Author Topic: Почему необходимо end-to-end шифрование  (Read 5903 times)

0 Members and 3 Guests are viewing this topic.

Offline tima_s

Нужно шифрование end-to-end или нет - споры на эту тему возникают в разных местах, и на этом форуме были тоже. Кто-то говорит, что ему скрывать нечего и "пусть читают", кто-то не хочет, чтобы в его личную жизнь могли лезть посторонние люди. Тут уже личное дело каждого.

Хочу рассказать о случае, когда я точно понял, что оно нужно.
Недавно у товарища увели UIN, причем 9-знаковый и не запоминающийся. Видимо увели по случаю - сначала стащили пароль на электронную почту, на которую этот UIN зарегистрирован. На почте поставили в настройках, чтобы копии всех входящих писем уходили этому хакеру, что мы не сразу заметили.
Мы запросили смену пароля аськи на е-мейл. Пароль сменился, но до этого хакер успел привязать к этому UIN свой номер телефона (как оказалось, из общедоступного сервиса приема СМС).
Теперь в аську можно заходить, даже не зная пароля - просто по номеру телефона и коду, который присылается по СМС.
Товарищ зашел в аську по новому паролю, а хакер - по коду из СМС.
Таким образом, в аське параллельно висели двое - мой товарищ и хакер.
Сразу мы это не заметили, и просто продолжили разговор.

Создатели аськи были мудры, когда при заходе с другого устройства одна из сессий вылетала с надписью "этот аккаунт используется на другом устройстве". Но теперь можно заходить параллельно с другого устройства.
Поэтому все, что я писал товарищу, дублировалось и любителю воровать чужие аккаунты.
Заметили мы это только тогда, когда хакер начал писать мне разные гадости.

Да, в панели пользователя на icq.com видно, какие сессии сейчас висят и с каких айпи-адресов. Но ведь неудобно же постоянно заходить и проверять, не висит ли параллельно с тобой еще кто-то.

Мы пробовали отвязать его номер от аськи, но перед этим отправляется СМС на старый номер, где указана ссылка, как можно отказаться от нового номера, оставив старый. Хакер нажимал на эту ссылку, и номер оставался старым. Через несколько таких попыток, сменить номер все же получилось.

Если бы у товарища в Миранде был включен secureIm или OTR, хакер бы не мог видеть чужую переписку. Я не знаю, как это реализовано в вайбере например (десктопную версию не ставил), но они утверждают, что у них все шифруется end-to-end, и как-то мобильная версия синхронизируется с десктопной.
« Last Edit: 26 02 2019, 09:35:59 by tima_s »
ICQ это: отсутствие нормальных статусов онлайн/оффлайн, невозможность определения клиента, постоянные смены протоколов.
Jabber в Миранде это: нормальное отображение статусов онлайн/оффлайн, автоматическое соединение secureIm, отсутствие смен протоколов, самостоятельный выбор подходящего сервера.
 

Offline dartraiden

Quote
Создатели аськи были мудры
Создатели аськи создавали её во времена, когда у всех юзеров было одно устройство в один момент времени.

Создатели любимого вами Jabber уже понимали, что пользователю одновременно может понадобиться держать более одной сессии.

Создатели Telegram прикрутили к этому двухфакторную авторизацию (если нужно поднять вторую сессию, требуется одобрение с устройства, на котором висит первая) и стало идеально. Описанная ситуация в Telegram была бы просто невозможна. Mail.ru даже нормально передрать чужое не может...
 
The following users thanked this post: tima_s

Offline tima_s

Создатели аськи создавали её во времена, когда у всех юзеров было одно устройство в один момент времени.
У многих было два - рабочий компьютер и домашний.
В начале 2000-х я, например, активно использовал клиент Jimm на телефоне. Так что даже три устройства.
если нужно поднять вторую сессию, требуется одобрение с устройства, на котором висит первая
Действительно, хороший выход из ситуации.
« Last Edit: 27 02 2019, 07:02:43 by tima_s »
ICQ это: отсутствие нормальных статусов онлайн/оффлайн, невозможность определения клиента, постоянные смены протоколов.
Jabber в Миранде это: нормальное отображение статусов онлайн/оффлайн, автоматическое соединение secureIm, отсутствие смен протоколов, самостоятельный выбор подходящего сервера.
 

Offline Apollo2k4

tima_s, возможно всё гораздо прозаичнее, вам просто стоит научить своего товарища сетевой гигиене и объяснить, что не нужно использовать пароль «123456». Обычно это помогает, а если вас захотят почитать вас почитают, а хакер из вашего примера похоже оказался просто «школьником».

Post Merge: 27 02 2019, 14:42:12
В данном случае нужно решать конкретную проблему, а не её последствия. Вашу переписку бы прочитать не смогли, а переписку с остальными контактами могли бы спокойно читать. Это промерно как не делать бекапы потому, что они могут никогда не пригодиться.
«Все глупости совершаются с серьёзным выражением лица» © Кён «Меланхолия Сузумии Харухи»

Правильно заданный вопрос – 50% решения.
Правила постинга
 

Offline tima_s

вам просто стоит научить своего товарища сетевой гигиене и объяснить, что не нужно использовать пароль «123456»
Пароль кстати был более-менее сложным. Может троян подцепил, уж не знаю.

Вашу переписку бы прочитать не смогли
Читали. Копии моих сообщений сразу в две аськи приходили.
а если вас захотят почитать вас почитают
Ну если хакеры могут расшифровать secureIm, тогда да.
Кстати Вы мне напомнили установщика автосигнализаций, который был противником дорогих, хороших систем по причине "захотят угнать, все равно угонят". В принципе, тогда можно и не покупать дверные замки.
« Last Edit: 27 02 2019, 16:44:38 by tima_s »
ICQ это: отсутствие нормальных статусов онлайн/оффлайн, невозможность определения клиента, постоянные смены протоколов.
Jabber в Миранде это: нормальное отображение статусов онлайн/оффлайн, автоматическое соединение secureIm, отсутствие смен протоколов, самостоятельный выбор подходящего сервера.
 

Offline Apollo2k4

Может троян подцепил, уж не знаю.
9 из 10 что-то такое, или подобрали ответ на секретный вопрос, а это опять же кто-то кто знал вашего визави.
Читали. Копии моих сообщений сразу в две аськи приходили.
Ну это как бы понятно, или вы меня совсем плохим считаете. Я имел ввиду что, ваш диалог был бы «кучей нечитаемого мусора», а диалоги с другими контактами успешно утекли бы.
Ну если хакеры могут расшифровать secureIm, тогда да.
Нерешаемых задач нет, а если машина затроянена, в чем я не сомневаюсь, ничего не мешает просто читать память миранды чтобы достать сообщения.
Кстати Вы мне напомнили установщика автосигнализаций, который был противником дорогих, хороших систем по причине "захотят угнать, все равно угонят". В принципе, тогда можно и не покупать дверные замки.
Давайте вы не будете мне доказывать, что ваши «бла-бла» в чатике имеют влияние на судьбу мира. А я не буду рассказывать как обходятся механизмы защиты дорогих сигнализаций, и проблема там не в алгоритмах, а в уязвимой «прокладке» между креслом и рулём.
«Все глупости совершаются с серьёзным выражением лица» © Кён «Меланхолия Сузумии Харухи»

Правильно заданный вопрос – 50% решения.
Правила постинга
 

Offline tima_s

Давайте вы не будете мне доказывать, что ваши «бла-бла» в чатике имеют влияние на судьбу мира.
Я где-то об этом говорил?  :)
Перечитал свой пост. Там вроде бы четко указано, что аську ломанул хулиган. Причем тут судьба мира?
Я сказал лишь о том, что не хочу, чтоб мои личные разговоры читали посторонние люди.
Наверняка Вы завели себе tox по той же причине.
« Last Edit: 28 02 2019, 08:20:15 by tima_s »
ICQ это: отсутствие нормальных статусов онлайн/оффлайн, невозможность определения клиента, постоянные смены протоколов.
Jabber в Миранде это: нормальное отображение статусов онлайн/оффлайн, автоматическое соединение secureIm, отсутствие смен протоколов, самостоятельный выбор подходящего сервера.
 

Offline Apollo2k4

Я сказал лишь о том, что не хочу, чтоб мои личные разговоры читали посторонние люди.
Этого все хотят, но если компьютер вашего собеседника скомпрометирован утечкой пароля, я бы не стал доверять ключу SecureIM т.к. он тоже мог быть скомпрометирован.
Наверняка Вы завели себе tox по той же причине.
Увы и ах, но нет, у меня в окружении это не прижилось т.ч. у меня в КЛ преимущественно участники проекта с которыми мы пытаемся воспроизвести баг.
«Все глупости совершаются с серьёзным выражением лица» © Кён «Меланхолия Сузумии Харухи»

Правильно заданный вопрос – 50% решения.
Правила постинга