tl;dr: исследую возможности для сопоставления аккаунтов с номерами телефонов в российском сегменте Телеграма.
В мире много людей, которые хотят получить возможность сдеанонить произвольного пользователя. Это могут быть капиталисты не гнушающиеся спама, спецслужбы, мошенники и просто сталкеры. Социальные сервисы пытаются лавировать между желанием привлечь как можно большую аудиторию через импорт контактов и лимитами на доступ к подобной информации. Лавируют по-разному, одни позиционируют себя максимально социальными, другие же больше ценят прайваси. Вторые становятся объектами нападок со стороны сторонников максимальной приватности.
По умолчанию в Telegram, как и в менее приватных мессенджерах, можно добыть аккаунт пользователя, зная его номер. При этом, владелец номера может ограничить эту возможность только для взаимных контактов, для этого есть специальная опция. По умолчанию она выключена, а значит у нас есть полный Telegram беспечных и сознательно публичных ребят. Функция появилась, кажется, из-за слива базы пользователей. Я решил разобраться, во сколько обойдётся создание аналогичной базы, и смогу ли я создать такую.
TELEGRAM НЕ АНОНИМЕН?
Я ограничил интересы только российскими пользователями. База номерных диапазонов, как оказалось, публикуется Россвязью, что дополнительно упростило мне задачу, избавив от необходимости скрейпить сайты с подобной информацией. Всего операторам на седьмое сентября раздали почти шестьсот миллионов номеров, а точнее, ровно 598035003.
Я взял несколько сим-карт, `telethon` (Python-модуль с полноценной реализацией MTProto) и попробовал создать такую базу у себя.
Расшаривание контактов и добавление в группу
Помните историю про гонконгский деанон? Бот добавлял пользователей в группу по номеру телефона, тем самым получал аккаунт, привязанный к телефону. В этой же статье журналист ZDNet связался с представителем Telegram. Последний заявил что массовый импорт будет сопряжён с проблемами.
We have suspected that some government-sponsored attackers have exploited this bug and use it to target Hong Kong protesters, in some cases posting immediate dangers to the life of the protestors
Поэтому я решил сначала пошарить контакты. Интерфейс официальных Telegram-клиентов позволяет расшаривать только тех пользователей, чей номер вам так или иначе видно. Однако, `telethon` позволяет расшаривать контакты с произвольным номером. Судя по его API, функция расшаривания — это отправка файла определённого типа. Для предварительной проверки я набросал скрипт, который без лишних вопросов отправил указанный контакт моему основному аккаунту.
Для проверки скриптом, я завёл «чистый» аккаунт (далее Бот), и отправил в ещё один аккаунт (далее Получатель) три номера: Паши, Даши и свой. У всех есть Telegram. Паша расшарил свой телефон вообще всем. Даша добавила в контакты Получателя. Свой номер я добавил дважды: сначала добавив Бота к себе в контакты, потом удалил у себя бота и добавил себя в контакты Боту.
Результат можно интерпретировать по картинке: нормально контакты шарятся исключительно при условии доступности телефона боту. С добавлением в чат всё ещё хуже. Я не могу добавить Ботом даже аккаунты с известным Боту телефоном, если они выключили эту возможность в настройках. Кроме того, Бота могут быстро забанить, если пользователи начнут сообщать о спаме. Так я никого не сдеаноню, самое время забыть об этой идее.
Синхронизация
Синхронизация контактов, как я уже сказал, потенциально влечёт к ограничениям для аккаунта. Но как это выглядит? Я написал ещё один [скрипт](https://github.com/asz/telegram_yellow_pages/blob/main/syncer.py), забирающий из базы случайные номера и добавляющий их в контакты. После этого скрипт парсит контакты, идентификаторы найденых в ростере аккаунтов добавляет обратно в базу, остальных отмечает нулями и удаляет контакты из ростера.
Затем я прогнал 5000 рандомных номеров, по слухам, именно такие лимиты работают в Telegram. В выводе не нашёл ни одного идентификатора, кроме самого Бота. Теперь, чтобы исключить возможные ошибки в коде и обманку Телеграма, добавляю к рандомным номерам вручную номер Даши, отключаю удаление контактов из ростера, уменьшаю объём выборки до 3000 номеров и прогоняю снова. Даши нет ни в ростере, ни в базе. Попытка вручную добавить Дашу намекает, что сработали лимиты Телеграма.
