Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 87
Не знаю, зачем вам минусуют, формально вы правы. Хочу только заметить, что та статья была опубликована до появления этого пресс-релиза от создателей Телеграм, и я посчитал, что это официальное предложение стоит вынести в отдельную статью, тем более что оно не предназначено для русскоязычной публики и в оригинале написано по-английски.
BTC первому человеку, кто взломает зашифрованный протокол этого сервиса
Сначала по этой фразе кажется, что взломать нужно протокол биткоина.
через неделю будет новость, что в конкурсе победили спамеры, случайно завалившие секретный адрес предложениями разного характера.
Похоже павел решил сэкономить. Сегодня ВТС стоит 1000$, а завтра китайцы снова скажут что его сломали и курс упадет и вот отправленные тебе ВТС стоят уже не 200 тыс. $, а 50 тыс. или того и гляди еще меньше.
О да, оно ему так надо… Биткойн в данном случае, используется только для одного: человек, который решит подобную задачу, наверняка придерживается анонимности, чем открытости и пиара. А потому лучше сразу отдавать BTC, чем просить банковский счёт и всё такое. Всплывёт же ж или как минимум — засветится.
Разве это не очевидно?
Разве это не очевидно?
Вы расстраиваетесь так, как будто уже всё взломали и не знаете заявлять об этом сейчас или подождать еще какое-то время.
Кто знает, может так и есть. Вообще если честно, то коли уж предложил 200 тыс. $, то и плати в $, а не в криптовалюте, курс которой прыгает из-за любого чиха в ее сторону.
Например, повышается в 10 раз за неделю. На $200.000 квартиры в Москве не купить, а вот если подождать…
Сегодня Bitcoin стоит 445-660, судя по mtgox.
Да, упал вдвое почти. Потому что китайцы запретили его обмен на валюту
Неважно. Он платит не фиксированное количество BTC, а фиксированную сумму долларов, по курсу BTC на день оплаты.
Есть мнение, что после НГ курс подрастет до 900-1000.
О да… У меня тоже проскакивают такие мысли :) Я вообще заметил за собой сверхспособности по управлению курсом: как только что-то более-менее крупно покупаю — сразу же курс осыпается, ну и наоборот :)
А не могли бы вы, как соберетесь что-то более-менее крупно прикупить, где-то опубликовать свое намерение? Ну, в твиттере, например. Было бы прелестно!
Чувак, купивший доллары, это ты?
Сегодня ВТС — это самый простой и дешёвый способ заплатить любому человеку в любой стране мира.
Сегодня стоимость btc меньше 660. Недавно 420 была.
unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
Вот, к слову, если кому интересно будет.
Вот, к слову, если кому интересно будет.
Замечательно. Оставил этому парню ссылку на конкурс, вроде там нигде не упоминали.
Не менее актуален и новый FAQ: core.telegram.org/techfaq
Там практически ничего интересного.
Человек делает выводы не прочитав полностью описание протокола.
Тролли, они везде.
Человек делает выводы не прочитав полностью описание протокола.
Тролли, они везде.
Прекрасное обсуждение на Ycombinator
Правильно ли я понимаю, что в «конкурсе» могут участвовать только те, кто имеет доступ к сетевым устройствам, находящимся на пути пакетов мессенджера? Либо те, кто этот доступ каким-то образом смог получить.
Адрес вашего биткоин-кошелька для получения 200 тысяч долларов
Лучше б они в сообщениях отправляли пару (адрес, приватный ключ) (грубо говоря, дамп wallet.dat), содержащий биткоины на эту сумму. Чтобы ни у кого не возникало сомнений, выплатят ли.
Расшифровал первый — забрал.
В этом случае они не получат описания атаки.
И не смогут сказать «это не бага, это фича».
А при текущих правилах они получат описание, но деньги могут не выплачивать, так как «письма не получали». И попробуй докажи обратное.
Выложить на Хабру с описанием атаки?
Скажут что за день до них уже кто-то прислал это описание… Это же Россия, тут все конкурсы так делаются.
Юзлесс. Курс биткоина сильно скачет, это во-первых (и это уже достаточно весомая причина не делать то, что вы предложили). Во-вторых, так как курс сильно скачет, не думаю что Павел Дуров хочет в один миг потерять эти 200 тысяч (или обогатиться, ктож его знает!).
Ну Вы бы дочитали хотя бы то, что комментируете. Он же заплатит сумму в биткоинах по курсу на момент взлома, значит в любом случае их можно обменять назад на 200к$, курс не важен.
