходит через компанию, "связанную" с российскими спецслужбами.
Чтобы принять решение о том, что те или иные вещи делать не стоит ибо рискованно, не нужны доказательства, достаточно подозрений.
Перечитайте, пожалуйста, еще раз комментарий, на который отвечаете. Принимать решения на основе чего бы то ни было или даже вообще безо всякой основы - ваше святое право. Но я этого вопроса не касаюсь вообще. В тексте сказано про доказательства, я их там не обнаружил и указал на это, попросив показать. Только и всего.
Принимать решения на основе безосновательных заявлений незнакомых дядек в интернете будто бы не слишком умно, даже если вдруг эти дядьки одномоментно массово начнут вам что-то советовать
где же в приведенном материале "доказательства" того, что весь трафик телеги проходит через компанию, "связанную" с российскими спецслужбами.
А Вам точно нужны доказательства того, что если Вы напишете что-то не то, на дом к Вам придут добрые дяди с чистыми руками? Или Вам всё-таки такой потенциальной возможности хватит?
вот и объясните
В сентябре 2024 года в посте Пару ласковых о Telegram я давал вот такую версию, когда я открыто предположил, что в команде разработчиков телеграм есть предатель/агент, который внедрил в код телеграма или библиотеки tdlib уязвимость, которая даёт возможность даже подключатсья к клиенту/смартфону со стороны сервера.
После чего я полностью отказался от использования мобильной и десктопной версии телеграм в пользу веб версии через браузер.
Подробности в этом комментарии: https://habr.com/ru/articles/840794/comments/#comment_27248936
Так где "факт"-то? В статье только домыслы (которые могут быть верными или нет - но домыслы).
А факт здесь и не нужен. Представьте, что ваш мессенджер, заявляющий, что он безопасен, регулярно распечатывает метаданные коммуникаций на бумаге и "забывает" их на лестницы здания на Лубянке. Он что-то гуда-то передаёт? Нет, что вы!
Я спросил мошенники они или нет, они сказали нет
Скрытый текст
а инфраструктуру интернет, через которую работает телеграмм и много другого, контролирует АНБ.
Ну что вы, это другое. Можно подумать мистер майор и товарищ майор чем то друг от друга отличаются.
Принципиально отличаются -- длинные руки мистера майора находятся в отличной от той, где проживаю я, юрисдикции.
Мистер Дуров думал тоже самое
Образ жизни мистера Дурова, прямо скажем, сильно отличается от моего, и риски у него другие.
Тогда с чего бы вам бояться государства?
Государства следует боятся всем, потому что оно склонно извиняться за перегибы на местах лет через 20 после того, как твои кости сгниют в васюганских болотах.
Разница между мной и Дуровым в том, что во Французской Республике я никогда не бывал и бывать не собираюсь, а значит мсье майор лично мне никакой опасности не представляет. В отличие от Дурова.
Да если даже смотреть на опыт Дурова, то когда к нему пришли товарищи майоры результат был совершенно иным, чем когда к нему пришли мисье жандармы. Оценку какой результат лучше/хуже оставим за скобками, у всех "предпочтения" разные, но вот результат общения был принципиально разным.
мсье майор лично мне никакой опасности не представляет. В отличие от Дурова.
А какую опасность для Вас представляет Дуров?
а инфраструктуру интернет, через которую работает телеграмм и много другого, контролирует АНБ.
Именно. Поэтому никаких персистентных идентификаторов устройств, передаваемых открытым текстом, быть не должно. И неважно, появились ли они в протоколе по недосмотру или по "недосмотру".
просто один вопрос - значит фсб имеет доступ к переписке и логинам паролям телефонам котролирует тг и зачем им этот ID?
З А Ч Е М ?
они же по словам влажных историков имеют доступ к серверам павел агент фсб и это все бекдор?
Тут даже не сова и глобус а сова и дирижабль. Потенциально за вами ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ ВПН И ТОР может следить провайдер - ШОК срыв покровов.
"Ктото гдето работал сотрудничал с чем то о чем то" ого чтото интересное, но ведь ни в расследовании ни в нормальных новостях нет нет взломанных секретных переписок.
Тоесть они могут читать все но терпят и ждут. удивительно умное поведение от авторов 24.02.2022
может следить провайдер - ШОК срыв покровов.
нет нет, провайдер может следить только там где вы к нему подключены
а тут можно следить за вами ВЕЗДЕ где вы подключены, через любой тор/впн/чёугодно
вы буквально добровольно тегаете все свои пакеты уникальным ИД который почти никогда не меняется, а сервер через который этот пакет проходит подконтролен товарищу майору...ему даже не надо читать что вы пишите
вы написали из электрички под воронежом сообщение в телегу? записали...вася чёто пишет из под воронежа (это мы поняли по айпишнику россйиского опсоса), а потом он уже пишет из нидерландов через тор и впн...потому что ИД телеги то один и тотже...и ему пофиг через какой канал ему идти...и товарищ майор уже знает что ты, васян юзаешь впн через нидерланды...сервак то подконтролен спецслужбе через который этот ИД проходит...ничего такого, он сообщения не читает, он просто трекает человека...как минимум
еще вам кейсов придумать как можно ерундовый ид использовать?
В том и дело, что в статье какой-то выдуманный прокси, который всё равно не имеет смысла без доступа к инфраструктуре самого Телеграма (чтобы сопоставлять ключ с пользователем). А если у тебя есть доступ к этой инфраструктуре, то и прокси тебе не нужен.
а тут можно следить за вами ВЕЗДЕ где вы подключены, через любой тор/впн/чёугодно
Ахаха. Нет. Тот способ, что использовал автор статьи, с анализом перехваченного трафика, работает только в отсутствии VPN и других методов туннелирования трафика. Если включить VPN, то все, что ты перехватишь, будет просто набор случайных байт в направлении определенного VPN сервера. Все.
Вы сейчас говорите про перехват трафика около клиента как в тестовой среде у автора. А оно может быть еще ближе к серверу (о чем тоже говорит автор) - между выходом из туннеля и сервером.
А еще может быть, что на всех серверах Телеги есть прямой SSH доступ прямо из офиса ФСБ. Будем любые пустые фантазии обсуждать?
Если юзер до этого подключился без VPN, а потом включил VPN - IP-адрес у юзера сменился, но благодаря открытому auth_key_id наблюдатели по-прежнему знают, что это вот он, и что он использует VPN с вот таким выходным адресом.
А если юзер опасается слежки и зашел через VPN с другого устройства. Или просто разлогинился и залогинился заново, то - усё, регламент. Все усилия спецслужб пошли прахом.
так в том и фишка что сервер перехвата стоит перед серверами телеграма и им плевать через какой впн вы ходите
причем сервера перехвата юридически телеге не принадлежат, по этому телега тут вся в белом и типа непричем....если не пытаться искать подтекст
товарищ майор уже знает что ты, васян юзаешь впн через нидерланды...сервак то подконтролен спецслужбе через который этот ИД проходит...ничего такого, он сообщения не читает, он просто трекает человека...как минимум
трекает, что Вася впнит через Нидерланды? И что? Майору и так об этом известно из данных СОРМ - так далеко ходить вовсе не надо.
Трекает, что СтрашныйПиратВасисуалий, написавший сообщение "порвём всех тузиков на грелки" в ыкстремистскую группу про игру в Майнкрафте, ходящий через Нидерланды - это тот самый Вася из электрички, пославший котиков в домовой чат? Это да, но персонаж, использовавший один и тот же аккаунт в защищённой и незащищённой среде прокололся не в точке выбора мессанджера, а раньше, возможно, даже в генетическом коде.
этот айдишник - странное решение, но, вовсе, не ужас-ужас, как пытаются представить.
еще вам кейсов придумать как можно ерундовый ид использовать?
Да, если не затруднит, пожалуйста. У меня что-то не получается придумать что может протечь СВЕРХ того, что и так известно существенно более простыми способами.
трекает, что Вася впнит через Нидерланды? И что? Майору и так об этом известно из данных СОРМ - так далеко ходить вовсе не надо.
больше информации - точнее данные
СОРМ он только на конкретное подключение распространяется, вот сейчас сижу я на фудкорте ТРЦ....СОРМу надо еще сопоставить что я это тот самый я что сижу у себя дома (мак ноута ведь провайдеру не виден дома)... а телега, которая запущенна параллельно в трее, меня уже давно сдала что да...я тот самый васян с улицы лизюкова в западном гадюкино, а еще я бываю у тещи в северном гадюкино и часто пишу через впн в нидерладах в запрещенных каналах телеги
этот айдишник - странное решение, но, вовсе, не ужас-ужас, как пытаются представить.
не ужас ужас конечно, точек трекинга полно, тотже яндекс с алисой и прочие мейлЫ с марусей полно тегов вешают на устройства пользователя...но они никогда и не отнекивались что они честные и пушистые
а Телега вполне себе официально заявляла что она самая честная безопасная и вообще чутьли не либертарианский рай на земле...а тут както не клеится
Да, если не затруднит, пожалуйста. У меня что-то не получается придумать что может протечь СВЕРХ того, что и так известно существенно более простыми способами.
какими простыми? слежкой?
так тег телеги сильно упрощает и без того простые способы..да еще и на весь мир действует
это же инструмент в дополнение к другим, а в прошлом репутация телеги еще и способствовала формирование имиджа телеги как независимой от гос-ва площадки из-за чего туда наползли все кто государство не любит.
СОРМу надо еще сопоставить что я это тот самый я что сижу у себя дома (мак ноута ведь провайдеру не виден дома)...
Зачем ему какие-то маки? У нас интернет фактически по паспорту. Вы сами себя деанонимизируете, когда авторизуетесь в сети.
а еще я бываю у тещи в северном гадюкино
Ну и? Тёща с помощью паяльника или даже без сдаст вас, когда к ней прийдут.
и часто пишу через впн в нидерладах в запрещенных каналах телеги
Если вы когда-нибудь засветили используемый аккаунт в незащищённом канале, то вы уже на карандаше. А если не засвечивали, то майор-на-дальнем-конце канала никак не определит, что это вы.
а Телега вполне себе официально заявляла что она самая честная безопасная и вообще чутьли не либертарианский рай на земле...а тут както не клеится
Не понимаю о чём вы. этот айдишник и факт того, что он передаётся открытым способом английским по белому описан в офицаильной спецификации протокола. То, что вы его не прочли и не поняли как этим пользоваться - это исключительно ваши проблемы. Или то, что какие-то идиоты малолетние хакеры путём безумного "расследования" обнаружили то, что хорошо документировано и подняли хайп - ну, это хорошо их характеризует.
И, нет, телега никогда не заявляла, что она обеспечивает анонимность. Только безопасность и ТОЛЬКО в защищённых чатах.
какими простыми? слежкой?
уже имеющимся сормом. Наверное, в вашей терминологии это слежка, но она ничем не отличается от слежки же на дальнем конце канала. Только проще. Сразу известно, что Вася - это Вася.
репутация телеги еще и способствовала формирование имиджа телеги как независимой от гос-ва
наличие айдишника делает телегу зависимой от государства? Смешно. Вы ещё на ip-адреса пожалуйтесь. Они ещё больше выдают вас. Интернет сам по себе - это весьма недоверенная среда. И обеспечить в нём анонимность - весьма нетривиальная задача для обывателя. Особенно, бездумно используя инструмент для этого не предназначенный и никогда не позиционировавшися таким образом.
из-за чего туда наползли все кто государство не любит
ну "наползли" они туда потому, что ничего удобнее в широком доступе нет, а то, что не умеют правильно пользоваться инструментом - ну, так кто ж нынче инструкции читает...
этот айдишник - странное решение
Да вроде ничего странного:
https://habr.com/ru/articles/917154/comments/#comment_28427258
вау, мейнстримный мессенджер сотрудничает со спецслужбами стран в которых он работает, открытие века
Вы кажется вообще не понимаете что означает "highly likely" в англоязычной культуре.
Или вы не улавливаете сарказм и не понимаете, что означает "highly likely" в русскоязычной культуре последних лет. :)
Это скорее как
Это уже оффтоп пошел, но нет, то, что вы описываете, в западном праве называется "beyond reasonable doubt".
есть фантастик-рассказ где ии-система признаёт что она бог тк для неё не существует времени те последовательности событий а к такому выводу она пришла (сначало сообщив что она и есть убийца) тк с помощью неё пытались понять (это уже было надёжной судебной практикой) преступление/убийство где жертва была на одном острове да все отпечатки&время&etc свидетельствовали кто точно убил а убийца в это время был на публичном собрании (да все свидетельствуют об этои) на другом острове физически не имея возможности переместится для совершения убийства - в рф наверное так используют хайли-лайки
(Участливо:) Вам коробочку знаков препинания отсыпать?
Я-то как раз понимаю. В русскоязычную культуру оно просочилось
Но если вы понимаете устоявшееся русскоязычное значение (и, соответственно, должны были прекрасно уловить сарказм), то зачем пытаетесь читать мне лекции по не имеющим отношения к делу вопросам?
а использование того или иного больше зависит от контекста.
Вас не затруднит привести какие-то конкретные примеры, где эти выражения использовались бы взаимозаменяемо (ну вот прямо когда суд признал кого-то виновным в уголовном преступлении, а в прессе про это пишут, что виновный "highly likely" его совершил)?
русскоязычной культуре
Не надо приравнивать локальные форсед-мемы хлопчатобумажных к русскоязычной культуре.
Как же прекрасно, когда охранители помечают сами себя...
Вас не смущает, что Возняк ссылается на статью "Важных историй", в которой "Важные истории" ссылаются, во-первых, на того же Возняка, во-вторых, на некую утечку базы данных погранслужбы ФСБ, которую уже не найти? И от этого уже раскручивается дальнейшая цепочка связи между ФСБ и Дуровым.
Фоном все это время идет абсолютно непредвзятое (нет) повествование о Телеге как приюте для террористов и педофилов, а также Сигнале, в котором нет уязвимостей (хаха!), и Вотсапе, который ни за кем не шпионит (хаха! два раза).
Вы сейчас пытаетесь аргументировано спорить с махровым демагогом, который перескакивает от "Хрень, по которой можно с крайне высокой степенью успеха (а при наличии Яровой - со 100%й степенью успеха) определить пользователя - не идентификатор пользователя" к "Да, мы едим людей, но белые люди тоже едят людей пока их никто не видит, так что всё окей", приправляя это древними мемами пропаганды.
Конечно, все, чье мнение отличается от вашего - это демагоги, пропагандисты, людоеды и далее по списку. Можно даже не смотреть, кто, кому и на что отвечает, а сразу разоблачать. Вот уже и сам автор поста вам поддакивает.
махровым демагогом, который перескакивает от "Хрень, по которой можно с крайне высокой степенью успеха (а при наличии Яровой - со 100%й степенью успеха) определить пользователя - не идентификатор пользователя" к "Да, мы едим людей, но белые люди тоже едят людей пока их никто не видит, так что всё окей", приправляя это древними мемами пропаганды.
Тогда вас не затруднит указать, где я все это прокрякал? Может, хоть один древний мем пропаганды найдете?
Могу даже предположить, что они делали совместное расследование
Почему тогда об этом ни слова не сказано?
Утечка погранслужбы фигурирует только в одном небольшом эпизоде
Не в эпизоде, а в разделе статьи "Миф об изгнании". И далее про эту утечку есть отдельная статья, можете сами пройти по ссылке и убедиться.
Там только сказано, что такой уязвимости как в протоколе телеги, в них нет.
Иронию вы не считали, но хотя бы по поводу непредвзятости авторов статьи вопросов нет.
Там только сказано, что в них нет такой уязвимости как нашлась в протоколе телеги.
Вот же у вас написано:
Павел Дуров лично продолжал атаковать и оговаривать конкурентов с полностью сквозным шифрованием, таких как Signal — причем совершенно необоснованным образом.
Конечно же, все претензии к Вацапу и Сигналу — это всё оговор и безосновательно. К слову, статья по ссылке просто перечисляет несколько из десятков(!) претензий Дурова к WhatsApp и Signal и насыпает поверх спекуляций о том, на чём они могли быть основаны, без единого обоснованного опровержения.
В статье не расписывается, которые из претензий Дурова — «безосновательны», и именно у Дурова к ним претензий было десятки. В статье просто накидывается «продолжал атаковать и оговаривать совершенно безосновательно» без каких-либо пояснений, кроме ссылки на статью, содержимое которой я расписал. Так что передёргивание тут скорее у вас.
"телеграм весь такой плохой, там куча уязвимостей, вы там не анонимны. Я конечно ни на что не намекаю, но вот в сигнале и Вотсапе таких уязвимостей нет"-именно так выглядит НЕ манипуляция
Я не могу понять, как на четвёртый год войны эта компания, сотрудничающая с ФСБ, не попала под санкции и запрет вести с ней дела. Или почему Телеграм этот запрет игнорирует и при этом не выпиливается из магазинов приложений.
А можно не ссылаться на статью. А сослаться на любые доказательства этого. Давайте докажем, что GNM сетевая и серверная инфраструктура Телеграм. Прошу не путать с компанией, которая ОБСЛУЖИВАЕТ эту инфраструктуру. Предоставляет колокейшн, меняет диски, меняет сломанные сервера, делает патч корды в операторов связи и тд, предоставляет какие то каналы связи (один из многих провайдеров в списке Т). Это ж просто - пруфы в студию. Это первый и самый главный ваш и всех наброс, включая Анина, который перед публикацией на 200% знал, что это не так, так как ему это было доказано! А еще мне нравится как все просто «перепечатали» как доказанный факт слова Анина (включая вас). Некоторые написали (дописали) Виктор Веденеев, некоторые дописали что я служил в разведке или где то еще … (на всякий случай - нигде не служил, на военной кафедре не был, к силовым структурам отношение не имел и не имею). Вы также манипулируете словами «метаданные». Для оператора связи метаданные это то, что идет на L2, L3 уровне. То есть на уровне нетфлов (то что умеет роутер/свитч отдавать) - этих данных нет - есть IP Src, IP dst, Port sec, Port dst и тд. Все что идет на L4-L7 это перехват трафика, а это совсем другие мощности (финансовые в том числе), железки и тд, что очень сложно оставить незамеченным в варианте 6+ тбит трафика.
Мне «все равно» на протоколы Т или Гугла или Воцапа или кого еще. Вы считаете его небезопасным - ок, не пользуйтесь. Может у вас есть пруфы как Павел с кем то общался, встречался, приезжал в рф или что либо еще - ок, пишите об этом. Можете всем остальным доказывать что Т небезопасный, так как там что то не шифруется или наоборот шифруется, но обвинять в чем либо оператора связи, который никакого отношения не имеет к вашим фантазиям и у вас нет (да и не может быть) ни одного пруфа… это по свински (и прежде всего со стороны Анина, который как я уже много раз говорил, не просто догадывается, а знает на 100% что все что он написал это чистая ложь).
Было уже какое то издание, которое действительно правильно сказало. А что это подозрения только в телеграме? У Гнм (это публичная информация, которую можно посмотреть на пирингдб) очень много операторов связи и контента. Почему это гнм «следит», «помогает следить» только за Т? А как же слежка за ютюб пользователями, которые смотрят не тот контент, что нужно? Или клаудфлейр или снова тот же Воцап, Фейсбук и тд? А Воцап кстати не заблокирован в России - значит он договорился с властями и сливает им все перемещения пользователей и ключи шифрования сразу в ФСБ (???).
но еще раз, я вернусь к главному. Давайте пруфы. Начнем с того что GNM серверная и сетевая инфраструктура Т. Давайте пруф или опровержение этого! Все догадки о том что кто то что то теоретически может делать оставляйте при себе, в противном случае представьте себе обратную историю, как вас обвиняют в том что вы гей, бьете детей и снимаете детское порно, а вы доказываете что не существует того что вы не делали.
Дальше - GNM тесно связан с глобалНет и с фсб. Снова пруфы. Да, я не отрицаю что бизнес продал мужу сестры, и даже не отрицаю тех взаимодействия по границам сетей. Но в чем еще тесная связь? Финансовой связи нет никакой и не было никогда. ГНМ никогда не работал в рф, нет и не было ни одного клиента в рф. Не получал ни одного рубля, не брал кредиты в российских банках или у российских структур, правительств и тд. Не переводил никогда деньги из ГН в ГНМ (или обратно). Мы всегда сильно следили за своей Compliant во всех банках и структурах, так как работаем с международными операторами связи.
ок, поехали дальше. ЭлектронТелеком предоставляет российские айпи. Не знаю есть ли смысл про это вообще говорить - но ок, для непонимающих. ЭлектронТелеком ничего не предоставляет и не предоставлял. Он никогда не являлся LIR‘ом. Предоставляет GNM - сначала ЭлектронТелеком у, а потом и Т, как своему клиенту. И снова скажу - не только им. Снова сошлюсь - можно сделать Whois на адреса - 95.161.81.0/24, чтобы закрыть этот вопрос.
снова едем дальше. ГлобалНет согласно закону о связи предоставляет услуги связи операторам связи в рф и обязан (согласно все того же закона) предоставлять услуги связи при наличии тех возможности. Приходит к нему Главниц, фсб, администрация президента, прокуратура, суды,курчатовакий институт … и он обязан предоставить. Это российский оператор связи и он зарабатывает на бизнесе в России. Вот вы завтра будете делать булочки. Подходит сотрудник фсб - вы ему продадите булочку? А сотруднику АП? А сотруднику полиции? А сотруднику суда? Безусловно продадите - это ваш бизнес продавать булочки. Означает ли что продав булочку вы становитесь агентом фсб и после этого сливаете им все данные тех кто покупает у вас булочки? Если вы что то обязаны в рамках закона - да, но если это вне закона то уверен что нет. GNM не зарегистрирована в России, нету и не было офиса в России. И даже в суде Майями я говорил что да, есть сотрудники в России (в 2018 году), которые работают удаленно и у меня есть здание в России. Это не офис куда приходят клиенты - так как в рф клиентов никогда не было. Это здание которое мне принадлежит и где могли сидеть сотрудники. Почему это важно было для суда? Потому что теоретически там могут быть какие- то документы (с их точки зрения).
Ну и крайнее. Это тоже перепечатали все и вся и тоже ложь. У ЭлектронТелекома огромный подряд (существенный) с гособоронзаказом от фсб. Друзья мои - вся эта информация паблик, что ж не проверить и не сказать - господа, это ложь?! Оборот ЭлектронТелекома составил в 2024 году порядка 1млрд рублей (могу ошибаться в цифре, так как точно не знаю, но можно посмотреть в открытых источниках). Дальше открываем госзакупки и смотрим сколько ж было госконтрактов всего (а это суды, это школы, это институты , это в том числе фсб). Снова боюсь ошибиться, так как не знаю, но я вроде смотрел в 2024 год когда общался с Аниным также на паблик ресурсе и там цифра вроде порядка 30млн. Из них порядка 3 млн контракт на прокладку кабеля с тем самым фсб. Серьезно СУЩЕСТВЕННЫЙ? 3%? Работает на фсб? Основной заказчик фсб?
Итого, еще раз резюме: давайте пруфы. Не надо ссылаться на ложь без доказательств абсолютно. Все есть в открытых источниках! Не надо иметь семь пядей во лбу, чтобы самому проверить 80-90% из написанного Аниным и понять что это ложь, наброс ради заголовков и аудитории. Что он там отрабатывает, чьи заказы и деньги - я не знаю, но пока другим объяснить публикацию лжи я не могу.
На всякий случай давайте факты скажу я, как собственник компании.
GNM судится в Майями с дц из за нарушения Security Protocol.
GNM имела удаленщиков в РФ в 2018 и даже вплоть до 2022г. GNM никогда не имела офиса в рф, не подчинялась российским властям, не отчитывалась, не была зарегистрирована как кто либо в рф. Веденеев имеет несколько зданий в рф, которые сдавались и сдаются арендаторам. Так как есть здание, то пока были сотрудники в рф - они могли пользоваться этим зданием, включая Веденеева, который приезжал и проводил достаточно времени в РФ. С 2017 года Веденеев не живет в рф, а именно проводит менее 183 дней в рф, что легко доказывается налогом в 30% вместо 13% на доходы в рф.
GNM никогда не получала никаких денег из рф, ни от GN, ни от кого еще с начала существования (2009год). Заказчики GNM - международные операторы связи и контент.
ГлобалНет и ЭлектронТелеком российские операторы связи. У них порядка 500 сотрудников. Они работают в рф, ведут бизнес в рф и зарабатывают на предоставление услуг связи в рф всем типам бизнеса - B2C, B2B, B2O, B2G. По закону о связи в рф, безусловно, данные компании полностью подчиняются российскому законодательству и с точки зрения сорма и с точки зрения тспу и с точки зрения взаимодействия.
Скажите а как вы видите доказательство? Ну кроме вот прямого документа «Мы, Телеграм, с одной стороны, и ФСБ с другой стороны, подписываем этот договор о крышевании»?
Договора от ФСБшника с самим собой об обслуживании серверов не хватает?
>что все сетевые коммуникации в инфраструктуру Telegram и из нее проходят через компанию, связанную со спецслужбами
А что за компания и что за спецслужбы? Если российские, то это очень даже хорошо: пусть лучше наши смотрят, чем чужие. Всё равно всё контролируется, так пусть лучше контролируется в нашу пользу.
Сколько ботов понабежало сразу.
Да вы палитесь 😁
О да, я самый что ни на есть бот. С 2013 года тут ботаю...
Согласен, каюсь
Иной раз глупость трудно отличит от злого умысла
Как вас, либералов-то, корёжит, это хорошо...
...значит телега работает сразу на все спецслужбы
Готовность "глобальных колхозников" самим требовать ввести анальные изнасилования шваброй по субботам, только чтобы "глобальных горожан" корёжило, каждый раз продолжает впечатлять и восхищать меня.
Либерал это что-то плохое?
А это смотря как понимать используемые термины в определении. Можно, например, понимать свободу как возможность следовать своему предназначению, а какое у вас предназначение -- тоже разные люди решать могут.
Проблема в том, что если поскрести значительное количество человеков с такими взглядами, то вскрываются очень интересные заявления, вроде «даёшь X! (но только тем, кто с нами согласен!)»
ты думашь они знают, что это слово значит? там думать некогда...
Изначальные идеи, конечно, отличные.
Но то как эту идеологию изосрали всевозможные фрики с которыми она теперь прочно ассоциируется в РФ — вполне делает слово ругательным)
Причём показательно, что эти клоуны сами себя измазали даже без всякой помощи каких-либо спецслужб, так что от них даже изначальные сторонники начали отворачиваться.
Как "изосрали"? И про кого Вы говорите?
Так, что теперь слово "либерал" прочно ассоциируется с маргиналами, низким интеллектом и полным отсутствием критического мышления.
Про кого — Хабр не про политику, имён тут не будет. Хотите ответа — зайдите например на любую имиджборду (или даже ну в каменты Пикабу) и спросите кто такие либералы.
Но можете тогда привести пример действий без имён? Какие поступки привели к таким ассоциациям? Пикабу или имиджборда это довольно странный источник, может быть есть что-то более серьезное?
А при чём тут серьезность? Вас модератор Википедии покусал что ли?
Мы вроде говорили про отношение общества к понятию "либерал". Если у вас есть более репрезентативный источник общественного мнения, бога ради, воспользуйтесь им. Я предложил Пикабу как пример сообщества с большой выборкой, в которую с равной вероятностью попадают представители всех политических взглядов.
Но, понимаю, учитывая средний уровень современного читателя Хабра такую сложную мысль осознать тяжело. Попробуйте пару раз перечитать.
низким интеллектом и полным отсутствием критического мышления
Хотите ответа — зайдите например на любую имиджборду (или даже ну в каменты Пикабу) и спросите
Люблю такое)
Ну да вы как раз отлично демонтируете)))
Жду от вас и комментатора выше объяснений чем плохи имиджборды и пикабу как источник мнения "большинства".
Мнение большинства это ещё не истина, а если большинство плюётся в либерализм и свободы, то это диагноз обществу: оно вошло в стадию саранчи.
Ну и чтобы калибровать своё мнение по большинству - нужно быть этой самой саранчой наверное.
Впрочем, вы в любом случае неправы, как минимум на пикабу вне спецтега много людей, либерально настроенных даже несмотря на происходящий шабаш коричневых.
Никто ведь и не говорил что надо своё мнение калибровать по мнению большинства. И про то, что в ценности настоящих либералов нужно плеваться тоже вроде никто нигде не писал.
Походу это какая-то особенность таких как вы (понятно какая, о ней выше написал) — выворачивать слова собеседника пытаясь сделать из них откровенную глупость.
Вам даже невдомёк как тупо вы со стороны в этот момент выглядите.
Я даже помогу, чтоб вам два раза не перечитывать (понимаю, тяжело): речь шла о том, кого и почему сейчас большинство оскорбительно именует либералами.
И да, я понимаю, что анализ написанного вам тяжело даётся, но вы уж постарайтесь, как-то осмыслить написанное, прежде чем написать мне очередную тупость, так как отвечать на все ваши галлюцинации довольно утомительно.
Речь шла о том, что вы отвесили глупость, приводя фашистские помойки (двачи и тег "политика" на пикабу) как индикатор мнения большинства, да ещё теперь глаза округляете, разжёвывая свою "грандиозную мысль". Кринж полнейший.
И почему мягко говоря недалёкие люди так часто думают, что их тощие мыслишки так трудно понять окружающим? Уже сколько раз замечал...
Ну я с удовольствием послушаю где же в другом месте надо искать мнения большинства, когда речь идёт о русскоговорящих людях. Уж не в каментах у Дудя где-нибудь?
Впрочем, учитывая ваши реплики и уровень дискусский, я лучше с собакой пообщаюсь, у неё интеллекта больше.
Так я же выше сказал: тот же пикабу, только вне спецтега. Там до сих пор много людей, которые не оскотинились, несмотря на все старания властей и их холопов.
я лучше с собакой пообщаюсь
Охотно верю))
Так я же выше сказал: тот же пикабу, только вне спецтега.
А где я писал что-то про какой-то тег? Скажите, вы правда такой или просто прикидываетесь?)))) В детстве головой часто бились?
О теге я писал выше. Головой вроде бился, но нить разговора помню дальше одного коммента. Обращайтесь, я напомню.
Чудесно, раз ещё помнишь что сам говорил, зачем мне-то свои шизоидные реплики приписывать? Я ещё раз повторю - спросите мнения большинства где вам угодно. Не согласны что "либерал" нынче ругательное, так пользуйтесь на здоровье, можете себе хоть на лице это слово набить, я уверен все окружающие вам лишь благодарны будут.
Никто ведь и не говорил что надо своё мнение калибровать по мнению большинства. И про то, что в ценности настоящих либералов нужно плеваться тоже вроде никто нигде не писал.
Вот знаете, я Вас обычно не поддерживаю, но под этими словами всемерно подписуюсь.
Ну и чтобы калибровать своё мнение по большинству - нужно быть этой самой саранчой наверное.
Так и запишем: Вы тут один стоите весь в белом.
С 2013 года тут
Но есть нюанс: у вас 8 комментариев в 2016 году, потом вы молчали 6 лет и активизировались только в 2023.
Ну вот такой я молчун. Был бы ботом - активизировался бы в 2022. Да и комменты у меня нейтральные, за исключением сегодняшних.
Был бы ботом - активизировался бы в 2022
Ей-богу, админы ферм же не настолько тупые :)
P.S. Я не берусь прямо утверждать под присягой, что с этого аккаунта пишет бот, но молчаливые аккаунты которые внезапно проснулись подозрительны уже по факту такого поведения.
потом вы молчали 6 лет
всё нормально было (ц)
С 2013 года тут ботаю...
...по фене!
Если российские, то это очень даже хорошо: пусть лучше наши смотрят, чем чужие. Всё равно всё контролируется, так пусть лучше контролируется в нашу пользу.
Товарищ майор, вы забыли о доступе, который получили французы.
Да вот как раз лучше чужие: от них вреда нет, в отличие от местных.
это тут они чужие а там местные
Мы-то здесь.
А будь даже иначе, здешние, как по мне, похуже будут все равно...
...здешние мне телегу не блокировали (даже в соседних странах) а в дубайске блокнули без объяснения хотя я ей даже там не пользовался (обнаружив когда уже покинул оаэ) - потом разблочил и была куча сообщений от адэптов телеги про то как я прсмел из неё удалится не желающих понимать что меня просто грохнул сам сервис: в итоге сам уже удалился подальше от таких психов
Подозреваю, что это как раз оттого, что арабы доступа могут и не иметь. Им проще блокировать, чем лично к вам на основании найденных данных прийти.
В смысле "разблочил"? зашел через VPN или НЕ из дубайска? или они смогли именно блокировку на аккаунт повесить и потом ее вышло снять?
Странно, что заблочили, там просто не работают аудио и видео звонки, скопипащу, лень писать:
В ОАЭ Telegram доступен и функционирует без ограничений. Однако, некоторые функции, такие как голосовые и видеозвонки в некоторых других мессенджерах (например, WhatsApp), заблокированы из-за ограничений на VoIP-звонки
А что за компания и что за спецслужбы? Если российские, то это очень даже хорошо: пусть лучше наши смотрят, чем чужие. Всё равно всё контролируется, так пусть лучше контролируется в нашу пользу.
Именно. А то, вон, вся пресса так и мелькает заголовками в стиле "бизнес-структуры, связанные с МИ6, завладели очередным активом в России", ведь так, да? падме.жпг
пусть лучше наши смотрят, чем чужие. Всё равно всё контролируется, так пусть лучше контролируется в нашу пользу
Контролируется, только не так, как вы думаете. От теракта в Крокурсе, и прочих похожих событий, это не спасло, потому что целеполагание другое: журналисты и политические активисты для них куда опаснее террористов, которые людям типа нас глотки режут. Мы перетопчемся, бабы еще нарожают. А вот если кто-то в сети скажет что-то против политики партии, да еще с пруфами - вот это катастрофа.
Раз уж мы спорим о том, в чью пользу шпионаж.
Мне кажется, очевидным, что если человек живёт в стране СНГ, то ему выгодно, чтобы за ним шпионили западные спецслужбы, а не российские. Потому что западным до него далеко тянуться
И обратная ситуация, когда человек живёт на западе. Выгоднее, чтобы за ним следили СНГ-шные спецслужбы. Потому что там уже они не дотянутся.
Хотя идеальная ситуация, это когда вообще никто ни за кем не следит, но она возможна только в среде крипто-гиков
И обратная ситуация, когда человек живёт на западе. Выгоднее, чтобы за ним следили СНГ-шные спецслужбы. Потому что там уже они не дотянутся.
Спорное утверждение. Зная компромат на какого-нибудь чиновника (неважно какой страны), разведка (опять-же, неважно какой страны) может использовать это в качестве рычага давления и принуждения его к сотрудничеству. Скажем "мы знаем, что вы взяли взятку о такого-то человека. Не хотите лишиться работы и сесть в тюрьму - делайте то, что мы скажем".
Так-что, грубо говоря лучше вообще нигде ничем таким не заниматсья и не светиться, чтобы никто и ниоткуда тебя за яйца не схватил.
Мне ваше утверждение кажется спорным.
Если мы сравниваем две ситуации:
1. Все переписки в руках местного "Майора".
2. Все переписки в руках чужого "Майора".
То тебе ВСЕГДА выгоднее пункт 2.
Предположим, человек совершил что-то незаконное:
В случае номер 1 - эта информация автоматически оказывается в руках местного майора, и человека сажают. Без альтернатив, без выбора, без возможностей
В случае номер 2 - эта информация автоматически оказывается в руках забугорного майора, и он тебя вербует. Таким образом, предоставляет тебе выбор - сесть, или сделать кое что, и не сесть.
В случае с переписками в руках спецслужб другой страны, есть выбор.
Либо сесть, либо не садиться, а сделать что-то.
А когда переписки в руках у той страны, где ты находишься - ты садишься безальтернативно
Так-что, грубо говоря лучше вообще нигде ничем таким не заниматсья и не светиться, чтобы никто и ниоткуда тебя за яйца не схватил.
Конечно лучше. Но здесь у нас разговор немного о другом. Всё-таки, о том какой подмайорености месснджер лучше использовать. "Родной" или "Вражеской"
То тебе ВСЕГДА выгоднее пункт 2.
Не согласен что "всегда". Иногда может быть выгоднее будет сесть, чем делать какую-то дичь.
В случае номер 2 ... предоставляет тебе выбор - сесть, или сделать кое что, и не сесть
Не сядешь, да. Но заставят например тебя совершить какой-то теракт (или поучаствовать, предоставив помещение или деньги). В итоге рано или поздно спец. службы выходят на тебя, признают террористом с очень печальными последствиями, в т.ч. для семьи. Лучше было бы сесть из-за взятки, чем принимать ТАКОЙ выбор.
Или другой пример - допустим ты выполнил своё дело, и вроде бы не такое грязное. Но иностранная разведка стала переживать, что ты их спалишь их контору и решают после всех грязных дел тебя устранить. Снова, лучше бы отсидел и остался жив, чем так рисковать. Хрен знает что у них там на уме, уберут тебя или не уберут.
В случае с переписками в руках спецслужб другой страны, есть выбор.
Раз пошла такая пьянка, то здесь опять-же не хватает пункта про то, что можно и попытаться договориться с правоохранителями своей домашней страны.
информация автоматически оказывается в руках местного майора, и человека сажают. Без альтернатив, без выбора
Не совсем. Зная как работает например ОБЭП (но мы же сейчас не привязываемся к какой-то стране, верно? я не защищаю какую-то спецслужбу или страну. Пусть вместо ОБЭП будет FBI, там тоже такое практикуются), они могут тебя отпустить если ты сдашь какую-то рыбку покрупнее, т.е. реального получателя и бенефициара взятки. Чем вам не "договориться о какой-то хрени с иностранными спецслужбами" чтоб не сесть?. Тоже своего рода и местные "дают выбор".
ВСЕГДА выгоднее пункт 2
Поэтому не всегда пункт 2 выгоднее, всё зависит от ещё кучи "если" и прочих обстоятельств. В общих сценариях - да, ЧАЩЕ ВСЕГО выгоднее пункт 2. Но не могу согласиться что ВСЕГДА выгоднее пункт 2.
Плюс вообще не факт, что иностранная разведка после сделанного тобою черного дела от тебя вообще отстанет, ведь теперь на тебя есть и старое дело о взятке, и новое дело о госизмене :). Будь я коварным разведчиком, я бы не отпустил жертву пока не использую её по максимуму, теперь можно дальше использовать жертву в более грязных делах. Так-что риск невыбраться сухим становится ещё выше. Снова, лучше было бы отсидеть.
ПС: Господа, я за аргументированный спор, если минусуете, не поленитесь написать плз с чем не согласны и почему. Я с радостью признаю свою неправоту, если будут аргументы.
Не согласен что "всегда". Иногда может быть выгоднее будет сесть, чем делать какую-то дичь.
Если считаешь, что выгоднее будет сесть - то можешь не идти на поводу у спецслужб. И отказать им. А можешь и не отказывать. Наличие выбора всегда лучше, чем его отсутствие. А можешь ещё и самостоятельно в свою же полицию прийти, сказать им о том, что ты да - совершил преступление - но сообщить о попытке вербовки. Уверен, суд даже в не очень демократичной стране, сделает скидку за чистосердечное и сообщение о том, что тебя вербовать пытались.
Уже три варианта есть, с разным исходом
В итоге рано или поздно спец. службы выходят на тебя, признают террористом с очень печальными последствиями, в т.ч. для семьи. Лучше было бы сесть из-за взятки, чем принимать ТАКОЙ выбор.
Не всегда. Например, из недавних событий.
Завербованные "Соседней страной" агенты, зачастую вывозятся в эту самую страну, где им предоставляется защита. Да и вообще, любой спецслужбе, выгоднее своих агентов (Во всяком случае, тех кто вызвал медийный резонанс) не кидать на произвол судьбы, а помогать им даже когда они стали не нужны. Для спецслужбы это мелочь, но замотивирует других сотрудничать. Они будут понимать, что их не кинут.
Но мы отошли от темы, кажется. Мой изначальный посыл был в наличии выбора
они могут тебя отпустить если ты сдашь какую-то рыбку покрупнее
Могут. Но ты так же можешь сделать это и если мессенджер "Чужой". Получается всё равно, выбора больше с "Чужим" средством связи
они могут тебя отпустить если ты сдашь какую-то рыбку покрупнее
это в фильмах так. а в реальности когда ты всех сдашь, нет никакой мотивации тебя отпускать..нафига им терять палку? ты же всеравно ничего не можешь сделать если они нарушат свое обещание
говорят в РФ вообще следователь в принципе не имеет никаких прав обещать такие вещи фигуранту дела...точнее он всегда обещает но никогда ничего не делает по факту
а в реальности когда ты всех сдашь, нет никакой мотивации тебя отпускать..нафига им терять палку?
Эмм какие палки? Вы видимо вообще не знакомы с работой следователей. Если очень коротко и "на бытовом", то там заключается договор информатора, которому гарантируется не преследование. Затем в суде следователям в любом случае нужно доказывать и показывать, как они узнали ту или иную информацию.
И да, представьте себе, что нельзя просто снять на камеру факт получения кем-то каких-то денег, надо это всё связать между собой, а потом доказать в суде.
Но чего я тут что то объясняю, вы же сейчас скажете, что все суды куплены, судебная система в РФ не работает, а я вам скажу что я и не про РФ говорил)
а я вам скажу что я и не про РФ говорил
я понимаю что вы не про РФ говорите. на что и заметил что вы явно или по фильмам ориентируетесь причем штатовским или напрямую оттуда информацию берете (из штатов)
но штаты это одна страна из 200+ в мире, и то как там правовая система работает буквально эталон как надо бы делать всем
заключается договор информатора, которому гарантируется не преследование
тут надо еще смотреть в каких странах вообще подобные договора законны в принципе
это же юридически индульгенция на совершение преступлений и если в законе она не прописана отдельно то она неправомерна
а без бумажных договоров такого рода, это "я ниче вам не обещал и кто вы такой? вы преступник!" (с)
вы не забывайте что мы рассматриваем не только ФБР/ФСБ, но и остальные спецслужбы мира, а они далеко не идеал
Либо сесть, либо не садиться, а сделать что-то
...за что тебя не посадят.(*)
*
А просто расстреляют.
И обратная ситуация, когда человек живёт на западе. Выгоднее, чтобы за ним следили СНГ-шные спецслужбы. Потому что там уже они не дотянутся.
Петров и Боширов синхронно кивают.
По теме ИБ уже давно понятно - что безопасность это "иллюзия" и не более...
Хотите "реальную и суровую" безопасность - сами создаете "железо", потом сами создаете на него операционку и после не забудьте про месенджер на вашей операционке которая работает на вашем железе!!! Вот тогда будет вам безопасность... все остальное - влажные мечты...
перехват всего происходящего (не только в каналах) в этом железе никто не отменял: да же те обитые шумоизоляцией отделы где под накидкой печатали на машинках секретные документы хотя и располагались так чтобы не иметь соседствующие помещения оказывались комнатой на крыше над лестницей где с наружи из них снимали что хотели
Безопасность это не какое-то одно решение, это много слоёв или по другому разных решений. Сервера безопасные нужны. Однако в данном случае речь вообще про другое. Даже если предположить, что все сервера безопасные, сочетание СОРМа на сети + обфусцированных метаданных достаточно для очень точного отслеживания пользователей.
Безопасность это не то, где применимы призумпции безопасности или бритва Окамы. В безопасности используется метод оценки рисков. То есть по дефолу ставитс максимальный уровень опасности, и затем снижается при наличии четких убедительных аргументов (результатов измерений).
Телеграм очевидно очень мутная тема и такой была с самого начала. Зачем разработали свой протокол? Затем, что известные протоколы не подходили под задачи. А под какие задачи может не подойти хороший проверенный безопасный протокол? Думайте.
Безопасность в том числе держится на доверии. Дуров - очень скрытный, непубличный, мутный человек с темной предысторией. Непонятно, зачем борцу за свободу вести себя как агенту КГБ под прикрытием? Непубличность выгодна что бы в тишине делать черные дела, а борцу за свободу коммуникаций нужно быть у всех на виду 24/7. Брать деньги у путинских алигархов на проект "безопасного" месенджера? Быть отпущенным с миллиардами без бутылки в ж? Зачем?
Телеграм очевидно очень мутная тема и такой была с самого начала.
да но пользователям не объяснить и их поведение аналогично дуровскому которое аналогично таким же писателям своего: зайдите в их крипто-группы на том же матрикс да укажите публично что у них не так с их решением/продуктом да увидите в ответ весь тот же бред что дуровей несёт только дуров не может себе позволить прямые нацистко&фашистко&рассисткие оскорбления а какому-нибудь кибер-кэт не проблема так поливать в ответ что заикнулись о неидеальности его поделия ... другие просто смотрят на это да ждут свою жертву для своей агрессии - нафиг я вообще заходил в эти темы про криптсофт где тусуются разработчики
Безопасность в том числе держится на доверии.
на хабре автор сиплекса тоже слился в санкционку когда настал момент и вот как теперь доверять ему в отличие от остальных которые русский текст/язык не убрали со своих рессурсов/приложух - как-то делал обход их пытаясь понять политические моменты в использовании
Зачем разработали свой протокол?
Это ни для кого особо не секрет - Николай Дуров любит выдумывать протоколы. То же самое было и с ВК в самом начале. Ещё напомню, что телеграм единственный мессенджер, кто работает при ужасном качестве связи
телеграм единственный мессенджер, кто работает при ужасном качестве связи
Можете подробнее расписать этот тезис. Я, например, часто вижу в нем надпись Connecting... даже в идеальных условиях, что никак не вяжется с "работает при ужасном качестве".
Сейчас реальные примеры сложно привести. Раньше только телеграм мог пролезть через 64 кб/с, до которых резали скорость мобильные операторы при отсутствии трафика. И тут же, на хабре, пару раз видел хвалебные отзывы насчёт возможности обмениваться текстовыми сообщениями, когда другие мессенджеры не могли к своему серверу подключиться.
Насколько я помню из своих игр с TDLib, общение телеграмма с сервером происходит не большими пакетами, не связанными друг с другом и не требующими предварительно нескольких шагов обменов рукопожатиями, как при использовании транспорта поверх TLS. Если классические мессенджеры гоняют условные json-ы с событиями поверх TLS и для завершения обмена, json должен быть принят или отправлен полностью за цельный сеанс связи, то телеграм шлёт поток байт, который может быть в любой момент прерван и продолжен сразу после открытия нового соединения
Раньше только телеграм мог пролезть через 64 кб/с, до которых резали скорость мобильные операторы при отсутствии трафика.
...вспомнил IRC и заплакал...
Лучший корректный комментарий, отвечающий на часть мутных вопросов почему MTProto, а не TLS. @moderator, можно его закрепить?
Ну можно, например, телефон в 2G перевести. может похоже будет?
Реальный пример. Во время недавнего блекаута в Испании никакие сообщение ни в одном мессенжере на мой телефон не доходили. А в телеграме текст временами пролезал.
А под какие задачи может не подойти хороший проверенный безопасный протокол? Думайте.
Под задачи мессенджера, работающего на многих устройствах без костылей
Есть такая рекомендация, при отправке любой информации через Интернет исходить из того, что она может стать доступна не тем людям, которым предназначалась.
Зачем разработали свой протокол?
Напомнили "Фатальный недостаток" и Микрософт )))
Изобретение своих велосипедов одна из движущих сил в ИТ ))
собственно, всё легендарное саморазвитие в IT это переизобретение велосипедов и есть, ровно от "а если вот то, но с перламутровыми попробовать?" любопытства происходит. Свой вариант того протоколо, свой порт вооон того терминала на раст, свой пакетный менеджер и менеджер зависмостей "потому что ну не совсем то, надо чуть иначе"
А под какие задачи может не подойти хороший проверенный безопасный протокол?
Фундаментальный недостаток же.
Но серьезно если, фишка мтпрото была в том что он лучше заточен под плохую связь.
Зачем разработали свой протокол?
Вы лучше расскажите, зачем регистрация по SMS.
Чтобы пользователям было проще устанавливать контакт друг с другом. Сравните: спрашивать ник у каждого своего знакомого и добавлять его в список контактов мессенджера, или сразу иметь всю свою контактную книгу в мессенджере. Это нужно для большего вовлечения пользователей в приложение и конкуренции с мессенджерами, которые делают так же.
То есть для Телеграмма приоритетнее собственная популярность чем безопасность пользователей.
для Телеграмма приоритетнее собственная популярность чем безопасность пользователей.
Золотые слова!
А хотите ВНЕЗАПНОЕ решение этой проблемы?
Каждый пользователь может выбрать себе любой ник — но по умолчанию в окошке «создать аккаунт» он стоит уже равным вашему телефонному номеру. На выходе — и хомячки сыты, и параноики целы, и мессенджер покрыл всё стадо.
спрашивать ник у каждого своего знакомого и добавлять его в список контактов мессенджера
В чём проблема?
Свой ICQ UIN большинство помнило наизусть и не совершенно от этого не страдало.
А в лучшие годы сообщения из аськи можно было посылать в виде SMS на любую мобилу и получать этим же путём ответы. Даже если про интернеты человек даже не слышал. Временами было удобно.
сразу иметь всю свою контактную книгу в мессенджере.
Из того, что мой номер очутился в чьей-то записной книжке не обязательно следует что я хочу хозяина записной книжки видеть в своём мессенджере.
