Ανάλυση ασφάλειας στο Telegram: Βρέθηκαν κρυπτογραφικά τρωτά σημεία

Μια μικρή διεθνής ερευνητική ομάδα ασφάλειας πληροφοριών διεξήγαγε μια εις βάθος ανάλυση ασφάλειας στον παγκοσμίως δημοφιλή αγγελιοφόρο Telegram. Οι κρυπτολόγοι από το ETH Zurich και το Royal Holloway College (Πανεπιστήμιο του Λονδίνου) κατάφεραν να εντοπίσουν αρκετά τρωτά σημεία. Ωστόσο, δεν υπάρχει άμεσος κίνδυνος για τους περισσότερους από τους περισσότερους από 570 εκατομμύρια χρήστες του Telegram.

Σε αυτή τη μελέτη των υπηρεσιών κρυπτογράφησης της Telegram συμμετείχαν ο καθηγητής Kenny Paterson και ο Dr. Ο Igors Stepanovs από το ETH της Ζυρίχης και ο καθηγητής Martin Albrecht και η διδακτορική φοιτήτρια Lenka Mareková από το Πανεπιστήμιο του Λονδίνου. Ένα πράγμα πρέπει να ειπωθεί αμέσως: Μια λεπτομερής ανάλυση κρυπτογραφικής ασφάλειας ενός messenger αυτού του μεγέθους ήταν κάτι παραπάνω από καθυστερημένη. Οι τέσσερις κρυπτογραφικές ευπάθειες που εντοπίστηκαν από τους κρυπτολόγους καθιστούν πολύ σαφές ότι το σύστημα της Telegram είναι σαφώς κατώτερο από τα πρότυπα ασφαλείας άλλων και συχνά χρησιμοποιούμενων πρωτοκόλλων κρυπτογράφησης, όπως το Transport Layer Security (TLS).

Η πρώτη ευπάθεια που περιγράφεται εδώ είναι ότι οι εισβολείς στο δίκτυο μπορούν να χειριστούν την ακολουθία μηνυμάτων που αποστέλλονται από τον πελάτη σε έναν από τους διακομιστές cloud που διαχειρίζεται η Telegram παγκοσμίως. Οι κρυπτολόγοι στο ETH Ζυρίχης δηλώνουν: «Λοιπόν, αν κάποιος μπορεί να αλλάξει τη σειρά των μηνυμάτων «Συμφωνώ «ναι»;, «Πίτσα!», «Συμφωνώ «όχι, συμφωνώ, έγκλημα», το «ναι» θα μπορούσε να πει « ναι, το να τρως πίτσα ξαφνικά έγινε έγκλημα». Η δεύτερη ευπάθεια που εντοπίστηκε κατά την ανάλυση ασφάλειας είναι μόνο θεωρητικής φύσης, αλλά πρέπει ακόμα να αναφερθεί. Ένας εισβολέας δικτύου θα μπορούσε θεωρητικά να ανακαλύψει ποιο από τα δύο μηνύματα από έναν πελάτη ή από έναν διακομιστή είναι κρυπτογραφημένο. Ομολογουμένως, αυτό ακούγεται αρκετά δραματικό στην αρχή. Ωστόσο, θα σήμαινε τεράστια προσπάθεια για τους εισβολείς να εκμεταλλευτούν αυτήν την ευπάθεια που βρέθηκε στην ανάλυση ασφαλείας. Σύμφωνα με τους ειδικούς ασφαλείας, ένας εισβολέας θα έπρεπε πρώτα να στείλει εκατομμύρια προσεκτικά δημιουργημένα μηνύματα στον στόχο του και να καθορίσει τις μικρότερες διαφορές στον χρόνο παράδοσης των αντίστοιχων απαντήσεων. Οι επιστήμονες είναι ωστόσο βέβαιοι ότι αυτή η κρυπτογραφική ευπάθεια πρέπει επίσης να ληφθεί σοβαρά υπόψη.

Ωστόσο, εάν μια τέτοια επίθεση ήταν επιτυχής, θα είχε καταστροφικές συνέπειες για την εμπιστευτικότητα των μηνυμάτων του Telegram και, φυσικά, για τους χρήστες τους.

Η τελευταία ευπάθεια που βρέθηκε αφορά την πολύ σημαντική ανταλλαγή κλειδιών μεταξύ του πελάτη χρήστη και του διακομιστή Telegram. Δεδομένου ότι το Telegram δεν παρέχει από προεπιλογή κρυπτογράφηση από άκρο σε άκρο, αυτή η σύνδεση είναι πολύ σημαντική για κάθε χρήστη της πλατφόρμας messenger. Επειδή αν η επίθεση ήταν επιτυχής, ανακάλυψαν οι κρυπτογράφοι, τόσο το απόρρητο όσο και η ακεραιότητα της επικοινωνίας μας θα μπορούσαν να παραβιαστούν οριστικά. Ωστόσο, οι επιστήμονες λένε επίσης ότι η ενεργή εκμετάλλευση αυτής της ευπάθειας θα ήταν πολύ δύσκολη:

Ευτυχώς, αυτή η μέθοδος επίθεσης είναι επίσης σχετικά δύσκολο να πραγματοποιηθεί, καθώς ο εισβολέας θα έπρεπε να στείλει δισεκατομμύρια μηνύματα σε έναν διακομιστή Telegram μέσα σε λίγα λεπτά.

Ως συνήθως, η ερευνητική ομάδα ενημέρωσε τον messenger 90 ημέρες πριν από τη δημοσίευση για τα κενά ασφαλείας που είχαν βρει. Το Telegram έχει πλέον αντιδράσει στα αναφερόμενα προβλήματα ασφαλείας και τα έχει επιδιορθώσει με τακτικές ενημερώσεις λογισμικού. Όπως αναφέρθηκε στην αρχή, σύμφωνα με τους ειδικούς, δεν υπάρχει άμεσος κίνδυνος για τους περισσότερους από τους περισσότερους από 570 εκατομμύρια χρήστες του Telegram παγκοσμίως. Σύμφωνα με τους ερευνητές, το περιστατικό αποκαλύπτει επίσης μια αμφίβολη προσέγγιση από τους προγραμματιστές του Telegram για την επιδιόρθωση τέτοιων ζητημάτων. Απόσπασμα (μεταφρασμένο) από την ανάρτηση του ιστολογίου:

Ενημερωθήκαμε από τους προγραμματιστές του Telegram ότι δεν κάνουν καμία ειδική έκδοση ασφαλείας ή διόρθωση σφαλμάτων. Η μόνη εξαίρεση είναι οι επείγουσες επιδιορθώσεις για μια προηγούμενη ελαττωματική ενημέρωση. Η ομάδα ανάπτυξης μάς ενημέρωσε επίσης ότι δεν ήθελε να εκδώσει συμβουλές ασφαλείας κατά τη στιγμή της ενημέρωσης κώδικα, ούτε να δεσμευτεί για μια ημερομηνία κυκλοφορίας για συγκεκριμένες επιδιορθώσεις. Ως αποτέλεσμα, οι διορθώσεις κυκλοφόρησαν ως μέρος των τακτικών ενημερώσεων του Telegram.

«Ενημερωθήκαμε από τους προγραμματιστές του Telegram ότι δεν κάνουν εκδόσεις ασφαλείας ή επιδιορθώσεις σφαλμάτων εκτός από άμεσες επιδιορθώσεις σφαλμάτων μετά την κυκλοφορία. Η ομάδα ανάπτυξης μας ενημέρωσε επίσης ότι δεν επιθυμούσε να εκδώσει συμβουλές ασφαλείας κατά τη στιγμή της ενημέρωσης κώδικα…” https://t.co/2eETQyOwBg

— Nicholas J Percoco (@c7five) Ιούλιος 16, 2021

Σύμφωνα με την ίδια την Telegram, τα τρωτά σημεία δεν ήταν κρίσιμα. Ίσως εξηγεί και τη διαδικασία για τα κενά που αναφέρθηκαν. Το Telegram έχει ακόμα ένα δημοσιευμένη ανάρτηση ιστολογίου, το οποίο περιγράφει λεπτομερώς τα προβλήματα που αποκαλύφθηκαν.

Μπορείτε να βρείτε το κανάλι μας στο Telegram στη διεύθυνση: https://t.me/dravenstales

Επειδή πάντα με ρωτούν ποιος είναι ο ευκολότερος τρόπος να επενδύσεις στο Bitcoin: με την εφαρμογή Ρελάι Μπορεί να γίνει σε λίγα μόνο βήματα και χωρίς περίπλοκη εγγραφή. Κανείς δεν έχει πρόσβαση στο Bitcoin σας εκτός από εσάς. Με τον κωδικό παραπομπής REL105548 Οι χρεώσεις σας θα μειωθούν κατά 0,5%.

Το "Dravens Tales from the Crypt" είναι μαγευτικό για πάνω από 15 χρόνια με ένα άγευστο μείγμα χιούμορ, σοβαρής δημοσιογραφίας - για τα τρέχοντα γεγονότα και ανισόρροπα ρεπορτάζ στην πολιτική του Τύπου - και ζόμπι, γαρνιρισμένα με πολλή τέχνη, διασκέδαση και πανκ ροκ. Ο Ντρέιβεν έχει μετατρέψει το χόμπι του σε μια δημοφιλή μάρκα που δεν μπορεί να ταξινομηθεί.

Το ιστολόγιό μου δεν σχεδιάστηκε ποτέ για να διαδίδει ειδήσεις, πόσο μάλλον να παίρνει πολιτική, αλλά με την επικαιρότητα δεν μπορώ παρά να συλλάβω πληροφορίες εδώ που κατά τα άλλα λογοκρίνονται σε όλα τα άλλα κανάλια. Γνωρίζω ότι η σελίδα σχεδιασμού μπορεί να μην φαίνεται "σοβαρή" σε πολλούς από αυτή την άποψη, αλλά δεν θα το αλλάξω αυτό για να ευχαριστήσω το "mainstream". Όποιος είναι ανοιχτός σε πληροφορίες που δεν συμμορφώνονται με το κράτος βλέπει το περιεχόμενο και όχι τη συσκευασία. Προσπάθησα αρκετά για να δώσω στους ανθρώπους πληροφορίες τα τελευταία 2 χρόνια, αλλά γρήγορα παρατήρησα ότι δεν έχει σημασία πώς είναι «πακεταρισμένο», αλλά ποια είναι η στάση του άλλου απέναντί του. Δεν θέλω να βάλω μέλι στο στόμα κανενός για να ανταποκριθώ στις προσδοκίες με κανέναν τρόπο, οπότε θα διατηρήσω αυτό το σχέδιο γιατί ελπίζω κάποια στιγμή να μπορέσω να σταματήσω αυτές τις πολιτικές δηλώσεις, γιατί δεν είναι ο στόχος μου να συνεχίσω έτσι για πάντα Αφήνω στον καθένα πώς θα το αντιμετωπίσει. Είστε ευπρόσδεκτοι να αντιγράψετε και να διανείμετε το περιεχόμενο, το ιστολόγιό μου ήταν πάντα κάτω από το Άδεια WTFPL.

Δυσκολεύομαι να περιγράψω τι κάνω εδώ, το DravensTales έχει γίνει πολιτιστικό ιστολόγιο, μουσικό ιστολόγιο, blog σοκ, blog τεχνολογίας, blog τρόμου, διασκεδαστικό blog, blog για αντικείμενα που βρέθηκαν στον Ιστό, περίεργο Διαδίκτυο, blog σκουπιδιών, blog τέχνης, θερμοσίφωνας, zeitgeist blog με την πάροδο των ετών , Scrap blog και αρπάξτε το blog bag. Όλα όσα είναι σωστά ... - και όμως όχι. Το κύριο επίκεντρο του ιστολογίου είναι η σύγχρονη τέχνη, με την ευρύτερη έννοια της λέξης.

Για να διασφαλίσετε τη λειτουργία του ιστότοπου, είστε ευπρόσδεκτοι Κάντε μια δωρεά μέσω πιστωτικής κάρτας, Paypal, Google Pay, Apple Pay ή πάγιας εντολής/τραπεζικού λογαριασμού. Ευχαριστώ πολύ όλους τους αναγνώστες και τους υποστηρικτές αυτού του ιστολογίου!