LINUX.ORG.RU
ФорумTalks

Взломали EncroChat

 , , , ,


0

2

Продублирую сюда на всякий: Ликвидация EncroChat

Не так давно Европол, NCA, Национальная жандамерия Франции и совместная следственная группа, сформированная при участии Франции и Нидерландов, провели совместную спецоперацию с целью компрометации серверов EncroChat путём «установки технического устройства» на серверы во Франции(1), чтобы получить возможность «вычислять и идентифицировать преступников с помощью анализа миллионов сообщений и сотен тысяч изображений».(2)

Некоторое время спустя после операции, EncroChat, обнаружив вторжение, разослал сообщение пользователям с рекомендацией «немедленно отключить и утилизировать ваши устройства».

Только в Соединённом Королевстве было арестовано 746 подозреваемых, изъято:

  • Более £54 000 000 наличными деньгами
  • 77 единиц огнестрельного оружия, в том числе AK47(прим. ред: это AKM), пистолеты-пулемёты, пистолеты, 4 гранаты и более 1 800 патронов.
  • Более двух тонн наркотических веществ класса A и B
  • Более 28 миллионов таблеток этизолама(так называемый «уличный диазепам»)
  • 55 дорогостоящих автомобилей и 73 штуки дорогих часов.

EncroChat представлял собой набор ПО и оборудования(модифицированные смартфоны) для организации коммуникаций с «гарантированной анонимностью, сквозным шифрованием, модифицированной платформой Android, двойной операционной системой, „самоуничтожающимися сообщениями“, „кнопкой паники“, уничтожением данных при множестве неверных попыток ввода пароля, secure boot, отключённым ADB и режимом восстановления»(3)

Платформа EncroChat на момент ликвидации насчитываля десятки тысяч пользователей(≈ 60 000) из разных стран, в том числе РФ. Стоимость модифицированных смартфонов составляла £1000, ПО — £1,500 за полугодовой контракт.

P.S. А вот пользовались бы они Tor + PGP не со смартфонов, а с нормального ноутбука со свободной ОС — не поймали бы никогда.

Немного саморекламы: есть анонимный Ящик, работает только через onion-сервис Tor, не требует javascript, cookie и регистрации. Из метаданных только дата отправки сообщения(без часов, минут и секунд) и его размер, всё остальное должен указывать сам пользователь.

Шифровать сообщения пользователь тоже должен сам, а простейшая инструкция есть тут: http://7apievo4h7gelatn.onion/contact.html

Квадрозепам, квинтозепам, всем пофигу. Можешь вместо этого в трех словах пересказать, как «установка технического устройства» превозмогла сквозное шифрование и «гарантированную анонимность»?

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

В источниках всё есть. Ну и сам по себе EncroChat не опенсорс, так что это, вполне возможно, «сквозное» шифрование.

SM5T001 ()
Ответ на: комментарий от SM5T001

Это магазин/форум. В торе. Был. Это что-то принципиально меняет? Был ещё русский аналог, RAMP, как его закрывали я знаю немного побольше других. И, поверь, спецы тебя всё равно закроют, если захотят.

K50 ()

А уж сервера во Франции это вообще конченым надо быть. Это ж американская колония, а Америка всё ещё сильна, несмотря на общий упадок.

K50 ()
Ответ на: комментарий от K50

Это что-то принципиально меняет?

Не-а, не меняет. Форумы и личная переписка — одно и то же. Зашифрованные PGP сообщения и торговые предложения, доступные публично — тоже одно и тоже.

Равно как одно и тоже — администрирование VPS не через .onion, а через VPN, ибо «так быстрее», выкладывание публичных адресов email от своего имени(с последующим «теневым» использованием), использование «анонимного» Bitcoin, убеждение, что «Tor всё сделает за тебя, владельцу Silkroad можно верить и не шифровать переписку».

То, что этих придурков ловили так долго как раз доказывает, что запас прочности при использовании только лишь Tor огромен. А теперь комбинируй инструменты.

Был ещё русский аналог, RAMP, как его закрывали я знаю немного побольше других

С этого момента поподробнее.

SM5T001 ()

P.S. А вот пользовались бы они Tor + PGP не со смартфонов, а с нормального ноутбука со свободной ОС — не поймали бы никогда.

Люди, которые так просто повелись на иллюзию анонимности попались бы ещё более смешным образом.

