В последнее время участились новости о взломах или попытках получения доступа к Telegram-аккаунтам белорусов. 42.TUT.BY рассказывает, как неизвестные могут получить доступ к вашему профилю.
Что произошло?
Ночью с 25 на 26 марта неизвестным удалось получить временный доступ к телеграм-каналу издания «Наша Ніва». Они успели удалить все новости за 25 марта, а также около 1300 подписчиков, пока администратор не вернул контроль над каналом.
Издание предполагает, что злоумышленники могли завладеть всеми переписками заместителя главного редактора Дмитрия Панковца, но заверяет, что тем не удалось получить персональную информацию подписчиков — они видели только имена аккаунтов и удаляли пользователей один за другим.
Сам Дмитрий написал у себя на странице в Facebook, что, вероятно, дело в том, что он установил на новом телефоне обычный пароль для телеграма вместо «двухуровневой проверки», и потому его смогли взломать.
Кроме того, адвокат Дмитрий Лаевский, защищающий Виктора Бабарико и Максима Знака, сообщил у себя в Telegram-канале, что в ночь с 24 на 25 марта 2021 «была попытка взлома и удаления» его Telegram-аккаунта. «К счастью, аккаунт устоял, — уточнил он. — Это уже второй раз. Первый взлом произошел в день, когда Маша Колесникова пропала (7 сентября 2020)».
И минимум шесть сотрудников нашей организации «ТУТ БАЙ МЕДИА» обнаружили, что в период с 4 по 11 марта некто пытался войти в их аккаунт в Telegram с нового устройства. Причем одному из работников помимо предупреждения о подключении нового устройства также пришло сообщение, что неизвестный верно ввел код, но не справился с дополнительным паролем (у сотрудника включена двухфакторная верификация).
Как понять, что кто-то подключился к вашему аккаунту в Telegram? Самый простой способ — проверить активные сеансы. Для этого надо:
- зайти в настройки (три горизонтальные полоски вверху экрана);
- выбрать «Конфиденциальность»;
- найти там строку «Активные сеансы»;
- нажать и просмотреть список всех устройств, где сейчас открыт ваш аккаунт.
Если вы заметите что-то подозрительное, нажмите «Завершить все другие сеансы».
Как могут перехватить контроль над телеграм-аккаунтом?
О том, как «ломают» телеграм, хорошо рассказали специалисты лаборатории компьютерной криминалистики Group-IB.
Если кратко, то при активации мессенджера на новом устройстве Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС-сообщения с кодом активации, перехватывают это СМС и используют полученный код для успешной аутентификации в мессенджере.
Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались.
Как перехватывают СМС-сообщения? На сегодня известно о так называемой «уязвимости в протоколе SS7». Грубо говоря, если у вас стоит верификация посредством SMS (или восстановление пароля по SMS), то некто в теории может перехватить предназначенное вам СМС-сообщение с кодом.
Что вообще такое SS7? Об этом можно почитать здесь, но если кратко, то протокол SS7, он же система сигнализации № 7 или ОКС-7 — набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций по всему миру на основе сетей с канальным разделением по времени. В основе SS7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
Этот протокол был разработан едва ли не 50 лет назад для отслеживания и подключения вызовов в разных сетях операторов связи, а теперь он обычно используется для расчета биллинга сотовой связи и отправки текстовых сообщений в дополнение к маршрутизации мобильных и стационарных вызовов между операторами и региональными коммутационными центрами.
Так как создатели протокола предполагали, что сигнальная линия будет использоваться только для служебных сигналов, то решили вообще не шифровать передачу данных. Они просто-напросто не знали, какую популярность интернет приобретет в будущем.
Как пишет автор oldadmin на «Хабре», в начале двухтысячных был разработан протокол SIGTRAN — расширение семьи протоколов SS7 (он поддерживает те же приложения и парадигмы управления вызовами, как и SS7, но использует интернет-протокол для адресации и передается по протоколу SCTP). Это позволило получить доступ в служебный канал SS7, который раньше был недоступен.
Учитывая, что в этом канале изначально не имелось шифрования, а источник управляющего пакета не проверялся, потому что иначе это серьезно бы замедлило работу всей сети, то злоумышленники смогли легко получить доступ к SS7.
Впервые про эту проблему заявили публично на Chaos Computer Club в 2008 году, когда немецкий эксперт по безопасности Тобиас Энгель показал технику слежки за абонентами сотовых сетей, для которой достаточно знать мобильный номер человека.
В 2013 году бывший сотрудник ЦРУ Эдвард Сноуден рассказал о способах слежки Агентства Национальной Безопасности США за гражданами. И среди разоблачений Сноудена снова всплыли уязвимости SS7 как одна из техник, использованных АНБ.
В 2016-м немецкий специалист по шифрованию и защите данных Карстен Нол поставил публичный эксперимент в эфире телепрограммы 60 Minutes телеканала CBS. Через уязвимость в SS7 он взломал телефон специально приглашенного для этого американского конгрессмена Теда Лье. Последний настолько этим впечатлился, что официально потребовал провести расследование этой проблемы.
Несмотря на это, в сетях SS7 по-прежнему есть уязвимости, которые позволяют нарушить доступность сервисов для абонентов. Как сообщает блог Positive Technologies, злоумышленники осведомлены об уязвимостях и эксплуатируют их.
Конечно, операторы осознают существующие риски — например, они используют для защиты систему SMS Home Routing (это довольно сложная система, позволяющая пропустить «легальные» сообщения и пресечь атаку злоумышленника посредством СМС-сообщений еще на первом этапе). Ну и сейчас ведется реестр адресов сетевого оборудования.
Как происходит атака с технической точки зрения?
Как можно избежать взлома?
IT-специалист Антон Кочуков дает простой совет: так как псевдобиллинговые системы злоумышленников в большинстве случаев представляются иностранными операторами (сообщают, что вы в международном роуминге), то достаточно просто отключить на телефоне возможность международного роуминга.
А лаборатория компьютерной криминалистики Group-IB подчеркивает, что «в Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет, однако пользуются ими далеко не все».
Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, рекомендует установить в Telegram дополнительный фактор аутентификации в виде пароля помимо обязательной CМС. «Далее необходимо проверить и другие приложения, а также сервисы, которые используют СМС-сообщения для аутентификации как основной или второй фактор или же для восстановления пароля к электронной почте, социальным сетям, доступу к приложениям мобильного банкинга, для доставки одноразовых паролей», — отмечает он.
В Group-IB предупреждают, что атака на Telegram может быть успешна только в случае, если в настройках мессенджера на смартфоне не активированы опция «Облачный пароль» или Two step verification.
Как задать двухэтапную аутентификацию? В Android это делается по следующему пути: Настройки — Конфиденциальность — Двухэтапная аутентификация.
В iPhone надо пройти такой путь: Настройки — Конфиденциальность — Облачный пароль.
Найти раздел «Двухфакторная аутентификация» можно в разделе «Конфиденциальность» в настройках
И придумайте надежный пароль! После его ввода вам предложат указать электронную почту, через которую можно будет восстановить забытый пароль. Однако максимальную защиту дает пароль без указания электронной почты — так возможность взлома аккаунта будет сведена к минимуму (но появится шанс забыть или потерять пароль, что приведет к полной утрате аккаунта без возможности его восстановления).
Также будет нелишним установить код-пароль. Это делается так: Настройки — Конфиденциальность — Код-пароль. Можно выбрать разблокировку по отпечатку пальца или Face ID, или только код. А еще можно поставить автоблокировку через определенный промежуток времени или же блокировать приложение вручную.
Как силовики вычисляют администраторов телеграм-каналов (по словам бывшего оперативника)?
В последние месяцы пресс-служба МВД периодически сообщает о задержаниях администраторов «деструктивных телеграм-каналов» — им дают «сутки», делают подозреваемыми в уголовных делах или отправляют на «домашнюю химию».
Адвокат Антон Гашинский ранее пояснял нам, что само по себе администрирование локального Telegram-чата, пока там размещается «мирная» информация, не связанная ни с политикой, ни являющаяся призывами к противоправным действиям, не может считаться противозаконным. Но как только в чате появится информация, допустим, экстремистского содержания, администратор несет за это ответственность.
То есть если некто разместит в чате призыв к несанкционированным массовым мероприятиям или оскорбление представителя власти и так далее, отвечать будет администратор.
1 октября по белорусскому телевидению выступил анонимный оперативный сотрудник Главного управления по борьбе с организованной преступностью и коррупцией МВД, который сообщил, что МВД следит за деятельностью в Telegram-чатах и выявляет личности, которые «дальше становятся деструктивщиками и призывают к радикальным мерам». Далее этот анонимный сотрудник заявил, что «в каждом чате имеется по нашему сотруднику, и он полностью владеет ситуацией», плюс обычные граждане также не остаются в стороне и сообщают о лицах, состоящих в подобных чатах.
24 марта телеканал «Беларусь 1» показал документальный фильм, посвященный инициативе BYPOL, где рассказал про специалиста в IT-сфере Станислава Лупоносова, который, еще будучи сотрудником ГУБОПиК, якобы сливал информацию BYPOL.
Станислав рассказал «Нашей Нiве», как вычисляют админов телеграм-чатов: «Например, кто-то сбросил в чат картинку, у нее определенный вес в байтах. Проверяется, кто в это конкретное время в стране передавал на сервер телеграма сообщение с таким-то количеством байтов, до секунды. Так и находят».
