Рубрика «telegram» - 70

в 12:13, , рубрики: api, mtproto, telegram, баги, большой брат следит за тобой, информационная безопасность, метки: , , , ,

Open!
Безопасность переписки уже стала широко обсуждаемой темой. Как вы знаете, в этой сфере широко известен написанный петербуржцами Telegram. Команда уверяет в 146% безопасности, но если вы уже пользовались этим мессенджером, знайте, как минимум названия ваших чатов уже скомпроментированы. На момент публикации уязвимость уже закрыта (что приятно, закрыли меньше чем за пятнадцать минут после репорта).
Читать полностью »

в 13:45, , рубрики: telegram, информационная безопасность, метки:

Разрабатываемый командой Дурова Telegram все более успешно продолжает ангажировать пользователей мобильных устройств, заставляя WhatsApp делиться аудиторией. Надо заметить, интерфейс приложения невероятно похож на того самого конкурента (тут мы постараемся не вспоминать ни схожесть fb и vk, ни продажу Дуровым акций), но славится непобедимым, в отличие от WhatsApp, алгоритмом шифрования и конфиденциальностью.

В процессе проверок Telegram на эту самую конфиденциальность, мы с коллегой нашли небольшую, но неприятную «особенность»: если мессенджер использовался на нескольких устройствах под одним телефонным номером, то после релога приложения на одном из устройств, некоторая «связь» между устройствами сохраняется и на прежнем номере добавляются контакты, созданные новым номером.Читать полностью »

в 9:04, , рубрики: telegram, безопасность, информационная безопасность, теле2, телефония, уязвимость, метки: , , ,

Уязвимость Теле2: пользователи Telegram и Qiwi кошелька в опасности

Нет так давно я наткнулся на неприятную особенность оператора Теле2, с помощью которой можно украсть историю сообщений Telegram, получить доступ к Qiwi-кошельку и т.д. Оговорюсь, что у метода есть несколько условий и он может не сработать для конкретного человека, но тем не менее, есть реальная опасность.
Читать полностью »

в 22:53, , рубрики: application, bugs, telegram, геолокация, информационная безопасность, метки: , , ,

После ознакомление с постом и другим постом.
Захотелось узнать о Телеграме побольше.
Машинально вбивая хэштег Телеграма в Twitter, наткнулся на блог одной ИБ компании…
Новый баг в Telegrame
Читать полностью »

в 17:11, , рубрики: telegram, информационная безопасность, метки:

От мира криптографии я далёк, так что выискивать недостатки в протоколе для меня — гиблое дело. Однако, немного изучив механику работы Телеграма, я понял, что для его «взлома» их и не нужно. Как известно, информация считается достаточно защищенной, если затраты на получение доступа к ней у взломщика превысят её потенциальную стоимость. Если на мгновение поверить в утверждения создателей о том, что алгоритмы нерушимы, то становится очевидно, что с этой стороны информация защищена более чем. Следовательно, скорее всего, те же самые ФСБ не станут напрасно тратить силы на попытки взлома сервера и т.д., а попробуют найти какую-нибудь другую лайзеку. И, что самое интересное, лазейка настолько очевидна, что странно то, как мало людей замечают и обсуждают её.
Читать полностью »

в 10:31, , рубрики: telegram, информационная безопасность, криптография, метки:

Как уже упоминалось в недавнем посте "Безопасен ли Telegram? Или как я искал закладку в MTProto" — Telegram — супер защищённый мессенджер для смартфонов, на столько безопасный, что за его взлом объявлен конкурс с внушительным призом. В том посте была описана эффективная атака на его протокол (MTProto), краткая суть которой состоит в том, что "сервер Telegram может подобрать такую nonce, при которой ключи пользователей совпадут даже при MITM-атаке и никто не будет знать, что его слушают", где под nonce подразумевалась «случайная» последовательность данных участвующая в установлении ключа казалось бы просто для увеличения энтропии, а реально она давала возможность администраторам серверов Telegram легко и, самое главное, не обнаружимо для пользователей выполнять Man-in-the-middle (MITM) атаку на протокол по обмену ключами. Некоторые даже посчитали участок кода ответственный за уязвимость — закладкой.
Читать полностью »

в 6:02, , рубрики: bruce schneier, telegram, информационная безопасность, криптоанализ, криптография

В продолжение этой топика и новости о конкурсе от разработчиков Telegram предлагаю вашему вниманию перевод статьи Брюса Шнайера 1998 года. В упомянутом топике ссылались на другую его статью, но именно эта, мне кажется, хорошо раскрывает тему бессмысленности затеи с конкурсами. Кстати, именно Брюс, одним из первых, если не первым, заподозрил закладку в затронутом там же ГСПЧ от АНБ.

image

Вы слышите про них постоянно: «Компания Х выплатит $1,000,000 любому, кто сможет пробить их фаервол/взломать их алгоритм/провести мошенническую транзакцию и использованием их протокола/что угодно еще». Это конкурсы по взлому, и они предназначены, чтобы показать, как защищены и безопасны объекты этих конкурсов. Логика примерно такая: мы предложили много денег за взлом нашего продукта, но никто не взломал. Следовательно, продукт безопасен.

Отнюдь.

Читать полностью »

в 22:07, , рубрики: telegram, информационная безопасность, криптография

Об авторе: Moxie Marlinspike — хакер-исследователь, придумавший атаку SSL-stripping (и нашедший ещё полдюжины уязвимостей в SSL), разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году.

На этой неделе некая компания под названием Telegram анонсировала «защищённый» мессенджер, называемый так же — Telegram. Насколько защищённый? Если верить их FAQ, "очень защищённый". Мне стало интересно, и я решил почитать их описание протокола. У меня тут же появились некоторые сомнения (как мягко сказано! а всего-то полчаса назад было «сначала я решил, что это Томас Пташек решил постебаться» — прим.пер.) Когда из них попытались вытянуть технические подробности, вместо ответа они начали перечислять учёные степени разработчиков. Кроме того, они отклонили все мои предложения о сотрудничестве.

Читать полностью »

в 3:53, , рубрики: bitcoin, telegram, взлом, криптография, соревнование, метки: , , , ,

image
Создатель «Телеграма» Павел Дуров выплатит 200.000 долларов в BTC первому человеку, кто взломает зашифрованный протокол этого сервиса. Начиная с сегодняшнего дня, Павел (+79112317383) ежедневно будет отправлять Николаю (+79218944725) сообщение, содержащее секретный адрес электронной почты. Для доказательства дешифровки протокола Телеграма и для востребования приза, вам потребуется послать письмо на этот секретный адрес.
Читать полностью »

в 7:31, , рубрики: Digital Fortress, mtproto, telegram, TextSecure, WhatsApp, информационная безопасность, конкурс, криптография, Мобильный веб, Павел Дуров, метки: , , , , , ,

Измученный сомнениями со стороны сообщества разработчиков и криптографов в стойкости криптографического протокола MTProto, который используется в Telegram, Павел Дуров решился на крайнюю меру. Он объявил награду $200 тыс. любому, кто «расшифрует трафик Telegram и расскажет, как он это сделал».

«Насколько я вижу, там не столько анонимусы, сколько создатели местного конкурента — TextSecure под Android, — пытается Дуров идентифицировать критиков из вышеупомянутого обсуждения. — Telegram собрал много пользователей, и они справедливо засуетились. Ребята мечутся между аргументом «Ваш алгоритм слишком новый, зачем это, если есть проверенные» и позицией «Ваш алгоритм слишком старый, зачем это, если есть новые».

Думаю, хорошим завершением дебатов будет объявление конкурса на дешифрацию трафика Telegram. Скажем, я готов открыть трафик всей моей переписки с момента регистрации в Telegram и вручить $200 000 любому, кто его расшифрует и расскажет, как. В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола».
Читать полностью »

1...1020...697071
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js