Prosto_user ★★ ()
Ответ на: комментарий от SM5T001

Это для тебя быстро, когда на одной страничке в википедии изложено, а не годы оперативной работы.

Про рамп подробностей не будет. Могу только намекнуть что школотрон в команде разработчиков оказался не случайно.

K50 ()
Ответ на: комментарий от K50

Это для тебя быстро, когда на одной страничке в википедии изложено, а не годы оперативной работы.

Где я сказал быстро? Ровно наоборот.

Про рамп подробностей не будет. Могу только намекнуть что школотрон в команде разработчиков оказался не случайно.

Можешь отписать мне в Ящик. Я даже ключ публичный дам: http://7apievo4h7gelatn.onion/mykey.asc

Ну, это если есть что сказать(троллинг не считается).

SM5T001 ()

Security through obscurity

Главный тег для этого топика

(И вспомнился один из эпизодов сериала «Better call Saul»)

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 2)

А вот пользовались бы они Tor + PGP не со смартфонов, а с нормального ноутбука со свободной ОС — не поймали бы никогда.

PGP использует сертификаты, Tor не шифрует сообщения. Попались бы.

next_time ★★★★★ ()
Ответ на: комментарий от SM5T001

Не-а, не меняет. Форумы и личная переписка — одно и то же. Зашифрованные PGP сообщения и торговые предложения, доступные публично — тоже одно и тоже.

в данном случае имело место быть «торговые предложения, доступные публично» vs «торговые предложения, доступные публично»

очевидно, что тамошние чатики - аналог silkroad и действуют по принципам телеграмм-каналов

next_time ★★★★★ ()

Думаю изначально весь этот EncroChat был хитрой провокацией спецслужб.

cocucka ★★★ ()
Ответ на: комментарий от next_time

И каждый такой чат примерно как отдельный onion-сервис. То есть вроде доступ открытый, но реально найти нужную информацию среди кучи мусора сложно.

SM5T001 ()
Ответ на: комментарий от kirk_johnson

атак на Tor не существует

Существуют, совершенно неуязвимых систем не бывает, просто на некотором этапе тривиальная и практически осуществимая атака становится непосильной.

Банальный пример — т.н. website fingerprinting, когда с помощью качественной DPI можно предполагать содержимое зашифрованного трафика даже через Tor, особенно если конечный ресурс сотрудниает с противником. Но дело в том, что против таких нефатальных атак можно предпринимать контрмеры, в данном случае контрмера — «зашумление» канала. Слышали про noisy script? А ведь это простейший, но всё же довольно эффективный «шумогенератор».

Стойкость Tor многократно подтверждалась на практике. Слышали недавнюю новость про поимку «фейсбучного маньяка-педофила»(на самом деле он так «работал», продавая фото детей тем, кто за них неплохо платил. Я об этом знаю чуть больше, чем СМИ)? Его пытались поймать ЧЕТЫРЕ ГОДА. Четыре года Tor в реализации Tails водил спецслужбы за нос, из-за чего им пришлось принять беспрецедентные меры, а именно отвалить миллионы бакинских за эксплоит, который компрометировал видеопроигрыватель Totem, встроенный в Tails. Но и это бы не помогло, если бы не доработки в алгоритмах Facebook, которые были сделаны специально под этот случай и позволяли следить за инцидентами и вмешиваться в процесс в режиме реального времени(может и про это новость наваять?).

Так вот, суть в том, что сам Tor не был скомпрометирован, была произведена атака по сторонним каналам. И эта атака оказалась проще и дешевле, чем атака на Tor.

И вот это сравнивать с атакой на центральный сервер(какой стыд!), серьёзно? Tor невозможно так атаковать.

атак на инфраструктуру PGP тоже.

Используй собственную реализацию. Её можно спрятать и отрезать от мира.

SM5T001 ()
Ответ на: комментарий от SM5T001

На самом деле, все очень просто – использовать нужно телеграм. Потому что у меня в городе все барыги через него работают, и я не знаю ни одной истории из разряда «сервер телеграма взломали и все узнали». В основном барыги сами сливают дроп-поинты.

kirk_johnson ★☆ ()
Ответ на: комментарий от ugoday

Передаю привет всем пользователям Телеграмма.

Телеграму уже восемь лет. Когда взломают-то уже?

kirk_johnson ★☆ ()

вот пользовались бы они Tor

Неизвестно где существовавшую дыру в связке Tor/Tor Browser уже нашли и закрыли. Вы это хотите сказать? Или подтвердите это, или перестаньте распространять заведомо ложную информаци.

tommy ★★★★★ ()
Ответ на: комментарий от K50

Силкроад закрыли но продаванов не посадили, посадили создателя спалившегося совсем не через тор. Так что сравнение с кривой проприетарной поделкой тут некорректно.

PS: Hail Hydra!

KillTheCat ★★★★★ ()
Ответ на: комментарий от KillTheCat

И продаванов тоже, до кого смогли дотянуться после захвата сервера. Спалился он не через тор, конечно, а через фаерфокс, это да.

K50 ()
Ответ на: комментарий от K50

Емнип, говорили (или это не про него?), что он вообще спалился на том, что попутал «чистые» и «грязные» почтовые ящики.

praseodim ★★★★★ ()
Ответ на: комментарий от KillTheCat

Я не назову точной цифры сейчас, да и данные были на уже почившем форуме. Хочешь - сам поищи
Хакер.ру пишет

Арестом Ульбрихта дело не кончилось. Полиция следом взялась за основных продавцов Silk Road и уже арестовала нескольких. Один жил в штате Вашингтон и торговал кокаином, героином и метамфетаминами высокого качества, другой попался в Великобритании за торговлю марихуаной, третьего и четвертого нашла и задержала шведская полиция

По моей памяти только в бритахе были десятки задержаний. Сам понимаешь, это было 7 лет назад, и с рампа я пруфы тебе уже не вытащу.

K50 ()
Ответ на: комментарий от praseodim

Там разные версии были, и рекапча, и уязвимость в фоксе, и паспорта ирл, и такая тоже. Может и всё сразу.

K50 ()
Ответ на: комментарий от kirk_johnson

Что-то мне подсказывает, что у этих «барыг» есть не только хлеб насущный, но и кое-что над головой. Особенно учитывая, что телеграм недавно согласился сотрудничать, да его ещё и разблокировали.

Всё это напоминает большую такую PR-акцию. Ну, как у нас с «подпольной либеральной оппозицией», которая есть суть ещё одна башня Кремля. Но люди, ЧСХ, и правда ведутся.

SM5T001 ()
Ответ на: комментарий от tommy

перестаньте распространять заведомо ложную информаци.

«Это тебе, Вася, не языком болтать.»

Давай пруф на «неизвестно где существовавшую дырку в связке Tor/Tor Browser» или не распространяй FUD.

SM5T001 ()
Ответ на: комментарий от KillTheCat

PS: Hail Hydra!

Оно под крышей и вроде даже не особо скрывает, что позволяет давить всех вокруг силой и даже рекламироваться в «обычном» нете. Беспрецедентная наглость.

Сдаётся мне, несколько старейших русскоязычных форумов, канувших недавно, тоже на её счету.

SM5T001 ()
Ответ на: комментарий от peregrine

А как действовать, если необходимо работать в том числе в «нашей реальности»?

Всё возможно, только нужно знать «старинные» методики работы спецслужб, как минимум — чтобы уметь противостоять, максимум — чтобы уметь самому применять.

И провокаторы всегда были и будут, от них никуда не деться. Не факт, что в сети безопаснее, в сети как минимум вся информация собирается, записывается и хранится неопределённо долго.

Да, сейчас уже повсюду CCTV, но ещё можно найти те же подземные парковки без камер(или хотя бы участки парковки, или договориться с охраной заранее). В крупном ТЦ в крупном городе на такой парковке затеряться не сложно, а дальше старинные методы — подтверждение личности, подтверждение причастности, взаимный «привет», тревожные коды, прощальные коды(всё должно всегда выглядеть максимально естественно), обмен долговременными секретами.

Если всё успешно — можно дальше будет нормально координировать «внесетевые» действия. Тут ключевые факторы — уровни доверия и децентрализация. Нельзя стопорить дело из-за одного «слетевшего». И если это все понимают, то и «свинтить» будет намного сложнее, как минимум подкупами точно. В общем, это уже сложный вопрос построения «тайной группировки», по сути целая наука, намного старше ИБ.

Сколько ни смотрю, всё одно всегда вижу — люди поверили в неуязвимость сети и полностью начали игнорировать правила безопасности за её пределами, на чём рано или поздно прокалывались. До смешного доходило.

SM5T001 ()
Последнее исправление: SM5T001 (всего исправлений: 1)
Ответ на: комментарий от K50

Был ещё русский аналог, RAMP, как его закрывали я знаю немного побольше других.

Тогда можешь ответить на вопросы, не задействуя инсайдерской информации?

  1. Это была чисто российская операция, или совместно с иностранными спецслужбами?

  2. Были ли после закрытия и до настоящего момента судебные процессы над пользователями RAMP? В России? В других странах?

  3. Сколько пользователей RAMP перешли на Гидру?

question4 ★★★★★ ()
Ответ на: комментарий от K50

какие ещё варианты-то.

«Всех пересажали или напугали» :)

question4 ★★★★★ ()
Ответ на: комментарий от SM5T001

В нашей реальности отлично, когда такие люди сидят. Не собираюсь я им помогать.

peregrine ★★★★★ ()
Ответ на: комментарий от next_time

Есть много вариантов. Угон, отмывание денег, взятки, нужное подчеркнуть, недостающее вписать.

CaveRat ★★ ()
Ответ на: комментарий от kirk_johnson

Аргумент уровня «у меня такая же нога, но не болит».

На самом деле, мы не знает, как поимели этот чатик, но почти уверен, что там было не только технические меры, но и старая добрая оперативно-розыскная деятельность, внедрение сотрудников под прикрытием и прочие милые сердцу вещи.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Чо бы это не было, если там e2e (который от такого и защищает), то переписку спалить не могли.

kirk_johnson ★☆ ()
Ответ на: комментарий от K50

Это магазин/форум. В торе. Был. Это что-то принципиально меняет? Был ещё русский аналог, RAMP, как его закрывали я знаю немного побольше других. И, поверь, спецы тебя всё равно закроют, если захотят

Так а что там случилось-то, хотя бы в общих чертах? А то я только сегодня узнал, что его, оказывается, закрыли. Гугление вообще не дает никаких отсылок на причастность органов к делу. Я скорее готов поверить, что хозяева просто кинули пользователей и закрыли площадку, чем на то, что российские мусора осилили компьютеры.

Во-вторых, я не вижу никаких теоретических препятствий для того, чтобы создать безупречную незвламываемую систему, в которой компроментация отдельных действующих лиц бы приводила к компроментации всей системы. Совсем другая проблема — это неконтролируемый и необоснованный рост сложности программного обеспечения. Совсем третья проблема — это ленивость и просто невежественность пользователей. Даже тех, кому угрожает реальный срок.

«Да кто меня в телеге найдет, там шифрование P2P» — классика жанра. И попробуй этим людям объяснить, что даже Tor уже много лет не является защищенным средством связи, поскольку солидная доля узлов находится под контролем самых разных государственных структур по всему миру — что не является большой тайной. Tor создавался для обеспечения связи с иностранной агентурой, и не более того, в него изначально заложены изъяны, которые не мешают его основной функции, но при этом позволяют контролировать каналы путем затраты достаточно больших средств.

byko3y ★★ ()
Ответ на: комментарий от SM5T001

Так вот, суть в том, что сам Tor не был скомпрометирован, была произведена атака по сторонним каналам. И эта атака оказалась проще и дешевле, чем атака на Tor

Я очень сомневаюсь, что тот чел защищался банальным Tails, а не использовал дополнительные меры, вроде подключения через кафешный вайфай или мобильный инет с постоянной сменой симок. Потому что такие методы позволяют получать анонимность даже без Tails/Tor.

byko3y ★★ ()
Ответ на: комментарий от kirk_johnson

Потому что у меня в городе все барыги через него работают, и я не знаю ни одной истории из разряда «сервер телеграма взломали и все узнали». В основном барыги сами сливают дроп-поинты

Купить пользователя у пашки стоит весьма дорого, потому покупают только серьезных людей, а не школьников-эскобаров.

byko3y ★★ ()
Ответ на: комментарий от byko3y

Купить пользователя у пашки стоит весьма дорого, потому покупают только серьезных людей, а не школьников-эскобаров.

Серьезные люди? Это какие? Сколько стоит? Кто рассказал?

kirk_johnson ★☆ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)