"А я наряжусь говном и буду вам праздник портить!"

[abelikoff.livejournal.com]

Должен констатировать, что в настоящий момент все имеющиеся возможности официальной коммуникации с командой мессенджера Telegram исчерпаны.

Практически каждый день Роскомнадзор направляет по всем доступным адресам Telegram письма с разъяснениями требований российского закона об организаторах распространения информации.

...

В случае фактического отказа от исполнения обязанностей организатора распространения информации, Telegram в России должен быть заблокирован. До тех пор, пока мы не получим требуемые сведения.

Время, отведённое Роскомнадзору законом на принятие решения, истекает.

Поэтому я публично обращаюсь к команде Telegram и лично Павлу Валерьевичу Дурову: исполните российское законодательство!

Выбор за вами.

Comments

[(Anonymous)]

Дуров давно подментован это такая разводка для лошков, он опоздал со своим месанжером года на 3. Сытый рашкован даже ворует хуево.

[(Anonymous)]

Вот кстати да!
Когда он устроил этот демонстративный отказ выполнить требование после того, как годами все передавалось в ФСБ, и потом сделал свой, якобы "безопасный" мессенджер, что-то не верится в этот спектакль. А после того, как в этом "безопасном" мессенджере стали использовать свой метод шифрования, никому не известный, верить в отсутствие в нем фсб-шных бекдоров может только полный наивняк большой оптимист.

[(Anonymous)]

>после того, как в этом "безопасном" мессенджере стали использовать свой метод шифрования
Ебать вы слоу, сударь. Там с самого момента, когда Телеграм для регистрации номер физического телефона требует, можно не сомневаться в его направленности. А ФСБ там, ЦРУ или разведка Бангладеш - уже непринципиально.

[bakteriofag.livejournal.com]

Если будут грозить, но не заблокируют - значит вы правы.
Если заблокируют - значит неправы.

[zibenkefiren.livejournal.com]

А ФСБ там, ЦРУ или разведка Бангладеш - уже непринципиально.

Таки принципиально. Если я пишу птн-пнх и это читает ЦРУ или разведка Бангладеш - мне похуй. Так же, как, собственно, и им на меня.

[(Anonymous)]

А потом, после очередного подписания каких-нибудь документов о дружбе и сотрудничестве, ФСБ официально запрашивает у разведки Бангладеш, не приносил ли на её территорию какой россиянин валюты фиатные да мысли крамольные - и те совершенно официально эту инфу отдают.

[abelikoff.livejournal.com]

(скучным голосом) Во-первых, использование любой чужой железки и ПО вносит настолько большой фактор риска, что строить при этом целку и сокрушаться по повода "подментованного" Дурова - наивность 80lvl.

Во-вторых, и это главное, риски (и векторы атаки, соответственно) для каждого - свои. Для одного безопасность - это чтобы жена не пропалила любовницу; для другого - возможность толкать траву по мелочи своим клиентам. Для третьего - возможность говорить, что думаешь о "суверенной демократии" и ворах у власти без боязни быть посаженным (особенно в ебенях, где этой вашей демократии отродясь не было). Наконец, для четвертого - обсуждать, где кафирских собак убить побольше. В каждом сценарии свои угрозы безопасности и свои методы обхода этих угроз.

Разговоры о подментованности Дурова во-первых достаточно беспочвенны, во-вторых абсолютно наивны. Для слива данных спецслужбам - хоть ФСБ хоть "Мухабарату," совсем не требуется "подментованности" руководителя (даже наоборот: достаточно одному бывшему работнику на правах конфиденциальности рассказать о систематическом сливе - и репутация продукта будет навсегда утеряна). Достаточно поймать сисадмина или инженера с коксом в клубном туалете (или с проституткой в гостиничном номере, или рассматривающим "весёлые картинки" с девами юного возраста) и уже можно говорить о возможности поставить прослушку (если это не e2e encryption) или "закладку" в клиента. Тем более, что в нынешние времена спецслужбы умеют в троянов и cloaking и замаскировать такого трояна в серии невинных на первый взгляд коммитов - не самое невозможное дело.

И это всё не говоря уже об атаке на железку/систему с самых разных углов (начиная с непропатченного Андроида и кончая social engineering)

[(Anonymous)]

Вы говорите о нацеленной на конкретного человека атаке. Там, конечно, есть куча способов. Но создавая мессенджер, который позиционируется как защищенный, но на самом деле у вас есть к нему отмычка, вы получаете доступ к широким массам "интересных" людей. Не только в РФ, кстати. (Более того, может быть даже в первую очередь не в РФ). Смотрите, даже без вскрытия шифра, вы на своих серваках имеете полную информацию, кто, когда и где был в сети по людям (идентифицируемым по телефонам), которые по каким-то причинам заинтересованы скрываться от своего правительства. Эти люди - группа, представляющая потенциальный интерес для служб. Big data про них - это потенциально интересная big data

[(Anonymous)]

Ну да, смотри вконтакте. Он просто зануда.

