Как взломать Telegram и WhatsApp: спецслужбы не нужны

    На прошлой неделе общественность взбудоражила новость о возможной причастности спецслужб к взлому аккаунтов оппозиционеров в популярном мессенджере Telegram. На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб.

    Мы решили проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram. Для этого мы зарегистрировали тестовый аккаунт Telegram, обменялись несколькими тестовыми сообщениями:



    А затем мы провели атаку через сеть SS7 на один из тестовых номеров (подробнее о самих атаках мы писали ранее). И вот что у нас получилось:

    Сначала узнаем IMSI…





    Перерегистрируем абонента на наш терминал…



    Получаем профиль абонента…









    Завершаем процедуру перерегистрации абонента…



    Теперь номер жертвы под полным нашим контролем. Инициируем на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) — и получаем заветную SMS…



    После ввода кода мы получаем полноценный доступ к аккаунту Telegram. Теперь мы можем не только вести переписку от имени жертвы, но и прочитать всю переписку, которую клиент Telegram любезно подгружает (телефон справа имеет полную копию переписки телефона слева):



    Однако прочитать секретные чаты невозможно:



    Но можно создать новый — и переписываться от имени жертвы:



    После этого мы провели атаку по той же схеме на WhatsApp. Доступ к аккаунту мы конечно же получили, но так как WhatsApp (якобы) не хранит историю переписки на сервере, получить доступ к переписке, которая была ранее, не удалось. WhatsApp хранит backup переписки в Google Drive, поэтому для получения доступа к ней необходимо ещё взломать аккаунт Google. Зато вести переписку от имени жертвы, так что она не будет об этом знать – вполне реально:



    Выводы: уж сколько раз твердили миру, что передача одноразовых кодов посредством SMS — небезопасна, так как мобильная связь в целом небезопасна. Уязвимостям подвержена не только технологическая сеть SS7, но и алгоритмы шифрование радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. Стоит также отметить, что все тесты проводились с настройками по умолчанию, то есть в режиме, в котором работает большинство пользователей.
    Positive Technologies 186,57
    Компания
    Поделиться публикацией
    Комментарии 242
    • +24
      Для всех, кто ещё по каким-либо причинам не включил двухфакторную авторизацию: https://telegram.org/blog/sessions-and-2-step-verification
      • +39
        Аутентификацию.
        • +76
          Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.
          • +8
            Но ведь это и правда очень разные вещи — авторизация происходит после аутентификации. Идентифицирует клиент сам себя, обычно, не спрашивая сервер ни о чём («Привет, я Вася/+79876543210»), аутентифицирует сервер клиента, запрашивая пароль/ключ/whatever («Чем докажешь, что Вася, тот самый Вася?»), а авторизует уже сам сервер, не спрашивая клиента («Так, вот васины письма, можешь брать»).
            • 0
              И двухфакторная авторизация тоже могла бы быть — например, предоставление двух типов прав (например, при первом логине получить сначала права на вход в личный кабинет, а потом и к услугам, связанным с ним, возможно даже оффлайновым).
              • +2
                Двухфакторная авторизация есть в YouTube, когда для просмотра некоторых роликов нужно залогинится, а потом ещё и подтвердить, что есть 18 лет. :-)
                • –1
                  Тут нет двух разных факторов
              • +6
                Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет. Ну разве что какой-то программист с синдромом Аспергера видит задачу «сделать двухфакторную авторизацию», смотрит в словарь, пожимает плечами и делает авторизацию вместо аутентификации.
                • +1
                  Аутентификацию…
                  … пожимает плечами и делает аутентификацию
                  • +1
                    Люди, путающие «надеть» и «одеть» тоже, в общем, никому жить не мешают.

                    Но знать различие между аутентификацией (проверкой подлинности) и авторизацией (предоставлением или получением полномочий) таки не очень сложно. «Разница всё-таки есть».
                    • +1
                      Я тоже с трудом различаю эти понятия, попытаюсь переложить своим языком.
                      Вот мой отпечаток пальца, он может подтвердить, что запрос исходит оит меня, голос, радужка глаза, но и предоставление секретного пароля также подтверждает подлинную принадлежность запроса мне.

                      Предоставив системе подтверждение подлинности источника запроса «кто там? это я»
                      совсем не значит, что я получу полономчия. Система может не дать мне разрешение на действие. Например потому, что я за последний час три раза неверно вводил пароль и нахожусь под подозрением. Пустить пустит но делать ничего не даст.

                      Установление личности и проверка подлинности значит тоже две разные вещи. Тут посложнее. Обратимся к фольклору.
                      Волк и семеро козлят: голос козлята слышат мамин и фраза верная (аутентификация пройдена), но установление личности мамы козы они не открыв двери провести не могут.
                      Т.е. в моем понимании, если система проводит идентификацию, это очень суровая система. Если знать пароль или иметь палец или глаз от тела не достаточно, а нужно быть опознаным системой как пользователь.
                      Значит даже намеренно желая поделиться данными учетной записи с другом, (ну в играх например, довольно частое явление) система с идентификацией даст доступ только одному из пользователей, а именно искючительно истинному владельцу.
                      Т.е. в таком случая вероятна фраза типа: «Я бы тебе дал свой аккаунт, но система тебя не опознает. Мне придется каждый раз ехать к тебе в Рязань и проходить идентификацию на твоей машине ;) „
                      • 0
                        Попытаюсь переложить своим языком:
                        идентификация — указание (обычно своего) логина.
                        аутентификация — указание пароля для доказательства права так идентифицироваться, доказательство аутентичности идентификации.
                        авторизация — предоставление системой прав в системе согласно аутентифицированной идентификации.

                        В некоторых случаях схема может меняться в более хитрую или более простую форму для повышения параноидальности, либо для комфорта пользователя.

                        Двухфакторная именно аутентификация, так как доказывать право на идентификатор пользователь должен двумя слагаемыми — к паролю ещё и доказать, что указанный ранее сотовый находится в минутной доступности, то есть, условно сотовый «свой».

