LINUX.ORG.RU

Как лучше защить трафик Telegram

 ,


1

1

Телега удобная и популярная штуковина, и если верить Дурову, то она даже вроде как защищает голосовой и текстовый трафик от подслушивания/подсмотра.

Но как говорил старик Мюллер, "Верить в наше время нельзя никому" :-)

Поэтому хотелось бы дополнительно защитить телеграммный трафик от перлюстрации, причем особо не заморачиваясь.
И если опять-таки, верить Дурову, что настройка Телеги на sokcs-прокси работает корректно, то сами собой возникают два простых варианта:

1) Настроить прокси на работу через Tor
2) Настроить прокси на работу через ShadowSocks

Испробовал оба варианта, оба отлично работают (хотя шарком не проверял), и что удивительно, при работе через Tor качество голоса ничуть не пострадало, видать, в Телеге хороший кодек и «длинный» голосовой буфер.

Ну а теперь, внимание, вопрос :=)

Какой их этих способов лучше защищает трафик Телеги, и почему?

★★★★★

Из этих — никакой, они оба два избыточны. Телегу не ломают через перехват протокола, её ломают через перехват авторизации и методами «социальной инженерии». И конкретно ты защититься от этого не можешь, так как у тебя ресурсов для этого нет.

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

С «социальной инженерией» тоже понятно, это OSINT на основе штатного функционала, без «взлома протокола» и перехвата трафика. Ну и серверы Телеграм контролируешь не ты, они закрыты, избежать их нельзя и трафик терминируется там, на них. И там тоже могут принять решение тебя «слить».

Просто не рассматривай Телеграм как что то защищённое и безопасное, он таковым не является. Фильтруй базар, не свети секретами и всякое такое.

Короче нет смысла «трафик защищать», его перехват не является угрозой. Имеет смысл защищать передаваемую в этом трафике информацию, но это не имеет смысла когда ты не контролируешь «ту сторону» и она для тебя «чёрный ящик».

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 2)

Нафига ты свой дурацкий тор присовываешь? Он никак не влияет на безопасность. Если хочешь зашифровать-защитить трафик, это надо делать внутри телеграма - слать через него только предварительно зашифрованные данные.

firkax ★★★★★
()
Ответ на: комментарий от Jameson

О, знакомые лица - Jameson! :=)
Это первое, что увидел, и уже предвкушаю толковые советы, которыми, как правило, вы характерны.
Углубился в изучение...

chukcha ★★★★★
() автор топика
Ответ на: комментарий от Jameson

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

Хорошо, что там есть 2FA. Плохо, что оно не принудительно.

anonymous
()
Ответ на: комментарий от anonymous

Да, 2FA решает, но куча хомячков не знают что оно вообще есть или зачем его включать. Я например несколько лет безуспешно учил родителей телефон блокировать, всё понимали, головою кивали, но потом блокировку отключали, потому что «неудобно». Прониклись только после того как у матери телефон украли, сняли все деньги с карт и набрали кредитов. Вот тут сразу кааак дошло...

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Должно было дойти что нечего телефон для доступа к взятию кредитов использовать и вообще к финансам. Ну может быть только операционную кассу допустить.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Сначала отвечу firkax, потому что с Jameson, похоже, у меня будет длинная дискуссия :=)

2firkax: безопасность - да, это комплексное понятие (что и расписал Jameson).
В плане Tor безопасность, как это вижу я, обеспечивается в двух аспектах -

1) Предотвращается подслушивание меня «От своих», т.е. на ближайшей миле, поскольку трафик телеги, сходу шифруясь первым слоем «луковицы», тут же ныряет в ближайшую ноду, и дальше ищи-свищи, где он вынырнет.
Т.е. «свои» не смогут понять, с кем я разговариваю.

2) Аналогично защищен от его «своих» и мой абонент.

В итоге «человекам посредине» непонятно, кто и с кем разговаривает.
А сам трафик да, защищается только в пределах сети Tor, но и это немало.

PS. Понятно, что Дуров со своим закрытым серверным кодом может слушать всех и каждого, но то совсем другая тема.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от Jameson

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

Не использовать физических опсосов локальных относительно твоего местонахождения. Тогда ни один опер «на земле» ничего не сможет сделать (сразу минус коррупционная составляющая).

Ну а если тобой заинтересуются настолько, чтобы выковырять смски из зарубежного опсоса или sip-провайдера, тебе будет насрать - к тому времени ты и сам не будешь для серьезных вещей использовать мессенджеры, в основе которых лежат публичные сервисы.

pekmop1024 ★★★★★
()
Ответ на: комментарий от Jameson

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

от этого можно защититься покупкой виртуального номера, привязанного к блокчейну TON. Тогда авторизация вообще никак не будет зависеть от сотовых сетей, и единственный способ получить доступ к аккаунту - украсть хранящийся локально у тебя секретный ключ.

