Просмотров: 11820

Маркетологи в штатском или почему crypto суксь


Паника среди украинских толстосумов и VIP’ов, многие из которых очень активно использовали белорусский мессенджер Viber (которым активно пользовалось большинство депутатского корпуса Украины). По сведениям сразу из нескольких источников, СБУ нашли способ прослушки всей переписки в рамках этого популярного мессенджера (на всей территории этой прекрасной голубой планеты).

В итоге ажно сам господин Президент Украины и толпы украинских депутатов отказались от няшки Viber’а и перешли на... впрочем, обо всем по порядку уже под катом.

Шифрование уязвимости Маркетологи в штатском или почему крипто суксь Viber telegram безопасность

ЧП украинского масштаба

Депутат-аноним объясняет, почему был выбран именно Viber:

Мы рекомендовали взяточникам общаться по viber, поскольку он не прослушивается украинскими «правоохранителями». За прошедшее время, ситуация изменилась.
Украинцы по-прежнему не в состоянии прослушивать skype, viber и whatsup, но им помогают американцы в рамках противодействия российской угрозе. СБУ может получить любые распечатки, в том числе за прежние периоды: ваша переписки в этих сетях хранится на американских серверах бесконечно, даже если вы ее стираете.

Но развязка сюжета наиболее драматична — все взяточники, преступники, депутаты и VIP-политики Украины (я просто не знал, как всю эту скользкую аудиторию обозначить одним словом, поэтому прибег к перечислению) массово переходят на дуровский Telegram.

Показательная цитата о буднях политической хроники Украины:

Актуален вопрос безопасности партийных чатов. Дело в том, что большинство политсил пользуются в обсуждении идей и проблем Viber-конференциями. Чат Блока Порошенко именуется лаконично, «БПП», а лидеры «Оппозиционного блока» пару месяцев назад прокололись, назвав чат «Политсоветом» (над чем долго потешались парламентские фотографы). «Фракции по старинке пользуются Viber, причем активно. То же — министры. Хоть можно перейти и на новые сервисы, — утверждает политолог Андрей Золотарев. — К «Телеграму» есть вопросы (его создали на средства Павла Дурова, разработчика «ВКонтакте». — Авт.), а вот европейцы пользуются «Вотсапом».

В Блоке Порошенко дилемму решили переходом на «Телеграм»: там обретается большая часть фракции. «У нас два чата — в Viber и „Телеграме“, причем и там, и там неполным составом, — пояснил львовский мажоритарщик Тарас Батенко. — Несколько месяцев назад к „Телеграму“ подключился Петр Порошенко — там теперь происходит основное общение. Про Viber мы, конечно, слышали. Среди депутатов и в бизнес-группах ходят слухи, что он легко ломается, считывается разными спецслужбами, в т. ч. украинскими». Во фракции «Самопомощи» нам также подтвердили использование Viber-чата.

Ай да Дуров, ай да вконтактовский сын! Партийные чаты — наше всё!

Три уровня компрометации

Конечно, этот украинский шухер приведен просто как наглядная иллюстрация трындеца, ведь вопрос безопасности интернет-коммуникаций не является сугубо украинским, в России, например, он стоит даже ещё острей. Поэтому далее хотел бы разродиться порцией конструктива.

Во-первых, оставлю ссылку-твит на свежий материал по теме:

Во-вторых, процитирую мнение специалистов для тех, кому есть что скрывать:

Специалисты рассказали каким образом получается взломать Viber и дали несколько советов для повышения безопасности. Злоумышленники получают доступ к чужому аккаунту через повторный запрос OTP-пароля, который приходит по SMS для привязки аккаунта к SIM-карте. Повторно пароль можно запросить из-за того, что появилась версия Viber для компьютеров.
Самый легкий способ узнать четыре цифры из OTP-пароля — иметь физический доступ к телефону. Иначе придется перехватывать текст SMS, что займет больше времени. Обеими путями можно добыть переписку любого контакта. Относительно советов по безопасности, защиту от взлома должна повысить частая смена паролей, отсутствие привязки номера телефона в Viber к имени и фамилии, периодическая чистка переписки.

