Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 124
Очевидно, что Телега плотно использует инфраструктуру ВК. Нет ли у кого-то инсайда - это внутренняя разработка для каких-то целей или какая-то "партнёрка"?
Учитывая, что сам вк продолжительное время стагнирует как автоваз, с большей вероятностью это некоторая партнёка. Причём если я правильно понимаю, то сама инфраструктура жива и используется сильно дольше чем время жизни кампании в легальном поле.
Я бессовестно воспользуюсь первым комментарием для страницы гугла где можно подать репорт
https://support.google.com/googleplay/android-developer/contact/policy_violation_report
Название пакета - ru.dahl.messenger
Что дает подмена сервера и ключа шифрования?
Как было описано в начале статьи, шифрование RSA между клиентом и сервером Telegram используется при рукопожатии (handshake) для генерации нового ключа шифрования, с помощью которого затем шифруется весь трафик.
То есть весь трафик по итогу полностью идёт через DC2 игнорируя остальные? Иначе как оно MITMится если там вроде ещё проверка хэшей идти должна.
Чё-то я не очень понял за что минусов насовали. Что не так с вопросом?
JSON-массив имеет значения id от 1 до 5. Не обязательно 2. И все IP-адреса будут из подсети JOINT STOCK COMPANY "TELEGA" 130.49.152.0/24.
В данном случае все они, включая второй, не принадлежат Telegram. К DC2 от Telegram клиент вообще не подключается. А уже с серверов Telega подключение идёт к любому доступному DC Telegram обычным образом.
В данном случае все они, включая второй, не принадлежат Telegram
Судя по табличке все КРОМЕ второго принадлежат телеграм согласно совпадающим SHA. Внутри бинаря у них оффсеты разные, но это вполне ожидаемо в связи с изменениями. То есть для полноценной схемы MITM нужно, чтобы подключение случилось на скомпрометрированный сервер и через него прокинуло данные подключения к уже актуальным серверам. Но там есть нюансы, что при подключении в самом протоколе есть этап проверки хэшсум который вроде не завязан на флаг PFS. И если кто-то попытается провернуть подмену, то понадобится либо приватный ключ уже телеграма, либо изменения в коде верификации mtproto пакетов, коих вроде не обнаружено ни в коде ни в бинарях.
В чуть более ранних разборах меня как раз спрашивали (ветка), о том как я представляю MITM атаку через DC, и покопавшись в нюансах протоколов выяснил, что просто притвориться проксёй будет недостаточно и нужны какие-то ещё дополнительные механизмы, чтобы скомпрометировать содержимое. Собственно, этот же вопрос теперь повторил и я, за что почему-то молча отсыпали минусов.
В табличке перечислены ключи, а не серверы. Любой из этих ключей можно использовать для подключения к любому серверу (за исключением ключа №2, который можно использовать только для подключения к MiTM-серверу).
Соответственно, при наличии промежуточного сервера нет разницы, проводится какая-то дополнительная проверка хэшей или нет. Потому что между MiTM-сервером и сервером Telegram ключи используются абсолютно официальные. А к клиенту можно и в открытую данные пересылать, просто для порядка они их шифруют своим ключом (с на всякий пожарный отключённой PFS-меткой).
Очень странно выглядит то, что аккаунт автора создан именно под эту конкретную статью пару дней назад, из-за чего у меня есть сомнения в правдивости всего или части написанного выше.
Копипаста моего сегодняшнего комментария к https://habr.com/ru/articles/1014118:
Все по быстрому прочитали исследование https://dontusetelega.lol/analysis и для самопиара теперь копипастят радные части оттуда. Вот ещё: https://habr.com/ru/news/1013846/
Первоисточник заблокировал РКН, возможно авторов разыскивают, другие наживаются на результатах исследований своей кармой.
Если ты делаешь такие расследования в России и не являешься анонимным, у тебя два выбора - тебя садят на бутылку, или если причиняешь ещё больше проблем тебе оформляют Prigozhin Special ™️
Если сомневаешься в качестве/правдивости информации - весь этот ресерч написан так, чтобы его мог повторить каждый желающий. Все инструменты и скрипты мы не просто так прикрепили.
(С) несчастная страна, несчастный народ
<paranoia mode="on">
Или вы - часть многоходовочной операции по прикрытию, следующим этапом которой станет подсовывание населению ещё одного (не одного?) мессенджера, который точно "не телега, не МАХ, не VK" и не заляпан ни в каких MITM, репутация будет чиста, поэтому им-то можно будет пользоваться!
</paranoia mode="off">
Слишком сложно для цирка, не? И зачем, если в "макс" с ноги всех загоняют, а многие сами поставили (школа, общение с родными и близкими, по работе, и пр.). Что бы все уже загнанные в макс оттуда свалили куда-то еще?
Причём тут МАХ? Логично же, что самая "интересная" переписка будет там отсутствовать, а значит надо подготовить какое-то "безопасное место с ушами" для тех, кто принципиально в МАХ не пойдёт. "Телега" с её сливом (вроде этого) может быть отвлекающим манёвром, после чего людям, заинтересованным в сохранении тайны переписки, предложат другое, "проверенное" решение их проблем. Подозрения у меня возникают, потому что сделано всё грубо, напрямик, халявно (возможно, расчёт был именно на то что всё обнаружится). Профессионалы работают тоньше.
Впрочем, я ко всему этому вообще никоим боком не отношусь, просто наблюдаю и делаю выводы. Пусть сами разбираются. Уже давно понял, что самый надёжный мессенджер = тот, который написал себе сам (рискну предположить, что каждый начнёт кодить свои мессенгеры через ИИ, а самые ушлые создадут онлайн-генератор готовых приложений со сборкой на сервере и загрузкой готовых apk, с чьими надо бэкдорами. Абсурдно, но потому и логично).
Может он переживает за свою приватность? Не хочет чтобы MITM ему что-то открутил.
Отличная статья! Отличная работа! Спасибо ) очередные шакалы разоблачены)
еп... даже страшно стало, как я сам этого не заметил, спасибо тем кто писал статью
Открою вам великий секрет: любой клиент любого чатика имеет доступ ко всей переписке! Потому что он её (внезапно) показывает на экране! Для реализации такой технологии нужен curl и внешний ftp сервер.
К слову, MITM — это когда злоумышленники подсматривают за общением между клиентом и сервером. То что вы тут описали — это подмена сервера, что вполне разумно с точки зрения разработчика, в связи с тем, что родные сервера часто недоступны.
Ну и пользователи, что отваживаются на использование ПО из недоверенных источников рискуют своей приватностью. Лучше так не делать.
Как бы меня не бесил оригинальный клиент телеграма, но с такими новостями вообще никакие сторонние использовать желания нет.
После ios обновления при использовании любых обходов (на роутере, прокси внутри и буквы на телефоне) чаты прогружаются секунд 10-15, телефон при этом на 8 gen 1
закрытые системы (такие как ios) и приватность мало совместимы в принципе.
Интересно а к Partisan Telegram'у https://github.com/wrwrabbit/Partisan-Telegram-Android (который обычный но добавлен функционал что если по правильному пину войти - то например будут показаны только правильные каналы и не будут показаны неправильные или там - SOS и вайп с логаутом)
К слову, MITM — это когда злоумышленники подсматривают за общением между клиентом и сервером. То что вы тут описали — это подмена сервера, что вполне разумно с точки зрения разработчика, в связи с тем, что родные сервера часто недоступны.
Нет никакой "разумной" причины подменять ключи и терминировать трафик на своей стороне. Если задача обходить блокировку - для этого достаточно этот трафик просто пропускать через свои сервера. Так делают маршрутизаторы, так делают прокси, так делают VPN-сервисы, и их никто не обвиняет в MITM.
Потому что модель безопасности интернета такова, что трафик может пойти через что угодно, и исключительно благодаря тому, что он шифруется на клиенте и может быть расшифрован только конечным легитимным сервером, это не является большой проблемой.
Когда это нарушается, мы говорим о MITM. И то, что клиент помогает в организации MITM, не отменяет того, что это MITM.
Нет никакой "разумной" причины подменять ключи и терминировать трафик на своей стороне
В смысле, нет? Люди деньги зарабатывают на приложении. Часть инфраструктуры отвалилось. Им что теперь на рынок труда идти что ли? Они выбрали вполне разумное решение продублировать инфраструктуру у себя.
Если задача обходить блокировку - для этого достаточно этот трафик просто пропускать через свои сервера.
Задача зарабатывать деньги. Обходить блокировку, если я правильно понимаю, незаконно. Зарабатывать деньги незаконными способами — опасно.
Когда это нарушается, мы говорим о MITM
Так вот трафик и ходит от клиента "телега" к их же внутренним серверам. Или, по-вашему, развернуть у себя сервер с API телеграммовского сервера — это нарушение какое-то? Если бы телеговские сервера устанавливали соединения с телеграммовскими серверами от имени клиентов телеги, то можно было бы с вами согласится. Но про это в статье ничего нет
Если бы телеговские сервера устанавливали соединения с телеграммовскими серверами от имени клиентов телеги, то можно было бы с вами согласится.
Так Telega даёт возможность общаться с людьми, у которых установлен обычный Telegram. Это было бы невозможно, если бы телеговские серверы не устанавливали соединения с телеграмовскими.
Это было бы невозможно, если бы телеговские серверы не устанавливали соединения с телеграмовскими.
либо, если пользователь не нашёлся на телеговском сервере, то клиент переходит на телеграмовский. Либо между телеговскими и телеграмовскими серверами существует некая федерация.
Если всё действительно, так как вы предположили и телеговский сервер притворяется пользователем перед телеграмовским, то можно говорить о MITM. Однако, повторюсь, в статье об этом не слова.
либо, если пользователь не нашёлся на телеговском сервере, то клиент переходит на телеграмовский.
Вы можете это сами проверить: установить на тестовый смарт Telega с тестовым аккаунтом и попытаться написать пользователю, который не использует Telega. Если гипотеза верна, то будет идти подключение к одному из телеграмовских серверов:
{ 1, "149.154.175.50" , 443 },
{ 2, "149.154.167.51" , 443 },
{ 2, "95.161.76.100" , 443 },
{ 3, "149.154.175.100", 443 },
{ 4, "149.154.167.91" , 443 },
{ 5, "149.154.171.5" , 443 },Если же идёт подключение только к 130.49.152.0/24, то гипотеза неверна.
Согласен, что статья была бы ещё красочнее, если бы авторы сами продемонстрировали такой эксперимент.
Если бы телеговские сервера устанавливали соединения с телеграммовскими серверами от имени клиентов телеги
Это буквально то, что происходит. Согласно статье, клиент телеги устанавливает криптографическое соединение с сервером телеги, используя ее адрес и ее публичные RSA-ключи. Затем через это соединение он "магическим" образом получает все свои данные с сервера Телеграма. Загадка от Жака Фреско: кто в таком случае устанавливает соединение с сервером Телеграма?
И я не знаю, откуда вы взяли информацию, что телега дублирует у себя инфраструктуру Телеграма. Максимум, что она дублирует, это инфраструктуру звонков. Никаких других функций ее сервер не предоставляет, все остальное он просто проксирует на сервера Телеграм. И теперь еще и расшифровывает.
del
А есть ли сейчас какие-нибудь доступные способы проверки, через какой клиент сидит твой собеседник? Или вообще никак?
Здравый смысл подсказывает, что это не нужно. Просто исходите из того, что на той стороне может быть любой клиент. Сегодня один, завтра другой, на компе -- третий.
Умозрительный пример. У вашего собеседника самый настоящий клиент телеграма работает на серверах VK, а подключается он туда через RDP. Как вы можете проверить, что это не так?
Если надо отфильтровать именно телегу, то можно воспользоваться секретным чатом. Но это все не даёт никаких гарантий от прослушки на второй стороне.
Надо исходить из того, что всё, что вы отправляете, может стать известно всему интернету.
Даже не могу понять, это глупость или наивность? Почему они в открытом виде положили дополнительный паблик Кей? Почему не зашифровать его сначала как-то, а при старте приложения дешифровать?
Или я что то в разработке приложух под мобильные устройства не понимаю?
Тоже задумался. Там можно и ссылку спрятать и ключ генерировать при необходимости а не хранить все в открытом виде.
Но думаю просто думали прокатит.
Если бы я делал злодейское приложение, я бы при разработке плохого функционала включал паранойу уровня графен.
А тут с помощью декомпеоытора, питон скрипта и кузькиной матери спалили форк у которого несколько миллионов пользователей.
Но не буду подсказывать.
Тоже задумался. Там можно и ссылку услать, и коды генерировать при необходимости.
У меня вопрос. Вот этот механизм внедрения mitm, если я зайду в раздел авторизованные устройства в настройках - будет ли как-то подозрительно выглядеть сессия через телегу?
"а затем сервер, с помощью соответствующего приватного ключа их расшифровывает"
Получается, сервера Телеграмма точно так же читают всю переписку пользователей, которая в обычных чатах, а не секретных.
