Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 73
Уже заблочить успели)
Интересно, а почему?
Неужели обсуждать внутреннее устройство совершенно независимого от государства коммерческого проекта, сделанного какой-то командой из Казани - это экстремизм?
Удивительно, получается, писать и распространять клиента к блокируемому мессенджеру - официально можно.
А вот призывать не пользоваться блокируемым мессенджером (как минимум - через один из клиентов) - нельзя, запрещённая информация.
Парадоксально.
Они в ТГ-канале писали, что пользуются Cloudflare, поэтому в РФ заблокировано.
А, ну тогда все ясно)
Блин, а я уж ёрничать начал)
Они не только юзают CF, который блокируется потому что он CF, но и оставили там включенным ECH, которая отдельно блокируется сама по себе. Это что бы наверняка :-)
Запросилофициальные комментарии у пресс-службы Telega
Это буквально лучшее подтверждение.
Я не знаю, что это за сервис, но не пользуйтесь им, он вам говорит полуправду и подтолкнул к неверному выводу.
Домен не заблокирован, но использует IP-адреса, на которых раньше были онлайн-казино. Именно поэтому он может быть недоступен из России.
Используйте https://t.me/u2ckbot, он этот момент подсвечивает.
Да все он верно говорит, просто я поленился вниз пролистать и не заметил, что он по cdn заблочен
Скрытый текст
А сервис этот https://cheburcheck.ru/
Не понял. Использовать сторонний клиент – априори означает доверить ему свой пароль, ключи шифрования и все данные, которые им передаёшь. Т.е. его с самого начала следует рассматривать как MiTM. Более-менее терпимо – open-source клиент, лучше – выделить функционал шифрования в отдельный небольшой клиент (который легче подвергнуть аудиту).
Хорошо что телега это как раз open-source клиент (сарказм). В целом согласен, сторонним клиентам никогда доверять нельзя
Да да. И эти люди потом доверяют бесплатным квн.
Использовать бесплатный впн на порядок безопаснее, чем использовать сторонний клиент мессенджера.
Им не надо доверять: через них должен идти только шифрованный (https или ещё что) трафик. А вот для стороннего клиента такой защиты нет.
а что не так с бесплатным квн, если у меня левых сертификатов в системе нет, чтоб канал по MITM ломануть? Ну, послушает кто-то шифрованный поток https, узнает, что я этот квн использую для захода на сайты, куда не пускают с российским айпишником -- и чо? Кроме имени хоста, всё остальное шифруется вполне надёжным способом.
Ну так одно другого не исключает. Я "доверяю" бесплатным квн в том, что они НЕ могут украсть мои пароли от сайтов, или подсунуть мне какое-нить нежелательное сообщение -- но при этом я отлично осознаЮ, что они никоим образом не гарантируют мне приватности более высокой, чем у меня есть без них.
В контексте моего сообщения, которое вы процитировали картинкой -- я не использую бесплатные квн для связи с какими-то подконтрольными мне машинами, а связь с неподконтрольными сама по себе сомнительна в плане безопасности и приватности, и бесплатный туннель в этом ничего не меняет.
Грубо говоря, если я хожу на, скажем, фикбук, через квн -- я вполне уверен, что этот квн не украдёт мои пароли от сайта и не будет протоколировать, что я там читаю и что пишу -- потому что я знаю, что он технически не способен это сделать, ибо хттпс -- но я ни на секунду не забываю, что сам сайт это делает, или как минимум может делать -- как не забываю и о том, что этот квн является лишь средством обхода блокировки, но никак не гарантирует моей приватности, и вполне может протоколировать сам факт наличия связи меня с каким-то хостом.
Полагаю, есть опасения, что за некоторые хосты можно пришить ст. 13.53 КоАП РФ )
Кстати здесь в статье написали что оригинальный клиент имеет три ключика... Возникает вопрос... Кому два лишних? Допустим ФСБ не имеет доступ... И Франция не имеет... Но два ключика лишние
все IP‑адреса находятся в диапазоне 130.49.152.0/24. Они принадлежат AS203502
А если эти айпи заблокировать, например, файрволлом, к "стандартным" адресам ТГ это приложение сумеет / будет подключаться?
Разработчики уточнили статус приложения. «Телега» представляет собой сторонний клиент Telegram
Ну если описанное в статье - правда, то это уже не клиент Телеграм, а нечто другое.
И за введение пользователя в заблуждение к ним могут быть применены как санкции сторов, так и самого Телеграма (раньше они вроде бы умели отзывать ключи сторонних клиентов), или нет?
UPD:
И кстати, получается ТГ теперь нужен функционал отображения того, каким клиентом пользуется собеседник.
Потому как если у него установлено что-то подобное, то вся прайваси, которую обещает Дуров, идёт мимо в т.ч. для тех, кто решит пообщаться с пользователями этого приложения.
Потому как если у него установлено что-то подобное, то вся прайваси, которую обещает Дуров, идёт мимо в т.ч. для тех, кто решит пообщаться с пользователями этого приложения.
Мне кажется, это бесмысленная мера.
Пользователь сам себе поставил шпионящий клиент. С тем же успехом пользователь сам себе мог поставить кейлоггер и скринридер, активно отправляющий переписку с ним в фсб, кгб, ми6 и моссад (на всякий случай).
вся прайваси
Какую прайваси телеграм обещает?) Насколько я помню, там набор обещаний примерно такой
Не хранить на серверах ключики end-to-end переписки (в этом клиенте они выключены, а даже если он начнёт включать и mitm'аться в них - это ж клиент на своих серверах будет хранить, а не телеграм)
хранить сколько-то часов все данные о сессии (ip и проч)
передавать органам власти эти данные, при юридически обоснованном запросе
Вроде никаких обещаний не нарушается
Речь скорее о том, что я как пользователь официального клиента был бы рад узнать, что мой собеседник юзает вот эту хрень, и все что я считаю зашифрованным, по факту изза него, - летит напрямую черт знает куда
Ничуть не отменяет коммента выше. Вам легче будет что у пользователя с которым вы общаетесь официальный клиент Телеграм, но стоит кейлогер или записыватель экрана?
и все что я считаю зашифрованным, по факту изза него, - летит напрямую черт знает куда
А что вы считаете зашифрованным в этой гипотетической ситуации и почему?
Wenn zwei es wissen, weiß es auch das Schwein (с)
"Считать зашифрованным" уместно то, что хранится на вашей личной машине, или передаётся между подконтрольными вам машинами (причём крайне желательно, чтобы секретны были не только ключи, но и протокол шифрования: даже банальные xor-алгоритмы обладают огромной криптостойкостью при анализе трафика без знания алгоритма). То, что вы передаёте третьему лицу без контроля над тем, как он это будет обрабатывать, следует считать заведомо незащищённым в любом случае, и это никак не зависит от надёжности алгоритмов шифрования и собственно связи.
Мысль, которую я хочу сформулировать - возможность ситуации "на той стороне - нехороший и небезопасный клиент" - была в протоколе с самого начала и такая опасность существовала вообще всегда.
Если по какой-то причине, для меня важна безопасность и приватность и я все это думал, что как-то защищен от такого приколдеса - например, потому что вайбы из маркетинговых материалов заставили меня думать про этот мессенджер в духе "ну уобще секурно и приватно все" - в моих интересах в первую очередь перестать так думать, и больше никогда маркетинг не слушать)
Мне кажется, правильно думать про сообщения, отправляемые через телеграм как про сообщения, к примеру, отправляемые через электронную почту в плейнтексте без шифрования с сохранением всей переписки в том же плейнтексте на серверах Дурова на веки вечные, без возможности их когда либо удалить, и с гарантией того, что как бы Дуров не относился к этим данным, рано или поздно политика работы с ними обязательно изменится и невозможна ситуация, чтобы владелец серверов (и данных ) рано или поздно не сменился.
—-
При этом ваша хотелка "я хочу знать, что на той стороне правильное приложение" не лишена смысла. Некоторые корпоративные мессенджеры, к примеру, пытаются делать свои клиенты так, чтобы они не запускались на рутованных телефонах примерно из таких соображений.
В целом согласен, но если вы считаете в телеграмме зашиврованным что-то, кроме секретных чатов, то следует пересмотреть свои взгляды на этот мессенджер.
А если эти айпи заблокировать, например, файрволлом, к "стандартным" адресам ТГ это приложение сумеет / будет подключаться?
Просто выпустят версию с другими адресами.
Или ещё можно сливать ключи через сам же телеграм. Или можно сливать их вместе с файлами, сохраняемыми в облаке vk. Или вместе с трафиком идущих через vk голосовых звонков.
