Кто и как проникает в интернет-переписку? - Эльдар Муртазин, Сергей Пузанков, Владислав Здольников - Точка - 2016-05-08
А. Плющев
―
Московское время 22 часа 9 минут, добрый вечер, вас приветствует Александр Плющев. Сегодня я один по-прежнему? Сергей Оселедько в отпуске. Поздравляю всех с прошедшими и наступающими праздниками. И казалось бы, что вот в эти праздничные дни у нас будет трудно с темами или с гостями – вовсе нет, выяснилось, что ровно наоборот ситуация. У нас сегодня одна из, может быть, самых горячих тем и дискуссий ожидается. Мы в прошлой программе начали об этом говорить, совсем краешком задели, поскольку наши эксперты собрались по другому поводу. Ну, вот Григорий Бакунов из Яндекса говорил об этом.Тема нашей сегодняшней программы: «Кто и как проникает в интернет-переписку?». Поводом для этого стал взлом, проникновение в аккаунты Telegram двух оппозиционеров – Георгия Албурова и Олега Козловского. Они изложили свою версию событий, появилось еще много версий событий. Вот сегодня мы решили более-менее разобраться в том, что произошло, разные версии озвучить, во всяком случае, а уж разбираться, может быть, придется вам или делать выводы. И, кроме того, может быть, наметить какие-то, я не знаю, какие-то рекомендации дать, как пользователям обезопасить себя, если они опасаются, что в их интернет-переписку могут проникнуть. И, кстати, может быть поговорим еще, вообще стоит ли этого опасаться.
Поговорить мы решили с Владиславом Здольниковым, IT-консультантом Фонда борьбы с коррупцией. Добрый вечер, Владислав.
В. Здольников
―
Добрый вечер.
А. Плющев
―
Также Сергей Пузанков здесь, эксперт по безопасности телеком-операторов компании Positive Technologies. Добрый вечер.
С. Пузанков
―
Добрый вечер.
А. Плющев
―
Они написали отличную статью на Хабрахабре, я назвал ее «Очумелые ручки». То есть, они показали, прямо опыт провели, каким образом могло это произойти. Ну, и по телефону у нас, поскольку не смог присутствовать в студии здесь, Эльдар Муртазин, Mobile-Review. Добрый вечер.
Э. Муртазин
―
Добрый вечер.
А. Плющев
―
Эльдар, тебя не очень здорово слышно, но я надеюсь, как-то мы более-менее услышим тебя.Значит, что произошло, я сначала чуть-чуть изложу просто факты. В конце апреля в один и тот же день у двух оппозиционеров было проникновение в их Telegram. Ну, и у обоих была авторизация через телефон, через телефонного оператора МТС, оба обвинили оператора МТС в сотрудничестве со взломщиками. В качестве взломщиков подозревали спецслужбы. Это то, что произошло, что случилось. Ну, и дальше начались самые разные версии.
Я предлагаю, поскольку более или менее может, наверное, представлять пострадавших, человек, который к ним ближе всех – это Владислав Здольников здесь, IT-консультант Фонда борьбы с коррупцией, чтобы он очень кратко… Я вообще призываю сегодняшних гостей быть предельно краткими. Нас, во-первых, много. А во-вторых, времени мало. Кратко изложил то, что произошло. Ваша версия, точнее, я бы так сказал.
В. Здольников
―
В нашей версии мы полностью уверены. Все началось с того, что ночью и Георгию Албурову, и Козловскому отключают услуги очень важные: отключают интернет, отключают смс-информирование о том, что производятся операции с услугами – очевидно, чтобы они не узнали о том, что это происходит. И отключается услуга смс. После этого у обоих запрашивают, хакеры, очевидно, запрашивают новым Telegram-клиентом смс-сообщение, смс-сообщение с кодами. Собственно, эти коды вводят в эти клиенты, получают доступ к переписке, так как двухфакторная аутентификация не была включена. И после этого, очевидно, выкачивают логи. После того, как вся работа была закончена (это в обоих случаях примерно четыре часа утра) все услуги включают обратно, а, собственно, этот клиент отключают.Ну, очевидно, это сделано все, мы уверены абсолютно в том, что это произошло, что это все устроили российские спецслужбы, все действия координировались в том числе с МТС, потому что…
А. Плющев
―
Что говорит о том, что МТС принимало участие здесь?
В. Здольников
―
Вообще лучше всего говорит об этом тот факт, что МТС потом, вместо того чтобы объяснить, что произошло, внятно, они почему-то отказались вообще объяснять что-то, начали рассказывать про какие-то хакерские атаки и так далее.
