Комментарии 112
Использовать коробочное приложение (видимо еще с закрытым кодом) и доверять ему, совершая противоправные действия? Крайне разумное решение...
После длительного нажатия на кнопку питания смартфон перезагружается в зашифрованную операционную систему EncroChat OS с мессенджером EncroChat и другими криптографическими приложениями
То есть при задержании полицейский мог легко сделать тест, есть ли данная ОС на смартфоне. И исходя из этого сразу можно внести человека в список подозреваемых (просто на основе корреляции пользователей). Разработчики даже не догадались спрятать систему поглубже, чтобы дать своим клиентам хоть какой-то шанс.
Еще "логичнее" было бы сразу на лбу татуировку делать "я нарушаю закон"...
Правоохранительные органы начали получать данные с сайта 1 апреля после того, как код шифрования был взломан, предположительно, в марте.
То есть общение шло не через P2P, и даже не через федеративную схему в стиле Skype. Соединения не шли через анонимайзеры. Видимо, еще и шифрование было не end-to-end, а в стандартном современном стиле "вся ваша переписка зашифрована, верьте нам".
Мессенджер EncroChat использовал нестандартный проприетарный протокол оконечного шифрования.
Интересно, почему не AES + ГОСТ с разными ключами?
ГОСТ, AES… что-то мне кажется, что криптоанализ был термо-ректальный
Europol said that French police had discovered some of EncroChat's servers were located in the country, and that it was possible to put a "technical device" in place to access the messages.
В общем, конечно не P2P — это очевидный фейл. Остальное — дело техники.
Я имел в виду P2P шифрование.
The best thing EncroChat is that it is equipped with all the security measures. It does not protect partial security rather it is an end to end security system. Being a software system, this software interacts with the other software applications, the network of the system and the operating system. The system is very much useful and the developers ensured that the system integrity is the primary responsibility. For this purpose, the developers ensured that the software is capable of securing the hardware, the operating system, the software applications, the data transit, and the servers. The developers also know that they must secure these aspects in order to satisfy the customers. The end-to-end encryption security mechanism is the unique selling preposition of the system.
Но возможно они просто
1. Либо сквозное шифрование было опциональным, как в Telegram, и часть пользователей его банально не использовала. Либо использовала неправильно (без взаимной верификации по защищенному каналу) и полиции удалось осуществить MitM-атаку.
2. Либо протокол сам по себе был уязвим. Что не так уж невероятно, так как создатели нарушили сразу несколько заповедей прикладной криптографии: ни в коем случае не считать себя умнее других и не изобретать велосипедов, а если уж порыв построить свой велосипед никак не сдержать, то хотя бы не скрывать информацию о нем.
3. Или да, просто обманывали — решили «напишем в описании продукта побольше всяких умных слов типа E2E, Curve25519 и AES, чтобы лучше продавалось, а на самом деле шифровать будем просто гаммированием на статическом ключе». Прецеденты тоже были.
4. Ну или как пишут в комментах ниже, мессенджер был изначально создан спецслужбами.
Либо протокол сам по себе был уязвим.
В первых версиях протокола телеграмма тоже была уязвимость. На серверах была возможность усиливать клиентские ключи шифрования, однако при не правильном использовании шифрование можно было опустить до нуля.
Там вам не тут.
Такое запрещено, да и суд неплохая альтернатива секир-башке от сданных клиентов.
Серия, которую я припоминал, ищется по ссылке
habr.com/en/search/?q=%5B%D0%9F%D0%BE%D1%83%D0%BB%D1%81%D0%B5%D0%BD%5D&target_type=posts
Не могу сказать, в какой именно статье история.
Я конечно дико извиняюсь, но там выше товарищ (майор?) в лице весёлого_сокола уже объяснил 99% вероятности взлома любого Е2Е(Р2Р) шифрования "методом паяльника"
Суть в том, что корректно реализованный e2e минимизирует число точек, куда может быть воткнут паяльник.
Как раз-таки E2E шифрование (без закладок) гарантирует, что паяльник пришлось бы вставлять всем 800 человек. (На самом деле, только самым общительным из них. Но сути не меняет).
То, что сообщения удалось расшифровать "оборудованием на стороне сервера" (и/или паяльником) означает, что либо там вообще не было E2E шифрования, либо в алгоритме были допущены грубейшие ошибки.
Например, один мессенджер (не помню какой) заявлял о E2E шифровании, а потом выяснилось, что под этим он имел в виду "между клиентом и сервером". Фейспалм, да?
Вот думаю, что здесь было что-то в этом роде.
Как раз-таки E2E шифрование (без закладок) гарантирует, что паяльник пришлось бы вставлять всем 800 человек.Бред.