                        P.S. В разговорной речи для пользователя, не вникающего в тонкости безопасности, слова почти синонимичны. Поэтому пользователь выберет наиболее лёгкое для произношения, наименее ломающее мышцу языка. Это, лично для меня — «авторизоваться».
                        • 0
                          Пользователь выберет войти/зайти, ну или, в крайнем случае, залогиниться, и пошлёт к чертям все эти *кации.
                          • 0
                            Видимо переводчик lastpass'а тоже решил, что «log in» проще перевести как «Авторизация» чем языколомательное «Аутентификация»
                            https://lastpass.com/?ac=1&lpnorefresh=1
                            • 0
                              Log in — это процедура входа, состоящая из идентификации и аутентификации.
                              На русском можно написать — «Вход», «Войти».
                        • 0
                          Было бы проще понять разницу интуитивно / из контекста, если бы их так массово не путали :)
                        • +3
                          Не могу себе представить ни одного реального жизненного примера, когда незнание разницы между определениями аутентификации и авторизации на что-то влияет.
                          Серьёзно? Ну, вот вам пример: при входе на ваш сайт через соцсети эти самые сети берут на себя функции как раз идентификации (установления личности) и аутентификации (проверки подлинности, аутентичности), а на долю сайта остаётся только авторизация (предоставление прав в соответствии с ACL и прочим). Соответственно, ничего «двухфакторного» сайт при этом сделать не может (ну, разве что впилить костыль и делать аутентификацию ещё раз). Именно поэтому гугловский сервис называется Google Authenticator, и именно поэтому всю эту двойную аутентификацию и можно выделить в отдельный сервис — потому что это отдельная от авторизации часть.
                          • +2
                            На результат Cisco экзаменов для сертификации (не помню какой) CCNA или CCNP влияет. Там кроме Аутентификации и Авторизации еще и Акаунтинг есть :)
                            • +2
                              1. Идентификация — установление личности. Используется что бы показать вашу аватарку при логине на гуглы, фэйсбуки как пример. Так же для аналитики, выбора сценария аутентификации.
                              2. Аутентификация — подтверждение идентификации. При помощи различных факторов, которыми вы владеете, знаете вы доказываете системе что вы — это вы. Вот тут всплывают факторы: пароль, сетчатка глаза, доверенный компьютер.
                              3. Авторизация — подтверждение права выполнить то или иное действие. Наличие аутентификации может являться основанием для авторизации. А может и нет. Авторизация то же может быть многофакторной. Например подтверждение операции в интернет банке. Вы вроде бы и зашли уже, и права есть, но не помешает еще разочек подтвердить.

                              Эти понятия нельзя путать, так как это приводит к феерическому пиз**у при разработке мало-мальски сложных систем.

                              К слову User и UserAccount — то же разные вещи.
                              • 0
                                Ой, а расскажите пару примеров, как кто-то перепутал и это привело к феерическому пиз***у.
                                • +5
                                  Непонимание зон ответственности этих процессов ведет к тому, что компоненты системы начинают отвечать не за те функции а связи между ними некорректны.
                                  Самое простое — непонимание того, что OAuth2 — протокол делегированной авторизации, а не аутентификации. Их этого начинают вытекать нездоровые требования у ПМов, если никто не может их осадить, дальше начинаются костыли на ResourceOwnership и тд.
                                  Так же ведет к банальным дырам, необоснованным привилегиям у пользователя.

                                  Ignorant отношение вроде вашего не делает вам чести, просто говорит о том, что вы никогда серьезно не работали в этой области. Хотя кто-то и uuid считает за безопасный сессионный токен в распределенной системе и самоподписанные сертификаты на бою держит. Зачем разбираться то…

                                  • 0

                                    Вот вам пример:
                                    Одна фирма продала довольно сложный проект, в котором не в меру дотошный архитектор определил в условиях, что поддерживается сингл-сайн-он типа Negotiate или Kerberos. Ну бывают такие многословные писаки, т. е. а вдруг я чего-то не напишу, а потом придет пушной зверек (то что это работает и в обратную сторону, оне при этом не думают).
                                    Проект базируется на системе с довольно сложной собственной security-системой (т.е. собственными группами, ролями, правами и привилегиями).


                                    При этом он забыл (или не знал), что оба упомянутых — чистой воды авторизационные механизмы — т.е. грубо говоря позволяют (или запрещают) доступ к ресурсу. Иначе говоря, в отличии от тех же NTLM-ов, вы не получите не имени пользователя, не какого-либо другого идентификатора (только ответ да — авторизован, нет — идешь лесом).


                                    А это в свою очередь значит, что про собственный ролевой механизм можно забыть — т.к. тупо не удастся проверить какими правами и привилегиями в проекте он владеет (в каких группах находится и какие роли ему отвели).


                                    В данном конкретном случае это значит либо перетаскивать собственную ролевую систему чуть не полностью под винду (повторяю — система привилегий очень сложна), что есть геморрой на многие-многие человеко-дни.


                                    Либо как-то уговорить заказчика использовать другой сингл-сайн-он (например NTLM), который еще и аутентификационный, ибо позволяет получить имя пользователя с доменом, т.е. однозначно идентифицировать его в системе прав и привилегий проекта.


                                    Ну или как-то костылить, чтобы все таки каким-то образом сообщить серверу имя или идентификатор пользователя, как-то привязав его к токену соединения Negotiate или Kerberos...


                                    Достаточно феерически? И это на вскидку, из того что сразу вспомнил, а если подумать…

                                    • 0
                                      Вообще вроде с WindServer 2012 в в тикете катаются клэймы юзера ЕМНИП.
                                      • 0

                                        Ну-ну…
                                        Во первых, совсем не обязательно.
                                        Во вторых, емнип, там "катаются" только SAML-клеймы… Выдернуть из него или привязать как-то реального пользователя представляется мне довольно затратным делом.
                                        Ну и в третьих, на уровне того же SSPI это все для вас — blackbox, еще и с зашифрованным диалогом в довесок, — каким образом вы собираетесь оттуда чего-то там достать, не пользуя SSPI-API? Используя же последнее, вам не удастся получить информацию кто это только что завершил рукопожатие.


                                        Те же sharepoint-ы и иже с ними, требующие claims-auth, работают только потому, что управление группами там прямое, т.е. можно тупо спросить принадлежит ли connection-токен этого юзера такой-то "системной" группе (другими словами обладает ли некоторыми "системными" permissions).

                                        • 0
                                          С чего тяжело то? Катаются те, что настроите. Можно получить AccountName, PrimarySid, сиды групп. Проверить сиды групп на системные вообще не проблема.
                                          Enable Claims Support in Windows Server 2012 Active Directory
                                          Вы представляете или делали?
                                          Кейс — WCF + IntegratedAuth — Получаете готового принципала. Там есть ряд условий что бы Kerberos сагрился, но проблем нет. С вебом так же. Только есть пара нюансов и гемор в настройке.

                                          В принципе конечное приложение не должно с мучаться с этим. Настраиваете все для своего IdP, а приложение
                                          Ws-Fed или OIDC.
                                          • 0

                                            Детали не надо… т.к. я вам как бы не совсем про то...


                                            Гладко было на бумаге… Я не буду вам чего-либо доказывать, ибо вы читаете через строчку, да и это никоим образом не относится к теме ветки и уж тем более к теме поста.


                                            Кейс — WCF + IntegratedAuth — Получаете готового принципала.

                                            Вы правда понимаете о чем речь: сервер — не IIS, сервером юзается SSPI, имперсонификация запрещена от слова совсем (т.е. тупо нельзя ImpersonateSecurityContext и иже с ними, тем более запрещено имперсонировать поток/процесс, т.к. они обслуживает асинхронно кучу других соединений, других юзверей)...


                                            Ув. forgotten просил пример… Пример думаю как-таковой понятен? Не нравится вам Kerberos (как быть с Negotiate или если клиент не имеет AD, а юзает самбу с винбиндом или чего еще более экзотическое) — вычеркните или замените Kerberos на Auth-No-Way-To-Get-SID. Сам смысл остается.

                                            • 0
                                              Керберос — протокол аутентификации, а не авторизации. Он не несет в себе информации от группах и тд. То есть это само приложение должно связывать данные из тикета с профилями и группами.

                                              Если с Самбой то да. В основном Керберос для DesktopSSO на Win клиентах вижу.
                            • +5
                              Надо не забывать ещё про вторизацию, которая, очевидно, противоречит авторизации.
                              • +9
                                И фторизацию.
                                • 0
                                  И сразу вспоминается «доктор Стрейнджлав» где генерал Риппер верил, что фторирование изобрели Советы чтобы отравлять «precious bodily fluids» of Americans;
                                • +4
                                  вторизация блокирующая, а авторизация — нет.
                              • 0
                                Данный пост подтверждает, что телефон не является аутентификационным сервисом.
                              • 0
                                Так код же в SMS придет. Все равно можно прочитать.
                                Или я чего-то не понимаю?
                                • 0
                                  Нет, второй код ты должен запомнить просто и никому не говорить
                              • +2
                                подробнее о самих атаках мы писали ранее
                                Что-то не могу скачать pdf-ник по Вашей ссылке.

                                UPD: отбой тревоги. Разобрался уже: скачивается, если в URL https заменить на http.
                              • –7
                                ЧТД.
                                • +11
                                  Вообще-то, нет. Продемонстрированная атака отличается от той, что была использована.
                                  • +5
                                    Вообще-то, да. Атака отличается, тут Вы правы. И товарищи из PT на фоне массового интереса к новости о взломе представителей какой-то оппозиции какими-то спецслужбами решили
                                    проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram.

                                    ну и еще разок упомянуть про свои ресерчи на эту тему, да себя показать. :)

                                    PT, вроде как не спецслужба (предлагаю не разводить демагогию сотрудничают ли сесурити-компании с правительством или нет, это не так важно), досуп получен? Получен! ЧТД — спецслужбой быть совсем необязательно :)

                                    И да, я понимаю, что получить доступ к SS7, это не за хлебушком сходить.

                                    З.Ы. И я наверно всё-таки оптимист, потому что считаю, что располагая возможностями специальных служб можно все это сделать не так чопорно. Элегантнее чтоль, если хотите. Хотя, быть может я ошибаюсь.

                                    З.Ы.Ы. Что же касается самой истории с МТС и Телеграмом, то какой-либо технической информации в сети крайне мало. Ну да, скорее всего без участия оператора не обошлось. Вся остальная инфа — политота. А это уже неинтересно.
                                • +3
                                  WhatsApp в последних версиях предупреждает о смене ключа шифрования на противоположной стороне — «Код безопасности пользователя * * * изменился.».
                                  • +1
                                    Для некоторых, эта фраза напротив придаст уверенности в безопасности переписки, т.к. они могут ассоциировать ее с правилом «регулярной смены паролей, для увеличения уровни безопасности».
                                    Что тут говорить, если многие (из моего окружения), не задумываясь игнорируют предупреждения ошибки подлинности сертификата на порталах с денежными операциями.
                                  • +6
                                    А про банк-клиенты что скажете? Там тоже всякие sms-подтверждения используются.
                                    • –1
                                      Вы видели банковские приложения без многофакторной авторизации?
                                      • +3
                                        У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.
                                        • 0
                                          Я не знаю, как у Сбера, а по-правильному, смена пароля — это операция точно так же, как и финансовая требует подтверждения одноразовым кодом либо из таблицы, либо по СМС и возможна только из самого приложения.
                                          Если забыл пароль, то тогда только визит в офис банка, либо звонок в поддержку с подтверждением.

