Телеграм и правда никому ничего не дает?

Сколько народу его скомпилирует?

Вообще вы правы, конечно. Я не знал, что у Телеграмма открытый код. Это так? Просто Вотсап хвалится конечным ассиметричным шифрованием, но код-то закрыт.

 

На самом деле там уязвимостей для эксплуатации полно, от самого андроида, до конкретного билда. Чтобы ключ слился куда надо.
Другое дело, что если у кого-то есть возможность читать сообщения, то этот кто-то еще много раз должен подумать, прежде чем "обнародовать" свою способность. Влетаем в теорию игр.

 

Ну можно самому собрать и пользоваться. Ещё вопрос репутации - если всплывет, что "скомпилировали что-то другое", придется контору закрывать.

Ту дело не в количестве, а в качестве - например аудит кода специально обученными людьми (tm)

 

Наверное именно поэтому watsapp и не блокируют на территории РФ?

 

Ок спасибо за информацию и разъяснения! У него был аудит?

 

Вы знаете подробности таких аудитов (аудитирований?). Как они проходят? Кто этим занимается? Должен быть консенсус или кворума достаточно (почуствовал себя латинским понторезом полиглотом, писользуя эти два слова. Йоу )?

Есть возможность подменить софтину? Обмануть аудиторов?

Интересно очень. Но я никогда об этом не задумывался.

 

Занимаются этим специализированные фирмы. В какой конкретно форме - не знаю, я там не работал. Есть аудит на backdoors (т.е. сознательные дыры в софте) и на уязвимости. Обмануть маловероятно. Во-первых исходники сидят в системе контроля версий, для закрытого кода в корп. сети в принципе наверное возможно подсунуть им другой репозиторий, который содержит тот же код, но без всяких backdoors (т.е. это нужно специально его поддерживать и разрабатывать отдельно на случай аудита). А для FOSS-кода он же в публичном доступе где-нибудь на гитхабе, там не поманипулируешь.
Во-вторых, есть такая вещь, как reproducible build, т.е. при данном окружении (build-хост, компилятор и т.д.) будет создано бинарно-идентичное приложение, которое можно сравнить с тем, что выкладывается в открытый доступ или продается.
В-третьих, любой средней руки девелопер может в принципе этот аудит провести, по крайней мере на предмет явных косяков или сливов кровавой гэбне.
В-четвертых, над FOSS-проектами обычно работает много людей, т.е. даже если проект большой (например Linux kernel - 20 млн строк кода), шило все равно вылезет, если тысячи людей ежедневно на этот код смотрят.

 

код в публичном доступе, а процесс сборки - нет (где можно посмотреть как промежуточные версии собираются и сравнить ?). Что они действительно используют для сборки и установки - одному аллаху известно.

 

Для этого существуют понятия воспроизводимой сборки и репутации.

 

а где можно увидеть воспроизводимую сборку ?
И если даже она есть, как проверить что в продукции крутится это сборка а не какая-то другая, которую народу не показывают ? (то, что в случае линукса проверяется на раз)

 

Не понял. Есть приложение для скачивания. Есть его исходники. Соберите и сравните, что получится, с тем, что выложено.

 

клиентская часть не так важна. А что крутится на серваке ?

 

Наоборот, какая разница, что там на серваке, если клиент ваши данные туда не посылает в открытом виде, а только p2p с шифрованием. Сервер может напрямую хоститься в Лэнгли (или на Лубянке).

 

Не знаю насчет "никому ничего", но знаю точно, что спецслужбы ОАЭ имеют доступ ко всем разрешенным на территории страны мессенджерам, таков закон. Телеграм в ОАЭ работает, да и сам Дуров живет в Дубае, значит доступ к переписке в Телеграмме у арабских спецслужб есть.
Как они получили доступ к нему, могу у Дурова спросить.

 

работали там ?

 

@stu,

Мне кажется вы усложняете всё. Преимущество открытого софта как раз в том, что кто угодно может проверить его когда угодно и опубликовать результаты где угодно.

Во допустим вы являетесь специалистом в области компьютерной безопасности. Ведете блог, мотаетесь по конференциям, может в университете преподаете, может фирма у вас есть своя. Короче, позиционируете себя, как знающий специалист.

Тут у вас появляется молодая любовница, а денег на неё не хватает. Тогда вы находите свободную недельку, скачиваете исходники Телеграма с GitHub и начинаете проверять их. Серьёзного ничего не находите, но пишите пару замечаний. Упаковываете всё это в красивый документ с логотипом вашей компании и выкладываете в интернет на всеобщее обозрение и подписываетесь своим именем и репутацией под тем, что написали.

В результате ваша известность растёт, вы повышаете свою часовую ставку и появляются деньги на любовницу. Ну и заодно и Телеграм таким образом проверяется.

А найденные вами недостатки они устраняют в следующем релизе и мир от этого становится тучь-чуть более конфеденциальным. Короче - всем профит.

Вот например результаты аудита truecrypt
https://opencryptoaudit.org/reports...dit_Project_TrueCrypt_Security_Assessment.pdf

Вот результаты аудита его форка VeraCrypt https://ostif.org/the-veracrypt-audit-results/

 

Работал с теми, кто работал там. В ОАЭ из 1.5 млн местных граждан 800 тыс. работают в структурах, связанных с госбезопасностью. Когда в свое время Blackberry отказывался дать доступ к BBM, Эмираты просто заблокировали использование устройств на территории страны, весь бизнес тупо встал, потому, что никаких вотсапов и телеграмов не было, все были на Блэкбери, банки не могли работать нормально, даже в работе аэропорта были сбои.
В итоге предоставили доступ. По слухам, канадцев "попросили" это сделать американские товарищи из соотвествующих органов, которые тоже без Блэкбери не могли нормально работать.

 

тема любовницы не раскрыта =)

 

Мне кстати тоже непонятно как другие страны с Телеграмом обхотятся. ОАЭ хороший пример. Может он там не настолько популярен, что бы они бы парились?

 

нолик не лишний ? Это круче, чем НКВД в расцвете сил и мощи.