Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
SS7, мессенджеры и перехват SMS
Positive Technologies подтвердили известную вещь: при помощи перехвата SMS можно получить доступ к аккаунтам мессенджеров, даже тех, которые продвигаются как особенно защищённые. В ответ появляются статьи, где пишут, что сами мессенджеры всё равно защищённые, это виноват транспорт, канал связи (все показывают в сторону операторов). Например, подзаголовок статьи The Register гласит: WhatsApp, Telegram secure – but the transport isn’t (хотя цитаты в самой статье об этом не говорят).
Картина полностью копирует давнюю ситуацию, когда считалось, что пароли можно передавать по HTTP в открытом виде, потому что должны быть защищены от прослушивания каналы связи, по которым “работает Интернет”. Вообще, в GSM есть проблемы, в том числе, происходящие из того, что система межоператорского взаимодействия (откуда и растёт набор сигналов SS7), использующаяся для обмена данными об абонентах и для управления сетью, построена на доверии (то же самое, кстати, касается и маршрутизации в Интернете – BGP). Это всё давно известно. Также как давно известно, что можно прослушать телефонный разговор по обычному проводному телефону, если подключиться к проводам. Но разработчики “защищённых” мессенджеров должны бы учитывать эту возможность. Ведь они научились использовать шифрование при передаче сообщений, признали, так сказать, открытые каналы открытыми. Операторы связи вряд ли станут исправлять ситуацию в обозримом будущем – в этом нет смысла. А полагать, что оператор должен защищать все мыслимые сервисы своего абонента, которые прямо или косвенно используют сеть GSM, – несколько наивно.
()
Похожие записки:
- Интернет-протокол "дымовой завесы"
- TLS-сертификаты dxdt.ru
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- "Авторизованный трафик" и будущее Интернета
- Обновление описания TLS
- Вращение Солнца и соцопросы
- Статья о технологии Encrypted Client Hello
- Аварии facebook.com
- "Пасхалки" в трафике
- TLS для DevOps
- Ретроспектива заметок: деанонимизация по географии
- Доверенные программы для обмена сообщениями
- Смартфон-шпион: восемь лет спустя
- Браузеры и перехват TLS без участия УЦ
- Про цепочки, RSA и ECDSA
- Удостоверяющий центр TLS ТЦИ
- Статья: DNS в качестве инструмента публикации вспомогательной информации