                                          Рассылка связки логин: пароль, даже не думал что такое кто-то практикует.
                                          • 0
                                            Не совсем правильно написал. Не логин и пароль пришлют, а пришлют код подтверждения для создания новых л и п. Но, сути это не меняет.
                                            • 0
                                              Почему же, это как раз и есть двух-факторная. Логин-пароль кроме вас никто не знает, а подтверждение открытым каналом приходит — это общепринятая практика.
                                              • 0
                                                Логин и пароль после этого создаются пользователем (злоумышленником, в нашем случае) новые, старые уже никого не интересуют
                                                • 0
                                                  Речь о том, что старые-то надо было знать.
                                                  Но — да, после кражи пароля такая аутентификация не защитит владельца аккаунта по причине тех же самых дыр в защите SMS.
                                            • 0
                                              Так и есть у Сбера.
                                              Либо из приложения, либо прямо из банкомата.
                                            • +1
                                              Я не очень в курсе, как работает атака из поста, но сбер или тинькофф, например, детектят смену сим-карты. Возможно, конечно, с такой атакой можно номер симки тоже сэмулировать.
                                              • 0
                                                Одна из наших недавних публикаций была как раз о том, как перехватываются одноразовые пароли банка, а также эмулируется отправка команд SIM-карты:
                                                https://habrahabr.ru/company/pt/blog/280095/

                                                Ну и в прошлом году в «Позитиве» делали исследование на ту же тему:
                                                https://habrahabr.ru/post/243697/
                                                • 0
                                                  С перехватом паролей всё понятно. Я не очень понял, можно ли таким образом дистанционно узнать и подменить IMSI, на который смотрят банки. Ваше второе исследование, как я понял, делает это путём физического доступа к симке.
                                              • 0
                                                У сбера можно получить новые логин с паролем на тот же номер телефона, куда приходят одноразовые коды.

                                                А кто-нибудь пробовал им сказать что это плохо? :)
                                                Точнее не то, что именно это плохо, а то, что плохо что нужно лишь только это.

                                                Насколько я помню, крупнейший негосударственный банк Украины (Приватбанк) для восстановления пароля требует указания номера, срока действия и PIN-кода любой из действующих карточек клиента. То есть даже если украсть у клиента сумочку с карточками и телефоном, чтобы получить доступ к управлению финансами, потребуется дополнительно как-то узнать ещё и либо пароль в онлайн сервис, либо PIN-код карточки. Без этого — максимум можно будет совершать покупки в онлайн магазинах, при условии что для карточки (-чек) была разблокирована ранее такая возможность (лимит установлен не нулевой) и с телефона можно считать 3D-secure код…
                                                Государственный банк на мой взгляд как бы обязан иметь безопасность такого же уровня.
                                                • 0
                                                  У сбербанка на этот счет отдельная услуга под названием «Защита средств на банковских картах».
                                                  • 0
                                                    Кхм. Это совсем не то же самое, это фактически страхование. А речь об элементарной безопасности аккаунта.
                                              • 0
                                                Что бы сбросить пароль у Tinkoff достаточно знать номер карты клиента и номер привязанного телефона.
                                                • 0
                                                  Ага, поэтому в нормальных банках твердят что нельзя указывать кому бы то ни было свой полный номер карты.
                                                  • 0
                                                    Номер карты видит любой кассир и может запомнить, некоторые магазины раньше страдали тем, что печатали номер карты на чеке, как сейчас, не знаю. Если «банк» позволяет сбросить пароль, зная номер карты и номер телефона, это не банк, это анекдот.
                                                    • 0
                                                      Это пример, когда баланс между безопасностью и удобством сдвинули не в ту сторону.
                                                      Хотя у ТКС нет особого выбора с одним офисом на всю страну, они не могут посылать клиента в отделение с паспортом для получения логина к ЛК, как делает Альфа.
                                                      • 0
                                                        Человека можно обязать позвонить по телефону в банк и спросить у него данные, которые трудно получить злоумышленнику, хоть набившее оскомину секретное слово.

                                                        Конечно, на 100% это не защитит, но от пионера, который подсмотрел номер карты/подобрал чек и потом стрельнул телефончик у девушки, легко.
                                                        • 0
                                                          Ну они могли бы поступать как Яндекс, проверять людей через каких-то партнеров у которых есть отделения по всей стране (системы денежных переводов, кассы, службы доставки).
                                                        • 0
                                                          А что скажете про банк из Top 5, у которого в интернет-банке пароль:
                                                          a) должен быть цифровым
                                                          б) состоять из не более чем 6 (шести) символов
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                    • 0

                                                      В онлайн-банках они совместно с паролем используются, что даёт двухфакторность.

                                                      • 0
                                                        у меня есть карта, и не одна, в которых VISA 3DS реализуется не паролем, который я когда то создал, а кодом через смс. оборжаться.
                                                    • +39
                                                      Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти (возможно, одного конкретного сотрудника, возможно, по просьбе извне) без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома. If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck.
                                                      • –3
                                                        Ох уж эта общественность. Куча объявлений, где предлагают детализацию разговоров за деньги, вы думаете откуда они ее берут? от ФСБ? Такие же кроты внутри операторов, их СБ щучит, но они есть всегда. И это общественность не волнует… Сайтов не создают, обращения в прокуратуру не пишут.
                                                        Хотите анонимности и прайвита — купите десяток симкарт у метро, они все на ООО «Василек» и меняйте раз в 3 дня. Но если возьмутся органы, а не как эти пионЭры, то еще надо будет не бывать в одних и тех же местах.
                                                        • –4
                                                          Вот я тоже не понимаю этого шума ах взломали то, ах взломали это. При необходимости власть всегда сможет надавить на бизнес и вынудить компанию выполнить необходимые требования. Пустая болтовня большинства граждан власть не интересует, а если уж органы и власть заинтересовались, они всегда могут доставить человека в удобное им место для разговора.
                                                          Если же вы ведете какую-то противозаконную деятельность, то безопасность какого-то вацапа это вообще второстепенный ворос.Вся эта шумиха о безопасности и приватности не более, чем страх своих комплексов.
                                                        • 0
                                                          Мне когда-то пришлось восстанавливать потерянную сим карту в Украине (lifecell). Меня спросили дату одного из последних пополнений счета и 3 номера, на которые я часто звонил. Не так уж и сложно увести чей-то номер телефона (пополняешь человеку счет и узнаешь с кем общается). Следует отметить, что это не сработает, если у вас контракт.
                                                        • +26
                                                          Вероятно вы правы, что не нужно быть спецслужбой. Но в упомянутом вами случае МТС отключил доставку СМС абонентам.

                                                          Пруф с печатью самого МТС

                                                          Так что ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно неуместно. Или вы знаете другую организацию, которая может заставить МТС совершить подобную операцию, а потом ещё заставить представителей компании врать?
                                                          • +5
                                                            Странно, то что по описанному варианту это получается проще. Да и врать потом не надо будет.
                                                            • +6
                                                              Все ошибаются.

                                                              Кстати, интересно было бы, если бы ptsecurity описал бы необходимые условия для осуществления атаки. Если я правильно понимаю, нужно как-то подключиться к сети или собрать специальный девайс, который нужно ещё физически привезти близко к абоненту, это отдельная спецоперация. Вероятно, проще прийти к оператору и попросить отключить на пять минут.

                                                              Никто же не ожидал того, что это заметят. Но, очевидно, подготовились очень плохо. Благодаря этому мы теперь знаем. Ну и заодно нам напомнили, насколько ненадежен канал SMS.
                                                              • +1
                                                                Говорят, что и девайс не нужен, достаточно лишь подключения к пиратскому хабу.
                                                                blog.kaspersky.ru/hacking-cellular-networks/9862
                                                                • +1
                                                                  Необходимо подключение к сети SS7, собрать девайс можно на коленке из ПО свободно распространяемого в интернете, к абоненту возить его не нужно, наоборот, можно находиться на другом конце земного шара.
                                                              • –12
                                                                Ну вот раскрыли махинацию МТС и что? Им что-то будет? Нет. Будет что-то спецслужбам? Нет. Зачем парится?
                                                                • –2
                                                                  Эм… я не прав? Я действительно готов пересмотреть свою точку зрения, если укажите где ошибка в моей логике.
                                                                  • +9
                                                                    1. МТС торгуется на международной бирже. Сейчас хотят инициировать судебный процесс по поводу вот этого действия в юрисдикции неподвластной нашему правительству. Это может уронить акции и МТС и отвадить его от совершения подобного в будущем.
                                                                    2. Скорее всего минусуют за «тся».
                                                                    • +1
                                                                      А разве МТС может отказать в предоставлении данных при каком-либо расследовании? Если есть бумага свыше?

                                                                      PS: про тся я заметил при нажатии на кнопку «отправить», но кнопки редактирования нет, к сожалению.
                                                                      • +1
                                                                        Предоставлять данные — нет. Насчёт отключения услуг — может быть прописано в договоре что может, но цена акций строится больше из общественного мнения, презентаций и инсайдов. Щёлкнуть тигра по носу — старая народная забава. Особенно если щёлкают другие, а ты сидишь с попкорном.
                                                                        • –4
                                                                          цена акций не складывается из общественного мнения :)) иначе биржи были бы не нужны.
                                                                          • +2
                                                                            но цена акций строится больше из общественного мнения, презентаций и инсайдов
                                                                            Стоимость акций отражает способность компании зарабатывать деньги. Некоторые считают, что она справедливо равна дисконтированному денежному потоку на акцию в перспективе существования компании (в академической ситуации — ∞).

                                                                            Общественное мнение имеет, скажем так, опосредованную роль. Вот, скажем, Lockheed Martin производит ракеты самолеты AC-130, один из которых разбомбил госпиталь в Кундузе, Афганистан. Общественное мнение это осуждает, но вот курс акций продолжает расти. Потому, что очевидно, что армия США продолжит покупать у Lockheed Martin.
                                                                            • +1
                                                                              Не верная трактовка.
                                                                              Более правильная:

                                                                              Вот, скажем, Lockheed Martin производит ракеты самолеты AC-130, один из которых разбомбил госпиталь в Кундузе, а потом разбился при заходе на посадку. Разбился из-за отключения одной из систем.

                                                                              МТС получает деньги с клиентов, если начнётся массовый исход клиентов — упадут доходы и инвесторы могут пересмотреть свои планы.

                                                                              Мне как клиенту не нравится эта ситуация. А учитывая активный форсиг темы «МТС ниуновен» я все больше склоняюсь к уходу.
                                                                          • +1
                                                                            Думаю, что про «тся» — это была шутка. А минусуют Вас за сам посыл — мол, вот вы фигнёй страдаете, вместо того, чтобы делом заниматься. Наверное Вы не в курсе, что людям нравятся подобные детективы. Они с удовольствием их читают и не считают, что люди, исследовавшие дыру и опубликовавшие информацию о ней, потратили время впустую. Короче, не согласны с Вами. Вот и минусуют.
                                                                            • +1
                                                                              Да нет у меня такого посыла, извините если Вам это показалось. Фраза «зачем париться» относится к действиям спецслужб, а не как обращение к читающим. Читать следует как «Зачем им думать о том, как сделать что-либо скрытно, когда можно сделать как привыкли?»
                                                                      • +1
                                                                        Если вам не хочется «париться», то зачем вы это читаете?

                                                                        Я тут, не из за МТС, у меня другие оператор и страна, но мне интересно знать о подобных махинациях, а также интересны подробности выполнения подобных атак.

                                                                        Лично я тут потому что:
                                                                        1. в целом интересуют безопасностью, 0-day и т.д.
                                                                        2. хочу знать о уязвимостях в софте, протоколах и вообще всём с чем я работаю или имею в использовании
                                                                        3. хочу знать о подобных прецедентах, сделали в одной стране/компании, сделают и в другой
                                                                        • 0
                                                                          Где вы в моих словах увидели хоть какой-то намек на то что статья не нужна?! Статья интересная и нужная, и я лишь указал на то, что спецслужбы будут думать о репутации оператора в последнюю очередь. Их совершенно не волнует обвалившиеся акции или мнение людей, у них есть задание. Любые официальные претензии к оператору будут перенаправлены в сторону спецслужб. Любые претензии к спецслужбам, скорее всего, будут замяты. Никакой претензии к статье у меня нет, я ответил на комментарий.
                                                                    • +8
                                                                      Вам вводная:
                                                                      — У МТС, Мегафона, Йопты и т.д. стоит СОРМ, который собирает все СМС.
                                                                      — Блокировка приема СМС — это один бит в профиле абона на HLR(HSS) и не надо никакие услуги подключать\отключать, ни в одном счете этого никогда не будет. Есть ли на него доступ у органов — предположите сами.
                                                                      Вот имея такую вводную, ответьте — зачем ФСБ отключать услуги через биллинг?
                                                                      Поэтому да, ерничание в духе «все непонятные вещи объясняют происками спецслужб» абсолютно уместно.

