Телеграмм закладка
Телеграмм закладкаТелеграмм закладка
Купить Здесь
Остались ли ещё закладки в Telegram? Криптография , Системы обмена сообщениями , Информационная безопасность Из песочницы Как уже упоминалось в недавнем посте ' Безопасен ли Telegram? Или как я искал закладку в MTProto ' — Telegram — супер защищённый мессенджер для смартфонов, на столько безопасный, что за его взлом объявлен конкурс с внушительным призом. Некоторые даже посчитали участок кода ответственный за уязвимость — закладкой. К чести Telegram, довольно быстро было признано, что уязвимость присутствует и было анонсировано его исправление в следующей версии мессенджера, а автору обещано вознаграждение — ibeatle пишет: Есть мнение, что не стал и администраторы Telegram серверов всё ещё могут прослушать пользователей так, что проверка ключей покажет, что они совпадают. Для этого достаточно применить атаку вырожденного ключа на протокол Diffie-Hellman DH. Предыдущая атака была на часть алгоритма протокола установления ключа, которая происходит сразу после DH, но ведь есть же ещё и сам DH. В документации есть попытка защититься от от некоторых атак на DH — предписано проверять публичные параметры p и g: В этом случае у обоих пользователей в результате расчета приватного ключа так-же получатся единицы. Сервер и любой другой наблюдающий атакованную сессию зная это свойство DH протокола сможет спокойно расшифровывать и читать их сообщения. У вас есть синдром ученика? Благодарим за ценное замечание, мы тоже заметили важность этой проверки в конце прошлой недели. Нужно отметить, что проблема на клиентской стороне и не затрагивает безопасность самого протокола. Вчера ночью были несколько расширены рекомендации авторам клиентов, реализующих функциональность Secret Chats на базе API Telegram: Разработчиками клиентов были исправлены исходники официальной версии для iPhone http: В течение пары дней в Google Market появится обновленная версия официального приложения, где помимо новой функциональности пересылка документов будут усилена безопасность секретных чатов. Тем не менее, мы продолжаем ревью клиентского кода. Будем благодарны, если найдете что-то еще, что пока не удалось заметить. А, ну я постил этот топик вчера в Так что здорово совпало, что вы буквально ночью всё дополнили. Boomburum слил инфу и уже поехал в салон за новым Х6. Надеялся что хоть в этот раз будет без теории заговора p. Жаль, что Х6 стоит больше к, а моделька в масштабе 1: Жаль, что Х6 стоит больше к Т. Раз Ваш пост был отправлен в Мы пока не формулировали четкую политику bug-bounty в отношении багов на клиентской стороне особенно, когда о них сообщают сразу из нескольких источников и не совсем ясно, кто был первым. Изначально не планировалось награждать за них так же, как за архитектурные серверные уязвимости. Но так как стимулы для поиска багов сохранять надо, мы разработаем некоторую схему для того, чтобы три человека, которые почти одновременно нашли эту проблему с проверкой, остались довольны и не чувствовали, что зря потратили время. Для получения Вашей части награды, пожалуйста, напишите нам на security telegram. НЛО прилетело и опубликовало эту надпись здесь. Голосовой трафик предъявляет совершенно другие требования к инфраструктуре, нежели текстовые чаты. И зачем вам для этого телеграм, если уже 7 лет как есть zrtp? Не совсем по теме, но меня крайне напрягло, что ссылка на якобы исходники программы, которые я никогда не трогал, у меня была фиолетовая. Лишний повод еще внимательнее присматриваться к используемым ссылкам где бы то ни было, доверие — враг безопасности. Да, к сожалению, при постинге, видимо, нажал куда-то не туда, поэтому ссылка осталась только в тексте, а ведёт почему-то на сам топик. Вот кликабельная, чтобы было удобнее скачивать: А был ли x7mz человек с рэндомным ником? На момент поста изменений в коде ещё не было. Они появились час назад , в такой спешке, что оказались с не компилябельной ошибкой исправленной через пол часа. А поскольку пользователи могут безопасно проверить равенство ключей только находясь географически рядом друг с другом, можно достаточно легко осуществлять MITM атаки при условии, что пользователи находятся не рядом например, определяя их положение по базовым станциям, к которым они на данный момент привязаны. Вряд ли кто-то будет отправлять друг другу скриншот картинки по ещё более защищённому соединению да и вообще какой процент пользователей будет сверять картинки даже находясь рядом с собеседником? Представьте, что вы находитесь на Марсе, и доступ к интернету на Земле целиком осуществляется через один спутник. Если вы раньше никогда не были на Земле никакой заранее запасённой информации , и у вас нет никакого канала доступа туда