Pull to refresh

В криптографическом протоколе Telegram найдены четыре уязвимости

Дата-центр «Миран» corporate blog Information Security *Instant Messaging *Cryptography *Development of mobile applications *


Международный коллектив исследователей из Швейцарской высшей технической школы Цюриха и группы информационной безопасности Лондонского университета завершил детальный анализ безопасности мессенджера Telegram и выявил несколько слабых мест в системе шифрования на протоколе MTProto 2.0.

Разработчики Telegram прокомментировали уязвимости и уже исправили их.
Читать дальше →
Total votes 25: ↑22 and ↓3 +19
Views 10K
Comments 18

Конкурс на создание мессенджера под Windows Phone

Development for Windows Phone *
Если в планах на новый год всё ещё прочерк, то есть время поучаствовать в Durov's MTProto Challenge – новом конкурсе разработки от Павла Дурова, основателя социальной сети ВКонтакте.

На этот раз предлагается написать мессенджер на базе протокола MTProto, участвовать может любой желающий. Призовой фонд первого тура составляет 3 миллиона рублей, срок проведения — с 25 ноября 2013 до 9 января 2014 года.



Успехов!
Total votes 41: ↑32 and ↓9 +23
Views 9.6K
Comments 5

Конкурс: Telegram для Windows Phone — 3 млн. рублей в первом туре

Microsoft corporate blog Development for Windows Phone *


Всем-всем-всем, кто интересуется разработкой под Windows Phone!

Количество пользователей Telegram и регистраций в мессенджерах на базе протокола MTProto активно растет и в ноябре достигло миллиона человек.

В честь этого Павел Дуров объявил о запуске конкурса среди разработчиков под Windows Phone. Теперь у вас есть замечательная возможность провести начало зимы и зимние каникулы с пользой для себя, своего кошелька и пользователей WP.

Задача — создать мессенджер на базе открытого протокола MTProto под Windows Phone. Участвовать может любой желающий.
Призовой фонд первого тура — 3 миллиона рублей.
Срок проведения — с 25 ноября 2013 до 9 января 2014 года.

Ссылки


Станица конкурса: dev.stel.com
VK-группа для обсуждения: vk.com/durovschallenge
Total votes 32: ↑21 and ↓11 +10
Views 9K
Comments 9

$200 000 любому, кто взломает IM-мессенджер Telegram

Information Security *Instant Messaging *Cryptography *
Измученный сомнениями со стороны сообщества разработчиков и криптографов в стойкости криптографического протокола MTProto, который используется в Telegram, Павел Дуров решился на крайнюю меру. Он объявил награду $200 тыс. любому, кто «расшифрует трафик Telegram и расскажет, как он это сделал». Детали конкурса прорабатываются.

«Насколько я вижу, там не столько анонимусы, сколько создатели местного конкурента — TextSecure под Android, — пытается Дуров идентифицировать критиков из вышеупомянутого обсуждения. — Telegram собрал много пользователей, и они справедливо засуетились. Ребята мечутся между аргументом «Ваш алгоритм слишком новый, зачем это, если есть проверенные» и позицией «Ваш алгоритм слишком старый, зачем это, если есть новые».

Думаю, хорошим завершением дебатов будет объявление конкурса на дешифрацию трафика Telegram. Скажем, я готов открыть трафик всей моей переписки с момента регистрации в Telegram и вручить $200 000 любому, кто его расшифрует и расскажет, как. В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола».
Читать дальше →
Total votes 97: ↑81 and ↓16 +65
Views 78K
Comments 117

Откровенность API Telegram

Information Security *Instant Messaging *API *
Sandbox
Open!
Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).
Суть такова
Total votes 149: ↑132 and ↓17 +115
Views 93K
Comments 28

Telegram MTPROTO Proxy — всё что мы знаем о нём

Information Security *
image

Сразу после событий с блокировками Telegram в Иране и России, в бета-версиях мессенджера начал появлятся новый тип Proxy, а если быть точным, новый протокол — MTProto Proxy.

Этот протокол был создан командой Telegram для решения проблем обхода блокировок, но так ли он хорош?
Читать дальше →
Total votes 69: ↑60 and ↓9 +51
Views 263K
Comments 166

Новый MTProto-прокси сервер от Telegram

Information Security *Instant Messaging *Open source *Network technologies *
Tutorial
Прокси-сервер является посредником между клиентом и сервером. Для обхода ограничений прокси-сервер должен быть установлен там, где нет ограничений доступа к требуемой информации, при этом не должно быть таковых ограничений и между клиентом и прокси-сервером.

image

Обновлённая поддержка прокси-серверов в клиентах Telegram


  • Новый MTProto-прокси. Работает с родным для Telegram протоколом MTProto
  • Открытый исходный код сервера на GitHub
  • Docker-образ на DockerHub
  • В мобильных клиентах появилась возможность добавлять несколько прокси-серверов каждого типа. Пользователь может выбрать наиболее подходящий
Читать дальше →
Total votes 106: ↑98 and ↓8 +90
Views 154K
Comments 261

Установка MTProto Telegram прокси из исходников на Centos 7

VDS.SH / DEDIC.SH corporate blog Configuring Linux *Instant Messaging *Network technologies *Server Administration *
Tutorial

simply run 'make'


Всем привет. Обойдусь без лишних прелюдий — многие ждали официального релиза, и вот — дождались. На хабре уже есть парочка статей как установить MTProxy из докера.

А вот с установкой из исходников многие обломались — после simply run 'make' выдаются ошибки. Как установить MTProxy из исходников без ошибок на Centos 7 — под катом
Читать дальше →
Total votes 36: ↑31 and ↓5 +26
Views 20K
Comments 23

Релиз неофициального MTProto прокси на Python, особенности протокола

Information Security *Instant Messaging *Open source *Network technologies *
image

Недавно разработчики Telegram выложили исходные тексты прокси-сервера, работающего по протоколу MTProto. На хабре вышли статьи об особенностях его сборки и перепаковке докер-контейнера с ним. Официальный прокси сервер, написанный на С, удивляет объемом кода — примерно 23 тысячи строк. Одновременно с этим, а иногда и чуть раньше, вышло несколько альтернативных реализаций, но ни одна из них не поддерживала возможность рекламы своего канала.

В данной статье хотелось бы, во-первых, рассказать о малоизвестных особенностях протокола общения прокси-сервера с внешними серверами и, во-вторых, рассказать о собственной разработке — реализации прокси-сервера на Python, которая только что достигла релиза и доступна всем желающим под свободной лицензией MIT.
Читать дальше →
Total votes 54: ↑53 and ↓1 +52
Views 24K
Comments 86

Сбор статистики MTProto Proxy

Instant Messaging *Programming *Go *Data visualization *DevOps *
Содержание
  • Предыстория
  • Сбор статистики
  • Отображение статистики
  • Визуализация и ведение статистики
  • Развертка
  • Заключение


Предыстория


Привет хабр, телеграм сейчас на пике популярности, все скандалы, интриги, блокировки вертятся вокруг него, в связи с чем телеграм выкатил свой вариант прокси под названием MTProto Proxy который призван помочь с обходом блокировки. Однако предоставленные телеграмом сервисы для мониторинга MTProto Proxy не дают возможности наблюдать статистику в реальном времени и собирать её для наблюдения за её изменениями, потому мы будем решать проблему своими силами.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 8.6K
Comments 11

Telegram научился маскироваться под HTTPS

Instant Messaging *Open source *Network technologies *
В код клиентов Telegram добавили возможность маскировки под HTTPS (TLS + HTTP/2.0).



Для использования этой возможности добавили новый префикс секрета — «ee». Кроме того, добавили возможность кодировать секрет в адресе прокси сервера как base64, в дополнение к hex.

Перед тем, как углубиться в детали, попробуем разобраться как развивалась поддержка прокси-серверов в Telegram.
Читать дальше →
Total votes 93: ↑89 and ↓4 +85
Views 41K
Comments 155

Критика протокола и оргподходов Telegram. Часть 1, техническая: опыт написания клиента с нуля — TL, MT

Perl *Abnormal programming *System Analysis and Design *Network technologies *API *

В последнее время на Хабре стали чаще появляться посты о том, как хорош Telegram, как гениальны и опытны братья Дуровы в построении сетевых систем, и т.п. В то же время, очень мало кто действительно погружался в техническое устройство — как максимум, используют достаточно простой (и весьма отличающийся от MTProto) Bot API на базе JSON, а обычно просто принимают на веру все те дифирамбы и пиар, что крутятся вокруг мессенджера. Почти полтора года назад мой коллега по НПО "Эшелон" Василий (к сожалению, его учетку на Хабре стёрли вместе с черновиком) начал писать свой собственный клиент Telegram с нуля на Perl, позже присоединился и автор этих строк. Почему на Perl, немедленно спросят некоторые? Потому что на других языках такие проекты уже есть На самом деле, суть не в этом, мог быть любой другой язык, где еще нет готовой библиотеки, и соответственно автор должен пройти весь путь с нуля. Тем более, криптография дело такое — доверяй, но проверяй. С продуктом, нацеленным на безопасность, вы не можете просто взять и положиться на готовую библиотеку от производителя, слепо ему поверив (впрочем, это тема более для второй части). На данный момент библиотека вполне работает на "среднем" уровне (позволяет делать любые API-запросы).


Тем не менее, в данной серии постов будет не так много криптографии и математики. Зато будет много других технических подробностей и архитектурных костылей (пригодится и тем, кто не будет писать с нуля, а будет пользоваться библиотекой на любом языке). Итак, главной целью было — попытаться реализовать клиент с нуля по официальной документации. То есть, предположим, что исходный код официальных клиентов закрыт (опять же во второй части подробнее раскроем тему того, что это и правда бывает так), но, как в старые времена, например, есть стандарт по типу RFC — возможно ли написать клиент по одной лишь спецификации, "не подглядывая" в исходники, хоть официальных (Telegram Desktop, мобильных), хоть неофициальных Telethon?

Ответ на этот вопрос неоднозначен
Total votes 187: ↑182 and ↓5 +177
Views 61K
Comments 240

Не используйте бесплатные MTProxy и другие виды халявных прокси…

Information Security *Network technologies *
… иначе Ваш девайс может стать нодой ботнет сети для DDoS'a.

Несколько дней назад появилась новость на Habr и других ресурсах о том, что сервера MTProxy атаковали иранского облачного провайдера Arvan Cloud.

С одной стороны новость не совсем соответствует действительности. Но с другой стороны до меня дошла гениальность подхода хакеров!


Долго не мог понять с какой целью публикуют бесплатные прокси-сервера. Ведь это надо быть тупым альтруистом, чтобы расшарить своё интернет соединение для всего мира. А в РФ за действия третьих лиц через этот прокси могут посадить владельца прокси, как получилось с создателем Kate Mobile.

В данном случае я не рассматриваю ломанные устройства, которые используют без ведома владельца.

Оказалось всё гениальное — просто!
Читать дальше →
Total votes 27: ↑17 and ↓10 +7
Views 18K
Comments 33

Telegram на go: часть 1, парсим схему

System Analysis and Design *Go *

Желание написать качественный клиент для любимого мессенджера на go возникало давно, но только месяц назад я решил, что время пришло и у меня есть достаточная квалификация для этого.

Разработа все еще в процессе, но уже пройден увлекательный путь от полного непонимания протокола до относительного стабильного клиента. В серии статей я расскажу, с какими сложностями я столкнулся и как с ними боролся.

А начнём мы со схемы (TL) протокола
Total votes 18: ↑16 and ↓2 +14
Views 12K
Comments 10

Telegram на go, часть 2: бинарный протокол

System Analysis and Design *Go *

В предыдущей части были описаны подходы, примененные при написании парсера для схемы MTProto. Статья получилась чуть более общей, чем я рассчитывал, на этот раз я постараюсь рассказать больше про специфику Telegram.


Клиент на Go продолжает развиваться, а мы вернемся в прошлое и вспомним, как писался для него сериализатор и десериализатор протокола.

Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 4.9K
Comments 0

Свой криптографический протокол — опасная идея

VDSina.ru corporate blog Information Security *Instant Messaging *Cryptography *Open source *

Разработка своей криптографии в чём-то сравнима с созданием собственного авиадвигателя, говорит эксперт по безопасности Руна Сандвик. Фото: Виталий Кузьмин

Предположим, заказчик требует разработать собственный сетевой протокол. Например, для передачи данных между сервером и мобильным приложением, для связи между микросервисами, модулями программной системы, поверх UDP или поверх TCP. С шифрованием.

Казалось бы, почему не использовать открытые стандарты типа WebSocket и JSON, зачем собственный закрытый протокол? На это обычно приводят ряд причин. Во-первых, для безопасности, чтобы его было сложнее отреверсить и никто не понял, какие данные вы передаёте. Во-вторых, для эффективности. У нас ведь уникальный случай использования, поэтому стандартные решения — не самые оптимальные. Наш собственный протокол будет работать с меньшими задержками, потреблять меньше трафика и меньше расходовать батарею (на мобильных устройствах). И третья причина — функции. В своём протоколе специально для нашего приложения мы реализуем уникальные возможности, каких нет ни в открытом стандарте, ни у конкурентов.

Это распространённые причины, из-за которых разрабатывают проприетарные протоколы.
Читать дальше →
Total votes 43: ↑39 and ↓4 +35
Views 9.7K
Comments 13

Бекапим гифки из Telegram

Go *
Tutorial

Мы бекапим важные для нас данные, но почему бы не забекапить гифки из Телеграма?
Официальные клиенты такое не умеют, но открытый API позволит нам
автоматизировать это дело, избавив от необходимости скачивать гифки по одной.


В статье я расскажу, как это сделать на Go с помощью клиента gotd,
а для нетерпеливых дам сразу ссылку на готовую утилиту.

Читать дальше →
Total votes 4: ↑2 and ↓2 0
Views 3.1K
Comments 2

Шо там по MTProto в Telegram-то?

Information Security *Instant Messaging *Cryptography *Popular science
Sandbox

В наше время в условиях тотальной слежки, где любой разговор рядом с телефоном, любой запрос в интернете, обрабатывается системой для того, чтобы подобрать нативную рекламу, хочется иметь какой-то маленький островок безопасности и надежности. С высоко поднятым флагом свободы Пашенька говорит нам, что мы можем на него положиться, и что его детище, тележка, наш последний оплот безопасности.

Интересное заявление, не правда ли. Дак давайте посмотрим на протокол шифрования тележки MTProto с криптографической точки зрения.

Ну давайте взглянем
Total votes 77: ↑67 and ↓10 +57
Views 26K
Comments 42