Вроде почти всё хорошо. Чтобы убедиться, я удалил аккаунт и зарегистрировал его заново, уменьшил количество телефонов до 3000 включая Дашу и прогнал скрипт ещё раз. Результат аналогичный. Похоже, что лимиты затрагивают не аккаунт, а номер телефона, с которого синхронизируются контакты. Кажется, всё хорошо, и телеграм действительно обеспечивает разумный уровень защиты от перебора.
Или нет?
В интернете упоминается как минимум два сервиса, которые, якобы просканировали широкий диапазон номеров. Один из них я проверил, работает плохо. Предположим, второй не врёт и им это действительно удалось. Давайте даже предположим, что им не нужно обрабатывать все 600 миллионов номеров и они откуда-то знают 150 миллионов реально активных номеров (чуть больше, чем по одному номеру на душу населения РФ). Сколько будет стоить просканировать всех за полгода, соблюдая все ограничения мессенджера? А за три месяца? А за месяц? А за один день?
Допустим, с одного номера можно сосканировать 5000 контактов в первый день и ещё 100 в каждый последующий. За полгода с каждого номера можно перебрать 23000 контактов (180*100+5000) , для перебора понадобится около 6500 номеров (150000000/23000) . Не так уж много, правда? Если каждая симка обойдётся в 150 рублей (а это дорого!), то расходы на их приобретение составят менее миллиона рублей. Подъёмная сумма даже для малого бизнеса! Для SIM-карт даже много оборудования держать не нужно, залогинился и запускаешь скрипт раз в день.
Но давайте пересчитаем по максимуму. Возьмём весь пул в 600 миллионов номеров и сократим сроки до месяца. Получится, что нужно 75 тысяч SIM-карт, которые обойдутся всего где-то в десять раз дороже (600000000/(5000+30*100)*150=11250000) . Придётся постараться найти столько симок, зато можно сократить их стоимость в такой партии. Потенциально можно использовать сервисы, которые позволяют регистрировать аккаунт от 3.5 рублей за штуку, а самые отбитые могут распространять трояны, чтобы крали SMS. Тогда это будет стоить сильно дешевле. Разработка не кажется сверхсложной, хостинг клиентов также не должен стать большой проблемой. Возможно, придётся использовать множество прокси, но это не точно.
Мне не удалось собрать базу из-за лимитов Telegram и это хорошо. Значит, есть некоторый порог входа для таких действий. Бесполезные скрипты я сложил в гит. Но нет ничего крайне сложного сделать это при наличии некоторых ресурсов. Особенно, если ограничить интересы конкретными регионами, например, в Еврейской АО меньше миллиона номеров в пуле, а в Башкортостане 12.5 миллионов.
Я предложил команде Телеграма информировать пользователя о возможности скрыть телефон. А вам напоминаю, что анонимность в социальных сервисах условна. Если вам не хочется попасть под массовый деанон, скройте свой номер телефона в Telegram для всех, кроме ваших контактов.
Источник: temofeev.ru
Telegram заблокировали в Ираке из соображений национальной безопасности и ради сохранения целостности личных данных
Министерство связи Ирака заявило о блокировке Telegram из соображений национальной безопасности и в целях сохранения целостности личных данных пользователей, с которыми приложение якобы обращалось неправильно.
Приложение широко используется в Ираке для обмена сообщениями и в качестве источника новостей и обмена контентом. Некоторые каналы содержат большое количество личных данных, включая имена, адреса и родственные связи иракцев.
В заявлении министерства говорится, что оно попросило приложение закрыть «платформы, которые сливают данные официальных государственных учреждений и личные данные граждан но компания не отреагировала ни на один из запросов».
«Министерство связи подтверждает своё уважение прав граждан на свободу слова и общения без ущерба для безопасности государства и его институтов», — говорится в заявлении.
В Telegram не ответили на запрос о комментарии.
Источник: www.ixbt.com
Telegram разблокировали в обход «пакета Яровой». Комментарий Георгия Бовта
Роскомнадзор объявил об отказе от требования по ограничению доступа к мессенджеру — решение согласовано с Генпрокуратурой. При этом источники говорят, что руководство Telegram не предоставляло властям ключи шифрования, а это обязательное условие «закона Яровой»
—>
Роскомнадзор заявил, что разблокирует мессенджер Telegram. Это случилось после того, как депутаты от «Справедливой России» Федот Тумусов и Дмитрий Ионин внесли законопроект о прекращении блокировок Telegram. В пояснительной записке было сказано, что мессенджер является официальным сервисом госорганов по распространению информации о коронавирусе.
В свою очередь, руководство мессенджера заявило, что не передавало российским властям ключи шифрования, но сотрудничает со спецслужбами по конкретным запросам, сообщает «Интерфакс» со ссылкой на источник во властных структурах. «Предоставление Telegram ключей шифрования стало неактуальным в силу технических причин. Однако мессенджер взаимодействует по конкретным кейсам в борьбе с терроризмом», — сказал собеседник агентства. Блокировка Telegram Роскомнадзором произошла по согласованию с Генпрокуратурой.
В среду, комментируя думский законопроект, я выразил мнение, что его судьба будет непростой. Его принятие напрямую противоречило бы известному «пакету Яровой», а значит, и устремлениям силовиков, стоявших у истоков этого законодательства. Им пришлось бы отступить. И неслучайно депутат от «Единой России» Александр Хинштейн, глава комитета Госдумы по информполитике, выступил против законопроекта, назвав его нереализуемым.
Строго говоря, так и произошло: принятие данного конкретного законопроекта стало неактуальным после снятия блокировки Telegram. Согласно «пакету Яровой», операторы связи должны хранить ключи для расшифровки переписки пользователей и предоставлять их ФСБ по запросу. Руководство Telegram отказалось выполнить это требование, назвав его технически неисполнимым, поскольку ключи хранятся на устройствах пользователей, а серверы мессенджера их не получают. После чего мессенджер и был заблокирован. На основании судебного решения и вышеупомянутого «закона Яровой».
Начиная с апреля 2018 года Роскомнадзор приступил к блокировке мессенджера. Безуспешно. Вся IT-отрасль с живым интересом наблюдала, как ведомство под руководством тогда Александра Жарова вступило в неравный технологический бой с мессенджером. И поскольку поначалу за дело блокировщики взялись особенно рьяно, жертвами битвы большой блокировки становились и совершенно невинные сайты и порталы. Весной 2018 года ущерб российских компаний от таких масштабных блокировочных действий оценили в 2 млрд долларов.
Тем временем практически все государственные структуры, а также государственные СМИ и самые лоялистски настроенные пропагандисты и государственники обзавелись собственными телеграм-каналами. Число пользователей мессенджера в России достигло 30 млн. А Роскомнадзор по-тихому отказался на практике от заведомо невыполнимой задачи, дабы окончательно не превращаться в посмешище и главного вредителя IT-отрасли. Впрочем, бывший руководитель ведомства в какой-то мере лицо сохранил. Не ему снимать блокировку, поскольку в марте Жарова на посту руководителя Роскомнадзора сменил Андрей Липов. Заключение перемирия со здравым смыслом произошло уже при нем.
Само же решение с юридической точки зрения не лишено определенного изящества. Но изящество это сугубо российское, родное. Судебное решение о блокировке Telegram, по сути, отменили по согласованию с Генпрокуратурой, сделав исключение и неформально сняв предписанные законом требования о предоставлении неких мифических ключей шифрования. При этом сам «закон Яровой», который, дабы окончательно примириться со здравым смыслом и технологическими реалиями информационного пространства, по-хорошему надо было бы просто отменить, пока не трогают. В том числе отменить в части требования обработки персональных данных россиян исключительно на российской многострадальной почве. Но вместо корректировки «пакета Яровой» пошли по излюбленному российскому пути исключения из правил.
Сыграло роль наверняка и то, что основатель мессенджера Павел Дуров успел поссориться с американскими властями, которые заблокировали его инициативу выпуска собственной криптовалюты. А враг Америки — это практически всегда нам друг. И, судя по всему, спецслужбы смогут наладить теперь вполне конструктивное неформальное взаимодействие с Telegram по борьбе с терроризмом, как это происходит в других странах. И так, как это делают те же Apple, Google, Facebook и Twitter, сохраняя баланс между конфиденциальностью для пользователей и пресечением конкретных преступлений с помощью интернета.
То, что исключение сделано для Telegram, вовсе не означает, что такие же исключения будут сделаны для Facebook, Twitter или даже Apple, которые отказываются переносить обработку данных россиян в Россию. В ЕС, где первоначально настаивали на схожих параметрах, в результате нашли компромиссное решение в части контроля за трансграничной передачей данных. Если не ломать дров, то можно найти решения и у нас. В худшем случае на фоне, скажем, резкой политической дестабилизации в России в будущем на вполне законных основаниях можно будет заблокировать все зарубежные соцсети, платформы и мессенджеры. Или они сами уйдут отсюда в качестве ответа на неприемлемые и технически абсурдные для них требования. Но хочется надеяться, что здравый смысл, хотя и с трудом, но продолжит прокладывать себе дорогу.
Источник: www.bfm.ru