наблюдением в телескоп пренебрегаем , то вы никогда не узнаете, настоящий ли интернет вам подсовывает спутник. Так же и здесь. Поэтому ключи нужно сравнивать обязательно. Удобнее всего создавать секретный чат, когда вы находитесь рядом с собеседником. А теперь учтите тот факт, что собеседники может быть никогда рядом не будут, а также тот факт, что ключи генерируются временные. Представляете, сколько проблем принесёт сравнение ключей каждый раз? Тогда можно использовать любые другие доверенные независимые каналы информации. В любом случае, без наличия альтернативного доверенного сервера или канала передачи эта задача не решается. Тем не менее, мы планируем в будущем улучшить механизм секретных чатов, чтобы упростить эти проверки и уменьшить их количество. Наверняка можно придумать вариант чекера, который отсеивает всякие подписи и проверяет именно бинарник конечно, потребуется воссоздание среды компиляции и т. Версия под iOS шифруется под конкретного клиента, но желающие могли бы снимать образ из памяти и сверять с эталоном. Вопрос немного не по теме, но, думаю, в этой теме люди знают ответ. У телеграм принципиальная архитектура в перспективе как у Jabber-а — распределённые серверы? Или всё заточено на конкретный сервер? Про то, что серверное ПО недоступно, я знаю, но это вопрос решаемый,. Пока там аналог WhatsApp с привязкой к номеру телефона, который и есть адрес пользователя. Действительно, выглядит все так, будто Телеграмовский алгоритм никто до этого вообще не проверял, включая самих разрабов, не имеющих в крипто-области нужных знаний. Будто сочиняли его как-то так — а давай пароль в MD5 завернем, а сверху еще SHA накатим, никто ж не расшифрует! А когда предложили приз, и каждый второй начал указывать на дыры в протоколе, началось судорожное исправление при этом с попутными косяками , что фактически означает изменение условий самого конкурса. Знаете, читая протокол, его автор не выглядит глупым. Например, используются криптоголоволомки для защиты от DoS при этом их смысл не поясняется — решение стандартное, но его нужно знать. При этом, почему в DH был такая серьезная уязвимость — не понятно, если считать её ошибкой. Мне и aabc тоже обещали утешительный приз: Я даже сделаю вид, что в упор не вижу ошибку, но — недавно писали про ловушки конкурсов , и многие не верили, что между внушительным призом и защищенностью быстро поставят знак равенства. Не пойму, человеку за нахождение уязвимости заплатили обещанные долларов или сколько вы обещали или нет? Эта уязвимость, формально, не является частью протокола. В их официальном описании протокола есть ссылка на Диффи-Хеллмана из википедии, где подробно не написано, как валидировать данные. У них в клиенте тоже была допущена ошибка и данные валидировались не все. А вот та версия Диффи-Хеллмана, которая была до поста x7mz действительно содержит закладку именно на уровне потокола. Разве это не уязвимость? По описанию уязвимость протокола, клиентов от сервера. И даже если эта часть не описана в протоколе явно, это уязвимость базового алгоритма. И эта уязвимость тоже не подходит под условия конкурса. Тем не менее, вроде бы говорили, что наградят? Тоже интересно было бы узнать общий бюджет намайненных уязвимостей в Telegram и у кого из зарплаты будут их вычитать. Это уязвимость конкретной реализации официальной. Отличие в том, что если некий Чак Нориис от программирования напишет без единого бага клиент по протоколу до поста x7mz — он всё равно будет уязвим. А после — возможно, уже нет. Они уже написали, что по таким мелким багам формализуют критерии оценки находок: Если я не Чак Норрис напишу клиента по описанию протокола, он будет уязвим. Так что уязвимость протокола пока не внесено исправление в документацию. Ждем когда они решат во сколько оценивать. В протоколе не написано и про то, как правильно рандом инициализировать. Тем не менее, в официальном клиенте это сделано. Сейчас Вчера Неделя Нет, у меня нет сторонних проектов, чтобы вам показать 28,9k Нет, у меня нет сторонних проектов, чтобы вам показать 28,9k Вашим пользователям не нужны пароли 40k Интересные публикации Хабрахабр Geektimes. Главы 7, 8, 9, 10 GT. Дайджест интересных материалов для мобильного разработчика 30 октября — 5 ноября. Инверсия зависимостей в мире фронтенда. Никто не знает, куда девается информация из чёрных дыр GT. Поприветствуем наших новых хозяев — роботов — глава вторая GT. Почему визуальное программирование и D3NE могут быть Вам полезны. Услуги Реклама Тарифы Контент Семинары.
Телеграмм закладка
Безопасен ли Telegram? Или как я искал закладку в MTProto
Telegram:@LEGRUS Форум легальных закладок спайса, порошков, реагентов.
Телеграмм закладка
Полезные и проверенные боты Telegram. Мега подборка.
