Мессенджер от госкомпании «Крымтехнологии» взломали за три минуты +43



После сегодняшней блокировки Telegram многие пользователи задаются вопросом, что делать дальше. Установки VPN и прокси-серверов в России выросли в десятки раз. Продавщицы в магазинах помогают покупателям настроить «прокси в телеге». По мнению аналитиков, более 50% пользователей Telegram в России поставят VPN или прокси-сервисы и продолжат пользоваться мессенджером.

Но отдельные чиновники не намерены мириться с тем, что российские граждане обходят установленные запреты. Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан. Руководитель этой организации Александр Жаров пообещал принять меры в отношении различных инструментов для обхода блокировки мессенджера. Советник президента по интернету Герман Клименко сам прекратил пользоваться Telegram и рекомендовал переходить на российский ICQ.

В то же время один за другим появляются новые IM-сервисы, которые позиционируют себя как замену Telegram. Они намерены побороться за многомиллионную аудиторию заблокированного мессенджера.

Например, холдинг Mail.Ru Group разместил в газетах «Ведомости», «Коммерсантъ» и «Деловой Петербург» рекламу «мессенджера с каналами» под названием «ТамТам».

Есть и другие попытки «импортозамещения». Например, собственную разработку представило государственное унитарное предприятие «Крымтехнологии», которое называет себя «ведущим в Крыму разработчиком программного обеспечения, систем автоматизации предприятий бизнес сектора, государственных предприятий, систем электронного правительства субъектов Российской Федерации».

14 апреля компания «Крымтехнологии» начала открытое тестирование мессенджера «Диалог М», который позиционируется как замена заблокированному Telegram. Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram. Один из разработчиков Игорь Мартыненко сказал, что «Диалог М» представлен в качестве «возможной альтернативой подобным приложениям иностранных компаний» и отметили: «В плане конференции он будет даже получше, чем Telegram».

«На тестирование представлен базовый функционал, позволяющий осуществлять обмен личными сообщениями и сообщениями в рабочих группах, а также отправлять файлы. Пока это только бета-версия. После решения Роскомнадзора заблокировать Telegram мы решили заранее выпустить в тестовую эксплуатацию свой мессенджер, чтобы получить обратную связь от пользователей. И чтобы показать им альтернативу и возможную замену популярных приложений российским продуктом, — сказал Мартыненко. — В ближайшем будущем он точно ничем не будет уступать существующим мессенджерам. Его никогда не забанят. В плане конференции он будет даже получше, чем Telegram, где не очень удобно сделано добавление, выход, делегирование прав в конференции. Мы планируем добавить и такой функционал, как органайзер – для организаций и отдельных пользователей. Предположим, жена пишет мужу список продуктов, которые необходимо купить. Из этого сообщения он может создать себе задачу в органайзере с напоминанием».

Первым делом вышли браузерная версия мессенджера и приложение для Android (dialogm.apk).

К сожалению, браузерная версия крымского мессенджера оказалась далеко не так защищена, как предполагали разработчики. Пользователь TJ по имени Артём Леготин убедился, что любой аккаунт можно угнать за 3-4 минуты. На сайте TJ он опубликовал пошаговую инструкцию, каким образом происходит угон аккаунта. Суть в том, что при авторизации в мессенджере нужно ввести четырёхзначный код, пришедший на указанный номер. Этот код проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx, где можно быстро проверить все 10 000 возможных вариантов кода — и получить токен авторизации.



Аналогичную процедуру можно повторить с номером любого зарегистрированного пользователя.

Артём Леготин выразил надежду, что разработчики крымского мессенджера исправятся и более внимательно отнесутся к безопасности. Он подчеркнул, что для тестирования взломал аккаунт редактора TJ с его согласия, а взламывать чужие аккаунты незаконно.

Примечание: При комментировании этого материала просим соблюдать правила Geektimes. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (112):

  1. tvr
    /#10727459 / +3

    Собственную разработку представило государственное унитарное предприятие «Крымтехнологии», которое называет себя «ведущим в Крыму разработчиком программного обеспечения, систем автоматизации предприятий бизнес сектора, государственных предприятий, систем электронного правительства субъектов Российской Федерации».


    Хосспидя, какой феерический бред. «Спутника» им мало? Я ржал аки конь, читая эту заметку, коллеги чуть бригаду из ПНД не вызвали.

    • Javian
      /#10727631 / +2

      Такие новости обычно гуглятся по «Российские программисты разработали альтернативу ...»

      • GennPen
        /#10727657

        Спасибо, то ли ржать, то ли плакать.

        • tvr
          /#10727697 / +1

          Ржать до слёз. Плакать уже поздно.

      • KvanTTT
        /#10728067

        Парадокс в том, что в России действительно много талантливых и хороших программистов. Но, как известно, рыба тухнет с головы.

        • Daniyar94
          /#10728185

          Но они не в России :)

          • khanid
            /#10728307

            Или работают не с Россией. И правильно делают.

        • kir_rik
          /#10728831

          Я вам крамольную вещь скажу, качество проектов не от программистов зависит, а от менеджеров.
          P.S. Не подумайте, сам программист, просто много раз видел как делают говно.

        • Vinchi
          /#10728939

          рыба не тухнет с головы, а тухнет всегда вся сразу.

          • r00tGER
            /#10729033

            Факт в том, что «тухнущая» рыба уже мертва. В большинстве случаев уже не важно, как она будет гнить. Хотя, почему-то именно на этом заостряют внимание.

  2. BugM
    /#10727475 / +1

    Поисковик Спутник. Аудитория настолько мала, что ее даже подсчитать не получается.
    Помним. Скорбим.

    Судьба остального импортозамещающего софта предопределена.

    • DrZlodberg
      /#10727531

      Что поделать. Как-то не складывается у нас со спутниками. Куда-то не туда запускаются. Вот и тут не сложилось…

      Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан.
      Какой страшный месенджер! Ну уж теперь то всё наладится…
      После решения Роскомнадзора заблокировать Telegram мы решили заранее выпустить в тестовую эксплуатацию свой мессенджер,
      Который и слепили по быстрому когда услышали об этом. По крайней мере судя по защите — об этом вообще не думали.

    • Memedia
      /#10727821 / -1

      Что такое Спутник?

        • wordman
          /#10729043

          сенкс.
          попробовал, на первый взгляд вполне рабочее поделие.
          Правда непонятно зачем оно надо, разве что на случай тотального огораживания.

          • DrPass
            /#10729223

            Работу над ошибками они проводят. Например, два года назад по слову «жопа» он ничего не находил. А теперь — вполне релевантные результаты.

            разве что на случай тотального огораживания.

            Этот «случай» отнюдь не за горами, к сожалению.

  3. alexmeloman
    /#10727501 / -7

    А Майкрософт (Windows Defenfer) тем временем начал блокировать uTorrent…

    • zerocooolx
      /#10727541 / +6

      Утка. Распознаётся нежелательной и блокируется только одна сборка торрент-клиента. Ищут косяк, а сборку удалили для скачивания с сайта utorrent.

      • molnij
        /#10728241

        Утка — непроверенные или недостоверные сведения.
        А это — максимум неполная информация. Дефендер действительно пытался удалять uTorrent. При включенном автообновлении, он скачивался, выпиливался, причем вместе с процессом самого uTorrentа. Было… не очень весело.

    • hd_keeper
      /#10729007

      ?Torrent уже давно не тот. Переходите на Transmission.

      • NetBUG
        /#10729477

        Версия 1.8.3 вполне работает и не замечена в подозрительной активности, кроме показа одного баннера.

      • dimkss
        /#10729571

        Выкачивать отдельные файлы з раздачи, переместить всю раздачу в другую папку, поставить отдельный приоритет каждому файлу в раздаче — умеет?

        • chupasaurus
          /#10729917

          Перенос только путем ручного переписывания путя в свойствах раздачи, остальное умеет.

  4. nidheg666
    /#10727509

    полазал по их сайту… впринципе чего ещё ждать от фирмы, которая для каждой госструктуры пилит свой особый вариант электронной очереди)

  5. barbanel
    /#10727535 / +2

    Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан.
    Потрясающе! Долго думали над этой фразой?

    • zerocooolx
      /#10727545 / +3

      Они на это не способны, природа не наделили органом подходящим.

      • iproger
        /#10728211

        Нет, вы ошибаетесь. И все ошибаются кто так пишет. Дураков там нет, иначе кто же тогда народ.

    • Mike_soft
      /#10727547 / +4

      Жизням граждан РФ угрозу представляет Роскомнадзор, а не Телеграм…

      • zerocooolx
        /#10727605 / +2

        Не только лишь он. У нас много министерств.

        • andersong
          /#10729633

          А есть министерства, которые приносят пользу гражданам, а не государству?

