Удивительная история.
Забрёл на сайт государственного оператора "Феникс" в т.н. "ДНР" http://phoenix-dnr.ru/biz.php. Сеть этого оператора построена на отжатом у Киевстара оборудовании и ВОЛС сотовой сети и сети широкополосного доступа. Увидел интересную услугу "ВОЛС + РФ", которая характеризируется как "Маршрутизация трафика через Российские узлы обмена трафиком" — ну т.е. они пригнали наш трафик и завели в своё оборудование. Дико интересно узнать, чьим кабелем
Забрёл на сайт государственного оператора "Феникс" в т.н. "ДНР" http://phoenix-dnr.ru/biz.php. Сеть этого оператора построена на отжатом у Киевстара оборудовании и ВОЛС сотовой сети и сети широкополосного доступа. Увидел интересную услугу "ВОЛС + РФ", которая характеризируется как "Маршрутизация трафика через Российские узлы обмена трафиком" — ну т.е. они пригнали наш трафик и завели в своё оборудование. Дико интересно узнать, чьим кабелем
Еще смешное: блок IP-адресов и автономную систему "Феникс" использует какие-то старые, зарегистрированные еще в прежние времена на адрес "UKRAINE, Donetsk", но сейчас в декскрипшне LIR'а они сменили адрес на "RUSSIAN FEDERATION, Donetsk".
Т.е. с некоторой вероятностью, если обратить внимание RIPE (европейский интернет-регистратор) на этот факт, то он отберёт у "Феникса" блок IP-адресов и автономную систему, на чём последний закончит свою деятельность до нахождения новых AS + IP и перенастройки оборудования и стыков
Т.е. с некоторой вероятностью, если обратить внимание RIPE (европейский интернет-регистратор) на этот факт, то он отберёт у "Феникса" блок IP-адресов и автономную систему, на чём последний закончит свою деятельность до нахождения новых AS + IP и перенастройки оборудования и стыков
В эти выходные — новость из ада (какие еще тут могут быть новости?).
"Ростелеком" совместно с "Вайнах Телеком" создадут оператора в «ЛНР».
"Представители РФ вернулись к исходному варианту - использование в ЛНР номерного ресурса чеченского мобильного оператора "Вайнах Телеком".
Чеченские номера в «ЛНР» — нарочно не придумаешь
http://gazeta.ua/ru/articles/regions/_na-donbasse-vvodyat-uslugi-chechenskogo-mobilnogo-operatora/694084
"Ростелеком" совместно с "Вайнах Телеком" создадут оператора в «ЛНР».
"Представители РФ вернулись к исходному варианту - использование в ЛНР номерного ресурса чеченского мобильного оператора "Вайнах Телеком".
Чеченские номера в «ЛНР» — нарочно не придумаешь
http://gazeta.ua/ru/articles/regions/_na-donbasse-vvodyat-uslugi-chechenskogo-mobilnogo-operatora/694084
Тёзка @ValdikSS раздобыл где-то VMWare-образ того самого «Ревизора» Роскомнадзора за 84 миллионов на базе ширпотребного (но хорошего) роутера TP-Link MR3020 и расковырял его.
Как я и представлял, говнософт в обвязке из говноскриптов.
Разработчик, кстати — компания "МФИ-СОФТ", которая один из монополистов на рынке производителей СОРМ.
Там интересно, почитайте:
https://habrahabr.ru/post/282087/
Как я и представлял, говнософт в обвязке из говноскриптов.
Разработчик, кстати — компания "МФИ-СОФТ", которая один из монополистов на рынке производителей СОРМ.
Там интересно, почитайте:
https://habrahabr.ru/post/282087/
Хабр
Исследуем «Ревизор» Роскомнадзора
Aqua Mine Ревизор — программно±аппаратный комплекс для мониторинга доступа к сайтам из реестра со стороны провайдеров — берет свое начало в октябре 2015 года, к...
Эх, даже в Киев пришёл кэш CloudFlare, а к нам, с этими дебильными законами и властью — нет :( https://blog.cloudflare.com/kiev/
Сегодня ночью взломали телеграм у Албурова и Козловского, подключились еще одним клиентом к аккунту и, скорее всего, выкачали логи: https://meduza.io/news/2016/04/29/aktivisty-oppozitsii-pozhalovalis-na-vzlom-telegram-s-odnogo-ip-adresa
И я пока не понимаю, как это сделали, и вот почему.
Авторизация дополнительного клиента в telegram-аккаунте происходит так: сначала отправляется сообщение с кодом в существующие сессии (подключенные к аккаунту клиенты). Потом, через некоторое время, есть возможность запросить код по смс.
Для меня остаётся загадкой, почему нет кода в telegram, почему нет дублирующей смс на телефоне.
Объединяющие признаки у обоих:
1. Оператор — МТС.
2. Не была включена двухфакторная авторизация (пароль).
И нет, это не тот случай с самым популярным способом, когда делается замена сим-карты в офисе с разнообразными ухищрениями в виде "своих "сотрудников, поддельной доверенности и т.д., потому что сим-карты настоящих владельцев исправно функционируют.
Исходя из этого, я пока вижу два варианта с вероятностью примерно 50/50:
1. Нашли дырку в sms-шлюзе МТС и перехватили сообщение. Этот вариант не отвечает на вопрос, почему не пришло первое сообщение в телеграм, но допустим, это как-то обошли, используя Telegram API.
2. Дырка в самом Telegram, в результате которой получилось обойти первый этап авторизации.
В любом случае, Telegram уже запросил информацию у владельцев взломанных аккаунтов и начал разбираться в ситуации, поэтому ждём официальных результатов внутреннего расследования.
И я пока не понимаю, как это сделали, и вот почему.
Авторизация дополнительного клиента в telegram-аккаунте происходит так: сначала отправляется сообщение с кодом в существующие сессии (подключенные к аккаунту клиенты). Потом, через некоторое время, есть возможность запросить код по смс.
Для меня остаётся загадкой, почему нет кода в telegram, почему нет дублирующей смс на телефоне.
Объединяющие признаки у обоих:
1. Оператор — МТС.
2. Не была включена двухфакторная авторизация (пароль).
И нет, это не тот случай с самым популярным способом, когда делается замена сим-карты в офисе с разнообразными ухищрениями в виде "своих "сотрудников, поддельной доверенности и т.д., потому что сим-карты настоящих владельцев исправно функционируют.
Исходя из этого, я пока вижу два варианта с вероятностью примерно 50/50:
1. Нашли дырку в sms-шлюзе МТС и перехватили сообщение. Этот вариант не отвечает на вопрос, почему не пришло первое сообщение в телеграм, но допустим, это как-то обошли, используя Telegram API.
2. Дырка в самом Telegram, в результате которой получилось обойти первый этап авторизации.
В любом случае, Telegram уже запросил информацию у владельцев взломанных аккаунтов и начал разбираться в ситуации, поэтому ждём официальных результатов внутреннего расследования.
https://tjournal.ru/27313-oppozicionnie-aktivisti-pozhalovalis-na-udalyonnii-vzlom-akkauntov-v-telegram
> В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Понятия "дубликат" SIM-карты в РФ официально нет.
SIM-карты только меняют по просьбе, т.е. старая перестаёт работать, и взамен неё выдаётся нвая.
Но это не тот случай, т.к. основная SIM-карта работает.
Плюс, напомню, код всегда сначала приходит в Telegram.
Ну т.е. Дуров сам пока не в курсе.
Ждём разбора.
> В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Понятия "дубликат" SIM-карты в РФ официально нет.
SIM-карты только меняют по просьбе, т.е. старая перестаёт работать, и взамен неё выдаётся нвая.
Но это не тот случай, т.к. основная SIM-карта работает.
Плюс, напомню, код всегда сначала приходит в Telegram.
Ну т.е. Дуров сам пока не в курсе.
Ждём разбора.
TJ
Оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram — Офтоп на TJ
Сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский заявили, что ночью 29 апреля неизвестные получили доступ к их аккаунтам в мессенджере Telegram. Согласно сообщению, полученному от Telegram, вход произошёл…
Forwarded from Volunteer Support
Здравствуйте Георг. Наши специалисты исследовали ваш случай и вот что узнали:
Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.
Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)
Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")
Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.
На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.
Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)
Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")
Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.
На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Объясняю, что это значит.
ФСБ, совместно с МТС, устраивает спланированную акцию, в рамках которой выключает приём СМС на SIM-карте в телефоне Албурова. После этого хакеры запрашивают код и получают его либо на второй SIM-карте в ФСБ (дубляжи SIM-карт всех известных политических активистов у них есть), либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина.
Вот такая штука произошла. Надо сказать, я удивлён. Ну т.е. я предполагаю, что они будут делать и не такое, но не сейчас, когда всё более-менее тихо и спокойно, никаких больших протестных акций не планируется и никакая революция не происходит.
Остаётся непонятным только то, почему первое сообщение с кодом, которое обязательно приходит сначала в телеграм-клиент, не пришло. Впрочем, его вполне могли удалить хакеры, после того, как получили доступ к аккаунту.
ФСБ, совместно с МТС, устраивает спланированную акцию, в рамках которой выключает приём СМС на SIM-карте в телефоне Албурова. После этого хакеры запрашивают код и получают его либо на второй SIM-карте в ФСБ (дубляжи SIM-карт всех известных политических активистов у них есть), либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина.
Вот такая штука произошла. Надо сказать, я удивлён. Ну т.е. я предполагаю, что они будут делать и не такое, но не сейчас, когда всё более-менее тихо и спокойно, никаких больших протестных акций не планируется и никакая революция не происходит.
Остаётся непонятным только то, почему первое сообщение с кодом, которое обязательно приходит сначала в телеграм-клиент, не пришло. Впрочем, его вполне могли удалить хакеры, после того, как получили доступ к аккаунту.
Подтвердилось моё предположение о том, что первое сообщение с кодом авторизации удалили хакеры, а сообщение о присоединении нового устройства отзывается с него (но сохранятся на других):
Forwarded from Georgy Alburov
А мне должен был прийти пароль сначала в самом телеграме? А то его нету
Forwarded from Volunteer Support
Приветствую.
Скорее всего пароль пришел, но был удален злоумышленниками сразу после входа. Благодаря синхронизации он удалился на всех устройствах.
То же самое произошло с уведомлением — если сообщение будет прочитано с другого устройства, оно отзывается.
Скорее всего пароль пришел, но был удален злоумышленниками сразу после входа. Благодаря синхронизации он удалился на всех устройствах.
То же самое произошло с уведомлением — если сообщение будет прочитано с другого устройства, оно отзывается.
Forwarded from Georgy Alburov
Как получилось, что сообщение с паролем не осталось, а сообщение с информацией о входе осталось? Забыли удалить, или не стали?
Forwarded from Volunteer Support
А вот сообщение о входе не отправляется на то устройство, вход с которого был выполнен. Для них этого сообщения просто не существовало.