Comments 175
А что делать, если злоумышленник или пограничник читает Хабр? О_о
Регулярно вручную удалять всю переписку. Дёшево и практично.
Вот только обязательно что-то забудешь в самый неподходящий момент.
Смысл защиты в том, что невозможно доказать использование двойного дна. Другими словами пограничник знает что есть такая функция, но никак не может доказать или проверить используется ли двойное дно в данный момент.
Например если сделать вход в телеграм с обязательным вводом пароля. И от введенного пароля зависит покажутся ли все контакты, или только безобидные. В таком случае, не зная второго пароля, никак не доказать что вообще существуют какие-то другие переписки на данном аккаунте (кроме компрометации аккаунта второго участника переписки, но думаю это тоже решаемая проблема).
Хм… У вас в телефоне такие милые и безобидные контакты, но вы при этом почему-то сильно покраснели и вспотели. Я даже вижу, как артерии на вашей шее пульсируют сильнее обычного. Вы, случайно, ничего от меня не скрываете? Может быть, двойное дно в Телеграме?
Раскусили, товарищ майор. Открою вам секретные группы. Вот вам моя коллекция извращенного порно, только маме не рассказывайте.
На самом деле в таких штуках дно сколько угодно размерное, минимум должно быть три на такие случаи.
Ну блин, теперь жена на развод подаст, у меняж тут откровенная переписка с любовницами…
UFO landed and left these words here
Смысл работы пограничника в том, что у него есть чек лист, по которому проходит проверка.
И кроме сдачи логинов в соцсетях, приезжему прийдется доказывать что нету двойного/тройного/etc дна. И кому от этого двойного дна стало лучше? Очевидно что большому брату, так как маленький брат всегда под подозрением и прийдется доказывать что не «олень».
UFO landed and left these words here
Да не просто, разблокируйте и дайте телефон для досмотра.
Если дал телефон — о телега, докажите что нет второго дна.
Если не дал — пройдемте в комнату для дальнейшего общения, или же просто отказ в посещении страны. Вроде Америка к этому сценарию стремиться, другие страны подтянуться.
UFO landed and left these words here
И вот телега у каждого второго, а их там тысячи в очереди… В общем удачи.

А может быть другой вариант, что телега уже давно под контролем спецслужб Америки, ну или как минимум доступ к социальному графу телеги, а дальше Palantir работает. И в этом случае — о телега на мобиле — проходи дорогой.
и как доказать что нет N-дна?
т.е. владельцу смартфона будут предъявлены заведомо невыполнимые требования?
Все же банально сводиться к тому, что это Вам надо попасть на территорию страны, поэтому это Ваша задача доказывать что вы «хороший» гость.
Невозможно доказать отсутствие чего-либо. Короче, если телега на смарте — в пропуске отказано, точка.
Поэтому многие крупные компании для сотрудников разработали рекомендации на этот счет. Новый/пустой телефон и ноут, все остальное в облаке/удаленно… Опасно на телефоне даже личную информацию хранить, была же история как 16-ти летнюю девченку засудили за изготовление детского порно, из-за того что в её смарте нашли её же ню фоточку. А если бы отправила своему 16-ти летнему парню, то было бы еще и распространение.
Новый/пустой телефон и ноут
А доказать отсутствие второго телефона/ноута не просили? Звучит забавно.
Доказывать, что у тебя чего-то нет — уже презумпция виновности. Да и как вообще должно процедурно выглядеть доказательство отсутствия «второго дна» в телеге?
от введенного пароля зависит покажутся ли все контакты, или только безобидные.
Как то мне ближе мысль что ваши «безобидные» контакты тоже всплывут и вас посадят за нарушение закона. Как-то не греет мысль что преступник может уйти от наказания.
Вы можете просто не давать пароль раз вы считаете себя невиновным. Такой отказ просто покажет что вы связаны с преступниками. Если же вас вынудили его дать силой, то точно также вас вынудят показать и двойное и и тройное дно.
В британии уже выпустили чувака, который «забыл» пароль от криптоконтейнера?

То есть отказ от предоставления данных данных автоматически делает тебя преступником? Не могли бы вы предоставить все данные о том как покупали drugname на каком-нибудь сайте? Ах не можете, ну что ж, батенька — виновны.

Просят как раз о том, чтобы даже тот кто будет знать что есть возможное двойное дно, не сможет его вычислить.
Гениальной она была до тех пор, пока о ней никто не знал. Теперь вас будут пытать до тех пор, пока «тройное дно» не откроете, даже если его и не было никогда.))))
Вопрос о частоте совершенно некорректен. В статье же написано:
Никто из нас не застрахован от того, что под давлением мы будем вынуждены показать переписку с рук. В роли принуждающего может быть кто угодно, начиная от злоумышленника и заканчивая пограничником, в любой точке мира.


Так причем тут частота моих пыток, если от этого даже вы не застрахованы?

Принуждение не равно пыткам. Под пытками вы реально расскажете всё что знаете и ещё додумаете что-то. А под принуждением держаться легче (ну я так считаю, голословно).

А-а-а. Я понял. Вы просто запутались в понятиях и определениях. Короче, смотрите. Принуждение — это термин, включающий в себя спектр всевозможных мероприятий, направленных на побуждение человека к действиям, которые он совершать совершенно не хочет. Пытка — это всего лишь один вариант из множества мероприятий, которое включает в себя термин «принуждение». Можно принуждать посредством пыток, можно принуждать посредством слов, можно принуждать посредством каких-либо других действий, например, демонстрацией обвисших частей собственного тела. Вариантов масса, и всё это будет обозначать принуждение. Понимаете теперь, в чем ваша ошибка?)
UFO landed and left these words here
По хорошему, её надо бы давно начать реализовывать в банковских приложениях (онлайновых и мобильных). Тот банк, кто это первым предложит — может хорошие сливки собрать с рынка. ИМХО.

Все что такой банк соберет — это право на ускоренный процесс отзыва лицензии цб.

Ооо. Есть такая фича в Андроиде, как режим инкогнито — запрет на скриншоты и отображение пустого окна в менеджере задач. Логично предположить, что банковское приложение должно это использовать, но использует только Сбер, а остальным банкам Ваша безопасность не так важна. А вы говорите про куда более сложный функционал...

Что-то по типу двойного пинкода, когда при настройке системы нужно указать пинкод от рабочего аккаунта и второй фейковый. И в зависимости от того, какой ты пинкод введешь у тебя откроется нужная версия?
А по факту никакое «дно» не выдержит пыток )
О двойном пинкоде будет известно всем. Покажешь первый — попросят и второй. В то что его нет — могут не поверить. Нужно большее число пикодов. На 39-м точно пытать устанут поверят, что больше нет.
А по факту никакое «дно» не выдержит пыток )

чтож, предлагаю тогда совсем отказаться от конфиденциальности и прочих шифрований. ведь всё (в исключительных случаях не всё) можно узнать с помощью пыток.
Говорят, что так в израильской армии делают. Говорят, там в уставе прямо так и написано: в случае попадания в плен расскажите всё, что знаете.

И не только в израильской.
Там высшая ценность — человек, а секреты каждый день новые будут.
Это у нас подход бабы нарожают.

Это не от высшей ценности, это и есть наиболее рациональный способ хранить секреты — осознавать, что пленный всё равно всё расскажет.

Что, если секрет стоит хотя бы сотни жизней других людей?

Для каждого случая свои инструменты.
Для такого (т.е. когда начальство дебилы допустили такое) — выбор решений не особо и велик.

В этом случае при взятии в плен солдат внезапно взорвется.
я говорил о том, что несмотря на то, что есть способ узнать всю информацию, это не является поводом не охранять эту информацию.

если в квартиру можно попасть взломав дверь, разбив окно, взорвав кусок стены, если уж на то пошло, то это не означает ведь, что дверь не нужно закрывать и вообще можно не ставить, а только шторку повесить?

Практика с трукрипт/веракрипт, которые как раз имеют двойное дно показала, что никто не заходит в фейковый аккаунт, что бы сделать его живым — всем лень. Когда такой аккаунт покажешь принуждающему, он сразу поймет, что это фуфло. Ибо письма, сообщения, история браузера будет старой. Более того, половина людей забудут этот фейковый пароль уже через месяц пользования.

поэтому в случае телеги надо в фейке хранить все (каналы, маму, жену, одноклассников), а в тру — только то, что хочешь спрятать. (драгдилеров и секретные чаты с женой для обсуждения порядка взятия банков)
Был рассказ про преступника, который в обычной жизни ходил с приклеенной бородой и усами, а когда на дело ходил, отклеивал их, поэтому свидетели не могли опознать его.

Логично не делать два аккаунта, а разделять контакты на белые, серые, очень серые и еще 50 оттенков по необходимости. Тогда и живые аккаунты будут и скрытые контакты.

Почти готовое решение — хранить все данные фейкового аккаунта в TrueCrypt контенере, а все данные настоящего — в hidden volume.
Пин — это пароль на контейнер, первый или второй.
plausible deniability и вот это все.

Остается проблема с коротким пином, который легко перебрать, если вся функциональность проверки пина работает оффлайн.
Отсюда вывод — проверка пина должна быть онлайн.
Сервер по запросу с пином выдает пароль, которым расшифровывается TrueCrypt контенер (фейковый или hidden).
Сервер борется с перебором, ограничивая количество паролей в день.

Но вы так не будете делать, вам же надо тупо от пограничника скрывать.
Чтобы скрыть от пограничника, достаточно записать в настройки два разных пина и не париться.
А вот если пограничник может получить доступ к файлам и настройкам, начинается совсем другой разговор.

Вообще сама идея привязки аккаунта к номеру телефона — это уже трешъ.
Вот как раз пример софта с двойным дном. Фактически трукрипта то уже давно не существует и так и не понятно, что произошло. Только форки типа веракрипт.
Пин — это пароль на контейнер, первый или второй.
Что делать с рабочими приложениями? Смена контейнера предлагает полную выгрузку памяти.
Отсюда вывод — проверка пина должна быть онлайн.
Ну да ну да, стороннему сервису еще полный контроль над смартфоном. Лег сервер — пока смартфон?
Вообще сама идея привязки аккаунта к номеру телефона — это уже трешъ.
Придумайте свой способ быстрой регистрации/авторизации, которая быстро уйдет в массы, и любой человек разберется за 30 секунд как поставить/авторизоваться и начать общаться — все будут только рады.
Что делать с рабочими приложениями? Смена контейнера предлагает полную выгрузку памяти.

Контейнер — он только для данных телеграмм, очевидно же.
Другие приложения туда пускать не нужно.
Ну да ну да, стороннему сервису еще полный контроль над смартфоном. Лег сервер — пока смартфон?

Это как бы мой намек на то, что проблема не решается оффлайн с коротким пином.
Что не есть хорошо.
Придумайте свой способ быстрой регистрации/авторизации, которая быстро уйдет в массы, и любой человек разберется за 30 секунд как поставить/авторизоваться и начать общаться — все будут только рады.

В этом и проблема. Настоящая privacy недоступна для масс.
А всякие говномессенджеры занимаются говномаркетингом.

Вы со мной поспорить хотите?
Со мной спорить не нужно, я в телеграмм не работаю.
Вообще сама идея привязки аккаунта к номеру телефона — это уже трешъ.

Придумайте свой способ быстрой регистрации/авторизации, которая быстро уйдет в массы, и любой человек разберется за 30 секунд как поставить/авторизоваться и начать общаться — все будут только рады.

Есть основание полагать, что если идёт вопрос о массовости, то делают 2+ способа регистрации, попроще и посекурнее. Имеем и массовость и безопасность, в зависимости от продвинутости пользователя. А когда вариант только один, наверное дело в чём-то другом, не так ли?
Вообще сама идея привязки аккаунта к номеру телефона — это уже трешъ.

Я бы перефразировал так: называть мессенджер, который работает исключительно через интернет, но при этом требует номер телефона безопасным — это уже трешъ.
Мы предлагаем тебе исправить эту ситуацию на основе открытого кода Telegram. Если твое решение окажется лучшим, то ты получишь 5000$. Твоей задачей будет разработать принцип «двойного дна» в оригинальном клиенте Telegram.
А если не окажется? Какие критерии оценки? И как планируется использовать решение(я)?
Эффективность вашей идеи Postuf будет проверять на практике с помощью вас, вашего телефона и пограничника.)

Критерии оценки я нашел тут.
Кстати вот они:


  • Качество кода
  • UX/UI
  • Стабильность
  • Функциональность
В miui (возможно на голом андроиде тоже) есть возможность установить доступ по отпечатку/паролю в разные учетные записи.
Это понятно, тут скорее сделать так, чтобы никто не мог узнать есть ли пароль для второй/третьей/четверой учетной записи. Если на компе будут зашифрованные данные, которые невозможно расшифровать обычным паролем — будет повод посадить человека в тюрьму до тех пор пока он не откроет другие пароли.
Извините, написал, потом увидел, что такую же реализацию уже предложили выше.
Но отвечу: речь идёт, в первую очередь, о мобильных устройствах.
Данные со вторым паролем можно не хранить локально, а подгружать только после ввода «верного пароля»
подгружать только после ввода «верного пароля»

Тут палево в том, что проанализировав обмен мобильными данными или вай фаем можно заметить подгрузку большого объема данных каждый раз. Плюс если нужно грузить Гигабайты при каждом входе это достаточно неудобно и дорого.

Плюс тут еще палево в том, что при секретном входе будет грузиться намного больше, чем при обычном, а значит проанализировав трафик — можно понять, что человек что-то скрывает.
Если пользователь заходит с «фейковым» пином, значит что-то случилось. Приложение удаляет все кэши от действительной учетки с устройства и пограничник, увидев пустой аккаунт фейка, может исследовать телефон сколько угодно — данных, которые мы хотим скрыть, на нем больше нет, как и следов того, что они когда-то вообще были. После прохождения проверки восстанавливаем учётку из бэкапа, с сервера или копии на другом устройстве
Поскольку то, что происходит после неправильного пина всем известно, то и принуждение начинается с «если произойдет то и то, то вот паяльник».
У меня есть теория, что при разработке Телеграмма одна из главных персон (представителей аудитории приложения) — это закладчик Вася из Барнаула. И Дуров всячески пытается закрыть потребности этой персоны: e2e шифрование, мультиаккаунт, анонимные платежи (не выгорело, увы), теперь вот двойное дно.
Любой криптографией в первую очередь интересуется криминал, но невозможно обеспечить безопасность только хорошим людям и не дать использовать её криминалу.
С учетом того, что в современных реалиях заводят уголовные дела за фотки немцев времен Второй Мировой в Твиттере/ВК, а закладчиком Васей из Барнаула может стать любой после визита Росгвардии в собственную квартиру, шутки с паранойей становятся все менее смешными.
5 лет назад было точно так же.
10 лет назад было точно так же.
20 лет назад было точно так же.
В данной ситуации только шутейки и спасают.
20 лет назад о существовании Интернета знали самые продвинутые люди, а по федеральным каналам могли крутить острую политическую сатиру типа «Куклы». С тех пор все сильно поменялось.
Я про милицейский произвол и беззаконие. 20 лет назад был 2000 год. Пыня пришел к власти, начались теракты и взрывы домов. Есть версия, что взрывы были организованы спецслужбами. Поменялась только форма, суть та же.
Только тогда это было беззаконие, а теперь — закон. За сообщения на условных форумах в 2000 не сажали.

И не очень понятно, как (и зачем) в этот тред пришли взрывы и спецслужбы.
За сообщения на условных форумах в 2000 не сажали.


Погуглите Стомахина (он, конечно, шизик, но сажать-то за что), потом погуглите Холодова, Пола Хлебникова, Артема Боровика.

И не очень понятно, как (и зачем) в этот тред пришли взрывы и спецслужбы.

Есть хороший ресурс про успехи Российской Федерации — sdelanounas.ru Там скрепы, духовность и Путин, уютно и пахнет ванилькой.
На iOS ранее такое можно было частично решить через jailbreak. Там были твики как для создания «гостевых учётных записей» на айфоне, так и для установки нескольких копий приложения (твик slices) — думаю, пограничник не заметит, что помимо одной копии телеграма (для него) где-то в папке спрятана ещё одна копия телеги. Также с помощью твиков можно было переименовать приложение (чтобы не искалось в спотлайте) и поменять значок. Это всё, конечно, сложно и небезопасно, но один друг так тиндер от девушки прятал )))

Было бы здорово, если бы телеграм доработали функциональность «Архива» — чтобы в него можно было только по паролю/отпечатку зайти (или вообще спрятать его).
думаю, пограничник не заметит, что

Не стоит на это закладываться, стоит полагать, что пограничнику придет ориентировака вытащить всю информацию из этого товарища, вместе с специалистами из спецслужб.
Ну я скорее говорил о случае, когда проверка формальная — типа как в аэропорту просят включить ноутбук или фотоаппарат. А если есть ориентировка, то очевидно, что досмотрят более детально.
Соответственно, если человеку есть что прятать, то надёжней будет отказаться от мессенджера/смартфона, нежели надеяться на «второе дно».
А в конкурсе скорее говорят о случае, когда проверка не только формальная. Ибо для формальной проверки особо ничего придумывать и не нужно.

то надёжней будет отказаться от мессенджера/смартфона, нежели надеяться на «второе дно»

Тут не только про мобильное приложение, а про любое. Многие ли могут совсем отказаться от любого мессенджера и общения посредством них (всякие онлайн мессенджера вроде чатов или форумов — тоже к этому относятся, там встает вопрос безопасности браузера или какого-нибудь тора на ноуте)?

P.S. Помню старую шутку, если вы действительно хотите сохранить свои секреты в тайне — выкинте ноут и смартфон, уезжайте в Монголию, заведите яка и свои секреты рассказывайте только яку… а лучше и ему тоже не рассказывайте.

Хм, ну в принципе. Android многих вендоров из коробки предлагает возможность "клонировать" приложение. Так что это неплохой прототип решения.
Пара минусов: Надо иметь 2 реально существующих аккаунта, как-то их поддерживать. И если настоящий будет хорошо спрятан, это будет неудобно в ежедневном использовании.

Роберт ШЕКЛИ. БИЛЕТ НА ПЛАНЕТУ ТРАНАЙ
Незнакомец, жалобно всхлипывая, протянул Гудмэну потёртый бумажник. Внутри Гудмэн обнаружил один дигло, эквивалент земного доллара.
— Это всё, что у меня есть, — продолжал всхлипывать транаец, — но можете его забрать. Я понимаю, каково вам торчать здесь на ветру всю ночь…
— Оставьте его себе, — сказал Гудмэн, отдал бумажник и пошёл прочь.
— Спасибо, мистер.
Гудмэн не ответил. С тяжёлым чувством он возвратился в «Китти Кэт Бар» и вернул бармену пистолет и маску. Когда бармен услышал, что произошло, он презрительно рассмеялся.
— У него не было денег? Дружище, этот трюк стар, как мир. Все носят запасной бумажник на случай ограбления, иногда два или даже три. Ты его обыскал?
— Нет, — признался Гудмэн.
— Ну и зелен же ты, братец!
— Видимо, так. Послушай, я тебе заплачу за угощение, как только что-нибудь заработаю.
— Не беспокойся, — сказал бармен. — Иди-ка лучше домой и выспись. У тебя была тяжёлая ночь.

И ещё третий пароль, который стирает всю переписку (или только ту, что заранее помечена пользователем, как требующая удаления) на основной учётке и открывает «пустую» учётку.
При особом пин коде тел зависает, греется и взрывает батарейку :)
Чем плох вариант с приватным ботом, который сохраняет переписку и прячет/показывает историю по запросу?
Ребята, не забудьте в настройках фейкового аккаунта спрятать эти настройки чтобы нельзя было узнать, что есть второе дно) Еще не забудьте мне перечислить пару кесов)
Это само собой. При этом должна быть возможность из фейковой учетки создать еще одну фейковую, иначе есть вероятность, что проверяющий, увидев, что настройка отключена, попробует ее включить, а она ему — «а у вас уже есть фейк, ошибка»
Еще если отключить из такого аккаунта вход по пинкоду, то мы должны автоматом попадать в этот фейковый аккаунт.
Точно. А вот как потом в настоящий из такой систуации попасть, это вопрос. Включить пин на фейковом и потом «неправильно» зайти с настоящим?
Ну да, неплохой вариант. Нужно еще на всякий случай проверить, что если мы тоже самое провернем с фековым аккаунтом, то мы автоматически должны попадать во второй фейковый аккаунт.
Теперь утюг не выключат, даже когда назвал правильный пароль. Вдруг еще что прячешь?
Сам ввод пароля плохая идея — он подразумевает что-то скрывают.

Лучше сделать так — по умолчанию всегда открывается фейковый аккаунт, а для того чтобы перейти в реальный нужно, например, нарисовать какую нибудь фигуру на экране (причем можно завести несколько аккаунтов для нескольких фигур) — прямо в открытом приложении. Ну или трижды-четырежды тапнуть по какому нибудь обычному элементу/кнопке, например по настройкам.
Как человек на котором испытали «Терморектальный криптоанализатор», ответственно заявляю — ни двойное, ни тройное дно не помогут. Только полное удаление всей информации по второму паролю.
Очень интересны подробности героической истории!
Полное удаление — вы имеете ввиду, что пока есть возможно добраться до инфы, показания э… криптоанализируемого человека не выглядят искренними?
пока есть возможно добраться до инфы, показания э… криптоанализируемого человека не выглядят искренними?

Так оно и есть. Со мной паренек отдыхал у которого ВК не было, так я позже присел и раньше вышел в отличие от него.
И я бы попросил не иронизировать на эту тему, это смешно пока вас не коснулось.
Прошу прощения. Ирония это некий защитный механизм, ну и не могу же я на Хабре открытым текстом спрашивать про подробности ТРК-анализа — нужны какие-то эвфемизмы.
Только полное удаление всей информации по второму паролю.

По тихому, желательно. Дабы вопрошающие не просекли фишку.
Только полное удаление всей информации по второму паролю.

Походу ваши термокриптальщики были ламерами. Очевидно, что перед любыми действиями с информацией с неё будет снята копия.
Походу ваши термокриптальщики были ламерами. Очевидно, что перед любыми действиями с информацией с неё будет снята копия.


Требовали пароли от вк и почты. Снять копию с серверов они не могли, а переписку очень хотели почитать.
Ламерами они с технической стороны были, а вот с точки зрения выбивания информации они были профессионалами. Дело было в 14 году на востоке одной страны.

Простой метод: По умолчанию открывается действительно аккаунт пользователя, никакого пин-кода или т.п. не требуется для его включения, кроме того в настройках не будет вообще упоминания о приватном режиме. В нем у пользователя будут либо каналы, где будут реальные новости, каналы которых человек задаст при настройке "приватной учетной записи", обновляемые задним фоном, а так-же 5-10 бесед с аккаунтами которые можно светить, опять-же заданные заранее, живые люди. Одна из бесед будет с ботом вида


  • У вас продается славянский шкаф?
  • Нет
  • А объява на авито/ибее/юле ваша?
  • Нет, вы ошиблись

Причем данная переписка будет сгенерирована рандомом, с ссылками на товар или без, с пропущенным звонком/звонками, по объявлению или поиск одноклассника, перевод на карту сбера таксисту или чат-бот для поиска собутыльника в Норильске или т.п. чушь на 2-6-10 строк — в общем десяток входных точек с их миксованием. На выходе это будет действительно уникальная беседа для каждого пользователя, их может быть несколько.
После ввода в него пин-кода, если он правильный — телеграмм покажет папку "Чаты" где и будут все приватные чаты. После закрытия мессенджера или его сворачивания — папка вновь исчезает.


При вводе неправильного пин-кода в чат, он во первых отображается как обычная переписка и бот рандомом может ответить фразой "Что?" или "А вы кто такой?", может заблокировать, а может даже не прочесть, но, что самое главное, приватные чаты даже не упоминаются в интерфейсе. Дополнительно можно настроить возможность удаления чатов при неправильном вводе пин-кода, безвозвратном.


Жаль не умею в программирование, так-бы сделал proof of concept.

Не, спасибо, мне микроконтроллеров и одноплатников хватает, а от исходного кода телеграмма мне становится грустно.

Все опасные контакты заранее помечаются.
При неверном пине они и их переписка либо скрывается либо удаляется (настраиваемо глобально либо по каждому контакту), остальные отображаются как есть.

«Неверным пином» может быть даже верный пин, введенный не сразу а через 10 секунд, например.

5000 это наверное чтобы собрать побольше разных идей, а вдруг кто-то что-то придумает поинтереснее. В общем странный приз.
В viber данный функционал уже есть, и, надо признаться, работает довольно хорошо.
Один раз в жизни уже выручил.
Очень интересно! Расскажите!
Один раз в жизни уже выручил. Наверняка не вас, а вашего друга… или какого-то мужика в бане…
нет, это были доблестные сотрудники правоохранительных органов. 2 человека в штатском перехватили на выходе из подъезда дома, были предельно вежливы, представились и показали удостоверения.
Расспрашивали об одном знакомом, общаюсь\не общаюсь и т.п. С человеком я не вижусь, но иногда перекидываемся парой сообщений. Попросили показать телефон на предмет переписки. Контакт, понятное дело был, но чаты в whatapp пустой чат, в telegram очень старые сообщения, в viber чисто.
Ребята поблагодарили и были таковы. Думаю, что если бы что-то нашли, могли бы и в отдел пригласить для себеды.
P.S. за человеком не было какого-либо криминала. там толи политика, толи экономика.
P.S.S. К слово, Viber Security Overview оставил положительное впечатление о продукте, поэтому обычно его и использую, опять же pin есть.

++1 Фича удобная, думаю и простая в реализации, скрываешь под PIN чат, он виден, если вводишь корректный PIN в строке поиска. Идеально если ты не супершпион, а просто прячешь любовницу от жены, или наоборот.

у меня когда-то лоадер на ноуте был с окном ввода пароля, только не пароль это был а извращённое бутменю
проще говоря один пароль грузил мою opensuse, а второй пустую винду с псевдо следами деятельности простого обывателя.
имхо здесь эта идея тоже подойдёт
p.s.: делал это не ради переноса порнухи через таможня а просто ради фана (я и за границей то не был ни разу)

при нажатии кнопки «второе дно», появляется надпись «чтобы завести теневой аккаунт введите пин-код». эта надпись появляется в любом случае, окно стандартное, есть уже аккаунт, или нет. если аккаунт уже есть, то правильный пин-код его открывает, а неправильный, предлагает подтвердить повторно ввод пин-кода «для регистрации». если «неправильный» пин-код введен повторно, то уже имеющийся теневой аккаунт очищается и создается пустой. то же самое происходит, если аккаунта еще не было.

У вас возможна атака с ручным перебором всех пин-кодов: лучше просто две неправильные попытки подряд использовать как критерий для удаления. И ещё вдобавок сделать "второй пин", при одном вводе которого "второе дно" безвозвратно удаляется, и, возможно, вместо него показывается фейк.

ок. вход в «дно» только после второго ввода. тогда факт наличия «дна» просто не определяется.

Главная задача — скрыть сам факт наличия двойного дна, а значит секретные контакты и переписка должны подгружаться с сервера в реалтайме и улетучиваться с памяти после смены диалога, перехода в фоновый режим итд.
Никаких контейнеров, потому что уже сам факт их наличия или способа ввода пароля говорит о том, что с вас есть что выбить. Клиент по этой же причине должен быть строго оригинальным.


Соотв. можно сделать отдельный телеграм сервер, визуально выступающий в роли обычного прокси, но роутящий соединение с главным или секретным аккаунтом по какому-то отпечатку, хешу соединения или чему-то такому. Интел вроде бы вообще передавал информацию по порядку пакетов, если я верно помню. Либо какой-то паблик софт, который роутит чужое соединение только будучи включённым.
Так же можно заюзать горячую ссылку на QR коде, которая откроет возможность залогинить в 2хминутный промежуток с этого ip адреса + устройства, вводя пароль в поле поиска, а код наколоть себе в виде девы Марии на руке))


Сервер в состоянии удалить и контакты и переписку в клиентах отдельных юзеров, поэтому и истории не будет оставаться и из памяти это будет выгружено, и клиент будет оригинальным. Но я полагаю сделать сервер будет сложно и мало кто за 5к возьмётся

почему бы при установке приложения не создавать файл забитый криптографическим шумом. Пара гигабайт места на телефонах сейчас ничего не решают. Контейнер записывать в начало файла. Прнципа примерно такой же как у трукрипта был с теневым контейнером. При вводе пина пытается расшифровать первый кусок данных. Если там находится чтото осмысленное то значит пароль верный. Если нет возможны варианты.
Интел вроде бы вообще передавал информацию по порядку пакетов, если я верно помню

И как они боролись с тем, что случайное переупорядочивание пакетов — совершенно штатная ситуация в сетях?

Проблема любого двойного дна в том же в чём и проблема двойной жизни — все "дны" нужно поддерживать, иначе очень быстро появятся сомнения в правдоподобности.


Открытие якобы обычного аккаунта в котором вялая или устаревшая переписка — очень подозрительно, особенно если известно что человек обычно активен в переписках. Для рандомного пограничника с рутинной проверкой может и прокатит, но не более того.


Если у человека есть два совершенно непересекающихся круга общения, один из которых показывать не хочется — да, тогда всё ок, но опять-таки, только для рандомных проверок, если вас "пасут" — то сразу возникнут сомнения.


Грамотный подход — это разделение способов общения, т.е. в телефоне и прочих мессенжерах — только о котиках, всё что нужно скрывать нужно обсуждать только в специально отведенных бункерах замаскированных под бани или стрип-бары, только голосом или только письменно (на обычной бумаге).

А еще можно сделать так — открыть бота (который есть только в памяти юзера), написать ему кодовое слово, и откроется аккаунт а переписка с ботом удалится. А при создании нового 2ого дна будет просто заводиться новый бот который будет уже работать от 2ого дна и по сути будет 3им дном. И так до бесконечности. По сути доказать присутствие 2ого дна нельзя. Можно только создать новое дно, но на каком уровне это дно, знает только хозяин. Наличия переписки с ботом нет. Самого бота нужно искать в поиске и по сути это даже не бот, а просто дверь для открытия ввода пин кода. Наличие знает только хозяин, возможность все вернуть остается.

Вот вы пишите, что невозможно показать наличие/отсутствие «Второго дна» в аккаунте. Окей, товарищ майор знает, что у Телеграмма есть такая функция. Говорит, мол, открывай оба! Ты ему: «Так у меня один!» А он тебе: «А ты покажи второй, пустой, создай сейчас». А там уже созданное что-то есть и кнопки «Создать второе дно» нет, так не пойдет. Сделают наказание «за сокрытие второго дна», или как там бывает и капец, зря только повелся на использование этого второго дна.

Сама по себе система должна быть настолько запутанна для создания/открытия второго дна, что тошно станет, а вот использовать его уже должно быть просто (как и сам Телеграмм).

Технически это не проблема — кнопка "Создать" будет доступна всегда, независимо от того сколько раз уже использовалась, просто каждый раз будет создаваться новое дно, для получения доступа в любое из существующих нужен правильный пароль. Если же человек введёт пароль от существующего дна при выполнении функции "Создать", то оно уничтожится — два в одном.


Но всё это имеет мало смысла если вы на крючке — вам вежливо (если повезёт) предложат сознаться, в случае отказа отправитесь на Колыму, или что-то случится с вашими близкими — уверен, вы долго думать не будете, ну разве что ваша тайна — это чертежи вселенского аннигилятора.

Представим что Вы шпион или наркобарон ( Хайзенберг :) ). Например, Вас ловят в переулке забирают телефон и далее идёт допрос с пытками. Чего бы Вы желали от телефона в этом случае? Мне кажется максимумом является то, что если Вас заставят сознаться и Вы расскажете чистую правду про второе дно, то телефон(приложение) бы всё равно понял, что что-то идёт не так и уничтожил всю компрометирующую информацию. Причём мы должны понимать, что люди которые будут производить захват будут знать о механизме, но он должен быть таким, чтобы даже зная о нём, они ничего бы сделать не смогли. Мне кажется тут каким-то образом должен быть задействован второй элемент, например, смарт-часы, которые умеют мерить пульс (могут понять когда их сняли или почуять участившийся пульс) и постоянно слушать с помощью микрофона (суметь услышать особый пароль). Часы должны понять, например, что к вам подошли со спины и мгновенно усыпили, иначе Вы можете успеть сказать пароль которые услышат часы, после чего заблокируют приложение и запустят очень короткий таймер, через который все данные будут стёрты и доступны к восстановление только из надёжного места (которое тоже имеет надёжную защиту). Так вот допустим Вас мгновенно усыпили (или закрыли рот или вырубили) и куда-то везут, как дуэту электронных устройств можно это понять? Например, часы иногда могут вибрировать особым образом, на что вы должны отвечать кодовым постукиванием по телефону в кармане брюк (он поймёт постукивания с помощью акселерометра) и если Вы этого не сделаете, то все данные будут стёрты. Причём я прикинул: паттерн постукивания можно скрыть от видеокамер наблюдения и это не особо сложно. В случае если связь между телефоном и часами попробуют заглушить, то опять же запустится короткий таймер, который потребует ввода пароля голосом (Вашим). Короче можно усложнить жизнь захватчикам так, что даже подготовь они идеальную операцию, всё равно будет шанс, что данные им заполучить не удастся.

Всё гораздо проще потому что телефону не нужно ничего понимать — до тех пор пока от вас требуется активное действие, достаточно чтобы вы сами это понимали.


Если предположить что данные лучше уничтожить чем сдать, даже если вас будут пытать в аду тысячу лет — проблема решается тем что называется "duress code" — вы вводите специальный пароль для такого случая (всё равно никто кроме вас не знает какой правильный) — и данные уничтожаются, возможно, кому-то даже идёт уведомление о том что вас вынудили что-то сделать.


Допустим, враги знают что у вас такой есть такой механизм — и что? Есть только один способ проверить, назовете вы его или настоящий — и если уж данные так важны, вы назовете тот который уничтожит всё. После этого вас могут пытать до апокалипсиса (или самим апокалипсисом) — сделать уже ничего нельзя.


Поведение программы после этого может быть любым — от показа пустого контейнера до злобного сообщения типа "Вы все умрёте, хахаха!" — после чего вы можете зловеще ухмыльнуться и сказать "Недолго вам осталось".


Другое дело что вы можете не вынести пыток и в желании избавиться от них предпочтёте назвать "правильный" пароль — что ж, отчасти это можно понять, потому что не сдаются только партизаны и супермены — но если дела действительно зашли настолько далеко, вероятно, вам уже ничего не поможет, да к тому же нет никаких гарантий что враги остановятся даже если получат всё что хотят (особенно такие враги).


Пассивные механизмы типа анализа пульса и всё такое не очень надёжны, одно ложное (не)срабатывание (что весьма вероятно) и вы потеряете данные просто после бурной ночи в баре.


Вообще лучший способ не выдать тайну — это не знать её, хотя это тоже не гарантирует что пытать не будут, если у врагов есть подозрение что вы можете её знать.

Как по мне лучший вариант на сегодняшний день — это ввод пароля раз в сутки — не ввел данные уничтожились. Всем кому надо отправилось сообщение и т.д. Но в идеале мне видится вариант что-то типа умной прокси с телеметрией, может быть даже с нейронкой на борту, если по поведению понятно что это ты — то все норм, в противном случае данные удаляются.

Только перед каждым вводом пароля придётся сильно прятаться, потому что если за вами следят 24x7 — пароль станет им известен.


Да и от попадания в реанимацию с невозможностью ввода пароля вовремя тоже никто не застрахован. Вообще любая реакция на бездействие подвержена ложным срабатываниям, как и любой мониторинг состояния или поведения.


Просто не носите с собой то что не хотите никому показывать — лучше способа нет. Храните это в сейфе в банке, лучше крупном банке, если уж будут заставлять — трудно будет это сделать не выдав себя. Конечно, сотрудников банка можно купить, но с такими врагами лучше сразу принять цианид.


В общем, применяйте MFA в жизни, причём не менее чем 3FA.

Согласен, что лучше не знать тайну, это то как раз частично и позволяют сделать электронные устройства с накопителями.
А насчёт пароля я бы с Вами поспорил. На месте спецслужб — если бы речь стояла, скажем, о сверхважном гос. секрете я бы пытал человека пока он не скажет и правильный и неправильный пароль, если я знаю, что система так устроена, ведь практически не существует людей, которые способны выдерживать пытки продолжительное время. Короче решение только с паролем мне видится не очень надёжным.
Пара: пароль верный/неверный плюс таймер в день, как отметил Ru6aKa в комментарии выше, уже более надёжная система, однако если известно, что у нас сутки или допустим час — будут пытаться успеть выудить настоящий пароль за это время.
И я осознаю, что система с постоянным подтверждением и мониторингом ненадёжна — не хочется терять данные, однако суть в том, что всегда можно хранить данные где-то ещё, скажем месте куда физически может проникнуть только один человек (Вы) и то, что это именно Вы, контролируется биометрией (лицо, сетчатка, отпечатки, походка) плюс таймером, который срабатывает, когда Ваш телефон понимает, что что-то идёт не так и отправляет координаты (или берутся последнии из отправленных, перед тем как связь оборвалась) по которым вычисляется время с запасом за которое Вы должны успеть доехать до заначки и остановить окончательное уничтожение данных. Ну и телефон с часами не должны оплошать и в случае, если они потеряли коннект, должны немедленно сообщить об этом хозяину. Насчёт ночи в баре согласен, что данные будут потеряны, но тут уже надо включать голову и, если есть вероятность бессознательного состояния, то нужно принять меры перед подобным событием. А в остальное время все данные будут при тебе в быстром доступе и в достаточной мере защищены от внешних сил.
Я также понимаю, что всё, что я описываю, это какой-то шпионский боевик и к реальности, скорее всего, отношения не имеет, просто люблю пофантазировать :)
У атакующей стороны есть проблема.
Даже если они будут использовать бандитский принцип «вначале бить, потом договариваться», то все равно им надо будет ввести код — который будет якобы выбит из подозреваемого. А после ввода кода данным хана. А дальше подозреваемый может сравнительно расслабиться — т.е. при всём желании из него ничего не выбьют уже. Правда меры морального давления могут оказаться эффективней — типа «обмен данных на оставшуюся ногу».
Ну вы прям как из детского сада.
Правильно — это возможность создавать сколько угодно скрытых данных.
Есть поиск по адресам. Вводишь в него особое слово, и прям по волшебству появляются скрытые контакты. Возможно даже с чатами.
И особых слов — да хоть на каждый конкретный контакт отдельное волшебное слово.
И хранить их можно не на клиенте а в облаке.
И даже выбирать — хранить только контакты, или вместе с чатом.

И даже «отобразить несколько контактов, возможно даже реальных подозреваемых, при этом парралельно отправить надежным людям кодовое сообщение, типа „меня повязали“ или „меня повязали но я держусь“.
Нет возможности залезть в мозг, если человек захотел заморочиться.

И даже хакер не определит есть там что-то скрытое, и что произошло.
И хранить их можно не на клиенте а в облаке.

По моему тут все слишком доверяют сторонним серверам.
Ну в любом случае, добавляя контакт и общаясь с ним в телеграме, сервер телеграма уже будет знать про ваш контакт и факт общения
Вводишь в него особое слово

Нужно ещё проследить, чтобы оно не появилось в автодополнении при вводе.
сделать чтобы волшебные слова начинались с определенного символа, для которого не будет автодополнения (#$%^&)
мы же генерим идеи, исходя из того что сами определяем поведение клиента и пишем код?
Ух уж эти конкурсы с громкими суммами. Я уж грешным делом подумал, опять конкурс от Дурова, но с каким-то «обнищавшим призом» :)
Напишите все тоже самое, только за 15.000$ — xss.is/threads/37983 (если что, не реклама)

А в чём проблема сделать второе дно, которое будет вести себя как и папки сейчас?
Завёл пин, выделил контакты в эту вьюху и счастлив. Попросили завести новое — завёл внутри этой вьюхи. С точки зрения хранения данных и производительности затраты почти нулевые

Идея стара как мир, на самом деле, все пишущие здесь про «нельзя было говорить про пин от второго дна, теперь это не секрет» — опоздали.
Схема с «антихайджек-пином» известна ООООЧЕНЬ давно, второй пин настраивается для «деактивации» сигнализации, открытия сейфа и т.п., однако при использовании 2-го пина помимо обычных действий происходит ещё и вызов полиции, никак себя не проявляющий.
Как раз на случай когда вам уже сунули в нос ствол пистолета и вежливо попросили предоставить доступ.

Только не забудьте поставить облачный пароль, а то товарищ майор попросит Вас установить телеграм, а там всё осталось.

А что если использовать неограниченное множество сред активируемых по паролю, по аналогии с SEED фразой в криптомире — запоминаем SEED фразу, из которой при желании можно будет выводить пинкоды (как сейчас она выводит приватные/публичные адреса) и все — по отдельности каждый код ничего не значит, неограниченное кол-во дна))

Фигня это все.
Если вы занимаетесь чем-то "интересным" на своем устройстве, то шанс того, что оно у вас исключительно в Телеграме, весьма мал. Это нужно делать на уровне ОС или железа.

Безопасность через неясность. Есть n дно, нет его. Заботитесь о безопасности? Откажитесь от номера телефона.
UFO landed and left these words here
Твоей задачей будет разработать принцип «двойного дна» в оригинальном клиенте Telegram.
Так нужно найти способ в оригинальном клиенте или всё же нужно сделать свой форк с такой фичей?

Я что-то не могу придумать как это возможно без форка.

А если это форк, тогда что значит «оригинальном»? Текущий открытый код уже не позволяет собрать «оригинальный» клиент, он как минимум более старый но даже если бы был новый, его не сделать оригинальным, так как нужны ключи разрабов.

Если в форк добавить функцию открытия разных аккаунтов при введении разных pin, то надо где-то хранить систему преобразования pin в аккаунт. Если эта система будет хранить локально аккаунты, то это как-то совсем дыряво. Хранить локально можно алгоритм преобразования. Тогда, имея два аккаунта, можно получить два pin и пользоваться обоими аккаунтами, каждый раз входя в них как в новый аккаунт.
Ну или пойти дальше и сделать только один из аккаунтов постоянно очищаемым, а другой хранить в кэше, как обычный.

ИМХО 5000 будут выброшены на ветер, никому это не поможет. От случайных пограничников спасёт и просто второй клиент телеграма. А от неслучайных не спасёт ничего, если вы уже пользуетесь смартфоном для важной переписки.
Вводить «органы» в заблуждение я бы не стал. Если это как-то вскроется — будут неприятности. Зачем такие сложности? А если это не «органы», то они из тебя все и так все вытрясут, методом терморектального криптоанализа.

Конечно, есть приложения для уличных фокусников, там, например, «фальш-панель» с пин-кодом. Т.е. в фальш-панели ввел определенный код и никакого телеграма у тебя на телефоне нет. А можно просто, удалить приложение с телефона, а после прохождения границы поставить снова. Переписка ведь сохраняется на сервере. Или вот, чем не вариант, передавать информацию через приватный телеграм канал. Подключился — вся информация тут, удалил канал — все как и не было.

Хотя, по большому счету, владельцу история переписки не нужна, ведь обычно это уже отработанная информация. Нужно ее по уму вообще удалять нафиг. Это же не сочинения классиков, чтобы их постоянно перечитывать. Да и какой-ты вообще агент, если не можешь запомнить адрес или там, номер телефона.

Ну и в конце концов, уж советскому человеку ли не знать, как шифровать информацию открытым текстом, когда всю страну прослушивало КГБ?

От наивности, беспечности и глупости не застрахует ни один защитный механизм.
UFO landed and left these words here
Ну а тогда какой смысл, если тебя попросят в присутствии эту функцию отключить. Об этом уже тут говорилось.
UFO landed and left these words here
Шифрование помогает от несанкционированного доступа. А если доступ санкционирован, то впринципе не отмашешься. Как например на досмотре при вьезде в Штаты. А не нравится — гуляй и виза — гудбай. Они там не церемонятся.
Поэтому я и говою, что «сокрытие» хоть и мера, но не выход. Компрометирующие данные должны физически отстутствовать на устройстве в момент проверки.
Насчет там всяких кастомных андроид прошивок которые позволяют добиться на системном уровне любого механизма сокрытия — твой телефон отправят на более тщательную проверку и будешь куковать в аэропорту до посинения.

Т.е то что мы тут обсуждаем это по факту механизм для «контрабанды данных» на устройстве. Пусть даже в мирных целях. Я считаю, что это не та задача, которую стоит решать.
Разный пароль для разных аккаунтов. Не светить выбор типо:

«Войти в: (выберите аккаунт для входа)
— Алексей Попов в розыске
— Алексей Попов
— Алекс (для любовницы) „

Вместо этого предлагается сразу вводить пароль того или иного аккаунта, и только владелец точно будет знать, в какой аккаунт он войдет введя тот или иной пароль. Подробности входа оставить за кадром )))
а второго юзера на телефоне заводить для сильно секретных переписок не проще?
хотя это только для андроида годится вроде

Нужно в реальности не "двойное" дно, а столько доньев, сколько захочется пользователю. Что бы иметь 2, 3 или даже больше фейковых аккаунтов, по потребности.


Т.к. зная что может быть второе дно — можно просто усиленно налегать на терморектальный анализ, пока пользователь не выдаст и второй пароль. А если таких доньев много — то сложнее будет понять, что тебе дали туфту. (Правда в таком случае нужно на определенном уровне дна держать туфту похожую на правду, а не на пустой аккаунт без сообщений)

Куда более эффективно было бы реализовывать это на уровне системы!
Google например считает это избыточным!
issuetracker.google.com/issues/121372590
Сильно сомневаюсь что и Apple когда-то такое внедрит…
А вот LineageOS и им подобные — вполне возможно…
Ставим два кода пароля на приложение. В зависимости от ситуации. Первый открывает в нормальном режиме. Второй отправляет, все секретные чаты в облако.
Для Android есть прекрасная функция песочницы, можно поставить два приложения и зарегать их на разные номера, в одном переписываться по черному и спрятать его, другим по доброму и выставить на главный экран
Слушайте, а это случайно не «бесплатный» брейншторминг, организованый силовыми структурами и их подрядчиками? Компания какая-то «мутная».
Вот их «проект»:
Сбор данных из открытых источников. Предоставьте данные, которые у вас имеются, и приложение выдаст, всю имеющуюся в сети, информацию о человеке.
В вакансиях кроме прочего:
Android Reverse Engineer

Да ерунда это все, про двойное дно. Если ты дал в руки разблокированный смарт — все, разблокированная учетка, номера вставленных симок и все к ним привязанные сервисы скомпрометированы. Вопрос должен решаться на уровне учетки к устройству, причем пушистая учетка должна динамически зеркалировать грязную, по настраиваемым фильтрам, чтобы сохранялась максимально полная работоспособность устройства, без каких-либо визуальных отличий, и вход по умолчанию именно в пушистую, а в черную ИЗ ПУШИСТОЙ по особой комбинации ключей (отпечаток пальца + доверенное блютус устройство + доверенное нфс устройство), и автоматической выход из черной в пушистую при отвале любого из ключей на установленный интервал времени.
И это не решает вопрос с номерами симок! Капитан может просто вставить вашу симку в свое тело, и получить все смс и звонки.
И это не решает вопрос с номерами симок!

Его может решить только отвязка всех сервисов от номеров телефонов. Но кому это нужно?
Это нужно тем, кто беспокоится о защите данных. Смысл вообще привязки сервиса к номеру телефона? Это хомячковое удобство доступа к контактам, больше ничего. Это одна из главных дыр в безопасности.
Это нужно тем, кто беспокоится о защите данных.

Ну, значит, телеграм о ней не беспокоится. Впрочем я не сомневался, ну не может мессенджер с миллионами пользователей быть защищённым, потому что защита всегда баланс между удобством и безопасностью, а большинству подавай удобство.
Впрочем, вопрос был риторический.
Раньше пользовался такой штукой, создавал 2 пространство на ведройде.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

27 August 2017

Location

Россия

Website

postuf.com

Employees

31–50 employees

Registered

22 October 2019