Скорее всего, произошла ошибка — речь шла о ключах дешифровки.
9340 просмотров
Государственное информагентство ТАСС опубликовало новость «ФСБ не рассматривает сообщения в мессенджерах как охраняемую законом тайну». В ней приводится цитата представительницы ФСБ с заседания по иску Telegram к спецслужбе о том, должен ли мессенджер передавать государству ключи для расшифровки переписки.
Согласно статье 23 Конституции России, «каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».
Обновлено в 14:18. ТАСС отредактировал публикацию, убрав из неё утверждение о переписках в мессенджерах.
Источник: vc.ru
«Проще вообще мессенджеры запретить» Почему у государства не получится взломать Telegram и WhatsApp
928: Ну очень похоже что Телеграм это мышеловка ФСБ
Во вторник, 4 октября, СМИ сообщили о начале работ над расшифровкой трафика мессенджеров для реализации «пакета Яровой». «Лента.ру» поговорила с экспертами и выяснила, почему власти не смогут перехватить и прочитать переписку пользователей Telegram, WhatsApp и Viber.
Кто займется расшифровкой трафика мессенджеров
Расшифровкой переписки в мессенджерах занимается компания Con Certeza, которая ищет для этого соответствующего подрядчика. От него требуется изучить возможность перехвата сообщений в WhatsApp, Viber, Facebook Messenger, Telegram и Skype.
В Con Certeza считают, что доступ к переписке пользователей легче всего получить с помощью атаки Man-In-The-Middle (MitM). Для этого надо вторгнуться в канал передачи данных. Результат необходимо продемонстрировать заказчику, и в случае успеха исполнитель получит по 230 тысяч рублей за каждый мессенджер. Если же взломать сервисы не удастся, то подрядчику заплатят 130 тысяч рублей. На изучение каждого сервиса отводится по два месяца.
Судя по официальному сайту, Con Certeza специализируется на софте для правоохранительных органов. В компании разработали элементы СОРМ, в том числе различные версии системы «Янтарь», позволяющей собирать информацию о звонках, СМС-сообщениях и перемещениях абонентов. Еще одна система, «Яшма», способна отслеживать мобильный интернет.
Зачем расшифровывать трафик мессенджеров
Пакет антитеррористических мер депутата Ирины Яровой требует от операторов связи, социальных сетей и мессенджеров хранить у себя на серверах всю информацию о разговорах и переписке пользователей. При необходимости эти данные будут анализироваться спецслужбами.
Telegram помогает ФСБ?
В настоящее время ФСБ, Минкомсвязь и Минпромторг обсуждают возможность не только хранить интернет-трафик россиян, но и расшифровывать его в режиме реального времени. В ФСБ настаивают на необходимости анализировать все имеющиеся данные по ключевым словам, а министерства выступают за контроль лишь над вызывающими подозрение или попавшими под следствие гражданами.
По закону все работающие в России почтовые сервисы, мессенджеры и социальные сети с июля обязаны сдавать ключи шифрования в ФСБ. «ВКонтакте», «Одноклассники» и ICQ, «Яндекс» и Mail.Ru, а также другие российские компании, вынуждены подчиниться требованиям «пакета Яровой». Facebook и иностранные мессенджеры вполне могут отказаться от взаимодействия с ФСБ, поскольку не подпадают под российскую юрисдикцию.
Главные опасения у силовиков вызывают именно WhatsApp, Telegram и Viber, использующие системы сквозного шифрования. Это означает, что без взлома соответствующих алгоритмов узнать содержимое переписки невозможно даже в случае ее перехвата. Именно поэтому Con Certeza настаивает на том, чтобы подрядчик продемонстрировал атаку Man-In-The-Middle, способность перехватить и продемонстрировать сообщения пользователей.
Что нужно для взлома WhatsApp, Telegram и Viber
Лежащий в основе Telegram алгоритм MTProto разработал брат Павла Дурова. Этот алгоритм неоднократно пытались взломать энтузиасты, которым была обещана награда сначала в 200 тысяч, а затем и в 300 тысяч долларов. Однако ни один из проводимых Telegram конкурсов-хакатонов так и не выявил победителя.
