Привет, Хабр. Однажды мы сидели, занимались своими очень продуктивными делами, как ВНЕЗАПНО выясняется тот факт, что по какой-то неведомой причине к инфраструктуре Telegram в качестве пира подключены как минимум замечательный Ростелеком и не менее прекрасный НТЦ «ФИОРД».
Как же так вышло? Мы решили поинтересоваться у Павла Дурова, через его же Telegram-аккаунт.
Что из этого вышло? Не то, чего мы ожидали от одного из создателей «самого безопасного мессенджера».
12 июня 2019 года мы решили написать Павлу Дурову на его аккаунт в Telegram, привязанный на номер, легитимность которого доказывается без каких либо проблем сразу несколькими способами. Тут мы опишем самый элегантный – номер, что к нему привязан, привязан и к id1 в социальной сети ВКонтакте. Почтовый ящик на данном аккаунте, кстати, находится на домене telegram.org. Думаю, сомнений не остается.
Восстанавливаем страницу, и видим, что номер привязан к id1
Идем дальше. Тут видно более интересный факт — почта на домене telegram.org. Сомнений, что номер настоящий, не остается
Сам номер: +44 7408 ****00 (звёздочки поставил модератор)
Писали мы с конкретной целью:
Выяснить, как же так вышло, что данные российские конторы являются пирами Telegram, а также чтобы понять, не вредит ли это безопасности инфраструктуры мессенджера. Понятный и адекватный вопрос, на который без труда можно было ответить, если бы не было чего скрывать. Правда?
Скриншот сообщения в переписке с Дуровым
После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.
Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.
Позднее выяснилось, что переписки на данном аккаунте были чудесным образом удалены.
Самое интересное, что одно из сообщений о доступе сохранилось, и его я без зазрения совести предоставляю вам:
You have successfully logged in on desk.telegram.space via +42777. The website received your name, username and profile picture.
Browser: Chrome on Windows
IP: 149.154.167.78 (Netherlands)
You can press ‘Disconnect’ to disconnect desk.telegram.space
Whois 149.154.167.0
Пара слов о telegram.spaceЗамечу, что “telegram.space”, насколько мне известно, не светился на публике. Если вы зайдете, вы поймете, что это зеркало основного сайта Telegram, которое светит на другой IP.
А теперь несколько вопросов:
Почему к инфраструктуре Telegram напрямую подключен государственный провайдер Ростелеком?
Почему Павел Дуров начал этот цирк после прочтения сообщения, если ему действительно нечего скрывать?
Как мы можем доверять мессенджеру, в котором администратор сам проникает в ваш аккаунт после неудобного вопроса, используя свои инструменты администратора?
Вам решать, пользоваться ли данным мессенджером после всего этого.
Но, как мне кажется, есть то, что точно стоит сделать – попробовать добиться ответа от Дурова.
Если государственный провайдер имеет доступ к данным на серверах Telegram, все слова Дурова о безопасности мессенджера – ложь, которой он прикрывал утечку информации прямо у вас на глазах.
Откуда нам знать, что у государства действительно нет ключей для сообщений, что хранятся на серверах? После того, что произошло, никто из нас в этом не уверен.
Комментарий от админа Хабра
Насколько известно, сеть Интернет состоит из Автономных Систем (AS) — это изолированные сети, имеющие на своих границах пограничное оборудование, в состав которого входит гора всякого недешёвого железа, включая маршрутизаторы, межсетевые экраны и прочее. Любая AS может организовать стык с целью пропуска трафика с иной AS как напрямую, так и через так называемые точки обмена трафика (IXP). Если прямые стыки можно как-то выбирать и контролировать, то соседство по IXP зачастую слабо контролируемо (некоторые операторы пропускают транзитом трафик из IXP).
Технически, стык с каждым соседом в IXP выглядит как прямой стык, это может порождать интересные спецэффекты. Например, AS Хабра имеет два прямых соединения с провайдерами (апстримами) и участвует в двух IXP, однако, здесь мы видим пять пиров (соседей), хотя должно быть всего две записи (апстримы). Отдельно надо осознавать, что трафик идёт по административно кратчайшему пути и как он идёт в данный момент — надо смотреть в тот самый момент. То, что у AS есть пиринг с логически ближайшим транзитным соседом к иной AS, не значит, что трафик пойдёт через данную транзитную AS, в этом можно убедиться, внимательно изучив скандал МРГ с Билайном. Но даже если трафик идёт напрямую, это внешний трафик AS. При этом надо быть готовым к тому, что кто-то (NSA/Китай/russian silovik) потенциально имеют возможность в нём покопошиться.
Что касается Telegram. Для начала, у TG зарегистрировано четыре AS с различными номерами. Одна ничего не анонсирует, три остальных имеют соседства, две пирятся на удалённых IXP (раз, два), а одна пирится на трёх IXP, включая две российские Data IX и Global-IX (ссылка). Немудрено, что в этих IXP участвуют и РТ и прочий российский телеком. Если пропуск трафика через «вражеские сети» есть проблема безопасности для TG, то тут уже не важно, пирится ли TG с ними напрямую или нет.
В качестве вердикта: в целом всё выглядит вполне естественно и прямой проблемы безопасности тут нет. Шпионскую историю про удаление переписки прокомментировать не можем.