Как спрятаться в мессенджере от ФСБ

Оппозиционеров уже взломали
04/05/2016 - 22:07 (по МСК) Лиля Яппарова
Поддержать ДО ДЬ

Продолжает развиваться конфликт оппозиции и сотового оператора МТС. Во-первых, пресс-секретарь Алексея Навального Кира Ярмыш рассказала о том, что в ночь на 29 апреля с ее аккаунтом в Telegram происходило то же самое, что и с аккаунтами активиста Олега Козловского и главы отдела расследований ФБК Георгия Албурова. Их аккаунты взломали по смс: то есть перехватили у МТС сообщение с кодом и использовали этот код для входа в мессенджер.

Козловский и Албуров утверждают, что сообщения с кодом перехватили с ведома МТС, потому что именно на время взлома оператор отключил на их номерах смс-сервис. Оппозиционеры даже сделали в интернете страничку с большой красной кнопкой «Уйти от МТС».

Оператор все отрицает, ссылаясь на вирусную атаку. Но 4 мая Козловский и Албуров опубликовали доказательства того, что МТС отключала им услугу по собственной воле — это просто счета от МТС, где видно, что смс-сервис все-таки отключали.

То, что 29 апреля перед рассветом происходило на мобильниках Козловского, Албурова и Ярмыш, разобрали уже очень подробно — в конце концов, взломщики оставили очень много следов.

Сначала хакеры скопировали сим-карты Албурова и Козловского. Павел Дуров в разговоре с изданием TJ предположил, что дубликаты симок были сделаны по поддельным паспортам. Потом включили у себя в браузере анонимайзер Tor может быть, даже просто нажали такую кнопку с луковкой, и решили, что спрятались. 

В 2:30 ночи МТС отключает Козловскому и Албурову сервис доставки смс — то есть всего остального, что происходило с их аккаунтами, оппозиционеры уже видеть не могли. И как раз когда услуга перестает работать, кто-то, защищенный анонимайзером Tor, отправляет в Telegram запрос на авторизацию двух новых ненастоящих Албурова и Козловского. Telegram в ответ шлет смс с кодом авторизации.

Сам Олег Козловский предположил у себя в фейсбуке, что эту смску могли просто передать взломщикам, «по звонку из «компетентных органов»».  В три ночи хакер вводит код авторизации, заходит в аккаунт, скачивает переписку   и выходит, почти не убрав за собой.

К пяти утра МТС снова начинает присылать Козловскому и Албурову смски. Почему той ночью эту услугу вообще отключали, оператор объяснять сначала отказывался а потом сослался на вирусную атаку или проникновение, цитата, «через веб-интерфейс».

Независимый эксперт по информационной безопасности Михаил Егоров считает, что компания МТС, скорее всего, все-таки приложила руку к взлому: атака совершенно не выглядит как атака извне. Для профессиональной команды хакеров оставлено слишком много следов и скопировано слишком мало информации. Профессионал пробил бы маленькую незаметную брешь и достал оттуда по максимуму пользовательских данных, чтобы продать. Сам метод копирования симки прекрасно известен как раз среди взломщиков банковских приложений.

Михаил Егоров считает, что взлом в таком стиле стал возможен из-за уникальных отношений российских операторов связи и российских силовиков. Если упрощать, то приложения ломаются практически из офлайна: злоумышленник должен убедить устройство, что он — это вы. И чтобы перевыпустить вашу симку, можно, конечно, заморочиться и достать поддельный паспорт, но гораздо проще это сделать, воспользовавшись служебным положением.

Апрельская атака, говорят эксперты, проведена топорно, но игнорировать такие нельзя. Именно с взлома аккаунта начинается любая атака на мессенджер. И сейчас большинство почт и соцсетей проводит авторизацию по номеру телефона. В этом апреле, например, взломали всех, кто изучал «панамские архивы» взломали точно так же: дубликаты сим-карты плюс ламерский Тоr.

Cоздатель Telegram Павел Дуров в переписке с главредом «Эха Москвы» Алексеем Венедиктовым предположил, что российские спецслужбы решили начать давить на операторов связи, чтобы те перехватывали коды авторизации: «Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимов: средняя Азия, иногда Ближний Восток».

Эксперт по информационной безопасности Николай Клендар, который по основному образованию специалист по «противодействию техническим разведкам», то есть по прослушке, не уверен, что во взломе обязательно участвовали силовики. Вообще-то телефон мог быть заражен вирусом. Козловский, Албуров и Ярмыш на это пока, правда, не жаловались. А если не вирус, то, как считает эксперт, остается только один вариант: смс-канал оператора кто-то контролировал.

Хотя злоумышленники и получили доступ к аккаунту, они не смогли бы узнать содержимое секретных чатов. В секретных чатах в Telegram при шифровании используется технология end to end, то есть ключ, которым шифруется переписка, создается конкретно на вашем телефоне. Сообщения передаются через сервер, но держать их там смысла нет — все равно не расшифруешь. Хотя вообще то мы ничего не знаем о том,  как хранится наша переписка на серверах Telegram —  дело в том, что серверную часть своего кода разработчики никому не показывали. И внешнего аудита там еще никто не проводил.

Но в событиях той апрельской ночи, когда взломали аккаунты оппозиционеров, Telegram вообще не виноват — по сути дела злоумышленники так и не нашли у мессенджера никакой уязвимости. Как говорят эксперты, уязвимость нашли в политике оператора связи. Дошло до того, что директора департамента информационной безопасности в МТС Сергея Прадедова как бы попрекают его собственным резюме: там нашли пятилетнюю службу в ФСБ. Это, конечно, мелочь: российский Ростелеком, прямой наследник советских связистов, редко когда можно было упрекнуть в недостатке лояльности. 

Фото: DepositPhotos 

 

*По решению Минюста России Некоммерческая организация «Фонд борьбы с коррупцией» включен в реестр СМИ, выполняющих функции иностранного агента.

Другие выпуски