Pull to refresh

Comments 74

Объясните мне, что за шум вокруг всех этих мессангеров последние полгода где-то?

Всем разом понадобилось иметь супер-приватное средство общения внутри IT-индустрии (потому что люди далёкие от IT вообще этими вопросами не заморачиваются) или чего?
Довольно неприятно осознавать, что твою переписку читает товарищ майор. Даже если не обсуждаешь теракт…
UFO just landed and posted this here
Покажите, пожалуйста, а где посмотреть читает ли и мою переписку «товарищ майор». Не сарказма ради, а объективности для.

Мне тоже очень бы хотелось бы подобные вещи осознавать.
Законы, которые прямо сейчас принимаются в отношении мессенджеров и «защиты ПДн граждан», придуманы именно для этого.
Вот прямо сейчас? Да вы что! Нужно срочно что-то делать!

Давайте митинг соберём, я не знаю… обсудим как-то эту проблему.
цитата из письма Роскомнадзора начала месяца:
1. Заключались ли Вашей организацией в период с 2012-2015 г.г. договоры с юридическими лицами (индивидуальными предпринимателями), предметом которых является обработка информации об абонентах (пользователях), включая ее сбор, обработку, систематизацию и передачу с указанием местонахождения технических мощностей, на которых осуществляется хранение переданных данных.
2. Заключались ли Вашей организацией в период с 2012-2015 г.г. договоры с юридическими лицами (индивидуальными предпринимателями), предметом которых является установка и подключение оборудования (программного обеспечения), осуществляющего обработку информации об абонентах (пользователях), включая ее сбор, обработку, систематизацию, анализ и передачу, либо неперсонифицированных данных, необходимых для оказания рекламных услуг, с указанием наименования программного обеспечения и местонахождения технических мощностей, на которых осуществляется хранение переданных данных.
Под обрабатываемой информацией понимается, в том числе сведения о поисковых запросах пользователя, интернет-адреса посещаемых им веб-страниц, тематика размещенной на посещаемых пользователем страницах информации, географическое положение пользователя и его идентификатора, преобразованном с помощью обратно-несовместимой хэш-функции, сбор геоаналитических данных по численности и динамике перемещения населения, а также иная информация об абонентах (пользователях).

и следом письмо о проведении внеплановой документарной проверки.
я говорю, всё хорошо, никто ничего не читает, ничего не происходит. СОРМа тоже нет.
Я вас спросил кто меня читает, покажите. Или вас лично, хотя бы, ну.
не совсем понятен вопрос, что значит «кто»? кто конкретно или как он это делает?
или что именно Вас кто-то читает?
то, что Вы просите — подпадает под статью 283 статью УК http://www.zakonrf.info/uk/283/. Хорошая попытка, но нет.
P.S. что такое гос.тайна http://zakonrf.net/o_gosudarstvennoy_tayne/s5.htm.
У нас, в Беларуси, уже несколько лет существует закон, по которому провайдеры обязаны несколько лет хранить информацию об уникальных идентификаторах и прочую информацию интернет-сессий.
Вы правы, в режиме онлайн вас никто читать не будет, но. Когда вы вдруг попадёте в поле зрения «органов» (причём, для этого не обязательно нарушать закон), такие данные могут «поднять» и «проанализировать» в целях использования против вас. И тогда безобидная фраза другу «не забудь, что ты должен взять лимон» может быть истолкована так, как будет выгодно условному «товарищу майору».
Различные толкования безобидных фраз легко оспариваются в суде, если уж появится такая необходимость.

Лучше приведите пример когда действительно ни в чём не виновный гражданин получил реальный срок благодаря только данным переписки.
Ну да, очень легко…
Кроме данных переписки может быть ещё заявление от «потерпевшего», мнение «эксперта», упущенная выгода, валовый оборот как «сумма ущерба» и «нет оснований не доверять следствию». И вот уже трёшечка.
Кроме политических заказов ещё бывают и дела, когда один другому отправил смс в прикол о " заминировании" и получил 9 лет колонии и огромный штраф, потому что спецслужбы «среагировали» euroradio.fm/ru/delo-sms-minera-metro-v-minske
Если вы кому-то помешаете, на вас найдут что повесить и без всего этого.
UFO just landed and posted this here
это не лишний повод, это упрощение работы.
Различные толкования безобидных фраз легко оспариваются в суде

Вы это расскажите отцу маленькой девочки, нарисовавшей кота и экспертам, принявшим рисунок за признаки детского совращения.
Могу вам кучу контрпримеров привести, когда человек в открытую пишет о незаконных вещах (за исключением терроризма, пожалуй), и никто его не трогает.