И в чем тогда разница глобально?
В том, что у владельцев оригинальных серверов телеграма нет прямой и очевидной заинтересованности в том, чтобы читать вашу переписку. А у заинтересованных ее читать - нет прямой и очевидной возможности к оригинальным серверам получить доступ.
У вас есть какие-то доказательства, что у владельцев серверов телеграмма нет обязательств перед третьими лицами не сливать им переписку?
Особенно после истории с заключением под стражу Дурова прямо с самолёта во Франции?
Или это просто ваше личное мнение? Что с одной стороны все злые и подлые, а с другой - эльфы и джентльмены?
Существует определённая разница между просьбой "слей мне переписку Васи Иванова" и "давай сюда вообще всю переписку, я быстренько её прогляжу на предмет ключевых слов".
Третьи лица, заинтересованные в аресте Дурова (который, кстати, уже давно не под арестом) - это далеко не те лица, которых стоит опасаться среднему российскому пользователю телеграма.
Это все гипотеза. А факты таковы (любой плоскоземельщик вам скажет), что вся история с обструкцией Дурова и гонениями на Телеграм (еще в первую волну) была просто операцией прикрытия, дабы никто на них (Дурова и Телеграм) не показывал пальцем как на агентов Москвы. А в текущей волне гонений это еще и перепись активных киберсопротивленцев, которые самим фактом коннекта к этому мессенджеру обходными путями поднимают над своей локацией небольшие красные флажки.
Понятно, что их с запасом переплюнули те, кто в чатах маха обменивается блоками base64 с зашифрованным содержимым. Но все же.
(простите, вырвалось)
Сливать инфу надо тому товарищу майору которому до тебя дальше тянуться.
Ну раз вы признаете, что вашу инфу сливают далёкому майору (не в зоне ру), то зачем тогда лицемерие?
Вы и я лишь товар в руках корпораций. И телеграм и телега -- продукт одного уровня прозрачности и нет тут никаких хороших и плохих.
Да никакого лицемерия. Государство и так может получить доступ к моей переписке. Но для этого ему надо будет немного напрячься. Тут же, к твоей переписке имеет доступ неопределенный круг лиц. Когда серваки этой телеги ломанут, вся она утечет куда не надо.
А наши майоры еще могут использовать "длящееся преступление" и за мемчик оставленный в дружеском чатике 5 лет назад можно получить статью.
Лучше быть товаром, чем звездочкой на погонах т-ща майора
Разница - в длине рук, степени интереса владельца этих рук и уровню проблем, которые он может доставить персонально вам.
Специальному агенту Куперу большинство из нас неинтересны. А вот майору Иванову - очень даже. Очередное звание само себя не получит.
И в чем тогда разница глобально?
В том, что в Telegram есть возможность включить оконечное шифрование с использованием международного доверенного сертификата. В этом случае Паша не сможет прочесть ваши сообщения.
Этим всё равно никто не пользуется, эти секретные чаты в телеграме буквально неюзабельны...
Я пользуюсь, когда нужно переслать что-либо ценное
никто
А вы над каждым свечку держали?
"Никто не пользуется" и "принципиально отключено" - несколько разные вещи.
Самое обидное, что они могли бы быть очень неплохой фичей, только ими бы и пользовался.
Но только секретные чаты могут ломаться так, что до собеседника не доходят сообщения, а со стороны отправителя стоит значок "прочитано" и без сторонней линии связи и не понять, что происходит. Баг официально зарегистрирован с первых дней появления секретных чатов, может немножко с опозданием - не сверял точно даты. Удивительно, что до сих пор не исправили.
https://bugs.telegram.org/c/60216 - один из репортов, они регулярно появляются
Действительно, если мошенники получают доступ к вашим финансам, то в чем проблема? Банк же тоже имеет к ним доступ.
Чисто теоретически, если собрать ванильный клиент тг, но подставить в него дц телеги, может ли это обойти блокировки? Или телега не будет проксировать трафик если не сможет его расшифровать?
В России будет работать только такой Телеграм и Дуров не отозовет его API-ключик.
Будет как Скайп красного цвета в Китае.
Из плюсов - может даже в White-список попадёт, если все скачаете и установите и дадите ему доступ как MAXу.
Честно говоря, не понял всю эту возню с митмом. А зачем? (Только не подумайте, что я подсказываю, тут явно люди знали что делают).
Вариант раз: прокладка между сетевой либой и гуем. Данные уже (ещё) расшифрованы, перехватывай, сливай, модерируй, зачем митм?
Вариант два: свои прокси, благо у ВК есть куда их присунуть по всей стране. Не MTProxy, а обычный аналог какого-нибудь древнего SOCKS5. Т.е. телеграмские либы стоят непосредственно на этих прокси-серверах и коннектятся к телеграмму уже сам прокси-сервер. А вот между клиентом и прокси бегает обычный наколеночный REST или RPC, который элементарно перехватывается. Слишком умным исследователям объясняется, что это такой аналог впн для обхода блокировок.
Вариант раз: прокладка между сетевой либой и гуем. Данные уже (ещё) расшифрованы, перехватывай, сливай, модерируй, зачем митм?
Предлагаете пропатчить официального клиента тг? Не привлекая внимание санитаров? Сложно.
Вариант два: свои прокси
Прокси просто передает траффик. Он не может расшифровать без доступа к ключам. Ключи - у клиента и сервера. И Паша их не отдает - иначе ценность тг == 0.
А если уж пилить своего клиента - то управляемый mitm - идеально. Сначала создать клиентскую базу, а попожже, когда угар пройдкт - включить тумблер.
Предлагаете пропатчить официального клиента тг?
Зачем официальный? Телега продвигается как альтернативный клиент со встроенным обходом блокировок
Прокси просто передает траффик. Он не может расшифровать без доступа к ключам.
Клиент MTProxy запускается на прокси-серверах телеги. Т.е. это опять же прокладка между гуем и сетевой либой, вынесенная с глаз долой на свои сервера.
прокладка между сетевой либой и гуем. Данные уже (ещё) расшифрованы, перехватывай, сливай, модерируй, зачем митм?
Вы какой-то ужас предлагаете. Маленькая компания из Казани всего лишь хочет упростить нам жизнь и поэтому к заблокированным серверам телеги добавила свой незаблокированный. И конечно же добавила свой ключ — а как бы иначе мы этим сервером пользовались? Все объяснимо, законно и с заботой о нас ❤️
А ваш вариант не решил бы наших проблем, зато однозначно тянул бы на уголовку. "Сливай данные", брррр, даже подумать стрёмно.
Задача компании: модерировать контент, чтобы соответствовать требованиям законодательства и продолжать существование.
Если делать MTProxy / SOCKS / whatever и никак не модифицировать трафик между клиентом и телеграмом, а всю модерацию делать в клиенте, то поверх этого удобного туннеля появятся сторонние клиенты, которые не соответствуют законодательству. Где-то в этот момент ООО Телега начинает представлять средства обхода блокировок и быстро перестает существовать.
Следовательно, модерация должна быть на сервере с MITM. Если делать свой наколеночный REST / RPC / whatever вместо MTProto, то его придется делать (очевидно) и переводить на него весь клиент телеги. Видимо, тут банально оказалась дешевле оставить MTProto в качестве RPC и один раз реализовать весь стек шифрования вместо рефакторинга клиентов под все платформы. Тем более, что у этого протокола даже есть документация (пусть и скудная), чего нельзя сказать об исходниках официальных клиентов.
Это их новый сайт https://telega.me/ ? Это та самая Телега или это кто-то другой?
Интересно, а настоящий телеграм может/будет вставлять палки в колеса телеге?
Вот когда выходит довольно очевидный и резонансный материал, мне всегда забавляет реакция некоторых комментариев. Есть исследование, гипотезы, выводы, пруфы, возможность для проверки и подтверждения, или наоборот. При этом без глобальных фантазий, каких-то резких призывов и всего такого. Но нет, за несколько часов набегают они:
Автор сомнительный / новорег / бот
Автор глупый / наивный / все не так понял и т.д.
Да бэкдор, уяза, потенциальный вредонос, но что здесь такого плохого?
А какие доказательства?
И чем дольше висит статья, тем больше становится список. Причем реально проверят и опровергать никто из них не будет, но главное накинуть в комментариях и разводить демагогию и срач в комментах. А, ну и базово сразу минусить карму за пропаганду, хотя в чем она тут одному минусующему известно.
Вы забыли пункт про нейрослоп!
Wait, oh shi~ :)
Вы, очевидно, сейчас намекаете на предыдущую статью про реверс-инжиниринг Max. Так вот, в том случае автор действительно недостаточно критично относился к своим собственным гипотезам.
Что касается данной статьи, то тут авторы гораздо более сильную аргументацию приводят. Не знаю, может, я плохо читал комменты, но что-то я не вижу тут таких претензий, как были к автору статьи про Max. Потому что тут всё предельно очевидно - это стопроцентный MiTM.
То, что Телега -- стопроцентный MiTM, было известно еще из ее рекламы. Потому как она по определению обещала вести трафик в обход блокировок, то есть через свои ресурсы. Любой в этом месте сразу понимал последствия, да?
Потом можно выпустить тысячу разоблачающих статей, которые просто подтвердят этот очевидный всем с самого начала факт.
Нет, чтобы вести трафик в обход блокировок, достаточно сделать прозрачный прокси, через который гонять зашифрованный RSA-ключами официального Telegram трафик MTProto к серверам Telegram. Никакого MiTM в этом случае не будет. Точно так же, как никакого MiTM не будет в случае перегона HTTPS по VPN.
Но если такой прокси развернет Вася Пупкин - к нему сразу прийдут.
Что значит ваше "нет"? На какое из моих утверждений вы так категорически ответили?
Вы рассматриваете гипотетический оптимистический сценарий, где добрые люди с непонятной мотивацией выпускают свою версию клиента исключительно для того, чтобы решить проблему замедления (читай -- блокировки).
Но зачем бы им это делать? Понятно же, что если тебе из каждого утюга лезет реклама Телеги, которая точно такая же, как телеграм, только лучше и без замедления, то тут сразу включается пессимистический сценарий и люди сразу видятся не очень добрыми и мотивация у них прослеживается гораздо более понятная. Правда ведь?
"Нет" я ответил на утверждение о том, что вести трафик через свои сервера - это стопроцентный MiTM.
И в интернете есть добрые люди, которые транзитят через свои зарубежные VPS-ки зашифрованный HTTPS ко всяким заблокированным с той или этой стороны сайтам. Без всяких MiTM.
Насчёт рекламы я с вами согласен. Лично я никаких иллюзий по поводу Telega не питал.
В какой-то момент оно массово грохнет аккаунты телеграммы, предлагая перейти в скотохам, в котором все сохранилось.
Можно мне какой-то бот, который будет чистить историю с контактом, как только тот зашкварится об этот кал или хам?
Отличный разбор. Подмена RSA-ключей и отключение PFS в одном флаконе, при этом приложение спокойно лежало в сторах. Это к вопросу о том, что supply chain security в мобилке сейчас примерно на том же уровне, что безопасность npm-пакетов пять лет назад. Кстати, на днях LiteLLM (97 млн скачиваний/мес) поймали на краже SSH-ключей прямо при импорте. Тенденция, однако.
Почему в прошедшем времени? Проверил третьего дня - лежит себе в плей маркете с миллионами загрузок. Получается, что любой твой не-айти собеседник, да и айти-собеседник, но недостаточно осторожный, может общаться с тобой через такой вот "клиент". Все чаты теперь удалять надо, так получается - хотябы
Это, конечно, может показаться натягиванием совы на глобус, но названия C2 у Telega совпадают с тремя небезызвестными семействами ВПО: Zeus, Cerber и Cerberus.
Вот и думайте - это какая-то "пасхалка" для своих или случайное совпадение...
Если придираться к названиям, то надо смотреть не на С2...
Третье значение притянуто за уши, никто так не употребляет
Раньше употребляли, в выражении "прогнать телегу", где телега - как раз ложь, переусложнённая или абсурдная история, фантазия. Сейчас осталось только "да ты гонишь!", и гонят чаще не телегу, а пургу.
Надо же, я всегда думал, что гнать можно только порожняк... А оно вот как оказывается.
В любом языке тысячи таких выражений, существовавших когда-то, или существующих сейчас, но употребляющихся в узком кругу. В это если нырнуть поглубже - утонешь и выберешься через неделю с электронными словарями фразеологизмов, местных наречий, этимологий и прочими многотомниками... У меня изумление вызвала речь Русского Севера, которую я никогда в жизни не слышал, хотя всю жизнь там и живу. Думаешь: "Так у нас - не говорят!" Говорят, просто я - городской, в деревне не бывавши и родной речи не знавши...
Может мне кто-то объяснить несколько моментов?
1. Получается если кто-то из твоих друзей/знакомых установил эту "телегу" и находится в личном либо групповом чате с тобою, то это ставит под угрозу не только его, а абсолютно всех кто находится в данном чате, верно? Но ты же не можешь знать, какой клиент использует человек на той стороне. И получается ладно если он свои данные ставит под угрозу (тот кто установил не оф. приложение телеги), но то, что это ставит и твои данные под угрозу (а ты как бы никак об этом знать не можешь) говорит лишь об одном - какая нафиг тут безопасность? Можно ли как-то узнать через какой клиент общается твой собеседник?
2. При такой ситуации, очень хотелось бы услышать ответ Паши Дурова на этот счет. Если тема зафорсится, может и услышим) Можно же было сделать так, чтобы другие организации (не официальные типа телеги) вообще не имели доступ к телеграму? Ну т.е. чтобы исключить альтернативные клиенты. Это как вк и кейт мобайл. Не понимаю как такое вообще допустимо, что сторонние клиенты по сути могу входить в аккаунты официальной телеги и иметь доступ к конфиденциальным данным других людей, которые используют официальное приложение, но находятся в данном чате. В общем буду следить за данной ситуацией. Ведь это по сути компрометирует официальный телеграм.
По обеим пунктам ваша озабоченность полностью оправданна. Один реальный способ прикрыть лавочку, это добавить для DC телеграмма черный список куда включить 130.49.152.0/24 а лучше 130.49.224.0/19.
Достаточно одному левому человеку с самым обычным официальным Telegram попасть в ваш чатик, и всё содержимое этого чатика попадёт в руки этого человека. И он сможет передать её куда угодно.
На все чатики засланных казачков не хватит. А тут решение системное. Автоматизация. Месье Гильйотен одобряет.
Неправда Ваша.
При добавлении человечка в чат можно ограничить глубину просмотра истории (по умолчанию вроде 100).
А не в этом ли итоговая цель? Если Телеграм скомпрометирован, то чем он отличается от других отечественных мессенджеров?
В результате имеем, что общедоступные мессенджеры избавляются от скверны, а жулики и экстремисты уходят в рукописный софт, который вообще не отследить.
Странно что статью за сутки не снесли.
Сайт где продублирована данная статья уже отлетела в бан РКН.
Автор жди скоро тебе напишут кляузу как и мне с просьбой удалить.
PS ты только Макс не копай , а то мучеником станешь...
Классная статья и оформление, отдельное спасибо за TL DR🙏
Коллективный иск
Нарушение тайны переписки (ст. 138 УК РФ): Это уголовная статья. Если MITM-атака доказана технической экспертизой, то чтение чужих сообщений без решения суда — это преступление.
Неправомерный доступ к компьютерной информации (ст. 272 УК РФ): Модификация процесса передачи данных и перехват ключей шифрования.
Закон «О персональных данных» (152-ФЗ): Разработчики обязаны четко указывать, какие данные собираются и куда передаются. Скрытая передача трафика на сторонние серверы под видом «официальных» — это грубейшее нарушение, за которое Роскомнадзор может не только оштрафовать, но и заблокировать их ресурсы.
Какой то беспонтовый накат пошёл на клиент Теlega.
Зачем то его пытаются дискредитировать связав с государством ВК РКН итд) Вот это как раз очень подозрительно.
7 лет назад, во время блокировок (попыток) телеги, когда РКН сносил под корень подсети, что цепляло собой сотни и тысячи сайтов людей, который вообще ни в зуб ногой что происходит... они пренебрегли своим золотым правилом: "Вешать на заблокированное плашку, что заблочено by RoScOmNaDzOr" (что "снимало" с них ответственность юридически, ведь то было бы явным заявлением о причастности). ТАК ВОТ... на вопрос им, тогда ещё в Твиттере – они выкатили какой-то тупорылый "меме", который вообще не в тему и что-то на уровне постиронии, которой ещё не было. Так вот, ИНТЕРНЕТ ДОЛЖЕН ПОМНИТЬ ЭТО.
Алсо: считаю что этот "меме" опередил сам себя на 8 лет. Теперь эта пикча очень "напоминает" ситуацию с телегой, когда ОЧЕВИДНАЯ прослойка, которая явно работает "в разрыв" и МОЖЕТ что-то делать... при этом у многих это не вызвало подозрений даже на концептуальном уровне.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Полный технический анализ MITM в клиенте Telega