Мессенджер от госкомпании «Крымтехнологии» взломали за три минуты



    После сегодняшней блокировки Telegram многие пользователи задаются вопросом, что делать дальше. Установки VPN и прокси-серверов в России выросли в десятки раз. Продавщицы в магазинах помогают покупателям настроить «прокси в телеге». По мнению аналитиков, более 50% пользователей Telegram в России поставят VPN или прокси-сервисы и продолжат пользоваться мессенджером.

    Но отдельные чиновники не намерены мириться с тем, что российские граждане обходят установленные запреты. Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан. Руководитель этой организации Александр Жаров пообещал принять меры в отношении различных инструментов для обхода блокировки мессенджера. Советник президента по интернету Герман Клименко сам прекратил пользоваться Telegram и рекомендовал переходить на российский ICQ.

    В то же время один за другим появляются новые IM-сервисы, которые позиционируют себя как замену Telegram. Они намерены побороться за многомиллионную аудиторию заблокированного мессенджера.

    Например, холдинг Mail.Ru Group разместил в газетах «Ведомости», «Коммерсантъ» и «Деловой Петербург» рекламу «мессенджера с каналами» под названием «ТамТам».

    Есть и другие попытки «импортозамещения». Например, собственную разработку представило государственное унитарное предприятие «Крымтехнологии», которое называет себя «ведущим в Крыму разработчиком программного обеспечения, систем автоматизации предприятий бизнес сектора, государственных предприятий, систем электронного правительства субъектов Российской Федерации».

    14 апреля компания «Крымтехнологии» начала открытое тестирование мессенджера «Диалог М», который позиционируется как замена заблокированному Telegram. Разработчики напрямую связали ранний запуск своего «быстрого и безопасного» сервиса с решением о блокировке Telegram. Один из разработчиков Игорь Мартыненко сказал, что «Диалог М» представлен в качестве «возможной альтернативой подобным приложениям иностранных компаний» и отметили: «В плане конференции он будет даже получше, чем Telegram».

    «На тестирование представлен базовый функционал, позволяющий осуществлять обмен личными сообщениями и сообщениями в рабочих группах, а также отправлять файлы. Пока это только бета-версия. После решения Роскомнадзора заблокировать Telegram мы решили заранее выпустить в тестовую эксплуатацию свой мессенджер, чтобы получить обратную связь от пользователей. И чтобы показать им альтернативу и возможную замену популярных приложений российским продуктом, — сказал Мартыненко. — В ближайшем будущем он точно ничем не будет уступать существующим мессенджерам. Его никогда не забанят. В плане конференции он будет даже получше, чем Telegram, где не очень удобно сделано добавление, выход, делегирование прав в конференции. Мы планируем добавить и такой функционал, как органайзер – для организаций и отдельных пользователей. Предположим, жена пишет мужу список продуктов, которые необходимо купить. Из этого сообщения он может создать себе задачу в органайзере с напоминанием».

    Первым делом вышли браузерная версия мессенджера и приложение для Android (dialogm.apk).

    К сожалению, браузерная версия крымского мессенджера оказалась далеко не так защищена, как предполагали разработчики. Пользователь TJ по имени Артём Леготин убедился, что любой аккаунт можно угнать за 3-4 минуты. На сайте TJ он опубликовал пошаговую инструкцию, каким образом происходит угон аккаунта. Суть в том, что при авторизации в мессенджере нужно ввести четырёхзначный код, пришедший на указанный номер. Этот код проверяется по адресу https://im.krtech.ru/auth/3556666666666/xxxx, где можно быстро проверить все 10 000 возможных вариантов кода — и получить токен авторизации.



    Аналогичную процедуру можно повторить с номером любого зарегистрированного пользователя.

    Артём Леготин выразил надежду, что разработчики крымского мессенджера исправятся и более внимательно отнесутся к безопасности. Он подчеркнул, что для тестирования взломал аккаунт редактора TJ с его согласия, а взламывать чужие аккаунты незаконно.

    Примечание: При комментировании этого материала просим соблюдать правила Geektimes. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация.
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 114
    • +8
      Собственную разработку представило государственное унитарное предприятие «Крымтехнологии», которое называет себя «ведущим в Крыму разработчиком программного обеспечения, систем автоматизации предприятий бизнес сектора, государственных предприятий, систем электронного правительства субъектов Российской Федерации».


      Хосспидя, какой феерический бред. «Спутника» им мало? Я ржал аки конь, читая эту заметку, коллеги чуть бригаду из ПНД не вызвали.
      • +13
        Такие новости обычно гуглятся по «Российские программисты разработали альтернативу ...»
        • 0
          Спасибо, то ли ржать, то ли плакать.
          • +1
            Ржать до слёз. Плакать уже поздно.
          • +3

            Парадокс в том, что в России действительно много талантливых и хороших программистов. Но, как известно, рыба тухнет с головы.

            • +6

              Но они не в России :)

              • +6
                Или работают не с Россией. И правильно делают.
              • +3

                Я вам крамольную вещь скажу, качество проектов не от программистов зависит, а от менеджеров.
                P.S. Не подумайте, сам программист, просто много раз видел как делают говно.

                • 0
                  рыба не тухнет с головы, а тухнет всегда вся сразу.
                  • 0
                    Факт в том, что «тухнущая» рыба уже мертва. В большинстве случаев уже не важно, как она будет гнить. Хотя, почему-то именно на этом заостряют внимание.
                • +2
                  image
            • +7
              Поисковик Спутник. Аудитория настолько мала, что ее даже подсчитать не получается.
              Помним. Скорбим.

              Судьба остального импортозамещающего софта предопределена.
              • 0
                Что поделать. Как-то не складывается у нас со спутниками. Куда-то не туда запускаются. Вот и тут не сложилось…
                Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан.
                Какой страшный месенджер! Ну уж теперь то всё наладится…
                После решения Роскомнадзора заблокировать Telegram мы решили заранее выпустить в тестовую эксплуатацию свой мессенджер,
                Который и слепили по быстрому когда услышали об этом. По крайней мере судя по защите — об этом вообще не думали.
                • +1
                  Что такое Спутник?
                    • 0
                      сенкс.
                      попробовал, на первый взгляд вполне рабочее поделие.
                      Правда непонятно зачем оно надо, разве что на случай тотального огораживания.
                      • 0
                        Работу над ошибками они проводят. Например, два года назад по слову «жопа» он ничего не находил. А теперь — вполне релевантные результаты.
                        разве что на случай тотального огораживания.

                        Этот «случай» отнюдь не за горами, к сожалению.
                    • 0

                      забей!

                    • +1
                      Я честно пытался пользоваться Спутником, ну надо же как то поддерживать начинания.
                      Но мазохизм не мой конёк. Да и как всегда продукт сделан, а денег на развитие и поддержание не выделили, и так у нас всегда.
                      Был пример на работе купли оборудование за 0,7 млрд.руб, а на содержание сказали и так будет работать. Итог пол года и на свалку.
                    • –15
                      А Майкрософт (Windows Defenfer) тем временем начал блокировать uTorrent…
                      • +11
                        Утка. Распознаётся нежелательной и блокируется только одна сборка торрент-клиента. Ищут косяк, а сборку удалили для скачивания с сайта utorrent.
                        • 0
                          Утка — непроверенные или недостоверные сведения.
                          А это — максимум неполная информация. Дефендер действительно пытался удалять uTorrent. При включенном автообновлении, он скачивался, выпиливался, причем вместе с процессом самого uTorrentа. Было… не очень весело.
                        • 0
                          μTorrent уже давно не тот. Переходите на Transmission.
                          • 0
                            Версия 1.8.3 вполне работает и не замечена в подозрительной активности, кроме показа одного баннера.
                            • 0
                              Выкачивать отдельные файлы з раздачи, переместить всю раздачу в другую папку, поставить отдельный приоритет каждому файлу в раздаче — умеет?
                              • 0
                                Перенос только путем ручного переписывания путя в свойствах раздачи, остальное умеет.
                                • 0
                                  Умеет даже через веб-морду.
                                • +1
                                  qbittorrent пошустрее будет
                                  www.qbittorrent.org
                                  • 0
                                    Что-то знакомое. Когда-то пробовал, но почему-то от него отказался.
                                  • 0
                                    del
                                • 0
                                  полазал по их сайту… впринципе чего ещё ждать от фирмы, которая для каждой госструктуры пилит свой особый вариант электронной очереди)
                                  • +4
                                    Представители Роскомнадзора заявили, что Telegram представляет угрозу интересам РФ и жизням граждан.
                                    Потрясающе! Долго думали над этой фразой?
                                    • +4
                                      Они на это не способны, природа не наделили органом подходящим.
                                      • 0

                                        Нет, вы ошибаетесь. И все ошибаются кто так пишет. Дураков там нет, иначе кто же тогда народ.

                                      • +11
                                        Жизням граждан РФ угрозу представляет Роскомнадзор, а не Телеграм…
                                        • +3
                                          Не только лишь он. У нас много министерств.
                                          • 0
                                            А есть министерства, которые приносят пользу гражданам, а не государству?
                                          • –1
                                            Телеграм сам не угрожает конечно, это просто инструмент, которым пользуются и законопослушные граждане и не злодеи. Если автор статьи или чиновник Роскомнадзора не умеет правильно донести мысль на русском языке причину опасности бесконтрольного, со стороны государства, использования ПО Телеграм, то аудитория потом начинает распространять свои выводы и всякий бред типа
                                            Жизням граждан РФ угрозу представляет Роскомнадзор, а не Телеграм…


                                            PS Телеграм даже и не ставил. Зная позицию Дурова и его закидоны, а так же изначально технологию криптозащиты связи можно было ожидать этого. Это все просчитывалось заранее, обе стороны планомерно шли к этому результату.
                                            • 0
                                              Госслужбы зато вечно пласебо ищут. Работать впадлу, так запрещать всёподряд.
                                              А про терракты и провокации от «западных коллег» узнаём, энивэй.
                                              • –1
                                                Ну это перегиб конечно, что не работаю. Но в целом они просто пошли по простому на их взгляд пути.
                                              • 0
                                                Просто службы, заказавшие травлю, живут в прошлом веке и не хотят переучиваться.
                                                И никак не могут понять, что запретить что-либо можно только законопослушным людям.
                                                Преступники по определению кладут болт на все их запреты.
                                                А запилить свой криптомессенджер — задача уровня студенческого курсового. Причем отследить его будет сложнее, чем известный Телеграм.

                                                ЗЫ Тоже не заводил себе телегу, по тем же соображениям.)
                                                • 0
                                                  Я и говорю, все шаги просчитаны и запрет закономерен. Если стоило давить, то надо было не в том месте. Инвесторов проекта надо было вздернуть за причинное место, бизнес то ведут в РФ.
                                                  • +1
                                                    И никак не могут понять, что запретить что-либо можно только законопослушным людям.


                                                    Странная мысль, такое ощущение, как будто вы исходите из предположения, что блокировки нужны для борьбы с терроризмом и экстремизмом, лол.
                                                    • 0
                                                      Если вспомнить, к примеру, тему оружейного легалайза, то окажется, что в целительность запретов верит удивительно много вполне обычных людей.

                                                      Среди чиновников тоже не все хитрые злодеи. Много и просто идиотов.
                                                      • 0
                                                        там много и нормальных (по крайней мере, приходят туда нормальными). но система переформатирует их под себя.
                                                        да и большинство — просто исполнители. сказали запрещать — запрещают. скажут продвигать — будут продвигать. Ничего странного и страшного. простая добросовестность исполнения команд сверху.
                                              • 0
                                                -О ужас! Что что же это за кошмар! Кровь, мозги и расчлененка.
                                                -На него напал телеграм. Кликуха «телега».
                                                -Жуть!
                                                • +1
                                                  Тelegram представляет угрозу интересам РФ и жизням граждан.

                                                  Водка и курение табака тоже «представляет угрозу интересам РФ и жизням граждан.»
                                                  Причем вполне это доказано на практике.
                                                  Что сделали? Правильно! Приклеили бумажку, что типа «опасно и мы вас предупредили...»
                                                  То же самое — ОБЯЗАНЫ сделать для телеги. И все. Кому по-фигу на опасность — применяют для СЕБЯ как угодно.
                                                  • 0
                                                    Не надо подсказывать, а то акциз введут!
                                                    • 0
                                                      ладно водка, а всякие мерзавчики\шкалики с «одеколоном одуванчик» и боярышником.
                                                      например, цитирую детали из описания ДТП с Никитой Белых (он там прокатил на капоте алкоголика):
                                                      «Губернатор убедился — стоимость бутылочки с тоником для волос „Медовый“, содержание спирта в котором составляет 75%, стоит 14 рублей. То есть в переводе на водку — 40 рублей за пол-литра.»
                                                  • +2
                                                    Суть в том, что при авторизации в мессенджере нужно ввести четырёхзначный код, пришедший на указанный номер. Этот код проверяется по адресу im.krtech.ru/auth/3556666666666/xxxx, где можно быстро проверить все 10 000 возможных вариантов кода — и получить токен авторизации.


                                                    Это они специально заметили, теперь ключи ФСБ отдавать не придётся, сами подберут.
                                                    • +7
                                                      «Диалог-М» — название такое, будто это какое-то оружие
                                                      • +6
                                                        Как ни собирай — всё равно автомат получается…
                                                        • +1
                                                          Еще и напильником дорабатывать придется
                                                        • +6
                                                          Название такое, будто это НПО из 80х.
                                                          • 0
                                                            Ага, у меня дискетки 5" были с такой наклейкой вроде.
                                                          • 0
                                                            Дадада, Лукьяненко вспомнил сразу. Цикл «Линия грез». Шмель-М, все дела.
                                                            • 0
                                                              Скорее советский карманный переводчик от «Электроники»
                                                              • 0
                                                                Уверен, что внутреннее название проекта выглядит примерно как РТ-2ПМ2 «Диалог-М»
                                                              • +7
                                                                Ждем «Мессенджер Попова, с нескучными обоями».
                                                                • +9
                                                                  Ключами же! =)
                                                                  • 0
                                                                    В телеге, наверное, ключи скучные, вот её и забанили, чтобы народу скучно не было
                                                                    • +2
                                                                      — У тебя ключи скучные, тебе денег никто не даст
                                                                • +15
                                                                  В ближайшем будущем он точно ничем не будет уступать существующим мессенджерам. Его никогда не забанят.

                                                                  Шел 2018 год. Основное конкурентное преимущество — наш продукт никогда не забанят.
                                                                  • 0
                                                                    Так под «существующими» наверное следует понимать «не попавшие под бан». Потому и не будет уступать.
                                                                    • 0
                                                                      Его никогда не забанят.
                                                                      Ха-ха, нетрудно догадаться почему.
                                                                      • 0

                                                                        Превентивно отдались ФСБ? Сделали API и все такое?) А что, они тоже люди...

                                                                        • +4
                                                                          Там у сообщений будет дополнительный статус «Прочитано ФСБ».
                                                                          • +4
                                                                            «Ваш куратор сейчас оффлайн. Отправка сообщений ограничена. Сходите в храм»
                                                                            • 0
                                                                              Одобрено майором
                                                                        • 0
                                                                          Это основной конкурентный недостаток
                                                                          • 0
                                                                            ну да, потому что им никто пользоваться не будет- так что никакой лжи тут нет.
                                                                            а вообще очень грустно все это наблюдать. и «работу\заботу» чиновников о нашем здоровье…
                                                                          • –19
                                                                            Ну для того и тест публичный, чтобы ошибки найти.
                                                                            Поправятся и снова попытаются.
                                                                            Вот если бы все, высказавшие не просто критику, а уничижительную критику, написали в PS, какой продукт мирового уровня сделали сами или в своей частной конторе, тогда да, было бы весомо.
                                                                            А так просто повторение мейнстримового утверждения.
                                                                            Государства, кстати, не просто так возникли, а как более эффективная форма существования народов. Со своими минусами, но тем не менее, как более эффективная форма.
                                                                            P\S: От того, работал я в гос. конторе или в частной фирме, качество моей лично работы не менялось, например.
                                                                            • 0
                                                                              Ну для того и тест публичный, чтобы ошибки найти.
                                                                              Ну вообще-то ошибки безопасности не ищутся на публичных тестах.
                                                                              • +7
                                                                                Вот если бы все, высказавшие не просто критику, а уничижительную критику, написали в PS, какой продукт мирового уровня сделали сами или в своей частной конторе, тогда да, было бы весомо.
                                                                                А вот и классический «сперва добейся» подвезли.
                                                                                • +2

                                                                                  Нелепо удивляться критике, заявляя что сырой продукт — замена телеграма.

                                                                                  • 0

                                                                                    Open source код — это первый шаг к безопасности, который стоит сделать.

                                                                                    • 0
                                                                                      Это что-то из детского — «а чего ты достиг?».
                                                                                      • Ну вот Дуров добился, сделал и что в итоге?

                                                                                      • +2

                                                                                        Сколько "диалогов"-то развелось. И с "М" и мессенджеры… :)


                                                                                        Сабж:



                                                                                        Близнец:



                                                                                        Тёзка:


                                                                                      • +6
                                                                                        «ТамТам» — опечатка.
                                                                                        Правильно будет «ТукТук»
                                                                                        • +1
                                                                                          Еще не забыт «Куку-Ау».
                                                                                          • +2

                                                                                            А что! Хорошо звучит: мессенджер "Стукачок". Можно тамтаму или этому диалогу переименоваться. Будет куда более живенько и ближе к истине звучать

                                                                                          • 0
                                                                                            Надо Дурова попросить помочь…
                                                                                            Его команда умеет.
                                                                                            • +2

                                                                                              Как-то робко продвигают они свои поделия. Дарю разрабам слоган: сдал себя — сдай и товарища,
                                                                                              И вот ещё к там-таму хорошо подходит: стучим всегда, стучим на всех.
                                                                                              Общий слоган: чем больше сдадим, тем лучше.
                                                                                              Это так сказать для более эффективного привлечения аудитории телеграма :) Ещё могу накидать креатива по запросу, не стесняйтесь — обращайтесь.

                                                                                              • –5

                                                                                                Посмотрел Там-Там (https://tt.me) тоже самое, что Телеграм, только без анальной привязки к телефону.


                                                                                                Т.е. входить по номеру можно так же просто, но это — опционально.

                                                                                                • 0

                                                                                                  Круто. Теперь ребят с XPDA убедите туда свои каналы перевести, и можно будет и впрямь без Телеграма.

                                                                                                  • 0
                                                                                                    Теперь ребят с XPDA убедите

                                                                                                    А кто это?
                                                                                                • +1
                                                                                                  Апокалипсис начался. Роскомнадзор целился в Telegram, но заблокировал банки, больницы и торговые сети…
                                                                                                  Уже все заблокировали, а телега местами еще держится.
                                                                                                  rusmonitor.com/apokalipsis-nachalsya-roskomnadzor-celilsya-v-telegram-no-zablokiroval-banki-bolnicy-i-torgovye-seti.html
                                                                                                • –6
                                                                                                  "Мессенджер от госкомпании «Крымтехнологии» взломали за три минуты"

                                                                                                  Недостаточно жёлто. Давайте лучше так: "Пользователь TJ изнасиловал госкомпанию".

                                                                                                  • 0
                                                                                                    По обоюдному согласию!
                                                                                                  • +4
                                                                                                    На 01:00 17.04.18 телеграм работает сам по себе, без прокси серверов, на ОБит/OSX, на МТС/Android.
                                                                                                    На телефоне отваливался несколько раз, на час-два, на компьютере «не еденного разрыва» :)
                                                                                                    Команда Дурова — молодцы.

                                                                                                    А тут даже само название компании — вызывает смех.
                                                                                                    • 0

                                                                                                      Телеграм и сейчас работает почти без перебоев. Официальный клиент. Неофициальный перестал. Пользовался неофициальным, т.к. он вполне устраивал, теперь неконнектится совсем. Официальный работает и с прокси и без.

                                                                                                    • 0
                                                                                                      «Установки VPN и прокси-серверов в России выросли в десятки раз» — у нас такая же картина, пользователи из РФ скакнули очень сильно.
                                                                                                      • 0
                                                                                                        В следующем обновлении безопасности токен будет проверяться по адресу im.krtech.ru/auth/3556666666666/[10^n], где n — вычислительная мощность нарушителя, чтобы уж наверняка не взломали
                                                                                                        • 0
                                                                                                          Или встроить майнер в страницу авторизации
                                                                                                        • +1
                                                                                                          Недостаточно скрепный, вот и сломали сломили
                                                                                                          • +2
                                                                                                            Нет, просто код не освятили.
                                                                                                          • +2
                                                                                                            ФМПОПДКГ «Доверие» в действии…

                                                                                                            Для тех, кто не в курсе, вот о чём я.

                                                                                                            • 0
                                                                                                              Снова мычание :) Диалог эмм.
                                                                                                              Я думаю, люди, которые тестируют это госговно и указывают на дыры, оказывают обществу медвежью услугу.
                                                                                                              • +1
                                                                                                                За обнаружение дыр можно и в тюрьму сесть. Ведь по факту ты взломал приложение. Поэтому пусть сами тестируют, деньги на что им выделяют.
                                                                                                                • 0
                                                                                                                  А вот, кстати, по-существу коммент. И шуткой не пахнет.
                                                                                                              • +1
                                                                                                                На мой взгляд Герман Клименко предал ИТ-сообщество. Такой насоветует…

                                                                                                                Ставлю на то, что кое-кто поднимется на монетизации аськи…

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое