Джерело: Микита Книш, для Ліга.tech
Шаленої популярності в Україні набувають Telegram-канали, що публікують різного роду політичні інсайти та відверті зливи. До нас у HackControl надходить досить значна кількість заявок на встановлення (деанонімізацію) користувачів.
Чимало людей, що стикнулися з шахрайством в мережі, намагаються знайти своїх кривдників, а деякі політики намагається вирахувати власника того чи іншого каналу, який суттєво підмочив їхню репутацію.
Всім відомі гучні зливи прослуховування очільника ДБР «Труба протекла», тролінг і листування від Джокера або недавні плівки Гончарука з каналу «Як обдурити президента» суттєво підливають олії у вогонь і привертають увагу до теми анонімності в Telegram.
Анонімні Telegram-канали для впливу на маси прийшли на заміну мікротаргетингу
Напрямок використання лідерів громадської думки став популярним після історії Cambridge Analitica і перемоги Трампа на виборах в США. На сьогодні big data працює набагато краще від будь-яких соціологів і дає змогу не просто зробити статичний зріз політичних думок і вподобань, а й практично моментально впливати на ці думки та вподобання шляхом точкового поширення інформації через все тих же ЛГД.
Технології, завдяки яким президент Зеленський переміг, сьогодні починають працювати проти нього самого. Розуміючи, що цей ринок ЗМІ, на відміну від каналів ТБ, контролювати складніше, діджіталізатори, кваплячись, намагаються навіть прийняти закон про медіа, на який обрушується цілий шквал критики.
Ось і виходять вже панічні новини про те, що в новому законі про медіа зобов’яжуть розкривати власників анонімних Telegram-каналів та інші еротичні фантазії людей, наближених до авторства цього самого закону.
Сучасні методи деанонімізації користувачів Telegram
Настав час розповісти про способи деанонімізації користувача Telegram. Отже, сьогодні у нас в арсеналі:
- Офіційний запит правоохоронців (на який, швидше за все, ніхто не відповість, якщо це не терористичний канал, група чи користувач);
- Соціальна інженерія (закинути посилання, трекер або виманити через інший ресурс);
- Ідентифікація користувача шляхом повного перебору його номера;
- Мережевий аналіз трафіку;
- Сервіси із «пробивання» або бази даних, зібрані на зорі створення месенджера.
Цей список не претендує на роль максимально повного. Давайте поговоримо детальніше про кожен зі способів.
Офіційний запит правоохоронців у Telegram
У тексті політики конфіденційності сервісу Telegram передбачено можливість видання співробітникам правоохоронних органів інформації про терористів.
Якщо Telegram отримає рішення суду, яке підтверджує підозри в тероризмі, вони можуть розкрити вашу IP-адресу та номер телефону стороні, що відправила обґрунтований запит. До сьогодні цього ніколи не траплялося …
Як ви вже зрозуміли, швидше за все, вам це особливо не загрожує. Навіть якщо ви продаєте наркотики через Telegram, то, звісно, ви максимально нехороша людина, але Telegram вас все одно не видасть.
Тут окремо хочу зауважити, що всі великі компанії публікують статистику міжнародних і локальних запитів на розкриття інформації. Моїм улюбленим способом показати всю імпотентність правоохоронної системи України є статистика міжнародних запитів від компанії Google, доступна за цим ось посиланням.
Згідно з інформацією від Google Transperacy Тeam, урядові установи, суди та сторони, що беруть участь в цивільних судових процесах, часто звертаються в такі компанії як Google за відомостями про користувачів. У цьому звіті ми публікуємо інформацію про кількість і типи одержуваних нами запитів держорганів, щоб пролити світло на те, як дії влади впливають на наших користувачів і доступність даних в інтернеті.
Так ось, за половину 2019 року, в період із січня до червень, всі правоохоронні органи України, включаючи, але не обмежуючись СБУ, НАБУ, ДБР, САП, ГПУ тощо, змогли послати аж 30 запитів. Для порівняння: Франція за той самий період послала понад 6700+ запитів.
Соціальна інженерія як спосіб деанонімізації користувача в Telegram
Тут теж нібито все просто. Якщо власник телеграм-каналу або групи вказав форму зворотного зв’язку у вигляді e-mail, акаунту або будь-якої іншої адреси, куди можна написати, то можна обманом змусити користувача перейти за заздалегідь створеним посиланням трекера й ідентифікувати його IP адресу. Наприклад, відправивши таке повідомлення:
Привіт, тут ось ці хлопці тебе шукають https://2no.co/2RAY86 , знаєш щось про них?
Людина, який відкриє таку посилання, відразу потрапить до списку тих, хто «попався», за умови, що він не використав VPN або TOR.
Звісно, посилання можна «обернути» через скорочувач посилань, ось так:
Привіт, тут ось ці хлопці тебе шукають https://2no.co/2RAY86 , знаєш щось про них?
Або придумати будь-яку іншу легенду. Крім того, такий трекер можна вшити в e-mail, картинку, документ microsoft office у вигляді картинки або макросу чи навіть всередину програми трекера – тут все залежить лише від фантазії фішера.
Ідентифікація користувача Telegram шляхом повного перебору його номера
Досить дієвий метод до введення Телеграмом можливості блокування пошуку за номером телефону, і суть його досить проста. Програмісти створювали так звані віртуальні копії звичайних телефонів з попередньо встановленими Telegram акаунтами.
Далі додавали максимум контактів у контактну книгу за всіма діапазонами номерів, наприклад +380680000001, +380680000002, +380680000003 і так далі до нескінченності, поки не заповнимо ліміт. Коли ліміт контактів заповнено, створюється наступна віртуальна копія нового телефону і продовжується перебір із останнього номера.
Як відомо, раніше Telegram за замовчуванням показував номер телефону абонента, якщо той є у вас в контактах. А отже, телефони (всіх діапазонів) додавалися умовно до того моменту, поки телеграм не показав би вам номер контакту (ніка) в Telegram, який вас цікавить.
Спочатку може здатися, що, наприклад, перебрати номер +48124004049 – це досить складне завдання, але за наявності віртуальних машин і зручного масштабування це завдання вирішувалося в середньому за пару днів. Після введення можливості блокувати пошук за номером телефону ситуація дещо ускладнилась.
Мережевий аналіз трафіку для ідентифікації користувачів Telegram
Тут доведеться повірити мені на слово, що у багатьох спецслужб уже давно є можливість розшифровувати https трафік. Більше того, за запитом або рішенням суду багато правоохоронних органів можуть віддзеркалювати ваш трафік або трафік усього вашого провайдера.
Вдаватися в деталі того, як це працює, мені забороняє чинне законодавство, тому розглянемо простий умовний приклад. Уявіть, що ви бачите всі переходи користувачів за всіма посиланнями і повністю моніторите трафік.
Вам трапляються умовно три запити:
- Перехід за посиланням https://hackcontrol.org/penetration-testing/
- Перехід за посиланням https://hackcontrol.org/wp-admin/
- Перехід за посиланням https://hackcontrol.org/wp-admin/edit.php
Про що вам це може сказати? Що хтось спочатку зайшов на сайт, потім перейшов і розділ адміністратора, потім відкрив сторінку редагування новини на сайті. Відповідно, швидше за все, це адміністратор або модератор сайту, логічно?
Давайте розглянемо такий само приклад із Telegram. Уявіть, що ви бачите зашифрований трафік усіх абонентів вашого міста. І декілька з них переходять за посиланнями виду
Перехід за посиланням: https://t.me/hackcontrol
І тільки одиниці відкривають потрібний вам умовний адміністративний розділ телеграм (приклад умовний):
Перехід за посиланням: https://t.me/hackcontrol?adminpage#id123123
Відповідно, для того, щоб знайти адміністратора того чи іншого каналу, потрібно в загальному трафіку всіх абонентів виділити тільки тих абонентів, які заходять в умовний адміністративний розділ потрібного телеграм-каналу.
Завдання не з простих для наших спецслужб, але за кордоном давно здійсненне. Природно, TOR і VPN, як і раніше, будуть суттєвою перешкодою для ідентифікації таких абонентів, як і сам https.
Сервіси із «пробивання» як спосіб деанонімізації користувачів Telegram
Тут не дуже хочеться вдаватися в подробиці роботи підпільних сервісів, але для повноти картини вважаю за необхідне розповісти і про них.
Сенс майже як в описаному вище розділі «Ідентифікація користувача Телеграм шляхом повного перебору його номера». З тією лише різницею, що після перебору всі дані акуратно складаються в базу даних з прив’язкою ID телеграм = Номер телефону.
На зорі створення Телеграм всі діапазони номерів неодноразово перебиралися і акуратно складалися в базу даних, доступ до якої тепер продається за гроші. Є і безкоштовні або умовно безкоштовні боти на кшталт @deanonym_bot, яким можна скористатися.
Низка сервісів використовує тільки зібрану раніше інформацію, чимало з них працюють за принципом get_contact, коли користувачі самі доповнюють базу даних своїми даними, а інші періодично додають нових абонентів, яких вдалося ідентифікувати або перебрати.
Звичайно, всі описані вище способи не є вичерпними.
Джерело: Микита Книш, для Ліга.tech
Микита Книш — CEO HackControl