Телеграмм закладка
Телеграмм закладка
CatalogTelegram
Правда ли, что он такой невзламываемый? И, кстати, что за грязные делишки вершатся в этом безопасном мирке закрытых чатов? Редакция SNC срывает все покровы. Первую часть досье SNC на Telegram читайте здесь. Никто не выигрывает — лишь сотня тысяч из призового фонда отправляется юзеру, который нашел уязвимость, но не смог прочитать переписку. Дуров не успокаивается и запускает новый конкурс: И опять не взламывают. Но айти-элита все равно не впечатлена. То, что победителей нет, ничего не значит: В феврале хакер Зак Аврахам заявляет, что смог перехватить сообщения на чужом смартфоне. То есть стоит взломать сервер Дурова — и ваши секретики узнают все. Весной некто взламывает аккаунты видных оппозиционеров — Георгия Албурова и Олега Козловского. И если кто-то говорит, что есть, то это вранье. И если текст эсэмэс не скрыт в настройках, пароль можно подсмотреть на экране телефона. Кстати, так иногда делают работодатели, когда допрашивают сотрудников — сразу говорю, это незаконно, но случается. Оставляешь, выходишь, а босс восстанавливает на компьютере все несекретные чаты. Обезопаситься — легче легкого: Более красивая техника связана с сим-картами. Злоумышленники делают поддельную копию вашего паспорта, идут с ней к оператору и просят поменять сим-карту. Злоумышленник получает копию вашей симки, а настоящая перестает работать, и вы теряете доступ ко всему. Он тем временем восстанавливает всю переписку несекретных чатов, а еще, например, Viber и WhatsApp. Сам я поступил так: Если что, он позвонит и спросит, действительно ли я хочу поменять сим-карту. Но все они теряют смысл, если симка больше вам не принадлежит. Если телефон заражен, не имеет значения, насколько защищен мессенджер. Вирус видит все, что происходит на экране, имеет доступ ко всей информации. В группе риска — пользователи Android. Но и в дуровском мессенджере регулярно проворачиваются темные делишки. Мутят их в основном любители и палятся быстро. Впрочем, человеческая глупость бесконечна, так что есть и телеграм-преступники. И меня как криминалиста это даже радует: На андерграундных форумах неизвестные предлагают прелестную услугу — аренду ворованных кошельков Web Money. С полным доступом к всему их содержимому. Плати двадцать баксов в месяц и пользуйся. Но травкой и курительными смесями через ботов приторговывают только так — редакция даже наткнулась на протокол судебного заседания по делу начинающего барыги. За чатом жриц любви, давясь поп-корном, следила вся прогрессивная телеграмная общественность. Ну и страсти же там творились: Поток женских слез разбавляли объявления о наборе прелестных наложниц арабскому шейху до 18, от , черные списки недобросовестных клиентов и умилительные разговоры за жизнь. Прикрылась лавочка внезапно — после статьи на Life. А как искать новую инкарнацию чудо-чата, редакция не знает. Находится в одной когорте с сервисом по взлому аккаунтов и хитрым оборудованием для рассылки телеграмного спама. Доступ открыт не всем, но при минимальных программерских скиллах влезть можно. Хотя бы из антропологического интереса. Напоминаем тем, кто пропустил новости: Подозреваем, что гордый Дуров сотрудничать не станет. Популярное Тесты читайте нас в социальных сетях. Шнуромер, или сколько в вас Сергея Шнурова? За неделю Месяц Все время. Нет времени на весь текст? Как юзать Telegram без риска спалиться? Кто и зачем придумал, что смартфоны вызывают зависимость? Как защитить свою банковскую карту от мошенников. Илья Сачков, основатель агентства Group-IB и специалист по киберпреступности. Да мне и скрывать-то нечего. Нив какую безопасность нельзя верить! Мы против и еще раз против такого развития событий. И как-то сразу становится очевидно, что Борис этим солнечным утром никакого фэшна здесь не планировал. У него против фэшна предубеждения, чеснок и осины по периметру парка. Прийти туда, чтобы посмотреть на презентации, мог кто угодно. Почему получилось неожиданно хорошо и что вообще такое презентации? Сами раскраснелись, пока ставили этот материал, но что делать: Как отвечать, если вас просят дать характеристику, просим прощения, пенису. А что насчет прозвищ, их вообще стоит использовать? Общий прогноз 30 октября-5 ноября. Популярная статья shares Владимир Мединский: Выбор НЕредактора Бьюти-дневник звезды Просто выспалась 5 вопросов к банке крема Цена имеет значение Нарисовались 1 новинка — 2 мнения О проекте.
Где купить кокаин в амстердаме
Телеграмм закладка
Курительные смеси купить в москве
Без палева: все, что вы хотели знать о Telegram и безопасности
Телеграмм закладка
Telegram DrugsKlad магазин закладок, работаем во многих городах, в нал ...
Телеграмм закладка
Как выглядит закладка с солью фото
Как продают наркотики через Телеграм
Телеграмм закладка