Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?

0
64

Взаимоисключающие параграфы

Довольно странная история
развернулась вокруг защищенного мессенджера Signal: несколько экспертов по безопасности объявили об
обнаружении в нем серьезной проблемы, которая при определенных условиях может
раскрыть личность конечного пользователя. Создатели Signal заявили, что проблемы не существует. Более того,
издание BleepingComputer
сначала опубликовало масштабный материал по поводу происходившего, а затем
удалило публикацию в связи с противоречивостью поступавшей информации.

Мессенджер Signal считается одним из самых
защищенных на рынке. О нем крайне
лестно отзывался Эдвард Сноуден (Edward Snowden), многие специалисты по безопасности считают, что
лучше Signal
приватность пользователей не защищает никто.

Signal
запрещен в нескольких государствах с особо авторитарными режимами. В их числе
Иран, где трафик мессенджера блокируется под предлогом «нелегального контента».
Реальная причина, скорее всего, заключается в его сквозном шифровании, не
позволяющим перехватывать чужую переписку. При этом непонятно даже, какой орган
власти постановил блокировать данный мессенджер.

Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?

Недопонимание ставит под угрозу анонимность пользователей Signal в Иране

Создатели Signal обратились к
пользователям в Иране с предложением создавать локальных TLS-прокси, используя код, опублиованный в
официальном репозитории на GitHub. Это, дескать, помогло бы обходить
правительственные ограничения. В идеале речь шла всего лишь о запуске
пользователем нескольких команд на локальном устройстве.

Отследить к пользователю

Двое исследователей,
известных как DuckSoft и studenmain, однако, заявили, что обнаружили ряд недочетов в этом коде, которые
позволили бы выявить запущенные прокси и отследить трафик к конечным
пользователям. Причина заключается в том, что туннель SSL/TLS разворачивается с сертификатом, раскрывающим IP-адрес и информацию в виде
открытого текста в поле ServerNameIndication (SNI). Подключение к прокси Signal потребует только доменное имя сервера.

ЧИТАТЬ ТАКЖЕ:  Google радикально меняет дизайн Android. Он станет похож на iOS. Фото

Цензору, перехватывающему
трафик, будут видны IP-адреса и индикатор SNI, совпадающий с наименование доменного имени. Если у цензора нет
уверенности, видит ли он трафик именно Signal, он может попытаться подключиться к этому прокси
самостоятельно — с подлинного или даже фальшивого клиента Signal, и удостовериться в его назначении.

Кроме того, прокси Signal принимает подключения
только с доменов самого мессенджера и, естественно, не примет подключения с Telegram и других
мессенджеров, что раскроет его природу.

Исследователей поддержали
некоторые из коллег и предложили Signal отдельные варианты исправления проблемы. Вот только в самом Signal заявили, что проблемы
не существует в принципе.

Нет никакой уязвимости?

«Миллионы людей в Иране
используют Signal. Любой сетевой трафик уже указывает на то, что они используют Signal. Но это не тайна! Это
всего лишь набор настроек для nginx. Разумеется, легко можно определить, что прокси —
это прокси, если подключиться к нему», — написал в Twitter исполнительный директор Signal Мокси Марлинспайк (Moxie Marlinspike).

ЧИТАТЬ ТАКЖЕ:  Россиянина выжили с поста главы миллиардного космического стартапа из-за конфликта с законами США

Гибридная рабочая среда вызывает привыкание
Бизнес

Самый защищенный месcенджер в мире обзавелся опцией, которая указывает на его пользователей властям Ирана?

Но этим дело не
ограничилось: мало того, что страница с баг-репортом на официальном репозитории
Signal в GitHub, так и сами DuckSoft и studentmain оказались там
забаненными. Причиной стало то, что они начали дискуссию о предполагаемой
уязвимости прямо там, а не на официальных форумах Signal, где это, с точки зрения компании-разработчика,
полагается делать.

Как впоследствии было заявлено
представителями разработчика мессенджера, дискуссия носила далекий от
вежливости и цивилизованности характер, что явилось нарушением правил поведения
на ресурсах Signal и послужило, как настоятельно уверяют представители Signal, основной причиной для санкций.

Любопытно, что редакция Bleeping Computer в итоге тоже удалила
исходную статью (она доступна только в кэше), сославшись на «противоречивость»
данных о проблеме.

«К сожалению, уже вне
зависимости от того, рассматривать выявленное обстоятельство в качестве
проблемы безопасности или нет, Signal оказался в щекотливой ситуации, поскольку
обвинения в попытке заткнуть рот неугодным тут не выглядят совсем уж
безосновательными, — полагает Анастасия
Мельникова
, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны,
указанные эксперты также высокого профессионализма не демонстрировали. В целом
это история про колоссальное недопонимание со всех сторон. Исследователи не смогли
подать информацию о баге как нужно, а вендор не захотел вникать и обсуждать
вопрос. Впрочем, уязвимости тут, похоже, и правда нет».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь