Комментарии 41
Интересно, а почему злыдни не используют реально децентрализованные p2p мессенджеры с нормальным шифрованием? Зачем обязательно свои сервера, да еще с хранением на них переписки?
Прямо как в дешевом бандитском кино - неужели это всё, чтобы полиция могла куда-то ворваться и с пистолетами наголо "Всем на пол, никому не шевелиться"? :)
Просто тех кто пользуется pgp+email никто не поймал, вот мы и не знаем ничего про них.
Одна из наиболее реальных опасностей - возможность входящего соединения от нарушителя (в данном сюжете подрядчика правоохранителя). Если его разрешить на телефоне, ей Богу лучше не станет, просто добавится возможность отслеживать трафик и/или контакты даже без взлома. Поэтому сервера.
Так а как, технически, вообще без сервера, даже при большом желании, получить входящее соединение на мобильном телефоне, который всегда находится за неподконтрольным, провайдерским NATом? Выходит, что наличие сервера (устройства, к которому можно в любой момент времени открыть соединение по заранее известной, либо получаемой на лету за счет публичного доверенносго сервиса вроде DNS, паре ip, port) необходимо априори.
вот пример, как 2 устройства за натом могут связаться друг с другом: https://github.com/samyk/pwnat
Прикольно, спасибо за ссылку.
Предположим, что данный эксплойт (чем он, по сути, и является, ибо даёт функциональность, которую сеть не должна давать) работает с подавляющим количеством операторского оборудования мира (к примеру, минутный гуглеж показывает, что t-mobile блокирует ping, icmp и tracert в 5g сети).
Даже в таком случае, одному участнику надо узнать ip NAT второго, чтобы начать. А как? Допустим, можно зайти на что-то типа whatsmyipaddress при личной встрече. Но, стоит пройти 100 метров, и ip изменится при переключении на другую базовую станцию. Теоретически, тот, у кого NAT поменялся, может запустить discovery, помня последний адрес собеседника. Но, рано или поздно наступит момент, когда у обоих поменяются NATы в период оффлайна, и придётся снова встречаться лично (передать ip через другой канал). Злыдням это не то, чтобы сильно интересно все)
Сообщить свой внешний ip можно воспользовавшись имеющимися решениями типа tox или kad.
эх... почитал алгоритм, как tox пробивает симметричный nat. Оно то, конечно, прикольно, но, кажется, сеть из таких людей, у которых телефоны будут методично сканировать порты и перебирать порты, обречена.
Тут одно из двух, - либо оно ставится популярным, и тогда, подобные практики начинают блокироваться операторами, ибо мне сложно представить оператора, которому понравится, что из его сети идут массовые сканы портов на других операторов, либо оно не становится популярным, и тогда списки абонентов, у кого телефоны так странно себя ведут, вполне можно будет выгрузить и проверить правоохранителями вручную
"Злыдни" могут хорошо разбираться в сортах "порошковых денег" но не очень хорошо в этих наших серверах и децентрализациях. Если ребята с района сказали: "збс, чотка", значит надо брать.
Вроде были истории про мексиканские картели, которые похищали нужных им специалистов по телекоммуникациям из соседних стран, привозили к себе и заставляли строить им сети связи.
Так что если не разбираешься в серверах и децентрализациях - можно подкупить или заставить того, кто разбирается.
Но когда сам не можешь проверить, что же тебе сделали специалисты, есть вероятность компрометации
В одном из предыдущих обсуждений предлагал заказать аудит сделанного ПО в паре контор в разных странах. До окончания аудита разработчиков с гасиенды не отпускать ;)
Кто проводит аудит, видит в коде комментарий: "Нас тут держат, спасите нас, мы вам заплатим" и т.п.
Вспоминается старая история про админа, которого на корпоративе сильно бухим забыли в серверной, а на следующее утро на общем диске начали появляться подкаталоги с названием "!!!ОТКРОЙТЕ СЕРВЕРНУЮ!!!"
Ну, видят они такой комментарий - и что они делают дальше? Уезжают поскорее в свою страну и дают об этом интервью?
