Суббота , 3 Декабрь 2016
01

Как спецслужбы читают личную переписку россиян в приложениях

Добавлено в закладки: 0

В пятницу, 29 апреля, в 2:25 по московскому времени МТС отключил сервис доставки SMS-сообщений на номер Козловского. Через 15 минут после этого кто-то попытался зайти в его учетную запись в Telegram. По умолчанию (если не активирована двухфакторная авторизация) авторизация учетной записи на новом устройстве выполняется при помощи кода, который отправляется в SMS-сообщении. В 3:08 злоумышленник ввел секретный код и получил доступ к аккаунту Козловского. Из автоматического уведомления Telegram о входе с нового устройства стало известно, что злоумышленник использовал консольную версию Telegram с IP-адреса, принадлежащего серверу анонимной сети Tor.

1

Через четыре минуты с этого же IP-адреса был выполнен вход в учетную запись Telegram Георгия Албурова. О других случаях взлома в эту ночь пока не сообщалось. Вероятнее всего, злоумышленника интересовала история сообщений (кроме сообщений из секретного чата, которые не хранятся) и список контактов.

Ночью Козловский спал и уведомление о входе с нового устройства прочитал только утром. Он позвонил в контактный центр МТС, где после консультации с экспертным отделом ему сообщили, что доставка SMS-сообщений на его номере действительно была отключена с 2:25 до 4:55 и что отключение произвел отдел технической безопасности компании. В разговоре с представителем этого отдела Козловскому отказали.

СОРМ – российская система прослушки

Учитывая, что оба пострадавших являются политическими активистами, не исключено, что их аккаунты были взломаны представителем государственных органов, сотрудничающих с МТС на основании Закона «О связи».

СОРМ (Система оперативно-розыскных мероприятий) – это российский аналог реализации Закона о помощи и содействии провайдеров телекоммуникационных услуг правоохранительным органам (США). СОРМ была введена в 1996 году для прослушивания телефонных переговоров. Со временем ее действие распространилось и на другие средства связи.

Зачем нужно было усложнять задачу и отключать сервис доставки SMS-сообщений, если их можно было просто перехватить? Возможно, тот, кто хотел получить доступ к учетным записям активистов, надеялся, что они об этом не узнают, если не получат соответствующие SMS-сообщения, и не вмешаются в середине процесса, не позволив получить всю интересующую злоумышленника информацию. Слабое место этой теории заключается в том, что при входе в учетную запись с нового устройства пользователь получает автоматическое уведомление от Telegram. То есть, даже не получив SMS-сообщение с кодом активации, Козловский мог бы сразу понять, что что-то не так, прочитав это уведомление. Более того, злоумышленник не выполнил выход из учетной записи. Получается, что Олег, проснувшись, увидел его IP-адрес в разделе «Активные сеансы». В общем, непонятно, почему нельзя было сделать то же самое простым перехватом SMS-сообщения. Если злоумышленник хотел остаться незамеченным, то ему это, по правде говоря, не очень удалось.

Авторизация по номеру телефона

В большинстве систем мгновенного обмена сообщениями и в процессе двухфакторной авторизации используется телефонный номер пользователя. Почему многие сервисы применяют для авторизации номер, который обычно назначается государственным оператором связи и по этой причине попадает под действие закона о прослушке, ведь такой способ авторизации – ненадежное средство (ловцы IMSI, ОКС-7), особенно в том случае, когда речь идет об активистах, выступающих против политики действующего правительства?

Этот способ обеспечивает удобство в использовании и рост аудитории. Он позволяет получить доступ к контактам, которые уже имеются в телефоне пользователя в других сервисах и приложениях. Зарегистрировавшись, пользователь может сразу посмотреть, у кого из знакомых стоит такое же приложение.

Кроме того, нет необходимости хранить незашифрованный список контактов на сервере, потому что все контакты пользователя содержатся в телефонной книге
(примечание: некоторые приложения, в том числе Telegram, не пользуются этой возможностью и хранят копию телефонной книги в незашифрованном виде на своих серверах).

Есть и еще один фактор: организовать удобный для пользователя процесс авторизации не так просто, поэтому применение чужой системы безопасности зачастую оказывается хорошим решением. У большинства операторов сотовой связи есть процедуры (хотя и ненадежные), согласно которым производится восстановление номера в случае потери или кражи телефона или SIM-карты. Эти процедуры подразумевают удостоверение личности, но необходимые для этого документы вполне можно подделать. В  прошлом году неизвестные лица сумели получить дубликаты SIM-карт двух журналистов «Новой газеты».

Очевидно, что процедуры восстановления номера имеют серьезные недостатки. Активация через SMS-сообщения с кодом не гарантирует безопасность, в связи с чем Павел Дуров порекомендовал пользователям из тех стран, где были совершены атаки, активировать в своих аккаунтах двухфакторную авторизацию.

2

Для начала это действительно неплохая мера, но она может оказаться недостаточной, особенно для жителей России и Ирана. Зная, что пользователь мог включить двухфакторную авторизацию, злоумышленник попытается получить доступ к его сообщениям через людей в списке его контактов.

Подобные случаи взлома можно эффективно предотвратить при помощи абонентского шифрования. Тогда злоумышленники, способные перехватить SMS с кодом, не смогут авторизовать новое устройство и получить доступ к истории сообщений.

Полагаю, из этой истории можно сделать следующие выводы:

Всегда используйте абонентское шифрование. Если предлагаемый процесс авторизации ненадежен, установите доступ по отпечатку пальца для тех приложений, в которых вы обмениваетесь важной информацией.

via

Рейтинг: 0

Опубликовал(а):

не в сети 1 час

Сергей Кирилов

4 964

Модератор сайта.
Если есть вопросы, задавайте в «приватный чат» в личном кабинете.

Италия. Город: Катания
34 годаКомментарии: 4339Публикации: 23056Регистрация: 01-08-2014
  • Модератор сайта
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Пароль не введен
*
Ваш день рождения * :
Число, месяц и год:
Войти с помощью: 
Перейти на страницу
закрыть