Упс, видимо не туда улетел коммент. Комментировал вот этот пост
Лучше б они в сообщениях отправляли пару (адрес, приватный ключ) (грубо говоря, дамп wallet.dat), содержащий биткоины на эту сумму. Чтобы ни у кого не возникало сомнений, выплатят ли.
А заминусовали-то.
Лучше б они в сообщениях отправляли пару (адрес, приватный ключ) (грубо говоря, дамп wallet.dat), содержащий биткоины на эту сумму. Чтобы ни у кого не возникало сомнений, выплатят ли.
А заминусовали-то.
Такое уже было. Была фирма, которая «изобрела» свой алгоритм шифрования. И обещала феррари тому кто его взломает.
Разгадка в том что взломать его может только профессиональный математик, для которого феррари — не такой уж большой приз, тем более не известно много ли времени на это уйдёт.
Так что такой приз, вовсе не доказательство что их алгоритм шифрования можно ставить наравне со стандартами.
Соответственно и тут — 200k не доказательство что протокол надёжен. Так, от мелких багов защищает, да.
Разгадка в том что взломать его может только профессиональный математик, для которого феррари — не такой уж большой приз, тем более не известно много ли времени на это уйдёт.
Так что такой приз, вовсе не доказательство что их алгоритм шифрования можно ставить наравне со стандартами.
Соответственно и тут — 200k не доказательство что протокол надёжен. Так, от мелких багов защищает, да.
Дуров уточнил, что если в действующем конкурсе найдётся победитель, разработчики исправят найденную им уязвимость в Telegram, после чего запустят аналогичное соревнование с ещё _большей_суммой_приза.
Если победитель не обнаружится, мы искусственно упростим хакерам задачу в рамках следующего конкурса. Например, дадим им возможность не только прослушивать весь трафик моего аккаунта в реальном времени, как сейчас, но и полностью манипулировать им, подделывая пакеты между клиентом и сервером. То есть задача хакеров будет в некотором смысле искусственно упрощаться в рамках новых конкурсов, что позволит нам проверять наши алгоритмы на все большем уровне гипотетической криптостойкости.
Павел Дуров.
Если победитель не обнаружится, мы искусственно упростим хакерам задачу в рамках следующего конкурса. Например, дадим им возможность не только прослушивать весь трафик моего аккаунта в реальном времени, как сейчас, но и полностью манипулировать им, подделывая пакеты между клиентом и сервером. То есть задача хакеров будет в некотором смысле искусственно упрощаться в рамках новых конкурсов, что позволит нам проверять наши алгоритмы на все большем уровне гипотетической криптостойкости.
Павел Дуров.
Как по мне — это все довольно дешевый пиар, т.к. Дуров таким образом сможет только доказать, что имея набор шифрованных сообщений, их невозможно дешифровать. Но реальность — она куда сложнее, и часть атакующий может взаимодействовать так или иначе с одной из сторон, например посылая немного искаженные сообщения, и наблюдая на реакцию системы. Если в системе есть какой-нибубь баг вроде padding или timing оракла, — то со временем вполне может получится расшифровать что-то. не говоря уже о возможных man in the middle и прочих.
Но если же ставить задачу именно так — «есть набор зашифрованных сообщений, расшифруйте», то это куда более сложная задача, и одновременно — куда более отдаленная от реальности.
Но если же ставить задачу именно так — «есть набор зашифрованных сообщений, расшифруйте», то это куда более сложная задача, и одновременно — куда более отдаленная от реальности.
Ну так про следующий этап, если никто не справится с этим, почитайте.
Я это прочитал. Я про то, что с этого этапа и надо было начинать, а текущие условия — абсолютно глупые и бесполезные.
Нет, это разные задачи. Если можно взломать само шифрование, то следующий этап не имеет смысла, пока шифрование не исправят. Потому и постановка задачи такая, если ломают, то фиксят и повышают ставку. И так пока само шифрование не будет взломано, только потом есть смысл переходить ко второму этапу и проверять дырявость следующего звена.
Но другие и этого не делают.
И засчитает 220 биткоинов на ваш счет на ВКонтакте. Как это обычно и происходит.
Интересно, сколько тот человек, кто разрабатывал алгоритм защиты потом будет бесплатно работать на Павла Дурова?
Полезный UPD:
Команда разработчиков Телеграма опубликовала FAQ по конкурсу.
1. Зачем конкурс?
Чтобы выявить уязвимости алгоритма или получить косвенное доказательство его стойкости.
2. Что будет, если кто-то все же победит?