                                                                      Произошедшее объясняется ИМХО проще — эти олени имели доступ к сетям оператора на более высоком уровне — СРМ или Удаленный дилер, возможно к межсистемной шине. Народа с этим доступом тысячи 3-4 человек. Никому не охота признаваться, что твоя система безопасности пропустила крота.
                                                                      • 0
                                                                        Что касается вводной, операции планируют люди. Возможно это была такая проходящая история, которую получили лояльному хакеру на аутсорсинге. Он сказал, «сделаю, но отключите смс».
                                                                        Дальше звонок в МТС, возможно какое-то недопонимание. Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.

                                                                        Что касается «не охота признаваться», с какого-то момента ясно, что с точки зрения имиджа лучше рассказать правду, если это был взлом. Да, нас взломали. Внутреннее расследование, независимый аудит, уголовное дело, предоставим всю необходимую информацию суду и пострадавшим, ущерб компенсируем, мы улучшили систему, ввели дополнительную аутентификацию и вообще молодцы.
                                                                        За исключением ситуации, когда компания просто по закону не имеет права сообщить правду.
                                                                        • +3
                                                                          с точки зрения имиджа лучше рассказать правду
                                                                          Как показывает практика, с точки зрения имиджа тут надо просто молчать и в лучшем случае идти в органы и суд. У нас люди очень быстро все забывают, если не напоминать.
                                                                          Не стоит идеализировать спецслужбы, там не полубоги какие-то работают.
                                                                          вы думаете что откл услуг — это для них такая редкая, единичная операция?
                                                                      • –5
                                                                        Источник не очень достоверный, я вам таких 100 напечатаю)
                                                                        • 0
                                                                          Источник чего? Коменты вытягиваются, не понятно. Про счет?
                                                                          • +4
                                                                            А вы что хотите, новость по 1 каналу? Чистосердечное признание от мтс?
                                                                            p.s. поздравляю с 1 комментарием… за 5 лет.
                                                                        • +1
                                                                          «Заставить» МТС совершить подобную операцию может любой человек, имеющий доступ к интерфейсу управления подобными операциями.
                                                                          Абсолютно любой пользователь либо кто угодно с его аутентификационными данными.
                                                                        • +6
                                                                          Каким образом мониторите GSM запросы в wireshark? Какая аппаратная часть?
                                                                          • 0
                                                                            Скорей всего HackRF.

                                                                            Но мне тоже интересно, с какой железки брали данные.
                                                                            • +3
                                                                              Полковник Иван Петрович то же интересуется.
                                                                              • +3
                                                                                Мне кажется они не с радио слушали а с A-интерфейса, так как в скринах видим что MAP протокол слушают, а он от коры до контроллера. То есть, конечно, спецслужбы-то не нужны для того чтоб конкретного юзера смс-ки посмотреть, но неавторизованный доступ извне в операторский IPBB или что там у них, был бы серьезным про… махом со стороны оператора, а ежели авторизованный — то это сотрудник, а надо ли оно сотруднику, в наше нелёгкое время — вопрос.
                                                                              • 0
                                                                                HackRF/BladeRF, видимо
                                                                                • 0
                                                                                  Нет. SS7 — это отдельная сеть, которая никак не относится к радиоинтерфейсу.
                                                                                  • 0
                                                                                    Т.е. разобранная GSM-диссектором Wiresjark-а информация — она из IP-пакета(-ов), правильно понимаю?
                                                                              • +15
                                                                                Да действительно, всего-то нужно иметь доступ в SS7 сеть и быть мобильным оператором.
                                                                                • 0
                                                                                  формально — да. но вот вопрос, является ли, ну например, ptsecurity лицензированным мобильным оператором?
                                                                                  • +3
                                                                                    Ок. Вы подключились к SS7. Клиент у которого вы угнали Telegram обращается с официальной жалобой к оператору. Сколько времени понадобиться оператору, чтобы понять что и как произошло и кого за это притягивать по уголовке?
                                                                                    • +2
                                                                                      ключевой вопрос — как вы подключились к SS7?
                                                                                      • +3
                                                                                        То есть статья не полна: нужно к ней ещё писать дополнение: как подключиться по SS7 и чтоб тебя не поймали ни разу.
                                                                                        И всё тогда становится более интересно и гораздо менее очевидно. И менее соответствует пафосу статьи: «смотрите, можно же просто без отключения SMS...»
                                                                                        • 0
                                                                                          Вы сами с собой сейчас общаетесь?
                                                                                          • 0
                                                                                            Ну конечно. Давайте еще в открытом доступе выложим инструкции, как выращивать грибы и делать оружие.
                                                                                            Никто не станет рассказывать таких подробностей из соображений здравого смысла.
                                                                                            • +4
                                                                                              Понимаю, конечно. Я это к «смотрите, можно же просто без отключения SMS...». Выясняется, что не так уж просто.
                                                                                              • 0
                                                                                                Кстати, сомневаюсь, что могут существовать какие-то универсальные инструкции, все будет очень индивидуально не только для конкретного оператора, но даже и внутри его сети тоже. Строго говоря, если абонент, СМС которого злодей хочет перехватить, зарегистрирован в GSM сети — это одно, если в 3G — другое, в LTE — уже совсем иной подход нужен. И есть еще такой ньюанс — допустим, некий злодей извне получил доступ к сети оператора, но к какой? Грубо, как минимум для всех нод в мобильных сетях существуют две сетки — это O&M (управление) и собственно жирный транспорт для пользовательского трафика плюс сигнализация. Так вот, имея доступ к O&M, сниффить пользовательский трафик нетривиальная задача, скажем, в данном примере мы ищем СМС в A-interface, то есть у нас есть BSC к примеру, ок, зашли на него — и все, через O&M просто так не получить пакетов из A, A-bis etc. Тут все будет очень vendor specific, да к тому же есть очень вероятная возможность наследить (вплоть до рестарта ноды) если неаккуратно действовать. Конечно, если есть возможность физически подключиться к отзеркалированному порту какого-нибудь пакетного коммутатора (через который интересующий нас интерфейс проходит), то дело нехитрое, но ведь это уже совсем другая история…
                                                                                      • 0
                                                                                        Вы можете поставить фемтосоту, подхачить немного ее, подключиться с нее к оператору. У вас появится доступ к сети SS7
                                                                                        • +2
                                                                                          BTS нельзя подключить напрямую к SS7, она подключается к BSC (интерфейс A-bis).

                                                                                          image
                                                                                      • +2
                                                                                        Вообще не понимаю этих «безопасных» проприетарных мессенджеров.
                                                                                        Если мне нечего скрывать — я буду пользоваться чем угодно, вне зависимости от того, «безопасный» протокол или нет.
                                                                                        Если же мне потребуется действительно безопасная коммуникация, уж поверьте, я точно не буду пользоваться проприетарными решениями, а сделаю что-то свое, устойчивость к взлому и исходный код которого я смогу контролировать лично.
                                                                                        • +7
                                                                                          Далеко не каждый, сможет самостоятельно реализовать такое решение. Да и между данными, которые совершенно не требуют особых мер безопасности при передаче и сверхкритичными, про которые вы написали, существуют и промежуточные, когда защита требуется, а реализация отдельного решения — нерентабельна.
                                                                                          • –2
                                                                                            Ну, на сегодняшний день все предлагаемые решения являются промежуточными(уже нет мессенджеров, которые легко перехватываются и дешифруются) — все предлагают шифрование и «безопасность».
                                                                                            P.S. А по поводу «далеко не каждый», я уверен, что 99% программистов осилят SSL, используя какую-либо библиотеку, например, OpenSSL:)
                                                                                            • +2
                                                                                              Вам не кажется, что далеко не все — программисты, а написать не дырявый продукт могут далеко не 99% из них?
                                                                                              • –6
                                                                                                Конечно, не все — программисты, но можно ведь нанять человека для этой задачи или, при острой нужде, поучить какой-то python месяц-другой.
                                                                                                Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.
                                                                                                • 0
                                                                                                  Вы машину самостоятельно чините? Если в сервис отдаете, проверяете ли потом ее на предмет неоговоренных модификаций?
                                                                                                  «Можно конечно кричать «аяяяй, я ничего не умею», но тогда и результат будет немного предсказуем.», установят вам какую-нибудь закладку незаметно, которая тормоза в один прекрасный момент отключит.
                                                                                                  • –1
                                                                                                    Если
                                                                                                    при острой нужде
                                                                                                    от умения чинить машину будет зависеть моя жизнь или свобода — научусь.
                                                                                                  • +1
                                                                                                    Проблема в том, что даже профессиональные разработчики редко выпускают безупречно безопасный продукт, везде находят дыры.
                                                                                                    При отсутствии опыта разработки таких приложений вероятность сделать какую-нибудь глупость, используя OpenSSL напрямую, значительно выше.
                                                                                                    А потом такие велосипеды взламывают за день (а то и быстрее) те, кто этим занимается каждый день.
                                                                                                    Поэтому обычно надёжнее использовать проверенные решения, в которых многие проблемы безопасности уже исправлены.
                                                                                              • +1
                                                                                                Эти все «end-to-end» шифрования всего лишь дают ложное чувство безопасности, и всё. Пока нет открытого кода, пока не было публичного аудита безопасности, всё это шифрование = буллшит.

                                                                                                Хотя, справедливости ради, у Telegram было и то, и другое. Тут надо обращать внимание на то, можно ли поставить свой сервер (вместе с авторизацией на нём). В этом плане лучшие — tox и jabber.
                                                                                                • 0
                                                                                                  Как открытый исходный код и аудит безопасности помог бы от указанной в статье атаки?
                                                                                                  Возможно, программы были бы безопаснее, если бы не использовали СМС.
                                                                                                  Но тогда бы они не были бы такими популярными и в статье упоминался бы не Telegram, а OtherBrandName.

                                                                                                  Проблема в том, что настоящая безопасность, очень дорогая, непонятная и неудобная для обывателя.
                                                                                                  Многие ли оппозиционеры прочитают данную статью? Вряд ли, ведь они не являются специалистами по безопасности или айтишниками. Они не знают, что можно кого-то нанять, кто настроит им собственный защищённый сервер. И даже если знают, то клиентские программы ещё нужно настроить. Представьте, что агент Freedom связывается с агентом Solomon и говорит: «установите себе программу Х, подключитесь к серверу Y и войдите с логином Z». А агент Solomon отвечает: «Нет Алексей, это вы установите себе программу Х', подключитесь к серверу Y' и войдите с логином Z' ». Слишком много сложностей.
                                                                                                  Зато про Дурова знают всё. Тем более, что он выступает против российской власти, значит свой. А Telegram популярный и проверенный миллионами пользователей, значит не исчезнет в одночасье, а самое главное в нём есть все нужные люди.
                                                                                                  Я даже не уверен, что оппозиционеры в курсе, что Дуров объявлял награду за удачную попытку взлома Telegram. Более того, пострадавшие даже не знали, что можно было включить двухфакторную аутентификацию в Telegram.
                                                                                                  • 0
                                                                                                    Все эти ваши алгоритмы ассиметричного шифрования — маркетинговый буллшит, пока не доказано P != NP все ваши RSA, elliptic-curves, etc — буллшит. [/sarcasm]
                                                                                                    • 0
                                                                                                      Скорее открытый код дает ложное чувство безопасности.
                                                                                                      • 0
                                                                                                        У Telegram _не было_ публичного аудита безопасности. Была лишь премия за взлом на невнятных, по мнению множества комментаторов, условиях.
                                                                                                        • 0
                                                                                                          Информацию брал из EFF Secure Messaging Scorecard. Напритив Telegram в колонке про аудит стоит галочка.
                                                                                                          • 0
                                                                                                            Да, странно, считал, что EFF более надежный источник.

                                                                                                            Нагуглилось только это:
                                                                                                            http://security.stackexchange.com/questions/49782/is-telegram-secure
                                                                                                            и это (таблица от EFF там есть)
                                                                                                            https://habrahabr.ru/company/edison/blog/273001/
                                                                                                            Там очень хорошие комментарии вынесены в статью.
                                                                                                      • +3
                                                                                                        Более того, никто не гарантирует что Google/Apple просто напросто не логируют нажатия на цифровой клавиатуре.

                                                                                                        Т.е. проприетарный смартфон с родной прошивкой это уже априори скомпроментированное устройство.
                                                                                                        • +1
                                                                                                          Может быть, кто знает.
                                                                                                          Паранойю может усилить, к примеру, это:
                                                                                                          https://xakep.ru/2011/12/26/58104/
                                                                                                          Везде нужен здравый смысл.
                                                                                                          Если стоит задача защитить каналы связи от перехвата местными спецслужбами — то реализовывать нужно именно эту часть.
                                                                                                          Кроме того, для исключения Вашего предположения, можно помониторить сетевой трафик.
                                                                                                          • 0
                                                                                                            В том и проблема, что у Google/Apple есть четкая заинтересованность в том что бы не силньо мешать местным, иначе их выкурят с рынка вместе с франузским сыром.

                                                                                                            Вы знали например, что на айфонах могут скапливаться болезнетворные микробы? Онищенко подтвердит.
                                                                                                            • 0
                                                                                                              Зачем тогда Apple зарубились в ФБР по поводу раскрытия данных, а Facebook с правительством Бразилии? Эти рынки точно не уступают российскому. Вполне возможно, что Google/Apple просто не хотят ложиться под правительство. Учитывая размеры этих компаний, в это не сложно поверить.
                                                                                                              • 0
                                                                                                                Любая крупная организация реализует обычно сразу несколько стратегий.

                                                                                                                Один отдел борется с нарушением приватности, делает громогласные заявления и т.д.
                                                                                                                Тем временем другой отдел сливает негласно все данные которые только можно выудить.

                                                                                                                Тоже самое касается и государства, то что кто-то в ФБР захотел эксклюзивный доступ абсолютно не значит что у них уже этого доступа нет.

                                                                                                              • +2
                                                                                                                >Вы знали например, что на айфонах могут скапливаться болезнетворные микробы?

                                                                                                                Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.

                                                                                                                Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
                                                                                                          • 0
                                                                                                            Мише и Пете нужна «безопасная коммуникация». Миша делает свой «безопасный» мессенджер, Петя свой. Чьим они пользуются?
                                                                                                        • 0
                                                                                                          А в вазапе нет двухфакторной аутентификации? Или я плохо ищу?
                                                                                                          • 0
                                                                                                            нет — про любой сервис можно проверить здесь: https://twofactorauth.org/
                                                                                                          • +36
                                                                                                            Всем привет. Как один из взломанных, хочу сказать следующее:

                                                                                                            Во-первых, почитайте наш сайтик http://mts-slil.info/ и посмотрите там документы/скриншоты/аудио. В них всё-всё-всё.

                                                                                                            Во-вторых, описанный метод совершенно не наш. Одновременно были взломаны 3 телефона, которые находились в разных частях Москвы. Я так понимаю, для этой атаки надо быть в непосредственной близости к телефону (ну или глушить его). Если не прав — поправьте. И самое главное, при такой атаке МТС не стал бы затирать логи (раньше техподдержка видела отключение услуг, а теперь нет) и публично адски врать.
                                                                                                            • +1
                                                                                                              Никто ж не против что вас взломали способом как описано у вас. Автор немного громко выразился, а на самом деле показал еще один вариант взлома через SMS
                                                                                                              • +1
                                                                                                                Автор Выразился таким образом, что между строк сквозит недоверие к самому механизму взлома Албурова и Козловского, это тянет за собой дальнейшие выводы о том, а так ли вообще был взломан телеграмм или как-то иначе? Читается этот скепсис в первых строчках статьи
                                                                                                                Цитата: «На протяжении своего существования человечество пыталось объяснить всё необъяснимое с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб»
                                                                                                                И автор статьи прав, и Козловский, Албуров тоже, но по факту получается безобразие ))
                                                                                                              • +1
                                                                                                                А где взломанную переписку-то почитать?
                                                                                                                • +5
                                                                                                                  Когда опубликуют дам ссылочку )
                                                                                                                • +3
                                                                                                                  Я до сих пор не увидел внятного объяснения, как и куда злоумышленники получили SMS с кодами, если сервис на номере был отключен, а сообщения имеют статус «недоставлено»? Получается, что хакеры должны были перехватить SMS на этапе доставки, то есть иметь доступ к инфраструктуре МТС. Я предположу, что взломали первым делом МТС, а молчат они, потому что это еще больший позор, чем сливать что-то спецслужбам.
                                                                                                                  • 0
                                                                                                                    Не думаю, что ради наших скромных персон стали бы взламывать МТС
                                                                                                                    • 0
                                                                                                                      СОРМ умеет читать SMS.
                                                                                                                      • +1
                                                                                                                        А госслужбы, как оперативно могут пользоваться тем, что аппаратура СОРМ записала?
                                                                                                                        Может быть там волынка с получением «ордера», потом время на доставание данных из сырого бэкапа… Как выглядит оперативная работа с этими данными?
                                                                                                                        • +4
                                                                                                                          В России сотрудник ФСБ или МВД должен только получить ордер, но показывать его оператору он не должен. Более того, оператору запрещено требовать этот ордер, так как у него нет допуска к гостайне. Соответственно, в России системы прослушки сделаны как дистанционные системы, когда сотрудник ФСБ сидит в своем кабинете у ПУ СОРМ (пункт управления СОРМ) и вбивает команды, которые дистанционно передаются в систему оператора, а тот об этом ничего не знает.

                                                                                                                          Тут подробно написано:
                                                                                                                          https://roem.ru/02-05-2016/223498/anyone-mts-but-me/