Маркетологи в штатском или почему crypto суксь
Паника среди украинских толстосумов и VIP«ов, многие из которых очень активно использовали белорусский мессенджер Viber (которым активно пользовалось большинство депутатского корпуса Украины). По сведениям сразу из нескольких источников, СБУ нашли способ прослушки всей переписки в рамках этого популярного белорусского мессенджера (на всей территории этой прекрасной голубой планеты).
В итоге ажно сам господин Президент Украины и толпы украинских депутатов отказались от няшки Viber«а и перешли на… впрочем, обо всем по порядку уже под катом.
ЧП украинского масштаба
Депутат-аноним объясняет, почему был выбран именно Viber:
Мы рекомендовали взяточникам общаться по viber, поскольку он не прослушивается украинскими «правоохранителями». За прошедшее время, ситуация изменилась.
Украинцы по-прежнему не в состоянии прослушивать skype, viber и whatsup, но им помогают американцы в рамках противодействия российской угрозе. СБУ может получить любые распечатки, в том числе за прежние периоды: ваша переписки в этих сетях хранится на американских серверах бесконечно, даже если вы ее стираете.
Но развязка сюжета наиболее драматична — все взяточники, преступники, депутаты и VIP-политики Украины (я просто не знал, как всю эту скользкую аудиторию обозначить одним словом, поэтому прибег к перечислению) массово переходят на дуровский Telegram.
Показательная цитата о буднях политической хроники Украины:
Актуален вопрос безопасности партийных чатов. Дело в том, что большинство политсил пользуются в обсуждении идей и проблем Viber-конференциями. Чат Блока Порошенко именуется лаконично, «БПП», а лидеры «Оппозиционного блока» пару месяцев назад прокололись, назвав чат «Политсоветом» (над чем долго потешались парламентские фотографы). «Фракции по старинке пользуются Viber, причем активно. То же — министры. Хоть можно перейти и на новые сервисы, — утверждает политолог Андрей Золотарев. — К «Телеграму» есть вопросы (его создали на средства Павла Дурова, разработчика «ВКонтакте». — Авт.), а вот европейцы пользуются «Вотсапом».
В Блоке Порошенко дилемму решили переходом на «Телеграм»: там обретается большая часть фракции. «У нас два чата — в Viber и «Телеграме», причем и там, и там неполным составом, — пояснил львовский мажоритарщик Тарас Батенко. — Несколько месяцев назад к «Телеграму» подключился Петр Порошенко — там теперь происходит основное общение. Про Viber мы, конечно, слышали. Среди депутатов и в бизнес-группах ходят слухи, что он легко ломается, считывается разными спецслужбами, в т. ч. украинскими». Во фракции «Самопомощи» нам также подтвердили использование Viber-чата.
Ай да Дуров, ай да вконтактовский сын! Партийные чаты — наше всё!
Три уровня доступа
Конечно, этот украинский шухер приведен просто как наглядная иллюстрация трындеца, ведь вопрос безопасности интернет-коммуникаций не является сугубо украинским, в России, например, он стоит даже ещё острей. Поэтому хотел продолжить порцией конструктива.
Во-первых, оставлю ссылку-твит на свежий материал по теме:
Отличное сравнение безопасности популярных мессенджеров (выписка). Полная версия тут — https://t.co/Lu7I0Zf55B pic.twitter.com/V4Tct0Mfou
— Andrey Prozorov (@3dwave) August 27, 2015
Во-вторых, процитирую мнение специалистов для тех, кому есть что скрывать:
Специалисты рассказали каким образом получается взломать Viber и дали несколько советов для повышения безопасности. Злоумышленники получают доступ к чужому аккаунту через повторный запрос OTP-пароля, который приходит по SMS для привязки аккаунта к SIM-карте. Повторно пароль можно запросить из-за того, что появилась версия Viber для компьютеров.
Самый легкий способ узнать четыре цифры из OTP-пароля — иметь физический доступ к телефону. Иначе придется перехватывать текст SMS, что займет больше времени. Обеими путями можно добыть переписку любого контакта. Относительно советов по безопасности, защиту от взлома должна повысить частая смена паролей, отсутствие привязки номера телефона в Viber к имени и фамилии, периодическая чистка переписки.
В-третьих, отталкиваясь от всего вышесказанного, добавлю уже от себя. Говоря максимально общно, лично я выделяю три уровня перехвата контроля над ИТ-системами и получения чужой конфиденциальной информации.
Первый уровень — это уровень центральных мировых спецслужб, как правило — это встроенная функциональность самих ИТ-систем. Примеры — недавние истории про откровенно жуткое воровство личных данных со стороны Windows 10, про также недавно встроенную (через обновления) телеметрию в Windows 7/8, постоянные обвинения в слежке ряда системных продуктов типа Антивируса Касперского… это «уровень богов», на котором у вас могут спереть всё что угодно, и вы, надо только признаться в этом честно, ничего поделать с этим не можете (разве что радикально сменив весь софт на бесплатные и открытые проекты).