На наш взгляд, это довольно сложный подход. Как считает российский IT-эксперт, исполнительный директор некоммерческой организации «Общество защиты интернета» Михаил Климарев, «это точно не может быть массовой историей». Ведь это очень трудоемкий процесс: нужно писать трафик всех абонентов, обладать нужной квалификацией, иметь доступ к каждому оператору — в итоге за день получится обработать всего несколько аккаунтов.
Кроме того, даже секунда в сетевых передачах — это очень долго. За этот отрезок времени могут прийти тысячи и тысячи сообщений с одинаковым «весом».
Однако технический консультант общественной организации «Роскомсвобода» Леонид Евдокимов, бывший одним из разработчиков программных решений для некоммерческой организации The Tor Project, считает, что теоретически этот метод может применяться — если примерно известна геопозиция людей и время отправки фото, а круг «подозреваемых» — в пределах 10 тысяч человек. «Особенно если это целенаправленная акция устрашения, а не массовая зачистка таких чатов», — говорит он.
По словам собеседника, прототипы подобных технологий действительно существуют — при этом они не обязательно позволяют найти нужного человека «с одной картинки», а просто «сужают круг подозреваемых».
— Секунда — это действительно немало, но с другой стороны большинство пользователей картинки «просматривает», а не «публикует», то есть тут явно есть асимметрия, — отмечает Леонид. — Но есть несколько «но», которые надо проверять. Во-первых, надо уточнить у провайдеров, есть ли у них возможность писать данные об интернет-трафике с таким разрешением. Насколько я знаю, в РФ для настолько детальной записи трафика не было технической возможности, так как скорости выросли. Во-вторых, хорошо бы понимать, что делает Telegram с «отложенными постами», а также — сжимает ли он картинки только на клиенте или еще и на сервере.
Также надо понимать, что VPN при этом помогать будет не очень сильно. В какой-то степени может быть и будет, но большинство VPN все же избегают добавления дополнительного «мусора». Ну и фундаментальная проблема в том, что «мусор» можно добавить, но почти никогда невозможно сделать обратную операцию — послать меньше, чем надо передать (схожая технология на русском языке описана здесь).
Вживую я пока не видел применения такой технологии, то основной вопрос не в том, существует она или нет, а может ли она быть реализована эффективно с инженерной точки зрения.
Вопросы есть, конечно. Но назвать ее совершенно невозможной у меня язык не повернется. Для популярных каналов с малым числом администраторов она теоретически осуществима, вопрос в экономике мероприятий.
Однако по словам Леонида, он не настолько хорошо знаком с белорусским телекомом, чтоб однозначно ответить на данный вопрос.
Есть ли другие методы? Рассказываем про странные ссылки в чатах
Есть более простые способы узнать IP-адрес участника чата. Так, 25 марта в 42.TUT.BY обратился читатель, который рассказал, что утром в День Воли с аккаунта задержанного человека пришла ссылка на текст в формате Telegra.ph — и в конце стояла «битая» картинка с IP-логгером (так называется веб-сервис, который собирает статистику и информацию о каждом посетителе страницы).
«Если ты заметил эту битую картинку и решил посмотреть, куда ведет ссылка, то она тебя перенаправит на чей-то заброшенный аккаунт во «ВКонтакте», — рассказал читатель. То есть, теоретически, у «ВКонтакте» могут запросить список всех, кто посещал данную страницу, и получить их IP-адреса (если они не использовали в тот момент VPN).
Часть кода с картинки. Изображение: читатель TUT.BY
Позже в тот же день администратору другого телеграм-чата прислали сообщение со ссылкой, которая выглядела как ссылка на TUT.BY. Однако при проверке на сервисе WhereGoes оказалось, что ссылка была преобразована с помощью сайта iplogger.org (то есть на нее поставили IP-логгер), затем ее сократили в сервисе Bitly и отправили в чат.
Изображение: читатель TUT.BY
Поэтому следует быть осторожными со ссылками от других пользователей чата, даже если вы их знаете, и пользоваться VPN-сервисами — тогда с помощью IP-логгера можно будет узнать лишь адрес VPN.
Напомним, что 10 декабря парламент принял поправки в Закон «Об оперативно-розыскной деятельности», где в том числе говорится про возможность получения сведений «путем удаленного доступа».
Вероятнее всего, поправки в закон «Об оперативно-розыскной деятельности». планировались давно, еще до начала протестов. Так, бывший сотрудник СК, эксперт по кибербезопасности Александр Сушко допустил, что формулировки понадобилось уточнить, чтобы исключить проблемы в санкционировании оперативных мероприятий со стороны прокуратуры. А в Палате представителей сообщили, что это сделано «для эффективного противодействия незаконному обороту наркотиков с использованием сети Интернет».
Добро пожаловать в реальность!