podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Версия для печати Блоггерам

Очередной SMS-скандал про взлом переписки

Как всегда, «угон аккаунтов», интриги-скандалы-расследования и прочие «происки врагов демократии». Всё как мы любим. Очередная мировая сенсация с навешиванием ярлыков и призывами к всенародному бойкоту. А что произошло на самом деле? Достоверно утверждать пока нельзя, но кейс интересный и поучительный.

Цель публикации – оценить возможные варианты и сделать выводы. Чтобы в будущем действовать соответственно. Без лишних эмоций и криков «враги сожгли родную хату!». Нам с вами эпизод интересен для понимания работы определённых механизмов.

Что это было?

Ночью 29 апреля взломали аккаунты месcенджера Telegram оппозиционного активиста Олега Козловского и сотрудника Фонда борьбы с коррупцией Георгия Албурова. Надо полагать, кто-то почитал и скопировал переписку, тем дело и закончилось. О финансовых или иных последствиях пока ничего не сообщалось, но и произошедшего более чем достаточно. Во всяком случае, инцидент был широко освещён везде, где оппозиционным активистам его осветить удалось (ТВ «Дождь», «Медуза» и аналогичные издания). Хронология события от лица одного из пострадавших (Георгия Албурова), орфография оригинала сохранена:

«Больше трех дней прошло с момента взлома моего и Олег Козловский телеграмов при помощи МТС. Ярость и возмущение сменилось холодной и отрефлексированной жаждой мести. Что же произошло?

  1. В ночь на 29 апреля МТС по приказу злоумышленников (ФСБ) отключает нашим с Козловским телефонам возможность принимать СМС
  2. Для наших телеграм-аккаунтов запрашивается СМС код для входа, который МТС не доставляет, а передает злоумышленникам
  3. Злоумышленники выкачивают нашу переписку и включают возможность принимать СМС
  4. МТС сразу признается (Козловскому и Телегаму), что их отдел безопасности (читай филиал ФСБ) отключил нам услугу СМС, при этом указывает точное время
  5. МТС начинает отрицать, что отключения услуг были. Предыдущие заявления называет «технической ошибкой».

Скриншот оригинала (полный текст) см. выше. Суть атаки понятна: злоумышленник каким-то образом завладел кодом авторизации, который Telegram отправил внутри SMS на телефоны Григория Албурова и Олега Козловского. Далее авторизовался в сервисе Telegram и (скорее всего) смог почитать и скопировать переписку. Пока абстрагируемся от уже заранее сделанных выводов о «происках кровавой гэбни», собираем факты в кучку.

Мнение Павла Дурова, создателя Telegram, озвученное на сайте «Дождя»:

«Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода». Дуров добавил, что Telegram планирует сделать массовую рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, «так как операторы связи РФ как верификатор ненадежны».

Твиттер-профили пострадавших от взлома. Телефоны указаны в профилях, а у активиста и агента изменений Олега Козловского обозначена и привязка номера к сервису Telergram. Безопасная двухфакторная авторизация не была подключена к сервису Telegram ни у одного из пострадавших от взлома. Номеров привязанных к телефонам кредитных карт в профилях почему-то нет, странно. Шутки шутками, но «оппозиционный активист» и «агент изменений» как будто сами напрашивались на неприятность, согласитесь.

Ответ от Telegram с отсылкой к «службе поддержки МТС». Вот тут начинает быть интересно. Дело в том, что прямого контракта с МТС на доставку SMS-сообщений у Telegram нет, мессенджер пользуется услугами одного из SMS-агрегаторов. Это посредник, у которого есть действующий контракт с МТС и который продаёт своим клиентам SMS-трафик дешевле, чем закупает его оптом в МТС. Агрегатор получает тексты SMS-сообщений от своих клиентов (в нашем случае от Telegram) и далее сам перенаправляет эти SMS в МТС вместе с номерами телефонов, которым эти SMS предназначаются. Вопрос: к кому обратился Telegram с вопросом о судьбе своего SMS-сообщения? К МТС? Сомневаюсь, Telegram для МТС не клиент и вообще никто. К своему SMS-агрегатору? Более вероятно.

Поехали дальше. Ответ МТС в твиттере «по горячим следам» см. выше. Означает ровно то, что в ответе написано: «действий обслуживания не производилось» подразумевает полное отсутствие каких бы то ни было операций руками сотрудников на номере. Более развернутый комментарий пресс-службы МТС через 2 дня: «Никаких целенаправленных действий по отключению услуг не производилось, появившаяся в блогах информация об отключении услуги сотрудником не соответствует действительности».

Мнение Олега Козловского:

«"Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из "компетентных органов"). Если есть другие варианты - предлагайте", - добавил Козловский и посоветовал всем пользователям Telegram подключать двухэтапную авторизацию (т. е. не только SMS, но и пароль)».

Версия 1

Гипотеза взлома через СОРМ (Система оперативно-розыскных мероприятий). Традиционно наша оппозиция любые свои горести и передряги объявляет происками спецслужб, но мы постараемся не обсуждать политику. Версия правдоподобна? На мой взгляд, не очень. СОРМ, конечно, никто не отменял, но эта система позволяет слушать/читать, а не совершать какие-то действия на оборудовании оператора. То есть, воспрепятствовать доставке SMS-сообщений через СОРМ вряд ли можно. Плюс традиционный вопрос «Зачем?». Насколько я понимаю, в рамках СОРМ любые переговоры и любая переписка должны быть доступны, иначе никакая компания, никакой оператор и никакая технология не будут допущены к работе в России. А мессенджер Telegram, заметьте, активно рекламировался и продвигался государственными и окологосударственными компаниями. Если не ошибаюсь, даже министр связи что-то тёплое писал о Telegram в своём твиттере. Зачем устраивать пляски с бубном вокруг того, что и так лежит на блюдечке с голубой каёмочкой?

Версия 2

«Слив» на стороне SMS-агрегатора. Та самая «прокладка» между оператором и сервисом Telegram. Версия выглядела очень правдоподобно и не противоречила ни одному из фактов. Действительно, зачем было отключать жертвам SMS-сервис, когда было достаточно задержать отправку одного SMS с кодом в сеть оператора? Использовать код для входа и слива переписки, а потом доставить это SMS с некоторой задержкой. Или вовсе не доставить, неважно. В такой версии всё прекрасно стыковалось: в МТС справедливо отвечали «никто ничего не делал» (SMS до сети оператора даже не дошло), пострадавшие винили МТС, т. к. о самом существовании агрегатора даже не подозревали, в своём ответе Telegram могли цитировать ответ на свой запрос именно агрегатора. Да, был телефонный звонок в контактный центр и один из пострадавших утверждал, что ему сказали об отключенной услуге SMS, но был ли правильно понят сотрудник? Однако через день пострадавшие выложили в интернет свои счета за апрель, и всё стало намного интереснее.

Счетоводство

А если всё-таки дело было в МТС? Пару слов разъяснений про то, чем является ежемесячный счёт. Это документ, в котором фиксируются суммы трат и поступивших денег, звонки и SMS по разным направлениям (тоже суммарно), все подключаемые и отключаемые в течение месяца дополнительные и базовые услуги. В случае исправления ошибочных списаний цифры не меняются, вы увидите в счёте дополнительные строчки с указанием сумм корректировок. Если не ошибаюсь, именно та часть биллинга, которая занимается обработкой/выпиской счетов, как раз и является сертифицированной. В отличие от всяких детализаций и ответов на запросы о последних платных действиях, которые предоставляются для ознакомления. А вот ежемесячный счёт считается истиной в последней инстанции, внести в него изменения задним числом (да и «передним» тоже) практически невозможно.

Давайте посмотрим на выложенный в интернет счёт (картинка в большем разрешении доступна по клику), в нескольких строчках счёта много интересного. Всё написанное ниже действительно только при условии того, что счёт не был отредактирован в фотошопе. На мою просьбу заказать счёт в интернет-помощнике на мой адрес email господин Козловский, к сожалению, не отреагировал.

Итак, в 2:25 ночи была подключена услуга «Запрет информирования при добавлении/удалении услуг». С этого момента любые действия на номере перестали фиксироваться в SMS-сообщениях абоненту. В интернет-помощнике эта услуга есть, но эта услуга технологическая. Используется сотрудником МТС в случаях, когда на номере нужно выполнить много операций (например, при смене владельца номера) и клиента ни к чему зря нервировать кучей непонятных SMS-сообщений.

Через 34 секунды на номере отключают SMS-сервис и мобильный интернет, теперь ни одна входящая SMS до телефона не доберётся. Мог ли это сделать сам абонент или кто-то в режиме удалённого доступа? Сам абонент — почти исключено, профессионал в режиме удалённого доступа — маловероятно. Система должна была сперва обработать «запрет информирования», человек должен был в этом убедиться и потом запустить отключение SMS-сервиса. В режиме удалённого доступа к системе уложиться в 34 секунды практически невозможно. Работая с прямым доступом к базе на месте — реально.

Из прочего интересного — ещё одно отключение на номере мобильного интернета на период 7 минут. Зачем? Трудно сказать. Олег Козловский считает, что отключали после его первой жалобы, чтобы подчистить хвосты, но это непринципиально. Нам интересно то, что между взломом и повторным отключением интернета прошло больше 14 часов. Т.е. в «операции» либо участвовал не один сотрудник МТС (рабочая смена в контактном центре длится 12 часов), либо один, но не совсем простой сотрудник с наличием доступа к биллингу из дома.

Версия 3

Всё было исполнено только внутри МТС? Навскидку такой вариант напрашивается, но есть определённые нестыковки. Главный вопрос: кто прочитал пришедшее SMS и вытащил из него код для регистрации в чужом аккаунте Telegram? В рамках этой версии SMS с кодом до телефона не дошло (и не могло дойти), застряв где-то в недрах SMS-центра. Не думаю, что в МТС так уж много специалистов с уровнем квалификации и правами доступа для того, чтобы вытащить из SMS-центра и прочитать злополучную SMS с кодом. А если «операцию» проводил специалист такого уровня, то почему он так «намусорил» в биллинге? Можно же было отключить SMS-сервис для номера на коммутаторе, и тогда счёт сохранил бы девственную чистоту. В конце концов, можно было просто на пару часов отключить SIM-карту от сети, и тогда вообще никаких следов не осталось бы. То же относится к версии «операции» на корпоративном уровне по заказу спецслужб, на такой версии настаивают оппозиционеры. Это был бы совсем уж маловероятный сценарий махрового непрофессионализма на стороне МТС, поверить в такое трудно. И вспоминается бородатый анекдот про «неуловимого Джо», см. раздел «Версия 1».

Версия 4

«Двухходовочка» МТС + агрегатор. С точки зрения финансовых вложений вариант выглядит самым привлекательным. Выцепить и прочитать SMS на стороне агрегатора, а на стороне МТС подключить блокирующие услуги силами простого труженика контактного центра города Ульяновска. За сравнительно небольшие деньги. Немного смущает повторное отключение мобильного интернета через 14 часов.

Версия 5

Наконец, сценарий хорошо спланированной провокации тоже нельзя исключить. Очень уж бурная PR-активность мгновенно развернулась по этому поводу, в том числе в иностранной прессе. Не обошлось и без натяжек. Например, в РБК позавчера вдруг опубликовали гневную статью про «сверхдоходы» МТС от услуги «Вам звонили» на пакетных тарифах. Причем, «актуальная аналитика» РБК неожиданно родилась спустя месяца полтора после того, как плату за эту услугу в МТС отменили. Ещё обеспокоенный народ приходит в салоны МТС, они «по радио слышали» о том, что в МТС теперь будут брать плату за входящие звонки. А уж телеканал «Дождь» всех подписчиков напрочь залил своим атмосферным осадком на эту тему. Я, например, до этого случая про существование Олега Козловского не подозревал и про сообщество «агентов изменений» тоже не слышал. Теперь слышал, знаю и вас вот приобщил к этому знанию, ЧТД.

Резюме

Его, к сожалению, на этот раз не будет. В МТС пока молчат, действуя по известному принципу идущего каравана и сопутствующей каравану активности. Если выложенные в сеть счета не фейк, то правильнее было бы отреагировать в период затишья майских праздников. Что касается перечисленных выше версий произошедшего, то лично у меня предпочтений нет, честно. Выбирайте ту версию, которая соответствует вашим убеждениям, и бодайтесь себе на здоровье в комментариях. Пока с интересом ждём дальнейшего развития событий. Главное, не забывайте про двухфакторную авторизацию, её придумали именно для предупреждения таких неприятностей.

Ссылки по теме

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано - 08 мая 2016 г.

Мы в социальных сетях:

blog comments powered by Disqus

Есть, что добавить?! Пишите... eldar@mobile-review.com

Новости:

30.03.2017 Telegram запустил для мобильных устройств шифрованные голосовые вызовы

30.03.2017 IMAX и Warner Bros. подписали соглашения по производству трех VR-проектов

Hit

30.03.2017 Видео на канале: Первый взгляд - Nintendo Switch!

30.03.2017 МТС выходит на рынок облачных услуг для крупного бизнеса

30.03.2017 Яндекс.Маркет и GfK Rus изучили, как россияне покупают со смартфонов

Hit

30.03.2017 Видео на канале: Обзор часов Meizu MIX

30.03.2017 Samsung представила обновленную компактную панорамную камеру Gear 360

30.03.2017 Док-станция Samsung DeX превращает новые смартфоны Samsung в ПК

29.03.2017 Samsung официально представила свои новые флагманские модели смартфонов – Galaxy S8 и S8+

29.03.2017 ZTE Nubia Z17 Mini получит сдвоенную камеру и будет показан 6 апреля

29.03.2017 LG V30 получит две двойных камеры?

29.03.2017 Micromax представил Dual 5 со сдвоенной основной камерой

29.03.2017 Tele2 обнуляет трафик в Viber

29.03.2017 В России стартуют продажи смартфона TP-Link Neffos X1

29.03.2017 Xiaomi начинает бороться с серыми поставками в России

29.03.2017 Яндекс.Маркет и Почта России запускают совместный проект

29.03.2017 Huawei представила для России флагмана линейки Honor – 8 Pro

28.03.2017 Вредоносные приложения в Google Play маскируются под Minecraft

28.03.2017 Очки дополненной реальности от Apple появятся через год или позже

28.03.2017 Vodafone рассекретил европейские цены на Samsung Galaxy S8

28.03.2017 Задержки поставок Google Pixel при покупке через Google Play превысили месяц

28.03.2017 Microsoft не покажет Surface Book 2 этой весной

28.03.2017 Oppo R11 получит двойную основную камеру

28.03.2017 LG подала иск о нарушении патентных прав в отношении североамериканского производителя смартфонов BLU

28.03.2017 Энди Рубин подразнил мобильный мир, показав часть будущего смартфона от своей новой компании

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.