Получить доступ к конкретному аккаунту в Telegram можно с помощью уязвимости мобильных сетей SS7. Для этого необходимо перехватить СМС с кодом доступа в приложение и активировать его под видом пользователя. Правда, после нескольких громких случаев со взломом через SS7 администрация Telegram настоятельно рекомендует перейти на двойную аутентификацию и присылает код непосредственно в приложение.
WhatsApp и Viber работают на протоколе Double Ratchet, созданном компанией Open Whisper Systems. В его основе — OTR-система, для взлома которой нужно перехватить ключи шифрования обоих собеседников. То есть для доступа к переписке пользователей требуется взломать их смартфоны и получить над ними полный контроль. Но даже это может не сработать, поскольку в OTR ключи шифрования регулярно обновляются.
Чтобы вскрыть алгоритмы WhatsApp, Telegram и Viber придется либо использовать высокопроизводительные системы, способные осуществлять крайне продолжительный по времени подбор данных для расшифровки ключей, либо перехватывать эти ключи у пользователей, — считает менеджер по развитию глобального бизнеса компании в сфере информационной безопасности Group-IB Виктор Ивановский.
По его словам, упоминаемая Con Certeza атака Man-In-The-Middle перехватывает лишь зашифрованный трафик в приложении, а единой технологии взлома шифрования мессенджеров сегодня не существует ни в России, ни за рубежом. Получить массовый доступ к переписке в Telegram и WhatsApp с помощью MitM уже пытались в Казахстане, но это привело к тому, что приложения просто перестали работать.
«Вообще, судя по описанию, речь идет не о масштабной акции, а о взломе конкретных пользователей. И это куда проще сделать с помощью социальной инженерии и фишинга. Ведь людям просто можно послать письмо с вредоносной ссылкой, а затем получить контроль над смартфоном»,— подытоживает эксперт.
Почему для массовой расшифровки понадобится много времени и сил
Советник президента России по интернету Герман Клименко вообще не верит в то, что Con Certeza действительно изучает возможность расшифровать трафик WhatsApp, Telegram и Viber, ведь подобные вопросы всегда решаются в обстановке секретности, а расходы на них прописываются в закрытой части бюджета.
«Если же говорить в целом, то сегодня эффективен только один способ — установка шпионских программ на конкретные устройства. Лично я пока не знаю других вариантов дешифровки двухфакторных ключей. Но тут государству проще вообще запретить мессенджеры, пока они не согласятся сотрудничать и подчиняться требованиям закона», — отметил он в беседе с «Лентой.ру».
По мнению Клименко, расшифровка алгоритмов WhatsApp и Telegram — это системная работа для серьезных научно-исследовательских институтов. «Наверное, дыры в алгоритмах существуют и можно воспользоваться уязвимостями нулевого дня (ошибки, допущенные самими разработчиками, — прим. «Ленты.ру»). Но сперва их еще надо найти, и это задача для целой команды специалистов. Пока же никто в мире не понимает, что делать с мессенджерами. И попытки вот так с ходу расшифровать трафик пока выглядят фантастикой», — подытожил он.
Источник: lenta.ru
Образ героя: почему Дуров не отдает ФСБ ключи к переписке в Telegram
На фоне всех санкций и запретов мессенджер Telegram поражает своей живучестью: Роскомнадзор уже дважды грозился его заблокировать, но еще ни разу этого не сделал, несмотря на то, что у него на то имеются все законодательные основания.
В первом случае причиной конфликта стало отсутствие регистрации компании Telegram Messenger LLP в Росреестре. Тогда Дуров ответил на своей странице «В контакте», что все необходимые для регистрации данные можно найти в открытом доступе, заметив, что не собирается выполнять требование ФСБ предоставить ключи к переписке и следовать антиконституционному и нереализуемому технически «закону Яровой». Роскомнадзор, кажется, остался таким ответом удовлетворен, а вот ФСБ — нет.
ФСБ потребовала предоставить доступ к ключам шифрования, заявив, что члены международных террористических группировок пользуются мессенджером Telegram, так как он дает им возможность создавать секретные чаты с высоким уровнем шифрования.
Дуров официально отказался сотрудничать со спецслужбами даже под угрозой блокировки, заявив, что Telegram всегда готов порвать как личные, так и деловые связи со странами, где на компанию оказывается давление, и что мессенджер ежедневно самостоятельно «блокирует сотни каналов с призывом к насилию», поэтому необходимости в передаче ключей нет.
Но что значит «нереализуемому технически»? Специалисты отмечают, что у Дурова на самом деле нет технической возможности передать эти ключи. Сооснователь блокчейн-платформы Bitclave Василий Трофимчук, отмечает, что в протоколе телеграма MtProto 2.0 используется функция Perfect Forward Secrecy, что предполагает постоянное автоматическое обновление ключей шифрования.
«Предоставленные исходные ключи не помогут расшифровать всю переписку, так как каждые несколько сетевых пакетов происходит автоматическая смена ключей шифрования по специальному алгоритму распределения Диффи-Хелмана (DH). И получить доступ к трафику без проведения атаки MITM (Man-in-the-Middle) и перенаправления всего трафика через атакующего — технически не представляется возможным», — говорит он.
Это подтверждают и специалисты компании Digital Security: активная атака предполагает, что зашифрованные данные (подключение) будут проходить через атакующего, и он может прочитать или поменять передаваемые данные. Однако, без актуальных ключей этот трафик расшифровать будет невозможно. То есть теоретически можно предположить, что ФСБ просто не успеет обработать полученные данные до того момента, как произойдет очередная смена ключей.
Telegram Messenger LLP уже оштрафовали на 800 000 рублей за неподчинение закону о передаче данных. Это незначительная сумма для компании с бюджетом в $70 млн за 2017 году, если основываться на White Paper ICO Telegram Open Network, но важно другое: решение суда вступило в силу 12 декабря, а значит Роскомнадзор мог заблокировать мессенджер на территории России 28 декабря. Мог, но не сделал этого.
Теперь, по данным «Ведомостей», юристы компании подали иск к ФСБ. Они утверждают, что приказ ФСБ, утверждающий порядок предоставления службе ключей для декодирования, был издан 19 июля 2016 года, а поправки, реализации которых добивается ФСБ, вступили в силу только 20 июля, то есть на следующий день. То есть они по какой-то причине апеллируют к формальной стороне вопроса, игнорируя факты.
На запрос Forbes о причине несоблюдения законодательного регламента, в Роскомнадзоре заявили, что «на сегодняшний день решений в отношении мессенджера Telegram Роскомнадзором не принималось». По факту, Роскомнадзор действительно является исполнительным органом и выполняет решения суда, а не принимает их сам.
По словам одного из друзей Дурова, пожелавшего остаться анонимным, основатель мессенджера неоднократно упоминал, что в конце концов Telegram в России будет заблокирован. Но так как он изначально позиционировал мессенджер как общемировой, эта блокировка может быть ему на руку. Собеседник Forbes считает, что для Дурова это будет хорошим пиаром, потому что в глазах Запада, на фоне скандалов с вмешательством России в выборы в США и отравлении сотрудника ГРУ Сергея Скрипаля и очередного президентского срока Путина, это сделает Дурова «мучеником режима», а он считает, что блокировку могли отложить в связи с выборами. Это логично, потому что в 2017 году Telegram стал самым быстрорастущим мессенджером в Рунете. Это активная большая аудитория, которая восприняла бы такое решение крайне негативно, вне зависимости от политических взглядов.
«Вероятно, если со стороны ФСБ, суда или Роскомнадзора, были бы предприняты какие-то действия, это могло бы только навредить системе перед выборами», — добавил он.
Выборы прошли 18 марта. Уже завтра, 20 марта, в суде будут рассматривать иск Telegram к ФСБ, а значит, в этой истории могут появиться какие-то новые вводные. Неизвестно, удастся ли юристам убедить суд в неправомерности действий спецслужб, и оставят ли они попытки получить секретные коды для дешифровки сообщений. Кто знает, — может они уже их получили?
Источник: www.forbes.ru