А. Плющев
―
Это, кстати… ну, как тебе сказать? Я за двадцать с лишним лет работы в новостях сталкивался с тем, что очень многие компании, причастные или не причастные, ведут себя самым разнообразным образом: некоторые ведут активную пиар-компанию, некоторые совершенно закрываются, некоторые объясняют, некоторые – нет. Яндекс в аналогичной ситуации предпочел объяснить, и мне это тоже показалось самым правильным, но…
В. Здольников
―
Очень важные вещи, которые говорят об этом – это, например, то, что сначала Козловский позвонил в МТС, чтобы разобраться в ситуации, ему два оператора последовательно – причем, насколько я понимаю, на разных уровнях, сначала простой какой-то оператор в колл-центре, потом оператор уже на втором уровне, видимо, более какой-то серьезный – ему сказали дословно одно и то же: что эти услуги были выключены и включены в отделе технологической безопасности, при этом точно указав время выключения, включения, они явно это читали со своего монитора. И я уверен, что врать им нету никакого смысла. Ровно после того, как, собственно, в социальных сетях появилась информация о взломе, они перестали… во-первых, сотрудники в колл-центре начали говорить, что никаких действий с услугами они не видят, что ничего не происходило. Это во-первых.Во-вторых, совершенно точно… очень интересная тоже ситуация: когда Георгий Албуров запрашивал выписку в личном кабинете, у него не было никакой информации о включении или отключении услуг. И, собственно, явно поставили задачу техническим каким-то службам убрать эти строки из выдачи, собственно, в детализации. При этом в месячной детализации, которую они получали в офисе (и Козловский, и Албуров), там информация о том, что эти услуги отключались и включались, она есть. Я считаю, что в этой ситуации, если МТС не причастны к этим отключениям и включениям услуг, им совершенно нет никакого повода врать, говорить про какие-то вирусные атаки…
А. Плющев
―
Ок, спасибо большое. Просто чтобы у нас побыстрее шла дискуссия, я сейчас хочу подключить Эльдара Муртазина, потому что он стал, наверное, самым ярким критиком этой версии, выступил со своей версией, даже, скорее, с пятью версиями, которые он изложил у себя на Mobile-review.com. И я прошу его как бы не то чтобы сейчас эти версии нам вновь повторить, а выступить, так сказать, с квинтэссенцией всего, что ты думаешь по этому поводу. Эльдар, пожалуйста.
Э. Муртазин
―
Саш, привет. Привет, слушатели. Я хочу сразу оговориться следующее, что перед эфиром Владислав Здольников написал о том, что я получил деньги от компании МТС за их защиту.
В. Здольников
―
Я прошу прощения, перебью. Я этого не писал.
Э. Муртазин
―
Ну, значит, за траншем отправлялся не я, и вы не отвечаете за свои слова, насколько я понимаю, которые вы пишете в Твиттере. Может быть, ваши соратники.
В. Здольников
―
Я вас прошу тогда опубликовать мои слова в своем Твиттере.
А. Плющев
―
Прошу прощения, давайте в эфире мы будем говорить по теме эфира. Что у вас происходило за эфиром, можете там выяснить в социальных сетях, где угодно.
Э. Муртазин
―
Саш, это очень важно с точки зрения понимания того, что люди говорят, как они перевирают факты. Потому что иначе мы в этой ситуации не разберемся.Значит, с точки зрения того, что происходило, и того, что говорила компания МТС и (неразб.) говорили. Есть сайт, который они открыли, для того чтобы люди переходили с МТС, потому что МТС – нечестный оператор. Там прямо кнопочки – переходи на других операторов. На этом сайте они выложили не детализации своих разговоров, а счета. Это немножко разные вещи. Это абсолютно разные вещи, потому что в детализации показывается то, что пользователь подключил самостоятельно, то есть неважно, каким образом. В счете показываются все услуги.
Соответственно, там действительно есть отключения те или иные, которые мог произвести отдел технической безопасности и информационной защиты компании МТС. В каких случаях это происходит? Это происходит в случаях, когда операторы связи, так же, как любая компания, которая сегодня работает на рынке, не защищена от взлома и манипуляций извне. Есть разные каналы, как это можно сделать. Я надеюсь, Positive Technologies расскажет про SS7 и другие моменты более подробно. Но от взлома не защищен никто сегодня. Уровень защиты может отличаться. Как только идет атака на тех или иных абонентов, на группы абонентов, идет реакция. В частности, у них могут отключаться те или иные услуги, в том числе. Но это ни в коем случае не говорит о том, что компания специально это сделала для какого-то взлома или чего-то подобного.
Есть еще один момент, который меня лично очень удивляет. Потому что в этих счетах видно важную штуку. В частности, у Георгия Албурова видно, что он трое суток, три дня не пользовался своим телефоном, ему просто отключили за недостатком средств. Человек, который говорит о том, что это его основной телефон, так же, как Олег Козловский, три дня был без связи. Я себе современного человека без связи не представляю. Подключил он телефон обратно ровно перед взломом. Ну, это так как бы, мимо, что называется, просто такие штришки к портрету.
Следующий момент, на котором хочу заострить внимание. Потому что сегодня говорят все о взломе МТС, о том, что пострадали Telegram-аккаунты. На мой взгляд, в частности господин Албуров является юристом и получал услугу он у компании МТС совершенно другую. Смс идет от компании Telegram через агрегаторы. Это физически так. То есть, Telegram не работает напрямую, потому что он зарегистрирован вообще вне России, он не работает на территории Российской Федерации официально, все смски отправляются через некоего агрегатора, у которого уровень защиты на порядки ниже, чем в компании МТС. И в частности провести атаку подобную и вынудить оператора заблокировать те или иные номера, целый пул номеров, достаточно легко. Более того, два года назад уже была подобная ситуация, когда ломали агрегаторы и через агрегаторы устроили для партии «Яблоко» рассылку с матом. Она обсуждалась два года назад очень широко.
