podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Очередной SMS-скандал про взлом переписки

Как всегда, «угон аккаунтов», интриги-скандалы-расследования и прочие «происки врагов демократии». Всё как мы любим. Очередная мировая сенсация с навешиванием ярлыков и призывами к всенародному бойкоту. А что произошло на самом деле? Достоверно утверждать пока нельзя, но кейс интересный и поучительный.

Цель публикации – оценить возможные варианты и сделать выводы. Чтобы в будущем действовать соответственно. Без лишних эмоций и криков «враги сожгли родную хату!». Нам с вами эпизод интересен для понимания работы определённых механизмов.

Что это было?

Ночью 29 апреля взломали аккаунты месcенджера Telegram оппозиционного активиста Олега Козловского и сотрудника Фонда борьбы с коррупцией Георгия Албурова. Надо полагать, кто-то почитал и скопировал переписку, тем дело и закончилось. О финансовых или иных последствиях пока ничего не сообщалось, но и произошедшего более чем достаточно. Во всяком случае, инцидент был широко освещён везде, где оппозиционным активистам его осветить удалось (ТВ «Дождь», «Медуза» и аналогичные издания). Хронология события от лица одного из пострадавших (Георгия Албурова), орфография оригинала сохранена:

«Больше трех дней прошло с момента взлома моего и Олег Козловский телеграмов при помощи МТС. Ярость и возмущение сменилось холодной и отрефлексированной жаждой мести. Что же произошло?

  1. В ночь на 29 апреля МТС по приказу злоумышленников (ФСБ) отключает нашим с Козловским телефонам возможность принимать СМС
  2. Для наших телеграм-аккаунтов запрашивается СМС код для входа, который МТС не доставляет, а передает злоумышленникам
  3. Злоумышленники выкачивают нашу переписку и включают возможность принимать СМС
  4. МТС сразу признается (Козловскому и Телегаму), что их отдел безопасности (читай филиал ФСБ) отключил нам услугу СМС, при этом указывает точное время
  5. МТС начинает отрицать, что отключения услуг были. Предыдущие заявления называет «технической ошибкой».

Скриншот оригинала (полный текст) см. выше. Суть атаки понятна: злоумышленник каким-то образом завладел кодом авторизации, который Telegram отправил внутри SMS на телефоны Григория Албурова и Олега Козловского. Далее авторизовался в сервисе Telegram и (скорее всего) смог почитать и скопировать переписку. Пока абстрагируемся от уже заранее сделанных выводов о «происках кровавой гэбни», собираем факты в кучку.

Мнение Павла Дурова, создателя Telegram, озвученное на сайте «Дождя»:

«Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода». Дуров добавил, что Telegram планирует сделать массовую рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, «так как операторы связи РФ как верификатор ненадежны».

Твиттер-профили пострадавших от взлома. Телефоны указаны в профилях, а у активиста и агента изменений Олега Козловского обозначена и привязка номера к сервису Telergram. Безопасная двухфакторная авторизация не была подключена к сервису Telegram ни у одного из пострадавших от взлома. Номеров привязанных к телефонам кредитных карт в профилях почему-то нет, странно. Шутки шутками, но «оппозиционный активист» и «агент изменений» как будто сами напрашивались на неприятность, согласитесь.

Ответ от Telegram с отсылкой к «службе поддержки МТС». Вот тут начинает быть интересно. Дело в том, что прямого контракта с МТС на доставку SMS-сообщений у Telegram нет, мессенджер пользуется услугами одного из SMS-агрегаторов. Это посредник, у которого есть действующий контракт с МТС и который продаёт своим клиентам SMS-трафик дешевле, чем закупает его оптом в МТС. Агрегатор получает тексты SMS-сообщений от своих клиентов (в нашем случае от Telegram) и далее сам перенаправляет эти SMS в МТС вместе с номерами телефонов, которым эти SMS предназначаются. Вопрос: к кому обратился Telegram с вопросом о судьбе своего SMS-сообщения? К МТС? Сомневаюсь, Telegram для МТС не клиент и вообще никто. К своему SMS-агрегатору? Более вероятно.

Поехали дальше. Ответ МТС в твиттере «по горячим следам» см. выше. Означает ровно то, что в ответе написано: «действий обслуживания не производилось» подразумевает полное отсутствие каких бы то ни было операций руками сотрудников на номере. Более развернутый комментарий пресс-службы МТС через 2 дня: «Никаких целенаправленных действий по отключению услуг не производилось, появившаяся в блогах информация об отключении услуги сотрудником не соответствует действительности».

Мнение Олега Козловского:

«"Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из "компетентных органов"). Если есть другие варианты - предлагайте", - добавил Козловский и посоветовал всем пользователям Telegram подключать двухэтапную авторизацию (т. е. не только SMS, но и пароль)».

Версия 1

Гипотеза взлома через СОРМ (Система оперативно-розыскных мероприятий). Традиционно наша оппозиция любые свои горести и передряги объявляет происками спецслужб, но мы постараемся не обсуждать политику. Версия правдоподобна? На мой взгляд, не очень. СОРМ, конечно, никто не отменял, но эта система позволяет слушать/читать, а не совершать какие-то действия на оборудовании оператора. То есть, воспрепятствовать доставке SMS-сообщений через СОРМ вряд ли можно. Плюс традиционный вопрос «Зачем?». Насколько я понимаю, в рамках СОРМ любые переговоры и любая переписка должны быть доступны, иначе никакая компания, никакой оператор и никакая технология не будут допущены к работе в России. А мессенджер Telegram, заметьте, активно рекламировался и продвигался государственными и окологосударственными компаниями. Если не ошибаюсь, даже министр связи что-то тёплое писал о Telegram в своём твиттере. Зачем устраивать пляски с бубном вокруг того, что и так лежит на блюдечке с голубой каёмочкой?

Версия 2

«Слив» на стороне SMS-агрегатора. Та самая «прокладка» между оператором и сервисом Telegram. Версия выглядела очень правдоподобно и не противоречила ни одному из фактов. Действительно, зачем было отключать жертвам SMS-сервис, когда было достаточно задержать отправку одного SMS с кодом в сеть оператора? Использовать код для входа и слива переписки, а потом доставить это SMS с некоторой задержкой. Или вовсе не доставить, неважно. В такой версии всё прекрасно стыковалось: в МТС справедливо отвечали «никто ничего не делал» (SMS до сети оператора даже не дошло), пострадавшие винили МТС, т. к. о самом существовании агрегатора даже не подозревали, в своём ответе Telegram могли цитировать ответ на свой запрос именно агрегатора. Да, был телефонный звонок в контактный центр и один из пострадавших утверждал, что ему сказали об отключенной услуге SMS, но был ли правильно понят сотрудник? Однако через день пострадавшие выложили в интернет свои счета за апрель, и всё стало намного интереснее.

Счетоводство

А если всё-таки дело было в МТС? Пару слов разъяснений про то, чем является ежемесячный счёт. Это документ, в котором фиксируются суммы трат и поступивших денег, звонки и SMS по разным направлениям (тоже суммарно), все подключаемые и отключаемые в течение месяца дополнительные и базовые услуги. В случае исправления ошибочных списаний цифры не меняются, вы увидите в счёте дополнительные строчки с указанием сумм корректировок. Если не ошибаюсь, именно та часть биллинга, которая занимается обработкой/выпиской счетов, как раз и является сертифицированной. В отличие от всяких детализаций и ответов на запросы о последних платных действиях, которые предоставляются для ознакомления. А вот ежемесячный счёт считается истиной в последней инстанции, внести в него изменения задним числом (да и «передним» тоже) практически невозможно.

Давайте посмотрим на выложенный в интернет счёт (картинка в большем разрешении доступна по клику), в нескольких строчках счёта много интересного. Всё написанное ниже действительно только при условии того, что счёт не был отредактирован в фотошопе. На мою просьбу заказать счёт в интернет-помощнике на мой адрес email господин Козловский, к сожалению, не отреагировал.

Итак, в 2:25 ночи была подключена услуга «Запрет информирования при добавлении/удалении услуг». С этого момента любые действия на номере перестали фиксироваться в SMS-сообщениях абоненту. В интернет-помощнике эта услуга есть, но эта услуга технологическая. Используется сотрудником МТС в случаях, когда на номере нужно выполнить много операций (например, при смене владельца номера) и клиента ни к чему зря нервировать кучей непонятных SMS-сообщений.

Через 34 секунды на номере отключают SMS-сервис и мобильный интернет, теперь ни одна входящая SMS до телефона не доберётся. Мог ли это сделать сам абонент или кто-то в режиме удалённого доступа? Сам абонент — почти исключено, профессионал в режиме удалённого доступа — маловероятно. Система должна была сперва обработать «запрет информирования», человек должен был в этом убедиться и потом запустить отключение SMS-сервиса. В режиме удалённого доступа к системе уложиться в 34 секунды практически невозможно. Работая с прямым доступом к базе на месте — реально.

Из прочего интересного — ещё одно отключение на номере мобильного интернета на период 7 минут. Зачем? Трудно сказать. Олег Козловский считает, что отключали после его первой жалобы, чтобы подчистить хвосты, но это непринципиально. Нам интересно то, что между взломом и повторным отключением интернета прошло больше 14 часов. Т.е. в «операции» либо участвовал не один сотрудник МТС (рабочая смена в контактном центре длится 12 часов), либо один, но не совсем простой сотрудник с наличием доступа к биллингу из дома.

Версия 3

Всё было исполнено только внутри МТС? Навскидку такой вариант напрашивается, но есть определённые нестыковки. Главный вопрос: кто прочитал пришедшее SMS и вытащил из него код для регистрации в чужом аккаунте Telegram? В рамках этой версии SMS с кодом до телефона не дошло (и не могло дойти), застряв где-то в недрах SMS-центра. Не думаю, что в МТС так уж много специалистов с уровнем квалификации и правами доступа для того, чтобы вытащить из SMS-центра и прочитать злополучную SMS с кодом. А если «операцию» проводил специалист такого уровня, то почему он так «намусорил» в биллинге? Можно же было отключить SMS-сервис для номера на коммутаторе, и тогда счёт сохранил бы девственную чистоту. В конце концов, можно было просто на пару часов отключить SIM-карту от сети, и тогда вообще никаких следов не осталось бы. То же относится к версии «операции» на корпоративном уровне по заказу спецслужб, на такой версии настаивают оппозиционеры. Это был бы совсем уж маловероятный сценарий махрового непрофессионализма на стороне МТС, поверить в такое трудно. И вспоминается бородатый анекдот про «неуловимого Джо», см. раздел «Версия 1».

Версия 4

«Двухходовочка» МТС + агрегатор. С точки зрения финансовых вложений вариант выглядит самым привлекательным. Выцепить и прочитать SMS на стороне агрегатора, а на стороне МТС подключить блокирующие услуги силами простого труженика контактного центра города Ульяновска. За сравнительно небольшие деньги. Немного смущает повторное отключение мобильного интернета через 14 часов.

Версия 5

Наконец, сценарий хорошо спланированной провокации тоже нельзя исключить. Очень уж бурная PR-активность мгновенно развернулась по этому поводу, в том числе в иностранной прессе. Не обошлось и без натяжек. Например, в РБК позавчера вдруг опубликовали гневную статью про «сверхдоходы» МТС от услуги «Вам звонили» на пакетных тарифах. Причем, «актуальная аналитика» РБК неожиданно родилась спустя месяца полтора после того, как плату за эту услугу в МТС отменили. Ещё обеспокоенный народ приходит в салоны МТС, они «по радио слышали» о том, что в МТС теперь будут брать плату за входящие звонки. А уж телеканал «Дождь» всех подписчиков напрочь залил своим атмосферным осадком на эту тему. Я, например, до этого случая про существование Олега Козловского не подозревал и про сообщество «агентов изменений» тоже не слышал. Теперь слышал, знаю и вас вот приобщил к этому знанию, ЧТД.

Резюме

Его, к сожалению, на этот раз не будет. В МТС пока молчат, действуя по известному принципу идущего каравана и сопутствующей каравану активности. Если выложенные в сеть счета не фейк, то правильнее было бы отреагировать в период затишья майских праздников. Что касается перечисленных выше версий произошедшего, то лично у меня предпочтений нет, честно. Выбирайте ту версию, которая соответствует вашим убеждениям, и бодайтесь себе на здоровье в комментариях. Пока с интересом ждём дальнейшего развития событий. Главное, не забывайте про двухфакторную авторизацию, её придумали именно для предупреждения таких неприятностей.

Ссылки по теме

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано - 08 мая 2016 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

Новости:
Hit

17.08.2017 Видео на канале: Проверка защиты от воды Samsung Galaxy S8 Plus

Hit

17.08.2017 Видео на канале: Обзор смартфона LG Q6? с FullVision экраном

17.08.2017 ASUS представила сразу 6 новых смартфонов

17.08.2017 Минкомсвязи меняет регулирование работы виртуальных операторов

17.08.2017 «Яндекс» покажет контент сайта без перехода по ссылке

17.08.2017 Житель Тамбова попал в финансовый отчет МТС

17.08.2017 LG V30 на пресс-фото со всех сторон

17.08.2017 HMD Global представила Android флагман – Nokia 8

17.08.2017 Google приобрела белорусский стартап Aimatter

17.08.2017 «Билайн» предлагает Samsung Galaxy по выгодной цене при оплате услуг связи

16.08.2017 Дизайн Facebook изменится

16.08.2017 За баллы «Активного Гражданина» можно отремонтировать технику

16.08.2017 World of Tanks зазвучит по-новому

16.08.2017 Vodafone Украина представила безлимитные 3G тарифы

16.08.2017 Игровые программируемые роботы UBTech добрались до России

16.08.2017 В России продавцов поддельных ждунов ждет штраф

16.08.2017 Мобильные новинки ASUS на качественных пресс-рендерах

16.08.2017 МТС вернёт до 30 процентов стоимости смартфонов на кошелек абонента

Hit

15.08.2017 Официальные видео BLUBOO S8: узнать больше об аппарате

15.08.2017 Билл Гейтс сделал крупнейшее пожертвование на благотворительность с начала века

15.08.2017 М.Видео: Россияне стали покупать смартфоны чаще, чем в докризисном 2014 году

Hit

15.08.2017 Битва флагманов от Рокетбанка: Голосуй и выигрывай!

15.08.2017 ZTE Blade Z MAX – недорогой фаблет с двойной камерой и сканером отпечатков пальцев

15.08.2017 ФАС: только один оператор из «большой четвёрки» согласился отменить внутрисетевой роуминг

Hit

15.08.2017 Посиделки по вторникам №175. Бесполезная автоматическая яркость

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.