tiphareth: всеобщий переход на телеграм в качестве блогохостинга

Настроение:	sick
Музыка:	Delerium - FACES FORMS AND ILLUSIONS
Entry tags:	anti-russia, boloto, censorship, vk.com

всеобщий переход на телеграм в качестве блогохостинга
Галковский пропагандирует всеобщий переход на телеграм
в качестве блогохостинга, ссылаясь на "героическую
борьбу Дурова с роскомцензурой":
https://galkovsky.livejournal.com/272175.html

А на самом деле речь идет о раскрутке пирамидной схемы,
которая за первый месяц принесла своим авторам два миллиарда.

https://www.forbes.com/sites/kenrapoza/2018/02/28/is-telegrams-massive-ico-a-harbinger-of-things-to-come/

There are various, unconfirmed rumors floating around that
Telegram has already raised $3.8 billion in its pre-sale,
which gives early entrants a discount on Telegram's TON
coin. Russia's Vedomosti business daily said that a
venture firm that was investing in the ICO noted that some
are already offering their pre-sale purchased tokens at a
20% to 30% premium to would-be investors once this thing
closes. The TON coin, which stands for Telegram Open
Network, would be used for making purchases via Telegram
on their own blockchain.

In Russia, industry pros and seasoned money managers are
already piling into Telegram. It's not cheap. The minimum
limit for the first round is as high as $20 million for
outsiders and $500,000 for ?friends.? Because of its brand
name recognition, Telegram's ICO is not the garden variety
crowdfunding model. It's more like a global roadshow, with
wealthy investors from Asia, Europe and the U.S. all
willing to bet that Telegram's estimated 200 million users
will start using their Telegram Open Network wallets, buy
TON coins and spend them on goods and services on the app.

И принесет, по консервативным оценкам, порядка 10
миллиардов долларов к концу года.

Если кто-то в танке, отечественным миллиардерам, в свете
санкций, грядущих и будущих, очень хочется вкладываться
в крипто; об этом не говорит только совсем ленивый. Но
вкладываться в крипто, которое они не контролируют, им
неохота, тем более что Биткойн в самый неудобный момент
начал резко падать. И Дуров предлагает всевозможным
дерипаскам простой и целиком легальный способ
инвестировать миллиарды в крипто, которое контролируется
из России, и публичные лица которого всем известны
(в отличие от Биткойна, целиком анонимного). Теперь
ему нужно доказать этим олигархам, что TON лучше,
эффективнее и надежнее биткойнов и всех остальных
криптовалют; для этого и нужна нанайская борьба
с Роскомцензурой. Тошнотворные болотные
хомячки с мессенджерами и ТГ-каналами обеспечивают
изрядный паблисити, но мессенжеров десятки, и Телеграм
едва ли попадает в первую; в надежность Телеграмма
никто из людей, занимающихся IT, не верит, потому что
неоднократно разоблачали. Зато идиотское нападение
Роскомцензуры (а) поднимает Телеграм из второго десятка
мессенджеров в основного ньюсмейкера этого сезона,
и изображает Дурова рьяным борцом за свободы и (б)
демонстрирует публике, что любая техническая проблема,
даже созданная гебешным Левиафаном, найдет быстрое
и безболезненное решение силами технической поддержки
Телеграма. Трудно представить себе олигарха, который
не вынет свои активы из долларов, с целью отнести их
в TON, такая хорошая рекламная кампания.

Иначе говоря, Роскомцензура не покладая рук
занимается раскруткой телеграммовской
крипто-пирамиды для олигархов.

У меня нет никаких сомнений, что это
идиотство проплачено: решаются вопросы порядка
миллиарда долларов, а система Роскомцензуры такова,
что ваш сайт может закрыть навеки человек с социальной
ответственностью газпромовской уборщицы, и с такой
же примерно зарплатой. Понятно, что 9/10 деятельности
Роскомцензуры - коммерческий заказ на закрытие
того или иного бизнеса, либо сомнительного, типа
казино и рекламы проституток, либо целиком легального.
И действительно, на любом IP хостят сотни разных
сайтов, и чисто статистически хотя бы в одном
из них что-то будет, достаточно найти одну
неприличную картинку, и можно закрывать все подряд.

Но с раскруткой Телеграма мразям достался просто
жирнейший кусок, никакие копеечные казино и проститутки
миллионных откатов не приносят, а с дуровским крипто
счет должен идти на миллиарды. Цензоры монетизируют
цензурный механизм.

Кстати, если кто забыл: закон о цензуре Интернета был
принят по инициативе бывалой яблочницы Мизулиной, но
главным решальщиком был болотный мразоид Пономарев,
причем ни одна болотная мразь (а тогда еще действовал
"Координационный Совет Оппозиции" для координации
болотных мразей) ни словом, ни делом не выступила
против. Потому что рашка - говно, ее население говно,
и ее "оппозиция" такое же говно, чтоб они все
сдохли нахуй.

Привет

(Читать комментарии) - (Добавить комментарий)

	asper 2018-04-22 13:59 (ссылка)
	а можно подробней (Ответить) (Уровень выше) (Ветвь дискуссии)

	sgasgar 2018-04-22 16:47 (ссылка)
	Да что там подробней, простое пиздобольство. У клиентов открытый исходный код, так что, пожалуйста, пруф в виде кода предоставьте. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2018-04-22 16:51 (ссылка)
	лол блядь какой тебе открытый код в плеймаркете и аппсторе?? хуй ты где найдешь исходники, которые после сборки дадут бинарник идентичный пакету на маркетах (Ответить) (Уровень выше)

asper
2018-04-22 16:52 (ссылка)

ну код можно обфусцировать, можно во время работы программ подзагружать внешние скрипты, выполняющие какие-то действия, так что в открытом коде "телеметрии на китайские айпишники" может и не быть.

Олсо надо ещё наверное доказать, что поставленное с маркета приложение использует тот же код, что выложен в репозиторий.

(Ответить) (Уровень выше) (Ветвь дискуссии)

tiphareth
2018-04-22 17:42 (ссылка)

оно в любом случае бесконечно дырявое

https://news.ycombinator.com/item?id=16280713

Well, to me the whole thing is about a couple of things:

When Telegram first launched, people were reading their crypto whitepaper and going "Whoa, this is weird. You should probably not be doing it like this", and the reply was "Well, our 6 world champion coders (did you win a coding world championship?) think it is nice. Deal with it".

They then launched a bullshit crypto challenge (which would have been secure even using crypto primitives we _know_ are insecure). People told them that wasn't how it was done. They replied something cocky about world champion coders.

A couple of months later, someone found an gaping hole where the server could MITM every newly started secret chat (which their hack for forward secrecy a couple of years later would have made possible for every 100 messages).

I think their attitude towards encrypted messaging hasn't left puberty yet, and I recommend against it for everyone looking for a secure messenger. For anyone looking for a more convenient whatsapp without caring much for privacy by default, I don't mind recommending Telegram.

https://eprint.iacr.org/2015/1177.pdf
Abstract. Telegram is a popular messaging app which supports end-
to-end encrypted communication. In Spring 2015 we performed an audit
of Telegram's source code. This short paper summarizes our ndings.
Our main discovery is that the symmetric encryption scheme used in
Telegram { known as MTProto { is not IND-CCA secure, since it is
possible to turn any ciphertext into a dierent ciphertext that decrypts
to the same message.
We stress that this is a theoretical attack on the denition of security and
we do not see any way of turning the attack into a full plaintext-recovery
attack. At the same time, we see no reason why one should use a less
secure encryption scheme when more secure (and at least as ecient)
solutions exist.
The take-home message (once again) is that well-studied, provably se-
cure encryption schemes that achieve strong denitions of security (e.g.,
authenticated-encryption) are to be preferred to home-brewed encryption
schemes.

* * *
https://www.verdict.co.uk/telegram-security-flaw/
Telegram security flaw left computers vulnerable to cryptocurrency mining

Telegram positions itself as the most secure messaging app available but in actual fact, it doesn’t live up to the hype. The security issues detailed by the Kaspersky Lab researchers are just one of a long line of problems Telegram has had to deal with.

For one, its 100m users believe that all the messages they send are encrypted. This prevents anyone apart from the two people involved in the conversation from seeing what was said. However, Telegram is not end-to-end encrypted, the highest level of encryption, used in apps such as Wire and Whatsapp.

Wire, for instance, uses the Signal protocol, a proven method of encryption. Instead, Telegram uses its own protocol, MTproto. This isn’t regarded with the same caliber as Signal amongst security researchers and has some major flaws.

* * *

Telegram IM security flaw – what you see is NOT always what you get
https://nakedsecurity.sophos.com/2018/02/16/telegram-instant-messaging-flaw-the-images-that-were-programs/

(Ответить) (Уровень выше) (Ветвь дискуссии)

	asper 2018-04-22 19:06 (ссылка)
	Ну периодически кому-то что-то выплачивают за найденные уязвимости. (Ответить) (Уровень выше)

deevrod
2018-04-22 19:49 (ссылка)

А как ты вообще хотя бы теоретически представляешь что-то
связанное с компьютерами, которое не было бы бесконечно дырявым?
Я не разбираюсь совершенно, и мне правда интересно.
Казалось бы, в любой иерархической системе такого масштаба
чисто по теории вероятностей всегда будут дыры.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2018-04-22 20:42 (ссылка)
	телега существенно более дырявая, чем любая альтернатива даже воцап мне похуй тащемта, но население возбуждается насчет сайберсекьюрити (Ответить) (Уровень выше)

polytheme
2018-04-23 10:01 (ссылка)

я представляю это примерно так:

https://en.wikipedia.org/wiki/L4_microkernel_family#High_assurance:_seL4
https://en.wikipedia.org/wiki/CompCert

https://en.wikipedia.org/wiki/Formal_verification

ровно та деятельность, которую Воеводский хотел привинтить к математике.
есть проблема в том, как сформулировать "невзламываемость". это должен быть, с одной стороны, формальный критерий, который у программы хотя бы теоретически (с любой выч. сложностью) можно проверить, а с другой - отражающий реальную невозможность навредить пользователю при определенных предположениях (понятно, что не при любых: терморектальный криптоанализ, это вот все). думаю, что это вполне реалистично, но, конечно
а) над этим надо работать
б) это требует гораздо больших трудозатрат
в) это не имеет никакого отношения к телеграму

(Ответить) (Уровень выше)

	(Анонимно) 2018-04-22 20:45 (ссылка)
	Они с тех пори исправились и перевели криптографию на более стандартные решения. Это старые новости. Но осадочек конечно остался. (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2018-04-22 21:00 (ссылка)
	да нихуя же не перевели https://en.wikipedia.org/wiki/Telegram_(service)#Encryption_scheme (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2018-04-22 22:01 (ссылка)
	в 17ом году перевели на MTProto 2.0 версии, которые вроде без известных дырок. Статьи написаны про 1.0 версию. (Ответить) (Уровень выше) (Ветвь дискуссии)

tiphareth
2018-04-22 22:27 (ссылка)

всем похуй
https://crypto.stackexchange.com/questions/55108/has-telegram-security-been-significantly-improved-with-mtproto-2-0
https://crypto.stackexchange.com/questions/31418/signal-vs-telegram-in-terms-of-protocols
я так понимаю, все, чем отличается новая - SHA 128 заменили на SHA 256.
No big deal, говно осталось говном.

(Ответить) (Уровень выше) (Ветвь дискуссии)

kaledin
2018-04-23 00:36 (ссылка)

Оно типа не для того, чтобы защищать отдельных личностей, за которыми ходят целенаправлено, а типа для того, чтобы пресечь массовые блокировки (и чтоб граждане могли организовать майдан). Для этого сильная криптография не нужна, а нужна уверенность, что оно в критический момент не прогнется. Вотсап прогнется к гадалке не ходи. Но в январе в Иране этот тоже прогнулся сразу и без писка.

(Ответить) (Уровень выше)

	tiphareth 2018-04-22 17:44 (ссылка)
	нет, клиентов с открытым кодом у этого говна не существует (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2018-04-23 10:03 (ссылка)
	клиенты существуют, у него же открытый протокол. даже к пиджину плагин есть: https://github.com/majn/telegram-purple и вообще очень много другое дело, что сервер закрыт. (Ответить) (Уровень выше)

(Анонимно)
2018-04-23 23:52 (ссылка)

вообще-то есть.
под мобилу на f-droid, там форк с выпиленной аналитикой и гугл-картами.
https://github.com/Telegram-FOSS-Team/Telegram-FOSS
https://f-droid.org/packages/org.telegram.messenger/

а, и если у тебя на генте не завелся официальный бинарник -- вот, возьми ебилд. https://github.com/reagentoo/gentoo-overlay/tree/master/net-im/telegram-desktop

(Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2018-04-24 00:41 (ссылка)
	какая разница, он все равно нихуя не работает (Ответить) (Уровень выше)

	tiphareth 2018-04-24 00:42 (ссылка)
	бинарник к генте у меня есть, closed-source и это непригодный к жизни кусок говна, запиленный какими-то ебанавтами на коленке (Ответить) (Уровень выше)

	(Анонимно) 2018-04-24 00:48 (ссылка)
	using end-to-end encryption does not prevent messaging services from collecting metadata. https://medium.freecodecamp.org/why-i-asked-my-friends-to-stop-using-whatsapp-and-telegram-e93346b3c1f0 (Ответить) (Уровень выше)

(Читать комментарии) -