И, вот подытоживая просто – я не хочу растекаться мыслью по древу – подытоживая, я хочу сказать следующее. На сегодняшний день версий может быть огромное количество, но всех удивляет другой момент: почему МТС молчит? Я вот за МТС выступать никак не могу, хотя скажу несколько моментов.
Первое: МТС не может разглашать данные о своих пользователях, об их действиях и прочем. То есть, это невозможно для компании, иначе она пойдет в суд и проиграет этот суд.
Второй момент. В частности версию о том, что хакерская или вирусная атака – один из возможных вариантов, в своем блоге на Хабре Positive Technologies тоже озвучили, что, возможно, было такое (неразб.). То есть, можно придумывать множество версий, что это было. Доподлинно мы не знаем, что произошло и, к сожалению, скорее всего, мы этого не узнаем. Но я более чем уверен, что та методика, которой пользуются пострадавшие, она очень похожа на гринмейл, то есть корпоративный шантаж, шантаж крупной корпорации, которую просто вымакивают в непотребной субстанции и пытаются показать, какая она плохая. Это вот классика жанра, что называется, других причин здесь быть не может. Не потому, что МТС белый и пушистый, а потому, что на сегодняшний день любой оператор в России, любой, он подвержен ровно таким же атакам абсолютно, никто не защищен.
А. Плющев
―
Хорошо. У нас есть одна история, насколько я понимаю – это разговоры с представителями технической поддержки МТС. Ведь есть свидетельства этому, да? Это я спрашиваю у Владислава.
В. Здольников
―
Да, на сайте mts-slil.info, на который я призываю всех зайти и посмотреть, ознакомиться с доказательствами, особенно тем, кто верит Эльдару. Там, во-первых, есть запись разговора с сотрудниками МТС, которые два говорят одно и тоже, еще раз повторю.И, во-вторых, дорогой Эльдар, вы же ведущий мобильный аналитик, вы говорите про какой-то шантаж оператора – о чем вы вообще говорите? Какой шантаж оператора, если два сотрудника МТС на разных уровнях говорят ровно одно и то же? Не знаю, оппозиция внедрила своих каких-то сотрудников, которые там поотключали эти сообщения? Ну, пожалуйста, хорошо. Почему МТС-то об этом не расскажет открыто тогда?
А. Плющев
―
Ну, вопрос это не к МТС, да.
Э. Муртазин
―
Владислав, во-первых, я вам не «дорогой».
В. Здольников
―
Прошу прощения.
Э. Муртазин
―
Я с вами на одном поле (неразб.). Это во-первых. Во-вторых…
В. Здольников
―
Не, ну, на одном поле вы со мной не разговаривали, когда обещали научить меня общаться и манерам.
А. Плющев
―
Господа, не теряйте время. Пожалуйста.
Э. Муртазин
―
Еще раз, значит, операторы отвечали, причем низкоуровневые операторы, не высокоуровневые операторы отвечали ровно то, что они видели у себя на компьютере, компьютер им выдавал, они ровно это и озвучили. Причины, которые вы хотите получить, вы можете их получить, написав (неразб.) компанию МТС. Вы получите развернутый ответ о том, что происходило с этими счетами. Это первое.Второе. Все эти события происходили очень интересным образом: перед праздниками, причем вечером. Ну, как бы это очень странно. Наверное, хакеры, которые атакуют, они выбирают такое время, когда люди расслабились. Не знаю. Ну, это тоже как бы звоночек.
Вопрос в другом. На сегодняшний день нет ни одного доказательства того, что компания МТС сделала это осознанно и целенаправленно. Более того, Дмитрий Солодовников, который является пресс-секретарем компании МТС, дал комментарий о том, что целенаправленно услуги какие-либо этим оппозиционерам не отключались. Можно, конечно, верить вашей демагогии о том, что это происходило, злобная ФСБ и прочее, но против вас играет одна простая штука: в России есть закон о следственно-розыскных мероприятиях. Согласно этому закону, если оператор оказывает содействие в таких мероприятиях спецслужбам, то он не может информировать об этом кого-либо, включая пострадавших или других лиц. Если они это делают, за это будет наказание, которое очень простое – отзыв лицензии. На сегодняшний день никто у компании МТС лицензию не отзывал.
В. Здольников
―
То вы рассказываете про то, что это какие-то хакеры, очевидно, либо вообще оппозиция это сделала сама, размывая факты, которые изложены на сайте. То говорите, что МТС это мог сделать все-таки, но не может об этом рассказать. Вот это вот абсолютно непонятно мне, например.
А. Плющев
―
Эльдар, я прошу прощения, вот от тебя сейчас последняя реплика на пару минут, и после мы уже продолжим, чтобы просто на этом не зацикливаться.
Э. Муртазин
―
Давай.
