BRABUS

Непроверенные
  • Публикации

    3
  • Зарегистрирован

  • Посещение

О BRABUS

  • Звание
    Новичок

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. После трех с половиной месяцев безуспешных попыток Роскомнадзора заблокировать мессенджер Telegram в России в СМИ начали одно за другим появляться сообщения о том, что приложение не так безопасно, как многие думают. Из разных источников сообщалось об уязвимостях в разных функциях Телеграма, об «утечке паспортов» пользователей и о других "проблемах" мессенджера. Эти темы активно освещали сайты медиахолдинга, который принято называть «фабрикой медиа» — по аналогии с «фабрикой троллей»(к обеим, как считается, имеет отношение миллиардер Евгений Пригожин, его также называют спонсором ЧВК «Вагнер»). «Медуза» изучила, насколько обоснованны подозрения в адрес Telegram и как их освещали различные издания. «Уязвимость» в Telegram Passport В чем суть: 30 июля на «Хабре» вышел пост топ-менеджера украинско-американской компании Virgil Security Алексея Ермишкина «Почему Telegram Passport — никакой не End-to-End». В нем Ермишкин критикует функцию, которая позволяет пользователям загружать на сервера Telegram зашифрованные сканы паспортов и других документов, а затем безопасно передавать их сторонним сервисам. В описании Telegram Passport говорится, что у мессенджера нет доступа к данным пользователя — они зашифрованы паролем, который знает только он сам. Если коротко, механизм работы сервиса такой: когда нужно передать какому-то сервису личную информацию, пользователь нажимает на кнопку «Войти через Telegram», после чего на его телефон или компьютер с серверов мессенджера скачиваются зашифрованные данные; пользователь вводит свой пароль, данные расшифровываются, а затем шифруются ключом того сервиса, которому нужно передать информацию. Ермишкин в своей публикации утверждает, что алгоритм шифрования данных и метаданных Telegram Passport перед передачей на сервера Telegram недостаточно надежный и сотрудники мессенджера (или те, кто завладеет данными на его серверах) в теории могут получить доступ к документам пользователей. Специалист не стал проверять свои выводы на практике. Он ограничился анализом участков кода, отвечающих за шифрование, и предложил примерный алгоритм подбора пароля. По оценкам Ермишкина, система из 10 видеокарт смогла бы найти нужный пароль от данных пользователя меньше чем за пять дней (при условии что используется 8-значный пароль). В англоязычной версии статьи, опубликованной на сайте Virgil Security 1 августа, приводится примерная оценка стоимости такого перебора — до 135 долларов на один найденный пароль. Эта стоимость может снизиться до нескольких долларов, если человек использует слабый пароль, отмечается в заметке. Там же говорится, что если пароль длиннее, подобрать его будет сложнее. Это страшно? Не очень. Во-первых, речь об одной отдельно взятой функции Telegram, которая появилась совсем недавно и едва ли широко используется — хотя бы потому, что сервисов, поддерживающих получение документов из мессенджера, немного. Во-вторых, некоторые комментаторы на «Хабре» не согласны с главным посылом статьи — что шифрование документов в Telegram Passport нельзя назвать оконечным, End-to-End. Ермишкин утверждает, что пароль от паспортных данных можно подобрать относительно быстро, но из этого не следует, что шифрование не оконечное — оно просто недостаточно надежное. Некоторые комментаторы отмечают, что разработчики Telegram могут просто изменить используемый алгоритм шифрования и таким образом повысить уровень защиты. Сергей Никитин, эксперт по информационной безопасности компании Group-IB, расследующей киберпреступления, рассказал «Медузе», что в статье речь идет только о теоретической уязвимости — он предлагает дождаться «практических реализаций и тестов на проникновение», чтобы убедиться, что Telegram Passport достаточно надежен и им можно пользоваться. Как об этом писали СМИ Так, словно хакеры почти взломали данные из Telegram Passport. Вот заголовки российских технологических изданий: iGuides: «Telegram Passport можно взломать»; iPhones.ru: «Хакеры легко могут украсть паспортные данные из Telegram Passport»; Securitylab: «Найден способ похитить данные пользователей из сервиса Telegram Passport». Для сравнения — как об этом писали западные СМИ: Coindesk: «Технология Telegram, обещанная в ICO, уязвима к атакам, заявили исследователи»; The Next Web: «Telegram Passport уже критикуют за то, что он недостаточно безопасен». В некоторых российских общественно-политических изданиях появились материалы с тревожными прогнозами экспертов: RNS: «Эксперты предупредили о риске крупнейшей утечки личных данных через Telegram Passport»; «Экономика сегодня»: «Дуров обкатывает на россиянах опасные сервисы Telegram»(материал основан на мнении политолога Александра Асафова; он утверждает, что Telegram Passport испытывают на стабильность и уязвимость на россиянах«как на подопытных кроликах» и возможные утечки их документов создателей мессенджера не волнуют); «Русская планета»: «Российский политолог рассказал об опасностях мессенджера Telegram» (пересказывается заметка «Экономики сегодня»); «ФедералПресс»: «Политолог рассказал об опасности нового сервиса Telegram» (пересказ статьи в «Русской планете»); Nation News: «Telegram Passport — продукт „сырой“: эксперт советует быть осторожнее с документами в мессенджере» (кроме Асафова в заметке фигурирует руководитель новостного сайта «Агентство кибербезопасности» Евгений Лифшиц; он рассказывает, что изначально в любом продукте есть уязвимости, поэтому пользователям пока лучше не хранить личные данные в Telegram Passport). В Telegram нашли сканы паспортов россиян В чем суть: 31 июля, на следующий день после публикации об уязвимости в Telegram Passport, основатель издания о технологиях Rusbase Мария Подлеснова рассказала, что в мессенджере можно найти каналы с «тысячами» сканов документов — паспортов, ИНН и так далее. Если вбить в поиск по Telegram слово «паспорт», выпадет три канала — таких же, что показаны на скриншоте Подлесновой; ни в одном из них сканы документов «Медузе» найти не удалось: в двух публикуют мошеннические «схемы обмана казино», в третьем нашелся только опрос читателей об их ожиданиях от канала. Судя по скриншоту Подлесновой, по крайней мере в одном из каналов раньше публиковались документы; сейчас его авторы удалили все публикации до 20 июля, после чего объявили, что решили «немного отдалиться от тематики раздачи паспортных данных». Вместе с тем Google легко находит как минимум один канал в Telegram, в котором опубликованы несколько сотен сканов паспортов, страховых свидетельств и водительских прав. Канал был активен с января по апрель 2018 года, на него подписано 2,5 тысячи пользователей. Это страшно? В целом — да (как минимум неприятно), но Telegram тут ни при чем. Учитывая, что сканы начали появляться за несколько месяцев до запуска Telegram Passport, сам мессенджер вряд ли имеет отношение к утечке документов россиян — его использовали только как еще одну площадку для их публикации. Как об этом писали СМИ Многие писали так, будто в утечке документов виноваты разработчики Telegram. Издание Daily Storm, основанное бывшей журналисткой «Известий» и «Лайфа» Анастасией Кашеваровой, сообщило о находке Подлесновой одним из первых. Оно вынесло в подзаголовок такую фразу: «За день до того, как пользователи мессенджера обнаружили документы, программист с портала Habr рассказал об уязвимости сервиса Telegram Passport», хотя в тексте уточнялось, что сканы паспортов появились задолго до запуска Telegram Passport. Сайты «Госновости» и News.ru (не путать с newsru.com) со ссылкой на Подлеснову и Daily Storm написали еще жестче: «Мессенджер Telegram опубликовал в открытом доступе тысячи сканов паспортов россиян» и «Паспорта россиян утекли в Telegram». В текстах заметок поясняется, что сами документы могли попасть в мессенджер из других мест — файлообменников и взломанных баз, и Telegram Passport, видимо, ни при чем. «Госновости» также отмечают, что сканы паспортов могли выложить разработчики мессенджера: «Telegram создавался ради прибылей, а черный пиар — это тоже пиар». Об утечке паспортов много писали сайты, входящие в «фабрику медиа»: «Медуза» насчитала в «Яндекс.Новостях» не меньше 12 таких заметок. Притом что на сайтах РИА «Новости», «Интерфакса», ТАСС, «Ведомостей» и РБК не нашлось ни одного материала на эту тему; «Коммерсантъ-ФМ» сообщил о находке максимально нейтрально, сфокусировавшись на возможных последствиях для тех, чьи паспорта оказались в открытом доступе. Издания «фабрики медиа», напротив, в заголовках прямо связывали утечку паспортов с Telegram. Вот несколько примеров: ФАН: «Telegram интересует только прибыль: эксперт прокомментировал обнаружение сканов сотен паспортов РФ»; «Политэксперт»: «Деньги не пахнут: эксперт объяснил рекордную утечку паспортных сканов россиян в Telegram»; Nation News: «„Уровень безопасности не на высоте“: Милонов прокомментировал утечку в Telegram сканов сотен российских паспортов»; «Инфореактор»: «„Я не верю Павлу Дурову“: эксперт об утечке в Telegram паспортных данных граждан РФ»; New Inform: «Telegram плевать на интересы простых пользователей: эксперт о попадании в мессенджер тысячи скриншотов с паспортами россиян»; «ПолитРоссия»: «Безопасность Дурову до лампочки: эксперт прокомментировал инцидент с обнаруженными в Telegram сканами паспортов россиян». В качестве экспертов издания привлекали «независимого аналитика», «председателя коллегии АНО „Центр исследований и развития евразийства“», «научного сотрудника Института проблем международной безопасности» и «директора Ассоциации профессиональных пользователей социальных сетей и мессенджеров» Владимира Зыкова (Зыков — бывший корреспондент газеты «Известия»; в «ассоциацию пользователей», судя по всему, входит только он — и, возможно, его коллега по изданию). В заметках «фабрики медиа» об утекших паспортах из раза в раз повторяются утверждения о том, что мессенджер «является прямым источником криминальной активности». Из 12 найденных «Медузой» материалов 10 упоминали, что Telegram используется для распространения наркотиков, порно и пиратского контента. Вот показательная цитата: «Очевидно, уверен эксперт, что связи с разного рода теневыми интернет-бизнесами типа онлайн-казино являются для Дурова, вероятно, надежным источником дохода» (ФАН). Уязвимость Telegram позволяет скомпрометировать секретные чаты В чем суть: 7 августа на «Хабре» зарегистрировался пользователь под ником ne555 (его настоящие данные не приводятся) и опубликовал длинный пост под заголовком «Уязвимость в Telegram позволяет скомпрометировать секретные чаты». В тексте описываются две разные, но взаимосвязанные уязвимости. Злоумышленник может выяснить пароль, которым пользователь защитил вход в Telegram на своем Android-устройстве. Злоумышленник может «клонировать» данные с Android-устройства жертвы в свой телефон, после чего ему станут доступны все переписки, включая секретные чаты. И защита паролем не сработает — так как есть первая уязвимость. Под паролем для защиты Telegram в этом случае понимается не тот код, который приходит пользователю по СМС, а дополнительный, необязательный, — обычно он состоит из четырех цифр. Как утверждает ne555, используя существующие программы, этот пароль можно подобрать, причем за несколько секунд. Для этого злоумышленнику нужно получить доступ к устройству жертвы, причем желательно — именно к Android-телефону (клиенты Telegram для Windows и Linux тоже подвержены этой уязвимости, но перебор паролей для них в тысячу раз медленнее, чем на Android, пишет автор). Несмотря на то что сам пароль на Android «вскрывается» за несколько секунд, у злоумышленника есть другая проблема: нужно достать из памяти телефона зашифрованную версию этого пароля. Это просто сделать, если владелец телефона заранее получил права суперпользователя. Права суперпользователя (или root-права) дают приложениям практически неограниченный доступ к системе — это нужно, например, чтобы удалить из телефона предустановленные производителем приложения или поменять шрифты; также они позволяют копировать и изменять файлы из закрытых участков памяти. Без прав суперпользователя злоумышленнику придется искать способы скопировать содержание всей системы. Вторая часть уязвимости — про клонирование данных из Telegram — тоже завязана на