Говорю же — захотят за вас зацепиться, найдут за что. Мы живём в гораздо более несправедливом мире, чем большинству здесь присутствующих отчего-то кажется.

Ладно, это бессмысленный разговор, я не разделяю параноидальных взглядов большинства, вот и всё. Кроме того, для меня очевидно что всё это — пустая болтовня в интернетике и не более того. А вообще, на Хабре, как и в любом другом сообществе, вредно иметь мнение противоречащее мейнстриму, так что я далее лучше просто промолчу.
Цитата из одной статьи по вашей ссылке: «Студентка БГУ заглянула в экран чужого телефона, выбежала из вагона и обо всем рассказала охране метро.»

При чём тут мессенгеры?
При том, что на одних показаниях студентки дело не построишь. Мало ли что ей там показалось. А тут смс-ка, даже если удалил с телефона, то копия осталась храниться у оператора вечно. Если б юзал секьюрный мессенджер, то такое дело состряпать было бы на порядок сложнее.
Я вас уверяю, было б надо — состряпали ещё б и не такое.
это либеральное передергивание фактов. в России в суд попадают только дела, по которым доказан состав преступления. Доказывать свою невиновность надо на этапе доследственной проверки, во время следствия и в прокуратуре. Если и прокуратура подтвердила, что следствие собрало все доказательства совершения преступление — то суд уже только выносит обвинительный приговор. Поэтому процент надо бы смотреть другой, но его никто не покажет.
Вы не правы. Точнее подчинить регулировать интернет хотят, но в вопросе с месенджерами интересы совсем другие.

Из статьи РБК:
Документ предполагает, что компании — разработчики мессенджеров смогут работать в России только по договору с операторами связи.
Доля соцсетей и мессенджеров в общем мобильном трафике операторов достаточно велика: так, например, у МТС она составляет 23%.

Напомню, что МТС уже пытался бороться с мессенджерами:
Необходимо определить соответствие Skype и подобных компаний российским лицензионным требованиям, – заявили в МТС. – Поставщики интернет-сервисов ничего не инвестируют в инфраструктуру связи, но пользуются сетями, в создание которых операторы вложили огромные средства
Но в тот раз аргументирование было не правильным, с террористами же все становится проще. Т.е. у операторов сотовой связи просто подгорает одно место при мысли о том, что народ не шлет дорогие СМС (в сотни раз дороже себестоимости), а пользуется дешевыми месенджерами.

UPD
Вот эта фраза из статьи РБК тоже очень интересна
В том случае, если сервис нарушит какие-либо правила, операторы связи должны будут блокировать пропуск его трафика.
Дело не в том, читает ли сейчас товарищ майор переписку или нет. Дело в том, что он может читать. Имеет такую техническую возможность. Намерения меняются мгновенно, а возможности создаются годами.
Они и раньше могли при большом желании, никто этого даже вроде особо не скрывает. Только раньше вы об этом бы даже никак не узнали, вот и вся разница. Шум из ничего.
Вот именно. Раньше товарищ майор мог читать, а теперь появились варианты. Причем варианты очень дешевые для пользователей.
На всех граждан РФ майоров не напасёшься.
Объясните мне, что за шум вокруг всех этих мессангеров последние полгода где-то?
Шум, как я полагаю, пошел от СМИ, которые добавляли желтизну в заголовки, умышленно или по незнанию технической части. Добавляли шума в СМИ еще и теоретические террористы, пользующуюся Telegram. Мне не нравится Telegram, но, в целом, он определенно лучше прочих популярных мессенджеров хотя бы тем, что там есть возможность сделать шифрованный чат с более-менее нормальной сверкой отпечатка ключа, но у обычных чатов-то защищен только транспорт, как и у, собственно, большинства прочих популярных мессенджеров, а СМИ, по большей части, описывают Telegram как супер защищенное решение, которым пользуются даже террористы, так что вам, типа, точно подойдет. Я считаю такое преувеличение со стороны СМИ достаточно большой проблемой, без шуток, т.к. такие новости привлекают в Telegram много технически неграмотных новых пользователей. Если в тот же Tor безопасность заложена архитектурно, то безопасность переписки неграмотных пользователей Telegram держится только на принципиальности разработчиков о нераскрытии данных и физической сохранности серверов, а в случае компрометации страдают не только сами пользователи, но и вы тоже, если вы переписывались с пользователем, данные которого, например, выдали правительственным организациям.

Насколько я понимаю, ТЗ у Kpyto было вполне вменяемое, из него можно было написать технически точную статью, достойную хабра, а претензии были больше к тому, что он сделал массовую рассылку.

Но сама проблема в мессенджерах в том, что их много, а все популярные продукты — проприетарные, требуют ввода телефонного номера, с закрытым сервером, или имеют еще какие-то недостатки.

Как сказал zhovner:
Эта тема сильно больше нас всех, потому как такая важная для человечества технология как IM и аудио-видео звонки не может быть управляема одной компанией. Есть всякие рабочие группы поддержания критических для индустрии библиотек и программ, типа openssl, apache. Мне кажется этим должен заниматься какой-то IETF.
Просто в какой-то момент они проебали это и открытые стандарты не успели за коммерческими поделками. То что сейчас IM монополизирован компаниями это ужасно. В идеале все мессенджеры должны поддерживать унифицированный минимальный стандарт, достаточный для того чтобы связаться с кем угодно, как email, а все свои фирменные штуки реализовывать внутри сети для своих пользователей.
Представьте что имейлы можно было бы слать только между outlook, но на gmail уже нельзя. Или звонить можно было только с Nokia на Nokia, а на самсунг нельзя. Именно так и выглядят так сейчас мессенджеры.
Есть мессенджер Signal с изначально крутым протоколом, опенсорсный, в нем даже есть нормальные шифрованные голосовые звонки и групчаты. Да, пока регистрация по номеру телефона, но планируют это дело убрать со временем. Десктоп клиент тоже в процессе. Чем не идеальная замена телеграму?
Я знаю о signal, и знал о нем до его переименования, но вот номер телефона портит для меня ВСЕ. Я банально не могу в нем зарегистрироваться, скачал его, установил, смотрю на этот печальный диалог и унываю. А в техническом плане, если забыть о номере телефона, да, он офигенный!
Они «скоро» перейдут на WebSockets и побочным эффектом от этого должна стать регистрация по никам. Так что ждем
Телеграм — просто хорошо работает. В Телеграм есть ряд уникальных и вдохновляющих возможностей (Боты, API). Остальное важно только для настоящих параноиков (и для них есть свои решения), зачем эту тему форсить?
Вот в этом и проблема. Критерии, которые по-хорошему должны быть в базе и по умолчанию, вытеснены в область «для параноиков».
Простите, какие именно критерии? Абсолютная криптоустойчивость стикеров? Основной рубеж защиты ваших данных должен быть в вашей голове.
Критерий простой — переписка должна быть неприкосновенна. По умолчанию и без обсуждений. Даже если там котики обсуждаются.
А нам сейчас начинают сс… дуть в уши в духе да какая вам разница, да кому вы интересны, да вы же не террористы, да чего бояться законопослушному гражданину и так далее.
Вы сейчас о чем? О алгоритмах шифрования или о законодательстве? Что значит «должна»? Алгоритм — он либо устойчивый, либо не очень, и это инженерный вопрос. Абсолютно защищенной информации не бывает, вы ведь это понимаете? К чему тогда весь этот максимализм? Конечно плохо, если приложение — «дырявое», но это будет его конкурентным недостатком, и, при наличии лучшего варианта — тот другой вариант окажется более успешным и популярным в условиях, когда это важно для потребителя. А передавать шифрованные сообщения можно и по абсолютно открытым каналам связи.
«Должна» — это значит должна стремиться к совершенно защищенной (идеал недостижим, но к нему можно и нужно стремиться), не вызывая глупых вопросов типа «зачем форсить тему»
Добавьте в обзор последние результаты по анализу протокола MTProto: eprint.iacr.org/2015/1177.pdf. В этой работе показано, что данный протокол не является стойким в модели IND-CCA, т.е. возможно любой шифртекст преобразовать в некоторый другой шифртекст, который может быть расшифрован в исходный открытый текст. Несмотря на то, что атака теоретическая, авторы рекомендуют все-таки не использовать самопальные решения, а реализовывать хорошо проверенные конструкции, ну и предлагают изменить протокол, чтобы атака не проходила.
Интересно, самый частый довод об отсутствии безопасности Телеграм — регистрация через номер телефона. Но почему-то мало кто думает, что никому не нужен будет ваш номер телефона, если не смогут прочитать содержимое переписки и наоборот — если прочитают переписку, то найдут те кому нужно даже без номера телефона.
То, с кем и как часто вступал в коммуникацию абонент — вот что может быть очень важно для злоумышленника. А тут прям номер телефона на блюдечке.
Вот зря вы так — Телеграм позволяет создавать диалоги не зная номера телефона собеседника, не добавляя его к себе в контакты, а используя всего лишь @ник, включая секретные чаты, которые не оставляют никаких следов на сервере и в учетной записи пользователя.
Какой то странный обзор.
Речь о протоколах или о клиентах, использующих эти протоколы?
Если о протоколах, то почему в обзоре нет Tox, но есть Pidgin?
Если о клиентах, то при чем тут секретность вообще?
очень удивлён отсутствием tox
У него еще не было аудита безопасности. Планируют заняться этим позже.
Пора в начале или конце любой статьи на тему защищенных коммуникаций писать примечание для тех особо одаренных индивидуумов, которые вечно пишут «да кому вы нужны?».
Право на конфиденциальность общения — фундаментальное и не зависит от содержания общения.
Потому возможность использовать это право должна быть независимо от чего-либо.

Утверждающие обратное либо не понимают идею гражданских прав (а значит, недостаточно интеллектуально развиты, чтобы ее понять), либо намеренно пытаются дискредитировать идею этих прав (а значит, прямо или косвенно содействуют беззаконию и разного рода формам диктатуры).
Идеальный менеджер: DHT, RSA ключи на клиенте. При коннекте к одному из «трекеров» обмен ключами с клиентов.
Все.
Rsa — прошлый век, а так вы Tox описали.
Да! Вы ответили в момент, когда я писал о Tox. Сегодня вечером провел ликбез по месенжерам. Tox гениальная вещь. Гениальная.
Поставил себе Tox, это гениальное решение!
Кампания черного пиара действительно идет масштабная. Вот еще пример: The secret American origins of Telegram, the encrypted messaging app favored by the Islamic State В статье нит ничего существенного, все высосано из пальца, но основной посыл — «Телеграмом пользуются террористы и вообще доверять ему не стоит».

Кто заказчик и какова цель этой кампании, остается только гадать. Вплоть до экзотических вариантов вроде «отвратить народ от Телеграма, чтобы снизить эффективность пропаганды ИГИЛ»
Самый явный и очевидный фейл телеграма: централизованность серверов. Берутся за жопу те, кто ими управляют — и все. Нет телеграма. Пусть даже никто и не прочитает мою переписку в прошлом.

Вытекает этот фейл из чуть менее очевидного фейла — закрытости исходного кода серверов.
Есть джаббер и шифрование поверх его.
Спасибо, это так мило, что мне на хабре посоветовали джаббер. Джаббер, емейл, sip (и иногда IRC) — это единственные возможные средства связи через интернет со мной. Просто потому, что все остальное ненадежно или нестабильно.
Есть еще такая вот сентябрьская статья с заголовком "A practical cryptanalysis of the Telegram messaging protocol" на которую разработчики, если я не ошибаюсь, до сих пор ничего внятного не ответили. Ну и да, главная ошибка телеграма — изобрели свой криптовелосипед, который все пинают до сих пор. Использовали бы TextSecure — никто бы слова не сказал. Но нет же, мы крутые программисты из СПБГУ, нам своё подавай.
Это та же самая, про которую я выше написал, только исходный вариант
Да, я это подозревал, просто для верности решил добавить еще один источник
Интересно, а администрация Хабрахабра читает мою переписку? :)
Так сколько в итоге заплатили-то?

Ведь эта статья идеально вписывается в ТЗ, опубликованное товарищем Kpyto;)
Да кому интересен ваш телеграм…
Вы напишите лучше статью о том как правильно здороваться в письмах — это же больше обсуждают чем телеграм.
Ладно шифрование, всё равно групповые чаты его не поддерживают и многие об этом просто не знают, но вот на днях к нам в групповой чат залетел спам-бот. Стоило всего лишь забыть деактивировать ссылку для приложения и он сбрутив идентификатор в ссылке попал в наш уютный чатик без каких либо проблем.
время доступа в сеть

отключается в настройках, но вот не знаю, только видимость или реально перестает посылать.
Строго говоря ключевые слова «коммерческая разведка» «конкурентная разведка» должны быть знакомы многим, а эта книга типа основа основ
Sign up to leave a comment.