IT и СОРМ
38.9K subscribers
323 photos
31 videos
15 files
994 links
Download Telegram
Forwarded from Максим Кац
сайт обошёлся в 500 тысяч рублей. Основная часть команды волонтёрствовала (я и те, кто делал dom.navalny.ru). Кампания до начала фандрайзинга ведётся на деньги жертвователей которые знакомы с кандидатом, нужно их немного, как можно наблюдать.

Когда начнётся кампания ясное дело объявим фандрайзинг, сейчас собирать некуда. Подставляться под уголовные дела или под лишение мандата за доходы не разрешенные депутату ГД мы не готовы, поэтому до начала кампании фандрайзинг только персональный
Удивительная история.
Забрёл на сайт государственного оператора "Феникс" в т.н. "ДНР" http://phoenix-dnr.ru/biz.php. Сеть этого оператора построена на отжатом у Киевстара оборудовании и ВОЛС сотовой сети и сети широкополосного доступа. Увидел интересную услугу "ВОЛС + РФ", которая характеризируется как "Маршрутизация трафика через Российские узлы обмена трафиком" — ну т.е. они пригнали наш трафик и завели в своё оборудование. Дико интересно узнать, чьим кабелем
Еще смешное: блок IP-адресов и автономную систему "Феникс" использует какие-то старые, зарегистрированные еще в прежние времена на адрес "UKRAINE, Donetsk", но сейчас в декскрипшне LIR'а они сменили адрес на "RUSSIAN FEDERATION, Donetsk".
Т.е. с некоторой вероятностью, если обратить внимание RIPE (европейский интернет-регистратор) на этот факт, то он отберёт у "Феникса" блок IP-адресов и автономную систему, на чём последний закончит свою деятельность до нахождения новых AS + IP и перенастройки оборудования и стыков
Вот описание объекта person, очевидно, старые данные, которые не сменили.
А вот описание объекта organisation, но уже с другими данными, "address: RUSSIAN FEDERATION"
В эти выходные — новость из ада (какие еще тут могут быть новости?).
"Ростелеком" совместно с "Вайнах Телеком" создадут оператора в «ЛНР».

"Представители РФ вернулись к исходному варианту - использование в ЛНР номерного ресурса чеченского мобильного оператора "Вайнах Телеком".

Чеченские номера в «ЛНР» — нарочно не придумаешь

http://gazeta.ua/ru/articles/regions/_na-donbasse-vvodyat-uslugi-chechenskogo-mobilnogo-operatora/694084
Тёзка @ValdikSS раздобыл где-то VMWare-образ того самого «Ревизора» Роскомнадзора за 84 миллионов на базе ширпотребного (но хорошего) роутера TP-Link MR3020 и расковырял его.
Как я и представлял, говнософт в обвязке из говноскриптов.
Разработчик, кстати — компания "МФИ-СОФТ", которая один из монополистов на рынке производителей СОРМ.
Там интересно, почитайте:

https://habrahabr.ru/post/282087/
Эх, даже в Киев пришёл кэш CloudFlare, а к нам, с этими дебильными законами и властью — нет :( https://blog.cloudflare.com/kiev/
Сегодня ночью взломали телеграм у Албурова и Козловского, подключились еще одним клиентом к аккунту и, скорее всего, выкачали логи: https://meduza.io/news/2016/04/29/aktivisty-oppozitsii-pozhalovalis-na-vzlom-telegram-s-odnogo-ip-adresa

И я пока не понимаю, как это сделали, и вот почему.
Авторизация дополнительного клиента в telegram-аккаунте происходит так: сначала отправляется сообщение с кодом в существующие сессии (подключенные к аккаунту клиенты). Потом, через некоторое время, есть возможность запросить код по смс.
Для меня остаётся загадкой, почему нет кода в telegram, почему нет дублирующей смс на телефоне.

Объединяющие признаки у обоих:
1. Оператор — МТС.
2. Не была включена двухфакторная авторизация (пароль).

И нет, это не тот случай с самым популярным способом, когда делается замена сим-карты в офисе с разнообразными ухищрениями в виде "своих "сотрудников, поддельной доверенности и т.д., потому что сим-карты настоящих владельцев исправно функционируют.

Исходя из этого, я пока вижу два варианта с вероятностью примерно 50/50:
1. Нашли дырку в sms-шлюзе МТС и перехватили сообщение. Этот вариант не отвечает на вопрос, почему не пришло первое сообщение в телеграм, но допустим, это как-то обошли, используя Telegram API.
2. Дырка в самом Telegram, в результате которой получилось обойти первый этап авторизации.

В любом случае, Telegram уже запросил информацию у владельцев взломанных аккаунтов и начал разбираться в ситуации, поэтому ждём официальных результатов внутреннего расследования.
https://tjournal.ru/27313-oppozicionnie-aktivisti-pozhalovalis-na-udalyonnii-vzlom-akkauntov-v-telegram

> В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.

Понятия "дубликат" SIM-карты в РФ официально нет.
SIM-карты только меняют по просьбе, т.е. старая перестаёт работать, и взамен неё выдаётся нвая.
Но это не тот случай, т.к. основная SIM-карта работает.
Плюс, напомню, код всегда сначала приходит в Telegram.
Ну т.е. Дуров сам пока не в курсе.
Ждём разбора.
Forwarded from Volunteer Support
Здравствуйте Георг. Наши специалисты исследовали ваш случай и вот что узнали:

Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.

Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)

Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")

Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.

На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Объясняю, что это значит.
ФСБ, совместно с МТС, устраивает спланированную акцию, в рамках которой выключает приём СМС на SIM-карте в телефоне Албурова. После этого хакеры запрашивают код и получают его либо на второй SIM-карте в ФСБ (дубляжи SIM-карт всех известных политических активистов у них есть), либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина.

Вот такая штука произошла. Надо сказать, я удивлён. Ну т.е. я предполагаю, что они будут делать и не такое, но не сейчас, когда всё более-менее тихо и спокойно, никаких больших протестных акций не планируется и никакая революция не происходит.

Остаётся непонятным только то, почему первое сообщение с кодом, которое обязательно приходит сначала в телеграм-клиент, не пришло. Впрочем, его вполне могли удалить хакеры, после того, как получили доступ к аккаунту.
Есть такая занятная книжка. Подсказали, что там описывается эта процедура, и пообщали помочь её добыть :)
Подтвердилось моё предположение о том, что первое сообщение с кодом авторизации удалили хакеры, а сообщение о присоединении нового устройства отзывается с него (но сохранятся на других):
Forwarded from Georgy Alburov
А мне должен был прийти пароль сначала в самом телеграме? А то его нету
Forwarded from Georgy Alburov
Forwarded from Volunteer Support
Приветствую.

Скорее всего пароль пришел, но был удален злоумышленниками сразу после входа. Благодаря синхронизации он удалился на всех устройствах.

То же самое произошло с уведомлением — если сообщение будет прочитано с другого устройства, оно отзывается.
Forwarded from Volunteer Support
Уведомление отзывается.
Forwarded from Georgy Alburov
Как получилось, что сообщение с паролем не осталось, а сообщение с информацией о входе осталось? Забыли удалить, или не стали?
Forwarded from Volunteer Support
А вот сообщение о входе не отправляется на то устройство, вход с которого был выполнен. Для них этого сообщения просто не существовало.