В-третьих, отталкиваясь от всего вышесказанного, добавлю уже от себя. Говоря максимально общно, лично я выделяю три уровня перехвата контроля над ИТ-системами и получения чужой конфиденциальной информации.

Первый уровень — это уровень центральных мировых спецслужб, как правило — это встроенная функциональность самих ИТ-систем. Примеры — недавние истории про откровенно жуткое воровство личных данных со стороны Windows 10, про также недавно встроенную (через обновления) телеметрию в Windows 7/8, постоянные обвинения в слежке ряда системных продуктов типа Антивируса Касперского... это «уровень богов», на котором у вас могут спереть всё что угодно, и вы, надо только признаться в этом честно, ничего поделать с этим не можете (разве что радикально сменив весь софт на бесплатные и открытые проекты).

Второй уровень — это перехват SMS на уровне канальных операторов (и, соответственно, скрытое восстановление паролей со всеми последствиями), систем глобального снифинга трафика типа СОРМа, также это официальные запросы к «богам» из первого уровня (типа всех этих мутных историй о выдаче личных данных и переписок пользователей, например, Скайпа, правительствам самых разных тоталитарненьких государств).

Шифрование уязвимости Маркетологи в штатском или почему крипто суксь Viber telegram безопасность

Третий уровень — бытовой. Это уровень уже обычных хакеров, которые тырят чужие пароли через самые разные уязвимости, трояны и вирусы, создавая фишинговые страницы и мутя прочую самодеятельную муть, которую «пипл хавает».

Суммируя: богам с первого уровня не надо палиться и вся необходимая им функциональность поставляется в изначально встроенном виде (глобальный и имманентный уровень доступа). Даже если вы находитесь, например, внутри закриптованного VPN-туннеля, сама Винда уже шлет сообщения своим хозяевам, поэтому внешний контроль/мониторинг канала просто избыточен.

Запомните центральную концепцию этого привилегированного уровня: скрытые (хорошо замаскированные на уровне низкоуровнего фреймворка или ОС) технологии и административный ресурс в сочетании дают мощнейший синергетический эффект.

Второй уровень — это модель «осажденной крепости», — контроль каналов доступа конечного национального пользователя и парсинг/мониторинг всего проходящего мимо.

И даже если по каналу и ползет что-то глубоко закриптованное и странное, свободный доступ к мета-информации, в частности к данным отправителя, дает возможность точечно применять силу для увеличения эффективности на местах.

И, наконец, третий уровень — это место для хакеров-одиночек. Это своего рода ИПешники в мире хакинга и черной ИБ.

Констатация проблемы на примере СМС

Собственно, проблема последнего времени заключается в том, что уровень 2 и 3 стремительно смыкаются. То есть перехват ваших СМСок сегодня — это обыденная фигня, для которой давно не нужно полномочий спецслужб.

Ниже привожу пример совершенно обыденной московской истории, и я вас уверяю — счет на такие истории в пределах той же России — ныне идет на тысячи. Также привожу аналогичные истории менял с аналогичным почерком, чтобы вы оценили их массовость и эффективность.

Пожалуйста, прочитайте пару этих однотипных историй про угон ваших «симок», что в РФ приняло масштабы настоящей эпидемии, и возвращайтесь обратно, чтобы лучше поняли, о чем я тут вам втираю.

Обратите внимание: если ещё лет 5 назад перехват вашего авторизующего СМС, создание копии-дубликата (перевыпуск) вашей симки«, прозрачная переадресация СМСок было привилегией реальных спецслужб, то сейчас это делают уже «гопники с района». Например, в Билайне любой человек может позвонить с левого номера в справку оператора, назвать ваши паспортные данные, три номера на которых вы часто звонили последнее время, и после этого поставить переадресацию куда ему угодно. Я бы не хотел светить другие подобные примеры в паблике, но уверяю вас, что сегодня перехват контроля над вашей симкой это вопрос исключительно желания и времени.

Таким образом, безотносительно ко всему мощнейшему крипто под капотом, мне непонятна реальная мощь Telegram, авторизующий пароль к чату у которого также отправляется посредством обычной СМС, которая может быть элементарно перехвачена третьей стороной.

Шифрование уязвимости Маркетологи в штатском или почему крипто суксь Viber telegram безопасность

Кроме того, я уже писал материалы про хроническую ненадежность стандартного https-шифрования (см. «Это СОРМ, детка» или «Снятые с канала: ФСБ против https»), поэтому уверен, что двухфакторная авторизация в традиционном своем виде защищает в лучшем случае лишь от атак 3 уровня, и уж точно не перекрывает наглых поползновений спец-сущностей из 1 и 2 уровней бытия.

Для иллюстрации оного отобрал лишь свежий пример угона Gmail с включенной двухфакторной авторизацией:

Впрочем, на первом уровне в последнее время также творится что-то невероятное — внедрение повальной телеметрии удаленных систем непосредственно в ОС проводится широким фронтом, открыто и подчеркнуто цинично.

С такими темпами мимикрии под шпионский софт пройдет ещё года два-три, и вы не узнаете свой привычный Windows.

Центральный вывод

Собственно, что я хотел сказать? Пересадка с Viber’a на Telegram, ИМХО, полностью наивна и бесперспективна. Это тешит ваше самолюбие, не более того.

Государства, особенно если ОНИ объединяются в единую суперсистему, невозможно переиграть хоть с какой угодно сильной криптографией, как минимум на 1 уровне доступа любая конфиденциальность подавляется и невозможна в принципе. Посредством телеметрии скрываемое сообщение поступит на уровень 1 ещё в процессе его набора, задолго до того как оно будет покрыто броней криптографических средств и отправлено в свободное плавание по каналу. А с учетом партнерско-юридических механизмов, обнаженных в этом конкретном украинском примере, когда государства-союзники типа Украины могут свободно обращаться к «богам» на предмет выдачи интересующей их информации, делает тотальный контроль доступным даже для агентов 2-го уровня.

И хотя обычных людей это (пока) не касается (есть исключения, например, смотрите мой пост «ФСБ взяла за жопу»), для меня примечателен именно тренд стремительного размывания границ между этими тремя четкими уровнями. Вот именно об этом я и хотел написать эту короткую заметку, предостерегая мирянина от бренности излишних криптографических изысков.

Шифрование уязвимости Маркетологи в штатском или почему крипто суксь Viber telegram безопасность

Update: ещё раз для тех, кто в танке

Я был вынужден дописать этот апдейт, потому как на местах некоторые поняли меня неверно.

На самом деле нет, я не против шифрования-криптования, в большинстве случаев это всё-таки имеет смысл. Мой материал написан лишь для придания степени реалистичности процессу информационной самозащиты в Сети, для чего для удобства я ввел классификацию трех уровней компрометации. То есть если на вас «есть зуб» у центральных государств типа США (к примеру, вы перспективный кардер), то материал позволяет более объективно посмотреть на возможности уровня 1, который и будет играть против вас, вместо того чтобы потом ныть насчет того «как они это сделали, черт».

Соответственно, если вы опасаетесь местного «КГБ», то можно ориентироваться на возможности второго уровня, и именно здесь (пока) криптография часто рулит. Ну и, соответственно, если у вас нет денег и мобильного банкинга, а также нет вообще никаких других рисков — можно вообще забить, потому что вы — неуязвимы. Я, например, для интернет-банкинга использую только карточки одноразовых паролей («коды для интернет-платежей», карты одноразовых ключей), а в тех местах, где это невозможно, у меня находится иностранный моб.номер в местном роуминге (что поднимает риски компромитации хотя бы до 2 уровня). Этот материал позволяет просто более адекватно подобрать защиту в зависимости от ваших текущих персональных вызовов, но никакого отказа от шифрования я не проповедую.

