ФРАНЦУЗСКИЕ СПЕЦСЛУЖБЫ РЕШИЛИ ЗАБРАТЬ У ДУРОВА КЛЮЧИ ШИФРОВАНИЯ ОТ ТЕЛЕГРАМ.
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
Именно такими заголовками пестрят сегодня российские СМИ. Уж не знаю, то ли они не смогли найти технических консультантов за 6 лет, то ли пытаются реабилитировать старый косяк Роскомнадзора, который именно под этим лозунгом (непредоставления ключей) блокировал Телеграм в 2018, но это заголовок – полнейший бред по паре причин:
1. Универсальных ключей, позволяющих читать все чаты – не существует. Это противоречит всем законам современной криптографии. При входе в ваш аккаунт ТГ с нового устройства, для него создаётся новый уникальный набор ключей для обмена информацией с сервером.
2. Если вы решите создать с кем-то защищённый чат, то этот самый набор ключей будет создаваться напрямую на ваших устройствах, сервер о нём, вообще, не узнает.
Какие тут ключи пытался получить РКН в 2018, о каких ключах вещает российская пропаганда сегодня – непонятно…
Значит ли это, что Телеграм взломать невозможно и никакие спецслужбы в него влезть не смогут? Нет, конечно. И, если бы сотрудники российских СМИ смотрели интервью Дурова, они бы знали, как это делается. Прямо в нём он рассказал историю, как представители ФБР «беседовали» с одним из его сотрудников, по сути, описав, как сегодня спецслужбы читают мессенджеры. По сути, единственный универсальный (Да, есть ещё неуниверсальные, вроде взлома телефона, SIM-карты и т.д.) способ – это использование уязвимостей в программе. Тут, опять же, есть три пути:
Первый – поиск ошибок разработчиков (а они есть в любом ПО. Недавний случай с одним из крупнейших производителей средств защиты информации, Crowdstrike, это показал), но это долго, дорого и ненадёжно – разработчики всегда могут прикрыть найденную спецслужбами дыру, чем заставят их искать новую.
Второй – что-то сродни закладке. Дело в том, что какой бы крутой ни была команда программистов у продукта, написать весь код, от строчки до строчки, она не может. Рано или поздно, разработчики придут к выводу, что изобретать колесо – идея плохая, и лучше использовать в своём продукте уже готовый кусок кода – библиотеку – созданный кем-то другим. Эти библиотеки, обычно, лежат в интернете, могут использоваться по открытой лицензии, контроль уязвимостей в них налажен куда хуже, чем в коммерческих продуктах, а их создатели, нередко, анонимны. Поэтому, найти уязвимость в библиотеке или же внедрить в команду создателей своего сотрудника, который бы создал в продукте нужную дырку – куда более надёжный вариант. Но тут есть ещё одна проблема – далеко не факт, что интересующий вас продукт внедрит нужную вам библиотеку, уязвимости в которой вам хорошо известны.
С этой проблемой справляется третий вариант – подкупить члена команды разработки, чтобы он внедрил в продукт нужную вам библиотеку. Именно эту историю Павел и рассказывал на своём двустульном интервью. И именно этот вариант – наиболее правдоподобен, с точки зрения реального желания спецслужб читать переписку, а не с точки зрения поиска причины для запрета приложения. Но, что логично, этот вариант наименее осуществим при сценарии открытого задержания владельца сервиса, который принимает решения о функционале сервиса, а не его технической реализации и используемых библиотеках...
👍4❤3