Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасность приложений на примере telegram

Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасность приложений на примере telegram Зона инфо

Введение

С тех пор как безопасность приложений стала лишь видимостью, она начала очень хорошо продаваться за счёт отсутствия своего содержания и, как следствие, реальных затрат на своё обеспечение.

Начну пожалуй издалека. Конец 2017 года. Государство P начало блокировать мессенджер T. Упорно, длительно, забанив множество серверов со всего Интернета, оно оказалось неспособным воспрепятствовать работоспособности мессенджера T. В ходе своих безуспешных попыток, государство P чуть-ли не в поточном режиме свидетельствовало в своих же подконтрольных СМИ о том, что в мессенджере T сидят террористы, наркоторговцы, да и вообще очень плохие люди, но при всём этом, приложение T настолько безопасно, что сложно не то, чтобы его контролировать, но и заблокировать.

В итоге, спустя 3 года безуспешных страданий, государство P приняло нелёгкое решение: оставить в покое мессенджер T и дальше жить с тем фактом, что распространяемая информация СМИ позволила лишь увеличить количество пользователей в T.

Статистика активных пользователей в Telegram

Непонятно правда почему за 2019 год нет никакой информации, что портит общую статистику и выглядит даже с моей стороны манипулятивно из-за сильного разрыва количества пользователей между 2018 и 2020 годом. Но если представить 2019 год как среднее между 200 и 400, тобишь 300, то даже это является очень сильным отрывом в сравнении со всеми остальными годами. Ведь за те же два года между 2020 и 2022 статистика увеличивась ровно настолько же при большем количестве пользователей в системе.

В настоящее время это выглядит даже комично и кажется, что в это поверить мог только человек далёкий от информационных технологий, беря ещё в расчёт успешность последующей блокировки сети Tor в конце 2021 года, к которой теперь можно подключиться лишь используя мосты. Но нет, на 2017-2019 года большинство людей действительно верили, что государство не может заблокировать мессенджер. Лишь сейчас, со временем, люди начали более скептически относится к безопасности Telegram, используя его не в целях безопасности, а лишь как удобный мессенджер.

Дополнительно:  Промывка и сброс памперса на бытовых принтерах Canon PIXMA G1400, G2400, G3400, G4400, G1410, G2410, G3410, G4410, G1411, G2411, G3411, G4411 | Hi-Tech | Селдон Новости

Тем не менее, застой здравого сознания в период этих двух лет мог уже привести к тем или иным манипуляциям и пропаганде, направленных на человека (как минимум к установке Telegram).

Время на прочтение

Загрузок всего325 179
Загрузок за сегодня262
Оцените программу! из 5(пусто), всего оценок —

Распределение оценок программы

Опаньки: Ну если Вы такой супер пупер IT бог да ещё с прямыми руками из правильного места????, слабо Вам найти с помощью AdGuard те (2-ва !!! запроса) от torrent клиента Zona ver. 3.0 (64-bit) которые связанны с рекламой лохотрона Fonbet и казино лохотрона Vulcan и поставить заглушки в файле host ?????????? Или только сопли размазывать как ламер в форумах Интернет ?????? Я полностью искоренил рекламу её нет от слова СОВСЕМ . ????

Также стоит вспомнить, что предысторией всех подобных серий блокировок являлась невыдача ключей Telegrama. 

Даже в 2021 году оставались оптимисты, разбиравшие MTProto (довольно хорошо, спору нет) и на основе таковых выводов делали утверждение, что технически невозможно отдать ключи правительству.

Теперь запросы правительств о выдаче ключей шифрования звучат уж слишком смешно. Ну а нам, простым смертным, со спокойной душой можно пользоваться всеми нами любимой тележкой, покуда квантовые компьютеры не пришли и не раздали нам подзатыльники за наши математические фокусы.

Всё бы хорошо, только это утверждение работает исключительно для секретных чатов, а основной трафик Telegrama проходит через его же сервера и сохраняется там в открытом, транспарентном состоянии, о чём собственно сам автор минутами ранее и писал.

Окей, вроде все секретно, все отлично. Но это все под защитой покуда у злоумышленника нет доступа до серверов тележки, так как на них хранится вся зашифрованная переписка вместе с ключами для того, чтобы иметь доступ в нескольких сессиях.

Ну так в итоге то что? Топ менеджеры Telegramа технически могли выдать (депонировать) правительству свои ключи шифрования со своих серверов? Да, могли. Стали ли они это делать? Точно неизвестно. 

Но учитывая тот факт, что государство Р полностью отвязалось от мессенджера T, скорее заставляет думать, что ключи были успешно транспортированы. Т.к. Россия - это второе государство по масштабу загрузок приложения (24.15 million) Телеграм, первое по количеству проводимых часов в приложении (avr 5.1ч) и по генерируемому трафику на 2023 год к https://web.telegram.org/ (23.84%), то потеря такого рынка может быть значительной для мессенджера с экономической точки зрения (статистика).

## Анонимность

Как человек, пристально изучающий сетевую анонимность, её историю, факторы возникновения, развитие, комбинации и прочее, могу сказать сразу, что в Телеграме нет и намёка на анонимность, скорее присутствует только её противоположность - отсутствие анонимности.

По утверждению разработчиков, Telegram не предоставляет никому, кроме самих администраторов канала, информации о том, кто ведёт канал и кто на него подписан.

## Информационная гигиена

Исходя из всего вышеописанного я сформулировал следующий перечень условий/действий, которые могут в той или иной мере помочь людям не подвергнуться уловкам маркетинга, когда вновь появится новый неблокируемый, безопасный, анонимный мессенджер Телеграм2.0:

## Безопасность

Безопасность - это процесс, а не результат.

Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасность приложений на примере telegram

Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасность приложений на примере telegram

Нужно учитывать, что реальная безопасность — это многосторонний процесс. При успешной защите одного объекта атаки могут перенаправиться на другие. Это можно сравнить с деревянной лодкой, где есть защищенные части и дыры, через которые вода просачивается. Разработчики, менеджеры и топ-менеджеры должны беспокоиться о безопасности своего программного продукта.

Дополнительно:  Доменная зона преодолела отметку в 5 млн зарегистрированных имён

Список уязвимостей в Telegram:

  1. XSS и SQLi уязвимости в 2019, 2023 годах
  2. Манипуляции сервера для чтения информации в секретных чатах
  3. MITM атаки на централизованную инфраструктуру
  4. Разблокировка только интерфейса, не связанная со шифрованием данных

Не стоит рассматривать ошибки и уязвимости как признак отсутствия безопасности. Они могут возникнуть в любом программном продукте.

Факторы уязвимостей в Telegram:

  • Решение на серверной стороне быстрее, чем на клиентской
  • Безопасность клиентов не приоритет для Telegram
  • Сомнительные архитектурные решения в Telegram

Телеграм использовал протокол MTProto, который критиковался за возможность выполнения действий с помощью готовых средств. Криптография выбирает проверенные временем методы.

Телеграм проводил конкурс на взлом своей защиты в 2013 году, но условия были ограничены.

## Роль шифротекстовых атак в криптоанализе

Требуемая для такого взлома модель атаки, атака на основе шифротекста, является самой слабой и, в то же время, наиболее сложной и неудобной для криптоаналитика. Существуют чрезвычайно слабые алгоритмы, которые могут быть устойчивыми в данной модели, но уязвимыми для других методов.

По оценкам исследователя Мокси Марлинспайк и других, подобные конкурсы не могут доказать безопасности шифрования и лишь вводят в заблуждение. Отсутствие выигравших не означает безопасности продукта, многие такие конкурсы в целом нечестны, анализ не контролируется и проводится случайными людьми, а вознаграждения зачастую слишком малы, чтобы оправдать многолетнюю работу нескольких компетентных криптоаналитиков.

## Заключение

На этом пожалуй всё. Самое печальное во всей этой истории - тот факт, что сама эта публикация является лишь постфактумом происходящего. Если государственный аппарат успешно скооперировался с Телеграмом, то все свои цели правительство уже успешно выполнило (привет, пакет Яровой). В свою очередь, Телеграм на хорошей пропаганде СМИ смог завладеть рынком и закрепиться в умах людей как безопасный (а иногда даже как анонимный!) мессенджер с той лишь единственной целью, чтобы собирать и продавать как можно больше конфиденциальной информации, ведь это экономически оправдано.

И таким образом, всё мною вышеописанное есть лишь история о том, как жаба и гадюка успешно заключили мирный договор.

Оцените статью
Добавить комментарий