Что хуже всего, для тех, кто не понял главной сути поста, я повторно обращаю внимание на тендирование к сращиванию этих уровней в последнее время, то есть ваша приватная информация начинает свободно торговаться уже между разными уровнями, что резко повышает угрозы «обычного маленького обывателя» с его сраными 100k рублей на накопительном банковском счету. Чекистов всё больше интересует маркетинг, а попранная приватность подталкивает к монетизации.

Пример Украины и зашкваренного Viber’a вначале поста какбэ должен помочь осмыслить последствия сего опасного тренда, не только для взяточников и VIP’ов, но и для тебя, мой читатель. Поэтому шифруйтесь на здоровье, но имейте в виду всё вышесказанное. Предупрежден — значит вооружен. А для излишних оптимистов рекомендую свой давний и более общий пост: Прогресс не остановить -> почему ваша приватность обречена.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , ,
Эта запись опубликована: Воскресенье, 30 августа 2015 в рубрике МненияНовости.

13 комментариев

Следите за комментариями по RSS
  1. Это мицгол. Чего от него ещё ждать?

    За информацию и размышления - спасибо.

  2. Александр

    Кто мешает настроить на роутере фильтры и не пропускать в мир ненужную инфу ? :) По крайней мере для домашнего компа и рядового обывателя - неплохое решение.

  3. А что это за зверь: «карточки одноразовых паролей»?

  4. Lopar - вот на примере Сбербанка:

    http://www.bankandcard.ru/odnorazovii-paroli-v-sberbanke-online.html

    В моем банке это сделано гораздо цивильней - скретч-карта с 50 паролями.

  5. Эх. С новостью об обновлениях Windows 7/8 и запихиваемой телеметрией желание перейти на какой нибудь линуксовый дистр сильно выросла. Но где гарантия, что где-то в недрах материнской платы или на уровне UEFI не стоит эта самая телеметрия, и все усилия по сохранению приватности, при отсутствии OpenHardware+OpenSoftware+Crypto, бесполезны.

  6. > Я бы не хотел светить другие подобные примеры в паблике

    Светите спокойно, это не секретная информация. За бугром об этом пишут статья, книги. Сама техника называется "pretext" или "pretexting".

  7. Программер

    Для обхода проблемы с SMS, сейчас все больше используют QR-код.

    У меня например есть приложение для передачи данных между компом и iPhone, или между несколькими iPhone через последовательность QR-кодов. Кто хочет может тут глянуть http://pashka-software.com/qr_send/ru/index.html

    Статья же правильная, мы с ускорением идем к миру без приватной жизни. К этому следует привыкать. Думаю что это достаточно закономерное явление, так как возможности отдельно взятого человека сильно возросли, а с ростом возможностей растет и контроль (если брать историческую ретроспективу, это хорошо заметно).

  8. Программер: в чем принципиальная разница в выковыриванием смса из потоков, и изображения QR-кода из такого же потока? (СМС - был просто произвольным примером, на его месте мог бы быть QR).

  9. > мы с ускорением идем к миру без приватной жизни.

    Пометка: идут плебеи, а местами их ведут.

    О жизни другой стороны (богатенькие коты, селебритис и прочий схожий народ) можно краем глаза скользнуть хотя бы полистав популярные книжки, затрагивающие темы частного сыска, финансовую и прочие виды конфиденциальности и т. п. вещи. Почти все они описывают ситуацию в США, но для общего развития информации хватит.

    И, на мой взгляд, к уничтожению частной жизни нужно не привыкать, а всячески совать палки в колёса уничтожителям.

  10. Читатель

    Тема SS7 на 2 уровне не раскрыта.

  11. А почему этот блог не работает по HTTPS?

  12. Revertron:

    А смысл? Дань моде, нагрузить свой сервак побольше? Не вижу никакого практического смысла, этот публичный блог не есть сервис, где важна приватность и секурность.

  13. Stringer:

    Я считаю, что HTTPS это как элементарная гигиена. Вы, как никто другой, должны понимать это.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз