VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Мир смартфонов в РФ неумолимо меняется

Информация о разработках, технологиях, VoIP клиентах, серверах, библиотеках и всему что связано с темой форума

Модераторы: ded, april22, Zavr2008

Ответить
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Мир смартфонов в РФ неумолимо меняется

Сообщение ded »

Госдума приняла в первом чтении законопроект о предустановке российского софта на смартфоны.Речь также идет о компьютерах и телевизорах с функцией Smart-TV приложений, ориентированных на российскую аудиторию. Обязательное условие вводится для продажи таких технически сложных товаров.

Их точный перечень, а также порядок установки программ определит кабмин.
Правительство поддержало законопроект. Его принятие "будет способствовать продвижению российских программ на рынке информационных технологий".

В пояснительной записке также говорится, что законопроект обеспечит защиту интересов российских интернет-компаний. Это, по мнению авторов, позволит уменьшить количество злоупотреблений со стороны крупных иностранных компаний, работающих в сфере информационных технологий. В случае принятия документ вступит в силу с 1 июля следующего года.
tma
Сообщения: 1809
Зарегистрирован: 18 сен 2010, 20:50
Контактная информация:

Re: Мир смартфонов в РФ неумолимо меняется

Сообщение tma »

Очередной бред бешеного принтера.
Лучше бы вообще запретили предустановленный софт, нежели навязывать никому не нужный.
SkyTel OU - облачная АТС, DID, SIP-транк с посекундной тарификаицей, мобильная связь
http://skytel24.com | Эстония: +372.333.55.10 | Россия: +7(495)4019900
Repz
Сообщения: 169
Зарегистрирован: 04 мар 2015, 11:35

Re: Мир смартфонов в РФ неумолимо меняется

Сообщение Repz »

А телеграм это российский софт?
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Мир смартфонов в РФ неумолимо меняется

Сообщение ded »

Несколько лет назад вскрылись факты того, что ЦРУ давно внедрилось в швейцарскую компанию Crypto AG, крупнейшего мирового производителя криптооборудования. Сейчас ФСБ навязывает российским гражданам отечественную криптографию, где тоже подозревается наличие бэкдора на уровне алгоритма.

Ещё одна интересная история — с алгоритмами шифрования GPRS, которые до сих пор поддерживаются в большинстве телефонов, включая Apple iPhone, Samsung Galaxy, Huawei P-серии , OnePlus и многие другие.

GEA-1 и GEA-2 — проприетарные алгоритмы шифрования, которые широко использовались в 1990-е и 2000-е годы для шифрования интернет-трафика в мобильных сетях 2G по стандарту GPRS. Ради обратной совместимости почти все современные смартфоны сохраняют поддержку этих протоколов.

Некоторые относительно современные чипсеты и смартфоны с поддержкой GEA-1 и GEA-2:

Изображение

Международная группа криптографов из Германии, Франции и Норвегии в преддверии криптографической конференции Eurocrypt 2021 подготовила доклад «Криптоанализ алгоритмов GEA-1 и GEA-2 в шифровании GPRS», в котором довольно подробно описывает явную уязвимость в алгоритмах.

Нужно ещё раз подчеркнуть, что алгоритмы были проприетарными, то есть с закрытым исходным кодом. У независимых специалистов не было возможности изучить их до настоящего времени.

Консервативные академические исследователи в своей научной работе не высказывают напрямую мнение, что вот эта конкретная уязвимость сделана специально, то есть задумана и реализована как бэкдор. Но это довольно очевидно. Вот прямая речь Мэттью Грина, адъюнкт-профессора криптографии в университете Джонса Хопкинса:

Изображение

Для телефонных стандартов 90-х годов было «нормально», что шифрование трафика обеспечивают два проприетарных шифра: GEA-1 и GEA-2. Сотовая связь считалась очень экзотической сферой применения для криптографии.

В те времена действовали строгие правила экспорта криптографических инструментов из США. Принудительное ослабление криптографии при экспорте из США стало стандартной практикой во время холодной войны и сохраняется до сих пор для стран-изгоев.

К примеру, первая версия SSL использовала шифр RC4 и 128-битные ключи, но в начале 1990-х законы США не разрешали экспортировать криптосистемы, использующие 128-битные ключи. Длина самого большого ключа, дозволенного для использования в экспортных версиях ПО, составляла 40 бит. Исходя из этого, компания Netscape разработала две версии своего браузера. Версия для потребителей внутри США предполагала использование ключа размером в 128 бит. Такое положение вещей продолжалось до 1996 года, когда Билл Клинтон перенёс коммерческое шифрование из Списка вооружений в Список торгового контроля. Так и закончились криптовойны.

Суть уязвимости

В данном случае язвимость в шифровании имеет отношение к умышленному ослаблению шифрования для преодоления экспортных ограничений. То есть это своеобразное «эхо войны» — отголосок тех времён, когда к криптографии относились, как к оружию.

По конструкции алгоритма GEA-1 должно быть 264 внутренних состояний. Но дизайн системы спроектирован таким хитроумным образом, что на практике возможно только 240 состояний.

И самое главное, что такой дизайн системы вызван несколькими параметрами, которые очень маловероятно могли быть прописаны случайно.

Кто-то может подумать, что разница между 264 и 240 не такая большая, но она сокращает количество вариантов для подбора секретного параметра в 16 777 216 раз.

2^40 = 1099511627776
2^64 = 18446744073709551616
В процессе реверс-инжиниринга была попытка реализовать аналогичный алгоритм с помощью генератора случайных чисел, но в итоге так и не получилось приблизиться к созданию такой же слабой схемы шифрования, как та, которая была использована на самом деле. Это очевидно показывает, что слабое место в GEA-1 не могло возникнуть случайно.

Благодаря ослабленной защите, атака позволяет на основе перехваченного трафика восстановить ключ, используемый для шифрования данных, а затем расшифровать предыдущий трафик.

Кто поставил бэкдор


Зачем вообще был нужен бэкдор для расшифровки мобильного трафика GPRS? Дело в том, что в те времена сайты очень редко использовали сертификаты SSL/TLS, поэтому основная часть трафика шла в открытом виде. Так что если у вас был мобильный телефон в конце 90-х или начале 2000-х, то чтобы избежать прослушки, вы полагались на эти алгоритмы — GEA-1 и GEA-2, встроенные в GPRS.

Чтобы соответствовать политическим требованиям, миллионы пользователей во всём мире в течение многих лет во время сёрфинга пользовались ослабленной защитой. Другими словами, правительства разных стран в политических интересах поставили под угрозу безопасность простых граждан.

В основном это разведывательные службы стран Евросоюза. Вот список с официального сайта:

Изображение

По факту европейские спецслужбы воспользовались американским экспортным законодательством, чтобы внедрить удобный бэкдор для расшифровки мобильного трафика.

В новой версии GEA-2 уже нет такой уязвимости. Тем не менее, получилось расшифровать трафик GEA-2 с помощью более технически сложной атаки. Это в свою очередь означает, что GEA-2 тоже «не обеспечивает достаточно высокий уровень безопасности по современным стандартам».

Судя по всему, бэкдор в GPRS — это один из последних отголосков холодной войны и ограничений на экспорт сильной криптографии. Будем надеяться, что в будущем такие несуразности станут невозможны — и политики перестанут использовать граждан как «заложников» в своих играх. Хотя вероятность такого сценария ничтожно мала.

Современные смартфоны

Хорошая новость заключается в том, что GEA-1 и GEA-2 практически не используются после того, как поставщики сотовых телефонов приняли новые стандарты 3G и 4G.

Плохая новость: хотя ETSI запретил операторам использовать GEA-1 в 2013 году, де-факто поддержка GEA-1 и GEA-2 сохраняется в большинстве современных аппаратов, поскольку GPRS по-прежнему используется в качестве запасного варианта в большинстве стран и сетей сотовой связи.

Сегодня в центре города вы передаёте данные по 4G/LTE, используя протоколы шифрования GEA-3 и GEA-4. Но мобильные телефоны по-прежнему поддерживают GEA-1. И существуют сценарии, когда смартфон можно принудительно переключить в режим GEA-1.

Например, хакер может через оператора связи или фальшивую базовую станцию перевести ваш смартфон в режим 2G/GPRS (GEA-1) — и взломать алгоритм шифрования.

Это не гипотетическая, а реальная угроза. Те фальшивые базовые станции, которыми пользуются спецслужбы, реально ухудшают шифрование смартфонов до уровня 2G/GPRS. Поскольку эти скомпрометированные протоколы поддерживаются в большинстве современных смартфонов, бэкдор по-прежнему работает.

Уязвимости подвержены все смартфоны, поддерживающие устаревший протокол. Схема аутентификации спроектирована таким образом, что через эксплоит GEA-1 можно расшифровать трафик, зашифрованный с помощью более современного шифра, такого как GEA-3

Бэкдор в GSM — наверняка не последний «подарочек» от государства. Эта конкретная уязвимость — эхо холодной войны. Но в реальности практически любое общество вынуждено искать компромисс между свободой и безопасностью.

По логике спецслужб, чем больше надзора за населением — тем лучше для безопасности. Различные средства криптографии, шифрования и анонимности «мешают» им работать. Наверное, для максимального порядка и безопасности граждане должны выходить в интернет по паспорту, в назначенное время и по утверждённому списку URL.

Естественно, любые оставленные государством уязвимости и бэкдоры используются и преступниками: коррупционерами среди сотрудников госорганов, приближёнными лицами у «кормушки», другими преступными группировками.

Здесь ситуация ничем не отличается от положения с «персональными данными» — если гражданин доверил конфиденциальные данные государству, это практически не отличается от их публикации в открытом доступе. Мы постепенно приближаемся к тому, что каждому человек, для сохранения персональных данных в секрете, придётся создавать несколько профилей, периодически меняя цифровые личности.

Есть мнение, что будущее интернета — за пиринговыми mesh-сетями на базе блокчейна, где каждый человек контролирует персональную информацию в рамках своего «контейнера», делегируя отдельные фрагменты данных и властные полномочия избранным нодам в необходимой степени. Что из этого выйдет - увидим в ближайшем будущем.

https://teletype.in/@hacker_place/A6WOJOEtHCJ
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Мессенджеры будут по паспорту

Сообщение ded »

Ожидаемо, но тем не менее. С марта 2022-го года пользоваться мессенджерами в РФ можно будет лишь при предоставлении паспортных данных. Анонимная регистрация будет запрещена.

Полный текст постановления правительства РФ http://publication.pravo.gov.ru/Documen ... angeSize=1

Премьер-министр России Михаил Мишустин подписал постановление, которое запрещает анонимную регистрацию в мессенджерах. Согласно опубликованному на портале правовой информации документу, с весны 2022 года сделать это можно будет только по паспорту.

Из документа также следует, что компания-владелец мессенджера будет обязана запросить у оператора мобильной связи данные о клиенте, а оператору, в свою очередь, придется предоставить сведения о его наличии или отсутствии в своей телефонной базе. Персональные данные при этом передаваться не будут.

Отмечается, что подтвердить достоверность номера оператор должен будет в течение 20 минут с момента запроса. Если идентификация не пройдена, то владелец мессенджера не позволит пользователю сделать регистрацию. Если же данные абонента изменятся, то в течение 24 часов должна будет произойти повторная идентификация.

https://tvzvezda.ru/news/202110231714-oOBxK.html

По мнению автора Telegram-канала «ЗаТелеком», именно по этому постановлению в России могут быть заблокированы все иностранные мессенджеры, которые не пойдут на сотрудничество. А те, которые останутся работать, будут фактически небезопасны для пользователей, так как должны будут проводить идентификацию своих пользователей путем достоверного установления сведений об абонентском номере подвижной радиотелефонной связи и заключать для этого договора с операторами связи.

Согласно тексту постановления, пользователь каждого разрешенного для работы в РФ мессенджера должен будет законодательно идентифицировать себя и использовать только свой абонентский номер при регистрации. Операторы связи, предоставляющие каждый абонентский номер, и администрация мессенджера, должны будут проверить эту информацию и подтвердить между собой за 20 минут. Если данные пользователя не будут подтверждены или будут неполные, то идентификация пользователя не должна считаться пройденной, а мессенджер не должен позволять пользователю писать любые сообщения.

Также, по этому документу, каждому пользователю любого мессенджера будет назначаться уникальный код идентификации. В случае отказа пользователя от услуг оператора связи, мессенджер должен в течение суток отключить клиента и провести с ним новую идентификацию, если он перейдет к другому оператору.

В начале октября Минцифры совместно с ФСБ, операторами связи и научными организациями, включая Институт точной механики и вычислительной техники РАН им. Лебедева, объявили о планах по скорому внедрению технологии по применению усиленной квалифицированной электронной подписи (УКЭП) на базе сим-карты. Пока что проект находится на стадии обсуждения. Участие в нем подтвердили МТС и ВТБ. Госведомства считают, что УКЭП в сим-карте значительно облегчит жизнь пользователей, так как им будет проще подтвердить свою личность, оформлять различные договора и работать в сети.

https://habr.com/ru/news/t/585026/
tma
Сообщения: 1809
Зарегистрирован: 18 сен 2010, 20:50
Контактная информация:

Re: Мир смартфонов в РФ неумолимо меняется

Сообщение tma »

Добро пожаловать в Matrix...
SkyTel OU - облачная АТС, DID, SIP-транк с посекундной тарификаицей, мобильная связь
http://skytel24.com | Эстония: +372.333.55.10 | Россия: +7(495)4019900
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH