Comments 118
Пруфы взлома, конечно, железобетонные.
«Если коробка квадратная, значит внутри круглое, если круглое — значит, дуров виноват».
естественно, а вы 24/7 записываете свой экран, ожидая того, что Дуров вам что-то сделает?
Вот и мы нет, но к сожалению все было так, как было.
Вот и мы нет, но к сожалению все было так, как было.
К сожалению, аргументы «у меня нет ничего, что могло бы доказать мою правоту, но вы мне верьте» плохо работают в сообществе более-менее критически мыслящих людей.
Поэтому нет, я вам не верю.
Поэтому нет, я вам не верю.
Вообще, лично я подумываю накатать скрипт-обёртку для ffmpeg, который записывал бы экран 24/7 (с автоматическим удалением старых ненужных записей). Чтоб редкие баги ловить, например
Никогда не было сомнений, что телега более связана со структурами чем другие мессенджеры, хотя бы по причине пиара самими же структурами.
Увлекательная история, даже если придуманная. Любопытна схема раскрытия связи учётки в ВК с учеткой в ТГ — откуда взяты первичные данные?
Английский плакать язык.
"Is this can't harm", "can you" вместо "could you please"...
А можт can you please и could you?
UFO just landed and posted this here
Но, судя по объяснению администрации ТМ, проблема не только с английским.
Это точно.
Извиняюсь, если кого задел, однако же, стриггерился на «could you please» – учили, что это могут воспринять, как сарказм, и что, мол, клиента принимают за твердолобого.
P.S. «Would you be so kind as to» – благодарю за напоминание, и вправду отличный вариант.
Would you kindly
Заголовок спойлера
Кто вы? Делая такие заявления, назовите свое имя, раз уж вы пишите такое рядом с именем другого человека. Вам очевидно нечего бояться, anyway
по приглашению НЛО
Админы Хабра набрасывают )
по приглашению НЛО
Такая надпись появляется у всех тех, кто пришёл через песочницу (за исключением тех редких случаев, когда инвайт за песочный пост дал кто-то из Хабрапользователей) :)
UFO just landed and posted this here
Все хотят пириться с операторами, владеющими большим количеством IP.
А номер телефона откуда взят?
Все равно ни один из тех хомячков, что топили тут за безопасность телеги от него не откажутся.
От фейсбука же не отказались, клоуны.
Конечно не откажусь. ТГ пока что остается одним из наиболее удобных месседжеров на мобильных устройствах, если не самым удобным. Для безопасности есть чаты с E2E-шифрованием.
UFO just landed and posted this here
Conversations смахивается легким движением женского пальчика — и всё. Абонент оффлайн.
Или просто умрет по OOM.
И ты об этом никак не узнаешь, пока не перезапустишь. Потому что пушей в XMPP нету. Когда нужна надежная, конфиденциальная, оперативная mobile-first связь, Conversations тихонько плачет в сторонке.
Я уж молчу, что год назад он всё ещё не умел инлайнить картинки, в то время как в телеге это было из коробки пять (!) лет назад.
Это всё — удобство?
Или просто умрет по OOM.
И ты об этом никак не узнаешь, пока не перезапустишь. Потому что пушей в XMPP нету. Когда нужна надежная, конфиденциальная, оперативная mobile-first связь, Conversations тихонько плачет в сторонке.
Я уж молчу, что год назад он всё ещё не умел инлайнить картинки, в то время как в телеге это было из коробки пять (!) лет назад.
Это всё — удобство?
Я его сейчас попытался у себя смахнуть — он не смахивается и возвращается на место, продолжая держать соединение и болтаться в области уведомлений. Что я делаю не так?
И пуши в XMPP давным-давно есть. И версия Conversations из Google Play их умеет.
Год назад не умела и прекрасно смахивалась, когда вся эта свистопляска с блокировками началась. Мы оценивали альтернативы и стоимость их поддержки для крупного комьюнити, и в итоге решили, что поддержка прокси — дешевле, чем пересаживать толпу народу на Conversations, объяснять как ставить плагин шаринга локации и войсов, и вообще страдать из-за отсутствия feature parity у альтернатив.
У меня и два года назад не смахивалась, я пробовал.
А вообще расскажите о своём опыте где-нибудь здесь, а то там автор слишком фанатик)
Смысла не вижу. Автор — фанатик, а мне — ехать а не шашечки.
UFO just landed and posted this here
Однажды мы сидели занимались своими очень продуктивными делами
Не совсем понятно, кто «мы»? Специалисты по информационной безопасности? Операторы? Анонимусы с двача?
UFO just landed and posted this here
Логика«разоблачения» критически ниже уровня адекватности и технической грамотности пользователей ресурса, на котором оно опубликовано. Да ещё и автор, который зарегистрировался пару дней назад и статей у него нет…
Комментарий администрации Хабра первый раз вижу в посте, но очень в тему! Спасибо администрации.
Комментарий администрации Хабра первый раз вижу в посте, но очень в тему! Спасибо администрации.
UFO just landed and posted this here
Очень возможно, что статью пропустили тут потому, что иначе начались бы обвинения в «замалчивании важной информации» и «потокательстве». То есть примерно те же причины, почему авторитетный The lancet когда-то вынуждены были опубликовать не выдерживающее никакой критики письмо Пуштаи. Потому что отреагировать как было бы разумно (игнором) было бы не разумно в перспективе.
Больше похоже на «они следят только за теми, у кого паранойя» :))
не вредит ли это безопасности инфраструктуры мессенджера
А как стык с провайдером, пусть даже «вражеским» может вредить инфраструктуре мессенджера?
Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.
Как-то странно выглядит административный доступ к учётке.
После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.
Он начал
«После того» не означает «вследствие того». Особенно на фоне того, что ответ на заданный вами ему вопрос очень простой — «никак не вредит».
Отдельный минус — кликбейтный заголовок. В статье никак не объясняется, где же этот самый обещанный «слив нас Ростелекому». Тут же всё-таки Хабр а не, прости господи, Аккет.
Друг переименовывает себя в Pavel Durov, загружает нужное фото = profit, теперь можно делать заявления, что Павел такой плохой… и он всех обманывает и т.д.
Бред.
Бред.
А чего вы ждали, первым начав попытки сброса паролей в VK? Да, Вам прилетела ответка в виде мелкого троллинга. Ведь никто и ничего не пострадало?
Если вы считаете админ-произвол с доступом к персональным данным клиента «мелким троллингом», то вы явно не понимаете, что такое репутация бизнеса.
Почему Вы и автор поста утверждаете о доступе к сообщениям аккаунта?
Удаление сообщений можно было выполнить без прочтения (да, через базу), а сообщение о входе специально подделано.
У меня же точка зрения такова — автор придумал всю эту историю. Доказательств то нет.
Удаление сообщений можно было выполнить без прочтения (да, через базу), а сообщение о входе специально подделано.
У меня же точка зрения такова — автор придумал всю эту историю. Доказательств то нет.
Я утверждаю, что доступ к сообщениям — не мелкий троллинг. Я не утверждаю, что он был, я лишь отвечаю вам на ваше высказывание о приемлемости таких шалостей. Согласен с вами, что пруфов реальности этой истории — нет.
Простите, а как же telegram.space?
На секундочку:
1)Этот домен нигде ранее не светился
2)Он не заблокирован в РФ
Я не хочу ничего лишнего говорить, но уже тот факт, что он банально всплывает в каком-то «левом» посте про то, как кого-то ломали… Ну такое себе получается на самом деле.
На секундочку:
1)Этот домен нигде ранее не светился
2)Он не заблокирован в РФ
Я не хочу ничего лишнего говорить, но уже тот факт, что он банально всплывает в каком-то «левом» посте про то, как кого-то ломали… Ну такое себе получается на самом деле.
$ http desk.telegram.space
HTTP/1.1 301 Moved Permanently
Connection: keep-alive
Content-Length: 185
Content-Type: text/html
Date: Fri, 21 Jun 2019 08:04:59 GMT
Location: https://telegram.space/
Server: nginx/1.12.2Т.е. не вижу подтверждений, и еще — telegram.space есть в индексе, значит уже засветили.
Имхо выглядело более правдоподобно, если бы «вход» был с IP Telegram, на котором и веба то нет.
При сбросе по номеру, когда показывается «это вы?» и аватарка — еще не отправляется код. Но данный способ верификации сомнительный, можно и другой аккаунт на этот номер зарегать с такой же аватаркой. Там данных теперь при восстановлении показывается — кот наплакал.
Из статьи так и не понял, как телеграм сливает меня ростелекому
Ваша правда или нет не имеет никакого значения. Если вы до этого верили про самый безопасный, то тут лишь ваша ошибка.
P.S. Не может безопасность и анонимность, в наше время, быть столь удобной и простой, да ещё и бесплатной.
P.S. Не может безопасность и анонимность, в наше время, быть столь удобной и простой, да ещё и бесплатной.
Теоретически оно может быть бесплатным какое-то время для захвата рынка. Например возможно что Дуров собирается как-то монетизировать телеграмм за счет вводимой валюты (правда я лично понятия не имею как это должно работать). Либо начать продавать какие-то данные в какой-то момент. То что сейчас удобно и безопасно (если это так), то это совсем не значит что прямо сейчас кому-то что-то в тайне от нас продают. Обратного естественно это тоже не значит, я скорее о том что ваши выводы не совсем обоснованны, а не о том что они неверны.
Ну вы верно подметили «бесплатным какое-то время» и удобным. Далее встаёт проблема что ваша безопасность и анонимность стоит денег(серверные мощности и список прокси как я понимаю). И вот тут я считаю что пока единственный выход для монетизации светить данные о вас в максимально обезличенной форме по которым правда возможна ваша идентификация. Анализ переписки я думаю все же ведётся но не форме полной засветки, а по категории интересов и геолокации этих интересов.
А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона? А касательно телеграма я давно сделал определённые выводы. Я считаю что все популярные мессенджеры так или иначе под колпаком у каких либо спецслужб, и прочих заинтересованных лиц. А если кто то хочет реальной безопасности, то есть такие вещи как Jabber + OTR, Tox, Ricochet и т.п., они как минимум имеют открытый исходный код. А ещё лучше, вообще не использовать для таких задач общедоступные компьютерные сети, а если и использовать то делать это как можно более нестандартно.
К автору статьи тоже есть определённые претензии, когда его «взламывал» Дуров (если таковой факт имел место) почему он не наделал скриншотов, тексты и я могу сочинить какие угодно, и IP какой угодно в них дописать (хотя скрины тоже можно подделать конечно, но несколько сложнее). Да и сам он какой то скажем так мутный, зарегистрировался и сразу накатал провокационную статью, возможно и правда чей то троллинг, ибо не очень я верю что если то о чём пишет действительно имеет место быть, оно будет так легко палиться (хотя, как говорится, миром правит не тайная ложа, а явная лажа).
К автору статьи тоже есть определённые претензии, когда его «взламывал» Дуров (если таковой факт имел место) почему он не наделал скриншотов, тексты и я могу сочинить какие угодно, и IP какой угодно в них дописать (хотя скрины тоже можно подделать конечно, но несколько сложнее). Да и сам он какой то скажем так мутный, зарегистрировался и сразу накатал провокационную статью, возможно и правда чей то троллинг, ибо не очень я верю что если то о чём пишет действительно имеет место быть, оно будет так легко палиться (хотя, как говорится, миром правит не тайная ложа, а явная лажа).
А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона?А каким образом это влияет на безопасность? С двухфакторной авторизацией даже перехват SMS не страшен.
А каким образом это влияет на безопасность?
Приватность — не часть безопасности? Требуя привязки к номеру — поставщик услуги получает привязку реальной информации о клиенте.
Можно по подробнее. Перехват смс вроде как как раз таки проблема?
При включённой двухфакторной авторизации кроме кода из SMS требуется пароль, хранящийся в голове владельца.
Процесс восстановления пароля через смс?
Нет, через почту. Причём, если в этот момент есть активные сессии с другого устройства, то надо ввести код, который приходит через Telegram на это самое другое устройство.
Т.е., если товарищ майор захочет почитать мою переписку, ему понадобится сперва получить доступ к клиенту, установленному на одном из моих устройств, а потом ещё и физически выбить из меня пароль (либо взломать почту).
Т.е., если товарищ майор захочет почитать мою переписку, ему понадобится сперва получить доступ к клиенту, установленному на одном из моих устройств, а потом ещё и физически выбить из меня пароль (либо взломать почту).
Ну это уже плохо сделанная двухфакторка. Должны быть разные каналы.
UFO just landed and posted this here
В традиционных сервисах у вас изначально есть пароль, а второй фактор — код из SMS (не очень хорошо)/пароли из OTP-приложения и т.д.
В Telegram, в силу его привязки к номеру телефона, у вас изначально есть SMS-код, который вы усиливаете (по желанию) паролем. Причём, если вы уже на одном из устройств с этого аккаунта залогинены в Telegram, то SMS-код у вас вообще не спросят, а пришлют код через Telegram (в этом случае, злоумышленник не имеет никакой возможности прочитать вашу переписку, перехватывая SMS).
В Telegram, в силу его привязки к номеру телефона, у вас изначально есть SMS-код, который вы усиливаете (по желанию) паролем. Причём, если вы уже на одном из устройств с этого аккаунта залогинены в Telegram, то SMS-код у вас вообще не спросят, а пришлют код через Telegram (в этом случае, злоумышленник не имеет никакой возможности прочитать вашу переписку, перехватывая SMS).
В случае с tg даже при наличии двухфакторной авторизации можно было получить контроль над чужим аккаунтом если перехватить sms. Справедливости ради контакты и история удалялись (хотя я хз как там облачная история работает, может ее можно было вернуть). И вроде Дуров за ошибк это не считает.
Историю вернуть невозможно. Но атакующего в большинстве случаев интересует именно переписка, а не отжать голый аккаунт (настоящий владелец, обнаружив, что его симку перевыпустили и отдали злоумышленнику, пойдёт разбираться и вернёт себе контроль).
И вроде Дуров за ошибк это не считает.Логично, это вытекает из привязки к номеру телефона. В противном случае, например, при покупке сим-карты и попытке зарегистрироваться с её помощью в Telegram, вы могли обнаружить, что этот номер уже использовался в Telegram (этим номером до вас кто-то владел) и у вас не было бы возможности свой свежекупленный номер использовать (что-то подобное происходит в случаях, когда вы покупаете симку и вам начинают названивать коллекторы в поисках предыдущего владельца, делая затруднительным пользование этим номером).
Атакующего может интересовать возможность кому-то что-то отправить от чьего-то лица.
Атакующему придётся выждать неделю между удалением аккаунта и регистрацией нового на этот номер. За эту неделю настоящий владелец имеет возможность увидеть и отменить запрос на удаление аккаунта.
Не каждое дело — срочное.
Ну, если пользователь видит, что его аккаунт собираются удалить и забивает на это аж целую неделю, то ССЗБ.
Ещё можно обнаружить, что сим-карта в телефоне работать перестала (злоумышленник подделал доверенность и перевыпустил её) и забить — ну привязан к ней онлайн-банк, подумаешь…
Вообще, проблема решается просто: при сбросе аккаунта нужно отправлять всем, у кого с этим аккаунтом есть переписка, сообщение «собеседник сбросил аккаунт», чтобы люди знали об этом факте (не знаю, делает ли так Telegram) и держали в уме вероятность, что сегодня «на том конце» уже не тот, кто был вчера.
Ещё можно обнаружить, что сим-карта в телефоне работать перестала (злоумышленник подделал доверенность и перевыпустил её) и забить — ну привязан к ней онлайн-банк, подумаешь…
Вообще, проблема решается просто: при сбросе аккаунта нужно отправлять всем, у кого с этим аккаунтом есть переписка, сообщение «собеседник сбросил аккаунт», чтобы люди знали об этом факте (не знаю, делает ли так Telegram) и держали в уме вероятность, что сегодня «на том конце» уже не тот, кто был вчера.
Пользователь может быть по разным причинам уже не в состоянии проконтролировать или сообщить о несанкционированном доступе к его учетной записи своим доверенным лицам.
Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.
Всегда можно придумать частный случай «пользователь запускает клиент раз в 2 месяца, при этом он одновременно умудряется быть интересной целью, чтобы от его имени кого-то развести», но идеальной защиты не бывает.
В конце-концов это вообще без Telegram можно провернуть. Перевыпускаем симку и отправляем банальное SMS приятелю жертвы «Коля, не могу говорить, срочно нужны деньги вот на эти реквизиты, подробности потом». А Коля сочёт SMS с этого номера доверенным. Сейчас уже все наслышаны о разводе, когда такие SMS шлют с незнакомых номеров, а вот когда оно приходит со знакомого номера… представьте, что вы такое получаете с номера члена семьи — тут и повестись недолго.
Всегда можно придумать частный случай «пользователь запускает клиент раз в 2 месяца, при этом он одновременно умудряется быть интересной целью, чтобы от его имени кого-то развести», но идеальной защиты не бывает.
В конце-концов это вообще без Telegram можно провернуть. Перевыпускаем симку и отправляем банальное SMS приятелю жертвы «Коля, не могу говорить, срочно нужны деньги вот на эти реквизиты, подробности потом». А Коля сочёт SMS с этого номера доверенным. Сейчас уже все наслышаны о разводе, когда такие SMS шлют с незнакомых номеров, а вот когда оно приходит со знакомого номера… представьте, что вы такое получаете с номера члена семьи — тут и повестись недолго.
Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.
Узко мыслите, клиент вообще может быть выведен тем или иным способом за скобки — это уже не его проблема, это уже проблема его доверенных лиц, которые получат якобы от него какие-то сообщения, ответы на которые могут им очень дорого стоить.
У меня как-то раз увели акк (другого сервиса), там тоже была ссылка «это не я» со сроком примерно в неделю. Проблема была в том, что я месяц был без интернета и не мог нигде ничего нажимать.
тогда проще зарегать аккаунт на номер от сервиса бесплатного приема смс. (я так делал, это работает, проблема только по перебирать номера и найти тот который ни кто еще не успел использовать)
Безотносительно темы обсуждения, заинтересовала игра слов здесь:
А касательно телеграма я давно сделал определённые выводы.и по вашей ссылке:
В данном посте я не собираюсь делать какие то выводы и строить какие то конспирологические теории, каждый сделает выводы для себя сам, я же буду оперировать лишь голыми фактами.
они как минимум имеют открытый исходный код
У клиентов Telegram тоже открытый исходный код, и этого более чем достаточно, так как каждый может проверить реализацию end-to-end шифрования и по желанию собрать клиент из исходиков самостоятельно
(Впрочем, обычные чаты всё равно незашифрованы, и это уже фатальный недостаток Telegram)
UFO just landed and posted this here
Интересно, сколько такого рода сообщений в день поступает Дурову.
Какой-то адский ад. РТК в пирах приравнивается к сливу, бредовые рассуждения про "административные инструменты" для "взлома", и не менее бредовые "пруфы" при том что при полном доступе к серверам (который у Дурова несомненно при необходимости есть) чтобы что-то там потереть или перехватить (кроме e2e чатов) вообще почти ничего делать не надо.
Какой-то третьесортный вброс. Как это оказалось в моём уютненьком? Загадка.
Спасибо администрации за комментарий прямо в пост)
Тоже мне новость! Всем же известно, что телеграм — проект фсб, а Дуров — полковник фсб на задании.
Ps школьникам во время каникул лучше подтянуть английский (‘is this can’t’), а не разоблачать телеграм
Ps школьникам во время каникул лучше подтянуть английский (‘is this can’t’), а не разоблачать телеграм
Хорошо говорить о школьниках, плохо наблюдать средний ужасный уровень английского в среде IT-специалистов во время вопросов англоязычным докладчикам на конференциях.
Там еще «network have» в первом предложении. Складывается ощущение, что это очень неумелая попытка вброса.
Или научиться пользоваться Google Translate. Он конечно коряво переводит, но качество всё равно будет существенно выше, чем в приведённом в статье сообщении.
Чем ближе граммы, тем больше подобных статей.
Шутки про «Жаров перелогинься» были?
Вопросы безопасности Telegram
Telegram, MTProto 2.0, и все-все-все
www.atraining.ru/telegram-mtproto-2-0-security-questions
Ох и дурачки же, это очередной хайп телеги, ну не может уже привлечь внимание, что у дурова осталось, крипту свою выпустить и медленно умирать, ожидая перевод ботов и каналов в вацап?
UFO just landed and posted this here
UFO just landed and posted this here
Если хочешь, чтобы твой трафик перестали сливать, то выдерни сетевой кабель и переведи все устройства в автономный режим. В противном случае провайдеры будут обмениваться между собой твоим трафиком, сливая его налево и направо. С подключением к Интернету!
Sign up to leave a comment.
Как Telegram сливает вас Ростелекому