использовании root-прав в телефоне жертвы. Чтобы продемонстрировать, как это работает, ne555 создал резервную копию данных Telegram в одном из своих телефонов и распаковал ее в другом. Подобрав пароль с помощью первой уязвимости, он смог войти в аккаунт «жертвы» (в этом случае — своего же тестового аккаунта), не вводя номер телефона и код из СМС. Самое любопытное открытие ne555 — что секретные чаты перенеслись в «новый» телефон, но при этом продолжили работать в «старом». Как утверждают разработчики, секретные чаты Telegram используют оконечное шифрование и поэтому не синхронизируются между устройствами: если пользователь вошел в него на своем айфоне, он не сможет продолжить разговор на айпаде (и наоборот). У пользователя «Хабра» получилось обмануть систему и вести диалог в одном секретном чате сразу с трех устройств — двух «настоящих» и одного «клонированного». Получасовое видео, на котором ne555 показывает, как он перехватывает доступ к секретному чату Примечательно, что клиент Telegram на телефоне «жертвы» никак не сигнализировал, что в секретном чате появился третий пользователь: секретные ключи, используемые для проверки надежности соединения, были одинаковыми на всех трех устройствах. При этом ne555 отмечает, что рано или поздно мессенджер все же замечает подмену и временно блокирует учетную запись — иногда это происходит через пять минут после входа, иногда — через полчаса и больше. Это страшно? И да, и нет. Это страшно, потому что эксперимент ne555 (если все именно так, как он говорит) на практике показал, что злоумышленник — пусть и при достаточно фантастическом стечении обстоятельств — может войти в секретный чат Telegram, переписываться от лица «жертвы» и остаться практически незамеченным. Но это не очень страшно, потому что жертва сама должна создать необходимые условия. Во-первых, получить права суперпользователя — сделать это самостоятельно злоумышленник не сможет (иначе он сотрет все пользовательские данные). Во-вторых, жертва не должна включать на своем устройстве шифрование данных. Совпадение этих условий кажется маловероятным: если пользователь продвинут настолько, чтобы получить права суперпользователя, едва ли он не подумает о шифровании. О «взломе» Telegram на устройстве с root-доступом еще в 2015 году писал основатель мессенджера Павел Дуров. В пример он приводил «Бога Всемогущего»: «Если злоумышленник каким-то образом получил права суперпользователя на вашем устройстве, нет никакого смысла обсуждать никакие уровни безопасности — злоумышленник уже БОГ в вашем телефоне. Он может видеть все, что вы видите на экране, и делать много что еще. Заявлять об уязвимостях, „предполагающих root-доступ“, это как говорить, что Бог Всемогущий может теоретически (в дополнение к уничтожению и созданию миров) вскрыть замок определенного швейцарского бренда. А значит, этот замок небезопасен!» Как об этом писали СМИ Вяло. В «Яндекс.Новостях» можно найти лишь несколько разрозненных заметок. Почти все они — из изданий все той же «фабрики медиа». Первым пост на «Хабре» заметил сайт ФАН: заметка «Эксперт прокомментировал уязвимость Telegram, которая позволяет скомпрометировать секретные чаты» вышла примерно через сутки после публикации ne555. В качестве эксперта выступил «независимый аналитик» Иван Аркатов, который дает комментарии ФАН и родственным ресурсам на широкий спектр тем — от влияния России и Китая на Африку до повышения возраста выхода на пенсию в России. В заметке про Telegram Аркатов рассказывает, что секретные чаты на Android «не такие уж и секретные» и руководству мессенджера нужно обратить на это внимание — иначе «по всему миру усилится отток пользователей из Telegram». Сюжет об «уязвимости» секретных чатов расходился по СМИ очень медленно: после ФАН 8 августа вышло еще четыре заметки, на следующий день три, а 10, 11, 12 и 13 августа — еще по одной заметке. Вот примеры заголовков: ИА «Версия»: «Эксперты назвали главную уязвимость Telegram» (цитата: «Иными словами, мессенджер, установленный на Android, подвергает секретные чаты стопроцентному взлому»); «Политэксперт»: «Багхантер: переписка пользователей в Telegram взламывается мгновенно»; «Инфореактор»: «Печальный конец Telegram уже близок: эксперт прокомментировал уязвимость мессенджера»; «ПолитРоссия»: «Деньги для Дурова куда важнее безопасности пользователей: эксперт об обнаруженной уязвимости Telegram». Уязвимость Telegram позволяет узнать номер телефона пользователя В чем суть: 9 августа в газете «Известия» вышла статья «Деанонимный Telegram: в популярном мессенджере нашли уязвимость», посвященная разработке под названием «Криптоскан», которая якобы позволяет узнавать номера телефонов пользователей Telegram. О «Криптоскане» «Известиям» рассказал руководитель «Центра исследований легитимности и политического протеста» Евгений Венедиктов. Он заявил, что «Криптоскан» добывает номера, используя уязвимость в API мессенджера. Что это за уязвимость, Венедиктов не уточнил, но рассказал, что программа уже используется для поиска людей «по запросу МВД и ФСБ». Демонстрируя работу приложения, Венедиктов раскрыл номер телефона одного из редакторов «Известий» (он знал только имя пользователя). Номер оказался верным, а фамилия и имя — нет. Корреспондент Daily Storm попросил Венедиктова, чтобы тот выяснил номер и его телефона, но эксперт отказался. Это страшно? Похоже, что нет. Так как создатели «Криптоскана» не рассказывают, как работает их программа, остается только строить догадки. Глава сервиса аналитики чатов ComBot Федор Скуратов предположил, что в «Центре исследований легитимности и политического протеста» используют подход, который известен уже несколько лет. Дело в том, что Telegram синхронизирует телефонную книжку пользователя со списком контактов в мессенджере. Теоретически злоумышленник может написать программу, которая добавляла бы в телефонную книгу тысячи случайных номеров телефона, синхронизировать ее с Telegram и посмотреть, какие имена и номера совпадут. Такого же мнения придерживаются и в компании по расследованию киберпреступлений Group-IB. Представители Telegram на просьбу «Медузы» о комментарии не ответили. Как об этом писали СМИ Довольно активно. Сообщение «Известий» заметили далеко за пределами изданий «фабрики медиа» — от журнала «Радиочастотный спектр», издаваемого при поддержке Роскомнадзора, до сайтов федеральных телеканалов и главных информагентств. С Евгением Венедиктовым поговорил «Интерфакс» («Анонимность пользователей Telegram поставили под сомнение»), узнав у него примерно то же, что и «Известия». Корреспондент «Известий» Владимир Зыков дал комментарий сайту «Экономика сегодня», входящему в «фабрику медиа» («За что боролись: анонимность Telegram оказалась политическим пиар-ходом»); он снова представился директором «ассоциации профессиональных пользователей». Несколько СМИ выступили с критикой заметки «Известий». «Лента.ру» написала, что способ вычислить анонимов в Telegram «оказался сомнительным», а Pravda.ruназвала свою заметку «Деанонимизация „Телеграма“ оказалась старой уткой» (оба издания ссылались на Скуратова из ComBot). Издание Insider сообщилоо «фейке российских СМИ», а в Regnum вышла статья программиста издания о «желтой сенсации». СК закупает «волшебные чемоданы», взламывающие Telegram В чем суть: 13 августа Би-би-си рассказала, что летом 2018 года военное управление Следственного комитета закупило два комплекса Forensic MagiCube от китайской компании MeiyaPico. Эти комплексы используются для извлечения данных из телефонов и компьютеров; за них заплатили пять миллионов рублей. В технической документации к тендерам можно найти список из нескольких десятков пунктов, посвященный тому, какие функции должно выполнять покупаемое оборудование. В частности, это: извлечение информации из памяти телефонов под управлением iOS и Android; экспорт из этих устройств содержимого телефонной книги, SMS, MMS, списка звонков, фото, видео и аудиозаписей; восстановление удаленных фотографий; поиск информации о геолокации, которую сохраняли радиомодули в памяти телефона; автоматическое получение повышенных прав доступа в айфонах и «андроидах» (те самые root-права и их аналог в iOS); распознавание лиц на фотографиях и группировка по степени схожести; поиск информации в приложениях