"тут русские спецслужбы нанимают исполнителей" - ну то есть, чисто фесебешная тема, другие спецуры про телегу не знают, в новостях из рф про пойманных "исполнителей", которых наняли кураторы из других стран через телегу - враки и деза, да? Текст ни разу не профильно-"Телега=злёй_рюсский_николай_из_фесебе".
Ставлю плюс за то, что нет ссылки на телеграм-канал автора.
нет ни в Signal, ни в WhatsApp
Странная формулировка, ведь WhatsApp использует протокол Signal. И внедряли шифрование там как раз OpenWhisper Systems, нынче известные как Signal. https://signal.org/blog/whatsapp-complete/
Ехало ФСБ по ФСБ, а в реальности там наверняка все разведки мира уже давно кормятся. Зачем обслуживать одного клиента когда можно обслужить 10 и заработать в 10 раз больше?
Открытость каналов и просто личных сообщений вроде как нигде особо и не утверждалась. Являются ли секьюрными Secret Chats, где вроде как end-to-end шифрование применяется?
Это (auth_key_id) удивительное и совершенно ненужной решение в дизайне протокола, которого нет ни в Signal, ни в WhatsApp.
Да ну ладно. Про Signal не знаю, но WhatsApp в первые несколько лет работы передавал все в открытом виде и при этом в качестве логина использовался телефонный номер юзера а в качестве пароля хэш от IMEI телефонного аппарата. То есть все было прекрасно видно любым сниффером и всякие трехбуквенные агентства могли читать перехваченный трафик и даже при необходимости выдавать себя за самого юзера.
https://en.wikipedia.org/wiki/Reception_and_criticism_of_WhatsApp_security_and_privacy_features
Как этот кто-то мог бы связать определенный
auth_key_idс устройством определенного человека в первую очередь? Возможно, это так же просто, как спросить Telegram — сервис предоставил данные о десятках тысяч пользователей только в первом квартале 2025 года
Я что-то не понимаю? Если вы можете спросить у Телеграма все метаданные, то зачем вам что-то ещё поверх, кроме ключей шифрования? А ключи, я так понял, тут никак не утекают.
Ну абсурд же — зачем Телеграму устраивать сложную схему с трафиком через какого-то специального MITM'а, который из этого трафика может выяснить то, что Телеграм знает и так? Какая-то совершенно упоротая схема, в чём её предполагаемый смысл?
Схема не упоротая, а хитрая
Если бы телеграм просто сливал всю переписку - это бы подорвало доверие.
Так, к примеру, сейчас не один вменяемый человек не будет писать ничего дискредитирующего в ВК
А так все на уровне «слухов», однако при наличии СОРМ у всех провайдеров и логов всех заходов всех абонентов позволяет вычислять кто с кем общается и где находится.
Да причём здесь переписка, если эта схема описывает, мол, Телеграм по хитрой схеме сливает такие метаданные, которые всё равно без слива того же самого напрямую из Телеграма никак не использовать?
Это ключ, по которому можно только определить, какое устройство отправило пакет серверу Телеграма, и включается он только в пакет от устройства до сервера. Ни пользователя, ни устройство, ни чего прочего из него не достать, кроме как имея доступ к трафику напрямую с этого устройства, либо к серверам Телеграма. И уж тем более из этого не выяснить, кому сообщение пользователя будет доставлено.
Как я понимаю, эти запросы в телеграм как раз позволяют без необходимости "вычислять" пользователя по сторонним каналам однозначно сопоставить метаданные клиента телеграмма с номером телефона. Вы сопоставили, например, auth_key учётки с телефоном пользователя, а дальше очень просто вычисляете весь круг знакомых.
Протокол на самом деле такой дырявый, что позволяет с соседней виртуалки следить за пользовательскими сессииями? Разве это не означает, что фича доступна спецслужбам любого государства, кто имеет доступ к магистральному трафику? При этом авторы много раз по ходу повествования говорят лишь об опасности со стороны РФ, приводя вместо доказательств только умозаключения. Больше похоже на вброс.
Интересный момент. В упомянутых статьях есть ссылка на ресурс в Германии, https://www.spiegel.de/international/world/the-telegram-billionaire-and-his-dark-empire-a-f27cb79f-86ae-48de-bdbd-8df604d07cc8 . Они в 2021 переживали, что у Дурова нет постоянного адреса куда местные госы могли бы направлять свои претензии. Поэтому предостерегали своих граждан пользоваться телеграммом, склоняя выбирать более безопасные мессенджеры типа WhatsApp.
При этом, в статистике по раскрытию данных пользователей правоохранительным органам за 2025, Германия находится на втором месте по количеству запросов и удовлетворённых ответов (на первом месте - Индия). Значит на практике для них это не такая уж и проблема, как это расписывали журналисты?
никто, ни за кем не следит, и вот опять!
Получается что-то типа SNI, но со стороны пользователя и меняющийся при логине на устройство?
На сколько понял основные тезисы такие:
- трафик ТГ очень легко детектируется в общем потоке - значит его легко фильтровать и блокировать, учитывая недавние блокировки в некоторых регионах это действительно так;
- всю маршрутизацию трафика ТГ от всех 1 млрд пользователей осуществляет компания связанная со спецслужбами РФ используя в том числе сетевую инфраструктуру на территории РФ - значит спецслужбы РФ анализируют трафик почти всех пользователей ТГ, по крайней мере пытаются это делать, иначе было бы странно, если не пытались. Но трафик очень большой со значительной частью медиаконтента, что усложняет его обработку;
- ТГ использует открытые идентификаторы, которые позволяют отслеживать пользователя даже если у него меняется IP и устанавливать связи между пользователями, кто с кем переписывается, т.е. можно быть уверенным, что спецслужбы знают географию контактов, с пользователями из каких стран вы переписываетесь, уже очень тревожно. А если вы переписываетесь с кем-то с идентификатором на контроле, то тоже попадаете на контроль. Неясно группы и боты тоже также легко детектятся по идентификаторам, видимо да, значит пользователи оппозиционных информационных ресурсов могут быть идентифицированы. Выглядит очень зловеще. Если связать эту информацию с другими ресурсами очевидно предоставляющими много данных типа яндекса, вк, сбера... то пользователи РФ просто мрак под каким колпаком.
Тут получается и чтение расшифрованной переписки не особо уже даже нужно.
трафик ТГ очень легко детектируется в общем потоке
Зависит от используемого транспорта, но для наиболее распространенных клиентов и "по умолчанию" - да.
всю маршрутизацию трафика ТГ от всех 1 млрд пользователей осуществляет компания связанная со спецслужбами РФ
Это утверждается, но не подтверждено.
использует открытые идентификаторы, которые позволяют отслеживать пользователя даже если у него меняется IP
Да
и устанавливать связи между пользователями, кто с кем переписывается
Нет, из описанных в статье технических деталей это не следует.
То есть чтобы установить метаданные "обоих" пользователей, нам надо получить доступ к метаданным "обоих" пользователей. Логично, черт побери.
У меня возможно глупый вопрос. Но это раскрывает как-то зашифрованное сообщение? То, что спецслужбы могут следить за перемещением, это естественно и без телеграмм. 99.99% людей не сидят в подворотне без паспорта и т.д. лишь бы за ними не следили спецслужбы. Знать, кто с кем общался, как по мне, это нормально для обеспечения безопасности населения. Я как законопослушный гражданин, не имею претензий. Вопрос, помогает ли это как-то расшифрововать сам контент сообщений, если я хочу скрыть NDA данные?
Вы бы для приличия накидали какой-нибудь алгоритм такого обнаружения, было бы, о чем разговаривать. А так одни абстрактные фразы и непонятно на чем основанные оценки про "много порядков".
Тут грех издеваться, вы даже собственный текст не слишком внимательно читали. Прямо с первой строки:
дырявый протокол
Прям как TLS-PSK
передает айдишники пользователей
Это не айдишники пользователей.
Собственно, пока на этом всё. Разберитесь немного получше, продолжим.
вот тут ответил
Не понимаю, на что, потому что не вижу связи между моими словами и тем "ответом".
айдишники устройств пользователей
Федор Решетников, холст, масло, Третьяковская галерея, если вы понимаете, о чем я. Еще раз - разберитесь как следует в собственном тексте, после чего попробуйте переписать свой способ детектирования связей заново, без детских ошибок. До той поры - простите, надоело объяснять, что 2x2=4, пользователь, устройство и ключ шифрования - три совершенно разные сущности, и т.д., и т.п.
P.S.
предоставили реальные юзкейсы
"Реальный юзкейс" - это, в общепринятом понимании, нечто реализованное и продемонстрированное на практике, а не коммент на хабре с ошибками даже в базовых определениях.
какой подход используется
Не "используется", а может использоваться. Или не использоваться, в зависимости от реальных рисков в каждом конкретном случае.
Перечитайте внимательнее и подумайте.
Это ВЫ перечитайте себя внимательнее и начните наконец думать, а не транслировать мнение "экспертов" из инета. Вот, к примеру, что вы там писали насчет PKI, "давайте использовать пиннинг, и тогда при mitm мессенджер просто перестанет подключаться"? И вот вам ничего в вашей отличной идее не кажется странным, совсем ничего? Ну а если все-таки подумать? Не получится ли так, что у технических решений, которые были приняты, могли быть и другие резоны, кроме как инфу в ФСБ сливать?
Я то в отличие от вас хорошо разобрался
И оттого путаетесь даже в самых базовых понятиях, раз за разом повторяя одни и те же ошибки через пост.
В смысле вам кто-то еще пайтон-код должен написать
Классика перевода стрелок подоспела. Вы сами придумали про "реальный юзкейс", который мне якобы кто-то показал, а когда я заметил, что ничего такого не было, МЕНЯ ЖЕ попробовали обвинить, что я его требую. Браво, далеко пойдете. :)
Пока что ни одного правдоподобного "резона" для таких технических решений предоставлено не было, а те что были - не выдержали проверку логикой и фактами. Если у вас есть еще - поделитесь с нами.
Ок, ChatGPT, почему Телеграм по умолчанию посылает auth_key_id в незашифрованном виде? Дает ли это какие-то преимущества?
Главная причина – необходимость идентификации ключа для расшифровки. Сервер Telegram должен знать, каким долгосрочным ключом зашифровано полученное сообщение, прежде чем пытаться его расшифровать. Поскольку у одного пользователя могут быть разные сессии и устройства (соответственно несколько auth_key), и сервер обслуживает множество клиентов, ему нужно быстро сопоставить входящий зашифрованный пакет с правильным ключом. Поле auth_key_id выполняет именно эту задачу: по этому идентификатору сервер однозначно находит нужный ключ в своей базе и затем использует его для проверки msg_key и расшифрования сообщения . Если бы auth_key_id не передавался открыто, серверу пришлось бы применять менее эффективные методы – например, хранить состояние для каждого соединения или перебирать все возможные ключи, пытаясь подобрать подходящий, что неприемлемо по производительности. В шифрованном виде передать идентификатор нельзя, так как для расшифровки самого идентификатора нужен был бы тот же ключ, который мы пытаемся определить – получается замкнутый круг.
Аналогии с другими протоколами. Практика передачи идентификатора сеансового ключа в незашифрованном заголовке встречается и в других системах безопасности. Например, в протоколе IPsec каждому защищённому пакету сопутствует поле SPI (Security Parameter Index) во внешнем заголовке – по сути, тег, указывающий получателю, какой набор ключей и алгоритмов применять для расшифровки данного пакета . По аналогии, auth_key_id в MTProto служит таким тегом: он сообщает серверу, какой ключ авторизации используется, позволяя тому сразу применить правильный ключ без дополнительных переговоров.
Технические соображения дизайна. Решение держать auth_key_id вне шифрованного блока упрощает и ускоряет обработку сообщений в распределённой инфраструктуре Telegram. Любой сервер Telegram, получив пакет, может мгновенно (по 64-битному идентификатору) извлечь из хранилища соответствующий 256-битный ключ сеанса и приступить к расшифрованию. Нет нужды привязывать пользователя к конкретному серверу или соединению – сообщения могут маршрутизироваться гибко, и любой узел дата-центра, увидев auth_key_id, «поймёт», как расшифровать содержимое. Это повышает масштабируемость системы. Кроме того, сам размер идентификатора невелик – 8 байт на сообщение – что не создаёт заметной нагрузки по трафику.
В итоге передача идентификатора в открытом виде – осознанный компромисс между безопасностью и эффективностью. Telegram изначально проектировался с учётом работы на мобильных устройствах и пересылки крупных объёмов данных, поэтому в протоколе используется комбинация проверенных алгоритмов и приёмов для максимальной скорости и экономии трафика . Единоразовое установление общего секрета (auth_key) с последующим многократным использованием ускоряет обмен данными. А поле auth_key_id, вынесенное в заголовок, позволяет воспользоваться этим преимуществом без значимых задержек на каждый запрос.
Если вы намекаете
Нет, я не намекаю. Я просто вас спрашиваю, не видите ли вы ничего странного в отличном и "элементарном" решении сделать так, чтобы мессенджер не работал, и не видите преимуществ мессенджера, который в такой же ситуации работает. Не видите - ок, факт говорит сам за себя, добавить к нему нечего. :)
ни одного правдоподобного "резона" для таких технических решений предоставлено не было
"Папа, где море?" (с)
Пропустил одно слово во фразе
Нет, перепутали понятия "пользователь", "устройство" и "ключ шифрования", причем неоднократно и даже после указаний на это, показали свое незнакомство с протоколами шифрования, не базирующимися на PKI, и т.д.
Вы: это невозможно
И вот вы уже даже не до передергивания, а до прямой лжи опустились. Но продолжайте, даже интересно, что будет дальше. :)
Безопасность протокола и его устойчивость к блокировкам - это два разных вопроса
Иии? Устойчивость к блокировкам я вообще не обсуждал, вы снова сами себе придумали тезис и на него обрушились, я-то тут причем? Я вам просто говорил о том, что в случае стандартного, общеизвестного и достаточно широко применяемого способа контроля за трафиком безопасность решений, основанных на PKI, либо превращается в тыкву, либо эти решения перестают работать. А телеграм, равно как любое решение, не базирующееся на PKI, ровно при тех же самых условиях - нет, и в безопасности ничего не теряет, но вы почему-то не считаете это недостатком традиционных решений и преимуществом телеграма. Про лучшую производительность и устойчивость к плохой связи решений с PSK тоже не один я писал, но и это вы игнорируете. "Папа, где море?" в чистом виде.
Про ключи шифрования речи у меня речи вообще нигде не было.
Бинго! Именно так, у вас в комментариях - не было. А между тем обсуждаемый id - именно что идентификатор ключа шифрования. :) Именно об этом я вам который пост и талдычу. И вы сейчас сами прямо подтвердили, что этого не понимаете (то есть не понимаете, про что написано в той самой статье, которую сами же перевели), но спорить продолжаете. :)
пользователь, устройство
Это, если только ты не агент 00.7 меняющий гаджеты на лету, одно и тоже, по большому счету.
Но как только у кого-то появляется желание избежать связи себя с устройством, он просто берет и делает это. Поэтому, если вы хотите быть твердо уверенным, что отслеживаете именно того человека (а речь именно о таком типе слежки, а не про абстрактную биг дату, где мелкими процентами можно пренебречь), это надо учитывать.
- ТГ использует открытые идентификаторы, которые позволяют отслеживать пользователя даже если у него меняется IP
Это делают любые известные мне мессенджеры в том или ином виде.
Смотрим протокол Signal:
https://github.com/signalapp/libsignal/blob/main/rust/protocol/src/state/bundle.rs
Особое внимание на registration_id.
Телега тоже умеет передавать все это в TLS, если включить такую опцию. Но автор об этом умолчал.
Данные и память - Прокси - Добавить прокси
Поднимите SOCKS прокси локально и дальше тунелируйте куда посчитаете нужным. Например, ssh клиент умеет работать как SOCKS прокси и шифровать трафик до кончной точки.
Но я бы рекомендовал использовать сразу VPN. Ведь если вы видите опасность в трафике телеграмм, то точно такие же угрозы будут и со стороны остальных приложений, которые установлены на вашем устройстве. К тому же это решение универсальнее и проще, поскольку идёт из коробки в любом телефоне.
Чой-та SOCKS не шифрованный?
MTProto proxy умеет в Fake TLS. Т.е. притворяется обычным https сервером и обфусцирует трафик под него, используя общедоступный домен. Перехват такого трафика не даст никаких подобных деталей, как в описанной статье.
Так вы сами пишете, что использование TLS и конкретных доменов облегчает блокировку. И вычисление методами DPI. Потому что можно мониторить трафик к конкретным известным ip-адресам. И анализировать паттерны и активность.
У телеги есть возможность притворяться шлангом и маскироваться под практически любой айпишник в сети, прикидываясь обычным https сервером. Вот от той атаки, что описана в статье, это спасает. А что там настоящий/ненастоящий TLS - это уже просто лирика.
Ну и в итоге мы вернулись к тому же, с чего все и начиналось: то что в других мессенеджерах работает из коробки by design и для всех пользователей (шифрование идентификатора устройства для защиты его его перехвата любыми желающими), в телеге требует знаний и отдельного целенаправленного пердолинга, да еще и прокси надо иметь. Секьюрно, очень секьюрно.
Вся суть претензий в том, что какая-то фича где-то есть "из коробки" (со всеми сопутствующими издержками), а где-то ее можно использовать, если хочешь, но не обязательно?
Сигнал как массовый мессенджер не так юзабелен в силу убогости фич и ограничений протокола. Соответственно, гораздо менее популярен и легче отслеживается и блокируется. Телегой пользуются практически все, и отследить и заблокировать ее трафик, как показала практика, значительно сложнее.
Просто не нужно путать телегу как платформу для общения и безопасной передачи информации и средства анонимизации. Телеграм средством анонимизации не является, как, впрочем, и Signal.
Давайте я сразу доведу ваши аргументы до их логического завершения: шифр Вернама можно передавать через любой мессенджер, поэтому любой мессенджер можно считать абсолютно безопасным.
Протоколы любого мессенджера можно шифровать шифром Вернама перед отправкой, поэтому любой протокол можно так же считать абсолютно безопасным.
Телегой пользуются практически все, и отследить и заблокировать ее трафик, как показала практика, значительно сложнее.
На данный момент, насколько я понимаю, Телегу можно заблокировать просто по ASN — без каких-либо проблем и очень быстро. Это уже не те времена, когда она прыгала по всему клауду в рекламных целях.
Это вполне может сделать даже админ вашего офиса в пределах его инфры.
Насчет SOCKS - помню, что юзал шифрованные варианты и это работало. Но последний раз было лет 5 назад.
трафик ТГ очень легко детектируется в общем потоке - значит его легко фильтровать и блокировать
Тогда я не понимаю почему попытка Роскомнадзора заблокировать ТГ, в свое время, была такой проблемной для них.
- трафик ТГ очень легко детектируется в общем потоке - значит его легко фильтровать и блокировать, учитывая недавние блокировки в некоторых регионах это действительно так;
Вся история с борьбой РКН с телеграмом веерными блокировками по IP и добавлением MTProto-прокси - инсценировка?
Так, окей, если у тебя доступ к трафику разных операторов (например, интернет-провайдер и мобильный оператор, публичной wi-fi точки), то тебя легко могут сматчить и понять время твоей активности. Ну еще сколько клиентов находится под конкретным IP-адресом в данный момент. Это всё? Задеанонить кого-то же нельзя. И данный auth_key_id не идет же к собеседнику. Никто не может тебя связать с собеседником и понять с кем ты общаешься?
Теоретически это позволяет провести корреляции и вычислить персональный паттерн конкретного пользователя. А если получить еще и реальный IP вдобавок к auth_key_id, то можно вполне и конкретного пользователя вычислить с его устройством. Только такое можно сделать, вообще говоря, с любым приложением, которое как-то обменивается данными и имеет средства авторизации централизованной.
Только такое можно сделать, вообще говоря, с любым приложением, которое как-то обменивается данными и имеет средства авторизации централизованной.
Только в данном случае задача упрощается так как расстройство имеет постоянный идентификатор. То есть аналитики видит что условный "объект А" передает данные, даже если он сменил IP
И данный auth_key_id не идет же к собеседнику
Но идет по открытому каналу доступному провайдеру. То есть имея эти метаданные со стороны обоих абонентов (например с помощью "Закона Яровой") можно установить факт переписки межу ними. Собственно это то же самое что Correlation Attack на сети TOR.
Проблема TOR в том, что им пользуется не 1млрд пользователей по всему миру для сравнению с телегой. Там при желании и возможности вы наскребете тысячи, а может даже и меньше, одновременных пользователей. В телеграмме же не представляю, как вы будете коррелировать миллионы пакетов миллионов пользователей, учитывая, что у телеграмма еще куча функций помимо передачи сообщений
Задеанонить кого-то же нельзя.
Если есть доступ к СОРМ оператора связи, который может ответить на вопрос "Кто ходил на такой-то IP-адрес в подсети Telegram в такое-то время с такого-то src_IP:src_порта", то можно.
Вы не получите юзернейм пользователя в ТГ или список его контрагентов, ведь auth_key_id передается только между клиентом и сервером.
Корреляция тут не поможет из-за шума от чатов/каналов и задержек в очереди или батчинга на серверах.
Дак это и так любой провайдер расскажет, куда вы ходили, даже не зная auth_key_id. Речь же о рисках в текущей реализации MTProto2. А провайдер и так знает, что я являюсь пользователем телеграмм
Не имею никакого пиетета к Павлу Дурову и считаю его двуличным мерзким типом. Но в статье весь материал "разоблачения" - откровенный наброс. Оба-на, оказывается, мессенджер для маршрутизации сообщений и доставки их нужному клиенту должен как-то передавать серверу идентификатор этого пользователя. Шок, сенсация, срочно в номер!
Идентификаторы клиента в метадате передают любые мессенджеры, включая Signal. Без этого просто невозможна работа мессенджера по доставке сообщений выбранному клиенту. Да, можно пытаться спорить об устойчивости алгоритма и прочих деталях, но принципиальная претензия откровенно нелепа. Такую же инфу с получением registration id устройства можно собрать и перехватом трафика Signal или WhatsApp.
Кто-то не в курсе, что телега тоже умеет в TLS?
Зависит от клиента и реализации. У разных клиентов это по-разному. В java-библиотеке вроде тоже без TLS передается по умолчанию.
В телеге есть встроенная возможность работы через прокси. Как MTProto, так и SOCKS. С любым доступным шифрованием. Боишься, что прочтут 'auth_key_id' - включаешь прокси и лишаешь всех этого удовольствия. А если еще и VPN включить, то все перехватчики трафика вообще сразу лесом идут.
(удачи вам перехватить и расшифровать TLS-трафик, лол), а Телега его передает тупо открытым текстом без шифрования, делая доступным любому стороннему наблюдателю
Так любому стороннему наблюдателю или конкретно спецслужбам из РФ, как утверждается в статье?
TLS это защита (с кучей опций и допущений) от сторонних зевак. Но если у вас есть необходимый доступ к инфраструктуре, как там пишут, то это лишь видимость защиты - есть разные способы читать TLS трафик даже снаружи в пассивном режиме, не говоря уже о MiTM или доступе изнутри.
Т.е если исходить из предположения, что телеграмм контролируют из ФСБ, то открытые идентификаторы в протоколе это скорее подарок их коллегам из ЦРУ, МИ6 и т.п. Самим им от этого не должно быть ни холодно ни жарко.
есть разные способы читать TLS трафик даже снаружи в пассивном режиме, не говоря уже о MiTM или доступе изнутри
у меня есть доступ к своей инфрастуктуре, как мне залезть в tls?
Прокси с подменой сертификатов (например, на корпоративном или государственном уровне, с установкой нужных сертов на девайсы централизованно). Это ровно та проблема, которую обходит MTProto, и не удивлюсь, если это было одним из мотивов, с которыми он и разрабатывался.
с установкой нужных сертов на девайсы централизованно
Это как то не очень похоже на "читать TLS снаружи в пассивном режиме".
Я отвечал на конкретный вопрос, а не на все комментарии в ветке сразу.
Так этот вопрос задавался к конкретному утверждению, что будто бы есть некие "разные способы читать TLS трафик даже снаружи в пассивном режиме не говоря уже о MITM".
Это вообще копирование сессионных ключей с клиентского устройства, когда к нему есть доступ. Тоже далеко не снаружи.
Это вообще копирование сессионных ключей с клиентского устройства
Это про то, что фича может штатно быть встроена в любой софт и включаться одним флажком.
Вы сомневались в возможности пассивного чтения TLS трафика при доступе к инфраструктуре. Я привёл пару примеров. В реальности техник больше, но это уже будет совсем офтоп. Мысль не в этом.
Мой тезис был в том, что открытость идентификаторов является лишней для тех, у кого есть необходимый доступ к инфраструктуре и соответствующая цель. Поэтому посыл в статье, что это признак мониторинга российскими спецслужбами, является безосновательным. Скорее это аргумент против, поскольку противоречит здравому смыслу. Ну либо нужно говорить про глобальный заговор органов из разных стран, держащих Пашу на крючке, поскольку идентификаторы видны кому угодно.
Там не одно утверждение, а несколько, и я не думаю, что вы можете за человека, которому я отвечал, решать, устраивает его такой ответ или нет.
У вас удивительная тяга к гиперболизации эпитетов (тут элементарно, там на много порядков, и т.п.). В целом же есть выбор - использовать PKI с ее ключевой уязвимостью и обвешиванием костылями для ее обхода, или же отказаться от внешних провайдеров безопасности и полностью полагаться на собственную инфраструктуру. Телеграм, очевидно, пошел по второму пути. Это решение может быть спорным, но оно вполне разумно и обосновано.
Ответ не верный.
Не вам судить и оценивать за других.
снаружи TLS, а внутри уже дополнительный свой слой шифрования.
Считает так - делайте. Спеки открыты, пишите клиент (может и доступные есть со штатным TLS). Или вон веб используйте. Возможности есть, используйте их, если вам надо.
В инфобезопасности работает модель швейцарского сыра - чем больше слоев защиты, тем лучше, и тем менее критичны уязвимости в одном из слоев.
А самый безопасный сервис - это вообще неработающий и отключенный от любой сети, да. В реальной жизни требования безопасности нельзя удовлетворять бесконечно. Всегда ищут какой-то компромисс.
те меры защиты что в других мессенеджерах работают из коробки by design и для всех пользователей по умолчанию (шифрование идентификатора устройства для защиты его его перехвата любыми желающими)
Все меры защиты имеют свою цену и несут с собой определенные издержки и ограничения, что снижает пользовательскую базу и юзабельность сервиса в целом. А небольшая пользовательская база - это отдельная уязвимость, облегчающая слежку за пользователями такого приложения.
Это претензия из той же оперы, что и "почему все чаты в телеге не сделать секретными". Потому что тогда не будет тех фич, что делают телегу такой удобной и массовой. А сигналом пользуются 2,5 гика, и массовым как телеграм он никогда не станет.
Как добавление по умолчанию дополнительного слоя TLS-шифрования с использованием стандартных библиотек существенно снизит пользовательскую базу и юзабельность сервиса?
Слой TLS подразумевает привязку к конкретному домену и его сертификатам, что облегчает отслеживание и блокировки.
Защита от блокировок? В большей части мира проблема блокировок телеги не стоит, а для остальных стран телега сама сделала FakeTLS, и его элементарно можно прикрутить к обычному TLS, как это сделали XRay и другие.
Так в том-то и дело, что FakeTLS и инфраструктура прокси - децентрализованная и не завязанная на конкретные ресурсы сервиса. Что лишает возможности их централизованно выделить и заблокировать. С TLS, вшитым в сервис, так не получится. Он всегда будет привязан к ограниченному числу доменов и сертификатов.
Во-первых, проблема блокировок Телеги стоит только в единицах стран мира.
И мы даже знаем эти страны. И есть мнение, что создатель сервиса Телеграм эти страны тоже знает. Собственно, он из одной такой страны родом.
Телега уже сейчас использует разные протоколы в зависимости от того, заблокирован основной или нет - так что для них нет никакой технической проблемы в обычных условиях использовать один, а в сложных условиях другой.
TLS - протокол транспортного уровня. Телега использует криптографический протокол обмена сообщениями MTproto, внутри которого могут быть разные прослойки. Но если завязать все на централизованный TLS - это облегчит отслеживание и блокировку.
Насчет разных условий - так это как раз и есть использование прокси разного вида. SOCKS, MTProto, FakeTLS и тп.
Такое впечатление, что вы уже претензии из пальца высасываете, пытаясь придумать мотивацию злонамеренности. Хотя все гораздо проще и логичнее объясняется более простыми соображениями.
Во-вторых, далеко не всегда. TLS, например, позволяет использовать технику domain fronting. Подключения к месседжеру будут выглядеть как подключения к популярным сайтам, причем совпадать с ними не только доменами, но и реальными IP-адресами. И чтобы забанить мессенджер, нужно будет перебанить кучу CDN с тысячами очень популярных сайтов.
Domain fronting - технология индивидуального пользования. Публичный популярный сервис таким пользоваться не может. Иначе это паразитирование на другом сервисе по сути. Мне неизвестны массовые публичные сервисы, практикующие такое. А вам?
В-третьих, давайте не смешивать централизованные и децентрализованные варианты. Когда оздается много разных прокси и окольными путями (с помощью пушей, например) доставляются клиенту, и дальше подключение идет с MTproto-proxy или FakeTLS - там как раз наоборот auth_key_id не передается в открытом виде, то есть этот открытый ключ для обхода блокировок вообще не нужен.
Так это же то самое, что вы сами выше предлагали. В простых случаях используется простая схема, а в более сложных - схема посложнее. Что не так-то?
Tor для подключения к брокеру Snowflake, Signal
Почему-то только для избранных стран. Как думаете - почему?
То что в простой схеме auth_key_id передается в открытом виде. И оно не нужно для обхода блокировок.
Это ваше мнение, которое ничем не обосновано. То, что использование централизованного TLS облегчает централизованную блокировку - очевидный факт, который вы упорно игнорируете, приводя примеры тех же MTProto Proxy, которые ДЕЦЕНТРАЛИЗОВАНЫ.
Во-первых, проблема блокировок Телеги стоит только в единицах стран мира.
И как раз в них он, ВНЕЗАПНО, максимально популярен, и даёт вещать из-под «железного занавеса» инсайдерскую информацию, каналы с которой сейчас — один из столпов популярности Телеги во всём остальном мире.
А в вотсапе требует костылей то, что у телеги работает by design. При этом "костыли" (если их так можно назвать) телеги устранимы (снова by design и с подробной документацией), но вам и это почему-то не нравится.
То-то он (Signal) работает так быстро
В мессенджере ведь не только количество слоёв шифрования важно. Да, можно навесить десять слоёв, чтобы наверняка, но пользователю вряд ли понравится скорость и расход батареи.
Подозреваю, что открытый auth_key_id нужен для работы прокси либо какой-то фичи маршрутизации трафика, которая может быть даже со стороны сервера. И да, если верить в связи Тг с ФСБ, то открытый ID - это больше для АНБ и СБУ закладка получается. Но гадать на гуще не хочется, здесь у комманды телеграм есть возможность показать, какие они хорошие, опубликовав технический пост.
тут такая хрень что команда телеграм в любом случае напишет что они непричем и ниче такого не делали, и ИД для чегото там нужного нужен, более того об этом может действительнор даже сама команда не знать что он используется (если использовается) в таких целях
но реальный кейс как его можно использовать для отслеживания уже озвучен....спецслужба если она этого не делает, может УЖЕ начать это делать
само это расследование уже буквально описание живой уязвимости внезависимости от того замешана в этом телега напрямую или ктото накосячил в архитектуре совершенно случайно
===
ложка дегтя в сторону телеги в том что они резко перестали быть плохими для нашей страны...очень резко, так не бывает с такими обвинениями..а складывая все вместе ...както шапочка из фольги сама нарастать начинает на голове
ложка дегтя в сторону телеги в том что они резко перестали быть плохими для нашей страны...очень резко, так не бывает с такими обвинениями
Возможное объяснение в том что пропутинские силы пользуются им с той же силой что и остальные, а альтернативы у них особенно и нет. Остальные мессенджеры подсанкционных банят по первому запросу, а телегу тяжело заставить кого-то забанить.
Вот, пошли разговоры о новом лучшем в мире мессенджере на госуслугах, и тутже начали телегу топить. Сов падение? Не думаю!
На самом деле совпадение, конечно, но коспироложить так и хочется
Дык я ведь не призываю верить на слово Дурову и ко., лишь утверждаю, что проблема чуть шире. Нельзя просто сделать много слоёв шифрования, не потеряв в скорости и затратах энергии, а ещё в удобности. Всегда нужен компромисс. В Телеграм выбрали таков путь (достаточно неоднозначный). Кому не нравится - может не пользоваться.
Лично меня вся эта история и то, что слона долгое время не замечали, тоже нормально так беспокоит, так как у меня Тг является практически основной социальной платформой.
Это элементарно решается с помощью certificate pinning - клиент просто откажется подключаться. И никакого MTProto для этого не нужно.
