Недавно правоохранители Британии, Франции и Голландии с большой помпой отчитались о том, что они смогли положить коммуникационную сеть #EncroChat, которой пользовалась организованная преступность. Казалось бы большая победа, но вопросов куда больше, чем ответов. Начнём с того, что EncroChat - типичный представитель Snake Oil - фальшивое лекарство от всех болезней.
Слабые ключи DH - 1024 бит, древняя версия OpenSSL, уязвимая к #Heartbleed, то что компания называла "замкнутым к...онтуром" - обычный SIP-TLS, с самоподписанными сертификатами. Уязвимый клон PGP, из которого текут внутренние IP-адреса. Заведомо уязвимый комплект шифров в OpenSSL, такой как TLS-(EC)DH-NONE
Когда вам присылают открытый ключ, вы должны каким-то образом выяснить, что ключ принадлежит собеседнику, а не товарищу майору. Для этого открытые сесионные ключи подписывают долгоживущим и проверенным ключом. None - значит, что подписи нет. Активный атакующий может перехватить любую сессию и стать в середине. Но полиция говорит, что взлом не имеет отношения к криптографии.
Тогда как?
#Hackback, вот как. Складывается впечатление, что полиция получила доступ к серверам, и спустила по supply chain push-обновление с вирусней. И возникает вопрос, а если этим недо-крипто-фоном пользовались люди не связанные с преступностью, тогда что? "Извините, ошиблись адресом"? Типичный пример незаконных действий полиции. Да, и полицейская мальварь очень сильно подрывает доказательную базу.
Если вы думаете, что это всё далеко, слишком сложно или вас не касается, то должен вас разачаровать. С 2014 года The Security Service of Ukraine использует ссылки-трекеры, чтобы "вычислять по IP" и запросы (часто без ордера) к провайдеру на раскрытие персональных данных (что незаконно). И не только против россиян, но и против собственных граждан.
Орудуют с такой фантастической наглостью и детской непосредственностью, что их даже спалили россияне (это такое прилагательное характеризующее умственные способности), еще тогда же, в конце 2014. Кому интересно, найдёте детали у Sp0raw. Запомните, хакерью, в большинстве случаев, не нужен ваш IP, а ментам и чекистам только он-то и нужен.
Уже десять лет они пытаются протащить СОРМ - бесконтрольную массовую слежку. Не брезгуют ничем. Тут вам и "синие киты", и "ответственность" прессы, что угодно, чтобы залезть в наш Интернет.
Что до всяких специально сконструированных и "очень надежных" приложений, то лучше их избегать и пользоваться проверенными и массовыми (не ассоциирущимися с криминалом) программами. Возможно, что EncroChat изначально был, или со временем стал, операцией по внедрению. Так что - Signal, а еще лучше Jabber+OTR. Без логов.
See More