Lrrr ★★★★★
()
Ответ на: комментарий от chukcha

ищи-свищи, где он вынырнет.

Очевидно где - у сервера телеграм. Это и так все знают и не пойму зачем ты этот тривиальный факт пытаешься скрывать. Повторю, тор это бесполезная чушь в большинстве случаев.

PS. Понятно, что Дуров со своим закрытым серверным кодом может слушать всех и каждого, но то совсем другая тема.

Это единственная тема, заслуживающая внимания в данном контексте. Всё остальное - бредни безграмотных криптофанатиков.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от Jameson

Шевалье Jameson, чтобы не запутаться в многообразии аспектов безопасности, отделить зерна от плевел и сузить предмет дискуссии, предлагаю:

1) Отбросить из рассмотрения всякую социальную инженерию как неизбежное зло
2) Отбросить прослушивание Дуровым тоже как неизбежное зло
3) Отбросить SMS, сотовых операторов и т.д. и т.п.

А сосредоточиться лишь на одном - самом трафике и больше ни на чем другом, с целью - как бы его получше защитить?

Вот вы сказали:

Оба варианта избыточны

Ну так это же прекрасно!

Что еще надо человеку, чтобы встретить старость!


Ой, сорри, то из другой оперы, хотел сказать другое -

Кашу маслом не испортишь :=)

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

В итоге «человекам посредине» непонятно, кто и с кем разговаривает.

«Человекам посередине» в случае Телеграм всё понятно, ты разговариваешь с кластером серверов телеграм, твой собеседник — тоже. ЕМНИП телега не устанавливает «прямое соединение». Так что оборачивать коннект с сервером в тор или в носки имеет смысл только для того чтобы скрыть сам факт работы телеграм у тебя. А само по себе соединение с сервером и так неплохо зашифровано, его перехват ничего «человеку посередине» не даст. И даже попытка помешать подключиться к кластеру серверов мало что даст, как показала прошлая битва Роскомпозора с Телеграмом. Куча битой посуды и абсолютно непричастных к этой битве пострадавших, а телеграм продолжал работать при этом.

Jameson ★★★★★
()
Ответ на: комментарий от chukcha

А сосредоточиться лишь на одном - самом трафике и больше ни на чем другом, с целью - как бы его получше защитить?

Его не нужно защищать дополнительно, он и так надёжно защищён. Возможно есть желание его прятать от оператора связи, дабы скрыть сам факт использования телеграм, и это уже совсем другой разговор.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Его не нужно защищать дополнительно, он и так надёжно защищён.

Ну так я как раз из тех, как меня назвали выше - криптофанатик, вернее - криптопараноик по этой самой безопасности :=)

Поэтому я ни на грош не верю Дурову с его чудо-телегой, как бы он не уверял, что она-де надежно защищает трафик (уж пусть он меня простит за такое недоверие - паранойя, сэр).

Поэтому не верю, ни Телеге, ни Тору, ни ShadowSocks.

Но если наложить эти «недоверчивые» сущности не контактирующих друг с другом производителей софта друг на друга, то получается совсем другая комедия.

Надеюсь, вы понимаете, о чем я?

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

Нет, не понимаю. Это похоже на попытку надеть пять презервативов вместо одного. В случае приступов паранойи рекомендую не пользоваться ненадёжными методами, и использовать надёжные. Если считаете что таких вообще нет — изобретите свой шифр и шифруйте им сами сообщения внутри ненадёжного канала.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Ну, даже такая попытка имеет смысл при некачественных презервативах. В данном случае их таких два.
Но я все-таки и другом, щас попробую сформулировать...

chukcha ★★★★★
() автор топика

Дружище, послушай вот что. Какой-то время назад российская власть начала бороться с Телегой. Кто-то скажет, что они обломались. Но вот что интересно. Через некоторое время Россия прекратила бороться с Телегой. И сейчас пропаганда в значительной степени идет через нее. А Дуров делает некоторые вещи для борьбы с протестами, в частности жен мобилизованных.

Я не пытаюсь развести политоту, это просто факты, которые должны сказать достаточно разумному человеку о т.н. безопасности и приватности Телеги. Не стоит ее рассматривать больше чем как чатик для котов.

И если опять-таки, верить Дурову

Не надо ему верить. Как и любому другому капиталисту. Любая компания работает в чьей-то юрисдикции и соблюдает законы местные и тех рынков, на которых хочет работать. Либо соблюдает, либо не работает, третьего не дано.

MoldAndLimeHoney
()
Последнее исправление: MoldAndLimeHoney (всего исправлений: 1)
Ответ на: комментарий от chukcha

Сложение двух некачественных презервативов не превратит его в один качественный. Основная ваша проблема в том что вы не понимаете зачем нужен tor например. Грубо говоря поскольку вы не понимаете технологию вы неправильно представляете себе области её применения.

И да, веру оставьте верующим и служителям культов. Руководствуйтесь лучше знаниями и пониманием границ применения технологий. Если знаний недостаточно — получите их, например изучите исходные коды tor.

Jameson ★★★★★
()
Ответ на: комментарий от MoldAndLimeHoney

Дружище, послушай вот что.

Дружище, спасибо, насчет всего этого и этих событий конечно, я в курсе, иначе какой же я параноик :=)
Поэтому никому не верю и соответственно ищу дополнительные средства для усиления безопасности.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 2)
Ответ на: комментарий от Jameson

Основная ваша проблема в том что вы не понимаете зачем нужен tor например.

Это я-то не знаю, зачем нужен Tor?? Я его идеологию детально изучил задолго до того, как появился на этом форуме.
До этого я был постоянным завсегдатаем на pgpru.com, пока он не зачах окончательно. Но материал там остался богатейший, только общаться больше не с кем.
Может, выражаюсь неточно или несколько косноязычно, ну да, это бывает, и меня тут же пытаются поучать :=)

А понятие «вера» - это один из самых фундаментальных терминов в понимании информационной безопасности, и культ тут не причем.
Без него невозможно ни сформулировать задачу, ни решить ее.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)

Смотря от чего защищаться. От админа провайдера оно и так защищено, наворачивать поверх торы и впны избыточно. От подслушивания на серверах телеги - нет. Да, есть глубоко запрятанный «start secret chat», но читал где-то (возможно это был хабр) про мухлёж с ГСЧ в этом месте, так что штука тоже сомнительная. Хочешь IM с сесурити хоть каким-то - поднимай личный джаббер на контору/тусовку/родню и обмазывай уже всё это шифрованиями и впнами. Матриксы не смотрел, ничего сказать не могу.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Смотря от чего защищаться.

Очень грамотное замечание! О котором часто забывают.
Да, поэтому безопасность бывает «не вообще», а в комплексе задач и их решений.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 2)
Ответ на: комментарий от yu-boot

Так вот поэтому и я толкую о двух или более сущностях.
Если одно продалось органам, а в другом заложена дыра, то вероятность, что они сговорятся друг с другом и устроят общую дыру/закладку, маловероятна.

Представьте себе, к примеру, смогут ли договорится между собой программеры скажем, из Хамаза или Цахала, которые люто ненавидят друг друга?

chukcha ★★★★★
() автор топика
Ответ на: комментарий от yu-boot

наворачивать поверх торы и впны избыточно.

По сути вы повторили мнение Jameson.
Ну так это великолепно, что оно избыточно! Это значит, что защита трафика становится еще сильнее.

А за это усиление мне не приходится платить ни копейки (халява, сэр!), так почему бы этим не воспользоваться?

Поэтому не пойму, почему вы «избыточность» возводите в ранг какого-то недостатка, что ли.
Имхо, это как раз наоборот - достоинство.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 2)
Ответ на: комментарий от chukcha

Ну так это великолепно, что оно избыточно! Это значит, что защита трафика становится еще сильнее.

У нас с вами вот в чём расхождение. Вы считаете что канал между телеграм-клиентом и сервером априори защищён недостаточно. Меж тем есть «сторонние» клиенты телеграм, протокол достаточно изучен для того чтобы их реализовать, и мне например из спецификаций и реализаций понятно что шифрование в нём весьма достойное, настолько достойное что проще с Пашей договориться чем эту крипту ломать.

То бишь вы считаете что презерватив дырявый, а я считаю что он надёжный. Вы считаете что комбинируя дырявые презервативы вы повышаете надёжность конструкции. Нет, вы её не повышаете, риск всё равно остаётся, вот только оргазм при этом тоже становится недостижим. И возникает вопрос, а зачем, может ну его, этот секс...

Я же считаю что надев на 100% защиту ещё 100% защиты я не получу 200% защиты, просто потому что проценты так не работают.

Так что лично я считаю (IMHO) вы занимаетесь ерундой. Но если это занятие вас психологически успокаивает — продолжайте, вреда то от этого никакого...

Насчёт ТОР. Непонятно мне тогда почему вы используете его в контексте шифрования. ТОР — это средство анонимизации трафика, шифрование в нём во вторую очередь. Более того, если у нас происходит выход из TOR — а в сценарии с подключением к кластеру телеграм он происходит — добавляется ещё одна «точка уязвимости» не под вашим контролем — exit node.

Шифрование в TOR можно считать надёжным только между точкой входа (ваш клиент TOR) и ресурсом в домене .onion, то бишь внутри сети TOR, и то с оговорками. Это потому что TOR — средство анонимизации, в первую очередь, а не средство надёжной криптографической защиты.

Подытожу: в случае с телеграм я считаю наворачивание криптографии на криптографию бессмысленным расходом труда и электричества, канал и так надёжно зашифрован. Сокрытие трафика телеграм, как и вообще всего своего трафика, от провайдера, дабы он в нём не рылся с помощью DPI, не профилировал и отчётов не составлял считаю разумной задачей.

Но она и решаться должна на уровне всего трафика, а не только телеграм. Потому что совершенно непонятно зачем кому то прятать не вызывающий подозрений трафик телеги в вызывающий подозрения туннель из тора, носков или ещё чего либо.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

У нас с вами вот в чём расхождение. Вы считаете что канал между телеграм-клиентом и сервером априори защищён недостаточно. Меж тем есть «сторонние» клиенты телеграм, протокол достаточно изучен для того чтобы их реализовать, и мне например из спецификаций и реализаций понятно что шифрование в нём весьма достойное, настолько достойное что проще с Пашей договориться чем эту крипту ломать.

Я исхожу из того, что не доверяю любому «надежному шифрованию». Не вам, а шифрованию.
Поскольку исторический опыт показывает, что скажем, сегодня все, захлебываясь слюной от восторга, вопят, что «это» - самое надежное шифрование!

А через пару лет вдруг оказывается -
- Ой, извините, мы чуток ошиблись в алгоритме, и получилась некая зопа.
Но ничего, не беспокойтесь, дарагие юзеры, мы щаза тутв чуток подправим, и все будет окейно!

Но еще через пару лет вся эта история повторяется, этот процесс бесконечен. И так будет всегда - человеку свойственно ошибаться.
Так что не верить надежности любого шифрования - это не просто паранойя, это - здоровая паранойя, которая может уберечь от многих неприятностей.

Я же считаю что надев на 100% защиту ещё 100% защиты я не получу 200% защиты, просто потому что проценты так не работают.

А вы считайте не в процентах, а в условных единицах :=)
Но если серьезно, зашифрованный трафик, пропущенный через «трубу» со своим шифрованием, однозначно ослабит возможность его дешифрации.
Если трафик Телеги методом перебора вскроют, условно говоря, через 2^128 лет, то дополнительное шифрование, тоже условно говря, отодвинет этот срок до 2^256 лет.
Имхо, с этим не стоит спорить.

Насчёт ТОР. Непонятно мне тогда почему вы используете его в контексте шифрования. ТОР — это средство анонимизации трафика, шифрование в нём во вторую очередь. Более того, если у нас происходит выход из TOR — а в сценарии с подключением к кластеру телеграм он происходит — добавляется ещё одна «точка уязвимости» не под вашим контролем — exit node.

Потому что, несмотря что он задуман в основном как средство анонимизации, в нем также есть и шифрование - вот я его и использую.
Не на всем участке, конечно, а в самой сети Tor, и это я учитываю.

Это потому что TOR — средство анонимизации, в первую очередь, а не средство надёжной криптографической защиты.

Так считают создатели, многие пользователи и вы. Я же беру из этой технологии то, что в данном случае мне нужно - шифрование.
Вы не упустили возможность придраться к некоторым возможностям Тора.
Ладно, оставим его и в качестве дополнительного средства шифрования трафика возьмем ShadowSocks, OpenVPN и т.п.
Что скажете в этом случае?

Подытожу: в случае с телеграм я считаю наворачивание криптографии на криптографию бессмысленным расходом труда и электричества, канал и так надёжно зашифрован.

Помилуйте, какой труд, какая электроэнергия?? Из «трудов» только пару кликов мышкой, а из электричества неизменных 6 Вт независимо от того, шифрую дополнительно или нет.

chukcha ★★★★★
() автор топика

Как лучше защить трафик Telegram

Лучше - никак. Защита от перехвата и так достаточна, а защита от Дурова бесполезна, так как всё через сервер. Хотя, как обещают, приватный чат обеспечиват защиту и от Дурова. В принципе можно поковырять исходник, чтобы убедиться. Другой вопрос, если надо сам трафик скрыть для защиты от блокировок, но это другой вопрос.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от chukcha

Я в дальнейшей дискуссии смысла не вижу. Своё мнение я высказал, причём несколько раз, а обсуждать ваши проблемы с доверием и методы их психологической компенсации мне не интересно.

Я вас услышал, позицию понял, но аргументированной её не считаю. Потому что глубинные убеждения в несовершенстве бытия и банальные заявления про «свойственно ошибаться» — это не аргументы, это демагогия.

Хотите доказать ненадёжность шифрования протокола телеграм — ссылайтесь на известные уязвимости в его алгоритмах, а не на потенциальную возможность их взлома гипотетическим компьютером будущего в ближайший миллиард лет.

Но тем не менее компьютер ваш, персональный, жизнь тоже ваша, считаете нужным потратить время своего существования на бессмысленную деятельность — вперёд, кто же запретит. Опять же, если это вас психологически успокаивает — это уже не бессмыслица, это терапия.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Ладно, Jameson, дело хозяйское. Только зря вы упомянули по демагогию.
Поскольку обратил внимание, что на форумах часто, если у оппонентов иссякают аргументы, они обвиняют собеседника в троллинге или демагогии, что проще всего, а главное, не требует доказательств.
Не стоит вам, человеку умному, уподобляться им и переходить на личности.

Однако тема открыта, желающие могут продолжить дискуссию :=)

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

Я человек простой, вижу демагогию — называю её демагогией, и ничего личного тут нет. И начинается она как раз при иссякании аргументов. Ваши аргументы — не аргументы, а досужие рассуждения, это и называется «демагогия».

Вот ссылки на статьи содержащие конкретные математические доказательства несовершенства используемой в протоколе телеграм криптографии, а ещё лучше практические доказательства ошибок и уязвимостей в реализации были бы аргументами. Вместо этого вы демонстрируете надетую на глобус сову и рассуждения домохозяина в стиле «Дед Еремей, разговоры за жизнь».

Jameson ★★★★★
()
Ответ на: комментарий от Lrrr

единственный способ получить доступ к аккаунту - украсть хранящийся локально у тебя секретный ключ.

А скопировать данные десктоп-приложения телеграм, разве не работает сейчас?

One ★★★★★
()

Как лучше защить трафик Telegram

Лучший способ наверняка уже посоветовали - просто не использовать это г-но. Лучше вообще никогда. Если нужна более-менее защищенная переписка - лучше воспользоваться дедовскими технологиями почта@GPG

XOXO
()
Ответ на: комментарий от One

если у злоумышленника есть доступ к домашней папке пользователя, то он может взломать вообще все что угодно и как угодно. Например, угнать расшифрованные ssh и gpg-ключи (кстати большой привет чудику, агитирующему тут за дедовские технологии)

Lrrr ★★★★★
()
Последнее исправление: Lrrr (всего исправлений: 1)
Ответ на: комментарий от Jameson

А, ну да, ты ещё и демагогом оказался в его глазах, все как обычно.

Там деду просто скучно и он ходит сюда поговорить о своих фантазиях уже несколько лет, а вы все ведетесь.

anonymous
()

Телеграм это не защищенный мессенджер. Вместо него лучше использовать WhatsApp.

Если по каким-то причинам приходится использовать телеграм или другие способы незащищенной коммуникации, сообщения нужно шифровать отдельным инструментом. Я рекомендую age.

vbr ★★★★
()
Ответ на: комментарий от vbr

Подключайте Tor через ShadowSocks.

Шутка, наверное? :=) Речь ведь о телеге и защите ее трафика. Или я чего-то тут не понял...

Лучший способ наверняка уже посоветовали - просто не использовать это г-но. Лучше вообще никогда.

Это да. Но дело не во мне: попробуйте убедить в этом миллионы юзеров, которые его юзают - как думаете, получится? :=)

> Телеграм это не защищенный мессенджер. Вместо него лучше использовать WhatsApp. Если по каким-то причинам приходится использовать телеграм или другие способы незащищенной коммуникации, сообщения нужно шифровать отдельным инструментом.
Я рекомендую age.

Может и лучше, но часть народа запала на Телегу и их переубедить. И вот как раз с ними и приходится общаться.
Насколько легко ваш age можно вклинить между телегой и Инетом?

Upd. Стоп - age ведь не для потокового шифрования, а сеансового, а для голоса она вообще не пригодна.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от vbr

Ну, это понятно. Тогда теряется самое главное, что есть в голосовом мессенжере - возможность диалога в риалтайме.
Имхо, никто их хомячков таким пользоваться не будет.

chukcha ★★★★★
() автор топика