Второй уровень — это перехват SMS на уровне канальных операторов (и, соответственно, скрытое восстановление паролей со всеми последствиями), систем глобального снифинга трафика типа СОРМа, также это запросы к «богам» из первого уровня (типа всех этих мутных историй о выдаче личных данных и переписок пользователей, например, Скайпа, правительствам самых разных государств).
Третий уровень — бытовой. Это уровень уже обычных хакеров, которые тырят чужие пароли через самые разные уязвимости, трояны и вирусы, создавая фишинговые страницы и мутя прочую самодеятельную муть, которую «пипл хавает».
Суммируя: богам с первого уровня не надо палиться и вся необходимая им функциональность поставляется в изначально встроенном виде (глобальный и имманентный уровень доступа). Даже если вы находитесь, например, внутри закриптованного VPN-туннеля, сама Винда уже шлет сообщения своим хозяевам, поэтому контроль над каналом просто бесполезен.
Запомните центральную концепцию этого привилегированного уровня: скрытые (хорошо замаскированные на уровне низкоуровнего фреймворка или ОС) технологии и административный ресурс в сочетании дают мощнейший синергетический эффект.
Глава ФБР хочет, чтобы власти США предоставило спецслужбам доступ к системе шифрования WhatsApp и Telegram http://t.co/9KGmeTHzJN
— Apparat (@apparatmag) July 9, 2015
Второй уровень — это модель «осажденной крепости», — контроль каналов доступа конечного национального пользователя и парсинг/мониторинг всего проходящего мимо.
И даже если по каналу и ползет что-то глубоко закриптованное и странное, свободный доступ к мета-информации, в частности к данным отправителя, дает возможность точечно применять силу для увеличения эффективности на местах.
http://t.co/TfbZ71C9p3 Роскомнадзор будет устраивать интернет-компаниям внезапные проверки #интернет #компании #SEO
— Елена Карпова (@Crincoetai) August 27, 2015
И, наконец, третий уровень — это место для хакеров-одиночек.
Констатация проблемы на примере СМС
Собственно, проблема последнего времени заключается в том, что уровень 2 и 3 стремительно смыкаются. То есть перехват ваших СМСок сегодня — это обыденная фигня, для которой давно не нужно полномочий спецслужб.
Ниже привожу пример совершенно обыденной московской истории, и я вас уверяю — счет на такие истории в пределах той же России — на тысячи. Также привожу аналогичные истории менял с аналогичным почерком.
Пожалуйста, прочитайте их и возвращайтесь обратно, чтобы вы поняли, о чем я веду речь.
Обратите внимание: если ещё лет 5 назад перехват вашего авторизующего СМС было привилегией реальных спецслужб, то сейчас это уже делают «гопники с района». Например, в Билайне любой человек может позвонить с левого номера в справку оператора, назвать ваши паспортные данные, три номера на которых вы часто звонили последнее время, и после этого поставить переадресацию куда ему угодно. Я бы не хотел светить другие подобные детали в паблике, но уверяю вас, что сегодня это вопрос исключительно желания и времени.
Таким образом, безотносительно ко всему мощнейшему крипто под капотом, мне непонятна реальная мощь Telegram, авторизующий пароль к чату у которого также отправляется посредством обычной СМС, которая может быть элементарно перехвачена третьей стороной. Кроме того, я уже писал большие материалы про хроническую ненадежность https-шифрования (см. «Это СОРМ, детка» или «Снятые с канала: ФСБ против https»), поэтому уверен, что двухфакторная авторизация в традиционном своем виде защищает от атак 3 уровня, и уж точно не перекрывает поползновений спец-сущностей из 1 и 2 уровней бытия.
Впрочем, на первом уровне в последнее время вообще творится что-то невероятное — внедрение повальной телеметрии удаленных систем непосредственно в ОС проводится широким фронтом, открыто и подчеркнуто цинично.
Центральный вывод
Собственно, что я хотел сказать? Пересадка с Viber«a на Telegram, ИМХО, полностью наивна и бесперспективна.
Государства, особенно если ОНИ объединяются в единую суперсистему, невозможно переиграть хоть с какой угодно сильной криптографией, как минимум на 1 уровне доступа любая конфиденциальность подавляется и невозможна в принципе. Посредством телеметрии скрываемое сообщение поступит на уровень 1 ещё в процессе его набора, задолго до того как оно будет покрыто броней криптографических средств и отправлено в свободное плавание по каналу. А с учетом партнерско-юридических механизмов обнаженных в этом конкретном украинском примере, когда государства-союзники типа Украины могут свободно обращаться к «богам» на предмет выдачи интересующей их информации, делает тотальный контроль доступным даже для агентов 2-го уровня.
И хотя обычных людей это (пока) не касается (хотя есть исключения, например, смотрите мой пост «ФСБ взяла за жопу»), для меня примечателен именно тренд стремительного размывания границ между этими тремя четкими уровнями. Вот именно об этом я и хотел написать эту короткую заметку, предостерегая мирянина от бренности излишних криптографических изысков.
