• ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?

      Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?

      Разработчики мессенджера Signal и сторонние эксперты по безопасности не смогли решить, есть ли у него уязвимость, которая поможет цензорам раскрыть личности пользователей, или проблема отсутствует в принципе.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Взаимоисключающие параграфы

Довольно странная история развернулась вокруг защищенного мессенджера Signal: несколько экспертов по безопасности объявили об обнаружении в нем серьезной проблемы, которая при определенных условиях может раскрыть личность конечного пользователя. Создатели Signal заявили, что проблемы не существует. Более того, издание BleepingComputer сначала опубликовало масштабный материал по поводу происходившего, а затем удалило публикацию в связи с противоречивостью поступавшей информации.

Мессенджер Signal считается одним из самых защищенных на рынке. О нем крайне лестно отзывался Эдвард Сноуден (Edward Snowden), многие специалисты по безопасности считают, что лучше Signal приватность пользователей не защищает никто.

Signal запрещен в нескольких государствах с особо авторитарными режимами. В их числе Иран, где трафик мессенджера блокируется под предлогом «нелегального контента». Реальная причина, скорее всего, заключается в его сквозном шифровании, не позволяющим перехватывать чужую переписку. При этом непонятно даже, какой орган власти постановил блокировать данный мессенджер.

Недопонимание ставит под угрозу анонимность пользователей Signal в Иране

Создатели Signal обратились к пользователям в Иране с предложением создавать локальных TLS-прокси, используя код, опубликованный в официальном репозитории на GitHub. Это, дескать, помогло бы обходить правительственные ограничения. В идеале речь шла всего лишь о запуске пользователем нескольких команд на локальном устройстве.

Отследить к пользователю

Двое исследователей, известных как DuckSoft и studenmain, однако, заявили, что обнаружили ряд недочетов в этом коде, которые позволили бы выявить запущенные прокси и отследить трафик к конечным пользователям. Причина заключается в том, что туннель SSL/TLS разворачивается с сертификатом, раскрывающим IP-адрес и информацию в виде открытого текста в поле ServerNameIndication (SNI). Подключение к прокси Signal потребует только доменное имя сервера.

Цензору, перехватывающему трафик, будут видны IP-адреса и индикатор SNI, совпадающий с наименованием доменного имени. Если у цензора нет уверенности, видит ли он трафик именно Signal, он может попытаться подключиться к этому прокси самостоятельно — с подлинного или даже фальшивого клиента Signal, и удостовериться в его назначении.

Кроме того, прокси Signal принимает подключения только с доменов самого мессенджера и, естественно, не примет подключения с Telegram и других мессенджеров, что раскроет его природу.

Исследователей поддержали некоторые из коллег и предложили Signal отдельные варианты исправления проблемы. Вот только в самом Signal заявили, что проблемы не существует в принципе.

Нет никакой уязвимости?

«Миллионы людей в Иране используют Signal. Любой сетевой трафик уже указывает на то, что они используют Signal. Но это не тайна! Это всего лишь набор настроек для nginx. Разумеется, легко можно определить, что прокси — это прокси, если подключиться к нему», — написал в Twitter исполнительный директор Signal Мокси Марлинспайк (Moxie Marlinspike).

Но этим дело не ограничилось: мало того, что страница с баг-репортом на официальном репозитории Signal в GitHub, так и сами DuckSoft и studentmain оказались там забаненными. Причиной стало то, что они начали дискуссию о предполагаемой уязвимости прямо там, а не на официальных форумах Signal, где это, с точки зрения компании-разработчика, полагается делать.

Как впоследствии было заявлено представителями разработчика мессенджера, дискуссия носила далекий от вежливости и цивилизованности характер, что явилось нарушением правил поведения на ресурсах Signal и послужило, как настоятельно уверяют представители Signal, основной причиной для санкций.

Любопытно, что редакция Bleeping Computer в итоге тоже удалила исходную статью (она доступна только в кэше), сославшись на «противоречивость» данных о проблеме.

«К сожалению, уже вне зависимости от того, рассматривать выявленное обстоятельство в качестве проблемы безопасности или нет, Signal оказался в щекотливой ситуации, поскольку обвинения в попытке заткнуть рот неугодным тут не выглядят совсем уж безосновательными, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, указанные эксперты также высокого профессионализма не демонстрировали. В целом это история про колоссальное недопонимание со всех сторон. Исследователи не смогли подать информацию о баге как нужно, а вендор не захотел вникать и обсуждать вопрос. Впрочем, уязвимости тут, похоже, и правда нет».

Короткая ссылка Распечатать

Другие материалы рубрики

В криптобиблиотеке для Linux и macOS нашлась предельно простая для использования брешь

Самая ожидаемая игра 2020 г. проложила хакерам путь к взлому ПК пользователей

Российские тюрьмы ни при чем. В МВД определили, что мошенники от имени банков звонят из-за рубежа

В Windows 10 появится защита от слежки через веб-камеру

Северная Корея резко нарастила ядерный потенциал на деньги, украденные ее хакерами

Больше половины удаленных сотрудников игнорируют политики ИБ

Техника TWS-наушники с активным шумоподавлением: выбор ZOOMСамые ожидаемые смартфоны 2021 годаТехноблогМожно ли легально скачать видео с YouTube?Телевизор за 10 000 рублей: на что можно рассчитывать?Показать еще ИТ в искусстве Технологии должны быть
только там, где они уместны

Владимир Определенов

CDTO ГМИИ им. А.С. Пушкина

Событие месяца Роботы, блокчейн, ИИ — в Москве проходит выставка новейших технологий

Технология месяца Как менять бизнес-процессы компании в режиме реального времени

Что дает бизнесу
Process Intelligence?

Все ПК и мобильники с Wi-Fi с 1997 года беззащитны перед взломом

Выявлена и исправлена целая дюжина уязвимостей, часть из которых вызвана ошибками в архитектуре Wi-Fi. Уязвимы, по-видимому, все или подавляющее большинство устройств с поддержкой Wi-Fi....

IDC: восстановление на рынке смартфонов продолжается

По сравнению с первым кварталом 2020 года рынок вырос на 25,5%. Правда, это был один из худших периодов за всю историю, напоминают аналитики....

Мировые продажи ноутбуков показывают бешеный рост

Мировые продажи ноутбуков по итогам первого квартала 2021 г. выросли сразу на 81% и достигли 68,2 млн штук. Об этом сообщила исследовательская компания Strategy Analytics со ссылкой на итоги нового исследования рынка....

«Яндекс.Маркет»: продажи жестких дисков и SSD резко выросли

Аналитики связывают всплеск с выходом новой криптовалюты; россияне активно расширяют дисковое пространство для майнинга Chia....

Amazon нанимает тысячи сотрудников только для того, чтобы их поскорее уволить

Amazon заставляет руководителей и менеджеров своих подразделений специально увольнять своих сотрудников, чтобы поддерживать текучку кадров на нужном уровне. Для этого разработаны различные схемы, а некоторые руководители даже специально нанимают новы...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;width:90%;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?