Comments 42
github.com/shazow/ssh-chat
Позволю себе процитировать свой же комментарий на тему приватности, безопасных мессенджеров и борьбы с ними:
Если бы я был бы чиновником высокого ранга или сотрудником одного из органов госбезопасности, то я бы нашёл давно проверенного авторитетного айтишника, договорился бы с ним, что он попадает в скандал, но получает деньги, которые в обычных условиях ему бы не было смысла давать, затем он бы переехал в другую страну, нанял бы небольшую команду, которая разрабатывает мессенджер, при этом он должен периодически напоминать всем о скандале, быть публичным лицом, уважающим безопасность и приватность. Мессенджер должен быть удобным, но при этом позволять авторизоваться только по номеру телефона, не использовать end-to-end шифрование по умолчанию, реализовывать собственную криптографию, не публиковать данные об уязвимостях и утечках. В идеале, этот айтишник должен запустить собственные переводы внутри мессенджера, чтобы получить не только полный социальный граф людей, их реальную связь с номерами телефонов и гигантскую базу переписок, но и подозрительные потоки денег. Но последнее кажется малореальным, кто доверит свои данные настолько подозрительному мессенджеру? А вдруг получится?
Эх, как хорошо, что я не из госбезопасности.
Однако,
- на этой же странице они пишут о том, что готовы сотрудничать с любыми органами безопасности
- код мобильного клиента WhatsApp не открыт. Поэтому действительно ли переписка защищена остается открытым.
- Из моего скромного опыта любой продукт корпоративного уровня со временем превращается в жуткое мессиво из старых и новых API, подпорок и заглушек. И что еще хуже, не документированных отладочных возможностей. Кто гарантирует, что соблюдены все требования безопасности хотя бы на уровне клиента, не говоря уже о сервер-сайд?
- WhatsApp постоянно норовит предложить делать бекапы. Стоит нажать не на ту кнопку и вся переписка слита и никакое сквозное шифрование не поможет.
- Существует хотя бы еще такое мнение, внезапно от Павла Дурова
А так да, мне нечего скрывать и я использую WhatsApp.
Сейчас несложно найти современные мессенджеры, отвечающие самым высоким запросам к безопасности. А про многие можно просто сказать, что у них довольно приличная безопасность. И даже WhatsApp вполне можно использовать и тем, кому есть что скрывать, судя по тому, как американские правоохранители даже с поддержкой Конгресса годами не могут от Цукерберга добиться обещанной помощи.
Если телеграм не пишет, что готов сотрудничать с органами безопасности, это не означает, что он не сотрудничает.
Главное, чтобы люди верили — в телеграме все зашифровано (два раза) и никто их переписку не найдет.
И 99,99% из них действительно не найдут.
Потому что они как тот Неуловимый Джо — нафиг никому не нужны.
Да не будет шахид использовать телеграм. И не в шахиде проблема. Проблема — как её видят определённые… роли, так выразимся — в тысячах людей, которые могут сговориться и выйти в центр города хлопать в ладоши. Или не в ладоши...
Так может цель блокировки — нанести ущерб конкретному мессенджеру Telegram?
В Телеграме есть каналы. На них подписано много народу.
Помните закон о блогерах? Больше 3000 — вы СМИ — в реестр, на крючок, ограничения.
Одна из целей — получить возможность включать и отключать определенные каналы на территории РФ.
Но лично мне не очень понятно как тогда быть с youtube, где некоторые весьма талантливые граждане имеют доступ к миллионной аудитории и активно этим пользуются, в том числе для откровенно политических акций. Не слышал что бы подобную линию рассуждений применяли к этому ресурсу, 3000 подписчиков это вообще ни о чем. Хотя возможно все еще впереди.
Youtube легко блокируется, Телеграм — нет.
Когда мы говорим про точечное отключение, я имею в виду, что они ищут возможность блокировать неудобный, нехороший для них (для властей. — Znak.com) контент, не нарушая работу интернета в целом.
У российского YouTube аудитория перевалила за 40 млн человек в день. Естественно, 75%, а может, и 90% пользователей — это не политическая аудитория. Это люди, которые смотрят клипы Тимы Белорусских и показывают «Свинку Пеппу» детям на ночь.
Последняя штука, которую государство во главе с дряхлеющим диктатором, теряющим рейтинги, хочет сделать, — это рассориться с 30 млн аполитичных пользователей YouTube.
Отключи YouTube на несколько дней, и из этих 30 млн аполитичных пользователей хотя бы 3 млн тоже станут политически активными и тоже станут тебя ненавидеть за то, что они вынуждены были отказаться от привычных ритуалов и процедур, потому что YouTube очень плотно вошел в жизнь. Я надеюсь, они (власти. — Прим. Znak.com) понимают это.
Блокировка YouTube может создать околореволюционную ситуацию. Бразилия, Турция — это известные примеры стран, где люди миллионами выходили на улицу после попыток блокировок YouTube, WhatsApp, действительно массовых сервисов. Кстати, Бразилия — довольно похожая на Россию страна и по экономике, и по политическому положению дел во многом, и по размеру, и по населению. Это страны, которые интересно сравнивать.
( www.znak.com/2019-12-25/pochemu_rossiyskim_vlastyam_vazhno_nauchitsya_tochechno_otklyuchat_internet_k_2021_godu )
Это точно ваша статья, а не перевод?
Сервера с бегущим на них линуксом это что ли сленг?
Тогда подумайте, как реализована функция синхронизации между устройствами. Если данные секретны, то каким образом они попадают на третье устройство? Ведь никаких специальных клиентских ключей вы не предоставляете для расшифровки.
Ничего не мешает генерировать ключ для ассиметричного шифрования из пароля юзера и аутентифицировать его по подписи. Соответсвенно если один и тот же пароль введен на разных устройствах, то синхронизация может работать безопасно через центральный сервер без дополнительных действий. Это не самая безопасная схема, но может работать. В Телеграме такое не сделано, правда. В KeyBase что-то похожее есть.
Вот только насчёт «успешности» проекта можно поспорить, ведь все давно знают откуда у проекта «ноги растут». Telegram просто удобный, в чём-то лучше других мессенджеров. Но ничего общего с приватностью там нет.
Т.е. он не будет разбрасываться пустыми словами на весь интернет, репутация всё-таки.
Ага, вот только опровергнуть, что "проект Х сделан спецслужбами" невозможно. Зато если подтвердится, то можно сказать "я же говорил". Очень удобно
Лебедев регулярно пишет хайповую ерунду для привлечения внимания, так что как раз-таки будет.
до этого разбрасывался, а тут не будет
Напомню тем, кто что-то пропустил. Это тот чувак, который в своё время организовал еженедельный постинг сисек подписчиц у себя в блоге, тот который продал аппликацию ДЦПшника за 100к рублей (Джон Фёдор), тот который за 232 млн убрал синюю рамку у Московского метро.
Надо ли говорить, что ради хайпа и бабла этот товарищ скажет что угодно?
Кому надо — тот найдет безопасный канал. Можно запустить фигню на левом форуме. Причем вообще левого города. В малопосещаемой ветке. И там условными фразами передавать команды. Туда же добавлять картинки, куда вшит текст (rarjpeg как вариант)
Все необходимые программы в любое облако закидывать. Либо свой облачный конвертер без индексации (каждый раз разный)
Робот такое не отследит. Человек может и сможет, но только если будет знать, что ищет. Но таких человеков надо будет много.
Да тот же Ватсапп — известен один номер, по звонку на который люди добавляется в группу.
В группе важная информация распространяется аудиосообщениями, в идеале на малораспространенном диалекте — тот же вариант, только стойкость шифра зависит от того, как быстро найдут переводчика.
Меня (да и многих отсюда) можно сразу закрывать, потому что "инструмент то имеется"
безопасные мессенджеры-это из серии «чем круче джип-тем дальше идти за трактором». в том смысле, что чем больше доверия к защищенности системы-тем больше секретов ей хочется доверить. хотя любая система потенциально небезопасна.
И, кстати, оказывается, гг. пользователи Хабра все-таки знают слово «шумиха». Может тогда уже и ввести его в употребление вместо «хайпа», а?
О безопасности в сети