[Alien]

@alien

GNU/Linux and FOSS enthusiast, information security professional, DevOps engineer, PC gamer

2,339 words

https://darkn.space/~alien @alien_2003 Thank
You'll only receive email when [Alien] publishes a new post

Почему Telegram не является безопасным

March 11, 2018

Всем нравятся простые и хорошо работающие программы. Telegram является как раз примером такой программы, Всё бы было хорошо, если бы не то, что разработчики позиционирует свой продукт как безопасный мессенджер и люди доверяют ему все свои тайны. Это прекрасная разработка с большим количеством интересных и реально работающих функций, но она не является безопасной, как говорят разработчики. Обо всём по порядку

Telegram

Облачные чаты

В обычном режиме Telegram не обеспечивает никакой защиты и это является одной из основных проблем его безопасности. Все современные мессенджеры умеют сразу же автоматически использовать сквозное шифрование переписки без возможности доступа к ней со стороны сервера. В случае с Telegram - это не так. Более того, в версии для компьютера никакие другие чаты и не предусмотрены. Telegram позиционирует себя, как более безопасный конкурент WhatsApp, при этом как WhatsApp, так и Viber (которые даже не позиционируют себя как безопасные мессенджеры) не сохраняют переписку на сервере, всё построено таким образом, чтобы сообщения можно было прочитать только на клиенте. Вот, что говорят сами разработчики:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Нет абсолютно никакого подтверждения этому. Исходные коды сервера закрыты, а клиент работает лишь, используя API и никак не взаимодействуя напрямую с "безопасными датацентрами", то есть мы имеем дело с чёрным ящиком и должны просто верить на слово. Учитывая очень высокую скорость доставки сообщений и просмотра истории, слабо верится, что ключи шифрования собираются на лету из частей, расопложенных в разных уголках земного шара - как минимум, это вызвало бы существенные задержки. Более того, сильные сомнения вызывает юрисдикция Telegram - на самом деле он зарегистрирован в офшорах в том числе и в США и Великобритании, в странах, в которых действует так называемый Gag order, согласно которому правоохранительные органы могут обязать разработчиков сервиса не разглашать информацию даже о факте предоставления им какой-либо информации (о пользователях, сообщениях). Очевидно, что власти этих государств могут потребовать от разработчиков доступ ко всем серверам, в том числе и заграничным и собрать ключи шифрования воедино и прочитать переписку не составит труда. Да и учитывая закрытый исходный код и отсутствие какой-либо конкретной информации о юрисдикции серверов трудно вообще поверить в существование такой инфраструктуры.

Секретные чаты

Для шифрования в секретных чатах используется авторский протокол MTProto. Мы все знаем, что первое правило криптографии гласит: Не создавайте свой собственный шифр. Особенно, если вы не являетесь профессиональным криптографом. Крпитографией не должны заниматься обычные разработчики, это отдельная сложная наука, которой хорошо владеют всего несколько сотен человек во всём мире. В результате мы имеем новый протокол, неэффективность которого доказана неоднократно. Почему разработчики не взяли готовый протокол Axololt/Signal, который является стандартом, использующимся во всех современных защищенных мессенджерах и был неоднократно проверен на наличие уязвимостей?
Уязвимости в MTProto находят постоянно: бац, бац. Длительное время вообще использовалась уязвимая хеш-функция SHA1, которую позже заменили на современную SHA-256. Кроме того, разработчики хоть и позиционируют свои клиенты как OpenSource, на самом деле исходные коды выкладываются со значительными задержками, а разработка ведётся достаточно закрыто, как это было с TrueCrypt. Иначе чем можно объяснить недавнюю уязвимость нулевого дня в клиенте для ПК, которая почти год эксплуатировалась злоумышленниками? А отсутствие секретных чатов? Issue на Github висит с июля 2015 года - разработчики просто отмолчались и ограничили доступ к нему - мол, не в приоритете. Сначала нужно выкатить новые стикеры и русскую локализацию

Разработчики обещают $200.000 за взлом шифрования Telegram

Известный специалист в области информационной безопасности Moxie Marlinspike рассказал, почему конкурс является абсурдным. Разработчики попросту не предоставляют никакой возможности проверить шифр в деле - не дают возможности провести MITM-атаку, не дают известный открытый текст, выбранный открытый текст, выбранный шифротекст, не дают возможность вызвать повтор и т.д. - конкурс очень далёк от реальных условий, в которых работают защищённые мессенджеры. Задача взлома даже самого неэффективного и уязвимого шифра с чёрным ходом с такими условиями становится абсолютно невыполнимой. По факту конкурс является трюком для оболванивания людей, которые не обладают никакими знаниями в области криптоанализа и доказывает лишь некомпетентность разработчиков.

Но все пользуются Telegram, даже террористы

Почему так - потому что не имеющих достаточных знаний в области информационной безопасности людей легко обвести вокруг пальца. Telegram - это, в конечном счёте, бизнес-проект. Агрессивный пиар, вложение больших средств в рекламную кампанию, известные личности, стоящие за разработкой продукта, постоянные пресс-релизы и посты на тематических ресурсах, привлекательный внешний вид - всё это хорошие инструменты для ведения бизнеса и завоевания аудитории. Очень жаль, что те, кто действительно говорят правду, редко имеют успех в бизнесе. В нашем мире много примеров того, как некачественный продукт становился лидером рынка, а то и вовсе монополистом за счёт хорошей пиар-кампании и договорённостей с партнёрами

Русские корни проекта

Мысль о разработке Telegram пришла в голову Павлу Дурову, когда спецназовцы постучались к нему в квартиру. Тогда он осознал, что не имеет надёжного канала связи с братом, к которому не имели бы доступ российские спецслужбы. После того как у него "отжали" ВКонтакте Павел собрал команду программистов-миллионеров и начал странствовать по всему миру, разрабатывая Telegram как некоммерческий проект - именно такова официальная история проекта. Что же было не самом деле? Telegram разрабатывался как экспериментальный проект ещё в рамках работы над ВКонтакте, теми же людьми в доме Зингера в городе Санкт-Петербург. Никакого "отжима" ВКонтакте на самом деле не было - Дуров договорился о продаже своей доле ещё за 2 года, а затем демонстративно поругался с акционерами для создания образа жертвы и ухела за границу. Да только не уехал, а разработка Telegram продолжилась в доме Зингера, прямо возле офиса ВКонтакте. Обо всём этом можно почитать в статье "Кот Дурова", которую опубликовал бывший сотрудник Telegram, Советую так же прочитать опровержение, написанное самим Дуровым для полноты картины. Выходит, что расположение активов по всему миру нужно не для юидической защищённости, а просто для оптимизации налогов, а Telegram долгое время разрабатывался в России, а уже потом компания открыла офис в стране, в которой нарушаются права человека. Можно ли, находясь в России, разрабатывать приложение, которое позволяет прятаться от российских спецслужб, я не знаю.

Штраф от ФСБ и блокировка Telegram

За отказ предоставления ключей шифрования суд обязал Telegram выплатить штраф и мессенджер оказался под угрозой блокировки. Дуров отказался предоставлять ключи шифрования, аргументируя это тем, что они хранятся на устройствах пользователей. Но... облачные чаты ведь зашифрованы не ключом, хранящимся на устройстве пользователя? Доступ к большей части переписки есть у владельцев Telegram. Странный аргумент, впрочем, неважно. Всё это является не более, чем спектаклем. Когда в Российской Федерации хотят заблокировать неугодное приложение, его молча блокируют, как это уже было с Line и BlackBerry Messenger или заставляют App Store и Google Play закрыть к приложению доступ из России, надавливая на сами магазины приложений, как это было с LinkedIn. Зачем тогда нужны эти штрафы и показательные суды? Также, стоит задуматься, почему в российских средствах массовой информации регулярно твердят о том, что Telegram - самый безопасный мессенджер современности, хотя во всём мире "золотым стандартом" защищённой коммуникации является протокол Signal от компании Open Whisper Systems и одноимённый мессенджер, что может подтвердить любой квалифицированный специалист в области информационной безопасности.

Чем пользоваться?

В зависимости от того, что Вам удобно и какой уровень защиты Вам нужен. Я рекомендую всем попробовать Wire, как наиболее функциональный и чуть ли не единственный, полноценно работающий на персональных компьютерах мессенджер с хорошим качеством аудио- и видеосвязи и открытым исходным кодом как клиентской так и серверной части, находящийся в юрисдикции Швейцарии - страны с самым строгим законодательством в области защиты данных. Если Вам он не нравится по каким-либо причинам - используйте проверенный временем Signal, который недавно обзавёлся более-менее полноценным клиентом для ПК и активно развивается. Так же можно обратить внимание на Kontalk и Riot.im

Шпаргалка по установке Windows для игр

January 21, 2018

ISO-образы

Windows 10 LTSB:

Ссылки вставлять в торрент-клиент

Отключение слежки и автоматических обновлений

AutoSettings.zip

Распаковать, запустить Settings.bat. Запустить Spy, также можно настроить под себя или отключить автоматическое обновление. Settings не запускать

Установка Магазина Windows и приложения XBox

Add-MicrosoftStore-RS.zip

Распаковать, запустить Add-Store.cmd

Твики реестра

Поменять местами Ctrl и CapsLock

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,03,00,00,00,1d,00,3a,00,3a,00,1d,00,00,00,00,00

Сохранить как файл swapcaps.reg и запустить

Установка программ

Total Commander PowerUser

Огромное количество портативных программ, активация Windows, установщики разных программ. Всё, чего нет ниже, есть в Total Commander PowerUser
Ссылк вставлять в торрент-клиент

Железозависимое

  • GeForce Experience - автоматическая загрузка и установка драйверов для видеокарт NVIDIA, автоматическая настройка игр под Ваше железо, захват скриншотов и видео, стриминг без потери производительности.
  • Logitech Gaming Software - поддержка мышек и клавиатур Logitech
  • Razer Synapse - поддержка мышек и клавиатур Razer

Игры

Лаунчеры

  • GOG Galaxy - клиент магазина старых игр GOG.com
  • EpicLauncher - лаунчер игр от Epic Games

Minecraft

  • Minecraft - официальный лаунчер
  • MultiMC - функциональный лаунчер и менеджер сборок Minecraft
  • FeedTheBeast - лаунчер с большим количеством сборок
  • Technic Launcher - лаунчер с большим количеством сборок
  • Badlion Client - клиент серверов киберспортивной лиги Badlion
  • EXBO Launcher - лаунчер Stalcraft

Другие игры

  • Xonotic - популярный бесплатный аренный шутер с открытым исходным кодом, гибрид Quake и Unreal Tournament
  • Zandronum - современный порт Doom для сетевой игры с поддержкой модов

Утилиты

  • GameSave Manager - резервное копирование и облачное хранение сохранений и настроек игр. Хорошо работает в связке с Яндекс.Диском
  • GameRanger - альтернатива Garena Tunngle, эмуляция локальной сети для игр через Интернет

Steam

Полезные вещи для разных игр

Общение

Электронная почта

Мессенджеры

  • Wire - безопасный и функциональный мессенджер c качественной аудио- и видеосвязью, возможностью поделиться экраном, альтернатива ужасному Skype
  • Signal - десктоп-клиент для безопасного мессенджера Signal, альтернатива WhatsApp
  • Riot.im - децентрализованный мессенджер на основе протокола Matrix с большим количеством публичных конференций, доступ к конференциям IRC

Общение во время игры

  • Mumble - безопасная голосовая связь для игр, альтернатива TeamSpeak

Музыка

  • Google Play Music Desktop Player - клиент Google Play Музыки
  • Google Play Music Manager - выгрузка музыки в Google Play Муызку
  • Auryo - плеер для прослушивания музыки из SoundCloud
  • Kaku - плеер для прослушивания музыки из YouTube, Vimeo, Baidu и других видеосервисов

Работа с файлами

  • Яндекс.Диск 2.0 - работа с файлами на Яндекс.Диске без синхронизации
  • EncFSMP - шифрование папок. Хорошо работает в связке с Яндекс.Диском

Утилиты

  • bitwarden - безопасный облачный менеджер паролей
  • Standard Notes - приложение для заметкок с шифрованием и синхронизацией
  • UltraSurf - прокси для обхода блокировок и анонимизации трафика
  • f.lux - адаптация цветовой температуры экрана к времени суток
  • Keybase - простой инструмент для шифрования и цифровой подписи, зашифрованное облако объёмом в 10 Гб с возможностью простого создания своего сайта с помощью Markdown защищённый чат, зашифрованный git