А. Плющев
―
Давай.
Э. Муртазин
―
Ну, реплика очень простая. Сегодня определенная группа лиц в России занимается, используя в том числе и технические средства, эксплуатирует достаточно простую вещь. Есть огромное число людей, которые недовольны тем или иным оператором, все знают, что операторы воруют. Ну, то есть, это вот на уровне бытового сознания. Причем куда ни ткни, каждый оператор, он плохой. Эксплуатируют наиболее как бы четко вызывающие резонанс истории, в том числе что сети связи не защищены. Я еще раз хочу подчеркнуть, что человек с улицы взломать сеть (неважно, МТС, Билайна и прочих), создать такие условия не сможет. То есть, на сегодняшний день для этого нужно иметь очень хорошую квалификацию. Вот эта история, которая произошла с оппозицией, и то, куда они шли, и какие выписки просили… ни один нормальный человек в этой жизни не просит вместо детализации счет. Я специально поинтересовался в Большой тройке, сколько таких выписок получают в месяц люди, ну, в процентовке в Москве – это единицы. То есть, люди знали четко, что брать, что смотреть. Сейчас они рассказывают о том, что они вот случайно получили эти сведения. Они создали, скорее всего, эту ситуацию самостоятельно тем или иным образом. Причем господина Козловского, скорее всего, используют даже в этой истории втемную – настолько он искренне возмущается тем, что вот его взломали. Не знаю, эта история, она дурно пахнущая, это гринмейл, с моей точки зрения, так же, как было в свое время с ВТБ. Ну, вот коротко.
А. Плющев
―
Хорошо, спасибо большое. На этом попрощаемся с Эльдаром Муртазиным. Жаль, что не смог приехать к нам в студию, но ничего, в следующий раз.Значит, были изложены точки зрения. Мы Сергея Пузанкова еще даже не вводили в эфир, только поздоровались. Вот сейчас самое время, мне кажется. Хотя скоро прерываться, но ничего, продолжим потом.
У вас отличная вышла статья на Хабрахабре от Positive Technologies.
С. Пузанков
―
Спасибо.
А. Плющев
―
Просто даже очень рекомендую людям, которых заинтересовала эта тема, может быть, они не все даже технические термины понимают. Там настолько все элементарно изложено, что, в общем, вы поймете, даже если вы не являетесь никаким специалистом абсолютно, каким образом это происходило. Изложите вот пока – у нас есть сейчас три минутки – изложите пока ее суть для наших слушателей, которые Хабрахабр не читали или не читают вообще.
С. Пузанков
―
Суть, если говорить кратко, примерно в следующем. Мы пытались играть роль некоего злоумышленника, хакера, который получил доступ к системам телекоммуникаций. Произвели регистрацию абонента, у которого есть Telegram, в некой фальшивой сети, эмулируя, что абонент уехал куда-то в роуминг. Далее смс, входящие смс для этого абонента будут приходить именно в эту фальшивую сеть. И когда мы начали проводить аутентификацию на новом устройстве с Telegram, используя телефонный номер абонента, такой нашей жертвы искусственно созданной, смс пришла на наше оборудование в нашу фальшивую сеть. Вот, собственно, и все.
А. Плющев
―
Да, и потом вы с ее помощью влезли в Telegram, посмотрели, что там можно взглянуть. Влезли в свой собственный на самом деле.
С. Пузанков
―
Да-да-да.
А. Плющев
―
Не в чей-то чужой. Посмотрели, что можно посмотреть там: открытые чаты можно, закрытые – нельзя, как, собственно, и говорилось об этом в теории. Вы все это на практике, очень интересный был прямо опыт, реально «Очумелые ручки» прямо.И у меня вот какой вопрос в связи с этим. Я так понимаю, ну, даже из слов Эльдара, из слов Владислава, из ваших, Сергей – что версии эти, что могло быть… у вас речь же идет о технической уязвимости на самом деле, которую вы использовали.
С. Пузанков
―
Да.
А. Плющев
―
И вы были на месте злоумышленников. Что все эти версии, они примерно равновероятны. Или вы настаиваете на том, что, например, ваша версия, она самая вероятная? Вот что меня интересует.
С. Пузанков
―
Я не могу настаивать ни на какой из версий, потому как меня интересует только техническая сторона этого вопроса, насколько это возможно было сделать. Мы провели опыты. Все остальное – это дело политиков. Пожалуйста, обсуждайте.
А. Плющев
―
Да, то есть, вы этим опытом доказали, что могло быть (именно вот в таком речевом обороте), могло быть, это происходить и без участия оператора и без участия людей внутри оператора.
С. Пузанков
―
В принципе, могло, да.
А. Плющев
―
Это важно подчеркнуть. Давайте сделаем вот что: сейчас прервемся буквально на пару минут. Я напомню, что у нас эксперт по безопасности телеком-операторов компании Positive Technologies Сергей Пузанков здесь и Владислав Здольников, IT-консультант Фонда борьбы с коррупцией. Ваши контакты, которые вы можете использовать, для того чтобы послать нам смс - +7-985-970-45-45. Есть еще веб-форма на сайте echo.msk.ru. Твиттер, к сожалению, со вчерашнего дня не работает по-прежнему, поэтому только либо через веб, либо через смс. Если у вас есть вопросы – пожалуйста, поддерживайте нашу здесь беседу. Через пару минут вернемся. РЕКЛАМА
А. Плющев
―
Мы продолжаем обсуждать, кто и как проникает в интернет-переписку. Отправной точкой для нас стал взлом, точнее проникновение в аккаунты Telegram Георгия Албурова и Олега Козловского, двух оппозиционеров. Мы слышали, что сказал Эльдар Муртазин из Mobile Research Group. И здесь у нас в студии представитель, эксперт по безопасности телеком-операторов компании Positive Technologies Сергей Пузанков и Владислав Здольников, он консультирует Фонд борьбы с коррупцией по вопросам IT. Вот я еще Сергея хотел спросить о том… Значит, получается, что главная уязвимость, ну, вот как спрашивает Джей-Си Дентон, наш слушатель из Санкт-Петербурга: то есть, все-таки виновато отсутствие безопасности мобильной сети, в результате.
С. Пузанков
―
Здесь нельзя сказать, что виновато отсутствие безопасности, потому как если предположить даже, что выполнялось именно тем методом, который мы провели на практике в виде опыта, это была обычная процедура регистрации абонента в какой-то другой сети. Когда абонент едет в роуминг в другую страну, все происходит, с точки зрения техники, с точки зрения технологий, абсолютно легально. И от этого защититься на самом деле очень сложно.
А. Плющев
―
Кстати, объясните это насчет роуминга. Вы тем более эмулировали то, что уехал в роуминг человек, да? Это какое отношение имеет к рассматриваемому кейсу? Албуров вроде в Москве был.
С. Пузанков
―
Нет, происходит фиктивная регистрация в другой сети, и после этого в базе данных оператора указывается, ну, скажем так, некое поле, куда абонент уехал – и туда начинают уходить входящие смски для этого абонента.
А. Плющев
―
А, понятно, то есть, это как бы фальшивый абонент уехал в роуминг у нас.
С. Пузанков
―
Да, абонент уехал в фальшивый роуминг – вот так правильнее сказать.
В. Здольников
―
Я тут хочу уточнить, что я абсолютно не спорю с Сергеем. Я поддерживаю то, что его компания и, видимо, он сам написали в посте на Хабре. Но тут очень важно уточнить, что описанное в этом посте – это 50% того, что случилось, причем альтернативное видение нашему того, что случилось. Да, действительно, такое возможно, для этого нужно, чтобы очень много условий было соблюдено. То есть, атакующие должны иметь доступ в сеть ОКС-7, что достаточно сложно…
С. Пузанков
―
Я не согласен.
В. Здольников
―
… у них должен быть открытый CAMEL-роуминг, что еще сложнее.
А. Плющев
―
Сейчас можно проще изъясняться для наших слушателей.
В. Здольников
―
Да, я уточню, что это достаточно сложная атака с точки зрения хакеров. Если, грубо говоря, это все вот так вот произошло, хакеры очень сильно наследили в системе. Дело в том, что такие атаки, они не редкость, потому что сами сотовые сети, они достаточно уязвимы с этой точки зрения. И разборы вот таких атак фродов – это абсолютно банальная ситуация для любого сотового оператора, потому что с этим сталкиваются буквально все и это остается очень во многих местах у оператора. Я уверен, что МТС, в этом случае они бы очень быстро рассказали, что случилось. По сути, в том типе атаки, который описал Сергей, там МТС не виноват был бы. Но в совокупности с тем, что еще произошло, ну, то есть, вот остальные 50% произошедшего – это когда отключали услуги – вот это с помощью этой атаки сделать уже невозможно, хотя это случилось.
А. Плющев
―
Главное, говорили о них, об отключениях услуг, хотя Эльдар нам говорит, что это не тот уровень свидетельства. Но это хоть какое-то свидетельство.
В. Здольников
―
Эльдар говорит, что это, возможно, была атака, среди прочих вариантов, которые он рассматривает, среди этих всех конспирологических, он, например, рассматривает вариант атаки на агрегатор – это компания-посредник при доставке смс между Telegram и самим МТС. Но не объясняет, например, почему все три случая, среди которых два успешных и один неуспешный )это с Кирой Ярмыш, пресс-секретарем Алексея Навального), почему все абоненты атакуемые оказались абонентами МТС, он не пояснил, например. То есть, вот тут тоже такой вопрос. Потому что эта атака, которая описывается в посте Сергея, это независимо от того, что это за оператор у атакуемого, абсолютно неважно, она делается одинаково во всех случаях. А жертвами, вообще атакуемыми оказались почему-то только абоненты МТС. Поэтому мы настаиваем на своей версии.
А. Плющев
―
Нам тут пишут из Воронежской области: «Как бывший работник центра поддержки клиентов одного из операторов Большой тройки могу подтвердить, что в системе совершенно четко отражаются отключения услуг интернета и смс и отражается, кто именно их отключил. Поэтому оператор центра поддержки говорил правду, говорил, что видел. У оператора триста звонков за смену, включать воображение оператору некогда. Это первое. Второе. Невозможно, по крайней мере в Вымпелкоме, самостоятельно и через личный кабинет выключить прием смс, это принципиально. Нельзя этого делать даже оператору по просьбе абонента. Поэтому это или оператор, или оперативные службы. Не представляюсь, связан коммерческой тайной». Ну, представились бы там, я не знаю, Эльдаром, ну, любым другим именем, неважно. Джей-Си Дентон вот так пишет себя. И он спрашивает, Джей-Си Дентон из Санкт-Петербурга: «Если произошло так, как написано на Хабре, то выходит, что МТС отреагировала и отключила услуги, дабы не допустить получения хакерами смс от Telegram. И, может быть, тогда хакеры и не проникли в Telegram?» - спрашивает он.
В. Здольников
―
Я могу уточнить, что это все-таки запрос смс произошел после отключения услуг. То бишь, это не…
А. Плющев
―
На Хабре, там достаточно понятно, по-моему, написано.
В. Здольников
―
Там описан процесс перехвата смс, не отключения услуг.
А. Плющев
―
Да, Джей-Си Дентон, вы просто немного запутались, не знаю почему. Но неважно. Хорошо.
В. Здольников
―
И вот эта версия читателя предыдущего, точнее, не версия, информация о том, что невозможно отключить действительно ни из личного кабинета, ни с помощью простого оператора в колл-центре услугу смс-сообщений, она полностью крушит все эти версии конспирологические ведущего мобильного аналитика Эльдара Муртазина, как бы еще одно подтверждение несостоятельности этих версий.
А. Плющев
―
Его же с нами в эфире нет, бессмысленно спорить.
С. Пузанков
―
Еще один момент. Когда происходит попытка входа в любой мессенджер с нового устройства, приходит обязательно уведомление не только в смс, но и в мессенджер изначальный, на то устройство, где мессенджер был установлен изначально. Абсолютно аналогичное сообщение с одинаковыми кодами.
В. Здольников
―
И как раз для того…
А. Плющев
―
Это произошло в нашем случае?
В. Здольников
―
Дело в том, что, для того чтобы атакуемые не получили эти сообщения непосредственно, у мессенджера была отключена услуга интернет, им отключили еще интернет. Им отключили всего три услуги: смс, интернет и информирование о включении-отключении услуг, чтобы они не узнали о том, что им включают или отключают услуги. Дело в том, что iPhone, устройства под iOS, они работают таким образом, что…
А. Плющев
―
Я вдруг задумался: а что сделать, чтобы у тебя не отключили интернет вот так вот, ну, то есть включить второй, второй могут отключить так же, третий. Окружил себя устройствами из пяти симок, не на себя зарегистрированными.
В. Здольников
―
Это сработало, потому что устройства под iOS в standby-режиме, то есть когда они просто погашены, в спящем режиме находятся, они отключаются от сети Wi-Fi, собственно, которая есть у атакуемых дома, и поэтому они не получили смс-сообщения. Включается, только когда выходят из спящего режима через некоторое время.
А. Плющев
―
Владислав, хочу вам задать вопрос такой, может быть не самый приятный. Ты у нас фигурируешь в программе как IT-консультант Фонда борьбы с коррупцией. Наверное, консультируешь их, вот Албурова, Козловского и так далее. Так чего же они не включили двухфакторную аутентификацию с самого начала? Как же ты там и консультируешь?
В. Здольников
―
Сейчас могу рассказать, что… буду говорить, и Георгий будет краснеть в это время. Мне тоже, это тоже моя проблема отчасти. Дело в том, что Козловский, он не является сотрудником ФБК, я с ним не очень-то был знаком до этого момента. А вот в случае с Георгием… Ну, я, естественно, говорю всем сотрудникам ФБК, говорил о том, что это необходимо включать, некоторым даже принудительно это делал. И в случае с Георгием получилось так, что я его просил много раз, а он не включил. Ну, вот такая вот ситуация. Это и моя проблема и…
А. Плющев
―
Их личная безалаберность.
В. Здольников
―
Можно и так сказать. Ну, в случае с Козловским он сказал, что он просто не знал, что такая есть возможность. Ну, вот в случае с Георгием, к сожалению, так.
С. Пузанков
―
По умолчанию изначально мессенджеры по обычной схеме аутентификации работают.
А. Плющев
―
Да, это правда.
С. Пузанков
―
Двухфакторную надо включить, надо знать об этом.
А. Плющев
―
Кстати, например, я пропустил момент, когда они ее ввели вообще, Telegram. У него вначале ее просто не было, вот когда они запустились, ее просто не было.
С. Пузанков
―
У меня не установлена до сих пор.
В. Здольников
―
Она появилась год назад.
А. Плющев
―
Positive Technologies у себя не устанавливает. Но надо сказать…
С. Пузанков
―
Я лично.
В. Здольников
―
Это, видимо, специально для тестовой атаки какой-нибудь.
А. Плющев
―
Может быть, не знаю. Я хочу сказать вот что. Это важно, мне кажется, для наших слушателей и так далее. У меня в свое время взламывали и почту, и социальные сети, все разом. Я знаю, что это такое. Даже выкачивали весь почтовый архив. Даже не знаю, бедные люди, они будут до пенсии его читать, даже если какую-нибудь поисковую систему к нему прикрутят. Неважно. Я просто понимаю, что это такое, потерять контроль над тем, чем ты располагаешь. И поэтому на самом деле эта история меня сподобила мало того, что включить двухфакторную аутентификацию в Telegram, которой у меня тоже не было, так еще и вообще предпринять ряд каких-то мер: отвязать, если это возможно, от мобильного телефона или привязать их к мобильному телефону иностранного оператора и так далее. Все разные сервисы. Я, честно говоря, только с ВКонтакте не стал так поступать…
С. Пузанков
―
Бесполезно, конечно.
А. Плющев
―
Там у меня, кроме музыки, вообще… Да, и главное, что бесполезно.
С. Пузанков
―
Все читают.
А. Плющев
―
Мы понимаем, что все, в общем, бесполезно. Так вот сидел всю субботу и с этим возился. Мне кажется, это достаточно важная история. Конечно, появились два таких мученика, Козловский с Албуровым…
В. Здольников
―
Это не просто так, конечно.
А. Плющев
―
… по собственной в том числе безалаберности. Но они на нашу безалаберность указывают, о том, что вообще неплохо было бы какие-то действия предпринять. Вот как раз у Сергея хочу спросить: какие действия лучше всего предпринять и в каком порядке? Но, судя по всему, судя по тому, что вы лично не включаете двухфакторную авторизацию, не все так плохо на самом деле.
С. Пузанков
―
Нет, у меня там ничего такого нет. Если кто уведет – да ради бога.
А. Плющев
―
Понятно. То есть, Telegram вы не используете в качестве какого-то основного мессенджера или что-то еще в этом духе.
С. Пузанков
―
Нет, я там не пользуюсь какими-то секретными вещами. Но, да, для безопасности в первую очередь – это двухфакторная аутентификация…
А. Плющев
―
Постойте, но есть же такие вещи… Давайте тогда на шаг назад немного отойдем, да?С. Пузанков
―
Давайте.
А. Плющев
―
Telegram – одна история. Но есть же еще и почта, и другие мессенджеры, и Skype, и бог знает что. И сам по себе, самое главное, сам по себе мобильный оператор. Из банка приходят смски, всякие разные коды безопасности и все такое. И мне кажется, это как раз история-то про то, что у каждого из нас, может, секретов-то и нет, особенно на уровне оппозиционной борьбы, а вот деньги у нас в банке у каждого практически.
С. Пузанков
―
Да, это очень важно. И поэтому, к сожалению, надо пароли тоже ставить подлиннее и посильнее, поустойчивее, конечно.
А. Плющев
―
Давайте вот с этого шага, Сергей, попробуем порассуждать.
С. Пузанков
―
С точки зрения банка?
А. Плющев
―
Ну, например.
С. Пузанков
―
У меня есть второй телефон, не основной, и симка вставлена в обычный старенький кнопочный телефон, куда не войдет ни один андроид-троянец и прочее. Этот номер я использую для банков в том числе, например. Раз, если говорить обо мне лично.
А. Плющев
―
Надо таскать с собой два аппарата.
С. Пузанков
―
Я не призываю, это личное дело каждого.
А. Плющев
―
Я понимаю, просто это плата за безопасность.
С. Пузанков
―
Это плата за безопасность, да.
А. Плющев
―
Так, что дальше, каковы рекомендации? У нас есть у каждого личная жизнь. Ну, не знаю, мы начальника обсуждаем в закрытых чатах или открытых, например. Мне бы не очень хотелось, чтобы… я условно говорю, не мы как «Эхо Москвы», а мы все начальников обсуждаем, например. И мне или кому угодно мало бы хотелось, чтобы это вскрылось и опубликовалось, например, да? Ну, как-то это надо защищать, мне кажется. Кроме того, что вообще не очень хорошо за спиной обсуждать, правда. Об этических моментах в другой передаче какой-нибудь.
С. Пузанков
―
Смотрите, если говорим о мессенджерах, двухфакторная аутентификация, наверное, все-таки важна в этих вещах. Там, где есть секретные чаты, то есть информация не хранится на сервере и потом не заливается на новое устройство, желательно все-таки пользоваться такими вещами.
А. Плющев
―
Имеет ли смысл… это, наверное, уже вопрос к Владиславу, поскольку вы, значит, запилили этот сайт “МТС слил”. Сразу же встал вопрос: а какой в этом смысл? Потому что все операторы, как мы подразумеваем, работают в одних и тех же условиях. И, наверное, если они вынуждены сотрудничать, или сотрудничают, или они там дырявые все – все остальные точно такие же, наверное, как МТС.
В. Здольников
―
Смотрите, тут, во-первых, такая история, что этот сайт сделан для того, чтобы объяснить людям, в том числе вопреки альтернативным объяснениям, что все-таки произошло, аргументированно, с доказательствами и так далее. Дальше как бы каждый человек, он сделает свой вывод. И почему мы призываем перестать пользоваться МТС? По той простой причине, что, во-первых, это до сих пор произошло только с абонентами МТС. Мы должны повышать цену для таких поступков, мы должны показывать другим операторам, чем заканчиваются действия, когда оператор вот так вот обращается с данными своих абонентов, передает смс. Передает смс – это ладно, это делается на СОРМ в рамках закона. Но отключать и выключать услуги – это уже за гранью, и этим до сих пор не занимался никакой оператор. Мы из-за этого и призываем уходить, потому что на примере МТС все остальные операторы должны задуматься: а что будет, если мы сделаем так же? Сейчас на ссылки, на странице перехода на других операторов на ссылки нажало уже почти десять тысяч человек, там больше девяти тысяч.
А. Плющев
―
Это вовсе не означает, что они перешли.
В. Здольников
―
Естественно. Точно так же, как те, кто перешли, они… Я полностью согласен. Точно так же, как не все перешедшие, они перейдут непосредственно через этот сайт, по ссылкам с сайта. Тут как бы такая двоякая история. Ну, это просто статистика для хоть какого-то понимания. Лучшее понимание можно будет узнать из базы переносов номеров, но это уже чуть попозже мы выложим эту информацию.
А. Плющев
―
На акциях МТС, например, это вообще никак не сказалось, вообще.
В. Здольников
―
Ну, смотрите, Алексей Навальный выпустил пост с поиском адвоката, для того чтобы судиться в Америке с компанией МТС. Если это произойдет, я думаю, это будет громкая история, которая скажется и на акциях, и на планах инвесторов. И, в общем, это очень важно. Я думаю, что все-таки, несмотря на то, что сейчас, ну, и количество абонентов, в общем-то, неплохое, небольшое, это все, эта шумиха, она никакому оператору не нужна, тем более в таком ключе, когда оператор не может уже буквально неделю объяснить это ничем, кроме каких-то глупых историй с вирусными атаками.
А. Плющев
―
Сергей, хочу спросить у вас. Вот вы, компания Positive Technologies когда писала этот пост, вы сразу обратили внимание на уязвимость, давно известную уязвимость, вот эту SS7. Я о ней слышал еще задолго до вот этой истории.
С. Пузанков
―
Это скорее не уязвимость, это архитектурная особенность.
А. Плющев
―
Ну, да, которую используют в качестве уязвимости, допустим так.
С. Пузанков
―
Да, которую можно использовать.
А. Плющев
―
Объясните нашим радиослушателям, почему это никак не исправляется. И кто это должен исправить? Извините за такой вопрос.
С. Пузанков
―
Честно говоря, я не знаю, как это можно исправить, именно вот особенность такую. Почему она произошла? Потому как эта система протоколов разрабатывалась в 70-е – 80-е годы, изначально предполагалось, что она будет очень закрытой и туда стоимость входа настолько велика, что нет смысла делать какие-то механизмы защиты. Но позже появились операторы мобильные, виртуальные операторы и прочие-прочие, и сеть SS7, она распространилась довольно широко, очень много игроков появилось. Более того, позже она перешла на протокол IP, то есть стала работать поверх протокола IP, что не повышает безопасности именно этих протоколов.
А. Плющев
―
Понятно. Значит, я что хочу сказать? Что в любом случае, я надеюсь, что так или иначе компания МТС даст какое-то объяснение и, может быть, эта история продолжится. Может быть, у нас в эфире здесь, в программе «Точка» - мы всегда готовы тоже дальше продолжить этот разговор и будем этому крайне рады и крайне признательны представителям МТС, если они вдруг захотят здесь выступить.Значит, что будет дальше, что будет происходить с вот этой историей с Албуровым и Козловским? Это вопрос Владиславу Здольникову. Вы там собираетесь судиться за границей?
В. Здольников
―
Я к этому уже отношения непосредственно мало имею. По имеющейся у меня информации, да, Алексей Навальный в посте ищет юристов американских, которые готовы поучаствовать в таком очень интересном кейсе за бесплатно, ну, для своей репутации. Не знаю, чем это закончится, найдут – не найдут. Если найдут, то очень хорошо, я думаю, да. Ну, как бы по поводу суда здесь в России и других вещей, типа жалоб в Роскомнадзор и так далее – это лучше уточнить уже у самих жертв взлома, потому что я тоже не очень в курсе, что будет происходить дальше в этом плане. А мы будем продолжать кампанию по призыву смены оператора до тех пор, пока МТС внятно и четко не ответит, что произошло и почему.
А. Плющев
―
Спасибо большое. Владислав Здольников, IT-консультант Фонда борьбы с коррупцией. Сергей Пузанков, эксперт по безопасности телеком-операторов компании Positive Technologies. Также в первой части у нас участвовал Эльдар Муртазин, ведущий аналитик Mobile Research Group. Спасибо большое. Я прощаюсь с нашими гостями, но не прощаюсь со слушателями, через минут пять-шесть в программе «Эходром» здесь же. Пока!