То, что сообщения удалось расшифровать «оборудованием на стороне сервера» (и/или паяльником) означает, что либо там вообще не было E2E шифрования, либо в алгоритме были допущены грубейшие ошибки.Никаких ошибок.
Смотрите: пусть у вас имеется СуперЗащитаПлюс™ — реально невзламываемая. Ультразащищённость™, всё такое.
В какой-то момент к анусу одного из разработчиков применяется один-единственный паяльник. И выходит версия с небольшими изменениями. Ультразащищённость™ — сохранена. Только теперь данные, всё так же незвламываемо, отсылаются вашему собеседнику и… «товарищу майору». И всё, собственно.
Ну почитайте ж, чёрт побери, про Crypto AG — это ж «классика жанра», просто.
Напрашивается ipv6
МТС раздает мобильным клиентам ipv6 адреса например
МТС раздает мобильным клиентам ipv6 адреса напримерИ это ещё не значит, что p2p заведётся. Не буду удивлён, если операторы даже на ipv6 запретят входящие соединения, «ради безопасности клиентов».
Номер назначен много лет назад, старым абонентам похоже автоматом не включают.
Раньше, ради экономии памяти, если клиент коннектится с адреса 10.0.0.1 на 123.1.1.1:80 и получает порт на роутере 12345, то любой пакет на роутер на порт 12345 направляется этому клиенту. Таким образом, у нас было всего не более 65535 трансляций.
Современные роутеры привязывают к клиенту порт+ip-адрес-dst, поэтому пакет с 123.1.1.1 на порт 12345 попадет клиенту 10.0.0.1, а пакет с 125.2.2.2 на порт 12345 может попасть другому клиенту 10.0.0.2, если он установил соединение c 125.2.2.2. Таким образом, кол-во трансляций ограничено только памятью роутера. Hole punching сделать нельзя.
Так сейчас работает Linux и FreeBSD. Насчёт железных роутеров у меня нет статистики, но я думаю, они все двигаются в эту сторону.
Возможно, у вас I2P работает, потому что вы с телефона соединяетесь с узлом с публичным ip-адресом, а не потому что используется hole punching.
То есть при задержании полицейский мог легко сделать тест, есть ли данная ОС на смартфоне.Но если её там нет, полицейский усложняет себе задачу, поскольку раньше ему требовалось обойти экран блокировки (пока смартфон был включён), а теперь данные зашифрованы и добраться к ним сложнее.
Именно поэтому изъятые телефоны не перезагружают.
Я неправильно выразился.
Представьте, что на человека ориентировка. Его останавливает полицейский (таможенник?) в аэропорте и просит "можете, пожалуйста, нажать на кнопку выключения телефона и держать 15 секунд?" Для большинства людей это будет просто незначительным неудобством, а у нарушителя высветится "загружаем режим 'спрячься от полиции'". Далее подозреваемого отводят в специальную комнату на досмотр и так далее.
По сути, это такой простой способ выбрать из толпы подозреваемых. Да, среди них могут оказаться и юристы (которые опасаются потери конфиденциальных данных), трейдеры (хранят в защищенной секции детали своей позиции) и так далее. Однако с неплохой долей вероятности можно поймать именно преступника.
Ведь в идеале преступник вообще по-максимому не должен себя выдавать. Внешне он должен выглядеть как простой клерк, который едет по работе/на отдых, без наколок и пр. Однако это приложение, как я понял, наоборот подставляет своих пользователей.
Более того, для того же Android можно было бы сделать более крутую вещь: представьте, что для входа в приложение надо открыть определенную фотографию (настраивается) и сделать определенный жест пальцем (как бы "разблокировать телефон", проведя пальцем по невидимой сетке). А далее, если пароль правильный, может открыться приложение с только что примонтированного раздела.
Кстати, еще момент: возможно, было две версии приложения — для своих и для "расходного материала". И на самом деле в программе всё безопасно, просто на случай работы полиции сдали пешек.
Его останавливает полицейский (таможенник?) в аэропорте и просит «можете, пожалуйста, нажать на кнопку выключения телефона и держать 15 секунд?»Зачем так сложно? В статье речь не о приложении, а о телефоне EncroPhone, то есть достаточно показать телефон (логотипы, узнаваемый дизайн).
Таким образом, достаточно носить 2 телефона и полиции показывать обычный iPhone.
Всё ещё проще: емнип на некоторых телефонах можно настроить переход во "второе пространство" при разблокировке другим пальцем.
А ещё можно попросить преступника приложить палец к сенсору и разблокировать всё. Не так ли?
А как это поможет? Я утверждаю, что если есть простой способ обнаружить подозреваемого, то задача преступника — не подходить под этот способ обнаружения.
Если отводят в камеру для допросов при наличии определенного ПО, то его не должно быть на телефоне. Если задерживают людей с татуировками — значит их не должно быть. Если охотятся на людей в "типично бандитских машинах", то лучше их не выбирать.
Например, в США.
У таможенников США довольно большие привилегии. Так что если человек отказался просто разблокировать телефон, то это отличный знак, что он(а) просится в комнату для досмотра. У моей знакомой получилось попасть в эту комнату просто по возвращении из ОАЭ (знакомой больше 50 лет, гражданка США и РФ). Причина — Вы едете из ОАЭ.
В аэропорте Пулково в СПб просят включить телефон (чтобы экран загорелся). Если начнут просить еще и разблокировать его, то люди особо даже разницы не заметят.
В большинстве стран полиция не может принудить Вас разблокировать телефон. Однако в этих же странах вас могут отвезти в участок для досмотра (если есть ориентировка, есть подозрение и так далее). Так что телефон не будут взламывать, Вы просто будете сразу подозреваемым. Если Вы нигде больше не прокололись, то беспокоиться не надо. А вот если у вас в машине груз, то просто становиться таким подозреваемым уже опасно.
Думаю и тут так же было.
Так и было.
"Обнаружив, что некоторые из серверов EncroChat были размещены в стране, французская полиция взломала сеть, установив «техническое устройство» для проникновения в неё. Взломать код шифрования EncroChat удалось в марте и уже в апреле органы правопорядка имели возможность отслеживать сотни миллионов зашифрованных сообщений, отправленных через сеть Encrochat преступными элементами."
Вот на английском более подробно: https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked
И там несколько запутанно, но создаётся впечатление что централизованно затроянивались сами телефоны абонентов сети.
И чем jabber с OMEMO не устраивал? За такие деньги что в статье указаны можно было сеть из сотен серверов развернуть.
NCA утверждает, что система обмена сообщениями использовалась преступниками «для координации поставок наркотиков класса А по всему миру и импорта оружия, включая штурмовые винтовки, автоматы, дробовики, пистолеты и ручные гранаты».
При этом:
Всего изъято более двух тонн наркотиков, несколько десятков пистолетов и 54 миллиона фунтов стерлингов наличности.
Наркотики категории А:
ЛСД, Экстази, Амфетамин и даже внезапно Метадон (применяемый как анальгетик, а также при лечении наркотической зависимости), а также героин и прочие наркотики, заслуживающие максимальную оценку.
Сдаётся впечатление, что огромные бюджетные средства были потрачены на «изъятие 1 гранаты, пары дробовиков и несколько тонн травы». Интересно, была была вообще такая новость если бы траву легализовали, а ЛСД, Экстази, Амфетамин и Метадон убрали из категории А в категорию B? Как бы выглядела такая новость?
Британские оперативники потратили полгода рабочего времени и миллионы бюджетных средств на изъятие двух дробовиков, проданных с нарушением лицензии. Начальник полиции подал в отставку. Против оперативников подан иск за взлом серверов мессенджера.
Из Википедии: Наркотический потенциал и длительность эйфорического эффекта сопоставимы с известными для морфина.
Из википедии:
Заместительная терапия метадоном используется в 106 странах мира.
От туда же:
Давно известно, что Метадон является наркотиком. Зачастую, более сильным чем те, для «лечения» зависимости от которых он используется.
Я не знаю кого вы подразумеваете в контексте «давно известно» и «зачастую», потому что в английской версии тоже ничего из «минусов» нет.
Единственное, что там есть — это в разделе «Полемика» описаны споры на тему, что что лечение метадоном не настолько экономически выгодно, как считалось ранее.
Будь я гражданином Великобритании я был бы против траты огромных бюджетных средств на «борьбу» с травой и метадоном, лучше бы эти средства потратили на борьбу с коронавирусом. Почти все знакомые из Великобритании потеряли как минимум 1 близкого родственника в результате халатности властей.
А вы в Английской версии Legal Status посмотрите.
А также:
Black Box Warning: Risk of addiction and abuse
Withdrawal symptoms (длинный список неприятностей при резкой отмене препарата. Ломка, короче говоря)
Это вам о чем-нибудь говорит?
Т.е. даже согласно английской странице про метадон, это наркотик. Просто может там прямым текстом это не сказано.
Это все равно что сказать "белый, пушистый, с длинными ушами. По легенде, на пасху прячет яйца", но не написать "Кролик".
Поэтому собственно и поинтересовался почему про эту информацию, которую по вашим словам «Давно известно» нету ни в русской, ни в английской википедии. Если бы вы написали «В редких случаях, более сильным», то я бы прошёл мимо вашего комментария мимо, но у меня возник вопрос, «зачем метадон используют, если он наносит больше вреда, чем пользы и этот факт давно всем известен?».
В ней пишут, что ломка от метадона сильнее, чем от героина.
Думаю, если вы поищите действительно медицинские исследования, а не просто «ну где же вы это видели», то всё найдёте.
Почему используют? Причины могут быть разные. Возможно, под контролем врачей пациенты легче принимают постепенное снижение дозы, чем с другими опиатами. Возможно, благодаря тому, что действие метадона длится дольше, его можно давать пациенту реже, а значит проще составлять и контролировать расписание.
Т.е. он вполне может обладать свойствами, которые делают его медицинское применение более удобным и контролируемым. Но это не значит, что он менее вреден в условиях уличного распространения и применения.
Но это не значит, что он менее вреден в условиях уличного распространения и применения
также не стоит забывать, что большая часть вредности наркотиков проистекает из их статуса, а не свойств
равно как и ужасы ломки изрядно преувеличены в педагогических целях
Вот первый раз за весь этот флуд к посту хочу выматериться и послать оппонента в известном направлении.
Ты общался с наркоманами, испытавшими ломку? Я общался. Их рассказы не сильно отличаются от того, что «преувеличено в педадогических целях». Странно, не правда ли?
Ладно, если честно, я не помню, что она рассказывала именно про ломку. Помню только, с какой радостью она рассказывала, что бросить смогла, потому что попала в аварию, и ломку пережила в больнице под болеутоляющими. Но судя по тому, как она рассказывала об этом, она знала, что такое ломка, и что по другому она бы ее не выдержала.
конечно, общался
отличаются, никаких двух недель непрерывных страданий
А сколько дней? На чем сидели?
опыт не мой, пару дней, кустарные опиаты
тут же не в самой ломке проблема, а в том, что человек слаб (не конкретный, а в целом), помощь нужна, адаптация, социализация, инклюзивность, вот это вот всё
Да, проблема действительно в том, что человек слаб. Тем более, когда его воля ослаблена наркотой. И боль, которую обычный человек ещё мог бы перетерпеть, наркоману будет казаться нестерпимой, хотя бы потому, что он разучился терпеть.
Но и интенсивность ломки — это весьма индивидуально. Даже к тому же метадону пишут, что обычно она сильнее, чем от героина, но есть индивиды, которые её почти не замечают.
Например, моя супруга легко бросила курить, когда мы познакомились. Это единственный человек из моих знакомых, кто легко бросил курить. Всё очень индивидуально.
А потом такие счастливчики, которых ломка не сильно то и ломала, начинают рассказывать «да ладно, это всё ерунда, в любой момент соскочить можно». Они смогли. А вот у большинства не выходит.
Они смогли. А вот у большинства не выходит
ну вот тут я и не согласен, я считаю, что всё-таки не большинство
но нормальных данных мы в сложившихся условиях не получим
кстати, знаю множество людей (больше 10), легко бросивших курить, без жвачек и пластырей, правда, некоторые с набором веса, да
да, всё индивидуально
По сути, людей пересаживают с одного наркотика на другой.
Неужели к нам пожаловал хозяин сети частных тюрем и пыточных гражданин Ройзман?
Я поясню, если мой коммент был непонятен. Против метадона выступает такой известный владелец частных тюрем и пыточных, как Евгений Ройзман. Этот персонаж известен тем, что его боевики похищали людей, приковывали их к батареям и пытали, что бы «излечить» от наркомании. Так же его боевики похищали людей, заставляли переписать на себя квартиры и убивали потом их. Е.Ройзман активно выступает против любых методов лечения зависимости кроме приковывания и пыток. Так же он известен фразой «трава это первый шаг к гомосексуализму» и прочими интересными вещами.
О метадоне я слышал из документальной передачи лет пятнадцать-двадцать назад. Может эта программа была снята по заказу Ройзмана, может нет, я не знаю.
Судя по неадеквату и глупости вы сами, гражданин, по заказу Ройзмана вещаете. Нормальный человек не будет повторять глупости которые он якобы слышал 15 лет назад и выдавать их за истину.
Хмм, кто же тут бот — rinovnill, зарегистрированный 8 дней назад и вбрасывающий политику, или funny_falcon — тот, кого rinovnill обвиняет в продажности.
Датами регистрации меряйся в другом месте, милый ребенок
Как вы думаете, Ройзман до Украины добрался?
http://aph.org.ua/wp-content/uploads/2017/08/StreetMethadone-compressed.pdf
Из недостатков метадона (при медицинском применении!!!) следует отметить… более продолжительный и выра- женный «синдром отмены» (по сравнению с бупренорфином, «ширкой» и героином), который может длиться до месяца и дольше и часто сопро-вождается сильными болями во всем теле.
Синдром отмены есть? Есть. Причём «более выраженный по сравнению с героином». Т.е. обычному человеку самостоятельно слезть с метадона будет тяжелее, чем с героина.
Правда, дальше упоминается, что при плавном уменьшении дозы пациентов удаётся «снять» с метадона. Сомневаюсь, что такой фокус с героином пройдёт. Так что, может какая-то «польза» от него есть.
Я могу признать за собой глупость и неадекватность, ибо ни по чьему заказу я не вещаю.
Впрочем, адекватностью и от вас не веет. Видимо, Ройзман — это центр вашего временного помешательства, раз вы везде его видите.
известный владелец
Этот персонаж известен
Так же он известен
Вот прям любопытно стало. Кто это, чёрт побери? Что за легендарная и известная на Хабре личность? Нагуглил лишь бывшего мэра Екатеринбурга с COVID-19.
:-) аналогично :-) после такой рекламы трудно было не пойти гуглить
Реально прославился частными тюрьмами, созданием отрядов титушек и коллаборационизмом с властями на почве репрессий наркоманов. При этом косит под оппозиционера.
и даже внезапно Метадон (применяемый как анальгетик, а также при лечении наркотической зависимости)Почитайте в интернете бывалых наркоманов. Опиаты и их синтетические аналоги (метадон) — единственные по настоящему смертельные наркотики.
Читал даже мнение, что уравнивание опиатов с другими наркотиками в законодательстве и просветительской работе с молодежью — это преступление, которое губит миллионы. Потому что у человека не отличающего одно от другого создается ощущение, что не так уж это опасно из опыта с другими наркотиками, пока он случайно не попадает в смертельную ловушку опиатов и их аналогов, из которой почти никто уже не вибирается.
пока он случайно не попадает в смертельную ловушку опиатов и их аналогов, из которой почти никто уже не вибирается.
Уже отвечал выше funny_falcon.
Если метадон настолько опасен и после него почти никто не выживает, то почему его используют для заместительной терапии? Чтобы наиболее экономически выгодным способом снижать количество наркоманов? И почему об этом нет информации ни в русской ни в английской википедии?
И почему об этом нет информации ни в русской ни в английской википедии?Потому что информация доступна только людям, умеющим читать?
Вот это вот:
После занесения препарата в список «Перечень наркотических средств, психотропных веществ и их прекурсоров, подлежащих контролю в Российской Федерации и запрещения его оборота», перестал использоваться. Причинами этому стали практически настолько же быстрое развитие привыкания к препарату, а также употребление его не по назначению с целью получить наркотическое удовольствие., например.
Вы либо троллите, либо говорите о какой-то другой, нестандартной Википедии…
Возможно метадон обладает свойствами, делающие его медицинское применение более удобным и контролируемым. Но уличное употребление явно этими свойствами не пользуется.
И кстати LSD, DMT, мескалин не вызывают привыкания. Вообще. Как и все психоделики.
Да, спасибо!
Я не сразу сообразил нажать на "Read as Wiki Page".
Там много интересного. В том числе, высказывания нареоманоав, сидящих/сидевших на метадоне.
Особенно мне понравилось:
"С другими опиатами вы можете, сжав волю в кулак, бросить сразу: пережить сильную ломку за два дня, и терпимо дискомфорт за две недели. С метадоном так не получится. Вам придется месяцами уменьшать дозу по 5-10% в месяц, даже когда вы на 20мг."
Т.е. лечение метадоном безумно выгодно производителям метадона: пациент вынужден принимать его очень долго.
Правда, этот же человек пишет: "к метадону толерантность развивается медленнее, это один из немногих опиатов, дозу которого не приходится постоянно повышать. Сидящий на метадоне не так часто злоупотребляет другими наркотиками, и его жизнь перестает быть вечной погоней за дозой."
Т.е. плюс: на метадоне (под контролем врачей) человеку проще социализироваться. Минус: слезать с него намного дольше, и на одной силе воли не получится.
А почему бы поверх любого мессенджера не зафигачить PGP с большими ключами и слать сообщения по 4 кБ минимум. Обмен сертификатами можно разжевать и наглядно показывать шаги при добавлении новых абонентов.
Взлом криптомессенджера EncroChat привёл к аресту более 800 человек в Евросоюзе