Про телеграм

[vitus_wagner]

https://theoutline.com/post/2348/what-isn-t-telegram-saying-about-its-connections-to-the-kremlin

Замечательное поливание телеграма грязью. Журналисты нашли бывшего сотрудника Telegram, который поцапался с Дуровыми по причине любовного треугольника, а потом еще судился с ними за незаконное увольнение (и получил встречный иск по поводу разглашения коммерческих секретов в ходе судебного процесса) и смакуют его откровения.

И теперь этот скандал обсуждают на слешдоте.

Впрочем, надо сказать, что меня всегда удивляло, почему это Телеграм не был заблокирован в России в мае вместе с другими мессенжерами.

Впрочем, я не доверяю любым интернет-протоколам, которые завязаны на сервер определенной компании. Они уязвимы по определению. Защищены против атак в легальном поле только протоколы, которые позволяют пользователям создавать собственые сервера и при этом оставаться на связи с пользователями других серверов, такие как E-Mail и XMPP.

Comments

[pascendi]

меня всегда удивляло, почему это Телеграм не был заблокирован в России в мае вместе с другими мессенжерами

Немало удивился, поскольку все мессенджеры, которыми люди в России регулярно пользуются, работают себе и в ус не дуют.

[vitus_wagner]

Работают те, кто зарегистрировался и сливает данные властям.
Дуров бьет себя пяткой в грудь и утверждает что этого не делает и не будет делать никогда.

[maksa]

Блокируют же только маргинальные. Ну как заблокировать «Телеграм», если им твой ребёнок пользуется?

[vitus_wagner]

А если не заблокировать, то завтра твой заместитель напишет на тебя донос и сядет на твое место.

[maksa]

По факту — не блокируют.

[vitus_wagner]

Что вызывает подозрения, что Дуров врет, утверждая, что не сотрудничает с органами.

Потому что

[live_on_tormans]

Очевидная вещь: Telegram требует регистрации по номеру телефона. Неочевидная вещь: люди думают, что если они указали при регистрации некий nickname и в дальнейшем контактировать с людьми по этому никнейму, якобы их телефон никто никогда не узнает.

Это не так.

Если ваш телефонный номер по тем или иным причинам оказался в адресной книге у вашего собеседника, он видит соответствие вашего никнейма этому номеру телефона. Т.е. даже если он не знал, что вот этот номер связан с вот этим никнеймом. Для него это может быть сюрпризом типа: "Вася, это ты?!"

Ровно таким же способом техническая служба ФСБ при содействии оперативной работы может без каких-либо специальных технических мероприятий, направленных на сервера Telegram или что угодно, связанное с этим, пробивать телефоны различных лиц (не всех, но очень многих; большинства). Поясню, как это работает. Ведется оперативный учет различных лиц и их телефонов (контактов). Составляется база этих телефонных номеров, их контактов, номеров их контактов и т.д. Условный такой граф телефонных контактов (глубина может быть очень большой). Такая база очень большая и очень специфичная, когда учет всех ведется централизованно, в одном месте, куда все стекается.

После этого, все эти телефонные номера выгружаются в адресную книгу одного смартфона/приложения. И через Telegram добавляются нужные люди по никнеймам (любые). Далее проверяются соответствия никнеймов телефонам.

via https://sporaw.livejournal.com/490067.html

Re: Потому что

[alexkuklin]

привязка мессенджера к телефону - зло!
абсолютное и безусловное.

Re: Потому что

[astarsan]

я бы сказал что привязка физлица к телефону - зло абсолютное и безусловное ;).
А проблемы с мессенджерами - они только следствие.
Ну и конечно Tox рулит (хотя походу как то развитие остановилось за последний год).

Re: Потому что

[vitus_wagner]

SIM по определению есть subscriber identification module.
Поэтому привязка сим-карты к физлицу это по построению ГСМ-сети. Так задумано.

А проблемы с мессенджерами из-за того что людей приучили к идее идентификации человека.

Сейчас по-моему рулит не Tox, а GNU Ring.

[maksa]

Subscriber ≠ физлицо. Собственно, наличие двухсимочных аппаратов более чем достаточно для понимания этого, но это как раз частности.

Re: Потому что

[avnik]

у tox/ring один фатальный недостаток, ими пользуется полтора гика

Re: Потому что

[rednyrg721]

зло, но тем не менее закон о привязке уже подписан и вступит в силу с первого января

останутся незаблокированными только те, что через tor работают и p2p

Re: Потому что

[alexkuklin]

это ваши локальные страновые заморочки, я про общую ситуацию.

и даже привязку к телефону можно сделать как в гугле, где аккаунт привязывается так, что телефонов может быть несколько, и они не видны другим пользователям.

Re: Потому что

[vitus_wagner]

Вообще-то спецификации протокола и исходники клиента у телеграма вполне открыты. Так что можно не гадать на кофейной гуще, а взять и посмотреть при каких именно обстоятельствах сервер телеграма рассказывает клиенту о соответствии никнейма и номера телефона.

И вообще надо использовать telegram desktop. Он не имеет доступа к телефонной книге (особенно если в jail-е запущен).

[livelight]

telegram desktop при установке спрашивает номер зарегистрированного в телеграмме телефона, отправляет туда СМС и спрашивает проверочный код. После чего у приложения телеграмма на смартфоне и приложения телеграмма на десктопе даже история сообщений общая -- для чего, собственно, telegram desktop и сделан, поскольку в качестве десктопного IM он очень убог, а вот в качестве десктопного дубля смартфонного телеграмма весьма полезен.

[vitus_wagner]

Не надо иметь на смартфоне приложение телеграм.
Потому что оно лезет в телефонную книгу и вообще ведет себе нехорошо.
А телеграм десктоп, несмотря на его опенсурсностЬ, надо держать в контейнере, где нет ничего кроме телеграма.

Телеграм в качестве мессендера, безсусловно убог. Он нужен исключительно ради общения с теми странными людьми, которые хотят им пользоваться.

А на смартфоне вообще нужно держать минимум мессенджеров. Я там последнее время и скайп не держу (разница в том, что контакты в телеграме у меня в основном рабочие, а в скайпе в основном личные). Ибо если я не за компьютером, нефиг долбиться ко мне мессенджером.

[livelight]

Можно не держать в смартфоне приложение телеграм, но привязка к телефонному номеру всё равно будет, и вышеописанная атака остаётся возможной.

[vitus_wagner]

Какая атака? Получить доступ к содержимому моей телефонной книжки, телеграм десктоп не может. Потому что в том контейнере, в котором он запущен, ее просто нет.

Получить досуп к моему гугловскому аккаунту он тоже не может потому что не дам я некту пароля от гугловского аккаунта, хоть он дерись.

Впрочем гугль доступа к моей телефонной книжке тоже вроде бы не имеет. Поскольку всякие облачные бэкапы у меня отключены.

[livelight]

В начале данной ветки чётко описан вектор атаки: кто-то забивает в свой смартфон твой номер телефона и твой телеграммный ник -- и узнаёт про соответствие между ними.

[vitus_wagner]

На что я предложил посмотреть как это реализовано на уровне протокола.
Если можно узнать ник по номеру, то для того чтобы узнать номер по нику, нужно произвести DoS атаку на сервер. И, возможно, сервера телеграма от этого умеют защищаться, и аккаунт запросивший более, скажем тысячи номеров за короткое время - банится.

[livelight]

> аккаунт запросивший более, скажем тысячи номеров за короткое время - банится

А с чего бы? Нормальный юз-кейс: я держу в телефонной книге андроида (включая аккаунты гмейла, скайпа и чего-нибудь ещё) тысячу телефонных номеров, завёл телеграмм и стал подсоединять к себе всех видных оппозиционеров, чтобы обсудить с ними КНОР. В результате мой телеграммный клиент стал сверять их аккаунты на соответствие телефонам изо всех моих адресных книг.

П.С.: Как это реализовано на уровне протокола - смотреть ленюсь :)

Re: Потому что

[alexkuklin]

в 5 (при наличии permission manager) и в 6 и далее андроиде (штатно) можно запретить доступ в телефонную книгу.

В идеале - вообще без серверов

[schigi]

сгенерировал себе пару ключей и всё - аккаунт готов. А адрес - хэш публичного ключа, как сейчас в биткоине...

Re: В идеале - вообще без серверов

[vitus_wagner]

Так работают Tox и GNU Ring. Но это неудобно. Некуда складывать offline messages.

Re: В идеале - вообще без серверов

[schigi]

разделять клиентскую часть, где (и только там) хранятся только пары ключей, и сервер для хранения самих сообщений - владелец пары ключей регистрируется на любом таком сервере, хоть на сотне таких серверов и все сообщения для него и от него складываются там в шифрованном виде.

при этом клиентское ПО может включать в себя и серверную часть, которая установится как сервис/демон на компе, который онлайн 24x7. А на мобильных устройствах, например - только чисто клиентскую часть.

главное - при этом адрес сервера не является частью адреса клиента.

Re: В идеале - вообще без серверов

[vitus_wagner]

А почему собственно вам не нравится, что адрес сервера является частью адреса клиента? Электронная почта так уже полвека живет.
И XMPP мне нравится в том числе и потому, что адрес jabber может и должен совпадать с адресом электронной почты.

Re: В идеале - вообще без серверов

[schigi]

сервер может уйти в небытие...

Re: В идеале - вообще без серверов

[vitus_wagner]

Юзер, вообще говоря, тоже. Ну и что?
Корпоративный сервер обычно уходит в небытие вместе с корпорацией, ну или с полным отказом этой корпорации от использования данного способа коммуникации.

Ваш личный - уйдет в небытие тогда, когда он вам надоест.

Re: В идеале - вообще без серверов

[yurikhan]

Большинство пользователей, как почты, так и IM, вообще не хотят иметь себе личный сервер.

Re: В идеале - вообще без серверов

[vitus_wagner]

Из чего закономерно следует, что им рано или поздно придется сменить провайдера и оповещать все свои контакты, что адрес теперь другой.

Re: В идеале - вообще без серверов

[yurikhan]

Вот отсюда и мечты об идентификаторе, который менять не придётся никогда. Или хотя бы не мгновенно — чтобы у нового идентификатора была преемственность со старым.

Re: В идеале - вообще без серверов

[vitus_wagner]

Ну вот чем не устраивает людей в качестве такого идентификатора домен? Стоит в общем недорого.

Тут, собственно вопрос как раз в том, что нужен глобальный реестр, который будет независим от провайдера сервисов.
DNS таким реестром вполне является. Зачем, спрашивается изобретать еще что-то?

Re: В идеале - вообще без серверов

[zaharchenko]

А у DNS-а как реестра есть какие-то минусы для обычного пользователя?

Re: В идеале - вообще без серверов

[schigi]

DNS зависим от регистратора...

Re: В идеале - вообще без серверов

[yurikhan]

Домен надо арендовать и затем продлевать каждые n лет. Если этого не сделать, домен попадёт в чужие руки с вероятностью, заметно превышающей таковую для подбора приватного ключа.

На регистратора домена возможна атака типа «помогите нам сопоставить идентификатор с физическим лицом» (на конфиденциальность).

На регистратора домена возможна атака типа «прекратите делегирование домена» (на доступность).

Re: В идеале - вообще без серверов

[schigi]

или когда юзер уйдёт из этой корпорации, или когда провайдер уйдет в небытие... у меня в анамнезе есть оба этих кейса и к сожалению в обеих случаях админов не удалось уговорить поставить хотя бы редирект на новое мыло.

а почтовый адрес может использоваться не только для коммуникации, но и как канал для восстановления доступа к какому-то ресурсу.

Re: В идеале - вообще без серверов

[vitus_wagner]

А вообще хранение пар ключей только на клиенте - это достаточно стремное занятие. Клиентское устройство, особенно мобильное, весьма уязвимо. Опять же, есть задача связать между собой все ключевые пары клиента-человека, чтобы если у него хотя бы одно устройство online, он бы сообщение получил.

В GNU Ring это сделано, но сделано на мой взгляд, неудобно. Ограничение полчаса с момента получения кода связывания до его устаревания, это значит что если у меня дома установлен GNU Ring, то без использования промежуточного мобильного устройства я на работе его поставить не смогу. Потому что не успею доехать с кодом, выписанным на бумажку.

А Tox этого вообще не умеет.

Re: В идеале - вообще без серверов

[schigi]

защита от кражи - банальный пароль и прочие известные способы защиты.

защита от утери - распечатать на бумаге и в сейф, можно в несколько сейфов :)

чтобы связать - что мешает копировать эту пару ключей во все устройства?

Re: В идеале - вообще без серверов

[vitus_wagner]

Банальный пароль банарльно взамывается.

А скажем тот же GNU Ring не поддерживает распространение ключей по устройствам. Потому что ключ, который знают двое (два устройства), знает и свинья.

Re: В идеале - вообще без серверов

[schigi]

имхо, не надо додумывать за пользователя, ибо сохранить пару ключей - это уже его задача. Есть возможность задать пароль из 100500 символов? есть! Есть возможность вывести дамп ключей в текстовый файл? есть!

Всё, наша задача выполнена. А распознаванием пользователя по морде лица или бэкапом в облака - пусть занимаются те, кто хочет на этом заработать...

Re: В идеале - вообще без серверов

[inkelyad]

А скажем тот же GNU Ring не поддерживает распространение ключей по устройствам. Потому что ключ, который знают двое (два устройства), знает и свинья.
А разве, когда делаешь 'link device', у Ring ключевая пара на другое устройство не копируется? Ведь после этого учетка равноправно присудствует на обоих устройствах.

Re: В идеале - вообще без серверов

[inkelyad]

Если есть, куда скидывать offline messages, то есть сервер, свой или чей-то.
Ничего не мешает заменить/дополнить процедуру регистрации аккаунта на этом сервере шагом предстваления "вот это я", когда серверу объясняется, от имени кого именно он должен эти самые offline messages получать.