Полезные знания Как читать телеграм без перевыпуска сим-карт и прочей чуши? Рассказываю.

Alley Cat

Модератор
Команда форума
Модератор
Private Club
Регистрация
1/11/16
Сообщения
3.063
Репутация
6.156
Реакции
12.249
RUB
2.445
Сделок через гаранта
8
Итак, сеть полна заявлениями двух противоборствующих сторон, одна из которых рассказывает, что телеграм читать невозможно, иначе как получив доступ к номеру (сим-карте) абонента. А посему достаточно купить сим-карту в иностранной юрисдикции и проблем нет. Другие, напротив, утверждают, что «Паша Дуров слил ключи от телеги и всё читается». Самое смешное здесь то, что обе группы и неправы, и правы одновременно. Правы в том, что никакой Паша никому никакие ключи не сливал. Неправы в том, что «телегу не читают». Как они это делают? Садитесь, ребятки, в кружок. Сейчас расскажу.

В своё время попался мне под руку прелюбопытный документ под названием Managing risk from transport layer security inspection (управление риском, исходящим из возможности обследования транспортного уровня безопасности). Транспортный уровень - это TLS, он у вас в в операционную систему встроен. Transport layer security inspection (сокращённо TLSI) – это разновидность хакерской атаки «человек посредине» (Man In The Middle), когда между условным вашим компьютером и условным сервером Гугл Мэйл устанавливается некое оборудование, которое перехватывает весь трафик, расшифровывает его, передаёт «куда надо» а затем заново зашифровывает, подставляя исходные заголовки серверов Гугла. Таким образом, и сервер Гугл Почты, и ваш компьютер, оба думают, что между ними установлено зашифрованное TLS/HTTPS зашифрованное соединение и все данные безопасны, а это не так, и все ваши данные доступны государству.

Самое интересное, что документ Managing risk from transport layer security inspection в России засекречен. Вы не сможете найти его, используя любой российский поисковик. Идём в любой браузер и пишем TLSI site:media.defense.gov. Ни в одном российском поисковике ничего не находится, даже если вы используете прокси США или физически находитесь за пределами России. Можете попробовать. В то время, как в Гугле и Бинге информация прекрасно ищется. Если вы сейчас подумаете «ну что такое, ну не проиндексировался документ с американского сервиса», то нет, ребята, другие документы прекрасно индексируются (просто уберите TLSI в начале и убедитесь сами). Этот документ, по сути, и есть «закон Яровой», описанный на техническом уровне. Таким образом, очевидно, что такие компании как яндекс, мэйл.ру, рамблер занимаются ничем иным, как цензурированием. Это не фильтрация на уровне интернет-провайдера.

Что же такого уникального в этом документе? Там описывается на английском языке на 4 страницах А4 формата (не поленитесь, прочитайте хоть с использованием Гугл-переводчика, для IT-текстов он переводит вполне сносно) как именно осуществляется перехват TLS, его расшифровка, обследование, повторная зашифровка и подмена сертификата). Так вот, любые (подчёркиваю – любые!) TLS/SSL сертификаты, выпущенные на территории РФ, являются поддельными, созданными по такой технологии. То есть в любой момент могут быть перехвачены и расшифрованными, со всеми вытекающими. Для этого совершенно не нужно ни у какого Паши получать никакие ключи.

Более того, основная угроза этой технологии (и это описано в документе) даже не в том, что ваш трафик прочитают и изучат, а том, что фактически модифицируя шифрованный трафик ничто не гарантирует подлинности вашего сообщения. И что этой технологией можно злоупотреблять. Вы написали о том, что у вашей кошки родились котята, а тот, в чьих руках технология, может изменить ваше сообщение на то, что в ближайшей школе заложена бомба. И любая, подчёркиваю – любая, самая непредвзятая в мире экспертиза подтвердит, что именно вы написали то сообщение о бомбе в школе.

Почему именно телеграм наиболее опасен для теневой деятельности?

Телеграм – это чисто облачное решение, построенное по принципу венчурного капитала. Его сервера раскиданы по всему миру. Не существует никакого «датацентра телеграма». Аренда серверов стоит денег, далеко не малых. По разным оценкам – от 1 до 2 млн. долларов в месяц. Есть у Паши такие деньги? Конечно же нет. А вот у венчурных капиталистов они есть и именно они Паше денег и дали. На сегодняшний день телеграм как продукт не монетизирован, а сервера оплачиваются. Следовательно, нельзя говорить о прибыльной бизнес-модели. Паша хотел монетизировать телеграм за счёт криптовалюты, на которую ещё собрал туеву кучу денег, но Министерство Юстиции США дало Паше от ворот поворот и этот способ крякнул. Стало быть, деньги инвесторам Паша должен был вернуть. Это не российское ООО с уставняком в виде стула и стола за 10 000, которое набирает 100 миллионов «инвестиций» и пропадает. На условном Западе такие ходы конём не прокатывают. Сделай Паша такое на Западе – он бы там дворником потом не смог устроиться, про IT-бизнес речь вообще не шла. Здесь ещё совершенно необходимо вспомнить, как именно был заблокирован телеграм в России и как он был разблокирован. Блокировка была оформлена решением суда, на которое была апелляция и кассация, и 2 вышестоящие инстанции подтвердили правильность решения суда первой инстанции. Даже Жаров (в тот момент глава Роскомнадзора) оправдывал блокировку телеграма тем, что он исполняет решение суда. А вот разблокировка прошла очень интересно. Некая «инициативная группа» пишет письмо в Госдуму, что телеграм нужно разблокировать. И Госдума его разблокирует! Если вы хотя бы минимально знакомы с юриспруденцией, то в этот момент должны начать рвать на себе волосы. Есть решение суда (подтверждённое двумя вышестоящими инстанциями), оно не отменено, оно действует. И некая группа просит «а давайте не будем это решение исполнять?». А Госдума этой группе и отвечает «а давайте!». И всё. Если хотя бы немного умеете причинно-следственные связи выстраивать, то совершенно понятным становится и возврат Паши в Москву, и разблокировка «телеги» и недавний пашин наезд на айфон и рекомендация использовать андроид. И Айос, и Андроид, если так очень приблизительно описывать, это такой ящик, куда можно положить ценности (приложения). При этом Андроид – это просто ящик, куда можно скинуть всё, и ценности (приложения) могут соприкасаться друг с другом (взаимодействовать). А Айос – это ящик с отсеками, где каждая вещь (приложение) по отдельности и с другими вещами (приложениями) не взаимодействует. Не надо быть гуру кибербезопасности, чтобы понять, какая модель более безопасна. В то же время Паша говорит ровно всё с точностью до наоборот. Резонный вопрос: почему он это делает? Выводы каждый делает сам.

Таким образом, рекомендации для тех, кто не считает, что его частные дела должны быть доступны неограниченному кругу лиц. Под неограниченным кругом я понимаю российскую «спецуху», которая с легкостью будет вас мониторить, если вдруг вы выскажете недовольство Володей или просто продаст данные вашим конкурентам, потому что те за них заплатили.

1. Не использовать никакое ПО, произведённое и/или модифицированное в РФ. Купили ноутбук с предустановленной Windows? Отформатируйте жесткий диск, закачайте обычные MSDN англоязычные версии с оригинального сайта Майкрософт. Русский язык и русские меню в них поставить совершенно не проблема. А ещё лучше – покупайте железо без предустановленного ПО вообще и за рубежом (зарубежные покупки они будут душить и рано или поздно задушат).
2. Не обсуждайте в российских соцсетях и мессенжерах ничего, кроме котиков.
3. Откажитесь от телеграма.

Отдельная просьба к пещерным IT-специалистам с 1/6 части суши! Пожалуйста, не нужно писать мне в личку, что телеграм использует не алгоритм TLS/SSL, а шифрование Даффи-Хелмана, я это прекрасно знаю. Перехват и расшифровка этого алгоритма также производится, чуток другим способом только.

P.S. Прикрепил сюда документ с сайта Министерства Обороны США Managing risk from transport layer security inspection
 

Вложения

  • INFO SHEET MANAGING RISK FROM TRANSPORT LAYER SECURITY INSPECTION.PDF
    842.9 KB · Просмотры: 33
Последнее редактирование:
Телеграм абсолютно не анонимен - об этом уже все знают
 
Столько текста, хоть бы упомянули, что если енд-ту-енд включить, то ситуация немного меняется... Ну и как сайтом этим тогда пользоваться, почему не написали? Я новичок тут, но вижу что все практически по поводу своих услуг в телеграм зовут, есть другие варианты?
 
Столько текста, хоть бы упомянули, что если енд-ту-енд включить, то ситуация немного меняется
Вообще никак не меняется. Вы вообще ничего из прочитанного не поняли.

Ну и как сайтом этим тогда пользоваться, почему не написали?
Написал. Просто Вы в силу своей безграмотности этого не увидели.
А ещё лучше – покупайте железо без предустановленного ПО вообще и за рубежом
но вижу что все практически по поводу своих услуг в телеграм зовут
Их право звать кого угодно и куда угодно. Ваше право не идти за ними.
Мне мама в детстве говорила "если тебя буду звать в колодец прыгнуть, ты прыгнешь?"
 
Написал. Просто Вы в силу своей безграмотности этого не увидели.
Ваша простыня не стоит того, чтобы ее внимательно изучать. Я несколько раз пробежался по ней по диагонали и увидел что делать не надо, а спрашивал что надо, чтобы сайтом можно было пользоваться, по вашему. На нем же явно речь не про котиков.
 
Я несколько раз пробежался по ней по диагонали и увидел что делать не надо
А этого и достаточно.

Есть очень много людей, которые точно "знают как надо". Все эти "учителя", "наставники", "коучеры", "бизнес-тренеры", "гуру кибербезопасности" - вот они-то Вам всегда расскажут (за Ваши деньги), что точно нужно делать. Давая один, возможно даже не содержащий ошибок (но это не точно) путь. Один из миллиардов.

Я человек немного другого типа. Я прекрасно понимаю, что способов пользоваться сайтом безопасно - бесконечное множество и описать их все жизни моей не хватит. И в прямом, и в переносном смысле. А поэтому я действую единственно возможным способом - говорю о том, чего делать нельзя ни при каких обстоятельствах.
 
Да раз вы такой осведомленный, написали хотя бы один более-менее надежный способ, в рамках F.A.Q. для новичков, будет что обсуждать хоть... Иначе это какой-то онанизм получается просто. Текст ради текста.
 
  • Нравится
Реакции: LOIZ
Да раз вы такой осведомленный, написали хотя бы один более-менее надежный
Как пожелаете.
Способ №1: используйте интернет иностранной юрисдикции. Не "vpn в иностранной юрисдикции", не "тор в иностранной юрисдикции", а именно интернет. Подключение.

Иначе это какой-то онанизм получается просто. Текст ради текста.
Это не онанизм, это текст для тех, кто хотя бы немного способен думать. Заметьте, не умных даже. Просто немного способных думать.

Позиция "я не хочу думать, дайте мне простое и единственно верное решение" неизбежно приведёт к разного рода "гуру", которые продадут известную субстанцию в красивой упаковке. Упаковка - это, пожалуй, единственно, что умеют делать "гуру".
 
Последнее редактирование:
Как пожелаете.
Способ №1: используйте интернет иностранной юрисдикции. Не "vpn в иностранной юрисдикции", не "тор в иностранной юрисдикции", а именно интернет. Подключение.
Не понял, а если вы физически находитесь в неиностранной юрисдикции, как вы себе организуете подключение в интеренет из иностранной без впн/прокси/тор?

По поводу гуру - это, по-моему, наоборот - в условиях недостатка информации конеретной человек начинает вестись на всяких гуру, которые зачастую говорят меньше конкретики, а больше пуху на себя нагоняют.
 
Не понял, а если вы физически находитесь в неиностранной юрисдикции, как вы себе организуете подключение в интеренет из иностранной без впн/прокси/тор?
Да масса вариантов, в общем. Та же работа из приграничной территории, куда добивают иностранные вышки. Была бы фантазия.

По поводу гуру - это, по-моему, наоборот - в условиях недостатка информации конеретной человек начинает вестись на всяких гуру, которые зачастую говорят меньше конкретики, а больше пуху на себя нагоняют.
А конкретной информации всегда будет недостаток.
Но "гуру" появляются не по причине её отсутствия. А по причине нежелания думать над решением конкретной задачи, а сразу, легко, просто и, желательно бесплатно, получить готовое решение.
Вот тут и появляются продавцы красивой упаковки.
 
А конкретной информации всегда будет недостаток.
Но "гуру" появляются не по причине её отсутствия. А по причине нежелания думать над решением конкретной задачи, а сразу, легко, просто и, желательно бесплатно, получить готовое решение.
Вот тут и появляются продавцы красивой упаковки.
Я одного не понимаю, причем здесь вообще гуру какие-то? Причем здесь _продажа_ готовых решений??? Я - "халявщик", не плачу деньги за то, что можно получить бесплатно без больших вложений, которые разумнее получить за деньги. Вот вы как раз и выдаете в себе подобного "гуру", который ищет подходящей возможности толкнуть ближнему "воздух". Ладно, не буду вам тут больше трафик нагонять, тема не стои того))
 
Вновь telegram и вновь разговор ниочем...
 
Да масса вариантов, в общем. Та же работа из приграничной территории, куда добивают иностранные вышки. Была бы фантазия.


А конкретной информации всегда будет недостаток.
Но "гуру" появляются не по причине её отсутствия. А по причине нежелания думать над решением конкретной задачи, а сразу, легко, просто и, желательно бесплатно, получить готовое решение.
Вот тут и появляются продавцы красивой упаковки.


спутниковый интернет?
 
Telegram , это всего лишь инструмент для работы. Со своими плюсами и недостатками.

Вопрос правильного его использования, это левые смс для авторизации через интернет сервисы, оплаченные через криптовалюты. Использование через Впн всегда или же через тор. Включенная двухфакторка чтобы избежать восстановления через мобильного провайдера.

И тогда нет нужды даже обсуждать его подконтрольность или нет. Секретные чаты также включаем.

Вообще рекомендую с каждым мессенджером такое делать.

Максимум недоверия, на всякий. Больше контроля вами ситуации.
 
Вопрос правильного его использования, это левые смс для авторизации через интернет сервисы, оплаченные через криптовалюты. Использование через Впн всегда или же через тор. Включенная двухфакторка чтобы избежать восстановления через мобильного провайдера.
Как левые смс, впн и тор спасают от подмены зашифрованного трафика на транспортном уровне?

Секретные чаты также включаем.
Как секретные чаты спасают от подмены зашифрованного трафика на транспортном уровне?

Искренне прошу Вас сначала разобраться в предмете обсуждения. И только потом комментировать.
Спасибо.
 
впн и тор спасают от подмены зашифрованного трафика на транспортном уровне?
То есть вам непонятно, что дополнительный слой шифрования траффика коим является тор или Впн спасают от этого?)
секретные чаты спасают от подмены зашифрованного трафика на транспортном уровне?
Секретные чаты между прочим да. Так как являются end to end шифрованием, от пользователя до пользователя, никакой транспортный уровень не играет роли если внутреннее содержимое инкапсулировано и зашифровано, сами разберитесь в вопросе.
 
То есть вам непонятно, что дополнительный слой шифрования траффика коим является тор или Впн спасают от этого?)
Почему не понимаю? Понимаю, что не спасает.

никакой транспортный уровень не играет роли
Да Вы что?
 
Почему не понимаю? Понимаю, что не спасает.


Да Вы что?
))) То есть вы считаете что российские технологии и Тор траффик слушают и Впн. И всем пользоваться опасно. Ну-ну)
 
Сверху Снизу