Как спецслужбы читают личную переписку россиян в приложениях
Несколько месяцев назад я опубликовал статью об авторизации через SMS-сообщения, которую написал после атаки на Telegram в Иране. Недавно поступили сведения о новых попытках взломать учетные записи пользователей этого сервиса в Иране и в России.
Олег Козловский – оппозиционный активист и директор фонда «Образ будущего» (Москва).
Он написал в Facebook пост о том, как был взломан его аккаунт Telegram.
В пятницу, 29 апреля, в 2:25 по московскому времени МТС отключил сервис доставки SMS-сообщений на номер Козловского. Через 15 минут после этого кто-то попытался зайти в его учетную запись в Telegram. По умолчанию (если не активирована двухфакторная авторизация) авторизация учетной записи на новом устройстве выполняется при помощи кода, который отправляется в SMS-сообщении. В 3:08 злоумышленник ввел секретный код и получил доступ к аккаунту Козловского. Из автоматического уведомления Telegram о входе с нового устройства стало известно, что злоумышленник использовал консольную версию Telegram с IP-адреса, принадлежащего серверу анонимной сети Tor.
Через четыре минуты с этого же IP-адреса был выполнен вход в учетную запись Telegram Георгия Албурова. О других случаях взлома в эту ночь пока не сообщалось. Вероятнее всего, злоумышленника интересовала история сообщений (кроме сообщений из секретного чата, которые не хранятся) и список контактов.
Ночью Козловский спал и уведомление о входе с нового устройства прочитал только утром. Он позвонил в контактный центр МТС, где после консультации с экспертным отделом ему сообщили, что доставка SMS-сообщений на его номере действительно была отключена с 2:25 до 4:55 и что отключение произвел отдел технической безопасности компании. В разговоре с представителем этого отдела Козловскому отказали.
СОРМ – российская система прослушки
Учитывая, что оба пострадавших являются политическими активистами, не исключено, что их аккаунты были взломаны представителем государственных органов, сотрудничающих с МТС на основании Закона «О связи».
СОРМ (Система оперативно-розыскных мероприятий) – это российский аналог реализации Закона о помощи и содействии провайдеров телекоммуникационных услуг правоохранительным органам (США). СОРМ была введена в 1996 году для прослушивания телефонных переговоров. Со временем ее действие распространилось и на другие средства связи.
Зачем нужно было усложнять задачу и отключать сервис доставки SMS-сообщений, если их можно было просто перехватить? Возможно, тот, кто хотел получить доступ к учетным записям активистов, надеялся, что они об этом не узнают, если не получат соответствующие SMS-сообщения, и не вмешаются в середине процесса, не позволив получить всю интересующую злоумышленника информацию. Слабое место этой теории заключается в том, что при входе в учетную запись с нового устройства пользователь получает автоматическое уведомление от Telegram. То есть, даже не получив SMS-сообщение с кодом активации, Козловский мог бы сразу понять, что что-то не так, прочитав это уведомление. Более того, злоумышленник не выполнил выход из учетной записи. Получается, что Олег, проснувшись, увидел его IP-адрес в разделе «Активные сеансы». В общем, непонятно, почему нельзя было сделать то же самое простым перехватом SMS-сообщения. Если злоумышленник хотел остаться незамеченным, то ему это, по правде говоря, не очень удалось.
Авторизация по номеру телефона
В большинстве систем мгновенного обмена сообщениями и в процессе двухфакторной авторизации используется телефонный номер пользователя. Почему многие сервисы применяют для авторизации номер, который обычно назначается государственным оператором связи и по этой причине попадает под действие закона о прослушке, ведь такой способ авторизации – ненадежное средство (ловцы IMSI, ОКС-7), особенно в том случае, когда речь идет об активистах, выступающих против политики действующего правительства?
Этот способ обеспечивает удобство в использовании и рост аудитории. Он позволяет получить доступ к контактам, которые уже имеются в телефоне пользователя в других сервисах и приложениях. Зарегистрировавшись, пользователь может сразу посмотреть, у кого из знакомых стоит такое же приложение.
Кроме того, нет необходимости хранить незашифрованный список контактов на сервере, потому что все контакты пользователя содержатся в телефонной книге
(примечание: некоторые приложения, в том числе Telegram, не пользуются этой возможностью и хранят копию телефонной книги в незашифрованном виде на своих серверах).
Есть и еще один фактор: организовать удобный для пользователя процесс авторизации не так просто, поэтому применение чужой системы безопасности зачастую оказывается хорошим решением. У большинства операторов сотовой связи есть процедуры (хотя и ненадежные), согласно которым производится восстановление номера в случае потери или кражи телефона или SIM-карты. Эти процедуры подразумевают удостоверение личности, но необходимые для этого документы вполне можно подделать. В прошлом году неизвестные лица сумели получить дубликаты SIM-карт двух журналистов «Новой газеты».
Очевидно, что процедуры восстановления номера имеют серьезные недостатки. Активация через SMS-сообщения с кодом не гарантирует безопасность, в связи с чем Павел Дуров порекомендовал пользователям из тех стран, где были совершены атаки, активировать в своих аккаунтах двухфакторную авторизацию.
Users from troubled countries: make sure you have 2-step verification enabled – in Telegram and other services https://t.co/w81h4PjFv4
— Pavel Durov (@durov) April 29, 2016
Для начала это действительно неплохая мера, но она может оказаться недостаточной, особенно для жителей России и Ирана. Зная, что пользователь мог включить двухфакторную авторизацию, злоумышленник попытается получить доступ к его сообщениям через людей в списке его контактов.
Подобные случаи взлома можно эффективно предотвратить при помощи абонентского шифрования. Тогда злоумышленники, способные перехватить SMS с кодом, не смогут авторизовать новое устройство и получить доступ к истории сообщений.
Полагаю, из этой истории можно сделать следующие выводы:
Всегда используйте абонентское шифрование. Если предлагаемый процесс авторизации ненадежен, установите доступ по отпечатку пальца для тех приложений, в которых вы обмениваетесь важной информацией.