Интеграция с другими устройствами

  • Synergy - общий доступ к мыши, клавиатуре и буферу обмена
  • Pushbullet - получение уведомлений с телефона на компьютер
  • NitroShare - передача файлов по локальной сети
  • Transmission Remote GUI - удалённое управление торрент-клиентом Transmission

Служебное

  • Windows Update Troubleshooter - исправление проблем с обновлением Windows
  • YUMI - создание мультизагрузочной флешки с GNU/Linux, Windows, Hiren's Boot CD, антивирусами и т. д.

GNU/Linux

  • X2Go Client - проброс X11 через SSH с удобным меню и возможностью просмотра удалённого рабочего стола
  • Termius - SSH-клиент с возможностью проброса портов
  • Babun - подсистема GNU/Linux для Windows - Oh-my-ZSH, git, OpenSSH, пакетный менеджер

Лучшее приложение 2017 года - Wire

January 3, 2018

Wire

Прошёл примерно год с тех пор, как я начал пользоваться мессенджером Wire. До этого метался по разным мессенджерам, пробовал, не мог выбрать то, что удовлетворяло бы моим критериям. Ранее пользовался XMPP, однако у него была масса проблем, которые меня таки доконали:

  • Проблемы с доставкой сообщений, особенно по 2G
  • Сложность в использовании для неподготовленных пользователей
  • Несоответствие современным требованиям
  • Зоопарк стандартов шифрования переписки
  • Нестабильность серверов

Что мне конкретно было нужно от мессенджера:

  • Максимальный уровень безопасности
  • Возможность использовать как ПК, так и на телефоне без ограничений
  • Простота в использовании (чтобы было несложно уговорить другиз установить)
  • Гарантия доставки сообщений

Signal мне не понравился насильной привязкой к телефону и плохим клиентом на ПК, Wickr был ужасен и неудобен на всех платформах, Matrix слишком сырой и ненамного проще джаббера, а безопасность Telegram - это лишь повод для смеха. Всё, что мне было нужно, нашлось в Wire. Теперь ради безопасности мне больше не приходится жертвовать удобством и функционалом. Радует, что приложений, обеспечивающих безопасность без ущерба для удобства использования становится всё больше и больше (ProtonMail, Standard Notes).

Wire

Плюсы Wire:

  • End-to-End шифрование абсолютно всего
  • Простота в использовании
  • Возможность авторизации как по коду из SMS, так и по почте/паролю
  • Открытый исходный код
  • Поддержка Windows, Mac, Linux, Android, iOS и веб-версия, без необходимости использовать телефон вообще
  • Лучшее качество звонков и видео на данный момент
  • Приятные мелочи вроде "пингов", возможности транслировать содержимое своего экрана, автодополнения эмодзи, самоуничтожения сообщений и поиска гифок - всё это меня мало интересует

Минусы:

  • Историю сообщений невозможно экспортировать наружу
  • Объём предаваемых файлов ограничен
  • Пока что нет плагина для Pidgin
  • Низкая популярность
  • Приложение для ПК написано на Electron

Было приятно найти сервис с курсом на приватность и безопасность, который одинаково хорошо работает как на ПК, так и на телефоне и, что немаловажно, прост в использовании. За год практически все мои друзья и знакомые согласились установить Wire, как альтернативу Skype и сейчас мне не нужны другие приложения для поддержания связи с друзьми. Даже олдфагам, не признающим ничего, кроме IRC, Wire понравился. Здесь у меня и приватные беседы с друзьями, и околоделовые разговоры, и несколько конфочек разной тематики, в том числе и наша конфа darkn.space.

Сайт Wire

Веб-версия Wire

Скачать Wire

Wire в Google Play

Wire для Windows

Установка Wire в Mint/Ubuntu/Debian:

sudo apt-get install apt-transport-https
wget -q https://wire-app.wire.com/linux/releases.key -O- | sudo apt-key add -
echo "deb https://wire-app.wire.com/linux/debian stable main" | sudo tee /etc/apt/sources.list.d/wire-desktop.list
sudo apt-get update
sudo apt-get install wire-desktop