Атака Telegram за 2^64 операций, и почему суперзлодею она не нужна

Original author: adc
  • Translation
Прошлой весной мы с Juliano Rizzo (@julianor) придумали криптографическую атаку на «секретный» чат MTProto из Telegram, которая может быть осуществлена приблизительно за 2^64 операций. Атака осуществляется с позиции человека посередине на серверах Telegram.

Сообщения, отправляемые пользователям вне секретного чата, сохраняются на серверах Telegram таким образом, что позволяют компании просматривать содержимое сообщений и передавать их третьим лицам. Так происходит всегда, если беседы могут перемещаться между устройствами (например между телефоном и компьютером). Эти чаты не являются приватными, то есть пользователи должны быть очень внимательны, чтобы случайно не отправить инкриминирующую информацию или картинки без включения секретного чата. Групповые чаты к тому же вообще не используют ent-to-end шифрование. Более того, когда кто-нибудь входит в такой чат, он сразу получает доступ к ранее отправленным несекретным сообщениям. Мы к этому вернемся чуть позже.

Секретный чат


Слоган Telegram гласит: «taking back our right to privacy», и имеется в виду секретный чат с end-to-end шифрованием. Эта часть была легко взломана во время первого соревнования по компрометации Telegram с XOR-ключами выдаваемыми сервером.

По сути, end-to-end шифрование «Телеграмма» — это протокол Диффи-Хеллмана для выбора ключа, а затем шифрование по видоизмененной схеме AES. Аутентичность end-to-end шифрования основывается на усеченном SHA-1 хэше общего секретного ключа, который отображается графически в качестве отпечатка. Этот отпечаток каким-то образом нужно передать и сравнить визуально. Если вы криптограф, то мне очень жаль, что вам пришлось это прочитать; я понимаю, как это мучает и противоречит многочисленным наработкам и канонам. По крайней мере инженеры из Telegram хотя бы используют неплохие рекомендации и требования к значениям параметров Диффи-Хеллмана.



Отпечаток, который два пользователя должны сравнить, получается из хэша ключа Диффи-Хэллмана. То есть общий ключ имеет пространство значений 2^2048, хэш-функция SHA-1 производит 160-битный хэш. 160-битных хэш обрезается до 128 бит, которые и используются, чтобы получить отпечаток (см. рисунок).

Важно понимать, что это кошмар крипто-юзабилити. Когда я встречаю кого-нибудь из пользователей Telegram я спрашиваю, как они организовывают аутентификацию секретного чата; и как правило ответы приносят лишь разочарование. Обычно пользователи просто посылают скриншот отпечатка прямо через секретный чат, который они и пытаются установить. Для атакующего человека посередине автоматическая подмена картинки с отпечатком — это совершенно тривиальная задача.

Атака 264


Хорошо, допустим теперь вы все делаете правильно, и производите сравнение отпечатков при личной встрече. А также не допускаете ошибок при сравнении, потому что вы чрезвычайно внимательны.

Первое наблюдение состоит в том, что несмотря на то, что общий секрет находится в пространстве 2048-битных простых чисел, аутентификация, предотвращающая атаку человека посередине, использует лишь 128-битный отпечаток, который сравнивается визуально. Если можно осуществить эффективный перебор параметров ДХ, то человек посередине смог бы подделать отпечаток.

Второе наблюдение состоит в том, что в стандартном поведении протокола человек посередине должен работать лишь с несколькими параметрами. Со стороны второго пользователя не так уж много способов контролировать результирующий общий секрет.

В классическом сценарии атаки на ДХ человек посередине просто выбирает отдельный общий секрет для каждого из пользователей.



В то же время, если атакующий использует социальную инженерию, чтобы второй пользователь начал секретный чат по собственной инициативе, то у него намного больше свободы действий. То есть сейчас атакующий выбирает два публичных ключа (A и B). Человек посередине может создать два общих секрета M1A и M1B с разными экспонентами m1 и m2, тогда как раньше у него была лишь свобода выбора общего секрета с первым пользователем.



Вот это и является атакой. Атакующий перебирает значения m1 и m2, которые дадут одинаковый 128-битный отпечаток для M1A и M2A. Возможность поиска значений и m1, и m2 для разных общих секретов позволяет осуществить атаку «дней рождения» для поиска коллизии. Вместо поиска в пространстве 2128, атакующий перебирает 264 значения ‘m1’ и 264 значения ‘m2’, вероятность успеха около 50%.

С точки зрения сложности атака требует порядка 265 операций. В 2015 году такая сложность является неприемлемо низкой. Для справки, NIST объявил SHA-1 устаревшим ещё в конце 2012 и рекомендовал использовать SHA-256 в качестве замены. Атака «дней рождения» на SHA-256 потребует около 2128 операций. Так что несмотря на высокую стоимость, описанная выше атака вполне осуществима хорошо финансируемым злоумышленником.

С точки зрения реализации, на первый взгляд кажется, что атака все ещё требует чрезмерно высоких ресурсов.
Одним из заблуждений является то, что экспоненцирование такой большой величины в поисках коллизии является слишком тяжелым с вычислительной точки зрения, поскольку приходится экспоненцировать 2048-битные простые числа. На самом деле атакующему нужно выполнять только возведения в квадрат и деление по модулю на каждом шаге.
Другим заблуждением является сложность по памяти в 264. Это тоже неверно, поскольку существуют параллельные и не требующие большого количество памяти атаки «дней рождения», и существуют различные стратегии компромисса между используемой памятью и затраченным временем. Мы написали код, использующий ρ-aлгоритм Полларда для поиска коллизий, не требующий много памяти.

В целом, я бы оценил полную атаку в диапазоне десятков миллионов долларов с точки зрения инфраструктуры и электричества для получения полной коллизии за разумное время. Атакующий также может украсть или арендовать существующую инфраструктуру, например ботнет или суперкомпьютер. Другими словами все вписывается в бюджет суперзлодея.

Оценка стоимости атаки за 260 операций — www.schneier.com/blog/archives/2012/10/when_will_we_se.html
Производительность вычисления SHA при помощи GPU — gist.github.com/epixoip/c0b92196a33b902ec5f3 www.geforce.com/hardware/desktop-gpus/geforce-gtx-980/buy-online

Telegram ответил на описание данной атаки статьей, где они оценивают атаку в триллион долларов.

Почему суперзлодею не нужна эта атака



Конечно, атакующий может потратить кучу денег с целью получить доступ к серверам Telegram и ещё больше денег, чтобы осуществить атаку, но давайте будем реалистами, есть куда более простые и значительно более выгодные атаки.
Все списки контактов и обычные чаты находятся на серверах Telegram с кучей метаданных, кто с кем общается, как часто, с номерами телефонов и достаточным количеством сохраненных чатов. Если атакующий получил доступ к серверам Telegram, то полученные данные — это уже очень хорошо, и нет необходимости подслушивать секретные чаты. Нет, серьезно, разве это не та информация, за которой охотится суперзлодей?

Теперь, если суперзлодей действительно хочет перехватить секретные чаты, он может рассчитывать, что жертва просто отправит отпечаток через новое секретное соединение. К сожалению, многие пользователи так и поступают. И поскольку мы говорим о суперзлодее, то он может перехватить другие каналы коммуникации, которые пользователь попытается использовать для аутентификации, например SMS; дело ещё и в том, что визуальный отпечаток не может быть передан вербально, поскольку большинство клиентов не показывают отпечаток в читаемой форме. Два отпечатка просто-напросто подменяются суперзлодеем, и до следующей личной встречи пользователи так и не узнают, что их общение было перехвачено.

И ещё кое-что. Допустим, люди используют приватные мессенждеры на телефоне, чтобы избежать уязвимых средств коммуникации, предоставляемых операторами связи. Тем не менее, единственной системой аутентификации в Telegram является SMS-код.



Мы знаем что SMS слабо защищены, и мы знаем, что злоумышленники очень часто это используют. SMS могут быть подслушаны и взломаны, пользователи могут быть подключены к поддельным базовым станциям, а ещё операторы могут быть взломаны (вспомните belgacom) или принуждены к сотрудничеству. То есть если SMS является методом аутентификации, то очевидно, что аккаунт Telegram может быть похищен.

Атака SMS также не требует высоких технологий. Если суперзлодей атакует вруга (frenimy — враг, притворяющийся другом; примечание переводчика), он может просто одолжить телефон (или SIM-карту, если телефон запаролен) на несколько минут и украсть аккаунт. Более того, Telegram сохраняет и показывает старые сообщения. С украденного аккаунта суперзлодей может с помощью социальной инженерии вынудить контакта начать новый секретный чат, чтобы тот сообщил какой-нибудь секрет.

Как починить Telegram


Первого декабря Telegram анонсировал forward secrecy, эта фича добавляет ротацию ключей внутри установленного канала. Но это никак не помешает описанной атаке человека посередине.

Есть несколько вещей, которые надо починить в Telegram, и вот список наиболее критичных.

Во-первых, чаты (включая групповые) должны иметь end-to-end шифрование по умолчанию. Это избавит от человеческих ошибок и утечки информации. Кстати, в Threema и TextSecure end-to-end шифрование уже включено по умолчанию.

Во-вторых, end-to-end шифрование должно перейти от аутентификации при каждом чате к криптографии с публичными ключами для идентификации пользователей. Нет никакого смысла аутентифицировать секретные чаты сессионным ключом. Вместо этого у каждого пользователя должен быть один или несколько публичных ключей, с помощью которых происходит выбор ключа сессии. Пользователи подтверждают друг друга единожды, и все. И, кстати, в Threema и TextSecure все это было сделано несколько лет назад.

В-третьих, аутентификация пользователя — это очень, очень слабая защита для приватного мессенджера, и злоумышленник, который может позволить себе перехват SMS, может легко украсть аккаунт и использовать социальную инженерию или просматривать обычные чаты. Необходима другая схема аутентификации аккаунта, и как можно скорее, пусть даже пароли с двух-факторной аутентификацией. Кстати, этот вектор является наиболее вероятным для реальных атак без взлома серверов Telegram, и это может сделать даже обычный злодей, не обязательно быть суперзлодеем.

И наконец, ради приватности в Telegram нужно сделать возможной коммуникацию без необходимости в адресной книге и телефонном номере, чтобы позволить использовать Telegram анонимно; сейчас это невозможно.

@Serzhenko отмечает, что в конце 2014 года в Telegram появились никнеймы. Это избавляет от необходимости знать номер телефона собеседника, но в то же время аутентификация по-прежнему осуществляется по номеру телефона, и на серверах эта информация хранится. Примечание переводчика.

Соревнование Telegram


На данный момент идет соревнование с призом в 300 тысяч долларов за взлом end-to-end шифрования. Можно ли использовать описанную атаку? Дело в том, что само соревнование организовано так, что не позволяет устроить атаку типа «человек посередине». Если бы условия конкурса это позволяли, то у атаки был бы шанс. Ну, правда, скорее всего, вычисления будут стоить больше, чем приз; можно, конечно, использовать крауд-сорсинг.

Читатели, поищите ещё баги и уязвимости в MTProto, как минимум несколько ещё должно быть.

Рекомендации для пользователей, которым нужна приватность


Как мессенджер общего назначения Telegram выглядит нормально. Но если вам нужна секретность и приватность, то я рекомендовал бы что-нибудь другое. Например, Threema или TextSecure.

Благодарности


Огромное спасибо @odiumeh за сотрудничество, советы и поддержку, а также другим людям, которым я прожужжал все уши об этой атаке. Отдельное спасибо Dhiru Kholia и Marsh Ray за их отзывы.

Полезные ссылки




Пример частичной коллизии


p = 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

A = 31255283409627973717223000370765106922189476428506306750544086446550550889396

B = 112771494640069988074840580093805523312740220076402790935086113796930956685865

m1 = 1524456385

m2 = 2871128407

M1A = A2 * m1 mod p

M2B = B2 * m2 mod p

M1A = 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

M2B = 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

SHA1(M1A) = 0xe20bf6722b0a44b7e0fca07bd6c55a74b378ad74

SHA1(M2B) = 0x5813a3521aa452a4a2fffc3ed6c55a74b378ad74

64-bits in common, d6c55a74b378ad74


Update


Нотация O() беспокоила людей и была неуместна, также я добавил ссылку на ответ Telegram про стоимость атаки.

Примечание переводчика


Спасибо HoverHell за вычитку перевода.

Обо всех найденных ошибках и неточностях перевода, пожалуйста, пишите в личку.

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 86

  • UFO just landed and posted this here
      +1
      <паранойя>Специально сделали картинку, чтобы отправляли скриншоты, а не зачитывали
      • UFO just landed and posted this here
      0
      И наконец, ради приватности в Telegram нужно сделать возможной коммуникацию без необходимости в адресной книге и телефонном номере, чтобы позволить использовать Telegram анонимно; сейчас это невозможно.
      Это давно возможно:
      Никнэймы появились October 23, 2014
      Чуть позже, December 1, 2014, добавили отдельный домен, по которому можно обращаться к пользователям по никнэймам
        +2
        Но при регистрации все равно нужно указать своё телефон. Так?
          0
          Да, авторизация всё равно по телефону.
          Но с собеседниками номерами телефона обмениваться не нужно.
            +1
            Я допишу сейчас пояснение, но с MITM опять та же самая беда.
        +5
        Атака «дней рождения» на SHA-256 потребует около 2^128 операций. И несмотря на высокую стоимость, она вполне осуществима хорошо финансируемым злоумышленником.

        Че?
          +1
          For a hash function for which L is the number of bits in the message digest, finding a message that corresponds to a given message digest can always be done using a brute force search in 2L evaluations. This is called a preimage attack and may or may not be practical depending on L and the particular computing environment. The second criterion, finding two different messages that produce the same message digest, known as a collision, requires on average only 2L/2 evaluations using a birthday attack.

          en.wikipedia.org/wiki/SHA-2#Cryptanalysis_and_validation
            +1
            Удивление, очевидно, вызывает последнее высказывание в цитате. Даже если просто представить, что 2^128 — это «вполне осуществимо», то как вообще тогда сейчас можно пользоваться любой 256-битной хэш-фунцией?
              0
              По-видимому ошибка перевода [тыц].
            +5
            Оригинал www.alexrad.me/discourse/a-264-attack-on-telegram-and-why-a-super-villain-doesnt-need-it-to-read-your-telegram-chats.html

            Complexity wise, this attack is a roughly a 265) step operation. In 2015, this difficulty is unacceptably weak. For some perspective, SHA-1 was deprecated by NIST at the end of 2012, with SHA-256 being recommended instead. A birthday attack on SHA-256 would require 2128 computations. And despite the attack being expensive, it is feasible and within the means of a very well financed adversary.

            Описание SHA-256 дается лишь в качестве сравнения («For some perspective… would require 2128 computations»), чтобы показать каким мог быть правильный выбор хеш-функции.

            Вероятно, пояснение про осуществимость атаки («the attack», «она») в тексте относилось не к SHA-256 и 2128 атаке, а все к той же 265 (unacceptably weak) атаке на 128 битный отпечаток.

            Сложность 2128 — это «всего лишь» 1015 лет работы одной машины эксамасштаба (Exascale = 1018 операций в секунду, машины запланированы на 2018-2020-е года) и не может считаться «осуществимой».
              0
              Спасибо, по-видимому вы правы. Поправил перевод.
            +48
            Я живу в Колумбии и общаюсь, скажем так, с разными людьми. Я НИ РАЗУ не видел, чтоб любые данные передавались по любым каналам электронной связи. Либо личная встреча, либо посыльный.
            Данные передают на флешках. Причём на разъём и контакты наносятся поперечные царапины — если флешку вставить в разъём хоть раз, кромки царапин сминаются и восстановить их нельзя. Минута над микроскопом позволяет понять, совали флеху или нет. Игольчатые и лепестковые контакты также оставляют след на позолоте контактов.
            Раз наблюдал картину — менсахеро (пацан лет 15) привозит ноут на мотоцикле. Ноут новый, даже заводская винда ещё не развёрнута.
            Разворачивают винду, регистрируют ящик на яху, пишут несколько писем. Ящик удаляют, ноут закрывают и… в печку. Чтоб даже следов мак-адреса сетевухи не осталось.
            Это я к чему? Это я к тому, что средства вроде телеграма будут востребованы у Мани, пересылающей фото сиськофф Ване. И опасающейся, что супер-злодей похитит её фото. Но в серьёзном бизнесе, для защиты от FBR, ФСБ и прочих узурпаторов безудержной свободы, ни это, ни любое другое средство шифрования не будет востребовано.
              +7
              Почему многие считают, что такие сервисы используют для защиты от ФСБ и FBR (вообще FBI, если что так). В бизнесе, в том числе, серьезном (если только не считать единственным «серьезным» бизнесом наркоторговцев и прочих, за информацию на флешке которых самих сжигать нужно) — основная угроза — компроментация коммерческой информации, слив планов, приватных ключей и прочего.
              Ествественно, РЛС у военных не будет писать в телеграмме засеченному самолету что-то типа «ты свой? точно?», у них свои методы, но и деньги и риски там совершенно другие. Если военные в состоянии закопать по всей необъятной нашей стране отдельный провод для передачи секретной информации, а так же везде расставить посты, коммерческой организации это сложновато.

              Более того, само по себе использование общедоступных платформ (Android, iOS) уже делают в принципе несекьюрным против правительственных служб.

              А про ноут в печку — тупость редкая. Во-первых, это никоим образом не спасет получателя. Во-вторых, подсовываешь ноут, который скрыто делает фотографию, метку на карте, и отправляет всю нужную информацию куда требуется. Профит.

                +5
                Подсовываешь кому? Одному из мальчиков Боготы, который купит ноут в одном из магазинов Боготы за налик?
                Ноут в печке рвёт следы. Ты можешь отправить письмо из мака, даже с улицы, но твоё устройство будет идентифицировано хотя бы по данным WiFi чипа, через который пробьют IMEI и через него найдут тебя.
                Телеграм изначально позиционировался именно как защищённое средство передачи информации. В пику злым ФСБешникам, оккупировавшим Вконтакт. На деле же (и иначе быть не могло) защищает он лишь на бытовом уровне.
                Защиту коммерческой информации мы в году 2001-м делали архивируя винраром с шифрованием AES. Сегодня средств шифрования, в том числе с открытым исходным кодом, которые можно проверить и допилить под себя (добавить XOR, гы) достаточно. И передавай по мылу. Конкуренты не вскроют а от FBI мы, вроде как, и не защищаемся ;)
                Засечённый самолёт отвечает открыто, равно как имеет опознавательные знаки на борту. Смысл шифровать? Или враг не откроет огонь, получив в ответ мусор вместо ответа?
                Что до секретных приказов, их до сих пор развозят в портупеях, причём по обе стороны океана. Онлайн передача используется лишь в критических по времени ситуациях, когда приказ будет исполнен раньше, чем посылку расшифруют.

                --Более того, само по себе использование общедоступных платформ (Android, iOS) уже делают в принципе несекьюрным против правительственных служб.
                Да, именно.
                  +3
                  У WiFi модуля нет IMEI, у него есть MAC адрес.
                    0
                    Зато у производителя мобильного устройства есть данные по МАС адресу установленного в ваш IMEI модуля.
                    Я в курсе, и так оно и написано. Я не уточнил по МАС, т.к. помимо него у беспроводных чипов есть ещё несколько параметров, которые можно считать дистанционно и которые оставляют следы.
                    Не забываем также, что сейчас большинство чипов идут совмещёнными — вифи + блюпуп + рфид и т.п. на одном кристалле.
                    Таким образом, нет ничего сложного узнать модель аппарата и, часто, владельца (если у вас не краденный в европе аппарат, к примеру).
                    В любом случае, если вас возьмут лично, живой изъятый аппарат будет доказательством ваших рассылок или чего вы там с него делали.
                      +2
                      Я не совсем понимаю, что значит «IMEI модуль». Заодно стоит уточнить — разговор идёт про ноутбук с беспроводными модулями, а не мобильный телефон. Вы упомянули IMEI для WiFi модуля — я лишь сделал замечание, что у онного такой отсутствует.
                        0
                        Нееет.
                        Я сказал, что по данным WiFi чипа (там не только МАС, который можно подделать, и даже на хабре когда-то была статья по поводу однозначной идентификации WiFi чипов/модулей) можно легко получить данные по IMEI аппарата и, затем, его владельце. Не выходя из подвала КГБ.
                        В случае с ноутбуком — по модели ноутбука (и серийнике его винды, к примеру, если там винда, а это, чаще всего, так), но я в тот момент думал о портативных устройствах, т.к., обычно, именно с них идёт залив/слив контрафакта через публичные точки.
                        У всех производителей есть база, куда заносятся серийники всех модулей и блоков в каждом выпущенном аппарате. Официальная версия — для нужд гарантийного ремонта.
                        В общем, при наличии желания и ресурса, клубочек разматывается довольно быстро.
                        Чтоб исключить данный риск, ребята жгут ноутбуки/телефоны/флешки. Их цена не сравнима с ценой провала.

                        ПС. Мак в заминусованном посте, это макдоналдс. На всякий случай…
                          –1
                          MAC и IMEI лего меняется.
                            +1
                            на счет IMEI не подскажете как?
                              0
                              Не все конечно могут, зависит от устройства, на MTK например менятся за минуту через специальную программу.

                              Опять же, зачем выбрасывать ноутбук, если можно взять внешний 4G-WiFi роутер и затем выкинуть только его.
                              0
                              За что люблю комментаторов хабра: пишешь «там не только МАС, который можно подделать», а тебе в ответ «его легко поменять!!!1111!».
                              0
                              Что мешает подключить внешний wifi-адаптер и работать не с винды, а с какого-нибудь live-cd дистрибутива?
                                0
                                Да ничего. Негр с золотой цепью, толщиной с руку, запустит live-cd, настроит интернет соединение через модем да напишет письмо. Тут что ни наркобарон, так сисадмин и линуксоид. В свободное от перевозок время.
                                  0
                                  Тот же самый негр, который подключается через общественный вай-фай, чтобы его не засекли и понимает, что засветился mac-адрес устройства.
                                    0
                                    Вы таки думаете, понимает? Я таки думаю, он даже слов таких не знает.
                                    Мак адрес, ID, волосок под клавишей — это всё для специалистов. А он просто знает, что сжигание ноута в печке гарантированно уничтожает все закладки любой сложности. И только те, кто это делает, до сих пор сидят по виллам, а не по камерам в гуантанамо.
                                    Гордеев узел, аднака.
                                      0
                                      Зря вы считаете всех тупыми. Может этот накодиллер вообще, в свободное от работы время учавствует в разработке ядра линукс
                        0
                        Про самолет не понял.
                        Система опознования «свой-чужой» — грубо: на борт посылается сообщение, которое шифруется ключем, введенным на борту с утра, если ключ неверный, считается, что чужой. Идея в том, чтобы не дать врагу увести этот самый ключ. Все остальное можно подделать (бортовой номер, пилота Васю Пупкина, маршрут и миссию), а принять врага за своего може нести огромные последстви.
                          0
                          Засеченный самолет имеет разные виды ответа, и все они засекречены.
                          0
                          А про ноут в печку — тупость редкая. Во-первых, это никоим образом не спасет получателя. Во-вторых, подсовываешь ноут, который скрыто делает фотографию, метку на карте, и отправляет всю нужную информацию куда требуется. Профит.


                          А если вспомнить, что недавно поставлялось на ноутах Леново, и сколько подобного может быть на других виндовых ноутах…
                          Проще уж каждый раз грузиться с Linux LiveCD, подключаться через WiFi-адаптер или 3G-модем, который после операции тоже выбрасывается.
                          А жёсткий диск из ноута для надёжности вообще вынуть.
                          И да, личный ноут — какая-никакая гарантия от того, что не вставят аппаратных закладок.
                            0
                            Аппаратные закладки могли быть уже вставлены, касперский, вот, недавно нашёл.
                            Софтовые — да, могут быть. Но ты же не будешь отслеживать все ноуты в мире и все письма в мире? Сначала ноут идентифицируется, потом за ним следят. А если он работал 10 минут?
                              –1
                              Если бы меня ну уж очень прижало отследить такие вещи и было бы много денег: будешь отслеживать все ноуты в мире, и все его письма. А то, что он активен всего 10 минут — наоборот, отличный повод проследить за ним. Я вот не знаю минимальные размеры следящих маячков, но думается мне, возможно скрыто установить такие устройства. Они будут передавать координаты с момента покупки (к примеру), все время, а не только во время работы.

                              Более того, мне интересно содержимое письма. Не представляю, какая там может быть информация, что открытый перехват её не страшен, а вот выяснить MAC адреса WiFi чипа страшно.
                                +1
                                Условно говоря, первые 10 минут работы придется отслеживать все ноуты в мире, так как заранее неизвестно, какой из них бросят фтопку. Даже если бы это было реально — это экономически нецелесообразно. Спецслужбам не надо бежать быстрее медведя (кокаина). Достаточно бежать чуть быстрее оппонента (наркобарона)

                                > открытый перехват её не страшен, а вот выяснить MAC адреса WiFi чипа страшно.

                                Не так страшен перехват информации. Страшно сопоставление этой информации с человеком, который эту информацию отправил, если этот человек — вы.
                                  –1
                                  По электронным каналам передают оперативную информацию. Она исполняется быстрее, чем её перехватят и расшифруют (вытащат из кеша яху, к примеру).
                                  Просто информация передаётся посыльными или по почте (одна бабушка отправляет плюшевого медведя другой бабушке, кто ж знает что внутри флешка, а всех бабушек не переловишь).
                                  А вот если инфу расшифруют, отследят, с какого WiFi чипа было соединение, и этот чип окажется у вас в ноуте, вам обеспечен ряд интересных вечеров с дознавателями.
                                  А потом вас зарежут «на этапе». И, возможно, вашу семью… Ибо вы расколитесь почти наверняка.

                                  Установка жуков в устройства, вообще-то, противозаконна. Тем более на территории суверенной страны. Да и как их ставить? В контейнере транспортного корабля, что везёт ноуты из китая? Или прямо на фабрике? Но при первом же ремонте закладку вскроют и производитель рискует потерей рынка.
                                  Кроме того, новости говорят нам, что закладок в осях и железе и так достаточно. Но опять же, невозможно сливать всю инфу со всех ноутов мира и анализировать её в приемлемые сроки. Вот когда принадлежность устройства вычислена, тогда можно и нужно жука будить. Против этого девайсы и жгут.
                                    0
                                    xakep.ru/2011/12/26/58104/ Была вот такая китайская закладка. Где гарантия, что она одна? При ремонте такую закладку не найдешь, да и можно по-лучше спрятать. Может я недооцениваю размеры информации, но что-то мне подсказывает, что в общем то это не такая уж и большая задача. Сохранять фотографии раз в минуту, хранить GPS трек, а так же какие-то особые метки, которые позволят связать собранную информацию с письмом — обрабатывать пост-фактом, т.е. нашли письмо, соотнесли фото и прочую информацию — вполне реальный сценарий.
                                  0
                                  (комментарий удален)
                              +1
                              Ах, у меня спойлер не работает, извините за оффтоп.

                              А вы где в Боготе живёте? Может, кофе/чаю/etc попьём вместе?
                                +3
                                Хочешь деанонимизировать чувака? :)
                                  +18
                                  Не забудьте только потом чашки разбить.
                                    +2
                                    но сначала сжечь, а то отпечатки и днк останутся
                                      –1
                                      … и съесть…
                                      –1
                                      Там, где строят дебильные рампы ;)
                                    +10
                                    > Данные передают на флешках. Причём на разъём и контакты наносятся
                                    > поперечные царапины — если флешку вставить в разъём хоть раз, кромки
                                    > царапин сминаются и восстановить их нельзя. Минута над микроскопом
                                    > позволяет понять, совали флеху или нет.

                                    Ответ русских хакеров колумбийским наркобаронам: покупаем в ларьке на базаре новую флешку, переписываем на неё данные с оригинальной, после чего наносим иголкой на копию новые царапины. Флешку с неповрежденными царапинами отправляем адресату.
                                      +7
                                      Или просто вместо засовывания в разъем аккуратно прислоняем четыре провода
                                        –3
                                        Следы остаются и под микроскопом это видно.
                                        К тому же, я привёл один из способов, их ещё много.
                                        Вдобавок, не стоит забываь, что посыльный будет защищать флешку до последнего патрона, и последний оставит для неё ;) В отличие от архивчика, переданного через мессенджер.
                                          +5
                                          Что один человек нацарапал — другой всегда сможет нацарапать.
                                            –1
                                            Смотря как нацарапать. Подпись, сложную, подделать тоже сложно, хотя, казалось бы, закорючка.
                                            Роспись на разъёме иголкой, секретный знак — один из десятка способов только нанести царапины.
                                            Подкладывать соломинку в косяк двери было принято ещё во времена написания Шерлока. Как сигнал, что дверь открывали. С тех пор способов узнать о вторжении, не электронных, придумано сотни. Многие применимы и к флешкам, и к другим устройствам.
                                            Самое забавное, что вскрывающий, часто, настолько заморочен электронными средствами защиты, что о «дедовских» даже не думает. От того они лишь эффективней.
                                        +1
                                        Как всё просто в вашем мире, bachin…
                                          +3
                                          Как всё сложно и голословно в вашем мире, Dikoy.
                                            +1
                                            Вам то видней.
                                              +1
                                              Что вы тут пересказываете сюжеты, больше смахивающие на голливудские, без каких-либо доказательств? Это видно любому прочитавшему.
                                            +1
                                            И слава богу.
                                          +12
                                          Скажите, меня одного интересует, чем же занимается Dikoy (по профессии) в Колумбии и откуда он знает Менсахеро, который сжигает ноутбуки в печи??
                                          Скажите честно, разве эта трэш история сверху не затмевает пост-перевод новости? (O_o)

                                          Dikoy, я бы хотел побольше узнать о жизни в Колумбии… приветствуется продолжение

                                          P.S. Давно услышенная шутка… Колумбийские дети, мечтают хоть раз в жизни высморкаться соплями…
                                          С Пятницой 13 всех! :)
                                            +72
                                            В колумбии кокаин, это как у нас водка. Никого не удивишь и доступен каждому. От этого не популярен — нет налёта ИлИты.
                                            Трамадол продаётся в аптеке без рецепта. то есть по местным меркам вообще наркотиком не считается.
                                            Так что колумбия от производства наркотиков почти не страдаЛА (сейчас их производит мексика и венесуэлла). Эскобар — национальный герой. Из своего кармана построил больше 30 школ и стадионов. Погасил внешний долг страны из своего кармана, опять же.
                                            А сколько американцев сдолбятся, колумбийцев не сильно заботит. Здесь вообще самое страшное, если примут за гринго. Гринго тут ненавидят люто. Во всей южной америке, кстати.
                                            Так что анекдот сочинён явно теми, кто о колумбии ничерта не знает.

                                            Я занимаюсь тем что эти каналы перебиваю.

                                            Давайте так. Если этот пост наберёт 100+ лайков :) я напишу статью о колумбии, маршрутах наркотрафика и жизни кортелей. Инсайд, так сказать.
                                              +1
                                              От распирающего любопытства пришлось загуглить кто такой Эскобар и значение слова Гинго (любой иностранец или только американец?).
                                              Я занимаюсь тем что эти каналы перебиваю.

                                              Перебиваете каналы наркоторговли?
                                              … любопытство прям разпирает :) Призываею проголосовать за пост… хочется услышать историю о кибервойне в колумбии :)
                                                +5
                                                Если этот пост наберёт 100+ лайков
                                                Вам в /r/gonewild
                                                  +1
                                                  > Погасил внешний долг страны из своего кармана, опять же.
                                                  Не «погасил», а лишь предлагал погасить, если Колумбия легализует производство наркоты
                                                    –1
                                                    Погасил, за то, что от него отстали. И 10 лет потом жил нормально. Только потом снова стал дурить и в политику полез. Начал бестолковый террор и лишился поддержки населения.
                                                    Пока население было за него, его никто не мог тронуть. Но когда он начал убивать население, оно не простило и Павлика застрелили на крыше как собаку.
                                                    Краткая история жизни Эскобара.
                                                      0
                                                      Можете хоть один пруф привести о выплате долга?
                                                        –2
                                                        Вам официальный отчёт минфина? Принято от наркокортеля ххх песо в первом квартале? :)
                                                        Тут никак не решат, были ли амеры на луне, а вы хотите пруф на самую крупную в истории взятку.

                                                        Колумбийцы уверены, что выплатил. Один из коментов, как пример:
                                                        Dicen que es verdad eso fue a finales de los 80 yo la verdad no te confirmaria nada aunque mis papàs dicen que fue cierto hasta en los documentales lo dicen…
                                                        espanol.answers.yahoo.com/question/index?qid=20081119112809AAi9bjQ

                                                        И там же умная мысль:
                                                        Verdad por los medios de comunicación… son cosas que nunca se sabrán si fueron verdades o mentiras.

                                                        Никто не признается. Но факт, что ВНЕЗАПНО от него отстали колумбийские власти и даже имущество не отжали, хотя в то время национализация незаконно нажитого шла полным ходом.
                                                          0
                                                          А, конспирология. Так бы сразу и сказали
                                                            0
                                                            Это не было очевидно?
                                                              0
                                                              Ну мало ли :-) в истории всякое бывает
                                                    +1
                                                    Блин, я бы плюсанул, но кармы нету. Засчитайте, пожалуйста, ещё +1.
                                                      0
                                                      Видать не увидим мы статью про Колумбию, IT и кокаин.
                                                        –2
                                                        лайк уже поставить не могу, но плюсуюсь :)
                                                          –2
                                                          Ну почти добрали. Расскажите хотя-бы на 70% =)
                                                            +1
                                                            Как обещал, статья. geektimes.ru/post/265936
                                                            Про трафик не писал, это всё неплохо показано в сериале Нарки. Сосредоточился на жизни и работе.
                                                          0
                                                          WhatsApp кстати ввёл end-to-end в обычных чатах.
                                                          Телеграм же, для которого безопасность это типа ключевая фишка — не вводит.
                                                            0
                                                            проблема в том, что как только ты делаешь end-to-end шифрование во всех чатах, то при переустановке приложения, сразу теряешь историю переписки, так как ключ шифрования должен храниться локально на девайсе.
                                                              +1
                                                              Вспоминается старая поговорка — двери крепкие, петли хлипкие, стены гнилые.
                                                              Как ни шифруй протокол, а стянуть переписку на конце — аппарате пользователя — или ключ — можно всегда. Причём даже не прибегая к инъекциям, а просто пригрозив гуглю запретить продавать нексус в РФ, к примеру… Сам всё даст, они бизнесмены, а не политики.
                                                              Так что пока цифровая крепость не выпустит свою мобилку со своей ОС, говорить о защите чего-либо рано.
                                                              С другой стороны, телефоны с шифрованием никогда не получат ростестовский сертификат, ибо на системы шифрования надо получать лицензию (что означает сдаться ФСБ с потрохами). Только если не легально их ввозить, но это уже не бизнес, а мелкий протест.
                                                              Из всего этого ночного потока мысли выходит, что по настоящему шифрованных систем нам не светит.
                                                              Только если делать DIY мобильник с гнутыми исходниками. Попытки уже были.
                                                                –1
                                                                а конвертировать базу под новый ключ нельзя?
                                                                  0
                                                                  Попытался прикинуть какой-нибудь вариант, но ничего не придумал, чтобы не в ущерб безопасности.
                                                                  Как Вы себе это представляете?
                                                                    –1
                                                                    А какой ущерб безопасности может быть при конвертации незашифрованной базы в зашифрованную? был пустой ключ, стал случайно сгенерированный, чем это хуже?
                                                                      0
                                                                      Не уверен, что понимаю Вас.
                                                                      Что мы имеем: на девайсе храниться незашифрованная база сообщений (если не ставить пароль на приложение), на сервере храниться зашифрованная база, ключи для дешифровки храниться локально на девайсе. Теперь предположим, что кто-то удаляет приложение у вас с телефона, или ваше устройство умирает и вы покупаете новое. В результате теряем незашифрованную базу и приватные ключи.
                                                                      Что и как здесь конвертировать?
                                                                        –1
                                                                        Я говорил про первый этап, про конвертацию незашифрованной базы. Не понял что вы говорите про проблему на втором этапе, когда база уже зашифрована.

                                                                        Про второй случай тот кто хочет, тот ключ забекапит, кто не хочет бэкапить — тот потеряет историю, это очевидно. Можно шифровать тоже выборочно, по желанию (и даже спрашивать ключ для шифрования у пользователя)
                                                                +8
                                                                WhatsApp кстати ввёл end-to-end в обычных чатах.
                                                                Телеграм же, для которого безопасность это типа ключевая фишка — не вводит.

                                                                Поправка:
                                                                WhatsApp сказал, что ввёл end-to-end в обычных чатах. Но не сказал, можно ли их прочитать, имея доступ к серверам WhatsApp.
                                                                Телеграм же, для которого безопасность это типа ключевая фишка — публикует протокол и криптосхему; и дает возможность убедиться, что он соблюдается, написав своего клиента.
                                                                  +2
                                                                  Ну вот кстати да. И, например, упомянутая Threema — она closed source. Предполагается, что нужно верить на слово.
                                                                    +3
                                                                    Ок, тогда можно мне исходники сервера Телеграма посмотреть и проверить его соблюдение?
                                                                      0
                                                                      Если апи не требует сообщать серверу ключ или плейнтекст — защита гарантированно железобетонная, разве нет?
                                                                        0
                                                                        Строго говоря — нет.
                                                                        Но вообще можно представить себе протокол, для которого безопасность не зависит от того, как имплементирован сервер. Телеграм — это не тот случай.
                                                                  0
                                                                  На самом деле атакующему нужно выполнять только возведения в квадрат и деление по модулю на каждом шаге.

                                                                  Умножение, не деление.
                                                                    0
                                                                    Хм, попытался создать секретный чат. Телеграм мне не предложил никаких картинок для сравнения. И вот я теперь в догадках, чат то у меня секретный или нет? :)
                                                                      0
                                                                      Чтобы увидеть картинку нажмите на иконку в правом верхнем углу -> нажмите Encryption Key снизу.
                                                                      Индикатором того, что Вы используете секретный чат является замочек возле имени собеседника.

                                                                    Only users with full accounts can post comments. Log in, please.