Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 37
Кому лень читать..
Чтобы работать, оба бота просят одно: права администратора в вашем канале. Это обычная практика, боту необходимо иметь права на возможность публиковать от имени канала.
соответственно в случае компрометации бота, ваш канал так же становится уязвимым.
В целом да, верно
Вообще сама идея давать права администратора стороннему (и постоянно меняющемуся) коду без каких-то детальных настроек “что можно” - сверх оптимистична.
Тут бы не помешал какой-то слой безопасности между таким ботом и его правами в канале: что можно, когда можно, как часто можно. Чего точно быть не должно в его сообщениях.
Вобщем, исходить из того, что всех ботов когда-то взломают: как минимизировать урон от этого.
«Обычная практика» – точное наблюдение, но не оправдание. Telegram Bot API позволяет выдать боту только конкретное право «публикация сообщений» без полных прав администратора. Запрос admin-прав целиком – это ленивая реализация, а не архитектурная необходимость. Принцип минимальных привилегий существует именно для этого: скомпрометированный бот с правом «только постить» нанесёт ущерб одной функции, а не всему каналу.
Так продукт не то что сырой, он никакущий.
Прежде чем выводить на рынок убийцу телеграмм, надо сделать так чтоб он реально был хотябы такойже, а по факту мы имеем инвалида у которого вместо рук культяпки, так ему ещё и язык отрезали и он одной рукой должен и комара убить и попу почесать, смотрите зато ходит!
Какое же г***о этот ваш макс, они не смогли комментарии и отложенный постинг реализовать в человеческом виде, ну собственно результаты всем на лицо.
Мда ничем большим чем позор это назвать невозможно.
Ну не реализовали и ладно, оставались бы одиними из 100500 поделок. Так ведь навязывают его из всех утюгов, причём ориентируясь на тех, кто не в теме ИТ: от подтверждения возраста для покупки алкоголя, до регулирования продажи бензина/дизеля в одном из регионов. Причём навязывание такое на пол шишки. Альтернативные методы вроде как есть, но использовать их намного сложнее.
С фич для удобства жизни надо было и начинать. Потом подтолкнуть госсектор, мол, не общайтесь в иностранных мессенджерах. А потом уже и людей затянуть, так как чатики как в телеге, да и удобства под рукой.
Но нет. Давайте без инструкции шурупы молотком забьём, авось продержится пока указы идут.
Стратегия «сначала удобство, потом мандат» – правильная. Но мандатный продукт теряет сразу два регулятора: UX-давление и security-давление. Telegram 10 лет полировали, потому что пользователи могли уйти. Пользователи MAX уйти не могут – отсюда и бот с полными правами администратора вместо минимально необходимых.
Недоверие властям столь велико, что никто не будет переходить на то, что они рекламируют. Хотя есть те, кто ставил себе прививки местной вакциной, но большинство предпочли, что лучше умереть от болезни
Отложенный постинг замечательно работает уже давно.
Зарегался чисто посты о max комментить?
Скупой платит дважды, а дурак трижды!
Неужели боты в мессенджере имеют только полный набор админских прав без каких-либо настроек?
С какой целью на втором скрине замазали только одно матерное слово? ))
Попытки в коммуникацию
Сейчас так модно в статьях писать, да? Ну хоть не олбанский.
Никогда не понимал, как можно отдать админские права боту, который не крутится на твоей VPSке.
на самом деле хз что будет безопаснее. Своя VPS-ка это тоже куча рисков: надо самому всё патчить вовремя (в том числе когда ушел в горы без связи), взлом от соседей через уязвимость гипервизора / hw-баги CPU, вредоносные действия сотрудников хостера
а если это какой-то облачный сервис со строгими политиками ИБ, то может и понадежнее будет
Ну тогда не VPSшка, а юниксовый шаред схостинг, чтобы там специально обученный человек всё патчил.
Ну просто по ощущениям ботописцы - через одного то кабанчики-темщики, то вайбкодеры, и давать им контроль над маломальски ценным чатом или каналом - это турбосомнительно.
тогда не VPSшка, а юниксовый шаред схостинг
На шареде многим гибкости не хватит. Он хорош (и приятно дёшев) для простых стандартных вещей, но если вам нужно банально повесить в памяти процесс, работающий 24/7, на шареде почти наверняка это не получится.
Для параноидальных задач, видимо, лучший вариант - это дешманский выделенный сервер на каком-нибудь Атоме или старом железе.
на шареде запросто можно нарваться на эксплуатацию zero-day через соседей. один из примеров: https://www.securityweek.com/critical-cpanel-whm-vulnerability-exploited-as-zero-day-for-months/
в случае, когда у вас полностью свой сервер (под диваном, в офисе, на colocation в ДЦ), поверхность атаки уменьшается прям очень сильно. у вас нет соседей, которые эксплуатируют дырявые гипервизоры, ядры, контейнеры (неймспейсы ядра) и прочие изоляционные механизмы
Автору надо было прежде всего проанализировать глубже уязвимость, если есть возможность сделать PoC эксплоит. Далее зарегистрировать CVE на cve.org - наличие реального эксплоита повышает уровень серьёзности (потом не поправить). С готовым CVE топать на bdu.fstec.ru и регистрировать уязвимость там. Тут уже обычно товарищи из ФСТЭК начинают помогать "лечить" производителя софта. Но сразу предупреждаю - всё будет исключительно за спасибо, баг баунти в России не существует :)
Дыры могут быть и будут везде. Просто если бы Мах был настоящим государственным мессенджером, то
Всех взломщиков быстро бы нашли компетентные органы
За взлом государственного информационного ресурса преступники понесли бы ответственность, гораздо более серьезную, чем при взломе странички в фейсбуке
Ответственные за ресурс понесли бы дисциплинарную ответственность, а в случае большого ущерба слетели бы с должностей.
Но в махе все понарошку. Это коммерческий проект, его владельцев интересует только прибыль, а нести ответственность они ни за что не собираются.
Было бы полезно добавить в статью рекомендацию не пользоваться сторонними ботами. Если канал большой, то разработка своего аналога любого из этих ботов и самостоятельный их хостинг будет вполне посильна по цене, и даст совершенной другой уровень функций, безопасности и контроля.
В целом я согласен с другими комментаторами - давать админку на канал по сути какому то нонейму с неизвестными тебе мотивами и правилами - очень плохая идея. Я думаю по большей части пользователи думают что боты это как бы часть платформы МАКС. Но это же вообще не так, по сути все боты это сторонние приложения со всеми вытекающими. И этот момент тоже надо очёнь чётко подсветить.
уважаемый Автор статьи, к сожалению, не удосужился даже запустить самого бота, чтобы увидеть, что никаких «админок» в боте нет.
Верно, гораздо проще по рассыльному сообщению сделать все выводы касательно данного бота.
Данная статья абсолютно некомпетентна с технической точки зрения. Больше похоже на заказную травлю конкурента.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как был взломан “самый надежный” бот в мессенджере MAX? Эксплойт бота Отложка