Пользователи «Хабрахабра» пожаловались на предложение написать заказные статьи с антипиаром Telegram Статьи редакции

Пользователь «Хабрахабра» под ником Kpyto рассказал о рассылке неизвестными предложений по написанию заказной статьи, в которой бы Telegram прогнозировалось скорое сотрудничество с властями и прослушка. Об этом он рассказал в блоге на GeekTimes.

Письмо Kryto получил ещё две недели назад (примерно 23 ноября), однако рассказал об этом сообществу только тогда, когда пообщался со злоумышленником и получил подтверждение его намерений.

В первоначальном письме круг задач описывался максимально широко. Статья должна была стать всеобъемлющей критикой Telegram на основе недавних новостей о блокировке каналов ИГИЛ и обзоров уязвимостей мессенджера.

Требуется написать статью с ключевыми факторами, что:

телеграм не безопасен
телеграм читает нас — рядовых пользователей
сливает записи службам\правительству
прийдет ли конец телеграму, уйдет ли аудитория?

Поднять вопрос, к чему мы в итоге прийдем с данной проблемой:

Телеграм станет полностью несекьюрным, как и множество других мессенджеров
Будет работать с правительством напрямую (до прямого бэкдора, чтения переписок)
В чем же тогда остаеться преимущества телеграма перед другими мессенджерами?

из письма с требованиями к статье (орфография сохранена)

При этом в техническом задании отдельно помечалось, что статья должна выглядеть как общий обзор ситуации, не быть ярко выраженным антипиаром Telegram и не продвигать другие мессенджеры на замену ему.

Заключение — на рынке мессенджеров на сегодняшний день нет ни единого безопасного решения, и так будет продолжаться до тех пор, пока не появится методика обмена сообщениями не проходящими через какие-либо централизованные сервера.

из письма с требованиями к статье (орфография сохранена)

Kryto связался с автором письма по указанному адресу, где ему пояснили, что в случае написания текст будет размещён не только на «Хабрахабре», но и на других «ИТ-порталах». Позднее «заказчик» выдвинул более серьёзные требования к статье: для неё должны были быть опрошены около десятка экспертов, включая хакеров, имеющих опыт во взломе мессенджеров и краже переписки.

О сумме вознаграждения за материал и о возможных причинах размещения такой статьи пользователю Kryto узнать не удалось. Предполагается, что его выбрали в качестве одного из возможных авторов материала из-за высокого рейтинга — на GeekTimes он входит в топ-200.

По словам другого участника сообщества под ником Scratch, он получал подобное письмо от пользователя AmazingPeople. На странице этого аккаунта не указано никакой идентифицирующей информации, с момента регистрации в 2011 году не было написано ни одного комментария или статьи, а статус профиля говорит о том, что администрация перевела его в режим read-only.

Ещё один пользователь под ником Jeditobe также подтвердил получение подобных писем и рассказал, что по email-адресу, оставленному заказчиком для обратной связи, можно было найти и другие объявления на форуме Searchengines.ru о написании заказных статей по различным тематикам.

По словам Kryto, исходный аккаунт, с которого произошла рассылка предложений о написании статей, был заблокирован администрацией «Хабрахабра» уже через час, а в истории аккаунта было лишь несколько нейтральных комментариев.

Издатель «Хабрахабра» и GeekTimes Денис Крючков заявил TJ, что на пользователя активно жаловались в службу поддержки: «Мы разобрались в его активности и приняли меры». Основатель Telegram Павел Дуров прокомментировал ситуацию ещё 24 ноября: «Вероятно, те же дельцы, что засоряют в Твиттере соответствующий хэштег через рынки платных твитов».

0
76 комментариев
Популярные
По порядку
Написать комментарий...
Всякий татарин

На момент написания заметки ТЖ не получил официального ответа. Все как в старые добрые времена

Ответить
39
Развернуть ветку
Всякий татарин

Получение официального ответа — это во многом навязанный стереотип последних лет, который мы уже воспринимаем как собственное мнение. Предки редакции TJ, даже с самыми обширными связями, никогда массово не получали комментария.

Ответить
36
Развернуть ветку
Всякий татарин

Деды не получали!

Ответить
5
Развернуть ветку
Всякий татарин

ну, с таким же успехом это может быть многоходовочка по продвижению телеграма

Ответить
33
Развернуть ветку
Всякий татарин

Вирусняк

Ответить
1
Развернуть ветку
Всякий татарин

Надо смотреть, было ли подобное в других странах

Ответить
0
Развернуть ветку
Всякий татарин

Интересно, когда-нибудь вообще будет хоть сколько-либо массовое понимание что сама по себе фраза «$messenger_name безопасен/не безопасен», без модели угроз, не имеет никакого смысла?

Безопасность это же не какое-то абсолютное свойство, которое существует само по себе. Она зависит от того, что защищается (передаваемые сообщения, история сообщений, метаданные, факт использования системы — кучи вариантов), от каких атак защищается (пассивный перехват, активные атаки на трафик, атаки с физическим доступом к устройству и т. д.) и, в некоторой мере, от кого защищается, точнее, от того какими ресурсами обладает атакующий. Может атакующий в определенной ситуации что-то сделать — небезопасно. Не может — другое дело.

Но, таки да, в заказной статье есть часть правды — Telegram далеко не мечта шифрпанка — большинство его режимов работы не обеспечивает защиты сообщений от владельцев сервиса (и, насколько я понимаю, ни один режим не защищает метаданные), равно как и может быть недостаточным для защиты от атакующих, способных оказать на владельцев серьезное давление. Ну так параноики для задач, где требуется защита подобного плана, им вряд ли пользуются. Для такого есть более другие решения.

Ответить
14
Развернуть ветку
Всякий татарин

Денис Крючков не ответил
Павел Дуров не отреагировал
:'(

Ответить
13
Развернуть ветку
Всякий татарин

Путин не в курсе.

Ответить
19
Развернуть ветку
Всякий татарин

Пескову не интересно.

Ответить
5
Развернуть ветку
Всякий татарин

А Цукерберг так и не позвонил.

Ответить
7
Развернуть ветку
Всякий татарин

А что если это все многоходовочка от Дурова?

Ответить
5
Развернуть ветку
Всякий татарин

А ему какая выгода?

Ответить
0
Развернуть ветку
Всякий татарин

Становится известно, что конкуренты заказывают телеграм, значит он (телеграм) действительно хорош

Ответить
4
Развернуть ветку
Всякий татарин

железно

Ответить
0
Развернуть ветку
Всякий татарин

Чёрный пиар - тоже пиар

Ответить
1
Развернуть ветку
Всякий татарин

А что если от Гиктаймс?

Ответить
0
Развернуть ветку
Всякий татарин

Пф, какой же всё это дешевый ход. Авторы идеи еще австралопитеки

Ответить
4
Развернуть ветку
Всякий татарин

Дешёвый или дорогой — мы не знаем!

Ответить
7
Развернуть ветку
Всякий татарин

Сколько бы они ни собирались платить, это все равно дешевле, чем сделать антипиар телеграму конкуренцией.

Ответить
5
Развернуть ветку
Всякий татарин

Забавно, что от настолько дешевого хода телеграм только поднимается в глазах тех, кто об этом узнал.)

Ответить
1
Развернуть ветку
Всякий татарин

О сумме вознаграждения за материал Kryto узнать не удалось

Переписывался, условия узнавал, сумму вознаграждения не узнавал. Да да, так всё и было.

Ответить
4
Развернуть ветку
Всякий татарин

Хорошо, хорошо, ХОРОШО!! Поставлю я этот ваш Телеграм, поставлю!

Ответить
4
Развернуть ветку
Всякий татарин

Шифруй, не шифруй, но спецслужбам не интересно само содержание сообщений. Их интересует кто, кому и во сколько. Как только свяжитесь с нужным плохим человеком, тогда вас и вывернут наизнанку и телеграмм тут уже не поможет.

Ответить
3
Развернуть ветку
Всякий татарин

Не пали, у нас на "шифровании" вся бизнес модель построена!

