Запуск Telegram в Tails OS через SOCKS5-прокси и Что такое auth_key_id

[Cyber Courier]

️ 1. Защита на уровне Tails OS (Аппаратная маскировка)

Название материнской платы — это идентификатор, который жестко зашит в BIOS/UEFI. Операционная система не может его изменить.

Однако Tails OS уже содержит механизмы для маскировки тех аппаратных данных, которые могут просочиться в сеть:

• MAC-адрес: Tails автоматически рандомизирует (подменяет) MAC-адрес вашего сетевого адаптера при каждом запуске. Это ключевой аппаратный идентификатор для локальной сети.
• Имя хоста: Tails принудительно устанавливает имя компьютера как amnesia, чтобы вы выглядели как любой другой пользователь Tails.

2. Защита на уровне протокола (SOCKS5/Tor)

Протокол SOCKS5, который вы используете для подключения Telegram к Tor (обычно это 127.0.0.1:9050), сам по себе не имеет функционала для сбора данных об аппаратном обеспечении.

• SOCKS5 — это просто транспортный протокол, который пересылает сетевой трафик (TCP/UDP). Он передает данные приложения (Telegram) через прокси-сервер (Tor), не касаясь информации об аппаратном обеспечении, кроме IP-адреса, который Tails уже эффективно скрывает с помощью Tor.
• Tor — цель сети Tor — скрыть IP-адрес и местоположение. Входящие в нее данные уже изолированы от вашего реального IP.

3. Защита на уровне приложения (Telegram)

Чтобы название материнской платы было зафиксировано, должны произойти две вещи:

1. Приложение Telegram должно иметь функционал для считывания этих низкоуровневых аппаратных данных с помощью специальных системных вызовов.
2. Приложение должно быть способно передать эти данные по сетевому соединению, которое проходит через SOCKS5/Tor.

Даже если Telegram теоретически может считать эти данные, передача аппаратных идентификаторов через Tor в сочетании с другими защитными мерами Tails считается крайне маловероятным вектором атаки, так как эта информация не является частью стандартного сетевого трафика.

Вывод

Вам не нужно беспокоиться, что название вашей материнской платы будет передано автоматически. Tails обеспечивает системную защиту, а SOCKS5/Tor — сетевую защиту.

Если вы хотите дополнительно изолировать Telegram от остальной системы и любых потенциальных попыток считывания локальной информации, используйте Firejail, как мы обсуждали ранее.

в статье «Важных историй» Расследование сосредоточено на следующих ключевых моментах, связанных с инфраструктурой «Телеграма» и его предполагаемыми связями:

• Сетевая инфраструктура: Утверждается, что за инфраструктуру мессенджера отвечают те же люди и компании (например, «Глобалнет» и «Электронтелеком»), которые обслуживают секретные комплексы российских спецслужб (ФСБ, ГлавНИВЦ) для слежки.
• Отсутствие сквозного шифрования по умолчанию: Подчеркивается, что большинство чатов «Телеграма» не используют сквозное шифрование, и сообщения хранятся на серверах компании, что дает теоретическую возможность доступа к переписке тому, кто эти серверы контролирует.
• Связь с Россией: Упоминаются визиты Павла Дурова в Россию после его отъезда в 2014 году и тот факт, что в 2021 году он привлек финансирование от компаний, связанных с российскими госбанками, незадолго до того, как Роскомнадзор снял блокировку с мессенджера.

Насколько известно, Павел Дуров и представители «Телеграма» официально не комментировали конкретно это расследование «Важных историй» на момент его публикации.

Критические аспекты безопасности и конфиденциальности в Telegram:​

1. Отсутствие сквозного шифрования по умолчанию

• Факт: В отличие от Signal или WhatsApp, обычные (облачные) чаты в Telegram не используют сквозное шифрование (End-to-End Encryption, E2EE).
• Последствие: Сообщения в обычных чатах расшифровываются и хранятся на серверах Telegram. Это означает, что теоретически любой, кто контролирует эти серверы (будь то сама компания или, при определенных условиях, внешние субъекты), может получить доступ к переписке.
• Использование: Сквозное шифрование доступно только в "Секретных чатах", которые нужно активировать отдельно. Утверждается, что большинство пользователей (по словам Антона Розенберга, 98%) используют обычные чаты.

2. Незашифрованный идентификатор устройства (auth_key_id)

• Проблема: Эксперт Михал «Рышек» Возняк указывает, что протокол Telegram добавляет к началу даже зашифрованного сообщения (включая секретные чаты) незашифрованный идентификатор устройства (auth_key_id).
• Риск: Этот идентификатор отправляется в виде обычного текста. Любой, кто контролирует сетевой трафик между вашим устройством и серверами Telegram, может:
  
  • Отслеживать этот идентификатор.
  • В совокупности с другими данными (IP-адрес, который Tails маскирует, время отправки) определять, какие устройства обмениваются данными.
  • В итоге, это позволяет выстроить сеть связей между пользователями, даже если содержимое их переписки зашифровано (в случае секретных чатов).

Вывод в контексте Tails OS

Эти технические детали подтверждают, почему использование Tails OS и дополнительных мер изоляции остается актуальным:

1. Сетевая маскировка (Tails/Tor): Поскольку информация, подобная auth_key_id, может быть использована вместе с IP-адресом, использование Tails, которая скрывает ваш IP-адрес с помощью Tor, остается критически важным для защиты от отслеживания по этим параметрам.
2. Песочница (Firejail): Дополнительная изоляция приложения Telegram с помощью Firejail предотвращает доступ к локальным данным, если приложение скомпрометировано, хотя она не может изменить, как Telegram формирует свои сетевые пакеты.
3. Лучшая практика: Для самой конфиденциальной переписки эксперты рекомендуют использовать мессенджеры, которые включают сквозное шифрование по умолчанию (например, Signal) или, по крайней мере, обязательно использовать "Секретные чаты" в Telegram.

Кто обслуживает серверы Telegram?

Согласно судебным документам и анализу IP-адресов, проведенному «Важными историями»:

1. Компания-оператор: Global Network Management (GNM) — малоизвестная компания, зарегистрированная на Карибских островах (Антигуа и Барбуда).
   
   • GNM, судя по всему, играет значимую роль в инфраструктуре, поскольку ей принадлежит более 10 тысяч IP-адресов, переданных в пользование Telegram.
   • По словам ее владельца, GNM занимается установкой клиентского оборудования для Telegram и его последующей технической поддержкой.
2. Ключевая фигура: Владимир Веденеев — уроженец Тольятти, является владельцем компании GNM.
   
   • В суде он заявил, что его компания контролирует маршрутизаторы в серверной, через которые проходит трафик Telegram.
   • Веденеев утверждал, что он единственный человек с авторизованным доступом к серверам Telegram в дата-центре в Майами.
   • Половина сотрудников GNM, по его словам, находится в России, в офисе в Санкт-Петербурге.

Двойная роль Владимира Веденеева

Самое важное открытие в судебных документах касается двойной роли Веденеева:

• Он является Генеральным директором GNM (компании-подрядчика инфраструктуры).
• Одновременно он занимал должность Финансового директора Telegram Corp (панамская компания Павла Дурова).
• Он пояснил, что Дуров в Санкт-Петербурге попросил его занять должность финансового директора для коммуникации с поставщиками и подписания документов.

Таким образом, человек, чья компания отвечает за техническое обслуживание и маршрутизацию трафика, одновременно занимал ключевой пост в финансовой и управленческой структуре самого мессенджера.

Выводы экспертов по безопасности

Эксперт Михал Возняк подчеркивает:

«Если компания контролирует маршрутизаторы, которые распределяют трафик, проходящий через серверы “Телеграма”, это значит, что она или тот, кому она предоставит подобный уровень доступа, может видеть идентификаторы пользователей мессенджера и определить связанные с девайсом потоки данных»

Это усиливает беспокойство о незашифрованном идентификаторе устройства (auth_key_id), который, как показал эксперимент «Важных историй», передается по сети в виде обычного текста. Контроль над маршрутизаторами дает возможность отслеживать эти идентификаторы и выстраивать связи между пользователями.

идентификаторы пользователей мессенджера (например, auth_key_id в Telegram) — это не название материнской платы.

Вот почему эти два понятия не следует путать, и как они соотносятся:

1. Идентификаторы пользователей/устройств в Telegram

• Что это: Это уникальные программные коды, которые Telegram присваивает каждому пользователю и сессии устройства (например, ваш телефон, ваш компьютер, ваш планшет).
• Пример: auth_key_id, о котором говорилось в расследовании. Это код, который позволяет серверу Telegram идентифицировать ваше приложение/устройство и правильно маршрутизировать сообщения и ключи шифрования.
• Где берется: Этот идентификатор генерируется программно самим приложением Telegram и/или его серверами, а не считывается напрямую с аппаратного обеспечения.

2. Название материнской платы

• Что это: Это аппаратный идентификатор (например, "ASUS ROG Strix Z790-F Gaming WiFi").
• Где берется: Он жестко зашит в микропрограмму BIOS/UEFI на самой материнской плате.

Почему это не одно и то же

• Название материнской платы — это аппаратный отпечаток, который могут считывать специальные программы (если им дать разрешение), но который не нужен Telegram для работы и который не передается по сети в качестве auth_key_id.
• auth_key_id — это сетевой/программный идентификатор, который необходим для установления зашифрованного (или полузашифрованного) соединения с сервером Telegram.

Как аппаратное обеспечение может быть связано с идентификацией?

Хотя Telegram не использует название материнской платы как свой сетевой идентификатор, некоторые приложения могут создавать более сложный цифровой отпечаток устройства (Device Fingerprint). Этот отпечаток может включать:

1. Программные данные: auth_key_id, IP-адрес (скрывается Tails), время.
2. Аппаратные данные: MAC-адрес (скрывается Tails), версия операционной системы, версия браузера (если используется веб-версия).
3. Иногда: Очень глубокие отпечатки могут попытаться получить серийные номера компонентов (включая название материнской платы), но для этого нужны особые права и специфические уязвимости, и это не является частью стандартного протокола Telegram.

Вывод: Идентификаторы пользователей мессенджера — это программные коды, а не название вашей материнской платы. Тем не менее, Tails OS защищает вас от передачи критических аппаратных идентификаторов (MAC-адрес, IP-адрес), которые могут быть использованы для отслеживания.

auth_key_id будет разным при каждом новом запуске Tails OS, если вы не настроите Постоянное Хранилище (Persistent Storage) для сохранения данных Telegram.

Вот подробное объяснение, почему это происходит и как это связано с механизмами Tails и Telegram:

Как auth_key_id ведет себя в Tails OS

1. Поведение по умолчанию (Без Persistent Storage)

Tails OS работает в режиме Амнезии (Amnesic Live System), что означает, что вся информация, не сохраненная явно, хранится только в оперативной памяти (RAM) и полностью стирается при выключении.

• При первом запуске: Когда вы впервые входите в Telegram, приложение генерирует долгосрочный ключ авторизации (auth_key), на основе которого вычисляется auth_key_id. Этот ключ позволяет вам оставаться авторизованным.
• При перезагрузке: Поскольку Telegram не является частью ядра Tails, его данные, включая токены сессии, ключи авторизации и сам auth_key_id, удаляются из RAM.
• Итог: При следующем запуске Tails вы должны будете снова войти в свой аккаунт, и Telegram создаст новый долгосрочный ключ авторизации, что приведет к новому, уникальному auth_key_id для этой новой сессии.

2. Поведение с Persistent Storage

Если вы установили Telegram и настроили Постоянное Хранилище для сохранения конфигурационных файлов Telegram (что сложно, но возможно, используя функцию Dotfiles):

• Данные сохраняются: Файлы, содержащие долгосрочный ключ авторизации, будут сохранены.
• Итог: При активации Постоянного Хранилища и запуске Telegram, приложение обнаружит сохраненный ключ и, скорее всего, использует тот же самый auth_key_id, что и в предыдущем сеансе, так как для сервера это будет выглядеть как продолжение той же сессии/того же устройства.

Разница между идентификаторами в Telegram

Важно также помнить, что Telegram использует два типа идентификаторов, которые могут влиять на отслеживание:

• Долгосрочный auth_key_id: Это уникальный идентификатор, который генерируется для каждого устройства/сессии при первом входе в аккаунт. Именно он сбрасывается при каждом перезапуске Tails без Постоянного Хранилища.
• Временный temp_auth_key_id: Согласно протоколу MTProto, для обеспечения Perfect Forward Secrecy (PFS), Telegram может генерировать временные ключи, которые используются для шифрования сообщений. Они могут меняться (например, каждые 24 часа), но их идентификатор все равно связан с долгосрочным ключом.

Главный вывод: Да, auth_key_id будет разным при каждом новом входе в систему после перезагрузки Tails. Это является одним из преимуществ Tails в плане анонимности, так как вам приходится использовать новый идентификатор устройства для каждой новой операции, что затрудняет связывание ваших действий.

1. Что такое auth_key_id

auth_key_id — это идентификатор, который вычисляется на основе долгосрочного ключа авторизации (auth_key). Этот ключ генерируется:

• Один раз при первом входе в аккаунт с конкретного устройства.
• Он уникален для конкретного аккаунта (Телефонный номер А) на конкретном клиентском приложении (Tails Session 1 / tdata A).

2. Роль папки tdata

Папка tdata (в клиентах Telegram Desktop) — это не просто кэш. Это полное хранилище всей сессии, включая:

• Криптографические ключи, такие как auth_key.
• Сам auth_key_id.
• Сообщения, настройки и т. д.

Когда вы вручную меняете папку tdata, вы, по сути, полностью меняете одну сессию на другую.

• tdata для Аккаунта 1: Содержит auth_key_1 и auth_key_id_1.
• tdata для Аккаунта 2: Содержит auth_key_2 и auth_key_id_2.

Поскольку каждый аккаунт создавал свою авторизационную сессию в разное время (когда вы впервые заходили в него на этом клиенте), ключи и их идентификаторы будут уникальны для каждого аккаунта.

3. Последствия для отслеживания (нюансы)

С точки зрения сервера Telegram и тех, кто анализирует трафик:

• auth_key_id: Будет меняться. Это затрудняет связывание всех этих аккаунтов как одного и того же пользователя. Каждый раз сервер увидит новый auth_key_id.
• IP-адрес: Будет одинаковым в течение вашей текущей сессии Tails OS. Это связано с тем, что Tails принудительно направляет весь трафик через один и тот же выходной узел Tor на протяжении всей сессии.
• Время: Все сообщения будут иметь близкое время отправки.

Таким образом, метод ручной смены tdata является эффективным способом предотвращения связывания аккаунтов по идентификатору устройства (auth_key_id). Однако, если вы меняете аккаунты слишком быстро в рамках одной сессии Tails, остается риск, что все эти разные auth_key_id могут быть связаны друг с другом, поскольку они используют один и тот же IP-адрес Tor и отправлены в узкое временное окно.

Для максимальной безопасности, помимо смены tdata, рекомендуется перезагружать Tails OS между работой с критически важными аккаунтами, чтобы гарантировать, что вы получите новый выходной узел Tor (новый IP-адрес) и тем самым полностью разорвете связь между сетевыми потоками.

Данные для локального Tor прокси:

Тип - SOCKS5

IP - 127.0.0.1

Порт - 9050

 

[protoganist]

можешь поделится мостами для теился,обыскал все не подходит,или подскажи каким образом она у тебя функцианирует?
спасибо)

 

[Stereotypes]

О, это в избранное! Большое спасибо!) а то надр форуме пропала статейка, а себе не сохранил)

 

[KingLife]

можешь поделится мостами для теился,обыскал все не подходит,или подскажи каким образом она у тебя функцианирует?
спасибо)

Привет) вот я тоже столкнулся с этим. Ты разобрался? Вышел в сеть?

 

[vjqyjvth245_1]

Привет) вот я тоже столкнулся с этим. Ты разобрался? Вышел в сеть?

официальный бот в телеграмм закрывает вопросы мостов)

 

[xxx4chhh]

Очень большая, подробная статя, отлично написанно, спасибо!