У нас есть точные факты, а именно, что Дурова выпустили из России. Дал он ключи от телеграма или нет – неизвестно, но вероятнее всего дал, так как шпионов, использующих телеграм, ловят. А потом его прихватили во Франции и тоже отпустили. Дал он ключи от телеграма французам или нет – неизвестно, но вероятнее всего дал. И это всё значит, что ключи от телеграма уже не секрет.
А что на счёт нашего родного макса? Кто его создал? У кого есть ключи? Могут ли ключи со временем попасть в недружественные страны? Если макса поднимают до государственного уровня, то насколько серьёзно и каким образом охраняются ключи? Не так как базы наших данных в банках? Вопросов много, а кто знает примерные ответы?
Использованные источники:
Комментарии
не благодарите
Равиль
Понимая необходимость доверенного российского мессенджера, я произвел анализ безопасности мессенджера МАХ.
Анализ был проведен в виде экспертного опроса.
Привлекались 4 эксперта:
1. Мои сотрудники (в форме коллективного эксперта). Которые написали и поддерживают наш собственный мессенджер.
2. Сотрудник одной из известных российских фирм, работающих в области кибербезопасности.
3 и 4. Два авторитетных эксперта в погонах. Работающие в двух трехбуквенных российских организациях.
_
Выводы всех четверых полностью совпали:
_
Юридический аспект:
Владельцем МАХ является обычная мутная ОООшка
Ни о какой "доверенности" и "государственности " речь не идет в принципе.
Разработчик и владелец прямо указывает, что никаких гарантий конфиденциальности он не дает.
Как и любое ООО, ответственность может быть только в переделах оговоренной суммы.
Для владельцев МАХ это 100 млн. руб.
Меньше стоимости 1 (одного) танка Т-90 или знаменитой квартиры имени Кудельман-Лурье.
_
Никакие государственные органы РФ не гарантируют конфиденциальность инфы, передаваемой через МАХ.
_
Как и любое ООО, владелец МАХ может быть ликвидирован в течение суток.
Огромный массив информации (включающей данные по доступу к Госуслугам большинства населения России) окажется в неизвестных руках.
_
Технический аспект:
Код мессенджера написан крайне непрофессионально.
Можно сделать уверенный вывод о крайне низкой компетентности. Как команды разработчиков, так и руководителя этой команды.
Это выражается в том, что в коде используются огромные блоки, вытащенные из кода других известных продуктов.
Используемые блоки кода, однозначно, содержат известные уязвимости и закладки.
Уязвимости широко обсуждались в профессиональном сообществе.
Блоки используются в виде бинарных файлов, что исключает возможность разработчиков МАХ как-то на них влиять. Или парировать уязвимости.
_
Мой комментарий: меня удивило, что образцы исходного кода есть у всех экспертов. Это обсуждалось мельком, как само собой разумеющийся факт.
_
Оперативный аспект:
Сразу, после анонсирования МАХ как официального мессенджера, разведорганы противника начали массовую работу по его взлому и по получению доступа к информации, передаваемой через МАХ.
С учетом вышесказанных аспектов, есть серьезная вероятность того, что работа успешно завершена.
_
По итогам опроса, я категорически запретил установку и использования МАХ моими подразделениями.
https://aftershock.news/?q=comment/19693624#comment-19693624
https://aftershock.news/?q=comment/19693636#comment-19693636
Понимая необходимость доверенного российского мессенджера, я произвел анализ безопасности мессенджера МАХ.
Анализ был проведен в виде экспертного опроса.
Привлекались 4 эксперта:
1. Мои сотрудники (в форме коллективного эксперта). Которые написали и поддерживают наш собственный мессенджер.
2. Сотрудник одной из известных российских фирм, работающих в области кибербезопасности.
3 и 4. Два авторитетных эксперта в погонах. Работающие в двух трехбуквенных российских организациях.
_
молодец, кучу навалил. держи желудь.
недавно выполз из запукровских лесов?
не думаю, что всё так запущено...
Никакой конкретики, одни общие слова, вообще можно не обращать внимания.
а кто вам дал право призносить русское название мах во вражеской транскрипции- макс?
Кто даст правильный ответ, тот получит 10 лет! (С)
Из общих соображений - при правильном с точки зрения "и нашим и вашим" (закрытые ключи пользователей у Макса есть, но хранятся
на бумаге в сейфена отдельной не подключенной на чтение к общей инфраструктуре системе и выдаются товарищу майору по официальному запросу поштучно) шифровании надежность довольно высокая.А что там они делают на практике? Кто знает...
Дал маху - отправил сообщение в мах
Есть еще одна маленькая проблемка:
Макс делали какие-то левые
скаклывыходцы из 404 на аутсорсе. Видимо, те же самые что и в вк сидят.Я-то по дурке, сначала подумал, что его делали нормальные, вменяемые люди как гос. заказ. А потом почитал всякое и понял, что буду сидеть в телеге (просто потому что могу).
Надо будет искать крайний вариант, джаббер никто не отменял, бгг...
О, оказывается телеграмм-скачки еще не сдохли. Вперед. Кто не скачет - тот за Макс!
А кто такой Макс?
А ваш начальник, Подоляк, разве не скачет? Он как раз просит РКН не останавливаться и заблокировать телегу полностью.
"Никакие государственные органы РФ не гарантируют конфиденциальность инфы, передаваемой через МАХ."
Во всех остальных - 100-процентная гарантия от ГосДепа.
Эти парни гарантируют.
Во всех остальных нет данных для аутентификации на госуслугах.
И?
И утечку моего номера телфона я легко переживу, он и так лет 15 назад во все базы попал, а утечки аккаунта госуслуг я не хочу.
это, конечно, возмутительный поклёп:
https://m.vk.com/wall-54236151_107707?ysclid=mlku8ir1uy81063212
Эту клюкву давно разобрали, не плодите чушь.
Кто и где?
Какой то бред, ну укажите сервер в пиндосии. А так все какая то лабуда для лохов.
Вопрос в перехвате трафика.
Европейские сервера телеги находятся в лондоне. И те кто имеет зарытые ключи от телеги имеют полный доступ КО ВСЕЙ переписке телеги если у них есть доступ к лондонским серверам. По крайней мере той части что идет через Лондон.
Наши могут рашифровывать (если есть ключи) только тот трафик телеги который бегает внутри страны. Это не весь трафик.
Сервера Макса в РФ. Соответсвенно наши могут читать весь его трафик.
А что могут читать западные спецслужбы даже имея закрыты ключи от Макса?
Что-б читать все им нужен либо доступ с серверам в РФ, либо они должны как-то зеркалить весь трафик Макса.
Меня тоже удивило) И где интересно "эксперты" нашли исходники? Я тоже хочу на них посмотреть)
Вы сейчас занялись дискредитацией ФСБ , ГРУ и её генералов? Серьёзно?
У автора помимо ДВУХ человек в погонах былъа еще и куча других экспертов. И судя по тексту - у всех у них были исходники)
Как эксперты определили что это код из других продуктов если они не знают что это за "другие продукты"?
хто вам нашептал, что они не знают, что это за продукты?
А сорян, зрение подводит)
ИЗВЕСТНЫЕ продукты)
Но все равно, пассаж про бинарники и код из известные продукты больше напоминает что в коде использованы стандартные библиотеки.
Так их извините все используют)
И да, они могут быть "дырявыми".
Он пока ещё есть ))
ООО "Коммуникационная платформа", дочерняя компания VK. Разработан предположительно на базе мессенджера tamtam от Mail.ru, которая теперь тоже в VK, но это неточно.
Согласно требованиям российского законодательства - у создателя, оператора и ФСБ.
В этом мире может быть всё )) Там их распечатают и повесят на стену. Будет красиво.
Как и все сертификаты безопасности для публичных сервисов, подключённых к ГИС и занимающихся обработкой персональных данных, то есть в соответствии с требованиями, установленными ФСБ.
Ответ один: заходить в ГИС и прочие сервисы, минуя различные мессенджеры и не привязывая их к тем же Госуслугами и своим ЭЦП, постоянно помня при этом пункт 9.4.4 лицензионного соглашения того же MAX:
Лучше избегать двух российских крайностей "бережёного Бог бережёт" и "и на старуху бывает проруха" ))
Это иногда очень нетривиально и неочевидно. Госуслуги на телефоне сейчас предлагают по-умолчанию только вход через мах, все другие варианты отключили, а чтобы включить, надо зайти с компа и что-то где-то настроить, но об этом нигде не написано. Простой обыватель, не технарь, просто решит, что других вариантов нет.
Если пользователь привязывал MAX к Госуслугам, то отключить это можно только в настройках безопасности в профиле. Я не привязывал, вход как происходил до установки MAX, так и происходит после установки через четырёхзначный PIN (при запуске приложения появляется экран "Введите код"):
От этого предложения
отказался. В настройках Госуслуг опция "Вход через MAX" отсутствует. В остальном согласен, путаница присутствует и удобств не добавляет.
Спасибо, всё по делу!
А как он это определил? У него есть доступ к СЕРВЕРАМ Макса? Без доступа к ним невозможно понять куда зеркалят трафик. Если вообще зеркалят. Ну либо нужен доступ к сети в которой живут эти сервера.
> Дал он ключи от телеграма или нет – неизвестно, но вероятнее всего дал
Что будет с этими ключами после обновления телеги?
Это разные ключи.
Есть закрытый ключ на вашем смарте, а есть ключи на серверах. Через серверные ключи можно получить доступ например к бэкапам всей вашей переписки.
Дуров заверяет что получить доступ к переписке и бэкапам "невозможно архитектурно" - но кто проверял?
В любом случае вся ваша переписка хранится на серверах телеги. Во первых для восстановления переписки если вы сменили смарт, а во вторых - эта переписка должна там храниться по законам ЕС, США, Британии, РФ...