Дабы вбросить в вентилятор полезной информации, мы со специалистами компании Edison сделали подборку публикаций про Telegam и безопасные мессенджеры, чтобы пытливый читатель мог самостоятельно сделать вывод (а не получить «проплаченную» экспертизу) чему стоит доверять и чем пользоваться для своих целей. Про уровень доверия/желтизны СМИ предлагаю решить читателю самостоятельно.
Поток адекватной и неадекватной информации про безопасность коммуникации (и мессенджеров в том числе) растет и будет расти, и очень хочется, чтобы на Хабре можно было найти грамотную, независимую и понятную аналитику.
Какими критериями пользоваться для оценки безопасности мессенджеров, можно подсмотреть у борцов за цифровую неприкосновенность — Electronic Frontier Foundation (EFF). Кстати, вопрос, являются ли эти критерии исчерпывающими или нужны дополнительные (например, про маскировку метаданных)?
Чтобы повысить градус объективности и независимости, прошу высказаться в комментах тех, кто разбирается в вопросе по поводу безопасности мессенджеров.
На основе каких данных можно делать выводы?
«Информационная работа стратегической разведки» Вашингтон Плэтт
Electronic Frontier Foundation
www.eff.org/secure-messaging-scorecard
Организация Electronic Frontier Foundation (EFF) опубликовала серьезный аналитический материал (последнее обновление 2015-11-03), оценив степень безопасности и приватности мобильных и онлайн-мессенджеров. EFF присуждала участникам баллы, оценивая приложения по семи параметрам.
- Шифруются ли данные при передаче?
- Защищены ли данные от чтения сервис-провайдерами?
- Может ли пользователь удостовериться в подлинности личности своего собеседника?
- Защищена ли история переписки от расшифровки при перехвате текущего ключа (в этом вопросе подразумевается, что ключ шифрования должен постоянно меняться, а использованные ключи безопасно удаляться вместе с теми случайными данными, на основе которых они были построены)?
- Открыт ли программный код решения?
- Описаны ли детально используемые методы шифрования?
- Проводился ли за последние 12 месяцев независимый аудит безопасности?
Here are the criteria we looked at in assessing the security of various communication tools.
1. Is your communication encrypted in transit?
This criterion requires that all user communications are encrypted along all the links in the communication path. Note that we are not requiring encryption of data that is transmitted on a company network, though that is ideal. We do not require that metadata (such as user names or addresses) is encrypted.
2. Is your communication encrypted with a key the provider doesn't have access to?
This criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers). The keys should never leave endpoints except with explicit user action, such as to backup a key or synchronize keys between two devices. It is fine if users' public keys are exchanged using a centralized server.
3. Can you independently verify your correspondent's identity?
This criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised. Two acceptable solutions are:
An interface for users to view the fingerprint (hash) of their correspondent's public keys as well as their own, which users can verify manually or out-of-band.
A key exchange protocol with a short-authentication-string comparison, such as the Socialist Millionaire's protocol.
Other solutions are possible, but any solution must verify a binding between users and the cryptographic channel which has been set up. For the scorecard, we are simply requiring that a mechanism is implemented and not evaluating the usability and security of that mechanism.
4. Are past communications secure if your keys are stolen?
This criterion requires that the app provide forward secrecy, that is, all communications must be encrypted with ephemeral keys which are routinely deleted (along with the random values used to derive them). It is imperative that these keys cannot be reconstructed after the fact by anybody even given access to both parties' long-term private keys, ensuring that if users choose to delete their local copies of correspondence, they are permanently deleted. Note that this criterion requires criterion 2, end-to-end encryption.
Note: For this phase of the campaign, we accept a hybrid forward-secrecy approach with forward secrecy on the transport layer (for example through TLS with a Diffie-Hellman cipher suite) and non-forward-secret end-to-end encryption, plus an explicit guarantee that ciphertexts are not logged by the provider. This is a compromise as it requires trusting the provider not to log ciphertexts, but we prefer this setup to having no forward secrecy at all.
5. Is the code open to independent review?
This criterion requires that sufficient source-code has been published that a compatible implementation can be independently compiled. Although it is preferable, we do not require the code to be released under any specific free/open source license. We only require that all code which could affect the communication and encryption performed by the client is available for review in order to detect bugs, back doors, and structural problems. Note: when tools are provided by an operating system vendor, we only require code for the tool and not the entire OS. This is a compromise, but the task of securing OSes and updates to OSes is beyond the scope of this project.
6. Is the crypto design well-documented?
This criterion requires clear and detailed explanations of the cryptography used by the application. Preferably this should take the form of a white-paper written for review by an audience of professional cryptographers. This must provide answers to the following questions:
Which algorithms and parameters (such as key sizes or elliptic curve groups) are used in every step of the encryption and authentication process
How keys are generated, stored, and exchanged between users
The life-cycle of keys and the process for users to change or revoke their key
A clear statement of the properties and protections the software aims to provide (implicitly, this tends to also provide a threat model, though it's good to have an explicit threat model too). This should also include a clear statement of scenarios in which the protocol is not secure.
7. Has there been an independent security audit?
This criterion requires an independent security review has been performed within the 12 months prior to evaluation. This review must cover both the design and the implementation of the app and must be performed by a named auditing party that is independent of the tool's main development team. Audits by an independent security team within a large organization are sufficient. Recognizing that unpublished audits can be valuable, we do not require that the results of the audit have been made public, only that a named party is willing to verify that the audit took place.
[источник]
Топ-лист самых защищенных мессенджеров по мнению EFF:
- Chatsecure — это бесплатное iOS- и Android-приложение для обмена сообщениями на базе открытого кода с поддержкой шифрования. Разработчиком является Guardian Project. Мессенджер соответствует всем необходимым параметрам, предложенным EFF, гарантируя самую высокую степень безопасности и приватности (однако только при условии использования вместе с Tor-плагином Orbot на базе Tor).
- CryptoCat — открытый мессенджер с поддержкой шифрования, работающий с браузерами Chrome, Firefox, Safari и Opera, а также в качестве отдельного сервиса в Apple OS X и на iPhone. Этим летом разработчики CryptoCat занимались поиском спонсоров для разработки Android-версии и создания шифрованного видеочата — возможно, скоро «криптокот» появится и на этой платформе.
- Signal, RedPhone и Textsecure — продукты компании Whisper Systems, предназначенные, соответственно, для обмена сообщениями на iOS-устройствах, совершения конфиденциальных звонков с Android-устройств и переписки между Android-пользователями. Каждое из приложений имеет открытый исходный код и предлагает полное шифрование передачи и хранения данных.
- Silent Phone и Silent Text — сервисы безопасных звонков и обмена сообщениями от Silent Circle. Они, конечно, платные, зато совместимы с платформами iOS и Android, а также работают на традиционных ПК. Компания Silent Circle также разработала собственную модель защищенного от проникновения смартфона на базе модифицированной сборки Android под названием Blackphone. Также предлагается поддержка корпоративных клиентов.
- Telegram — бесплатный кроссплатформенный мессенджер, позволяющий обмениваться сообщениями и медиафайлами. В системе используется проприетарная серверная часть, работающая на мощностях нескольких хостинг-компаний США и Германии, и несколько клиентов с открытым исходным кодом (под GNU GPL). Для мессенджера был создан протокол MTProto, предполагающий использование нескольких протоколов шифрования. При авторизации и аутентификации используются алгоритмы RSA-2048, DH-2048 для шифрования, при передаче сообщений протокола в сеть они шифруются AES с ключом, известным клиенту и серверу. Также применяются криптографические хеш-суммы SHA-1 и MD5.
- Pidgin — мультипротокольный опенсорсовый IM-клиент с поддержкой Jabber, AIM, ICQ, GTalk, MSN, Yahoo!, Sametime и др. Есть возможность аудио и видео связи.
Осторожно длинная картинка
Журнал ][акер
- Мессенджер Telegram сливает метаданные всем желающим (1 декабря, 2015 Мария Нефедова)
- Telegram заблокировал 78 каналов ИГИЛ, а эксперты ставят под вопрос безопасность мессенджера ( 20 ноября 2015, Мария Нефедова )
- Китай заблокировалTelegram (13 июля 2015, Анатолий Ализар)
- Павел Дуров рассказал о расходах Telegram и планах на будущее ( 9 июня 2015, Мария Нефедова)
- Telegram предлагает хакерам $400 тыс. ( 5 ноября 2014, Анатолий Ализар)
Хабр
- Матрица возможностей современных мессенджеров с упором на безопасность (23 ноября 2015, Scratch)
- О тонкостях приватности в Telegram Bots API: «это не баг, это фича» (3 июля 2015, deNULL)
- Атака Telegram за 2^64 операций, и почему суперзлодею она не нужна (12 марта 2015, Davidov)
- Потенциальная уязвимость в Telegram Android (19 февраля 2015, visput)
- Безопасен ли Telegram? v2 (2 декабря 2014, f0rbidik)
- Откровенность API Telegram (11 февраля 2014, Bakuutin)
- Тревожные симптомы Telegram (15 октября 2014, alex0ff)
- Новый баг в Telegram'e (26 декабря 2013, me3k)
- Безопасен ли Telegram? Или как я искал закладку в MTProto (22 декабря 2013, x7mz)
- Остались ли ещё закладки в Telegram? (23 декабря 2013, aabc)
- Ответный вызов разработчикам Telegram (20 декабря 2013, ArtyomKazak)
- Ловушка конкурсов по взлому (20 декабря 2013, galaxy)
- $200 000 любому, кто взломает IM-мессенджер Telegram (18 декабря 2013, alizar)
Касперский
Push me and then decrypt me till your can get law satisfaction
- Золотой ключик, или Приключения Буратино в стране криптографии (25 Ноябрь 2015, Serge Malenkovich)
- Рассекреченные материалы, или Безопасны ли мессенджеры? (20 Ноябрь 2015, Alex Perekalin)
- Кэмерон против шифрования (15 Январь 2015 Igor Oskolkov)
- Девять самых безопасных систем обмена сообщениями (14 Ноябрь 2014, Brian Donohue)
- Безопасный интернет-мессенджер. Существует ли он? (16 Апрель 2014, Alex Savitsky)
Security Lab
- Telegram раскрывает метаданные третьим лицам (30 Ноября, 2015)
- Telegram не настолько защищен, как кажется террористам (19 Ноября, 2015)
- Руководство Telegram отрицает наличие уязвимости в приложении для защищенного общения (24 Февраля, 2015)
- Террористы разработали план обхода блокировки в Telegram (19 Ноября, 2015)
TJ
- Пользователи «Хабрахабра» пожаловались на предложение написать заказные статьи с антипиаром Telegram
- Мессенджеры для параноиков (25 февраля 2014 Елистратов)
- Павел Дуров прокомментировал для CNN историю с подготовкой теракта через Telegram (04 октября 2015)
- СМИ сообщили о массовом переходе украинских политиков на Telegram из-за сообщений об уязвимостях в Viber (17 августа 2015)
- «Представляю, как новое поколение россиян начинает верить в превосходство госрегулирования над свободой» (03 июля 2015)
- В Telegram опровергли отчёт специалиста по безопасности о взломе мессенджера (24 февраля 2015)
- Telegram заплатит 300 тысяч долларов за расшифровку переписки двух ботов
Roem.ru
- Сотовые сети заметили бум «неотрегулированных» интернет-мессенджеров у корпоративных клиентов (2 сентября 2015 )
- Китайские власти провели PR-акцию Telegram и его функциям шифрования (13 июля 2015)
- Павел Дуров: реальной свободы слова нет ни в одной стране (3 апреля 2015)
- Дуров скрестил Slack и секретные чаты (19 марта 2015 )
- Дуров проигнорирует приказы властей о выдаче информации из Telegram (9 марта 2014)
- UCP проявило «заботу» о Telegram (18 ноября 2013)
РБК
Чиновники решили ограничить общение россиян в мессенджерах (9 декабря 2015)
Авторы (законопроекта об ограничении) предлагают внести в законы «Об информации...» и «О связи» такое понятие, как «информационно-коммуникационные сервисы». Под их деятельностью подразумевается передача «текстовых, голосовых и графических сообщений, технологически неразрывно связанных с услугами связи, оказываемыми третьими лицами на сетях передачи данных операторов связи». Представители интернет-компаний и операторов, ознакомившись с документом, пришли к выводу, что речь прежде всего идет о мессенджерах, хотя теоретически под действие закона могут попасть и соцсети.
P.S.
Согласно исследованию, проведенному «Лабораторией Касперского» совместно с B2B International, 62% опрошенных не считают онлайн-мессенджеры безопасными, 61% не доверяют IP-телефонии, 60% настороженно относятся к видеочатам. И тем не менее 37% принявших участие в опросе чаще всего используют для общения именно онлайн-мессенджеры, 25% — мессенджеры из социальных сетей и 15% — VoIP-сервисы.
Одна из критических уязвимостей современных мессенджеров (в том числе и Telegram) — это незащищенные метаданные (злоумышленники могут получить список контактов для определения круга общения, время доступа в сеть и тд), а очень часто факт коммуникации намного важнее содержания коммуникации. Какими инструментами это решить (исключить из системы централизованные серваки или что-то еще) предлагаю обсудить в комментах.
UPD
ru_crypt:
«Последние результаты по анализу протокола MTProto: eprint.iacr.org/2015/1177.pdf. В этой работе показано, что данный протокол не является стойким в модели IND-CCA, т.е. возможно любой шифртекст преобразовать в некоторый другой шифртекст, который может быть расшифрован в исходный открытый текст. Несмотря на то, что атака теоретическая, авторы рекомендуют все-таки не использовать самопальные решения, а реализовывать хорошо проверенные конструкции, ну и предлагают изменить протокол, чтобы атака не проходила.»
ValdikSS:
«Мне не нравится Telegram, но, в целом, он определенно лучше прочих популярных мессенджеров хотя бы тем, что там есть возможность сделать шифрованный чат с более-менее нормальной сверкой отпечатка ключа, но у обычных чатов-то защищен только транспорт, как и у, собственно, большинства прочих популярных мессенджеров, а СМИ, по большей части, описывают Telegram как супер защищенное решение, которым пользуются даже террористы, так что вам, типа, точно подойдет. Я считаю такое преувеличение со стороны СМИ достаточно большой проблемой, без шуток, т.к. такие новости привлекают в Telegram много технически неграмотных новых пользователей. Если в тот же Tor безопасность заложена архитектурно, то безопасность переписки неграмотных пользователей Telegram держится только на принципиальности разработчиков о нераскрытии данных и физической сохранности серверов, а в случае компрометации страдают не только сами пользователи, но и вы тоже, если вы переписывались с пользователем, данные которого, например, выдали правительственным организациям.»
zhovner:
«Эта тема сильно больше нас всех, потому как такая важная для человечества технология как IM и аудио-видео звонки не может быть управляема одной компанией. Есть всякие рабочие группы поддержания критических для индустрии библиотек и программ, типа openssl, apache. Мне кажется этим должен заниматься какой-то IETF.
Просто в какой-то момент они проебали это и открытые стандарты не успели за коммерческими поделками. То что сейчас IM монополизирован компаниями это ужасно. В идеале все мессенджеры должны поддерживать унифицированный минимальный стандарт, достаточный для того чтобы связаться с кем угодно, как email, а все свои фирменные штуки реализовывать внутри сети для своих пользователей.
Представьте что имейлы можно было бы слать только между outlook, но на gmail уже нельзя. Или звонить можно было только с Nokia на Nokia, а на самсунг нельзя. Именно так и выглядят так сейчас мессенджеры.»
J_o_k_e_R:
«Самый явный и очевидный фейл телеграма: централизованность серверов. Берутся за жопу те, кто ими управляют — и все. Нет телеграма. Пусть даже никто и не прочитает мою переписку в прошлом.
Вытекает этот фейл из чуть менее очевидного фейла — закрытости исходного кода серверов.»
Комментарии (73)
i360u
13.12.2015 13:42+13Телеграм — просто хорошо работает. В Телеграм есть ряд уникальных и вдохновляющих возможностей (Боты, API). Остальное важно только для настоящих параноиков (и для них есть свои решения), зачем эту тему форсить?
dom1n1k
13.12.2015 14:14+6Вот в этом и проблема. Критерии, которые по-хорошему должны быть в базе и по умолчанию, вытеснены в область «для параноиков».
i360u
13.12.2015 15:26+8Простите, какие именно критерии? Абсолютная криптоустойчивость стикеров? Основной рубеж защиты ваших данных должен быть в вашей голове.
dom1n1k
13.12.2015 16:23+3Критерий простой — переписка должна быть неприкосновенна. По умолчанию и без обсуждений. Даже если там котики обсуждаются.
А нам сейчас начинают сс… дуть в уши в духе да какая вам разница, да кому вы интересны, да вы же не террористы, да чего бояться законопослушному гражданину и так далее.i360u
13.12.2015 16:56+2Вы сейчас о чем? О алгоритмах шифрования или о законодательстве? Что значит «должна»? Алгоритм — он либо устойчивый, либо не очень, и это инженерный вопрос. Абсолютно защищенной информации не бывает, вы ведь это понимаете? К чему тогда весь этот максимализм? Конечно плохо, если приложение — «дырявое», но это будет его конкурентным недостатком, и, при наличии лучшего варианта — тот другой вариант окажется более успешным и популярным в условиях, когда это важно для потребителя. А передавать шифрованные сообщения можно и по абсолютно открытым каналам связи.
dom1n1k
13.12.2015 20:36-3«Должна» — это значит должна стремиться к совершенно защищенной (идеал недостижим, но к нему можно и нужно стремиться), не вызывая глупых вопросов типа «зачем форсить тему»
ru_crypt
13.12.2015 14:34+18Добавьте в обзор последние результаты по анализу протокола MTProto: eprint.iacr.org/2015/1177.pdf. В этой работе показано, что данный протокол не является стойким в модели IND-CCA, т.е. возможно любой шифртекст преобразовать в некоторый другой шифртекст, который может быть расшифрован в исходный открытый текст. Несмотря на то, что атака теоретическая, авторы рекомендуют все-таки не использовать самопальные решения, а реализовывать хорошо проверенные конструкции, ну и предлагают изменить протокол, чтобы атака не проходила.
dshster
13.12.2015 14:49-3Интересно, самый частый довод об отсутствии безопасности Телеграм — регистрация через номер телефона. Но почему-то мало кто думает, что никому не нужен будет ваш номер телефона, если не смогут прочитать содержимое переписки и наоборот — если прочитают переписку, то найдут те кому нужно даже без номера телефона.
chookcha
13.12.2015 15:03+9То, с кем и как часто вступал в коммуникацию абонент — вот что может быть очень важно для злоумышленника. А тут прям номер телефона на блюдечке.
isotoxin
13.12.2015 16:12+8Какой то странный обзор.
Речь о протоколах или о клиентах, использующих эти протоколы?
Если о протоколах, то почему в обзоре нет Tox, но есть Pidgin?
Если о клиентах, то при чем тут секретность вообще?chookcha
13.12.2015 19:50Pidgin — из сравнительной таблицы EFF
www.eff.org/secure-messaging-scorecard
Moskus
13.12.2015 20:55+10Пора в начале или конце любой статьи на тему защищенных коммуникаций писать примечание для тех особо одаренных индивидуумов, которые вечно пишут «да кому вы нужны?».
Право на конфиденциальность общения — фундаментальное и не зависит от содержания общения.
Потому возможность использовать это право должна быть независимо от чего-либо.
Утверждающие обратное либо не понимают идею гражданских прав (а значит, недостаточно интеллектуально развиты, чтобы ее понять), либо намеренно пытаются дискредитировать идею этих прав (а значит, прямо или косвенно содействуют беззаконию и разного рода формам диктатуры).
nikitasius
13.12.2015 21:48-1Идеальный менеджер: DHT, RSA ключи на клиенте. При коннекте к одному из «трекеров» обмен ключами с клиентов.
Все.Scratch
13.12.2015 23:03+3Rsa — прошлый век, а так вы Tox описали.
nikitasius
13.12.2015 23:05Да! Вы ответили в момент, когда я писал о Tox. Сегодня вечером провел ликбез по месенжерам. Tox гениальная вещь. Гениальная.
ComodoHacker
13.12.2015 21:59Кампания черного пиара действительно идет масштабная. Вот еще пример: The secret American origins of Telegram, the encrypted messaging app favored by the Islamic State В статье нит ничего существенного, все высосано из пальца, но основной посыл — «Телеграмом пользуются террористы и вообще доверять ему не стоит».
Кто заказчик и какова цель этой кампании, остается только гадать. Вплоть до экзотических вариантов вроде «отвратить народ от Телеграма, чтобы снизить эффективность пропаганды ИГИЛ»
J_o_k_e_R
13.12.2015 23:02+4Самый явный и очевидный фейл телеграма: централизованность серверов. Берутся за жопу те, кто ими управляют — и все. Нет телеграма. Пусть даже никто и не прочитает мою переписку в прошлом.
Вытекает этот фейл из чуть менее очевидного фейла — закрытости исходного кода серверов.Vurtatoo
15.12.2015 22:21+1Есть джаббер и шифрование поверх его.
J_o_k_e_R
18.12.2015 19:23Спасибо, это так мило, что мне на хабре посоветовали джаббер. Джаббер, емейл, sip (и иногда IRC) — это единственные возможные средства связи через интернет со мной. Просто потому, что все остальное ненадежно или нестабильно.
Scratch
13.12.2015 23:05+2Есть еще такая вот сентябрьская статья с заголовком "A practical cryptanalysis of the Telegram messaging protocol" на которую разработчики, если я не ошибаюсь, до сих пор ничего внятного не ответили. Ну и да, главная ошибка телеграма — изобрели свой криптовелосипед, который все пинают до сих пор. Использовали бы TextSecure — никто бы слова не сказал. Но нет же, мы крутые программисты из СПБГУ, нам своё подавай.
quantum
14.12.2015 00:50+17Так сколько в итоге заплатили-то?
Ведь эта статья идеально вписывается в ТЗ, опубликованное товарищем Kpyto;)
baldr
14.12.2015 01:25+10Да кому интересен ваш телеграм…
Вы напишите лучше статью о том как правильно здороваться в письмах — это же больше обсуждают чем телеграм.
DarkByte
14.12.2015 08:45+1Ладно шифрование, всё равно групповые чаты его не поддерживают и многие об этом просто не знают, но вот на днях к нам в групповой чат залетел спам-бот. Стоило всего лишь забыть деактивировать ссылку для приложения и он сбрутив идентификатор в ссылке попал в наш уютный чатик без каких либо проблем.
lybin
14.12.2015 12:51время доступа в сеть
отключается в настройках, но вот не знаю, только видимость или реально перестает посылать.
PavelMSTU
15.12.2015 14:16Кратенький оффтопик.
Коллеги, по IT-цеху,
книга Вашингтона Плэтта "Информационная работа стратегической разведки" 1958 года — это шедевр!
Must do на прочтение!nixil
15.12.2015 15:53Строго говоря ключевые слова «коммерческая разведка» «конкурентная разведка» должны быть знакомы многим, а эта книга типа основа основ
Psychosynthesis
Объясните мне, что за шум вокруг всех этих мессангеров последние полгода где-то?
Всем разом понадобилось иметь супер-приватное средство общения внутри IT-индустрии (потому что люди далёкие от IT вообще этими вопросами не заморачиваются) или чего?
Akr0n
Довольно неприятно осознавать, что твою переписку читает товарищ майор. Даже если не обсуждаешь теракт…
ivanych
Вы хотели сказать «Довольно приятно делать вид, что твоя унылая переписка нужна хоть кому-то, кроме тебя»?
Psychosynthesis
Покажите, пожалуйста, а где посмотреть читает ли и мою переписку «товарищ майор». Не сарказма ради, а объективности для.
Мне тоже очень бы хотелось бы подобные вещи осознавать.
Akr0n
Законы, которые прямо сейчас принимаются в отношении мессенджеров и «защиты ПДн граждан», придуманы именно для этого.
Psychosynthesis
Вот прямо сейчас? Да вы что! Нужно срочно что-то делать!
Давайте митинг соберём, я не знаю… обсудим как-то эту проблему.
palmich
цитата из письма Роскомнадзора начала месяца:
1. Заключались ли Вашей организацией в период с 2012-2015 г.г. договоры с юридическими лицами (индивидуальными предпринимателями), предметом которых является обработка информации об абонентах (пользователях), включая ее сбор, обработку, систематизацию и передачу с указанием местонахождения технических мощностей, на которых осуществляется хранение переданных данных.
2. Заключались ли Вашей организацией в период с 2012-2015 г.г. договоры с юридическими лицами (индивидуальными предпринимателями), предметом которых является установка и подключение оборудования (программного обеспечения), осуществляющего обработку информации об абонентах (пользователях), включая ее сбор, обработку, систематизацию, анализ и передачу, либо неперсонифицированных данных, необходимых для оказания рекламных услуг, с указанием наименования программного обеспечения и местонахождения технических мощностей, на которых осуществляется хранение переданных данных.
Под обрабатываемой информацией понимается, в том числе сведения о поисковых запросах пользователя, интернет-адреса посещаемых им веб-страниц, тематика размещенной на посещаемых пользователем страницах информации, географическое положение пользователя и его идентификатора, преобразованном с помощью обратно-несовместимой хэш-функции, сбор геоаналитических данных по численности и динамике перемещения населения, а также иная информация об абонентах (пользователях).
и следом письмо о проведении внеплановой документарной проверки.
Psychosynthesis
И что?
palmich
я говорю, всё хорошо, никто ничего не читает, ничего не происходит. СОРМа тоже нет.
Psychosynthesis
Я вас спросил кто меня читает, покажите. Или вас лично, хотя бы, ну.
palmich
не совсем понятен вопрос, что значит «кто»? кто конкретно или как он это делает?
или что именно Вас кто-то читает?
Psychosynthesis
Последнее.
palmich
см
Psychosynthesis
Аргументов нет. Ок.
palmich
то, что Вы просите — подпадает под статью 283 статью УК http://www.zakonrf.info/uk/283/. Хорошая попытка, но нет.
P.S. что такое гос.тайна http://zakonrf.net/o_gosudarstvennoy_tayne/s5.htm.
lostpassword
А данные о СОРМ засекречены?
Psychosynthesis
Чушь.
riartem
У нас, в Беларуси, уже несколько лет существует закон, по которому провайдеры обязаны несколько лет хранить информацию об уникальных идентификаторах и прочую информацию интернет-сессий.
Вы правы, в режиме онлайн вас никто читать не будет, но. Когда вы вдруг попадёте в поле зрения «органов» (причём, для этого не обязательно нарушать закон), такие данные могут «поднять» и «проанализировать» в целях использования против вас. И тогда безобидная фраза другу «не забудь, что ты должен взять лимон» может быть истолкована так, как будет выгодно условному «товарищу майору».
Psychosynthesis
Различные толкования безобидных фраз легко оспариваются в суде, если уж появится такая необходимость.
Лучше приведите пример когда действительно ни в чём не виновный гражданин получил реальный срок благодаря только данным переписки.
riartem
Ну да, очень легко…
Кроме данных переписки может быть ещё заявление от «потерпевшего», мнение «эксперта», упущенная выгода, валовый оборот как «сумма ущерба» и «нет оснований не доверять следствию». И вот уже трёшечка.
Кроме политических заказов ещё бывают и дела, когда один другому отправил смс в прикол о " заминировании" и получил 9 лет колонии и огромный штраф, потому что спецслужбы «среагировали» euroradio.fm/ru/delo-sms-minera-metro-v-minske
Psychosynthesis
Если вы кому-то помешаете, на вас найдут что повесить и без всего этого.
vlreshet
Так а зачем добавлять ещё один лишний повод?
Smerig
это не лишний повод, это упрощение работы.
stigory
Вы это расскажите отцу маленькой девочки, нарисовавшей кота и экспертам, принявшим рисунок за признаки детского совращения.
Psychosynthesis
Могу вам кучу контрпримеров привести, когда человек в открытую пишет о незаконных вещах (за исключением терроризма, пожалуй), и никто его не трогает.
Говорю же — захотят за вас зацепиться, найдут за что. Мы живём в гораздо более несправедливом мире, чем большинству здесь присутствующих отчего-то кажется.
Ладно, это бессмысленный разговор, я не разделяю параноидальных взглядов большинства, вот и всё. Кроме того, для меня очевидно что всё это — пустая болтовня в интернетике и не более того. А вообще, на Хабре, как и в любом другом сообществе, вредно иметь мнение противоречащее мейнстриму, так что я далее лучше просто промолчу.
murr
euroradio.fm/ru/delo-sms-minera-metro-v-minske
9 лет за смску, ну и за одно навешали на него всех собак, дело-то громкое, выслужится всем нужно.
Psychosynthesis
Цитата из одной статьи по вашей ссылке: «Студентка БГУ заглянула в экран чужого телефона, выбежала из вагона и обо всем рассказала охране метро.»
При чём тут мессенгеры?
riartem
При том, что на одних показаниях студентки дело не построишь. Мало ли что ей там показалось. А тут смс-ка, даже если удалил с телефона, то копия осталась храниться у оператора вечно. Если б юзал секьюрный мессенджер, то такое дело состряпать было бы на порядок сложнее.
Psychosynthesis
Я вас уверяю, было б надо — состряпали ещё б и не такое.
Archie_RU
Процент оправдательных приговоров в России составляет 0,4%. Этот факт не даёт мне спать спокойно и совершенно не вселяет оптимизма в отношении возможности что-то доказать в суде.
palmich
это либеральное передергивание фактов. в России в суд попадают только дела, по которым доказан состав преступления. Доказывать свою невиновность надо на этапе доследственной проверки, во время следствия и в прокуратуре. Если и прокуратура подтвердила, что следствие собрало все доказательства совершения преступление — то суд уже только выносит обвинительный приговор. Поэтому процент надо бы смотреть другой, но его никто не покажет.
x7mz
Вы не правы. Точнее
подчинитьрегулировать интернет хотят, но в вопросе с месенджерами интересы совсем другие.Из статьи РБК:
Напомню, что МТС уже пытался бороться с мессенджерами:
Но в тот раз аргументирование было не правильным, с террористами же все становится проще. Т.е. у операторов сотовой связи просто подгорает одно место при мысли о том, что народ не шлет дорогие СМС (в сотни раз дороже себестоимости), а пользуется дешевыми месенджерами.
UPD
Вот эта фраза из статьи РБК тоже очень интересна
bitlz
Дело не в том, читает ли сейчас товарищ майор переписку или нет. Дело в том, что он может читать. Имеет такую техническую возможность. Намерения меняются мгновенно, а возможности создаются годами.
Psychosynthesis
Они и раньше могли при большом желании, никто этого даже вроде особо не скрывает. Только раньше вы об этом бы даже никак не узнали, вот и вся разница. Шум из ничего.
bitlz
Вот именно. Раньше товарищ майор мог читать, а теперь появились варианты. Причем варианты очень дешевые для пользователей.
SamVimes
На всех граждан РФ майоров не напасёшься.
ValdikSS
Насколько я понимаю, ТЗ у Kpyto было вполне вменяемое, из него можно было написать технически точную статью, достойную хабра, а претензии были больше к тому, что он сделал массовую рассылку.
Но сама проблема в мессенджерах в том, что их много, а все популярные продукты — проприетарные, требуют ввода телефонного номера, с закрытым сервером, или имеют еще какие-то недостатки.
Как сказал zhovner:
Scratch
Есть мессенджер Signal с изначально крутым протоколом, опенсорсный, в нем даже есть нормальные шифрованные голосовые звонки и групчаты. Да, пока регистрация по номеру телефона, но планируют это дело убрать со временем. Десктоп клиент тоже в процессе. Чем не идеальная замена телеграму?
ValdikSS
Я знаю о signal, и знал о нем до его переименования, но вот номер телефона портит для меня ВСЕ. Я банально не могу в нем зарегистрироваться, скачал его, установил, смотрю на этот печальный диалог и унываю. А в техническом плане, если забыть о номере телефона, да, он офигенный!
Scratch
Они «скоро» перейдут на WebSockets и побочным эффектом от этого должна стать регистрация по никам. Так что ждем