      • KamAdm
        /#10728665

        Телеграм сам не угрожает конечно, это просто инструмент, которым пользуются и законопослушные граждане и не злодеи. Если автор статьи или чиновник Роскомнадзора не умеет правильно донести мысль на русском языке причину опасности бесконтрольного, со стороны государства, использования ПО Телеграм, то аудитория потом начинает распространять свои выводы и всякий бред типа

        Жизням граждан РФ угрозу представляет Роскомнадзор, а не Телеграм…


        PS Телеграм даже и не ставил. Зная позицию Дурова и его закидоны, а так же изначально технологию криптозащиты связи можно было ожидать этого. Это все просчитывалось заранее, обе стороны планомерно шли к этому результату.

        • Sonic55rus
          /#10728769

          Госслужбы зато вечно пласебо ищут. Работать впадлу, так запрещать всёподряд.
          А про терракты и провокации от «западных коллег» узнаём, энивэй.

          • KamAdm
            /#10729341

            Ну это перегиб конечно, что не работаю. Но в целом они просто пошли по простому на их взгляд пути.

        • slav1k
          /#10729305

          Просто службы, заказавшие травлю, живут в прошлом веке и не хотят переучиваться.
          И никак не могут понять, что запретить что-либо можно только законопослушным людям.
          Преступники по определению кладут болт на все их запреты.
          А запилить свой криптомессенджер — задача уровня студенческого курсового. Причем отследить его будет сложнее, чем известный Телеграм.

          ЗЫ Тоже не заводил себе телегу, по тем же соображениям.)

          • KamAdm
            /#10729359

            Я и говорю, все шаги просчитаны и запрет закономерен. Если стоило давить, то надо было не в том месте. Инвесторов проекта надо было вздернуть за причинное место, бизнес то ведут в РФ.

          • kogemrka
            /#10729867 / +1

            И никак не могут понять, что запретить что-либо можно только законопослушным людям.


            Странная мысль, такое ощущение, как будто вы исходите из предположения, что блокировки нужны для борьбы с терроризмом и экстремизмом, лол.

            • slav1k
              /#10729905

              Если вспомнить, к примеру, тему оружейного легалайза, то окажется, что в целительность запретов верит удивительно много вполне обычных людей.

              Среди чиновников тоже не все хитрые злодеи. Много и просто идиотов.

              • Mike_soft
                /#10731809

                там много и нормальных (по крайней мере, приходят туда нормальными). но система переформатирует их под себя.
                да и большинство — просто исполнители. сказали запрещать — запрещают. скажут продвигать — будут продвигать. Ничего странного и страшного. простая добросовестность исполнения команд сверху.

    • arthi7471
      /#10727835

      -О ужас! Что что же это за кошмар! Кровь, мозги и расчлененка.
      -На него напал телеграм. Кликуха «телега».
      -Жуть!

    • surVrus
      /#10727947 / -1

      Тelegram представляет угрозу интересам РФ и жизням граждан.

      Водка и курение табака тоже «представляет угрозу интересам РФ и жизням граждан.»
      Причем вполне это доказано на практике.
      Что сделали? Правильно! Приклеили бумажку, что типа «опасно и мы вас предупредили...»
      То же самое — ОБЯЗАНЫ сделать для телеги. И все. Кому по-фигу на опасность — применяют для СЕБЯ как угодно.

      • Cast_iron
        /#10728055

        Не надо подсказывать, а то акциз введут!

      • parapetof
        /#10728883

        ладно водка, а всякие мерзавчики\шкалики с «одеколоном одуванчик» и боярышником.
        например, цитирую детали из описания ДТП с Никитой Белых (он там прокатил на капоте алкоголика):
        «Губернатор убедился — стоимость бутылочки с тоником для волос „Медовый“, содержание спирта в котором составляет 75%, стоит 14 рублей. То есть в переводе на водку — 40 рублей за пол-литра.»

  6. multic
    /#10727565 / +1

    Суть в том, что при авторизации в мессенджере нужно ввести четырёхзначный код, пришедший на указанный номер. Этот код проверяется по адресу im.krtech.ru/auth/3556666666666/xxxx, где можно быстро проверить все 10 000 возможных вариантов кода — и получить токен авторизации.


    Это они специально заметили, теперь ключи ФСБ отдавать не придётся, сами подберут.

  7. povargek
    /#10727567 / +2

    «Диалог-М» — название такое, будто это какое-то оружие

    • K0styan
      /#10727655 / +2

      Как ни собирай — всё равно автомат получается…

      • tuxx
        /#10727683

        Еще и напильником дорабатывать придется

    • MacIn
      /#10727865 / +2

      Название такое, будто это НПО из 80х.

      • NetBUG
        /#10729479

        Ага, у меня дискетки 5" были с такой наклейкой вроде.

    • eoffsock
      /#10729197

      Дадада, Лукьяненко вспомнил сразу. Цикл «Линия грез». Шмель-М, все дела.

    • YemSalat
      /#10729457

      Скорее советский карманный переводчик от «Электроники»

    • Dfag2
      /#10729619

      Уверен, что внутреннее название проекта выглядит примерно как РТ-2ПМ2 «Диалог-М»

  8. vconst
    /#10727569 / +5

    Ждем «Мессенджер Попова, с нескучными обоями».

    • barbanel
      /#10727577 / +6

      Ключами же! =)

      • povargek
        /#10727595

        В телеге, наверное, ключи скучные, вот её и забанили, чтобы народу скучно не было

        • BubaVV
          /#10727843 / +1

          — У тебя ключи скучные, тебе денег никто не даст

  9. uu_69
    /#10727585

    Неужели среди 146 миллионов не найдется тот, кто примет меры в отношении жарова? Эти ребята конкретно охренели.

    • Darkvetalx
      /#10728625

      не думаю что Жаров виноват — он мальчик для битья, мне его даже жалко…

      • M_AJ
        /#10728675

        А его кто-то заставил пойти на эту должность? Ну так и чего его жалеть тогда?

      • SantaCluster
        /#10728969 / +1

        а Клименко жалко?

        • Darkvetalx
          /#10729265

          <сарказм>это кто? </сарказм>
          Я тут имею ввиду другое — РКН «забурился» по самое нихочу, они это прекрасно понимают. Но назад дороги нет…

  10. TheCoreFactory
    /#10727611 / +9

    В ближайшем будущем он точно ничем не будет уступать существующим мессенджерам. Его никогда не забанят.

    Шел 2018 год. Основное конкурентное преимущество — наш продукт никогда не забанят.

    • Shadow_Runner
      /#10727689

      Так под «существующими» наверное следует понимать «не попавшие под бан». Потому и не будет уступать.

    • withkittens
      /#10727813

      Его никогда не забанят.
      Ха-ха, нетрудно догадаться почему.

      • Areso
        /#10727855

        Превентивно отдались ФСБ? Сделали API и все такое?) А что, они тоже люди...

        • Daar
          /#10728655 / +1

          Там у сообщений будет дополнительный статус «Прочитано ФСБ».

          • sevikl
            /#10729113

            «Ваш куратор сейчас оффлайн. Отправка сообщений ограничена. Сходите в храм»

    • struvv
      /#10728193

      Это основной конкурентный недостаток

    • TorynVerd
      /#10728641

      ну да, потому что им никто пользоваться не будет- так что никакой лжи тут нет.
      а вообще очень грустно все это наблюдать. и «работу\заботу» чиновников о нашем здоровье…

  11. VMichael
    /#10727767 / -6

    Ну для того и тест публичный, чтобы ошибки найти.
    Поправятся и снова попытаются.
    Вот если бы все, высказавшие не просто критику, а уничижительную критику, написали в PS, какой продукт мирового уровня сделали сами или в своей частной конторе, тогда да, было бы весомо.
    А так просто повторение мейнстримового утверждения.
    Государства, кстати, не просто так возникли, а как более эффективная форма существования народов. Со своими минусами, но тем не менее, как более эффективная форма.
    P\S: От того, работал я в гос. конторе или в частной фирме, качество моей лично работы не менялось, например.

    • TheShock
      /#10727775

      Ну для того и тест публичный, чтобы ошибки найти.
      Ну вообще-то ошибки безопасности не ищутся на публичных тестах.

    • withkittens
      /#10727803

      Вот если бы все, высказавшие не просто критику, а уничижительную критику, написали в PS, какой продукт мирового уровня сделали сами или в своей частной конторе, тогда да, было бы весомо.
      А вот и классический «сперва добейся» подвезли.

    • smilyfox
      /#10727901

      Нелепо удивляться критике, заявляя что сырой продукт — замена телеграма.

    • JekaMas
      /#10727931

      Open source код — это первый шаг к безопасности, который стоит сделать.

    • Sonatix
      /#10728749

      Это что-то из детского — «а чего ты достиг?».

  12. nik_vr
    /#10727773 / +1

    Сколько "диалогов"-то развелось. И с "М" и мессенджеры… :)


    Сабж:



    Близнец:



    Тёзка:


  13. hakk3r
    /#10727851 / +4

    «ТамТам» — опечатка.
    Правильно будет «ТукТук»

    • mat300
      /#10727905

      А что! Хорошо звучит: мессенджер "Стукачок". Можно тамтаму или этому диалогу переименоваться. Будет куда более живенько и ближе к истине звучать

  14. fndrey357
    /#10727885

    Надо Дурова попросить помочь…
    Его команда умеет.

  15. smilyfox
    /#10727887 / +1

    Как-то робко продвигают они свои поделия. Дарю разрабам слоган: сдал себя — сдай и товарища,
    И вот ещё к там-таму хорошо подходит: стучим всегда, стучим на всех.
    Общий слоган: чем больше сдадим, тем лучше.
    Это так сказать для более эффективного привлечения аудитории телеграма :) Ещё могу накидать креатива по запросу, не стесняйтесь — обращайтесь.

  16. flatscode
    /#10727949

    Посмотрел Там-Там (https://tt.me) тоже самое, что Телеграм, только без анальной привязки к телефону.


    Т.е. входить по номеру можно так же просто, но это — опционально.

    • Barafu
      /#10728191

      Круто. Теперь ребят с XPDA убедите туда свои каналы перевести, и можно будет и впрямь без Телеграма.

      • flatscode
        /#10731661

        Теперь ребят с XPDA убедите

        А кто это?

  17. svitoglad
    /#10727961

    Апокалипсис начался. Роскомнадзор целился в Telegram, но заблокировал банки, больницы и торговые сети…
    Уже все заблокировали, а телега местами еще держится.
    rusmonitor.com/apokalipsis-nachalsya-roskomnadzor-celilsya-v-telegram-no-zablokiroval-banki-bolnicy-i-torgovye-seti.html

  18. geisha
    /#10728207 / -1

    "Мессенджер от госкомпании «Крымтехнологии» взломали за три минуты"

    Недостаточно жёлто. Давайте лучше так: "Пользователь TJ изнасиловал госкомпанию".

    • BSW
      /#10731773

      По обоюдному согласию!

  19. Error1024
    /#10728311 / +1

    На 01:00 17.04.18 телеграм работает сам по себе, без прокси серверов, на ОБит/OSX, на МТС/Android.
    На телефоне отваливался несколько раз, на час-два, на компьютере «не еденного разрыва» :)
    Команда Дурова — молодцы.

    А тут даже само название компании — вызывает смех.

    • Grin30
      /#10728649

      Телеграм и сейчас работает почти без перебоев. Официальный клиент. Неофициальный перестал. Пользовался неофициальным, т.к. он вполне устраивал, теперь неконнектится совсем. Официальный работает и с прокси и без.

  20. Cenzo
    /#10728475

    «Установки VPN и прокси-серверов в России выросли в десятки раз» — у нас такая же картина, пользователи из РФ скакнули очень сильно.

  21. buksttabu
    /#10728645

    В следующем обновлении безопасности токен будет проверяться по адресу im.krtech.ru/auth/3556666666666/[10^n], где n — вычислительная мощность нарушителя, чтобы уж наверняка не взломали

    • BubaVV
      /#10729579

      Или встроить майнер в страницу авторизации

  22. General_Failure
    /#10728657

    Недостаточно скрепный, вот и сломали сломили

    • Arty_Fact
      /#10728765 / +1

      Нет, просто код не освятили.

  23. MooNDeaR
    /#10728835

    ФМПОПДКГ «Доверие» в действии…

    Для тех, кто не в курсе, вот о чём я.

  24. 1eqinfinity
    /#10729173

    Снова мычание :) Диалог эмм.
    Я думаю, люди, которые тестируют это госговно и указывают на дыры, оказывают обществу медвежью услугу.

    • GennPen
      /#10729241

      За обнаружение дыр можно и в тюрьму сесть. Ведь по факту ты взломал приложение. Поэтому пусть сами тестируют, деньги на что им выделяют.

      • Ksiw
        /#10730887

        А вот, кстати, по-существу коммент. И шуткой не пахнет.

  25. Landgraph
    /#10729177

    На мой взгляд Герман Клименко предал ИТ-сообщество. Такой насоветует…

    Ставлю на то, что кое-кто поднимется на монетизации аськи…