Телеграм so cool so libertarian

Професійно працюю з меседжингом вже понад 15 років.

Ми ставили меседжинг для банків, healthcare, спортивних клубів, останній значний проект — кастомізували, доробили та встановили self-hosted Signal сервер для великих корпорацій.

Декілька тез:

  • Сучасні меседжинг системи це завжди компроміс: зручність & функціонал VS сек’юрність. Було і є декілька децентралізованих повністю сек’юрних месенджерів, але вони не виживають. Не тому що їх знищили спецслужби, а тому що юзерам незручно, і попит на сек’юрність не настільки великий щоб юзери були готові платити грошами та комфортом.
  • Простий приклад — push notifications. Всім зручно та звично що коли вам хтось напише повідомлення, ви побачите в себе в нотіфікейшенах цитату з цього повідомлення навіть якщо месенджер наразі не запущений. Юзерів не хвилює що ці тексти повідомлень майже відкрито йдуть через зовнішні сервіси Apple та Google. Всі більш сек’юрні варіанти ведуть до незручностей: або нотіфікейшен без цитати, або батарея смартфону швидше садиться / він більше гріється тому що використовується кастомний пуш сервер, що не підтримується ОС.
  • Я можу навскидь надати 10-20 таких прикладів там де пересічний користувач між безпекою та зручністю завжди обере зручність.
  • Всі хто дійсно хочуть сек’юрний меседжинг розуміють, що за це треба платити і володіти сервером. Не існує безкоштовної сек’юрності.
  • Найбільш сек’юрним месенджером з широко доступних є Signal. Ще краще запустити свій сигнал сервер з підтримкою Intel SGX, а також зі своєю реалізацією пушів, своїм TURN сервером тощо. Ми вміємо це робити, але таких компаній або інженерів що вміють це робити буквально 20-30 на весь світ. На форумі open-sourсe версії Signal майже тихо, хтось напише питання раз на декілька місяців, а відповідей ще менше. Не тому що це rocket science, а тому що мало попиту.
  • Сервер Телеграм не є опен-сорсним. Ніхто не може перевірити наскільки він сек’юрний, на відміну від Signal, будь-якого XMPP серверу (Ejabberd, Tigase, Openfire, Prosody), Matrix або Mattermost.
  • Так само WhatsApp, FB Messenger, Viber тощо — жоден з них не надає опен-сорсний сервер, але вони популярні тому що зручні та розкручені. Особисто я коли користуюсь месенджерами просто вважаю що за потреби моє листування можуть читати відповідно ЦРУ (WhatsApp, FB Messenger), ЦРУ, Моссад та японська розвідка (Viber), а також ФСБ (Телеграм). N.B.: з Signal в стандартному консьюмерському варіанті (публічний сервер) також є вірогідність доступу ЦРУ, але в мене немає секретів від ЦРУ або Моссаду, тому я вважаю прийнятним користуватися WhatsApp та публічним Signal. Якби були, я б користувався своїм меседжинг сервером.
  • End-to-end encryption існує, але коли де-факто в розробника контроль над додатком без регулярних зовнішніх аудитів коду, особисто я для себе не вважаю що це якимось чином покращує сек’юрність.
  • Конкретно з телеграмом є досвід, наприклад, опозіционерів з Білорусі яким гбшка показувала повністю роздруковані ТГ чати, що були давно видалені. Сам Дуров підтверджував, що сервер в них не сек’юрний. Сподіватися що з вами цього не відбудеться тому що ви знаєте як використовувати секретні чати і ретельно будете відстежувати піктограми жабок та собачок на екрані і ігнорувати що ваш end-to-end знаходиться всередині вже скомпроментованої платформи, як на мене це інфантилізм.
  • Телеграм не дорівнює свобода слова. Можна сказати що як платформа він фасілітує iснування каналів, що можуть надавати інформацію швидше та менш цензуровано ніж ЗМI. Але канали без проблем закриваються по запиту від law enforcement, тобто це дуже неповна і централізовано контрольована свобода слова.
  • Телеграм не має нічого спільного з лібертаріанством. Це централізована платформа з непрозорою структурою власності та governance. Ви не можете провести аудит коду або запустити свій сервер. Платформа та її токен розкручуються на гроші російських олігархів. Токен платформи не керується відкритим комітетом або DAO. Все це не має нічого спільного з лібертаріанством.
  • Якщо ви не платите за свій сервер і ваш месенджер не Signal — в вас немає сек’юрних комунікацій.
  • Не шукайте лібертаріанства та сек’юрності в популярних централізованих платформах. Там його не буде by design.
  • Хочете сек’юрних комунікацій та лібертаріанства — (1) готуйтеся платити грошами та комфортом; (2) запускайте свій меседжинг сервер на Signal, на одному з XMPP серверів (рекомендую Ejabberd), Matrix тощо. Або будуйте свій гіпертекстовий квантовий фідонет.

Доповідь закінчив.

👍ПодобаєтьсяСподобалось15
До обраногоВ обраному2
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Доречи у коментах правильно написали що ще одна важлива тема у статті не розкрита — це анонімність.
Якщо навіть месенджер підтримує повну анонімність — він усе одно має якось авторизувати користувачів. Будь яка прив’язка до телефону, відбитку пальця, лиця чи акаунта у соцмережах — фактично знищує анонімність. Єдине що залишається — старий підхід з юзернеймом та паролем.
І, на жаль, пароль має бути доволі складним + вводити його доведеться доволі часто. У випадку мобільного телефону — майже на кожне повідомлення. Бо інакше доступ до листування можна буде отримати просто розблокувавши телефон чи комп’ютер (відбитком мертвого пальця).
Висновок простий: враховуючи великі вимоги до безпеки — найкраще рішення це мати окремі девайси для роботи і для розваг. Чи можна ще назвати їх «приватний» та «публічний».
На «публічному» девайсі можна користуватися усіма зручними месенджерами, соціалочками, браузерами, ставити ігри чи інші аплікухи. Але весь час розуміти що фактично уся інформація на цьому девайсі не-анонімна і доступна усьому світу. Не робить нічого, чого б ви не зробили коли сусід (босс, мама) вам дивляться через плече.
«Приватний» девайс навпаки — ви дістаєте тільки аби зробити щось секретне. Уся інформація на ньому — зашифрована, стоять тільки надійні аплікейшини, усі потребують пароля чи як мінімум «фігури» (а краще ще + голосові паролі) на телефоні, ніщо не розблокується само відбитком пальця чи лиця. Треба також розуміти що якщо на приватному девайсі ви використовуєте номер телефону чи підключили банківські рахунки — то про анонімність вже можна забути.
Тому якщо вже треба вести якісь не дуже легальні справи — то для цього краще мати окремий «анонімний» і в ідеалі — «одноразовий» девайс.
Ще важливо зрозуміти що сучасні потужності дозволяють дуже легко відстежувати будь-які залежності. А спецслужби апріорі мають доступ до усіх сертифікатів, які дозволяють перехоплювати навіть шифровані повідомлення. Тому навіть за усієї анонімності викрити вас може, наприклад, захід на якийсь не дуже популярний сайт, соціальну сторінку чи плейлист. Якщо цей інтернет-ресурс відвідує менше 100 людей на день — це вже робить вас одним з 100, а не одним з міліардів. Пара таких помилок + декілька заходів в інет з одного місця — і AI зробить на вас «досьє», яке звузить коло «підозрюваних» вже до десятків людей.
Отже сховатися в мережі зараз у будь-якому випадку складно. Комп’ютери зараз можуть слідкувати за кожним — потужностей вистачить. З іншого боку більшість людей потрібні іншім людям(!) не більше ніж той «невловимий Джо». А оскільки рішення приймають тільки люди — то навіть знаючи про усіх наркоторговців чи сутенерів в інтернеті зловити усіх — не вистачить ніяких агентів.

Відкрив колись signal — реєстрація по номеру телефону. Закрив signal. Який він нах секьюрний якщо не можливо користуватись анонімно?
Я як пересічний користувач розумію що telegram не секьюрний, але там важливі для виживання унікальні канали. Тому юзаю.

гіпертекстовий квантовий фідонет

До речі!

Точно, розчехлити binkd, прикрутити до GoldEd шифрування gpg і ось, секюрний майже чат :)

А ще краще — IP-BBS підняти і там чатитись :)

і список поїнтів у сісопа в блокнотику (лексика взята з популярної літератури, сам хоч і застав хронологічно, але не приймав участь технічно)

Ну взагалі-то ФІДО так і звали «мережа друзів». Бо аби підключитися треба було познайомитись як мінімум з однією людиною яка буде твоїм «нодом». Тому ФІДО тусовка регулярно зустрічалася офлайн і пила пиво. Про анонімність у ФІДО було дуже важко казати бо заходили переважно з домашніх телефонів.

О, так. Фідопойки були найпопулярнішими сейшинами тодішніх ІТ-шників.

А на деякі, наприклад, Ліманівкі (щорічні сейшини на ДН Вови Лімана, нет-координатора київської мережі ФІДО) з’їзжались ІТ-шники не тільки з усієї України, а й із-за кордону. Це був такий собі офф-лайн ДОУ тих часів, тільки без цензури і з пивом.

Викинь ту літературу. Пойнт-ліст, як і нодліст велись в комп’ютері, а загальносвітовий нодліст ще й створювався ієрархічно і розповсюджувався централізовано.

Тепер уявіть що ви з друзями поставили і налаштували власний 100% безпечний месенджер із непробивним шифруванням та авторизацією.
Ніякі спецслужби тепер не можуть читати ваш чат ... але вони можуть легко відстежити групу людей які поставили собі і користуються таким кастомним софтом!
Отже використовувати таке — це як ходити по вулиці з панчохою на голові. Ви ще не робите нічого протизаконного — але майже напевно привернете до себе увагу.

Не бачу нічого страшного в привертанні до себе уваги :-D

Найбільш сек’юрним месенджером з широко доступних є Signal.

Де лише цього року(!) ввели можливість приховати власний номер.
До цього, якщо ви вступали в будь-який чат, кожен(!) міг(!) переглянути номер телефону(!) кожного(!) учасника чату.

Уявіть собі чат, куди залітає ворожий агент і всіх бере на карандаш. Чотири роки просили цей функціонал.

Сервер Телеграм не є опен-сорсним. Ніхто не може перевірити наскільки він сек’юрний

Спеціалісти з безпеки перевіряли алгоритми шифрування в коді десктопного клієнта, що на гітхабі, котрі комунікують з бекендом. Нічого вразливого не знайшли. Телеграм не використовує самописних алгоритмів шифрування, до котрих могли б бути питання.

але в мене немає секретів від ЦРУ або Моссаду

Я розумію, коли таке може писати студент першого курсу, проте не розуміти всі можливі наслідки:

NSA staff used spy tools on spouses, ex-lovers: watchdog
www.reuters.com/...​s-watchdog-idUSBRE98Q14H

In one instance in 2005, a military member of the NSA queried six email addresses of a former American girlfriend — on the first day he obtained access to the data collection system. He later testified that “he wanted to practice on the system” and gained no information as a result of his queries.
---
An investigation found the man abused NSA databases from 1998 to 2003 to snoop on nine phone numbers of foreign women and twice collected communications of an American, according to the inspector general’s report.
---
According to the report, a female civilian NSA employee snooped on her husband’s phone conversations after looking up a foreign number she found on his phone because she suspected him of cheating.
Yet another civilian employee, caught abusing the system by looking up the phone numbers of various foreigners she met socially, said she wanted to ensure she was not talking to “shady characters.”

Чотири роки просили цей функціонал.

Оце мені цікаво. Як з отаким у DAO справи обстоятимуть?
Чи можна буде автоматизувати процесс додавання нових кілер фіч на вимогу спільноти?
Тобто — після вдалого голосування за додавання кілер фічі — всі ці грошики — бо голосування проводилося у грошиках, за грошики — тобто грошиками голосували — всі ці грошики переводяться на рахунок біржі фрилансерів щоб кілер фічу імплементувати до існуючого функціоналу. За ці зібрані кошти.

але в мене немає секретів від ЦРУ або Моссаду

Анекдот про неуловимого Джо знаете?

Доповідь закінчив.

Доповідь залікова, дякую автору!

Чи існує гарний open source децентралізований месенджер? Всі повідомлення щоб криптувалися, але на запит будь яких спец служб можна було б розкривати зміст, якщо вся спільнота чи значна більшість погодиться. DAO governance

на запит будь яких спец служб

.. у вигляді умовного паяльника у дупі.

Ніт. Воно або секьюрно, або позбавлено сенсу і можна користуватися просто притомним месенджером з публічно доступних.

Не ніт. Оскільки це питання критичне для існування цивілізацій. Ніхто не має жодного права на повну приватність — тобто від усих. Часткова — можливо, але не повну — тобто від спецслужб.
Інакше складати конституції чи кодекси не матиме ніякого сенсу, бо порушуватимуть всі.
Якщо вам потрібні злочини чи злочинці — скажіть про це прямо.
Бо заборона повної приватності це якісний засіб боротьби з ними.
До того ж — я пропоную піти далі: якщо спільнота вирішила відкрити записи когось то це відкриття буде у паблік — тобто — для всіх доступне для читання чи дослідження.

Підписатись на коментарі