Comments 205
Хм, а ведь совсем недавно ещё, из Росскомпозора их просили «просто предоставить информацию о сервисе»…
Теперь вот следующий ожидаемый шаг.
Теперь вот следующий ожидаемый шаг.
Зато теперь Дуров может сказать "Мы такие все в белом, информацию предоставили, законы выполнили, шифрование расшифровать никак, а если заблокируете, то будете злобными борцами со свободой".
Жду такого исхода. Ну либо Рамзан позвонит и попросит не блокировать.
А Дуров — молодец.
Либо даже еще смешнее. Вспомните историю, когда его хотели заставить регистрироваться в реестре ОРИ. Вкратце, Дуров никаких никуда обращений/заявлений не подавал, лишь сказал, мол, «все нужные рег.данные и так лежат у нас в открытом доступе, можете взять оттуда, если вам так надо».
А закон Яровой, в части расшифровки данных и/или их хранения, обязаны исполнять именно «организаторы распространения информации».
Таким образом, получается ерунда: Телеграм хоть и зарегистрирован в реестре, но никаких заявлений не подавал. Возможно, их юристы сыграют на этом, к примеру, что их внесли ошибочно или незаконно, а соответственно, никакой ответственности они не несут и никакого неисполнения закона не было.
Может, на первый раз и прокатит ;)
А закон Яровой, в части расшифровки данных и/или их хранения, обязаны исполнять именно «организаторы распространения информации».
Таким образом, получается ерунда: Телеграм хоть и зарегистрирован в реестре, но никаких заявлений не подавал. Возможно, их юристы сыграют на этом, к примеру, что их внесли ошибочно или незаконно, а соответственно, никакой ответственности они не несут и никакого неисполнения закона не было.
Может, на первый раз и прокатит ;)
Возможно, их юристы сыграют на этомНе знаю как остальные, а я сильно сомневаюсь что их юристы будут связываться с российскими судами, роскомпозорами и ФСБуком
Вы всерьез верите в весь этот цирк. Мой внутренний параноик говорит о том, что телегу давно и успешно читают, все мастер ключи есть, никакой анонимности для наших силовых структур, конкретно в этом мессенджере нет. А все это представление, исключительно для PR.
В прошлый раз Паша «не сдался», и аудитория телеги в РФ сильно подросла. Сейчас устроят еще одну массированную атаку и еще людей наберут. Нужно же выдавливать буржуйские решения, свои люди, должны под своим колпаком ходить.
Жду p2p мессенджер, который был бы удобен, быстр и имел хороший интерфейс.
В прошлый раз Паша «не сдался», и аудитория телеги в РФ сильно подросла. Сейчас устроят еще одну массированную атаку и еще людей наберут. Нужно же выдавливать буржуйские решения, свои люди, должны под своим колпаком ходить.
Жду p2p мессенджер, который был бы удобен, быстр и имел хороший интерфейс.
Status?
Tox?
UFO just landed and posted this here
Telegram хорош тем, что поверх него можно прикрутить PGP, чтобы на сервер уходили уже криптованные данные. После чего вопрос о ключах и расшифровке резко теряет актуальность.
Да и вообще с клиентом можно делать всё что угодно — исходники-то открыты. Какой ещё мессенджер может таким похвастаться?
Да и вообще с клиентом можно делать всё что угодно — исходники-то открыты. Какой ещё мессенджер может таким похвастаться?
А существует ли клиент, который делает описанное?
Wire.
Telegram хорош тем, чтоИзвините, для симметрии напомню, чем он плох. Тем, что с самого первого шага — регистрации — он деанонимизирует будущего пользователя, требуя от него ввести номер своей мобилы для авторизации. И это мессенджер, позиционируемый как «для параноиков»! Да он тем самым отсекает самую крутую часть своих возможных клиентов! Они ведь не знают, в чью базу данных складируются введённые номера.
Поэтому подождём, пока Дуров придумает другой способ авторизации. Судя по Токсу, такие способы есть.
А в корректность MtProto мне тоже тупо поверить или группу топ криптоаналитиков для анализа всех возможных атак нанимать?
все мастер ключи
А что такое — мастер ключ?
Мой внутренний параноик говорит о том, что телегу давно и успешно читают, все мастер ключи есть, никакой анонимности для наших силовых структур, конкретно в этом мессенджере нет
Я так полагаю, ваш внутренний параноик доказал узявимость протокола телеграмма (и существование для него такой сущности, как "мастер ключи")? Может быть он тогда поделится с общественностью математическим доказательством? Хоть какая-то польза была бы.
А ваш внутренний параноик доказал корректность протокола? А также корректность реализации протокола(случайность констант итд)? Или все же как в пословице про гром и мужика?
А, то есть вы просто, извините, ветры пустили. А я уж думал, что-то хотя бы не совсем идиотское будет…
Если по пунктам, то 1) бремя доказательства лежит на утверждающем 2) я ничего такого не утверждал 3) все (кроме одного) криптографические протоколы построены исходя из принципа грома и мужика.
А все это представление, исключительно для PR.
Поясните, пожалуйста, это ФСБ пиарит Телеграмм, или Дуров ФСБ?
UFO just landed and posted this here
UFO just landed and posted this here
Сикрет чаты реализованы на клиенте, читайте исходники, проверяйте. А обычные чаты — это не для настоящих параноиков.
UFO just landed and posted this here
Если ты — истинный параноик, то будешь собирать всё сам и отключишь обновления. Иначе — не паришься и доверяешь дяде :) Третьего не дано.