Короче, сторонний клиент – всегда сторонний клиент. Надо очень доверять его авторам, чтобы вести переписку через него.
Совершенно официальная библиотека tdlib которая позволяет разрабатывать альтернативные клиенты и взаимодействовать с tg практически с самого начала существования мессенджера позволяла обходить прайваси все эти годы, и альтернативные клиенты тоже были с нами всё это время.
Потому как если у него установлено что-то подобное, то вся прайваси, которую обещает Дуров
Прайваси без E2EE по умолчанию - оксюморон.
А если эти айпи заблокировать, например, файрволлом, к "стандартным" адресам ТГ это приложение сумеет / будет подключаться?
А зачем?
Тогда оно теряет свою единственную фичу в виде обхода блокировки TG и превращается в просто альтернативный клиент, коих полно. При этом все минусы сохраняются.
Если используешь сторонний клиент какого-то сервиса, вводишь в клиент логин/пароль и типа сервис работает, но вайршарк показывает, что соединения идут не на диапазоны IP сервиса, то как бы всё, логин/пароль утёк и вся последующая информация доступна третьим лицам. Это понятно с одним вайршарком, не надо никаких глубоких анализов с дизассемблированием.
Если эта телега работает без квн, то вообще ничего проверять не нужно и так понятно, что свои сервера. Ну про возможности посредника в чужом клиенте тоже без статьи понятно было.
>> вообще ничего проверять не нужно и так понятно
А мне вот - нет. И я проверил. И есть MTPROTO proxy в телеге выдаваемое через api 185.130.115.156 и 185.130.113.138 - они в белом списке. Через них может работать официальный телеграм. И что-то тут не сходится...
Если мы mitm и гоним через свои сервера - зачем такие proxy?
Если поменяли ключи - почему работает оф. клиент и не ругается?
А а в каком месте у telegram безопасность, если в store iOS\Google ты не контролируешь целостность пакетов и воспроизводимые билды есть, вроде, только в fdroid https://f-droid.org/docs/Reproducible_Builds/
В RuStore у шайтан-арбы 1 млн +
В Google Play 5 млн+
Народ в отзывах ругается:
"А сколько буду в очереди, если не соврать уже 1,5 недели жду когда можно будет зайти и ни фига!"
«Вот такая, понимаешь, загогулина получается»
Официальный телеграм-канал РоскомнадZор (61.2K subscribers) March 21
Мы не просто так заговорили о стихотворениях, ведь сегодня День поэзии!
Зачем использовать сторонний клиент?
Например, если ты не очень умный, а в телеграм хочется. КВН настроить не умеешь.
Чтобы товарищу майору было удобнее читать твой трафик
Буквально один из пользователей написал мне: Зато работает.
если телеграм используется 99% для чтения новостей, то зачем заморачиваться со всякими квнами?
Оставшиеся 1% это переписки с женой "покорми кота" и "купи хлеба"
В оригинальном клиенте эта скамтелега рекламируется очень агрессивно. Паше всё равно видимо, что куча клиентов сейчас слила свои пароли и явки спецслужбам.
Напрашивается шалость в виде e2e-шифрующего мессенджера поверх серверов телеги, которые в свою очередь шлют трафик в телеграм)
Вот даже если сам не пользуешься этим клиентом, то ведь им может пользоваться человек по другую сторону экрана.
Так что, если вы обсуждаете не самые безопасные темы с человеком, который не знает об особенностях телеги (или "ему нечего скрывать"), то это тоже риск.
возможно источник неизвестен по причине опасения за свою безопасность, ведь кто кто а наши любимые власть имущие всегда найдут за что бросить в клетку, а тут налицо прямое покушение на срыв их корыстных планов
Кстати, еще давно из более ранних новостей заметил, что в этой поделке вход в ТГ-аккаунт выполняется через бота @dahl_auth_bot (честно, не знаю как и на каком этапе, после авторизации или когда), при этом в нормальных форках телеграма я такого не видел никогда, в условных Nekogram/Forkgram вход выполняется как в оригинальном клиенте.
Кто-то может тестировал "телегу" и разбирал конкретно этот момент?
Неожиданно, /s
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В интернете появился полный теханализ MITM-атаки в клиенте Telega от неизвестного источника