Twitter, Facebook, а также почтовых клиентах; извлечение истории поисковых запросов в браузерах; расшифровка истории сообщений в мессенджерах (Skype, WhatsApp, Telegram, Viber, WeChat и Line). Это страшно? Звучит довольно страшно, но для окончательных выводов информации мало. Главное, что нужно понять: MagiCube используется не для перехвата сообщений между пользователями, а для анализа (и, возможно, извлечения) истории переписки на конкретном устройстве, которое окажется в руках следователей. На это же указал руководитель лаборатории компьютерной криминалистики Валерий Баулин в интервью «Дождю»: «Данное устройство не перехватывает сообщения в момент их отправки, в момент получения». Гендиректор компании «Эстер Солюшнс» Дмитрий Сатурченко (она связана с поставками MagiCube) рассказал Би-би-си, что оборудование китайской компании якобы взламывает iPhone 7 и 8 за девять минут, тогда как израильской компании Cellebrite (она тоже поставляет оборудование правоохранительным органам разных стран) на это нужно больше суток. Владимир Каталов, гендиректор «Элкомсофта» (его компания также предлагает криминалистам программы для извлечения данных из устройств), в разговоре с «Дождем» поставил под сомнение оценку в девять минут: он уверен, что это время скачивания данных с разблокированного айфона, но никак не взлома того, что защищен паролем. На взлом айфонов, утверждает Каталов, способны только две компании — причем только израильская Cellebrite работает за пределами Северной Америки, но с определенными условиями. Это похоже на правду: MeiyaPico очень уклончиво говорит об извлечении данных из айфонов. Описание работы с Android куда четче: «Функция „разблокировка экрана“ хорошо поддерживается для телефонов под управлением Android от китайских брендов, таких как Huawei, Xiao, MI [она же Xiaomi], Oppo, Vivo и других». В одном из двух контрактов Следственного комитета фигурируют не только продукты китайской компании, но и программы от израильской Cellebrite. Правда, они работают только с давно устаревшей iOS 7. И, судя по официальному видео разработчика, для успешного взлома требуется, чтобы владелец забыл настроить автоматическую блокировку или удаление всех данных с айфона после серии неудачных попыток подобрать пароль. Компания MeiyaPico называет Telegram и WhatsApp среди приложений, которые она умеет «анализировать» и, судя по промоматериалам, даже находить какие-то сообщения. Но как и с какими ограничениями работает эта функция, неясно. Как об этом писали СМИ Би-би-си: «Следственный комитет России закупает „волшебные кубы“ из Китая для взлома Telegram»; Regnum: «Китайский волшебный кубик поможет Следственному комитету взломать Telegram»; «Лента.ру»: «Следственный комитет закупил устройства для взлома Telegram»; «Московский комсомолец»: «Следственный комитет взломает Telegram китайским волшебным способом»; BFM: «СМИ: „Волшебный куб“ из Китая взломает Telegram для СКР за 9 минут»; «Царьград»: «Британские журналисты обвинили Россию в желании взломать любой смартфон за 10 минут». СМИ из «фабрики медиа» вообще обошли стороной эту тему — «Медуза» не нашла ни одного упоминания MagiCube или желания СК взламывать Telegram на сайтах медиахолдинга, освещавших другие «уязвимости». 14 августа, на следующий день после публикации Би-би-си, сайт «Инфореактор» рассказал, что мессенджеру исполнилось пять лет, — в заметке также не было ни слова про «волшебные кубы». Как общаться в Telegram, чтобы спать спокойно поставьте пароль на вход в приложение Telegram; сделайте этот пароль действительно надежным — не 4 цифры, а длинная фраза из букв и цифр; для важных разговоров используйте только секретные чаты с таймером — сообщения будут удаляться автоматически через заданное время; в секретных чатах и во время звонков сверяйте секретные коды с собеседником, а в случае малейших подозрений сбрасывайте чат и создавайте новый; устанавливайте обновления операционной системы; держите свой телефон при себе.
  2. Есть дропы с картами сбер альфа почта и в принципе под заказ любой банк работаю без предоплаты если устраивает пишите приму любую сумму но только честями на любой банк