UFO just landed and posted this here
Расскажите, плиз: а как вы проверяли закрытый код сервераЗачем его проверять? Еще раз повторяю — Secret Chat реализован на клиенте, обмен ключами и шифрование идёт на устройстве пользователя. Сервер там используется только как канал передачи уже зашифрованного на девайсе траффика.
а Вы бы стали просто так выкидывать 12 миллионов долларов на содержание сервера ежегодно.Понятия не имею, у меня их нет.
У WhatsApp тоже не было финансовой модели много лет, только сейчас начали что-то про бизнес-чаты придумывать. Это не мешало им работать бесплатно и до покупки фейсбуком. Так что не аргумент.
UFO just landed and posted this here
Вы проверяли?Другие проверяли. Не в совке живём, чтобы для езды в машине нужно было разбираться в её устройстве.
Продавались стикеры, рекламные массовые рассылки, платные аккаунты.Вы поздновато пришли в Вазап. Вначале всё что там было – необязательная плата за использование, $1/год со второго года.
Кто-то её финансировал. Зачем?Вазап был продан за $1Г. Говоря вашими же словами, Вы бы стали выкидывать 12 миллионов долларов на содержание сервера ежегодно, если бы в перспективе маячила продажа вашего продукта за миллиард долларов? Даже если вам перепадёт только четверть, например?
Это нога, того, кого надо, нога.
Vps, с установленным на нем софтом, пойдет в массы?
Если распишите на примере + озвучите стоимость, то последователей прибавится.
Какая там стоимость? Это открытый проект, единственные затраты — аренда VPS, а при пользовании Free Tier на AWS — целый год бесплатно.
Free Tier на AWS — целый год бесплатно.
Трафик будет слегка стоить. Но там копейки будут если не качать.
Я думаю имелось ввиду, out-the-box решение. Тоесть что-то типа AMI образа, с уже предустановленным софтом и минимальной админкой для пользоввателей которые не будут в этом разбираться.
Ну если использовать сервер только для обхода блокировок и не качать торренты — то трафик за бесплатные лимиты не выйдет.
Free Tier на AWS — целый год бесплатноFree Tier на GCP — always free, если в США. Но трафик только 1GB (да и то за исключением некоторых регионов).
Free Tier на GCP — always free
Только для AppEngine и с жесткими ограничениями на открытие сокетов cloud.google.com/appengine/docs/standard/python/sockets
Про конкретные ограничения AppEngine не в курсе, но речь не о нем, а о Compute Engine.
1 f1-micro instance per month (US regions only — Excluding Northern Virginia)
30 GB-months HDD, 5 GB-months snapshot
1 GB network egress from North America to all region destinations per month (excluding China and Australia)
1 f1-micro instance per month (US regions only — Excluding Northern Virginia)
30 GB-months HDD, 5 GB-months snapshot
1 GB network egress from North America to all region destinations per month (excluding China and Australia)
Ммммм… Какая вкуснятина! Как только выдастся время — побегу его тестировать!
Спасибо!
Спасибо!
Закон о VPN уже готов, это будут решать так же административными мерами и парой тройкой показательных дел, как в случае с выходным узлом ТОР. А «организацию VPN» еще и отягчающим будут считать.
Синхронненько с Ираном. Совпадение конечно
У Ализара — дьявольская карма!
Добавить или убавить? :)
Добавить или убавить? :)
Не трогать. Так внушительнее.
А как, кстати, получается дробная карма? И как её сделать обратно целой?
Загадка…
Дробная карма получается, когда вы взаимно с кем-то обмениваетесь плюсиками или минусами. Тогда каждому прибавляется не 1, а меньше (вероятно, чтобы сократить накрутки среди своих?)
вероятно, чтобы сократить накрутки среди своих
А раньше ковровые пермабаны без суда и следствия были. Либерализируется хабр.
UFO just landed and posted this here
Не там синдромы ищешь.
UFO just landed and posted this here
От года до полугода назад три моих подряд зарегистрированных аккаунта забанили перманентно. Регистрация следующего акка происходила после блокировки пред идущего. Активный не забаненный акк был всегда один.По правилам так и быть должно. Более того, тебя вообще должны были перманентно забанить за генерацию множественных аккаунтов.
UFO just landed and posted this here
ЕМНИП, рейтинг за статью даёт десятые доли. Ну или раньше давал.
У трех человек на ГТ — плохо с чувством юмора… Ну, это мы переживем.
Ни один западный сервис не должен сотрудничать с этим отребьем. Пускай блокируют, пользователи — не глупы (по крайней мере те, кому сервисы действительно нужны) и сами разберутся, как восстановить доступ. Пускай блокируют и осознают, что мировое сообщество клало байт на эти министерства правды.
95% не будут разбираться с обходом блокировок и найдут замену.
Почему только западные? Свои в первую очередь не должны сотрудничать, ибо так патриотичнее. Своя страна как никак в гетто превращается.
Интересно, ради чего вся эта возня происходит? Чтобы всем доказать, какой Telegram надежный и спецслужб не боится? Все равно доверять тайную переписку, можно лишь решениям с открытым исходным кодом, таким как BitMessage например. Или использовать вместе с классическими мессенджерами отдельное шифрование сообщений. Я помниться ещё в 2006 году использовал ICQ & Jabber в Miranda IM, вместе с плагином GnuPG.
Открытый исходный код не значит, что бинарник у вас собран именно по нему :) Так что доверять тайную переписку, получается, вообще никому нельзя.
Ну так собрать. И отключить обновления.
Т.е. по сути пользоваться штучным продуктом, с необходимостью разбираться в его коде — ведь третьей стороне доверия нет.
На самом деле речь идет о вероятности безопасности. Ведь вы тоже могли упустить закладки из-за непрофессионализма(как и любой эксперт в принципе)+независимые от софта факторы(дыры ОС, шпиен стоящий за спиной и т.п.).
Закрытый софт можно проанализировать только на уровне «в вайршарке ничего не понятно», журналисты говорят пользуются этой штукой.
Открытый же софт при большом доступе независимых экспертов осталяет очень малый шанс на закладки. Конечно он должен быть достаточно популярен, чтобы его периодически проверяли. А проверить, что экзешник не подменили не так сложно — подписи, хэши(в т.ч. независимых экспертов на независимых ресурсах).
Закрытый софт можно проанализировать только на уровне «в вайршарке ничего не понятно», журналисты говорят пользуются этой штукой.
Открытый же софт при большом доступе независимых экспертов осталяет очень малый шанс на закладки. Конечно он должен быть достаточно популярен, чтобы его периодически проверяли. А проверить, что экзешник не подменили не так сложно — подписи, хэши(в т.ч. независимых экспертов на независимых ресурсах).
У двух последовательно собранных экзешников разве не будут разные хэши из-за разных таймстампов? А уж если собирать на разных машинах, с чуточку различающимися настройками компилятора/линкера — вообще пиши пропало. Я хотел сказать лишь, что нельзя смело утверждать, что какой-то экзешник был собран именно с данными исходниками. А закладку в код можно внести и незаметно: много ли людей насторожилось бы, увидев в коде своего любимого мессенджера "=" вместо "=="? А тем не менее, попытка добавить такое в кернел была: http://lkml.iu.edu/hypermail/linux/kernel/0311.0/0627.html
А перед этим собрать компилятор? А перед этим… OH SHI-
Для этого нужно быть уверенным, что у вас нет закладки в компиляторе.
Нужно понимать, кто хотел и мог бы внедрить данную конкретную закладку и корректировать свои действия в зависимости от степени угрозы тех или иных организаций и групп. Нельзя проверить на наличие закладок вообще всё, но можно минимизировать возможный ущерб от неблагоприятной ситуации и снизить вероятность её наступления.
jabber + otr до сих используется для связи с продавцами и кладменами
Есть тема, что у российских спецслужб и так есть доступ к телеге. А все эти песни-пляски в СМИ только поднимают интерес к сервису как к одному из самых безопасных.
всё это конечно здорово когда у вас 1-3 корреспондента, но в реальности всё упрется во френдов с темой: «А чё это… А зОчем… Ой… это сложно»
Пусть блокируют, только в телеграме уже встроена встроена возможность подключения через прокси, так что даже те, кто не хочет использовать VPN и прочие подобные средства, смогут без особых проблем обойти блокировку, просто открыв настройки.
Для реально секретной переписки используется шифр вида «Бабушка заходила вчера, принесла пирожки с малиной. Говорит очень соскучилась». :)
И передаются ЛЮБЫМ каналом.
Так что вся эта возня с блокировками — не более чем передел рынка а за одно контроль за политическими соперниками.
И передаются ЛЮБЫМ каналом.
Так что вся эта возня с блокировками — не более чем передел рынка а за одно контроль за политическими соперниками.
www.goodreads.com/book/show/230543.Mr_Nice
Иногда, при большом желании, могут и это использовать.
Иногда, при большом желании, могут и это использовать.
Спасибо, сообщение принял! Передавайте бабушке маслица!
Я одного не понимаю: в ФСБ действительно сидят настолько далекие от IT люди, которые не понимают что такое End-to-End шифрование (и не могут объяснить это вышестоящему начальству) и что даже перехватив такой трафик, расшифровать его без конечных устройств нельзя, или мы чего-то не знаем о telegram'е (да и прочих мессенжерах в общем-то тоже)?
Помните старый анекдот, про прапорщика, останавливающего поезд?
Так вот это реализация анекдота в реальности. С той тольо разницей, что Госдура предварительно приняла Закон, по которому поезд должен останавливаться по команде «прапорщика».
Так вот это реализация анекдота в реальности. С той тольо разницей, что Госдура предварительно приняла Закон, по которому поезд должен останавливаться по команде «прапорщика».
Похоже, вы просто не понимаете, как работает любая бюрократия. Есть закон, по которому ключи шифрования должны быть выданы ФСБ. Если вы не способны выдать эти ключи, это не проблема ФСБ, это ваша проблема, как вы ее будете решать не интересует ровным счетом никого. Не можете — в бан. И от того, что все прекрасно все понимают, не изменится ничего, от слова «совсем».
End-to-End шифрование разве распространяется в Телеграме на групповые чаты и не на секретные чаты?
На групповые и несекретные чаты распространяется Perfect Forward Security, видимо
Perfect Forward secrecy может и распространяется, но от митма с валидным сертификатом это никак не спасет.
Но валидный сертификат — это не ключ шифрования, при PFS ключ шифрования генерируется на сессию и не компрометируется ключом сертификата, разве нет? Предлагаю не мешать в кучу разные понятия.
PFS вам не поможет т.к. после единичного MITM учетная запись будет незаметно скомпрометирована, а хранящаяся плейнтекстом история переписки доступна для чтения
Для MITM нужен оригинальный сертификат с закрытым ключом (все ведь более-менее адекватные люди используют KEY Pinning?). Много сайтов уже слили свои ключи ФСБ? А иностранных сайтов?
ФСБ и просят приватный ключ телеграмма, причем тут паблик кей спиннин? Он вообще не защищает ни от чего кроме MITM с помощью «другого валидного сертификата»
Вам надо подтянуть теорию. ФСБ просят "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений" — ключ шифрования сообщений. При PFS для шифрования сообщений используется сессионный ключ, который невозможно восстановить, даже если злоумышленник доберётся до приватного ключа сертификата. А сертификат с пиннингами нужен для предотвращения MitM.
1. ФСБ требует закрытый ключ телеграмма что дает им возможность провести незаметный mitm, т.к. получить доступ к истории они могут просто валидно авторизовавшись через свежевыписанную симку, вопрос в именно в незаметности.
2. Паблик кей пиннинг нужен только для защиты от случаев когда к твоему домену выписывают еще один валидный сертификат недоверенному лицу, по ошибке или злому умыслу.
3. PF, HPKP в контексте этого запроса вообще не имеют никакого значения т.к. такой случай равносилен компрометации всей инфраструктуры смотрящей на клиента. Береги приватный ключ с молоду, etc.
2. Паблик кей пиннинг нужен только для защиты от случаев когда к твоему домену выписывают еще один валидный сертификат недоверенному лицу, по ошибке или злому умыслу.
3. PF, HPKP в контексте этого запроса вообще не имеют никакого значения т.к. такой случай равносилен компрометации всей инфраструктуры смотрящей на клиента. Береги приватный ключ с молоду, etc.
ФСБ требует закрытый ключ телеграмма
Вы это где увидели? Я выше написал обратное.
End-to-End только в секретных чатах, вроде бы
Подозреваю, что ФСБ будет требовать убрать из Телеграма End-to-End шифрование, потому что оно делает невозможным исполнение закона, а сейчас им нужен прецедент, чтобы показать необходимость этого.
Думается, в ФСБ есть достаточно разбирающиеся в криптографии люди.
End-to-end и прочие баззворды для них не значат совершенно ничего, это просто маркетинговый бульщит. Малейшие косяки в реализации протокола или алгоритма, банально слабый random() для ключей могут снизить стоимость перебора со штатных 2^128 или сколько там до каких-нибудь 2^40 — которые уже вполне подбираются на нормальном оборудовании.
End-to-end и прочие баззворды для них не значат совершенно ничего, это просто маркетинговый бульщит. Малейшие косяки в реализации протокола или алгоритма, банально слабый random() для ключей могут снизить стоимость перебора со штатных 2^128 или сколько там до каких-нибудь 2^40 — которые уже вполне подбираются на нормальном оборудовании.
UFO just landed and posted this here
Роскомнадзор и ФСБ — это разные организации.
Что-то типа: правая рука и левая?)
Разные ветви власти, не имеющие общего начальника.
Просто копипаст с офсайтов:
«Указом Президента от 12.03.2007 №320 Федеральная служба по надзору в сфере связи и Федеральная служба по надзору за соблюдением законодательства в сфере массовых коммуникаций и охраны культурного наследия преобразованы в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Новая структура подчиняется напрямую Правительству РФ.»
«Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации»
«Указом Президента от 12.03.2007 №320 Федеральная служба по надзору в сфере связи и Федеральная служба по надзору за соблюдением законодательства в сфере массовых коммуникаций и охраны культурного наследия преобразованы в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Новая структура подчиняется напрямую Правительству РФ.»
«Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации»
Правительство — это исполнительная власть.
Я даже соглашусь, что в теории и по учебнику это так)
Ну так давайте предъявлять претензии к власти по закону, а не к тому, что они не решают проблемы по нашим «понятиям». Бардака и так хватает.
Как-то пробовал по закону предъявлять претензии к власти, получается что законы представляют нечто следующее (по моим ощущениям):
1. Вождь всегда прав
2. Если вождь не прав, смотри пункт 1.
На этом прекращу, так как ресурс технический а не политический (к сожалению политика стала лезть и в технологии тоже)
1. Вождь всегда прав
2. Если вождь не прав, смотри пункт 1.
На этом прекращу, так как ресурс технический а не политический (к сожалению политика стала лезть и в технологии тоже)
Тогда почему первые пытаются говорить за вторых?
Просветите меня неграмотного, если я не прав, но я до сих пор считал, что, если не знать ключа, то переписку из Телеграм можно только брут-форсом.
Дуров ответил отказом — молодец, но он именно отказался, а не написал, что требование невыполнимо. Означает ли это, что переписку всё-таки можно расшифровать?
Дуров ответил отказом — молодец, но он именно отказался, а не написал, что требование невыполнимо. Означает ли это, что переписку всё-таки можно расшифровать?
Да, если сохранять ключи вместе с сообщениями. Даже если ключи нельзя вытянуть прямо сейчас, можно выпустить апдейт клиента который позволит передать в центр ключи на указанном девайсе и т.п. а перехваченный зашифрованный трафик у них допустим уже есть.
Впрочем, то что он отказался вовсе не значит что это возможно — он выразил свою принципиальную позицию вне зависимости от того возможно ли это.
Впрочем, то что он отказался вовсе не значит что это возможно — он выразил свою принципиальную позицию вне зависимости от того возможно ли это.
Всё, что зашифровано сервером — так же сервером и расшифровывается, что означает, что все ключи там хранятся где-то рядом и доступ к ним имеют как минимум админы того самого железа, где они хранятся. Ну и все те, кто сможет «уговорить» админов или руководство компании дать немного доступа к нужной базе данных.
Шифровать данные всегда лучше peer-to-peer, когда вы уверены в подлинности получающей стороны, а все протоколы и, тем более, исходники открыты. При этом желательно не использовать никакие центральные сервера телеграма, так как это открывает хотя бы сам факт и время разговора между людьми (которые перед этим слили им свои номера телефонов). Но это для настоящих параноиков)
Шифровать данные всегда лучше peer-to-peer, когда вы уверены в подлинности получающей стороны, а все протоколы и, тем более, исходники открыты. При этом желательно не использовать никакие центральные сервера телеграма, так как это открывает хотя бы сам факт и время разговора между людьми (которые перед этим слили им свои номера телефонов). Но это для настоящих параноиков)
Я вот думаю, этот закон вообще реально как-то использовать? Да хотя бы ради слежки за оппозиционерами.
Представим, что закон Яровой выполняется на 100%, Телеграм передает ключи расшифровки спецслужбам. Приходит запрос: нужна переписка пользователя А за 1 сутки начиная с даты X.
1. Выяснить номер телефона А, под которыми он зарегистрирован в Телеграмме. Не факт, что поиск по фамилии найдет правильные намера.
2. Найти IP-адреса пользователя А и всех серверов Телеграм, с которыми он соединялся в дату X и сутки после. Точек выхода пользователя А может быть много: мобильный интернет (не факт, что по своей SIM-карте), домашний интернет, интернет на работе, соседский интернет, кафе, и т.д. При чем человек может за день начать общение в Телеграм из дома, продолжить по GSM пока едет на работу, потом с интернета на работе, потом опять GSM по дороге домой и WiFi из дома. При этом при каждом обрыве связи IP-адреса пользователя А и сервера Телеграм могут меняться. Если же человек использует прокси, то задача усложняется — нужно найти все цепочки А — прокси — Телеграм.
3. Найти TCP-потоки в записанных данных. Вот я сейчас смотрю, и вижу, что только у ОДНОГО провайдера ОДИН аплинк загружен на 220 ГБит/с. И ведь не факт, что трафик КОНКРЕТНОЙ сессии пользователя А пошел именно по конкретному маршруту и по тому же самому маршруту вернулся обратно. А сессий много. И с разными IP с обеих сторон.
В итоге получается, что при подобном запросе оператор спецслужб получает жуткий геморой. Ему придется сделать кучу официальных запросов к провайдерам и длительных запросов к базе записанного интернет-трафика, чтобы получить все цепочки данных и, наконец, расшифровать переписку. И это в идеальном случае, если все ответят быстро и ничего не перепутают. Иначе время выполнение задачи увеличивается в разы. К моменту расшифровки данные станут неактуальны.
Представим, что закон Яровой выполняется на 100%, Телеграм передает ключи расшифровки спецслужбам. Приходит запрос: нужна переписка пользователя А за 1 сутки начиная с даты X.
1. Выяснить номер телефона А, под которыми он зарегистрирован в Телеграмме. Не факт, что поиск по фамилии найдет правильные намера.
2. Найти IP-адреса пользователя А и всех серверов Телеграм, с которыми он соединялся в дату X и сутки после. Точек выхода пользователя А может быть много: мобильный интернет (не факт, что по своей SIM-карте), домашний интернет, интернет на работе, соседский интернет, кафе, и т.д. При чем человек может за день начать общение в Телеграм из дома, продолжить по GSM пока едет на работу, потом с интернета на работе, потом опять GSM по дороге домой и WiFi из дома. При этом при каждом обрыве связи IP-адреса пользователя А и сервера Телеграм могут меняться. Если же человек использует прокси, то задача усложняется — нужно найти все цепочки А — прокси — Телеграм.
3. Найти TCP-потоки в записанных данных. Вот я сейчас смотрю, и вижу, что только у ОДНОГО провайдера ОДИН аплинк загружен на 220 ГБит/с. И ведь не факт, что трафик КОНКРЕТНОЙ сессии пользователя А пошел именно по конкретному маршруту и по тому же самому маршруту вернулся обратно. А сессий много. И с разными IP с обеих сторон.
В итоге получается, что при подобном запросе оператор спецслужб получает жуткий геморой. Ему придется сделать кучу официальных запросов к провайдерам и длительных запросов к базе записанного интернет-трафика, чтобы получить все цепочки данных и, наконец, расшифровать переписку. И это в идеальном случае, если все ответят быстро и ничего не перепутают. Иначе время выполнение задачи увеличивается в разы. К моменту расшифровки данные станут неактуальны.
Так они это и поняли =)
Теперь хотят от всех средств общения админку, в которой можно жмякнуть на кнопочку и спокойно почитать все сообщения/письма.
Теперь хотят от всех средств общения админку, в которой можно жмякнуть на кнопочку и спокойно почитать все сообщения/письма.
Всё, что вы написали — правильно. Только вы не учитываете, как это будет работать в реальности. На самом деле на всех чуть-чуть засветившихся несогласных (а повод при нынешнем законодательстве может быть любой, например, «обсуждал возможности смены действующей власти, и признал, что легальными методами это невозможно», при большом желании можно объявить экстремизмом) будет заведено электронное досье. И каждый засветившийся постоянно будет под лупой.
Цели такой глобальной слежки в том, чтобы иметь на всех компромат. При необходимости заставить человека сотрудничать, а при желании — отнять бизнес или заставить платить дань. Вовсе не все «подозреваемые» реально будут оппозиционерами, следить могут и за владетелями «вкусной» собственности, совершенно независимо от того, как эта собственность появилась.
Цели такой глобальной слежки в том, чтобы иметь на всех компромат. При необходимости заставить человека сотрудничать, а при желании — отнять бизнес или заставить платить дань. Вовсе не все «подозреваемые» реально будут оппозиционерами, следить могут и за владетелями «вкусной» собственности, совершенно независимо от того, как эта собственность появилась.
Вот уж кто, а потенциальные жертвы спецслужб явно осознают всё это и озаботятся дополнительным туннелированием своего трафика через зарубежные VPN-сервисы. Они обязательно прочитают статьи, проконсультируются с IT-специалистами или привлекут их за деньги, после чего всё будет настроено как надо, и никакие спецслужбы ничего не найдут.
при запрете vpn это будет еще один способ «взять на карандаш» определенных личностей
Ну пусть берут. реальных доказательств-то не будет. Конечно, всё может скатиться в средневековье, когда под пытками люди признавались вообще во всех грехах, каких им скажут, но тут уж против лома нет приема.
Ну пусть берут. реальных доказательств-то не будет.
Почему не будет? Все будет.
Конечно, всё может скатиться в средневековье
если подавляющее большинство не перестанет вести себя так, как ведут себя (верить новостям, и прочим СМИ, да поддерживать тех кто у них забирает деньги), то именно это нас и ждет
против лома нет приема
есть способ, всем давно известный, но стоит ли эта игра свеч?
Весь смысл моего спича состоит в том, что все мы давно уже являемся вполне реальными, о никакими-то «потенциальными» жертвами наших спецслужб. Уточнять не стану, дабы не углубляться в политоту.
Какие IP-адреса? В Telegram пользователь регистрируется через номер телефона.
1. Находите номер телефона человека через базы мобильных операторов
2. Запрашиваете переписку из аккаунта Telegram по этому номеру
3. profit
1. Находите номер телефона человека через базы мобильных операторов
2. Запрашиваете переписку из аккаунта Telegram по этому номеру
3. profit
Пункт 2 — Телеграм шлет в зад, говоря «У вас есть ключи, сами расшифровывайте, мы ничего не храним». Провайдер шлет в зад, говоря «У нас стоят ваши системы „СОРМ“ и „Яровая“, у вас к ней полный доступ, вот сами и ищите.» Далее как написано выше.
потом такие провайдеры будут бегать и сами искать свои лицензии. Провайдеру сложнее всех исполнить все 9.5 правил ведения бизнеса в этой стране.
Так сам Ростелеком и пошлет. У них нет людей чтобы заниматься этой ахинеей, да и платят там, по слухам, не очень. К тому же у рядовых сотрудников вряд ли будет доступ к БД с трафиком — NDA они не подписывают, и продать дампы налево будет очень большой соблазн.
к ростелекому придут друзья путина и скажут, что нельзя посылать чекистов.
Нельзя просто так взять и прекратить самодурство в этой стране.
Нельзя просто так взять и прекратить самодурство в этой стране.
Просто придет нужный человек, с корочкой, которому ну никак нельзя отказать. Одному Ивану устроят отгул за счет организации, а нужный человек будет работать за его компом. Делов-то
Есть такая штука как Transparent data encryption в Оракле — данные в базе есть, но если админ со своим паролем зайдёт то по факту ничего не сможет увидеть потому что всё зашифровано. Оракл это сделал чтобы соответствовать PCI DSS.
UFO just landed and posted this here
UFO just landed and posted this here
SIM-карты уже давно по паспорту. Вот только никто не запрещает пользоваться SIM-картами, зарегистрированными на другого человека. При чем для звонков и интернета могут использоваться разные SIM-карты разных операторов.
IP-адрес ничего не решает, их целая куча у каждого человека и у серверов, и меняться они могут довольно часто. Плюс NAT с несколькими адресами выхода. Плюс маршруты трафика частенько меняются. А уж если человек использует прокси… Это надо расшифровывать и фильтровать всё и искать везде. Найти и скомпоновать можно, но на это уйдет куча времени и усилий, данные уже будут неактуальны.
IP-адрес ничего не решает, их целая куча у каждого человека и у серверов, и меняться они могут довольно часто. Плюс NAT с несколькими адресами выхода. Плюс маршруты трафика частенько меняются. А уж если человек использует прокси… Это надо расшифровывать и фильтровать всё и искать везде. Найти и скомпоновать можно, но на это уйдет куча времени и усилий, данные уже будут неактуальны.
UFO just landed and posted this here
Те, кому есть что скрывать, используют шифрование со своими ключами, там уже никаких вариантов прочесть переписку в обозримом будущем.
там уже никаких вариантов прочесть переписку
Вы забываете про терморектальный криптоанализ.
Это уже средневековые методы, там не обязательно искать кого-то конкретного, признаться в совершенно любом преступлении может совершенно любой человек. Надеюсь, что до этого не дойдет.
Если есть возможность применить ректальный термоанализ, то переписка и не нужна. И голое фото сделать несложно и получить признание с подписью.
никто не запрещает пользоваться SIM-картами, зарегистрированными на другого человека
Вы таки не поверите, но…
Тут ещё вот какая проблема. «На другого человека» — это либо ваш знакомый, и это ничем не секурнее оформления на себя, либо «тот чувак из перехода», который оформляет стопицот симок на одного и того же бомжа. Но их сейчас активно гоняют, а симки заставляют или переоформлять, или блокируют.
Плюс NAT с несколькими адресами выхода. Плюс маршруты трафика частенько меняются. А уж если человек использует прокси
Да-да, а на другом конце линии сидит обычный ламер Боб, у которого пароль от гугла, в том числе на бэкапы с перепиской, 123.
SIM-карта на знакомого — это значит нужно будет просмотреть всех знакомых в соцсети и запросить данные и трафик по каждому. Уже кошмарно долго и муторно.
А вообще, я в курсе где все эти системы ставят и как это работает у провайдеров. Там сплошной пофигизм и раздолбайство со всех сторон. И если эти системы реально потребуются, пользы от них не будет никакой. Как всегда потратят миллиарды, а выбивать признание продолжат дубинками и бутылками, при чем не факт, что из виновных. Страна такая.
А вообще, я в курсе где все эти системы ставят и как это работает у провайдеров. Там сплошной пофигизм и раздолбайство со всех сторон. И если эти системы реально потребуются, пользы от них не будет никакой. Как всегда потратят миллиарды, а выбивать признание продолжат дубинками и бутылками, при чем не факт, что из виновных. Страна такая.
Но их сейчас активно гоняют, а симки заставляют или переоформлять, или блокируют.
Да не особо. У меня одна симка для разговоров на чеченскую женщину зарегистрирована уже года 4, а вторая, для интернета — вообще с корпоративным тарифом и принадлежит неизвестной мне конторе… Этой меньше — год.
Поделитесь способом заиметь такую живую симку
До боли просто: я искал в гугле что-то вроде «закрытые тарифы МТС». По одной из ссылок есть форум, даже регистрации не нужно, чтобы смотреть. На форуме куча тем, от «заказать спам» до «подключу корпоративный тариф на ваш номер». Смотрите, выбираете. Если в теме несколько страниц (в «моей» было 10+), то можно считать продавца проверенным. Мне симку со льготным интернетом за 500 рублей отправили по почте. Гарантий никаких, но окупилась она уже через 2 месяца и продолжает экономить кучу денег каждый месяц. Тариф не то, чтобы выгодный — аналогов просто нет, у МТС есть либо какие-то адские пакеты за тысячи рублей (из которых мне нужен только интернет), либо БИТ, который вообще курам на смех. Если эту симку заблокируют — в тот же день закажу новую.
Этот бАнАнА и его миньйони…
Всё страннее и страннее…
Всё страннее и страннее…
Самый главный вопрос, которым надо задаться.
Если на телегу завели, то на других не заводят, потому что они что-то предоставили или после телеги будет вазап, вайбер и так далее и останемся только со спутникачатом?
Если на телегу завели, то на других не заводят, потому что они что-то предоставили или после телеги будет вазап, вайбер и так далее и останемся только со спутникачатом?
UFO just landed and posted this here
Сова приложила ухо к груди Буратино.
— Пациент скорее мертв, чем жив, — прошептала она и отвернула голову назад на сто восемьдесят градусов.
Жаба долго мяла влажной лапой Буратино. Раздумывая, глядела выпученными глазами сразу в разные стороны. Прошлепала большим ртом:
— Пациент скорее жив, чем мертв…
Народный лекарь Богомол сухими, как травинки, руками начал дотрагиваться до Буратино.
— Одно из двух, — прошелестел он, — или пациент жив, или он умер. Если он жив — он останется жив или он не останется жив. Если он мертв — его можно оживить или нельзя оживить.
Вотсап от фейсбука, с ним почему-то пока публично не ссорятся. Что с вайбером — хз. Плюс у Дурова уже отобрали ВК, возможно просто считают его более легкой целью по этой причине.
Я плохого мнения об IT уровне наших спецслужб. На эту тему у меня есть история из далёкого 2005 года. Наверное кое-что поменялось с тех пор, но была…
История несколько сюрреалистичная, что она и мне самой начинает казаться недостоверной, но её богу, это было на самом деле. Я тогда работала в одном системном интеграторе, который заигрывал с ФСБ (тендеры, откаты, наверное что-то в этом духе, меня это мало касалось). И вот однажды зовёт меня директор, говорит: надо нашим друзьям оказать одну услугу, это по твоей части (занималась сайтами, дизайном и т.п.).
Приезжаю куда-то в район Пречистенки. Там, её богу, конспиративная «квартира» ФСБ под прикрытием коммерческой фирмы. Звоню, захожу и охреневаю. Представьте холл, полумрак, по периметру всё сплошняком задрапировано чёрными шторами, рядом с которыми также по периметру помещения стоят торшеры с масляными светильниками или спиртовками, короче говоря с открытым огнём. Выглядит, как логово сатанистов или как минимум салон чёрной магии.
Из-за гардин появляется дядя и провожает меня. За шторами уже нормальные помещения. Идём куда-то в очень богато обставленный кабинет к какому-то начальнику, причём в одном из подземных этажей. И вот задание. У них были сканы каких-то бумаг плохого качества. Вернее сканы были нормальные, сами бумаги были чём-то перепачканы. Не удивлюсь, если это была кровь. Теперь держитесь. Задача в Фотошопе сделать так, чтобы их можно было прочесть.
Ну ладно, говорю, сделаю, что смогу (подниму там контрастность, посмотрю, что в каналах). Отвели меня в какое-то ещё более глубокое подвальное помещение типа серверной и оставили наедине (!) с Фотошопом.
Безопасность там была ну просто никакая. Я конечно поостереглась лазить, куда не следует, но будь желание, там по всей видимости, можно было много что натворить.
Ну а сама бумага — это был документ на красивом бланке какого швейцарского банка — сертификат каких-то золотых счётов. На нём было фото какого-то бородача с арабским именем, а дальше добрую половину занимал какой-то буквенно-цифровой шифр. Не спрашивайте что это, не знаю.
В общем привела скан в более приличный вид. Насколько помню, прочесть буквы-таки там при желании стало можно.
До сих пор не понимаю, чем была вся эта история, и какова моя роль в ней. Причём никаких подписок или слов, что мы тебя закопаем, если проговоришься, не было. Просто: помоги, пожалуйста.
Но если и в самом деле наши спецслужбы работают так… С представлением обо всём компьютерном на уровне: «ты же программист, ты сможешь»… То это звиздец. Дармоеды.
История несколько сюрреалистичная, что она и мне самой начинает казаться недостоверной, но её богу, это было на самом деле. Я тогда работала в одном системном интеграторе, который заигрывал с ФСБ (тендеры, откаты, наверное что-то в этом духе, меня это мало касалось). И вот однажды зовёт меня директор, говорит: надо нашим друзьям оказать одну услугу, это по твоей части (занималась сайтами, дизайном и т.п.).
Приезжаю куда-то в район Пречистенки. Там, её богу, конспиративная «квартира» ФСБ под прикрытием коммерческой фирмы. Звоню, захожу и охреневаю. Представьте холл, полумрак, по периметру всё сплошняком задрапировано чёрными шторами, рядом с которыми также по периметру помещения стоят торшеры с масляными светильниками или спиртовками, короче говоря с открытым огнём. Выглядит, как логово сатанистов или как минимум салон чёрной магии.
Из-за гардин появляется дядя и провожает меня. За шторами уже нормальные помещения. Идём куда-то в очень богато обставленный кабинет к какому-то начальнику, причём в одном из подземных этажей. И вот задание. У них были сканы каких-то бумаг плохого качества. Вернее сканы были нормальные, сами бумаги были чём-то перепачканы. Не удивлюсь, если это была кровь. Теперь держитесь. Задача в Фотошопе сделать так, чтобы их можно было прочесть.
Ну ладно, говорю, сделаю, что смогу (подниму там контрастность, посмотрю, что в каналах). Отвели меня в какое-то ещё более глубокое подвальное помещение типа серверной и оставили наедине (!) с Фотошопом.
Безопасность там была ну просто никакая. Я конечно поостереглась лазить, куда не следует, но будь желание, там по всей видимости, можно было много что натворить.
Ну а сама бумага — это был документ на красивом бланке какого швейцарского банка — сертификат каких-то золотых счётов. На нём было фото какого-то бородача с арабским именем, а дальше добрую половину занимал какой-то буквенно-цифровой шифр. Не спрашивайте что это, не знаю.
В общем привела скан в более приличный вид. Насколько помню, прочесть буквы-таки там при желании стало можно.
До сих пор не понимаю, чем была вся эта история, и какова моя роль в ней. Причём никаких подписок или слов, что мы тебя закопаем, если проговоришься, не было. Просто: помоги, пожалуйста.
Но если и в самом деле наши спецслужбы работают так… С представлением обо всём компьютерном на уровне: «ты же программист, ты сможешь»… То это звиздец. Дармоеды.
Это обычная попытка «подсушить» репутацию после того, как она была подмочена скандалом с телеграфом, в ходе которого выяснилось, что телеграмм вполне себе не иностранный.
ООО «Телеграф» уже давно передал все ключи. Паша как всегда устраивает цирк с конями, в который уже мало кто верит :)
Думаю всё сложнее. ООО «Телеграф» — это подрядчик, работающий на Telegram LLD, зарегистрированную на каких-нибудь Каймановых островах. Они просто отсылают код, а ключи — это «к хозяину».
ООО «Телеграф» просто разбирает ру спам и платит своим сотрудникам ЗП в 200 000 руб/месяц. Ну и офис где работают борцы со спамом находится рядом с офисом Вконтакте, в Доме Зингера. Что тут сложного? :)
Ну, владелец здания может сдавать свои помещения хоть под овощебазу. Это отдельное юрлицо, и то, что рядом расположено другое юрлицо, у которого есть какие-то отношения с ФСБ, не значит ровным счётом ничего.
То есть это случайно так совпало?
Вы же наверняка знаете, что там был офис Контакта. Многие разработчики оттуда ушли в Телеграф и наверно все довольны, что не пришлось переезжать.
Посудите сами, вы работали в магазине А, а затем перешли в магазин Б напротив. Никто же не будет говорить, что это одно и тоже просто потому, что магазины находятся в одном ТЦ.
Посудите сами, вы работали в магазине А, а затем перешли в магазин Б напротив. Никто же не будет говорить, что это одно и тоже просто потому, что магазины находятся в одном ТЦ.
Люди, которые считают, что телеграмм никуда ничего не сливает, по своей наивности не отличаются от людей, которые до сих пор считают, что соц сеть вконтакте никуда ничего не сливает, и там всё конфиденциально.
UFO just landed and posted this here
Решение проблемы — стеганография. Текст можно зашифровать и спрятать в картинке, которую можно передать открытым способом. Через любой разрешённый месенджер.
Павел, на заметку!
Павел, на заметку!
Как бороться с неподконтрольной компрессией в данном случае?
Ну Вы как не в России живёте! Запретить «все эти ваши фотошопы» или вовсе обмен изображениями в сети, делов-то!
Почему неподконтрольной? Алгоритмы более-менее детерминированы, и зная параметры, можно знать, чего от данной конкретной реализации в данном мессенджере ожидать. Картинки обычно пережимаются только при отправке в сеть.
Был уже в истории один забавный персонаж который воевал с Посейдоном путём избивания моря. ФСБ походу неправильно поняла этот исторический урок.
Современное средневековье в стране православного шариата.
Почему, мистер Дуров? Зачем продолжаете бороться? Неужели вы верите в какую-то миссию?
Sign up to leave a comment.
ФСБ составила протокол на компанию Telegram за отказ предоставить ключи шифрования