Ассиметричное шифрование вообще и certificate pinning в частности исходит из предположения, что доступ к приватному ключу есть только у владельцев сайта и ни у кого больше. Но если вы получили его копию, то можете сидеть MiTM, не привлекая внимания санитаров - с точки зрения протокола вы тогда ни чем не отличаетесь от оригинала. В плане защиты пользователей от возможных договорняков сервис-провайдеров со спецслужбами это абсолютно бестолковая вещь.
Тут идея в том что напрямую гкбфсб телегу не контролируют, но у них allegedly есть доступ к серверам через которые идет весь телеговый трафик, и для них этот паттерн матчинг выполнять очень легко.
Утверждения, что идентификатор передается в открытом виде и трафик маршрутизируется фсбэшной конторой, вы, конечно, проигнорировали? Ну то есть весь смысл статьи прошел мимо вас?
Идентификатор передают любые публичные мессенджеры. Включая Signal и WhatsApp.
Шифрование TLS в условиях работы DPI и собственных корневых сертификатов на устройстве (а в РФ их обязывают ставить) - это фикция.
Телега тоже умеет в TLS. Работа через прокси с TLS, SOCKS и тп - встроенная фича. Если нужна - включаешь.
99% пользователей телеги даже слов таких не знают.
99% пользователей это и не нужно. А тем, кому нужно, опция доступна из коробки. Я лично предпочитаю, чтобы я сам мог выбирать, какие функции приложения мне нужны, а какие нет.
Так от кого вы хотите защищаться? Если у росийских спецслужб есть доступ к инфраструктуре телеграмм, то TLS им не помеха. Если у них нет доступа, то статья вводит в заблуждение. Если вы в своих идентификаторах видите какую-то угрозу (допустим, от своего провайдера) - включите на телефоне VPN и тунелируйте весь свой зашифрованный трафик куда захотите - для этого не нужно ни чего менять в клиенте.
TLS, запиненные сертификаты, фиксированные доменные адреса или айпишники серверов и т.п - все это оставляет узнаваемый отпечаток в трафике и блокируется нараз. Емнип, Телега перестала этим централизованно пользоваться после неоднократных попыток их заблокировать на территории РФ. Помните, когда были готовы сделать недоступным хоть весь Амазон и все TLS'нутое регулярно отваливалось?
и собственных корневых сертификатов на устройстве (а в РФ их обязывают ставить)
Кого? Вы про минцифровский что-ли?
У меня не стоят ни на чем (в том числе не встают на телефоны при обновлении, хотя всякие папки "закон" на смартфонах - стоят.
(ну и - помним что Chrome на Android c определенного момента если сертификат CA в system store (а не user store) - без ct log'ов - не берет - https://httptoolkit.com/blog/chrome-android-certificate-transparency/ (возможно ссылка не откроется корректно из России и не из-за РКН )
ЯндексБраузер когда он мне нужен был - в систему не ставил ничего, там этот механизм реализован по другому и они даже выложили исходники этой части , если верить что в самом браузере как в исходниках то использовать сертификаты минцифры НЕ по заявленному назначению(для сайтов которым почему то нельзя другой) а для MITM - не получится.
Думаю еще чуть чуть и исследователи безопасности обнаружат, что этот "безопасный" телеграмм регистрирует и аутентифицирует пользователей только по номеру телефона, чем деанонимизирует их (и тут для безопасности принципиально не важно перед кем, важен сам факт). А так же позволяет огромный скоуп атак из-за этого: начиная с попадания телефона не в те руки, персонала сетей сотовой связи и заканчивая государством которое может решить совершенно законно получить доступ к трафику (sms для восстановления доступа) вашего телефона.
этот "безопасный" телеграмм регистрирует и аутентифицирует пользователей только по номеру телефона
Помимо номера телефон, Телеграм допускает ещё регистрацию и логин через Fragment, фактическим владельцем которого является Телеграм. Единственным требуемым условием для логина является владение криптокошельком (об анонимной покупке самого токена сейчас вам придётся позаботиться самостоятельно, впрочем)
А так же позволяет огромный скоуп атак из-за этого: начиная с попадания телефона не в те руки, персонала сетей сотовой связи и заканчивая государством которое может решить совершенно законно получить доступ к трафику (sms для восстановления доступа) вашего телефона
Через sms нельзя восстановить аккаунт, для которого установлен пароль в качестве второго фактора. Таким способом его можно только удалить (но залогиненный юзер будет уведомлён об этом заблаговременно)
Ну и стоит отделять заявление маркетинга, в том числе и телеграмма, о том, насколько он безопасен, и реальную жизнь. В реальности безопасность — это всегда баланс между затратами, удобствами и собственной степенью безопасности. А в рекламе преувеличивают практически всё. Тот же Facebook, насколько помню, запрещает пересылку зашифрованных текстов в личной почте. Это условия лицензионного соглашения
Интересно, случайно, Михаил не родственник Воза?
Обратите внимание, что каким языком чиновников они дали ответ.
Уважаемый, к сожалению, но я мог дать ответ только в очень публичной форме. Корректировал его десять раз чтобы не задеть кого либо из клиентов и в это же время точно ответить на сам вопрос. Но вы конечно обращайте внимание. Чиновником я лично никогда не являлся и не могу являться, учитывая что у меня двойное гражданство.
"Поле auth_key_id" не содержит уникального идентификатора пользователя - а вот и нет, вполне себе содержит
Это просто ложь. Идентификатор auth_key_id привязан к конкретному сеансу клиента и создается в момент логина нового устройства и авторизации его в сервисе. Идентификатор пользователя - user_id - в открытом виде никак не передается. А по auth_key_id определить user_id напрямую никак невозможно. Можно лишь анализировать сетевую активность и провести корреляцию между трафиком с определенного ip и определенным auth_key_id. Т.е. можно, например, сравнить трафик в Телегу с одного айпи-адреса с другим и обнаружить, что с обоих адресов к Телеге подключается один и тот же клиент. Но что это за клиент, какой у него user_id и, тем более, телефонный номер, зная только auth_key_id, узнать никак невозможно.
auth_key_id идентифицирует устройство клиента
Даже не клиента, а сессию. Если выйти из Телеги на своем устройстве и зайти заново, auth_key_id обновится.
соотнести устройство клиента с конкретным аккаунтом в телеге (user_id) - дело техники
Все является делом техники. Вопрос только какой.
Если клиент в РФ - то перехватом трафика на ТСПУ с пополнением базы (auth_key_id <-> абонент), особенно учитывая что ТСПУ часто ставится до NAT'а, то есть мы увидим внутренний IP который матчится на конкретного абонента/SIM/порт на коммутаторе.
Ты увидишь только, что определенный auth_key_id логинится в телегу с определенного адреса. Что именно он пишет, кому именно и с какого именно аккаунта - установить так нельзя.
Либо если клиент писал что-либо в публичные чаты или группы - по корелляции временных меток сообщений в чатах и пакетов с auth_key_id. Чем дольше ведется наблюдение, тем больше точность.
Если речь идет о мониторинге такого уровня, с сопоставлением временных меток и паттерна активности, то так можно вычислить пользователя любого публичного сервиса, если только он не сидит через VPN. auth_key_id тут уже особо и не нужен. Сопоставить временные метки с активностью на определенном сервисе можно и для Signal, и для почти любого другого сервиса сообщений (кроме отдельных, со специальными фичами анонимизации).
Если есть подозрение или интерес к конкретному человеку - можно слать ему сообщения в телегу когда он онлайн и соотносить трафик по временным меткам как в предыдущем пункте, проверяя гипотезу, является ли он этим самым человеком/устройством или нет.
Аналогично. Для проверки такой гипотезы никакой auth_key_id не нужен. Можно сопоставить паттерны сетевой активности и вычислить конкретного пользователя по ее данным и без него. Если вас начали мониторить на уровне временных меток сетевых пакетов, то никакое скрытие auth_key_id вам не поможет.
И что, вы каждый день вылогиниваетесь и заново логинитесь в телеге?
Можно просто использовать разные устройства для разных целей, например. И по анализу auth_key_id никак нельзя понять, что это пишет один и тот же аккаунт. Но речь даже не об этом. Я просто указал вам на очередную некорректность обобщений. "auth_key_id идентифицирует устройство клиента" - нет, это неверно.
Вот тут более подробно описан алгоритм вычисления аккаунтов: https://habr.com/ru/articles/917154/comments/#comment_28425016
Там нет никакого алгоритма. Там изложены ваши вольные фантазии на тему с детскими ошибками и путаницей в понимании самых базовых вещей (вроде "айдишек пользователей"). Ну, а самое главное, что вы упустили - для анализа такой сетевой активности (на уровне временных меток сетевых пакетов) никакой auth_key_id уже нафиг не нужен. Сопоставить и проанализировать активность конкретного сетевого узла можно и без него.
Да, но не совсем.
Совсем. Если мне нужно доказать, что именно вы постите в определенный канал какое-то непотребство в определенные моменты времени и вы уже на мониторинге, то сопоставить активность в канале и прочие моменты с анализом дампов вашего трафика никаких проблем нет. И никакое отсутствие auth_key_id вам не поможет. Если же подозрения конкретного нет, то мониторить общий трафик можно сколько угодно. Сопоставить посты в конкретном чате/каналы с auth_key_id конкретного устройства никакой возможности нет.
А в случае с телегой - auth_key_id упрощает отслеживание перемещений. Был юзер в России, залогинился - его auth_id запомнили и привязали к его персоне.Приехал юзер в другую страну (а привязка к российскому ДЦ осталось - оно обновляется с большой задержкой и далеко не всегда) - сразу видно, откуда он подключается, и что это именно он, и все его действия сразу привязаны к нему.
У вас тут голословно постулируется наличие каких-то российских ДЦ телеграм. Без них вся схема рушится. А с ними появляется возможность только вычислить, что некоторое устройство подключалось с некого другого IP к серверу телеги. Больше ничего. Если не мониторят конкретно вас - это ничего само по себе не даст. Если пасут уже конкретно вас и вашу сетевую активность - наличие/отсутствие auth_key_id вам никак не поможет.
И более того, ровно то же самое и в случае VPN - IP-адрес у юзера сменился, но наблюдатели по-прежнему знают, что это вот он, и что он использует VPN с вот таким выходным адресом.
Не он, а некий auth_key_id. Если есть опасения слежки, ничто не помешает при подключении через другой канал или VPN пересоздать сессию, получив другой auth_key_id. И все усилия коварных спецслужб идут по одному месту.
Там пропущено слово "устройств".
И лучше не стало. Потому что auth_key_id не привязан к устройству. Это идентификатор авторизованной клиентской сессии. Не хотите, чтобы вас затрекали по нему? Перелогиньтесь - и все. А если вы Неуловимый Джо, то можно и вообще не волноваться.
Не в ту сторону повернули - отсутствие мне не поможет, а вот наличие поможет злоумышленнику и облегчит его работу.
Нет, не облегчит. По крайней мере, вы никак это не показали. В описанных вами гипотетических сценариях детального анализа траффика пользователя с мониторингом временных меток конкретных пакетов и т.п. самой этой информации уже вполне достаточно для сопоставления сетевой активности с определенными сообщениями на канале или в чате. Без всякого auth_key_id. Если же речь про общий анализ анонимного трафика без привязки к анализу активности конкретного пользователя, то наличие этого auth_key_id само по себе ничего не дает. Дает только факт подключений некого сеанса к сервису телеги - и все. Что само по себе никаким криминалом не является.
Меня уже достал этот цирк. Вы серьезно не понимаете, что речь во всей обсуждаемой статье идет про проблемы для стандартного поведение массовых пользователей со стандартными клиентами, а не про то шифропанков-параноиков?
Стандартным пользователям гораздо критичнее, чтобы сервис работал быстро, надежно и не лагал. Что как раз отлично реализовано в протоколе Телеги. И этот протокол на практике обеспечивает гораздо лучший пользовательский опыт чем другие массовые сервисы обмена сообщениями. А то, что кто-то может вдруг перехватить некий анонимный auth_key_id и узнать, что этот анонимный auth_key_id подключался к Телеге, волнует как раз только шифропанков-параноиков. Ну, или хайпожоров вроде автора сабжевой статьи.
Рассуждения про "можно сделать то, можно сделать это, а еще можно вот так" бессмысленны, если все это не применяется по умолчанию и требует дополнительных телодвижений.
А само наличие auth_key_id позволяет что-то сделать без дополнительных (и очень трудозатратных) телодвижений? Или тут уже эта логика не работает?
Отлично. Давайте еще раз уважаемый упоротый.
Начинаем со следующего. Все дц являются точкой где могут управлять вашим маршрутизатором, серверами и тд. Это так? Если да - то дальше нечего обсуждать. Если не так, переходим к следующему пункту.
Все, кто родился в России по умолчанию получали загран паспорт через службу, которая регулируется ФСБ. Значит все агенты ФСБ? Если так, то нечего дальше обсуждать.
Все, кто имел операторов связи в рф или до сих пор имеет - они все агенты ФСБ. Если да, то обсуждать нечего.
Все LIR по умолчанию hijack’ают своих же клиентов. Если так, то дальше обсуждать нечего.
По сути Вы просите меня доказывать того, что я не делал и не делаю и не имею практической возможности делать, как собственно это делал и Анин. И всем «насрать» что я то в отличие от Вас (как не странно) могу все легко доказать, а вот вы не можете. Для доказательства просто и легко сделать тех аудит , который предлагался г. Анину, который плевать хотел на любые доказательства, так как заголовки и грязь на оператора важнее.
Я всё ещё не понимаю, почему вы не напишете, что можно использовать шифр Вернама и отправлять шифрованый до максимальной энтропии трафик через socat на устройство находящееся в третьей стране и вносящее рандомную задержку от нуля до 86000 секунд на каждый пакет. Это гарантировано "отправит усилия коварных спецслужб по одному месту" и докажет что протокол Telegram полностью безопасен, не так ли?
+
Ваши все инсинуации несостоятельны.
Еще раз повторю. В рф не нужно соотносить auth_key_id с пользователем, так как деаноном является айпи. И на этом точка. Тспу до Ната тоже не ставится - идите учите матчасть. То есть еще раз - вы занимаетесь подложением информации. Вы деаноните пользователя через айпи, но при этом ссылаетесь на auth_key_id. Давайте «проделайте» ту же процедуру в Европе, Майями или Сингапуре. Жду процедуру как деанонить пользователя.
Еще раз повторю - вы говорите про рф - в рф не нужен auth_key_id чтобы все это определить, достаточно айпи , порт соурс и дестинейшн и сорм. Давайте теперь деанон пользователя как он пишет в группы или куда еще (а мы не знаем куда) в Европе.
Отличная идея сделать tcpdump 6+ тбит трафика и вычленить там того самого пользователя которому отправили сообщение. Теперь смотрим на аплинки Т и видим что 95% трафика идет напрямую к другим оператором связи - международным tier1. И дальше продолжайте натягивать сову на глобус.
Я не манипулировал информацией, в отличие от вас. Хоть я и не являюсь представителем Т, я всего лишь заявляю, что перехватить и деанонить пользователя по его auth_key_id невозможно. Все ваши примеры , когда вы говорите «а вот в рф мы по айпи узнаем пользователя» говорят об этом же. Пока вы ни на йоту не опровергли сами же это. Все вопросы по протоколу - не ко мне - мы не имеем отношения к протоколу - мы имеем отношение к обеспечении инфраструктуры передачи данных и тд.
2. Тут все ок, вопросов нет
да я бы так не сказал. Владея адресами, вы можете легко сделать анонс нужного IP-prefix в любой точке подключения к сети подконтрольного оператора связи (или даже транзитного оператора), реализовав схему, известную как "MITM". Это можно сделать, впрочем, даже не будучи законным владельцем соответствующей автономной системы (AS) — догадаетесь когда операторы связи примут такой ваш анонс на вполне законных основаниях(?). Но — владелец AS это может делать гораздо свободнее, по определению — особенно там, где подконтрольных операторов нет. Впрочем, учитывая доступ к оборудованию в DC, это всё несколько избыточно всё равно. Хотя, кто сказал, что запасные варианты это плохо, особенно когда они по факту могут оказаться более удобными сами по себе или в комплексе.
P. S. Они там ссылочки про BGP приводили, продолжим традицию: https://en.wikipedia.org/wiki/BGP_hijacking
Добрый день, уваажемый Uporoty.
Раз уж тут написали 100500 комментариев, я готов ответить на какую-то часть из них. И давайте начнем с Вашей. Не буду придираться к Вашему нику, но иногда кажется, что люди именно так и выбирают ники для себя.
Теперь давайте по сути.
Итак, честно говоря, лучше бы Вы ничего не писали. Впечатление, что Вы не понимаете, к сожалению, о чем пишите.
