Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).
Читать полностью »
Рубрика «telegram» - 70
Откровенность API Telegram
2014-02-11 в 12:13, admin, рубрики: api, mtproto, telegram, баги, большой брат следит за тобой, информационная безопасность, метки: api, mtproto, Telegram, баги, большой брат следит за тобойНайден новый баг приложения Telegram
2014-01-27 в 13:45, admin, рубрики: telegram, информационная безопасность, метки: TelegramРазрабатываемый командой Дурова Telegram все более успешно продолжает ангажировать пользователей мобильных устройств, заставляя WhatsApp делиться аудиторией. Надо заметить, интерфейс приложения невероятно похож на того самого конкурента (тут мы постараемся не вспоминать ни схожесть fb и vk, ни продажу Дуровым акций), но славится непобедимым, в отличие от WhatsApp, алгоритмом шифрования и конфиденциальностью.
В процессе проверок Telegram на эту самую конфиденциальность, мы с коллегой нашли небольшую, но неприятную «особенность»: если мессенджер использовался на нескольких устройствах под одним телефонным номером, то после релога приложения на одном из устройств, некоторая «связь» между устройствами сохраняется и на прежнем номере добавляются контакты, созданные новым номером.Читать полностью »
Уязвимость Теле2: пользователи Telegram и Qiwi-кошелька в опасности
2013-12-30 в 9:04, admin, рубрики: telegram, безопасность, информационная безопасность, теле2, телефония, уязвимость, метки: Telegram, безопасность, теле2, уязвимость
Нет так давно я наткнулся на неприятную особенность оператора Теле2, с помощью которой можно украсть историю сообщений Telegram, получить доступ к Qiwi-кошельку и т.д. Оговорюсь, что у метода есть несколько условий и он может не сработать для конкретного человека, но тем не менее, есть реальная опасность.
Читать полностью »
Новый баг в Telegram’e
2013-12-25 в 22:53, admin, рубрики: application, bugs, telegram, геолокация, информационная безопасность, метки: application, bugs, Telegram, геолокация После ознакомление с постом и другим постом.
Захотелось узнать о Телеграме побольше.
Машинально вбивая хэштег Телеграма в Twitter, наткнулся на блог одной ИБ компании…
Читать полностью »
Безопасность Телеграма: отойдём в сторону от криптографии
2013-12-23 в 17:11, admin, рубрики: telegram, информационная безопасность, метки: Telegram От мира криптографии я далёк, так что выискивать недостатки в протоколе для меня — гиблое дело. Однако, немного изучив механику работы Телеграма, я понял, что для его «взлома» их и не нужно. Как известно, информация считается достаточно защищенной, если затраты на получение доступа к ней у взломщика превысят её потенциальную стоимость. Если на мгновение поверить в утверждения создателей о том, что алгоритмы нерушимы, то становится очевидно, что с этой стороны информация защищена более чем. Следовательно, скорее всего, те же самые ФСБ не станут напрасно тратить силы на попытки взлома сервера и т.д., а попробуют найти какую-нибудь другую лайзеку. И, что самое интересное, лазейка настолько очевидна, что странно то, как мало людей замечают и обсуждают её.
Читать полностью »
Остались ли ещё закладки в Telegram?
2013-12-23 в 10:31, admin, рубрики: telegram, информационная безопасность, криптография, метки: Telegram Как уже упоминалось в недавнем посте "Безопасен ли Telegram? Или как я искал закладку в MTProto" — Telegram — супер защищённый мессенджер для смартфонов, на столько безопасный, что за его взлом объявлен конкурс с внушительным призом. В том посте была описана эффективная атака на его протокол (MTProto), краткая суть которой состоит в том, что "сервер Telegram может подобрать такую nonce, при которой ключи пользователей совпадут даже при MITM-атаке и никто не будет знать, что его слушают", где под nonce подразумевалась «случайная» последовательность данных участвующая в установлении ключа казалось бы просто для увеличения энтропии, а реально она давала возможность администраторам серверов Telegram легко и, самое главное, не обнаружимо для пользователей выполнять Man-in-the-middle (MITM) атаку на протокол по обмену ключами. Некоторые даже посчитали участок кода ответственный за уязвимость — закладкой.
Читать полностью »
Ловушка конкурсов по взлому
2013-12-20 в 6:02, admin, рубрики: bruce schneier, telegram, информационная безопасность, криптоанализ, криптографияВ продолжение этой топика и новости о конкурсе от разработчиков Telegram предлагаю вашему вниманию перевод статьи Брюса Шнайера 1998 года. В упомянутом топике ссылались на другую его статью, но именно эта, мне кажется, хорошо раскрывает тему бессмысленности затеи с конкурсами. Кстати, именно Брюс, одним из первых, если не первым, заподозрил закладку в затронутом там же ГСПЧ от АНБ.
Вы слышите про них постоянно: «Компания Х выплатит $1,000,000 любому, кто сможет пробить их фаервол/взломать их алгоритм/провести мошенническую транзакцию и использованием их протокола/что угодно еще». Это конкурсы по взлому, и они предназначены, чтобы показать, как защищены и безопасны объекты этих конкурсов. Логика примерно такая: мы предложили много денег за взлом нашего продукта, но никто не взломал. Следовательно, продукт безопасен.
Отнюдь.
Ответный вызов разработчикам Telegram
2013-12-19 в 22:07, admin, рубрики: telegram, информационная безопасность, криптографияОб авторе: Moxie Marlinspike — хакер-исследователь, придумавший атаку SSL-stripping (и нашедший ещё полдюжины уязвимостей в SSL), разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году.
На этой неделе некая компания под названием Telegram анонсировала «защищённый» мессенджер, называемый так же — Telegram. Насколько защищённый? Если верить их FAQ, "очень защищённый". Мне стало интересно, и я решил почитать их описание протокола. У меня тут же появились некоторые сомнения (как мягко сказано! а всего-то полчаса назад было «сначала я решил, что это Томас Пташек решил постебаться» — прим.пер.) Когда из них попытались вытянуть технические подробности, вместо ответа они начали перечислять учёные степени разработчиков. Кроме того, они отклонили все мои предложения о сотрудничестве.
Лучшая реклама Bitcoin — от Павла Дурова
2013-12-19 в 3:53, admin, рубрики: bitcoin, telegram, взлом, криптография, соревнование, метки: bitcoin, Telegram, взлом, криптография, соревнование
Создатель «Телеграма» Павел Дуров выплатит 200.000 долларов в BTC первому человеку, кто взломает зашифрованный протокол этого сервиса. Начиная с сегодняшнего дня, Павел (+79112317383) ежедневно будет отправлять Николаю (+79218944725) сообщение, содержащее секретный адрес электронной почты. Для доказательства дешифровки протокола Телеграма и для востребования приза, вам потребуется послать письмо на этот секретный адрес.
Читать полностью »
$200 000 любому, кто взломает IM-мессенджер Telegram
2013-12-18 в 7:31, admin, рубрики: Digital Fortress, mtproto, telegram, TextSecure, WhatsApp, информационная безопасность, конкурс, криптография, Мобильный веб, Павел Дуров, метки: Digital Fortress, mtproto, Telegram, TextSecure, WhatsApp, конкурс, Павел ДуровИзмученный сомнениями со стороны сообщества разработчиков и криптографов в стойкости криптографического протокола MTProto, который используется в Telegram, Павел Дуров решился на крайнюю меру. Он объявил награду $200 тыс. любому, кто «расшифрует трафик Telegram и расскажет, как он это сделал».
«Насколько я вижу, там не столько анонимусы, сколько создатели местного конкурента — TextSecure под Android, — пытается Дуров идентифицировать критиков из вышеупомянутого обсуждения. — Telegram собрал много пользователей, и они справедливо засуетились. Ребята мечутся между аргументом «Ваш алгоритм слишком новый, зачем это, если есть проверенные» и позицией «Ваш алгоритм слишком старый, зачем это, если есть новые».
Думаю, хорошим завершением дебатов будет объявление конкурса на дешифрацию трафика Telegram. Скажем, я готов открыть трафик всей моей переписки с момента регистрации в Telegram и вручить $200 000 любому, кто его расшифрует и расскажет, как. В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола».
Читать полностью »