Уже где-то упоминал про войну анонимуса с мексиканскими картелями... Люди с автоматами победили. Среди них тоже есть условные хаброжители разбирающиеся в этих ваших серверах... Внезапно...
что им мешает нанять свою команду программистов...
А если среди нас есть любители теорий заговора, то достаем блокнотики и затачиваем карандашики — ровно через месяц в сеть утекает алгоритм шифрования актуальной версии Skype. Совпадение? Не думаю!
Сомнительно, где Коза ностра, а где простой русский парень Ефим efimich Бушманов, который и вскрывал Скайп… Жаль, что он в ридонли, вероятно, ему есть что добавить к этой истории.
за счет которых, по официальной версии, повышалась надёжность сервиса
Не только надёжность, во многом ещё и возможность нормального использования скайпа на мобильных устройствах. Пользователи хотят, чтобы заряда аккумулятора хватало на день, а для этого приложения должны по-максимуму спать, просыпаясь лишь при получении пуша от гугло-/эппло-сервисов. P2P-мессенджер же вынужден постоянно висеть в памяти, чтобы получать сообщения (иначе операционная система ему не даст запуститься, пока пользователь явно не запустит его руками), а это значит, что пользователю останется меньше заряда на поиграть, на посмотреть ютуб и котиков на пикабу.
Надо было аську с pgp юзать вместо скайпа. pgp-плагин как раз стал активно юзаться в 2007-2009.
Да, вы все верно поняли: пока большие шишки из Евросоюза и итальянской полиции прилюдно ныли и канючили, рассказывая про «неуязвимую защиту Skype» и опасность, которую это несет Мировому сообществу, их коллеги уже как минимум год могли спокойно слушать всех кого надо, особенно уверенных в «неуязвимой защите Skype». ...
Одно другому не мешает, но дополняет. Результат взлома - в лучшем случае, чисто оперативная информация, в суд не представишь и т.п., а в худшем, зависит от законодательства. Другое дело результаты СОРМ - милое дело, чисты как слеза комсомолки.
нанесла тяжелейший удар по организованной преступности
Это вряд ли, поскольку посадить преступника в тюрьму, все равно что отправить его домой. Полагаю, было бы уместнее заявить, что теперь законопослушные граждане могут какое-то время дышать свободнее, а органы правопорядка немного отдохнуть.
Напомнило историю, не уверен на счет правдивости, как в Японии полиция никак не могла "накопать" улики с помощью взлома и прослушки телефонов борцов сумо, потому что те не могли пользоваться смартфонами из-за толстых пальцев.
Поэтому им подарили планшеты.
А в итоге все под колпаком или колпаками.
Во-первых, хорошо, что снаряды побеждают. Добро должно побеждать зло.
Организованная преступность побеждена. Ведь побеждена, правда?
"пока большие шишки из Евросоюза и итальянской полиции прилюдно ныли и канючили, рассказывая про «неуязвимую защиту Skype»..."
Они не ныли, они рекламировали для заинтересованых лиц.
Завершение операции было впечатляющим: 8 июня 2021 года одновременно на территории 18 стран было арестовано около 1000 человек, изъято 8 тонн кокаина… В тот же день Европол заявил, что данная операция«нанесла тяжелейший удар по организованной преступности». Что ж, похоже на правду.
Посмотрел из любопытства в википедии: «колумбийские наркокартели способны производить около 350 тонн кокаина в год». То есть они потеряли лишь пару процентов товара. И это при том, что кокаину приходится конкурировать с местными производителями синтетики, которая в разы проще и в производстве, и в логистике. Так что больше похоже на правду «тяжелейший удар по конкретно одной преступной группировке, функции которой с удовольствием возьмут на себя другие».
В большинстве случаев все дело было в установке троянов, что очень странно. Если ты модифицируешь операционку, по почему не запретить установку приложений в принципе? В предельном случае можно написать свою ОС. Тогда останутся только совсем жесткие дыры на уровне прошивок модемов и выполнения данных в процессорах.
а наши спутники гонец для этого не подходят? по моему идеально )
Троян-снаряд против крипто-брони. Трагедия в трёх актах