Для того, чтобы собирать метаданные, нужно перехватывать трафик. Если Вы думаете, что тспдамп предоставляется на оборудовании, то Вы дико заблуждаетесь. Метаданными, auth_key_id не является, как я вижу, и господин Возняк или как его там называют (не изучал пока что всю его статью, как собственно и протокол MTProto - обещаю это сделать чуть попозже) - пользуется именно tcpdump'ом, а это перехват трафика!!! Метаданными являются ip address, port source, port destination и тд, которые содержаться в netflow на том же самом маршрутизаторе, который (Телеграмма) мы тоже не контроллируем. Поэтому, повторюсь со своим первым заявлением. Компания GNM не имеет возможность ПЕРЕХВАТА трафика, а данные которые находятся внутри пакета - auth_key_id, шифры, payload, ... - не являются метаданными! Изучайте матчасть!
Прекрасно, перейдем к третьему пункту.
Еще раз повторюсь, что метаданными данные "данные" не являются, а они являются непосредственно трафиком, внутри которого есть auth_key_id и другие штуки, включая зашифрованное сообщение. Очень сложно опровергать то, что ты не делаешь или не имеешь возможность делать. Если Вы можете доказать обратно - будет куда проще.
Отлично, давайте проделайте ту же самую процедуру, а самое главное ответьте всем на вопрос - как Вы будет соотносить auth_key_id с пользователем.
Можно прямо тут, чтобы потом не было никаких инсинуаций.
Итак, простая лаба. Вот, по вашим каналам связи летит 1тбит трафика, допустим в РФ. Конечным получателем являются пользователи в РФ. Вот Вы все-таки влезли в трафик и ... сняли auth_key_id всех пользователей. Как мне узнать, что auth_key_id 8980182309808123 это пользователь uporoty? Или как мне соотнести обратно? Может мне нужно поставить анализатор трафика, складывать это все в массивы, для того, чтобы делать какие-то big_data всех auth_key_id? Ок, давайте предположим и это. В какой момент и как я должен узнать, что данный auth_key_id принадлежит пользователю uporoty? Жду от вас объяснения, каким образом вы будете соотносить, а главное зачем (в России), пользователя и его auth_key_id. Не забываем, что у вас в РФ есть главный идентификатор, где согласно закону о связи, все операторы должны установить СОРМ и в любой момент времени по требованию ФСБ (если даже сорма нет) предоставить информацию. А отсюда получается, что пакет в сторону телеграмма они итак могут снимать, включая СРАЗУ и то, что это Иванов Иван Иванович (а не просто uporoty), и сразу его auth_key_id и все остальное. Зачем в этой цепочке зачем то нужен GNM ? Что деанонифицирует по Вашему тогда GNM?
"Уважаемый" господин Анин, который не просто слышал от меня, а точно знает и про контракт с ФСБ и про его суть и про прокладку кабеля со сдачей в РТК и тд и тд намеренно делает 100500 раз ударение на том, что это гособоронзаказ и тд и тд. Именно поэтому в данном пункте сделан акцент на ЭлектронТелеком, который занимается коммерческой деятельностью в РФ и никакого отношения не имеет к ГНМ, команде ГНМ и тд. То что актив продан я не отрицаю и вроде даже никогда не отрицал, что продан он был аффилированным со мной лицам, но ... это никак не означает, хоть какие-либо инсинуации на предмет оператора связи и перехвата трафика и тд и тд.
Вы снова пишите бред. То что у ГНМ есть GNM-IX, а в Глобалнет в РФ есть DataIX, к которому подключены 85% операторов связи с РФ и много операторов в Европе - никакого отношения к Вашим фантазиям не имеет. Я еще раз повторюсь, что в РФ, согласно закону о связи, установлен СОРМ. Это значит, что сотрудники соответствующих служб без всяких вопросов и так могут перехватывать (не метаданные, а именно перехватывать) трафик от телеграмма в сторону пользователей или обратно и записывать все, что они могут от этого получить, но ... причем тут ГНМ, зачем ему это нужно (если у них итак все есть) и причем тут протокол mtproto для GNM?
Уважаемый. Я понимаю, что Вы никогда не строили бизнес, никогда никому ни в чем не помогали, никогда не работали в западных компаниях и тд и тд.
Раз дело публичное (в суде майями, в США) - вы его можете почитать - там есть показания под присягой которые я давал. На всякий случай я являюсь там истцом, где я обвиняю ДЦ в нарушении Security Protocol. Так как я являлся инсталлятором и больше никого в ДЦ допускать не должны были, были допущены люди со стороны (даже не сотрудники дц) без нашего ведома. И именно по этому поводу я с ними сужусь. То что я помогал бесплатно что-то делать для компании Т, а в результате через Х лет получил контракт - ну вот такой я молодец. Давайте представим, что допустим, я действительно был CFO (прямо вот работал, сидел в офисе, бла-бла-бла) - что от этого? Означает ли это мою связь с ФСБ? Или может быть это означает что метаданные, которые можно получить о трафике, который пролетает через мое оборудование сразу дают auth_key_id? Мне кажется, что Вы просто очень далеки от техники вопроса - вот такие, админы сети, как говорится, которые сидят на диване.
А это ж легко проверяется. В России - ГлобалНет предоставляет услугу DataIX. К ней подключено около 85% операторов связи в России. После границы всю связность обеспечивает компания GNM. Думаю что здесь достаточно клиентов GlobalNet/DataIX и они могут легко подтвердить клиентов компании GNM, так как от них они получают трафик. Зачем верить, если можно проверить? Мне жаль, что просто никто не удосуживается это делать - взяли, слепили между собой 10 разных событий и хайпуют теперь.
Жду ваших комментариев, как же вы будете легко определять пользователя по auth_key_id. Напомню, что auth_key_id (как я вижу из протокола) добавляется к вашему сообщению внутри пакета. То есть сначала айпи адрес, а потом уже auth_key_id.
Кроме того, прошу обратить внимание на паблик ресурсы, по которым можно проверить сразу и hijack bgp, и когда были какие сети и тд и тд, чтобы мне десять раз не писать.
https://bgp.tools/as/62041#connectivity
Утверждение, что трафик идет через GNM снова не выдерживает критики. Да, GNM является транспортным оператором связи и мы предоставляем много транспорта и гуглу и телеграмму и cloudflare и другим и трафик идет по этим каналам, но он не идет через РОУТЕРЫ GNM. Мы даже в аплинках не числимся, как Вы можете заметить, так как связи с операторами прямые. А вот интернет excahge, где присутствует T:
Все ж просто.
С уважением, Веденеев Владимир
Они «развернули собственную криптографию» ("enrolled their own crypto" - то что во всех учебниках по криптографии рекомендуется не делать - прим.пер.),
это звучит буквально как "да как они посмели не брать наш решение с нашими бекдорами, а сделать своё!"
Предлагаю вообще запретить делать что угодно, например хлеб. Потому что уже есть один хлебозавод и он уже его делает, не сметь пробовать делать иначе!
Ну вообще-то нет, это натурально правило написанное кровью, а точнее многочисленными случаями, когда разработчики очень сильно переоценивали свои знания, а в итоге от этой самоуверенности страдали обычные пользователи.
Ну, как бы, Николай Дуров - это далеко не рядовой разработчик, а математик международного уровня. И в криптографии тоже понимает, надо полагать, не меньше, чем авторы других алгоритмов шифрования. Пока что никто не смог предъявить реальных претензий или найти реальных уязвимостей в актуальных версиях протокола. Если кто-то их найдет - за это обещано вознаграждение.
Ну, как бы, Павел Дуров - это далеко не рядовой стартапер, а бизнесмен, чья предыдущая компания уже отметилась наличием емайла для запросов от сотрудников органов. С авторизацией по знанию этого емайла. Пока что он не смог предъявить реальный код или предоставить для аудита боевые сервера, так что телега считается ГБшным хонипотом по умолчанию, пока не доказано обратное.
Никто не запрещает вам так считать. Собственно, считать любой сервис хонипотом спецслужб тоже ничто не мешает, т.к. доказать обратное невозможно принципиально.
благодаря довольно определенной позиции Дурова, его поведения и всяких всплывающих фактов вокруг него
так будет считать все больше и больше людей, уже независимо от того что он сам говорит
данное расследование, независимо от того реальна ли слежка или нет, это УЖЕ пятно на репутации Дурова и телеги в частности, и это уже никак не изменить, совершенно неважно что теперь скажет сам Дуров и как будет оправдываться сама телега.
считать никто не мешает, но аргументов за это теперь стало больше..и например гораздо больше чем у условного Эппла например
Представьте себе учебник по созданию хлеба, в котором написано, что пытаться самому не стоит. А то отравитесь или ещё чего, мало ли. Зачем тогда этот учебник есть не подскажете?
А может все эти Алиса Боб это операция дезинформации и никакого сквозного шифрования на самом деле не существует, это бы объясняло кривость и невозможность к чтению кода ssl \s
требует, чтобы этот долгосрочный идентификатор передавался открытым текстом или, в лучшем случае, простенько обфусцирован
Mtproto ничего не требует. Это протокол шифрования. Этот "идентификатор" им не шифруется. Но mtproto можно(и нужно) использовать с транспортом. Телеграм скорее всего использует http и websockets с tls(не уверен, но официальные клиенты под все платформы есть на гитхабе, можете посмотреть сами). То есть этот "страшный" идентификатор скорее всего передается зашифрованным, но не на уровне протокола шифрования, а на уровне транспорта. TLS ну уж никак не назвать "простенькой обфускацией". Более того, в документации телеги(в которую я сильно не углублялся, если честно) упомянут "Perfect Forward Secrecy" со следующей ремаркой: "Important: in order to achieve PFS, the client must never use the permanent auth_key_id directly. Every message that is sent to MTProto, must be encrypted by a temp_auth_key_id, that was bound to the perm_auth_key_id. ". Получается, что этот супер страшный айди никогда и не передается(не могу утверждать, зависит от реализации, которую делает команда телеграма, но опять же: 1. клиенты открыты 2. было бы странно завести в свой протокол такую фичу и самим не юзать). В итоге даже в случае коннекта без tls этот идентификатор дает примерно ничего. Хотя "emp_auth_key_id, that was bound to the perm_auth_key_id" в теории дает пространство для уязвимости
Мммммм, уита.
Существуют ли поставщики инфраструктуры, которые не сотрудничают со спецслужбами? К вам придут и предъявят ультиматум - либо что-то там раскрываете и работаете, либо у вас будут проблемы и\или вы закроетесь. Ещё когда Ленин захватывал власть, то первое что он сделал это взял под контроль телефонные коммуникации
Удивитесь, но на западе ко мне никто не придет без решения суда. А если будет решение суда, то тогда я действительно буду готов что то делать и ставить чье то там оборудование. Очень слабо себе представляю «установку оборудования российских спецслужб» где то на западе. Пока ни разу такого не видел, но если вы покажите или скажете дц где это стоит - с удовольствием потрачу денег и время и съезжу посмотрю.
Мне кажется надо просто фантазии свои эротические поумерить. Есть доказательства - велкам, есть подозрение и готовы лично проверять - пожалуйста - удивительно , но мы открыты в этом вопросе, так как дорожим своим именем и предоставляем услуги связи и собираемся дальше предоставлять большому количеству международных операторов и контенту.
все сетевые коммуникации в инфраструктуру Telegram и из нее проходят через компанию, связанную со спецслужбами РФ
Так было всегда или до какого-то момента:
В 2018 году петицию подписывали зря? Наша движуха в против блокировки была тайной операцией ФСБ?
Интересно, можно ли как-то использование auth_key_idкак plaintext обосновать хоть чем-то? Каким-то функциональным или нефункциональным требованием. Может где-то есть упоминание об этом?
Насколько я понимаю - соображения производительности и масштабируемости, а также устойчивости к блокировкам. Передача открытых метаданных позволяет легко строить децентрализованную систему из точек маршрутизации и проксирования. Которую крайне сложно заблокировать одномоментно, как показал опыт. А наличие фиксированных адресов и шифрования канала до определенного домена (как обязательное условие подключения) дает возможность эти самые домены надежно заблокировать, лишив клиентов доступа к сервису.
А более надежные и распределенные методы защиты от блокировок, которые выбрали сами разработчики Telegram - MTProto-proxy и FakeTLS - по иронии как раз не содержат этого auth_key_id в открытой форме.
а теперь внимание вопрос, MTProto-proxy, куда коннектится? к серверам телегама или кудато в промежуточный сервис?
вы же понимаете что в цепочке
Пользователь<-->mtproxy-сервер<-->товарищьмайор<-->сервертелеграм
auth_key_id попадает к товарищу майору в неизменном виде как будто никакого прокси и нет,
а про FakeTLS..вот прям сразу в глаза попалось тут https://habr.com/ru/articles/463165/
После согласования протокола MTProto — Fake-TLS не используется, далее трафик начинает ходить привычным нам MTProto протоколом со случайной длинной (dd — ключи).
Конечно. Телеграм использует достаточно распространенную схему шифрования с pre-shared key вместо сертификатов (таким образом отвязываясь от PKI). В целом протоколы, использующие PSK - вещь не новая и сама по себе не плохая. Кроме производительности, есть еще минимум один очевидный плюс - если кто-то вмешивается в работу PKI, на телеге это никак не сказывается, в отличие от решений, использующих стандартный TLS c сертификатами.
А про Tox, Jami, Briar нет подобных анализов протоколов? Насколько у них вообще всё секьюрно реализовано?
А можно перестать годами ждать, пока эк©пеⓅты™ докопаются до логически очевидного и ожидаемого, и просто начать прислушиваться к тем, кому традиционно предлагается выпить таблеток и надеть шапочку из фольги. Иначе эта игра с опережением на несколько ходов всегда будет не в пользу пользователей.
del
люди начали присматриваться к нему, казалось, что с ним что-то не то, но до сих пор никто не смог доказать
Вся суть данной статьи.
а скорее о том, что эти, казалось бы, ..., по-видимому
Не, ну он аккуратно выражается конечно )
дает майорам глобальную возможность отслеживать перемещения всех пользователей Telegram.
По IP что ли?
Забавно, когда так напирают на e2e в wa/signal, будто это от чего-то защищает, не принимая в расчёт тот факт, что ключ шифрования -- это несколько десятков байт и есть тысячи способов его незаметно передать куда надо
Не говоря уже о том, что ОС может читать и уже читает с экрана что угодно "в целях вашей же безопасности и ради улучшения AI User Experience"
Во-первых, надо было сразу, на первой же строчке написать, что это за журнализдское издание такое, как-будто iTunes, но не совсем.
Во-вторых, Дуров сейчас из-всех сил пытается доказать, что французы его ни к чему не склонили )
Автору перевода, как мне кажется, стоит менее серьёзно относиться к комментариям. Тратить столько сил на ответы людям, которые либо не поняли написанное, либо намеренно "не понимают" - контр-продуктивно.
Статья интересная, спасибо.
Споры в интернете не для того, что-бы переубедить того с кем споришь (особенно если говорить про тех кто "не понимает") а для сомневающихся мимокрокодилов.
Это же прекрасные примеры для опровержения типовых ошибок в рассуждениях. Все правильно он делает, за что ему спасибо.
В случае именно ошибок в рассуждении - несомненно. В случае когда комментатор скачет с тезиса на тезис и цепляется к словам, вместо обсуждения сути - скорее трата времени. Но, разумеется, автор волен делать так, как считает правильным, а я могу быть не прав.
У резонансных статей практически всегда есть такие комментаторы, которые устраивают олимпиаду высокомерно-снисходительного обесценивания. И это не дискуссия с целью уточнить или опровергнуть изложенные факты, это болезненные «игры разума». 5 лет назад было «никакого ковида нет, никто не умирает, все вы всё врете и не лечитесь, ахахаха».
Что можно испытывать к таким комментаторам кроме брезгливости?
Статья интересная, спасибо за перевод и ответы в комментариях! Только не понял:
Вроде Whatsapp по количеству удачных атак сопоставим с Telegram, значит и там есть свой аналог “auth-key-id”?
Почему именно ФСБ, а не АНБ, «Моссад» и т.д.?
Под “auth-key-id” я имел в виду любую уязвимость. Точно в Китае и по-моему в США были взломы Whatsapp за последние лет 8. В крайнем случае погуглить/пояндексить можно
почитать расследование IStories (ссылку на которых мне тут запретили выкладывать, но ее можно найти в Гугле)
Интервью Романа Анина на Инсайдере даже интереснее оригинального ролика.
Еще раз повторюсь, почитайте «расследование» (оно же заголовок) и сделайте выводы сами.
