Показать сообщение отдельно
Старый 06.05.2016, 20:21   #198
Miguel
ЙцукенЪ!
 
Аватар для Miguel
 
Регистрация: 09.10.2014
Сообщений: 12,040
Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11Miguel 11
По умолчанию

Телеграмом я не пользовался ни разу,
но вот интересная инфа:

Как спецслужбы читают личную переписку россиян в приложениях
https://www.bellingcat.com/news/uk-a...16/05/06/9162/

Несколько месяцев назад я опубликовал статью об авторизации через
SMS-сообщения, которую написал после атаки на Telegram в Иране.
Недавно поступили сведения о новых попытках взломать учетные записи
пользователей этого сервиса в Иране и в России.

Олег Козловский – оппозиционный активист и директор фонда
«Образ будущего» (Москва).

Он написал в Facebook пост о том,
как был взломан его аккаунт Telegram.

В пятницу, 29 апреля, в 2:25 по московскому времени МТС отключил
сервис доставки SMS-сообщений на номер Козловского.
Через 15 минут после этого кто-то попытался зайти в его учетную запись
в Telegram.
По умолчанию (если не активирована двухфакторная
авторизация) авторизация учетной записи на новом устройстве
выполняется при помощи кода, который отправляется в SMS-сообщении.

В 3:08 злоумышленник ввел секретный код и получил доступ к аккаунту
Козловского. Из автоматического уведомления Telegram о входе с нового
устройства стало известно, что злоумышленник использовал интерфейс
консольную версию Telegram с IP-адреса, принадлежащего серверу
анонимной сети Tor.

Через четыре минуты с этого же IP-адреса был выполнен вход в учетную запись Telegram Георгия Албурова.
О других случаях взлома в эту ночь пока не сообщалось.
Вероятнее всего, злоумышленника интересовала история сообщений
(кроме сообщений из секретного чата, которые не хранятся) и список контактов.

Ночью Козловский спал и уведомление о входе с нового устройства прочитал только утром.
Он позвонил в контактный центр МТС, где после консультации с экспертным отделом ему сообщили,
что доставка SMS-сообщений на его номере действительно была отключена с 2:25 до 4:55
и что отключение произвел отдел технической безопасности компании.
В разговоре с представителем этого отдела Козловскому отказали.




СОРМ – российская система прослушки

Учитывая, что оба пострадавших являются политическими активистами, не исключено,
что их аккаунты были взломаны представителем государственных органов, сотрудничающих
с МТС на основании Закона «О связи».

СОРМ (Система оперативно-розыскных мероприятий) – это российский аналог реализации
Закона о помощи и содействии провайдеров телекоммуникационных услуг правоохранительным органам (США).
СОРМ была введена в 1996 году для прослушивания телефонных переговоров.
Со временем ее действие распространилась и на другие средства связи.

Зачем нужно было усложнять задачу и отключать сервис доставки SMS-сообщений,
если их можно было просто перехватить? Возможно, тот, кто хотел получить доступ к учетным записям активистов,
надеялся, что они об этом не узнают, если не получат соответствующие SMS-сообщения,
и не вмешаются в середине процесса, не позволив получить всю интересующую злоумышленника информацию.

Слабое место этой теории заключается в том, что при входе в учетную запись с нового устройства
пользователь получает автоматическое уведомление от Telegram.
То есть, даже не получив SMS-сообщение с кодом активации, Козловский мог бы сразу понять,
что что-то не так, прочитав это уведомление.
Более того, злоумышленник не выполнил выход из учетной записи. Получается, что Олег, проснувшись,
увидел его IP-адрес в разделе «Активные сеансы».
В общем, непонятно, почему нельзя было сделать то же самое простым перехватом SMS-сообщения.
Если злоумышленник хотел остаться незамеченным, то ему это, по правде говоря, не очень удалось.



Авторизация по номеру телефона

В большинстве систем мгновенного обмена сообщениями и в процессе двухфакторной
авторизации используется телефонный номер пользователя. Почему многие сервисы
применяют для авторизации номер, который обычно назначается государственным
оператором связи и по этой причине попадает под действие закона о прослушке, ведь
такой способ авторизации – ненадежное средство (ловцы IMSI, ОКС-7), особенно в том
случае, когда речь идет об активистах, выступающих против политики действующего правительства?

Этот способ обеспечивает удобство в использовании и рост аудитории.
Он позволяет получить доступ к контактам, которые уже имеются в телефоне пользователя
в других сервисах и приложениях. Зарегистрировавшись, пользователь может сразу посмотреть,
у кого из знакомых стоит такое же приложение.

Кроме того, нет необходимости хранить незашифрованный список контактов на сервере,
потому что все контакты пользователя содержатся в телефонной книге
(примечание: некоторые приложения, в том числе Telegram, не пользуются этой возможностью
и хранят копию телефонной книги в незашифрованном виде на своих серверах).

Есть и еще один фактор: организовать удобный для пользователя процесс авторизации
не так просто, поэтому применение чужой системы безопасности зачастую оказывается
хорошим решением. У большинства операторов сотовой связи есть процедуры (хотя и ненадежные),
согласно которым производится восстановление номера в случае потери или кражи телефона
или SIM-карты. Эти процедуры подразумевают удостоверение личности, но необходимые
для этого документы вполне можно подделать. В прошлом году неизвестные лица сумели
получить дубликаты SIM-карт двух журналистов «Новой газеты».

Очевидно, что процедуры восстановления номера имеют серьезные недостатки.
Активация через SMS-сообщения с кодом не гарантирует безопасность, в связи
с чем Павел Дуров порекомендовал пользователям из тех стран, где были совершены атаки,
активировать в своих аккаунтах двухфакторную авторизацию.


Для начала это действительно неплохая мера, но она может оказаться недостаточной,
особенно для жителей России и Ирана. Зная, что пользователь мог включить двухфакторную
авторизацию, злоумышленник попытается получить доступ к его сообщениям через людей
в списке его контактов.

Подобные случаи взлома можно эффективно предотвратить при помощи абонентского шифрования.
Тогда злоумышленники, способные перехватить SMS с кодом, не смогут авторизовать новое
устройство и получить доступ к истории сообщений.

Полагаю, из этой истории можно сделать следующие выводы:

Всегда используйте абонентское шифрование. Если предлагаемый процесс авторизации ненадежен,
установите доступ по отпечатку пальца для тех приложений, в которых вы обмениваетесь важной информацией.

Последний раз редактировалось Miguel; 06.05.2016 в 20:27.
Miguel вне форума   Ответить с цитированием