@rf

Зателеком канал




И раз уж речь зашла про Телеграм и его безопасность, давайте-ка разрешим проблемку «дуров сливает»

Вообще, это старинный холивор про «облачные сервисы VS ин-хоум хостинг» — ему сто тысяч лет. Но чтоб привести в порядок ваши мысли, нужно привести еще одну лемму, на которую будем опираться в дальнейшем. Звучит она довольно просто: взлом имеет ссмысл, если взломщик тратит меньше ресурсов, чем получает. Это как у Адама Смита: «покупать надо дешевле, а продавать дороже». Банальная мысль, но почему-то некоторыми не понимаемая в приницпе. Не знаю почему так, но надеюсь, вы ее усвоили.

Итак, представим, что некто EVIL (нехороший человек, фу таким быть!) решил, что он очень хочет взломать переписку Васи в Телеграме. Ну, что он может сделать? Векторы атаки у EVIL есть следующие:

1. Попробовать перехватить и расшифровать трафик с Телеграма
2. Дать взятку Дурову, чтоб тот дал переписку Васи
3. Подобрать пароль Васи (Вася не читал предыдущего поста)
4. Взять Васю за задницу, чтоб Вася сам все рассказал

Давайте оценим сколько денег на все пункты понадобится:

1. Для расшифрования протокола MTProto, основанном на 2048-бит шифровании RSA, нужно охулиард компьютерного времени за тонны денег. Я думаю, у хоть какого EVIL на Планете столько просто нет.

2. Возможно, Дуров бы и взял взятку размером со стоимось всей компании. Но не уверен. В любом случае, абсолютно уверен, что нет такого Васи за переписку в Телеграме которого дали бы несколько десятков (сотен?) миллиардов долларов. А то, что в случае такой утечки я б первым начал добиваться бойкота и последующего закрытия Телеграма — совершенно однозначно.

Таким образом, первые два вектора EVIL использовать не может. Ну, в силу того факта, что взломать Васю на его собственном устройстве банально дешевле. На шесть-семь порядков. И вообще выглядит гораздо реалистичнее.

А если учесть, что в переписке в мессенджере участвуют как минимум два человека, то 99,(9)% случаев взлома и/или преследования людей в Телеграме связано именно с конечным пользователем. Если быть точным, то вот вообще все случаи, о которых мне хоть что-то известно. Брали или самого Васю, или его адресата и заставляли разблокировать телефон прямым насилием или под угрозой оного. И тут любой инфобез становится бессильным. И да — это незаконно. Но именно так и поступают мусора, что в Беларуси, что в России, что в Иране и Казахстане.

Так вот, исходя из этого вектора угрозы, могу ответственно заявить, что тот самый гипер-мега секурный Сигнал — он опаснее. Потому что там в качестве идентификатора абонента используется телефонный номер. В Телеграме свой номер можно скрыть в настройках, а в Сигнале, Вотсапе, Вайбере (тут не уверен — давно не пользовался) именно номер телефона является адресом общения.

Теперь представьте довольно вероятную ситуацию, что мусора поймают не вас, а вашего адресата, с которым вы что-то обсуждали такое, что может быть использовано в качестве доказательства вашей причастности. Так вот, в Телеграме не то чтоб доказать, а даже вычислить непосредственно вашу причастность нельзя. Ну, если вы поставили видимость вашего номера в позицию «НИКТО». А вот хваленый «Сигнал» покажет ваше участие в разговоре лучше Павлика Морозова.

Вот почему, когда мамкины сикретчики с пафосом начинают мне втирать, что они не пользуются Телеграмом, потому что «недоверяют Дурову» и просят написать им в «Сигнале» — я закатываю глаза. Вроде бы и понятная паранойя, но все это звучит максимально идиотски.

Аналогично, когда что-то начинается про переписку в какой-нибудь селф-хостед платформе. И тут я утверждаю, что это сильно опаснее Телеграма. Ну, потому что тут как раз вероятность проёба админа селф-хостед гораздо выше, чем у платформы с 500 млн пользователей, где есть профессиональные безопасники, которых атакуют со всего мира каждую милисекунду. Из двух субъектов — Вася-мамкин-сикретчег и корпорация с профессиональной службой инфобеза — мне кажется, выбор очевидный



-----------

и раз речь зашла о телеге, то скажу что для бытовухи мессенджер гуд (разве что отдельную симку завести необходимо для него ) на фоне остальных каках

жаль,что матрикс не приобрел популярности

он даже поинтереснее будет чем xmpp
Follow

@oz
Климарев снова в воду пернул
Я так и не понял, какую он угрозу описал. Начал с какой-то хуйни, потом начал про отжим телефона с локальной перепиской, закончил пробивом по номеру.

@oz
Доказательство причастности. Не докажут, если номерка телефона не видно, после того как переписку отжали. Я хуею с рассуждений

@coaxial был бы человек - дело всегда можно завести

хоть скрывай номер хоть нет

единственно для бытовой защиты скрытие номера - нормально

дабы левые юзеры не нашли по номеру

либо и вовсе разделять аккаунты на разные
@coaxial и тут другой вопрос почему он так телегу защищает :/

читаю его уже наверное год с небольшим

для меня та же телега это разговоры на тему привет как дела,но никак не про активизим и прочее

как автор говорит

@oz
> Почему он телегу защищает
Когда люди ударяются в интернет-популизм, им нужен некий, ну назовем это Тотем, или Ось. То, вокруг чего надо прыгать как индеец, чтобы было о чем в воду пердеть

@coaxial блин это не здоровая тенденция чес слово

как и в политике, что из того же Алексея сделали куль личности : /

@coaxial Причём он противопоставляет телегу и сигнал, а про мессенджеры без привязки к номеру телефона вообще помалкивает... @oz

@limping @oz
Ну, косвенно, он в конце накидывает на селфхост. Причем безапелляционно. Тупо по дефолту админ - мудак

@coaxial Кроме selfhost, есть и peer-to-peer, а про них он вообще молчит.
Jami, например. @oz

@limping @oz
Зная этого товарища, он может спокойно p2p-решение обкакать, а следующим постом NewNode свой продвигать

Sign in to participate in the conversation
Qoto Mastodon

QOTO: Question Others to Teach Ourselves
An inclusive, Academic Freedom, instance
All cultures welcome.
Hate speech and harassment strictly forbidden.