Итак, в Майями инсталлятор говорит «я единственный кто ставит сервера и меняет в них винты по запросу» - вывод - значит он маршрутизирукт трафик (там есть же слово авторизационный список входа в дц)
Дальше - у этого же человека был оператор в России - значит западная компания сотрудничает с ФСБ. Откуда выводы? Придумали? Ну прекрасно. И все также…
Вот в райке 95.161.81.0/24 - кто там собственник?
Возможно задам глупый вопрос, но всё же, а говорил ли Дуров что-то про анонимность мессенджера? Ну, то есть я помню как он расхваливал конфиденциальность секретных чатов и т.п., а вот про анонимность я не припоминаю.
Да хороший вопрос. Мог и не обещать. И тогда «ваши завышенные ожидания - ваши проблемы». Опять же - что такое конфиденциальность? Невозможность связать прямо или косвенно с конкретным человеком? В ТГ её нет, начиная с регистрации по номеру и заканчивая сотрудничеством с органами на основании официальных запросов.
Метаданные посылают любые публичные мессенджеры, включая Signal. И нет - TLS с централизованным шифрованием от спецслужб никак не спасает.
Наличие нешифрованного ID сессии (особенно учитывая, что сессии привязаны к устройствам и являются долгоживущими)
Сессия любого мессенджера привязана к текущему устройству. Долгоживучесть зависит исключительно от паттерна использования.
очень сильно облегчает фильтрацию и анализ этих метаданных
Необоснованное и притянутое за уши утверждение. По факту наличие таких идентификаторов сессии делает возможным эффективную работу публичного мессенджера и быструю синхронизацию данных между устройствами. Анализ и фильтрация метаданных возможна на любом мессенджере. Тем более, если речь идет об уровне спецслужб.
причем даже когда юзеры используют VPN, Tor и перемещаются между странами.
Это тоже никак по факту не обосновано. Ну, либо требует уровня возможностей гипотетического мирового правительства, с доступом к трафику и всем деталям любых сетевых соединений в любой стране.
Ваши попытки здесь в комментариях изо всех сил оправдать Телегу
Телегу не нужно оправдывать. Просто пустые некомпетентные набросы (из которых преимущественно состоит сабжевая статья Возняка) - это плохой способ распространения информации.
По факту, все результаты статьи это то, что автору эмпирическим путем удалось выяснить, что Телеграм работает в точности так, как описано в открытой документации его протокола, которая доступна всем без всяких специальных исследований.
Там выше очень хороший анекдот упоминали, про мальчика и море - очень похоже на ваш случай.
Беспредметная демагогия.
Исследование Возняка основано на фактах, а не на набросах, набросами здесь только вы занимаетесь.
Все факты из статьи Возняка - это то, что и так давно описано в открытой документации телеги. Вы точно уверены, что это такое открытие, ради которого нужно писать разоблачительную статью в стиле "скандалы, интриги, расследования"?
Опять передергиваете, вообще нет, достаточно иметь возможность подслушивать трафик где-нибудь поближе к дата-центрам ТГ.
Ну да, всего-то. :) А если стоять за вашей спиной и наблюдать за экраном, то можно вообще читать всю переписку.
И расследование IStories как раз об этом.
Расследование IStories как раз ничего не доказывает, что якобы кто-то что-то прослушивает. Ну, если не считать, что любой сервис-провайдер всех подряд прослушивает.
"Доведение до абсурда - некорректный метод дискуссии" - ваши же слова.
Вот только доводите до абсурда как раз вы, утверждая, что якобы у кого-то есть возможность отслеживать весь траффик Телеги на уровне ее серверов, потому что Телеграм пользуется облачными ресурсами сторонних провайдеров, а не строит свои датацентры.
Ну раз лично вы так считаете, то не буду спорить. Не доказывает так не доказывает.
Там доказательства уровня - взаимодействовал с ФСБ когда-то, значит, работает на них. По этой логике на ФСБ работают все российские граждане, кто хоть раз получал загранпаспорт. Потому что выдачей загранпаспортов занимается как раз ФСБ.
Ну как бы да. Владелец AS и сетевой инфраструктуры может манипулировать и перехватывать трафик до серверов.
Ну, вообще-то нет. Правила работы сервис-провайдеров довольно строго регулируются. Описанный в статье сервис-провайдер - довольно давно известная компания, которая работает со многими клиентами по всему миру. В клиентах у них далеко не только Телеграм.
Если рассуждать чисто теоретически - то да, и Илон Маск может перехватывать и анализировать весь трафик старлинков. И Безос может теоретически как-то внедрять бэкдоры и получать доступ к любым клиентским данным, которые работают на инфраструктуре Амазон.
Вам не кажется, что фантазии о теоретических возможностях - это не очень сильный аргумент для подобных обвинений?
При получении паспорта ФСБ предоставляет услугу гражданину, а тут компания наоборот предоставляет услуги ФСБ. Две очень большие разницы.
Все сервис-провайдеры в РФ обязаны законодательством предоставлять такие услуги ФСБ. Так работают абсолютно все провайдеры связи в РФ. По этой логике все работники интернет-провайдеров - агенты ФСБ. Я правильно понял вашу логику?
Ну то есть "по правилам такое нельзя, да и по совести тоже, поэтому верьте нам на слово, мы такое делать не будем, честное слово".
Да. Для обвинений в преступной деятельности нужно что-то большее, чем пустые предположения. Как нам убедиться в том, что вы никого в будущем не изнасилуете, например? Поверить вам на слово? :)
Нет, не кажется. И как очень хорошо тут в комментах сказали, "Чтобы принять решение о том, что те или иные вещи делать не стоит ибо рискованно, не нужны доказательства, достаточно подозрений."
Принимать решение о рисках - личное дело каждого. Но вот строить огульные обвинения, основанные только на личной паранойе и фантазиях о возможностях - это уже чуть-чуть другой уровень.
Речь не про СОРМ, а про предоставление услуг связи. Покажите закон, который обязует коммерческую компанию работать провайдером для госроганов?
Я вам больше скажу, коммерческая компания, работающая в публичном поле, обязана предоставлять услуги любому клиенту, не нарушающему законодательство, и желающему заключить контракт. И неважно, госкомпания это или частная. Если какая-то коммерческая компания вздумает дискредитировать клиентов по какому-то произвольному принципу, ее засудят и отберут лицензию. И правильно сделают.
Если какая-то коммерческая компания вздумает дискредитировать клиентов по какому-то произвольному принципу
Защитник незаконной слежки смог заучить слово «дискредитировать». Но вот запомнить то, что «дискредитировать» и «дискриминировать» это два отдельных слова, оказалось выше его интеллектуальных сил.
Ну и да. Замечание, что все факты в статье Возняка - это по сути пересказывание того, что и так описано в открытой документации протокола MTproto много лет, вами в очередной раз проигнорировано.
Это замечание из разряда "А представляете, солнце-то всходит на востоке, а заходит на западе!". Возняк тоже прямо пишет в статье, что он проверяет на практике "особенности" описанные в документации протокола.
Ну, т.е. наблюдал неделю за солнцем и убедился, что оно действительно восходит на востоке, а заходит на западе. Срочно в номер!
вот именно сейчас после расследования IStories о владельцах инфраструктуры ТГ и их связях
Там нет ничего про владельцев инфраструктуры ТГ, зачем вы опять обманываете? Там есть фантазии о возможных связях владельца одного из сервис-провайдеров, которым пользуется Телеграм. Причем фантазии действительно уровня "получал загранпаспорт - значит, завербован ФСБ".
недавно выяснившейся информации
Это какой? Прочитанная наконец документация к открытому протоколу? :)
Как удобно называть "фантазиями" все что не вписывается в вашу желаемую картину мира.
Картина мира тут вообще ни при чем. Фантазиями я называю крайне смелые и далеко идущие утверждения, которые не основаны ни на чем, кроме голых теоретических предположений.
Кстати, чтобы уменьшить количество сомнений в реальности описанного в статье, достаточно почитать официальный ответ этой компании, где они по факту подтверждают подлинность части предоставленных в расследовании документов
Так там по фактической части и нет ничего криминального. Все обвинения по сути сводятся к фантазиям о возможностях. Как вы предлагаете опровергнуть фантазии о возможностях? Вот вам скажут, что вы потенциальный насильник, потому что у вас есть член. Как вы опровергнете такое обвинение, а?
старательно увиливают от ответов на очень "неудобные" им вопросы из расследования
Какие именно "неудобные вопросы" имеются в виду, можно пример?
Глупость сказанная дважды не становится мудростью - в комментарии выше на это уже ответил
Так вся статья состоит из подобных глупостей - в том-то и проблема. Но вы этого в упор не видите.
Это такой жанр: пересказ документации в виде расследования.
можно вкидывать десятки непроверенных глупостей в надежде что читатели не задумываясь поверят вас на слово?
Подавляющее число пользователей мессенджеров с техникой «на Вы», они поверят. Как показала работа СМИ во время ковидобесия, если из каждого утюга льётся нужная повестка, ты в неё рано или поздно поверишь, каким бы высокоразвитым приматом ты не был бы.
Давайте лабу сделаем - я вам 6тбит трафика, а вы мне графы auth_key_id и деанон пользователей…
Проблема в том, что эти два понятия неразрывно связаны и могут влиять друг на друга.
Вполне возможно, отрицать этого не стану, однако, это не значит, что окружающие должны этому принципу придерживаться. Дуров такой же человек, как и мы с вами (ну только у него 17 лярдов $) и он, как и любой человек склонен к некоторым иррациональным закидонам. В данном случае у него может быть некая неприязнь к анонимусам, однако в тоже время он поддерживает приватность диалога. Возможно на это повлиял жизненный опыт. Так или иначе, лично для меня важно, что он не был обманщиком и не обещал того, чего не реализовал. А то что через телегу не стоит писать Шарию или Тихановской, если не хочешь чтоб тобой заинтересовались определённые спецслужбы (при чём по обе стороны баррикад) для меня это итак очевидно. Телега это просто дешёвый и попсовый способ передать сообщение чуть-чуть безопаснее, чем вотсап или иной аналог.
Как же приятно было увидеть это расследование в СМИ, и то как сильно оно вышло на общественное обсуждение.
С самого появления Телеграмма я рассказываю всем друзьям и знакомым про то, что в Телеграмме сделано плохо буквально всё: от мутного протокола с местами странными подходами для технической реализации того или иного функционала и абсолютно дырявых настроек по умолчанию, до непрозрачного финансирования и того что Телеграм взлетел исключительно на хайпе разгоревшемся вокруг публичного образа, который построил себе Дуров. Да, в общем то, огромное количество людей говорило об этом, просто их голоса заглушало мнение широких масс общественности "Ты что? телеграмм - это же безопасно! Так сам Паша Дуров сказал, а видел какой он молодец?".
Когда же вдруг за границей, где о личности и популярности Дурова никто не знал, проводили сравнительную оценку безопасности различных месенджеров, и оценивали конкретно технические аспекты каждого из популярных решений, то все эксперты единодушно сходились во мнении, что пользоваться таким сомнительным продуктом как Телеграм для безопасного общения нельзя, категорически, потому что если мессенджер объявляет себя безопасным, то ТАК он быть устроен не может.
Если раньше на мои аргументы люди обычно просто пожимали плечами и говорили что "Ну, это наверное твои заморочки и профдеформация как безопасника", то теперь, после публикации в СМИ, есть шанс, что о проблеме задумаются многие
Все мы считаем, что телеграм ненадежен. Но где нам еще читать новости? Есть ли нормальные удобные каналы в Whatsapp или Signal? Может быть там есть нормальный десктоп клиент? Может быть у Matrix появился человеческий клиент, а не штука похожая на альфу? Это всё. кстати, как блокировки выдерживает?
Специалист провел большую работу, чтобы показать ненадежность ТГ. За это ему конечно спасибо. Но у меня закрадывается ощущение, что если бы он эти усилия потратил на создание надежного клиента, это было бы гораздо полезнее для человечества.
Можно тупо начать с того, что спиратить клиент ТГ и "доработать его напильником": прикрутить "правильный" TLS, зашифровать вредный auth_id, добавить по умолчанию сквозное шифрование, как в личных сообщениях, так и в чатах (последнее, кстати, недавно запилили в "Партизанском ТГ").
И поднять свои правильные сервера, обслуживаемые компаниями далекими от ФСБ, конечно.
У Bluesky получилось. Если Дурову платят деньги за возможность менять фон в чате, то вполне могут заплатить и за то, чтобы иметь действительно хорошее шифрование.
Кстати, предположу, что приложение можно сделать и мультисерверным - с частью людей можно будет общаться по защищенным серверам, а если акка нет - то стучаться на сервера тг
Сколько можно говорить как плох телеграм? Дайте уже людям альтернативу!
Ну, так, протокол открытый. Считаете, что можно сделать лучше - берете и делаете. Покажите этому наглецу Дурову как нужно делать правильные сервера. :)
только это будет не телеграм уже, какой смысл делать такой клон телеги где не будет пользователей?
вопрос то тут в том чтобы уже имеющийся сервис работал прозрачно
вопрос то тут в том чтобы уже имеющийся сервис работал прозрачно
Что значит "сервис работал прозрачно"? Любой сервис, работающий не на серверах, которые принадлежат лично вам, никогда не будет полностью прозрачным. Потому что вы не можете знать, что именно происходит на стороне сервера. И нет ли там прямого SSH тоннеля из ФСБ. Что касается протокола, то в той же Телеге есть режим секретных чатов, в котором ключи шифрования хранятся только на устройствах пользователя и не передаются на сервер. Поэтому от надежности сервера такая переписка никак не зависит.
вы правы, но тут даже уже на уровне понятий и заявлений туман
== "наш сервис полностью прозрачен! вот протокол, вот клиенты, проверяйте!! всё доступно!"
-- "а можно исходники серверов посмотреть?"
== "НЕТ НЕЛЬЗЯ!! У нас всё прозрачно и честно, мы совершенно точно ничего не делаем плохого"
-- "а можно исходники серверов посмотреть?"
== "НЕТ НЕЛЬЗЯ!! У нас всё прозрачно и честно, мы совершенно точно ничего не делаем плохого"
Про это Дуров неоднократно отвечал. Что открытие исходников серверной части никак не поможет пользователям, т.к. они все равно не смогут проконтролировать состояние серверов и то, что там по факту запущено. Т.е. это будет чистой иллюзией безопасности. От недоверия серверу это никак не избавит. Если есть сомнения в добросовестности серверной части - есть режим секретных чатов, которые на техническом уровне обеспечивают end-to-end шифрование без передачи ключей на сервер. И даже если сервера Телеграма будут стоять прямо на Лубянке, это никак не поможет с доступом к переписке в секретных чатах.
Зато открытие исходников серверной части облегчит создание клонов сервиса с последующими блокировками самого сервиса Телеграм. Что будет отличным подарком всяким одиозным режимам диктатур.
Зато открытие исходников серверной части облегчит создание клонов сервиса с последующими блокировками самого сервиса Телеграм
Это крайне наивная вводная, создать чат сервер при наличии описанного протокола, это не космической сложности задача
Но почему-то пока никто полноценного конкурента Телеграму на данном протоколе создать пока не смог. Хотя пытались. Вспоминаем ТамТам и https://max.ru
потому что конкурент телеграм - это не про технические возможности, а про аудиторию
каким бы неудобным не был Whatsapp, телега которая является прямым его конкурентом и на две головы выше его функционально...она всёравно будет на втором-третьем-пятом месте...хоть десяток убийц вацапа-телеги не сделай, они не стрельнут
Аудитория - вещь довольно переменчивая. Наглядная динамика хорошо это показывает:
https://www.youtube.com/watch?v=HJzxp31ts_s
Вот официальный комментарий от самого Дурова на этот счет:
https://t.me/durovschat/515221
-- "а можно исходники серверов посмотреть?"
На всякий случай поясню еще. Для клиентов доступ к исходникам имеет смысл. Потому что есть такая вещь, как reproducible builds, когда ты можешь сам собрать бинарник из исходников и сравнить его с тем бинарником, что лежит в магазинах приложений или выложен на сайте Telegram. И можешь даже поставить его себе на клиент вместо официального. С сервером ты так сделать не сможешь. Никто не даст тебе доступ к серверной инфраструктуре, чтобы ты раскатывал там свои билды и сравнивал. Поэтому сравнить собранный код (даже при наличии исходников) с тем, что реально запущено на серверах, ты все равно не сможешь. Поэтому раскрытие серверных исходников все равно по факту будет ничем не лучше утверждения "Trust us, bro".
-- "а можно исходники серверов посмотреть?"
Собственно, ответ на этот вопрос есть в официальном FAQ:
https://telegram.org/faq#q-can-i-get-telegram-39s-server-side-code
Внезапно статью вернули.
ИБ-исследователь Michal Wozniak: «Telegram неотличим от приманки спецслужб»