Ответить
2
Развернуть ветку
Всякий татарин

Тут противоречие: выворачивание наизнанку показывает как раз что им было интересно содержание сообщений, просто они решили получить его альтернативным способом ;)

Ответить
2
Развернуть ветку
Всякий татарин

Я не связываюсь с плохими нужными людьми. Мне важно, чтобы моя переписка никем не могла быть прочитана кроме меня и моего собеседника.

Ответить
1
Развернуть ветку
Всякий татарин

Если факт общения с человеком ты не скрываешь но хочешь скрыть содержание переписки то тебе надо анус зашить

Ответить
1
Развернуть ветку
Всякий татарин

Не факт что поможет. Любой современный термокриптоанализатор может применяться различными инновационными способами, помимо интраректального.

Ответить
1
Развернуть ветку
Всякий татарин

Ну да, в последнее время на хакерских конкурсах всё чаще выигрывают с помощью социальной инженерии (на тупости людей)

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Всякий татарин

Нету.

Ответить
1
Развернуть ветку
Всякий татарин

Не совсем, шалтай публиковал скрины телеграма какого политика, но это скрины...

Ответить
1
Развернуть ветку
Всякий татарин

Взлом устройства там был, а дальше уже по**й, хоть квантовое шифрование — тупо с экрана картинка ловится.

Ответить
1
Развернуть ветку
Всякий татарин

Врут про Телеграм

Дурова унижают

А вот за это

У нас тут получают

Ответить
1
Развернуть ветку
Всякий татарин

Деньги

Ответить
0
Развернуть ветку
Всякий татарин

Так он Kryto или Kpyto?

Ответить
1
Развернуть ветку
Всякий татарин

Принципиальный?

Ответить
0
Развернуть ветку
Всякий татарин

Та ваще

Ответить
0
Развернуть ветку
Всякий татарин

Чечня круто!

Ответить
0
Развернуть ветку
Всякий татарин

"Упс"

Ответить
1
Развернуть ветку
Всякий татарин

В роскомпиндосе видимо посмотрели трилогию "Крестный отец" и решили действовать старыми добрыми сицилийскими т.е. русскими методами.

Ответить
0
Развернуть ветку
Всякий татарин

Ищите госзакупку на коня с белым пятном на лбу.

Ответить
7
Развернуть ветку
Всякий татарин

Телеграм одинаково ненавидят все авторитарные режимы, которые достаточно прошарены, что бы знать о нём - от Британии и США до РФ и Южной Кореи.

Ответить
0
Развернуть ветку
Всякий татарин

Что не так с Южной Кореей?

Ответить
0
Развернуть ветку
Всякий татарин

1 выходной в неделю
12 часовой рабочий день
2 недели отпуска
у женщин по умолчанию зарплаты ниже
женщинам запрещена "откровенная одежда"
за запрещённую литературу - в тюрьму
за несогласие с официальной версией гибели корвета Чхонан - в тюрьму
Рабский труд бездомных и инвалидов? - запросто
Если ловят на этом - максимум два года дают
Профсоюзных организаторов регулярно убивают или сажают
Профсоюзные собрания пиздят только так
Ежемесячно на верфях умирают люди, такие условия работы.

Когда-то США привезли к ним своего "президента" и поставило его "демократически" править. Хотя с 88го года там и "закончилась диктатура", фактически изменилось очень не многое.

Кроме всего прочего - до 80х там уровень жизни был сильно ниже, чем в Северное Корее - всё было с точностью до наоборот.

Это я ещё не коснулся ужасов Gangam Style

Ответить
0
Развернуть ветку
Всякий татарин

*1 выходной в месяц

Ответить
0
Развернуть ветку
Всякий татарин

У вас какая-то странная подборка авторитарных режимов, хочу сказать)

Ответить
0
Развернуть ветку
Всякий татарин

Если человек не может быть избран в президенты. не получив 200 миллионов долларов от корпораций, после чего вынужден "отдавать долги", то это самая обычная олигархия корпоративного типа. Остальное - чистые формальности.

Из списка, соглашусь, можно было бы убрать Британию, если бы не та жесть, которую сотворила Тэтчер с профсоюзами, сословность их общества и всякие там религиозные школы вызывают сильные сомнения "демократичности". Чем-чем там сильны, так это лицемерием. Лучшее в мире лицемерие со времён Виктории.

Ответить
0
Развернуть ветку
Всякий татарин

<sarcasm>
Кровавый сионист Цукерберг лично молчит конкурента!11
</sarcasm>

Ответить
0
Развернуть ветку
Всякий татарин

В сортирах

Ответить
1
Развернуть ветку
Всякий татарин

*мочит, тьфу

Ответить
0
Развернуть ветку
Всякий татарин

Любой пиар остаётся пиаром

Ответить
0
Развернуть ветку
Всякий татарин

Самый дельный мессенджер, если брать конкурентов

Ответить
0
Развернуть ветку
Всякий татарин

кому может быть выгодным материал такого рода

Человечеству?

Ответить
–1
Развернуть ветку
Всякий татарин

Склонен полагать, что это заказчик - государство, которому не выгодно, чтобы его население использовало непрослушиваемый мессенджер.

Ответить
–1
Развернуть ветку
Всякий татарин

WhatsApp,iMessage ровно с такой же сложностью от перехвата шифрует, но в отличии от Telegram не хранит переписку на серверах, которую можно получить по СМС коду авторизации (через подконтрольных сотовых операторов).

Похоже больше на хитрый пиар

Ответить
0
Развернуть ветку
Всякий татарин

Похоже, что мсье не слышал про двухфакторную авторизацию в Телеграме. Да и про конкурентов вранье. Хранят на серверах, а шифрование и защиту от перехвата хрен проверишь, ибо не опенсорс.

Ответить
2
Развернуть ветку
Всякий татарин

Для анализа не нужен доступ к исходному коду. Он полезен и серьёзно упрощает аудит, но не обязателен.

Более того, аудит должны проходить именно бинарники. Проверять один только исходный код имеет смысл только если или бинарник будет из него собран или если можно проверить что уже имеющийся бинарник был собран из него, причём доверенным тулчейном (компилятор, библиотеки, линковщик). Repeatable builds, вот это все.

Но, собственно, вопрос не в том, хранит или нет (они не хранят - ФСБКГБNSA сохранит), а в том имеют ли транзитные узлы доступ к содержимому сообщений. Скажем, iMessage не имеет (есть документация по его архитектуре и аудит), Signal аналогично, про WhatsApp не знаю (они экспериментировали с end-to-end шифрованием, но я не следил чем все кончилось), а Telegram имеет (и хранит) все, кроме секретных чатов.

Ответить
2
Развернуть ветку
Всякий татарин

Еще раз, насколько я понимаю всеми признается наличие в Телеграме end-to-end шифрования, 2х-факторной авторизации, возможности не хранить сообщения на серверах. Основная претензия, что в отличие от того же Apple, это не навязывается, а представляется в качестве альтернативного способа коммуникации. Окей, просто я не считаю, что отсутствие выбора есть благо.

Ответить
0
Развернуть ветку
Всякий татарин

Секретные чаты тоже хранятся на сервере, как и сообщения в whatsapp, но они удаляются после отправки (если верить всем этим компаниям)

Ответить
0
Развернуть ветку
Всякий татарин

Похоже, что мсье не слышал про прослушку данных GSM и перехват чужих SMS

Ответить
0
Развернуть ветку
Всякий татарин

И чем вам поможет перехват смс с кодом при необходимости для авторизации еще и пароль ввести?

Ответить
1
Развернуть ветку
Всякий татарин

У меня всего один большой вопрос к Telegram, почему они не сделают функцию обмена ключами без помощи интернета? Это удовлетворит большинство конкретный параноиков.

Ответить
0
Развернуть ветку
Всякий татарин

А такое в принципе возможно?
Это ж идея еще более супер-безопасного мессенджера.

Ответить
0
Развернуть ветку
Всякий татарин

Конечно, без проблем.
Например в greylink (DC++ клиент) реализована такая фича, ты обмениваешься ключами по любым каналам, потом вы оба включаете шифрование и переписываетесь..., если кто-то один из вас зашифровал свои сообщение ключем и не поделился им, то все отправляемые собеседнику сообщения выглядят как каракули.

Ответить
1
Развернуть ветку
Всякий татарин

Большинство параноиков волнует не проверка ключей, а использование странных и нетипичных криптографических конструкций. Поэтому параноики продолжают пользоваться OTR и OpenPGP (в зависимости от требований), которые построены на том, что уже много раз исследовано и проверено.

Inb4 «ну взломай, они денег дают» — так вот эту издевку тоже не взломали http://thoughtcrime.org/blog/telegram-crypto-challenge/, что не означает что RSA без операции дополнения, MD2 и XOR это безопасно.

Ответить
0
Развернуть ветку
Всякий татарин

Скажите мне свой номер в Telegram и СМС код который вам придет, я пришлю скриншот с вашей перепиской.

Хорошо только, что приложение уведомит вас о том, что произошел логин с другого устройства (если оно установлено в данный момент конечно). Но это не помешает получить переписку.

Ответить
–1
Развернуть ветку
Всякий татарин

Не все так просто, в общем случае. Там есть (опциональная) двухфакторная авторизация, когда надо не только иметь доступ к SMS, но и знать пароль.

Но по умолчанию этого нет. Как и шифрования сообщений.

Ответить
0
Развернуть ветку
Всякий татарин

Ну так это отключено по умолчанию, так же как и секретные чаты люди не используют по умолчанию. Apple в этом плане намного лучше защищает своих пользователей. Я могу прожить мирную жизнь не собираясь шифроваться, на на 7 год придет Сталин и всех будет сажать - и мне уже поздно будет включать пароли.

Ответить
2
Развернуть ветку
Всякий татарин

Apple может себе позволить, т.к. рынок уже у них. А Telegram нужно было рынок зарабатывать.

Соответственно, вопросы безопасности стояли на втором месте после удобства и рюшечек, и где компромисс сложился не в пользу защиты — дело поправит агрессивный маркетинг. Мышление типичного неискушенного пользователя бинарно и не оценивает тонкостей (т.к. даже не знает о их существовании), соответственно необходим и достаточен именно девиз «это безопасный мессенджер», а не фактическая ситуация, которая на порядки сложнее и не так красива.

Ответить
1
Развернуть ветку
Всякий татарин

И то, даже Apple «схалявила» там, где конфликт между юзабилити и безопасностью был довольно сложным.

Очень сложно сделать безопасный аутентифицированный обмен ключами так, чтобы этим мог пользоваться простой, неискушенный тонкостями человек. Многие пробовали, но все как-то не «взлетает.» Поэтому (или не поэтому, хех), чтобы не пугать людей сложностями, все это Apple от скрыли и оставили на уровне доверия к ним.

Так что, в теории, никто Apple не мешает всунуть среди ключей, на которые шифруются сообщения, еще один «для NSA.»

Ответить
0
Развернуть ветку
Всякий татарин

По крайней мере, насколько я понимаю, Телеграм предлагает удобный инструмент для проверки наличия MITM путем офлайнового сравнения отпечатков (картинок). В случае же с imessage шансы проверить соединение на наличие кого-то посередине нулевые.

Ответить
1
Развернуть ветку
Всякий татарин

В последнее время напрягает услуга билайна "Бесконечный трафик в чате WhatsApp" самое интересное что эта "услуга" работает на линейки "ВСЕ" в которой и так предусмотрен безлимитный мобильный интернет (правда с ограничением скорости насколько я помню), еще и в детализации отображается тркафик с whatsapp. Погугил оказывается они заключили какое-то соглашение, какое соглашение может заключить американский интернет месседжер и российский сотовый оператор? все это как-то бессмысленно и немного напрягает.

Ответить
1
Развернуть ветку
Всякий татарин

Хм, наверно это всё Путин? Да?

Ответить
–23
Развернуть ветку
Всякий татарин

Да. Ждём его комментария.

Ответить
18
Развернуть ветку
Всякий татарин

Ответить
0
Развернуть ветку
Читать все 76 комментариев
null