Если у нас будет победитель текущего соревнования, мы начнём новое с большим призом, но сначала исправим протокол.
3. К чему есть доступ?
У вас есть доступ к детальному описанию системы шифрования, что у нас используется, исходный код приложения и полный лог трафика Павла, с его регистрации до текущего дня, обновляемый в реальном времени. Вам нужно дешифровать секретный емэйл из ежедневного сообщение от Павла Николаю, и отправить описание успешной атаку на этот адрес.
4. Какова структура трафика?
Структура такая:
Для вашего удобства, показаны только высокие байты TCP потока, игнорируя границы IP пакетов, а также пропущены заголовки TCP/IP
5. Ежедневное сообщение — одно и то же каждый день?
Нет, как и в реальной жизни оно может немного отличаться. Единственное, что постоянно — это отправляемый емэйл адрес.
6. Можете дать пример сообщения?
Конечно. Оно может выглядеть так: Привет Коля, вот секретный емэйл для охотников за наживой — тут адрес емэйла.
7. Я хочу попробовать принять участие в конкурсе, как это сделать?
На этом этапе можно пробовать анализировать трафик, посылать модифицированные пакеты на сервер, то есть проводить атаки по превышению длины сообщения, повторам, и тп. В случае, если никто не сможет достичь победы в текущем конкурсе (расшифровать протокол Телеграма) до марта 2014, мы собираемся облегчить задание и предоставить участникам инструменты для более сложных активных атак.
8. Что если я не доверяю биткоинам, и не хочу их в качестве приза?
Если победитель предпочитает обычную валюту, мы с радостью перечислим ему 200000 долларов вместо BTC.
9. Осталось всего 2,5 месяца, мне нужно больше времени!
Конкурс на взлом зашифрованного протокола Телеграма — постоянное свойство нашего проекта. Теперь мы всегда будем запускать новый конкурс сразу после предыдущего, и каждый раз сумма приза будет вырастать. Так что первый кто взломает протокол — сможет потребовать приз, даже если текущее соревнование будет завершено.
Команда разработчиков Телеграма опубликовала FAQ по конкурсу.
1. Зачем конкурс?
Чтобы выявить уязвимости алгоритма или получить косвенное доказательство его стойкости.
2. Что будет, если кто-то все же победит?
Если у нас будет победитель текущего соревнования, мы начнём новое с большим призом, но сначала исправим протокол.
3. К чему есть доступ?
У вас есть доступ к детальному описанию системы шифрования, что у нас используется, исходный код приложения и полный лог трафика Павла, с его регистрации до текущего дня, обновляемый в реальном времени. Вам нужно дешифровать секретный емэйл из ежедневного сообщение от Павла Николаю, и отправить описание успешной атаку на этот адрес.
4. Какова структура трафика?
Структура такая:
Unixtime Length-in-bytes Direction (in/out) ServerIP:Port Hexdump.Для вашего удобства, показаны только высокие байты TCP потока, игнорируя границы IP пакетов, а также пропущены заголовки TCP/IP
5. Ежедневное сообщение — одно и то же каждый день?
Нет, как и в реальной жизни оно может немного отличаться. Единственное, что постоянно — это отправляемый емэйл адрес.
6. Можете дать пример сообщения?
Конечно. Оно может выглядеть так: Привет Коля, вот секретный емэйл для охотников за наживой — тут адрес емэйла.
7. Я хочу попробовать принять участие в конкурсе, как это сделать?
На этом этапе можно пробовать анализировать трафик, посылать модифицированные пакеты на сервер, то есть проводить атаки по превышению длины сообщения, повторам, и тп. В случае, если никто не сможет достичь победы в текущем конкурсе (расшифровать протокол Телеграма) до марта 2014, мы собираемся облегчить задание и предоставить участникам инструменты для более сложных активных атак.
8. Что если я не доверяю биткоинам, и не хочу их в качестве приза?
Если победитель предпочитает обычную валюту, мы с радостью перечислим ему 200000 долларов вместо BTC.
9. Осталось всего 2,5 месяца, мне нужно больше времени!
Конкурс на взлом зашифрованного протокола Телеграма — постоянное свойство нашего проекта. Теперь мы всегда будем запускать новый конкурс сразу после предыдущего, и каждый раз сумма приза будет вырастать. Так что первый кто взломает протокол — сможет потребовать приз, даже если текущее соревнование будет завершено.
Проще может перебирать адреса email (отправлять много сообщений на разные email адреса).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Лучшая реклама Bitcoin — от Павла Дурова