[(Anonymous)]

Если обуждать безопасность вообще - то тут надо разделять угрозы на две группы - технические и, кхм, нетехнические.
Технические - поверхность атаки и выбранный от этого вектор - да, интересное дело, если вас три с половиной калеки и надо втихаря выудить инфу.
Ежели контора с широкими возможностями.. мотивации и воздействия на тех, кто повязан с системой - всем похуй, насколько крутое у тебя шифрование и насколько ты вбурился в скрытосети. Скорость подбора пароля прямо пропорциональна температуре паяльника в жопе админа.

[(Anonymous)]

Когда он устроил тот демонстративный отказ выполнить требование после того, как годами все передавалось в ФСБ, и потом сделал свой, якобы "безопасный" мессенджер, что-то не верилось в этот спектакль. А после того, как в этом "безопасном" мессенджере стали использовать свой метод шифрования, никому не известный, верить в отсутствие в нем фсб-шных бекдоров может только полный наивняк большой оптимист.

[grimeach.livejournal.com]

> свой метод шифрования, никому не известный
Пакет глупый, пакет не в курсе, что всё в опенсорсе.

[(Anonymous)]

В курсе. С шифрованием, мой торопливый друг, не так все просто. Алгоритм шифрования может быть на первый взгляд (и на второй, и на третий - и на взгляд специалистов мирового класса, а не сантехников) вполне надежным. А потом, через пять лет вдруг выяснится, что при определенном подходе он вскрывается не за миллионы лет, как думали, а за пару секунд. Или, что параметры, коэффициэнты алгоритма подобраны особым образом, что дает их автору возможность вскрывать шифр. И т.д. Опенсорсность для алгоритма шифрования - условие необходимое, но не достаточное.

[display-none.livejournal.com]

А что, они правда свой алгоритм изобрели?;)

Имхо, это очень глупо. У Шнайера примерно сразу же написано что брать нужно только хорошо известные алгоритмы, над ломанием которых бились лучшие умы.

[abelikoff.livejournal.com]

+1. Если не поддаваться паранойе, считая, что ВСЕ они (в разных странах и университетах) куплены, алгоритм, который прошёл подобный анализ можно считать "незашкваренным." Опять-таки, см. мой комментарий в ветке про подсадку зловреда на этапе компиляции.

[display-none.livejournal.com]

оффтоп: скажите, Вам файл ru_win.map о чем-нить говорит, или это просто совпадение?

[abelikoff.livejournal.com]

Откровенно говоря, нет (сейчас погуглю, конечно).

[abelikoff.livejournal.com]

Ну, если уж пошла такая пьянка, не забываем о "доверии по умолчанию." (https://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html) В ГитХабе лежит вполне себе честный алгоритм, который "препроцессор компилятора" заменяет на похожий, но с закладкой.

[vspvsp.livejournal.com]

А почему нельзя итоговый алгоритм проверять в каком-нибудь всем понятном псевдокоде?

Ну и писать код так, чтобы он был понятен не только автору. Т.е. не умеешь написать "прозрачно" - нахер из проекта.

[abelikoff.livejournal.com]

Причём тут прозрачность кода?! То, о чём я говорю (ну, или, точнее, Кен Томпсон говорит в той статье) - это то, что код может быть сколь угодно чист. И ассемблерный исходник - также чист. Да, собственно, и объектный код - тоже. А потом линкер-зловред тихой сапой прилинковывает какой-нибудь модуль, который перехватывает нажатия клавиш (у Томпсона немного более интересно - там у него изначальный Ur-compiler со зловредом компилит следующую версию самого себя, вставляя в чистый исходник ту же самую логику).

К чему я это всё - вся наша электроника - звенья одной грёбаной цепи - одно слабее другого. Самый безопасный способ коммуникации - в ванной с работающим душем. С самим собой. Мысленно. :-)

[(Anonymous)]

не забывайте, что кроме стойкости алгоритма есть еще и рост вычислительной мощности

[grimeach.livejournal.com]

Это всё очень верно и правильно, но при чём тут «телеграм»? Почему не Tox, не PGP, например?

[(Anonymous)]

У пакета задача рассказать что гухоль, мелкомягкий и тем более впашка лежит под гебнюками, пользуйтесь проверенным яндыксом.

[(Anonymous)]

Пользуйтесь пгп

[grimeach.livejournal.com]

После многолетней дырки в OpenSSL доверие к опенсорсу примерно такое же, как к проприетарщине.