تمومه

همونطور که می‌دونید چند روز پیش ربات‌های ناشناس تلگرام هک شدن و همه متوجه ناامن بودنش شدیم. من و چند تا دیگه از بچه‌های کامیونیتی روی ربات پیام ناشناسی کار کردیم که می‌کنیم که اوپن‌سورسه، پیام‌ها رو با استفاده از الگوریتم‌های رمزنگاری End2End رمزشده جابجا می‌کنه و سرور قابلیت خوندن پیام‌ها رو نداره. تمام فرایند رمزنگاری رو سمت کلاینت انجام میده و سرور هیچ دخالتی توی مکانیزمش حتی نداره. این ربات الان توی مرحله تسته، ازتون می‌خوام که ربات رو تست کنید و نظرتون رو اعلام کنید.

🔗 @E2EChatbot
🔗 Source Code

برای حمایت از پروژه می‌تونید توی گیت‌هاب به ریپازیتوری استار بدید ⭐️ روی کدش مشارکت کنید، باگ‌ها رو گزارش کنید یا اینکه این پست رو به دیگران و افراد فنی صاحب نظر بفرستید تا دیده بشه و ما رو کمک‌مون کنن. 🤍

@Yasha

لطفا فقط باهاش تست کنید. توی آپدیت جدید رمزنگاریش به طور کلی عوض میشه و پیام های قبلی به دلیل ناسازگاری حذف میشن.

آپدیت جدید :)

ما توی ورژن جدید ربات ناشناس کل الگوریتم رمزنگاری رو عوض کردیم. قبلا از دفی‌هیلمن استفاده می‌کردیم ولی الان دوباره برگشتیم به رمزنگاری هیبرید که با RSA و AES کار می‌کنه. توی این آپدیت خطر حمله‌ی مردمیانی (MitM) کاملا حل شده و از لحاظ تکنیکال سرور نمی‌تونه کلید عمومی کسی رو جعل کنه. درواقع اومدیم رمزنگاری TLS رو شبیه‌سازی کردیم. بین ۲ تا کاربر کلید AES جابجا میشه و سمت کلاداستوریج تلگرام هر دو شخص ذخیره میشه. از طرفی قبلا با رصد کلیدهای عمومی می‌شد هویت کاربر رو حدس زد ولی الان دیگه کاملا غیرممکنه. به دلیل عوض شدن کل الگوریتم تمام پیام ها از دیتابیس حذف شدن، فعلا توی ورژنی هستیم که ممکنه حذف شدن پیام‌ها بازم اتفاق بیوفته پس حواستون باشه.

🔗 @E2EChatbot
🔗 Source Code

خیلی ممنونم از استقبالی که از پست قبلی کردید، ما با انتقاداتی که به ربات کردید تونستیم امنیتش رو درست کنیم. لطفا این مدل جدید رو از لحاظ امنیتی مجددا بررسی کنید و نظرتون رو بگید. من و بقیه بچه‌ها فقط برنامه نویسیم، سواد خاصی توی امنیت نداریم. اگه کسی رو می‌شناسید که صاحب‌نظر این حوزه‌ست براش بفرستید. 🤍

@Yasha

الگوریتم رو می‌تونید اینجا به صورت بصری ببینید.

@Yasha

یه تشکر ویژه از صدرا و مانی به خاطر تحلیلی که روی ورژن قبل انجام دادن و منتشر کردن ❤️🫂

https://news.1rj.ru/str/PyBackEndHub/1092

بررسی ربات ناشناس E2E

توی این اسپیس توییتر همراه آقای جرجندی و یاشار شاهین‌زاده با سایر اشخاص صاحب‌نظر امنیت سایبری ربات ناشناس رمزنگاری E2E رو بررسی کردیم.

@Yasha

این کانال توی پورن‌هاب آموزش‌های مربوط به تکنولوژی و هوش مصنوعی می‌ذاره :)))

🔗 pornhub.com/model/zara-dar

@Yasha

اگه تاحالا پستی توی تلگرام دیدین که ری‌اکشن star بگیره بفرستید

تلگرام از پروتکل خودش که MTProto هست برای ارتباط با سرور استفاده می‌کنه چون برای چت کردن بهینه شده. می‌تونست از https هم استفاده کنه ولی هدف https این نیست که بتونه عملکرد خوبی رو توی پیامرسان داشته باشه. یکی اشاره کرد که معماری این پروتکل براساس RPC هست و Restful نیست. این پروتکل رو جوری طراحی کردن که توی یه شبکه افتضاح مثل موقعیت‌های فیلترینگ مقاوم باشه و بهتر کار کنه، مثلا یکی از کاراش اینه که پیام‌ها رو تیکه تیکه می‌فرسته (نمیدونم چجوری واقعا). اگه چیزی هست که لازمه به این پست اضافه کنید رو توی کامنت‌ها بنویسید تا بیشتر ازش یاد بگیریم، به نظر موضوع جالبیه.

مرسی که Star دادین. فعلا نمیشه برداشت کرد یا یه جوری خرج کرد، اگه این امکاناتش اضافه شه جدی خودم اولین نفر میرم Star می‌خرم و بابت محتوای خوب بعضی کانال‌ها دونیت می‌کنم. 🥹❤️

ببرمش روی امارات دادگاه رو هم برنده میشه. 😂🥷🏻

@Yasha

تلگرام ادعا می‌کنه که تا به امروز حتی یک بایت داده هم به دولت‌ها یا شخص ثالثی نداده. اما این گزارشی که ۲ سال پیش منتشر شده میگه تلگرام توی سال ۲۰۲۱ به دولت آلمان چندین بار اطلاعات محدودی از کاربران رو داده، درحالی که حتی هیچ دیتاسنتری توی کشور آلمان نداره.

درادامه میگه که این همکاری در زمینه مبارزه با تروریسم و تعرض به کودکان بوده و حتی ۵۵ میلیون دلار هم جریمه مالی شده اما چیزی رو پرداخت نکرده. حالا من که خودم طرفدار تلگرام و پاول دروف هستم ولی خب نقص عجیبی بود چون تلگرام خیلی سفت ادعا می‌کنه که هیچ داده‌ای رو به هیچ دولتی نداده.

🔗 https://restoreprivacy.com/telegram-sharing-user-data/

@Yasha

الان که داشتم درباره تلگرام می‌خوندم متوجه یه چیزی شدم. تلگرام یه زیرساخت غیرمتمرکز خیلی جالبی داره، دیتاسنترهاش رو توی کشورهای مختلفی که قوانین قضایی متفاوتی داره پخش کرده. تمام دیتایی که نگه‌داری می‌کنه رمز میشن و کلیدهای رمزگذاری هم به بخش‌های مختلفی تیکه تیکه شده و توی دیتاسنترها پخش شده. تلگرام میگه هیچ کدوم از دیتاسنترها کلید رو به شکل کامل نداره و حالا یه تحت یه پروتکلی اینا دیتاسنترهای توزیع‌شده باهمدیگه کار می‌کنن. حالا چرا اینکار رو انجام داده؟ جالبیش اینجاست. این باعث میشه که یه کشور واحد نتونه به تنهایی تلگرام رو مجبور به دادن دیتا کنه، یعنی فرانسه چیزی رو از تلگرام بخواد باید هر کشوری که دیتاسنتر تلگرام داخلش هست هم بخواد و توافق جمعی و جهانی صورت بگیره که یه چیز خیلی سخت و نشدنیه درحال حاضر. این باعث میشه حتی دو یا سه تا کشور هم‌پیمان (مثل ایران، روسیه، چین) هم باز نتونن از تلگرام دیتا بگیرن، چون کشورهای زیادی در درگیر جریان قضایی با قوانین مختلف می‌کنه. توی این حالت حتی اگه یکی با تانک هم وارد دیتاسنتر تلگرام بشه نمی‌تونه دیتای کسی رو بخونه :) تا وقتی که خود پاول دروف و تیم تلگرام بخوان.

من اینو توی منابع زیادی خوندم ولی خود تلگرام هم توی مستندات رسمی خودش اینجا ذکر می‌کنه.

@Yasha

در ادامه‌ی داستان تلگرام مثل اینکه دولت فرانسه یه روز توی سال ۲۰۲۱ تلگرام رو سر چند کانالی که محتوای تعرض به کودکان منتشر می‌کرده فیلتر می‌کنه و همون روزم رفع فیلتر می‌شه. این داستان یه نکته‌ی خیلی ریزی داشت که برام خیلی جالبی بود. سیستم فیلترینگ فرانسه اینجوریه که وقتی شما می‌خوای یه آیپی فیلتر شده رو باز کنی ریدایرکت می‌کنه به یه سایت خاصی، بعد آیپی و اطلاعات شما رو می‌گیره و به نسبت محتوای فیلترشده‌ای که می‌خواستی ببینی فلگ میشی. یعنی چی؟ یعنی مثلا من امروز پاشدم و می‌خوام محتوای یه سایت پدوفیلی رو نگاه کنم و هنوز نمیدونم که فرانسه فیلترش کرده، اینجا وقتی به صفحه فیلترینگ ریدایرکت میشم اطلاعاتم رو یه جا ثبت می‌کنه و حواسش هست که یاشا یه بار خواسته محتوای فیلترشده‌ی پدوفیلی رو ببینه. موقعی که تلگرام هم به اشتباه توی این کشور فیلتر می‌شه کلی شهروند به اشتباه میرن توی لیست پدوفیل این کشور :))) که بعدا احتمالا پاک میشن به دلیل فیلترینگ اشتباهی که رخ میده. اینکه فرانسه از این اطلاعات دقیقا چه استفاده‌ای می‌کنه رو متوجه نشدم ولی احتمالا پلیس ازش استفاده می‌کنه تا مجرم‌های کشور رو راحت‌تر شناسایی کنه، یا شایدم حتی دیتای این توی سیستم قضایی این کشور لحاظ می‌شه که اصلا روش مطمئن نیستم اما برای من و شمایی که توی ایران با این فیلترینگ شدید بزرگ شدیم یکم سخته که بتونیم حتی به مفید بودن فیلترینگ فکر کنیم. خلاصه می‌خواستم اینو بگم که یه کشوری مثل فرانسه از فیلترینگ می‌تونه انقدر استفاده مفیدی داشته باشه و یه کشوری مثل ایران می‌تونه زندگی رو برای مردم سخت کنه و کلا سیستم فیلترینگ براش ناکارآمد بشه.

🔗 لینک خبر فیلترینگ تلگرام در سال ۲۰۲۱ توی فرانسه

@Yasha

درگذر، درگذر، آسمانی پیدا نیست.