Интеллигентный торрент-трекер
canvas not supported
Нас вместе: 4 189 717

Разработчик СОРМ ищет способы взлома мессенджеров для реализации закона о тотальной слежке


Страницы:  1, 2  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
fraxinus ®
Стаж: 7 лет 8 мес.
Сообщений: 705
Ratio: 10,015
1.85%
witch.png
Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype в рамках реализации "пакета Яровой"

То, о чём в совсем недавно проговорилась госпожа Касперская, похоже, всё-таки имеет под собой реальную почву. Власти всерьёз решили подойти к взлому мессенджеров — российская компания Con Certeza, разработчик систем «легального контроля» (СОРМ-3) на сетях операторов мобильной и фиксированной связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика таких мессенджеров как WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Об этом пишет «Ъ» со ссылкой на копию переписки сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ). Подлинность переписки подтвердили техспециалист и гендиректор этой компании.

От потенциального исполнителя требуется «рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность», — говорится в документе. То же самое необходимо сделать и с технологией MITM (атака Man-In-The-Middle, которую глава ОЗИ Леонид Волков назвал «фактически хакерской атакой») и по возможности «продемонстрировать прототип на локальном стенде».

Начать исследование предлагается с Viber. На изучение одного мессенджера отводится два месяца. Оплата работ за каждый мессенджер – 130 000 руб. за выполнение основной части исследования и бонус в 230 000 руб. «в случае получения идентификаторов сторон либо текста при использовании MITM». В качестве цели исследования указывается «реализация или аргументация о невозможности реализации (функций перехвата) в системах СОРМ согласно нормативным требованиям к операторам сотовой связи», пишет сотрудник Con Certeza. Сотрудник ИБ-компании рассказал изданию, что «готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ».

Исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения пользователей, «их переписки и в случае успешной реализации MITM подмены ее содержания»,— оценивает описание задач гендиректор Qrator Labs Александр Лямин. По его оценке, уязвимость к перехвату топовых мессенджеров на «черном рынке уязвимостей» может стоить десятки тысяч долларов.
По данным kartoteka.ru, 76% ООО «Кон Цертеза» принадлежит Михаилу Лемешеву, а 24% — ООО «НЛП Груп», которым также владеет Лемешев и ООО «Кон Цертеза».

ФСБ, Минкомсвязь и Минпромторг обсуждают варианты технических решений, которые позволили бы получить доступ ко всему интернет-трафику россиян, однако специалисты еще до принятия «закона Яровой» сомневались в возможности этого применительно к мессенджерам, использующим end-to-end шифрование (то есть когда ключ от переписки формируется на конечном устройстве, например, смартфоне пользователя).

Консультант по интернет-безопасности Cisco Алексей Лукацкий указывает, что до сих пор не удавалось организовать массовый доступ к переписке в мессенджерах. «Поэтому заключение о возможности перехвата, скорее всего, будет отрицательным и никакого прототипа тут быть не может», — сказал он.

Однако в Digital Security (консалтинговая компания в области информационной безопасности) считают, что теоретически перехватывать зашифрованный трафик от популярных мессенджеров возможно. Перед началом переписки они обмениваются публичными частями криптографических ключей, которые можно подменить. Но существуют технологии, нацеленные на защиту от такого типа атак, – Key Pinning. Они привязывают конкретные сертификаты к конкретному веб-сайту или приложению. «Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя», – поясняют в компании.

Ранее сообщалось, что идею о доступе к трафику обсуждают ФСБ, Минкомсвязь и Минпромторг. Нашумевший пакет антитеррористических поправок Ирины Яровой уже обязывает операторов связи хранить интернет-трафик, но сам по себе без дешифровки он бесполезен, поэтому спецслужбы хотят его расшифровать. Свои методы дешифровки трафика предлагают разного рода интегрированные в государственные проекты IT-компании, однако большинство из них выглядят весьма утопично (и слава богу!), не говоря уже о том, что предлагаемые ими способы перлюстрации переписки незаконны.

04.10.2016
Источник

_________________
Я гляжу на экран, как на рвотное: То есть как это так, все народное?© А. Галич
Beantwortung der Frage: Was ist Aufklärung?© Immanuel Kant
Si tu ordonnes à ton peuple d'aller se jeter à la mer, il fera la révolution.© Le Petit Prince (Antoine de Saint Exupéry)
itfake
Стаж: 5 лет
Сообщений: 163
Ratio: 8,735
0.1%
Фейк, уже опровергли эту желтую новость.
mmaxcad
Стаж: 4 года 11 мес.
Сообщений: 626
Ratio: 3,341
0.62%
В случае успеха расшифровщиков ждет как минимум нобелевская премия пожизненно.
А вообще нобелевская премия и рядом не валялась с тем кто разрушит фундаментальные законы криптографии.
Shamuel
Стаж: 8 лет 3 мес.
Сообщений: 84
Ratio: 2,631
Поблагодарили: 3
13.95%
russia.gif
Чем это отличается от пиратства?
Red-White 77
Стаж: 6 лет 11 мес.
Сообщений: 674
Ratio: 65,536
56.87%
Откуда: из Светлого Прошлого
nnm-club.gif
mmaxcad писал(а): Перейти к сообщению
В случае успеха расшифровщиков ждет как минимум нобелевская премия пожизненно.
А вообще нобелевская премия и рядом не валялась с тем кто разрушит фундаментальные законы криптографии.

Шнобелевская, наверное :задумался: Они же свой шнобель хотят засунуть во все щели.

_________________
Делай что должен и будь что будет.
EMIAS

Online
Стаж: 6 лет 8 мес.
Сообщений: 265
Ratio: 25,008
Раздал: 61,71 TB
Поблагодарили: 377
24.99%
russia.gif
itfake писал(а): Перейти к сообщению
Фейк, уже опровергли эту желтую новость.

Да тут только по оплате понять можно, что фейк. Суммы должны стремиться к десяткам миллионов.
Iskat​el_an​ime​
Стаж: 5 лет 7 мес.
Сообщений: 386
Ratio: 7,641
32.51%
ukraine.gif
EMIAS
Главное начать.Сначала легкие пароли лягут - этих денег хватит, а после ... денег добавят, чтоб сложные легли.
Официальное каперство. В кого тыкнут, тот пират ... упс, террорист. Напишешь политический анекдот друзьям ... смеяться будешь с ними уже в камере.Или за тебя его напишут и доказывай, что не верблюд.При Сталине такое проходили и не понравилось, но хотят плохое вернуть - не спрашивая народ.

_________________
Среди серых людей, чудеса не случаются. Радость серых теперь, строго хозяином распределяется. Выйдя на крыльцо, он речь толкает (цып-цып) и после зарплату кидает.Будь честен с собой и не бойся, природу люби и родных,по жизни не тушуйся и алкотабако ерунду оставь своему врагу.Все знания ценны,но только те всегда важны, что в жизни приживаются.
azazar
Стаж: 7 лет 1 мес.
Сообщений: 22
Ratio: 19,979
Поблагодарили: 292
77.87%
Откуда: Краснодар
russia.gif
имхо новость эта классический микс правды и лжи. только правда в том, что месенджеры и впрямь все стремятся прослушать, а а лож в том, что на это выделяют так мало денег и сил.

_________________
Дизайн должен быть простым, но не примитивным. (с) Тёмочка
mmaxcad
Стаж: 4 года 11 мес.
Сообщений: 626
Ratio: 3,341
0.62%
azazar писал(а): Перейти к сообщению
имхо новость эта классический микс правды и лжи. только правда в том, что месенджеры и впрямь все стремятся прослушать, а а лож в том, что на это выделяют так мало денег и сил.

Мессенджеры нельзя расшифровать. В них можно найти только дыры, если они конечно там есть. Но если они их найдут, то их тут же закроют, а разрабы мессенджеров еще и спасибо скажут и может даже отблагодарят материально.

Но в любом случае эксплуатация дыр это временный и ненадежный способ расшифровки
madrid2000
Стаж: 1 год 5 мес.
Сообщений: 3
Ratio: 2,345
0%
глупо считать, что все наши переписки, все наши разговоры, которые мы осуществляем с помощью телефона, мобильного или интернета остаются анонимными. Я живу в германии, и здесь уже давно не секрет, что при малейшем желании, подозрении или намерении мусора имеют право получить от провайдера всю информацию о каком либо человеке (вся активность в интернете, банковские счета и переводы, IP-адрес, а значит и местонахождение, скачанные файлы, написанные и принятые сообщения итд). Тоже самое касается и месенжеров, особенно ватсап. Конечно, официально информация обо всем этом отсутствует, но тем не менее о подобных случаях я слышу все больше и больше. А с недавнего времени фирма google и youtube ТРЕБУЕТ согласиться с договором, в котором говориться, что вся активность в интернете данного компьютера будет ими сохранена. И все это происходит под игидой "борьба с так называемым терроризмом".
Black​_Over​lord​
RG Аниме
Uploader 300+
 
Стаж: 8 лет 11 мес.
Сообщений: 3748
Ratio: 351,769
Раздал: 343,6 TB
Поблагодарили: 22013
100%
Откуда: Екате​ринбу​рг​
nnm-club.gif
mmaxcad писал(а): Перейти к сообщению
В случае успеха расшифровщиков ждет как минимум нобелевская премия пожизненно.
А вообще нобелевская премия и рядом не валялась с тем кто разрушит фундаментальные законы криптографии.

Точно. Математику так просто не обманешь. Для этого надо что-то посолиднее очень большого желания и кучи денег.

_________________
Я не люблю людей. Я даже себя не люблю, потому что, к несчастью, я тоже человек
bektyish
Стаж: 7 лет
Сообщений: 178
Ratio: 41,461
100%
ussr.gif
"Скажи мне, кто твой друг, и я скажу тебе, кто ты" - нацгвардия ,закон "Яровой" , да и глава не строитель, пахарь или медик по образованию - усилия будут
mmaxcad
Стаж: 4 года 11 мес.
Сообщений: 626
Ratio: 3,341
0.62%
Black_Overlord писал(а): Перейти к сообщению
mmaxcad писал(а): Перейти к сообщению
В случае успеха расшифровщиков ждет как минимум нобелевская премия пожизненно.
А вообще нобелевская премия и рядом не валялась с тем кто разрушит фундаментальные законы криптографии.

Точно. Математику так просто не обманешь. Для этого надо что-то посолиднее очень большого желания и кучи денег.

А вообще для дешифровки нужен очень быстрый компьютер, который будет перебирать варианты не за десятилетия и века. Но если таковой появится, то шифрующиеся перейдут на невзламываемые шифры, которые тоже требуют повышенных мощностей от компьютера
md40vip
Стаж: 6 мес. 9 дней
Сообщений: 301
Ratio: 20,51
Раздал: 2,747 TB
100%
На самом деле все гораздо проще.
Есть 2 схемы работы шифрования мессенджеров:
1.Ключи генерируются на каждом устройстве,после чего пересылаются друг другу.
Иначе как читать шифрованное?
2. Ключи генерируются на сервере,но так же пары ключей отправляются как владельцу,так и его собеседникам.
Во всех случаях ключ для чтения(как минимум) передается через сеть.
Ну а далее просто отлавливается сетевой трафик,он определяется для какого мессенджера,после разбирается на пакеты и отлавливается ключ.
После чего,по вскрытому алгоритму мессенджера этим ключем дешифруется весь трафик от мессенджера до любого собеседника на стороне провайдера.
Это одна из возможных вариантов примерная схема работы.
Ведь теперь,когда о конституцию,во благо противодействию терроризму,были вытерты ноги,что само по себе парадоксально,когда ФЗ который должен под собой иметь как основу ту же конституцию,появилась возможность ЛЕГАЛЬНО для спец служб мониторить личную переписку.

P.S. Самым уязвимым местом ЛЮБОГО ШИФРОВАНИЯ это возможность передачи ключей.
И верите вы в это или не верите,есть(был) рабочий прототип,отталкиваясь от которого и был принят этот яровик.
Парадоксально еще другое.
В момент блокировки VISA всех платежей на территории РФ в момент санкций,был так же разработан ФЗ который требовал от иностранных операторов,сервисов,иметь на территории РФ сервера для доступа к РОССИЙСКОЙ аудитории пользователей.
Это другой вариант получения ключей.
mmaxcad
Стаж: 4 года 11 мес.
Сообщений: 626
Ratio: 3,341
0.62%
Цитата:
2. Ключи генерируются на сервере,но так же пары ключей отправляются как владельцу,так и его собеседникам.
Во всех случаях ключ для чтения(как минимум) передается через сеть.
Ну а далее просто отлавливается сетевой трафик,он определяется для какого мессенджера,после разбирается на пакеты и отлавливается ключ.
После чего,по вскрытому алгоритму мессенджера этим ключем дешифруется весь трафик от мессенджера до любого собеседника на стороне провайдера.


Немного не так. Не буду объяснять всю кухню ибо все равно никто ничего не поймёт.
Скажу коротко: если бы всё было так просто, то никакого шифрования и не было бы.

Расшифровка третьими лицами возможна только с согласия хотя бы одной из сторон. Если же принудить кого либо к дешифровке, как уже говорилось не раз про установку сертификата, то это будет ничто иное как запрет шифрования.
Запрет шифрования вполне реализуем, а дешифровка нет.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страницы:  1, 2  След.
Страница 1 из 2