بطور مثال اینو ببینید: http://jing.irsofts.in/dltranse.htm.html

منکه خودم میدونستم اینا 99% باید شایعه و دروغ و کلاهبرداری باشه، ولی یکی منو وسوسه کرد بخاطر همین این یدونه رو گفتم بذار تست کنم :لبخند:

یه 10 تومن از کف رفت :افسرده:

علی الظاهر کلاهبرداری بود چون دوتا برنامه داد که هردو برنامه های خارجی و جور دیگه بودن. مثلا اینکه میگه شنود از راه دور، فقط یه برنامه خارجی بنام secureteen (http://www.secureteen.com/) هست که برنامهء کنترل گوشی فرزندان توسط والدین هست و خودتون باید روی گوشی ای که میخواید کنترلش کنید نصبش کنید. تازه اکانت فری هست و کار زیادی هم انجام نمیده گزینه هاش هم خوب کار نمیکنه ظاهرا، فقط مکان یابیش بد نبود.

ولی این طرفی که منو وسوسه کرد این نرم افزار رو بخرم چون گفتش که مثلا نرم افزار هک تلگرام دوستاش خریدن و تست کردن کار کرده!

حالا این درگاه پرداخت معتبر رو چطوری جور میکنن این کلاهبردارها؟ :متفکر:

من چک کردم ظاهرا درگاه پرداخت درست و معتبر هست و phishing نبوده.

لینکش:

https://pec.shaparak.ir/pecpaymentgateway/default.aspx?au=306103273

الان میشه ازشون شکایت کرد پولمون رو پس بگیریم؟

تنها روش هک تلگرام اینه که یه نرم افزار روی گوشی طرف مقابل نصب کنید .که پیام هایی که از تلگرام واسش فرستاده میشه برای شما بفرسته.
اینطوری وقتی میخواید با شماره اون وارد بشید کد ورود به گوشیش ارسال میشه.شما اون کد رو میفهمید و وارد میشید.همین.
البته اگه کاربر تنظیمات امنیتی تلگرامشو درست گذاشته باشه این روش هم نمیشه.

شما که برنامه نویسی چرا باور کردی؟
خود تلگرام 300.000 دلار جایزه گذاشته برا کسی که بتونه تلگرام رو هک کنه. اونوقت این جایزه رو اینا میان 10000 تومن میفروشن؟
حالا جالب اینجاس منم یه دوستی دارم قسم میخوره که برنامه ای رو گوشیش داره که میتونه هر وای فای رو هک کنه و بدون زدن رمز وارد روتر بشه (یعنی میگه وقتی برنامه رو اجزا میکنم میگرده وای فای های دور و برشو پیدا میکنه و میپرسه میخوای با رمز وارد بشی یا بدون رمز. بعد منم میزنم بدون رمز و بدون زدن رمز کانکت میشه !!!!!!(!)(!)
بهش گفتم بیا اگه تونستی وارد روتر ما بشی من 1 میلیون بهت میدم اگه نتونستی تو 100 هزار بهم بده. گفت من اهل شرط بندی نیستم!

خود تلگرام 300.000 دلار جایزه گذاشته برا کسی که بتونه تلگرام رو هک کنه. اونوقت این جایزه رو اینا میان 10000 تومن میفروشن؟
تاجاییکه میدونم اون قضیهء جایزه و عدم امکان هک تلگرام مربوط به این میشه که خود تلگرام رو مستقیما و احتمالا از راه دور هک کنن.
ولی میدونید که هک میتونه از طریق غیرمستقیم و راهها و حفره های موجود در برنامه های دیگر و سیستم عامل هم صورت بگیره. درواقع تلگرام هک نمیشه، بلکه مثلا از جای دیگه روش دیگه نفوذ میکنن توی اندروید مثلا.


حالا جالب اینجاس منم یه دوستی دارم قسم میخوره که برنامه ای رو گوشیش داره که میتونه هر وای فای رو هک کنه و بدون زدن رمز وارد روتر بشه (یعنی میگه وقتی برنامه رو اجزا میکنم میگرده وای فای های دور و برشو پیدا میکنه و میپرسه میخوای با رمز وارد بشی یا بدون رمز. بعد منم میزنم بدون رمز و بدون زدن رمز کانکت میشه !!!!!!(!)(!)
بهش گفتم بیا اگه تونستی وارد روتر ما بشی من 1 میلیون بهت میدم اگه نتونستی تو 100 هزار بهم بده. گفت من اهل شرط بندی نیستم!
شاید منظورش با استفاده WPS بوده!
البته این روش هک نیست، بلکه یک امکان روی بعضی مودمها هست که داره و من خودم تستش کردم.
برای ما یه دکمه روی مودم داره که بزنی میتونی بدون دادن پسورد وصل بشی. درواقع پسورد رو خود مودم میفرسته برای دستگاه دیگر. بهرصورت این روش نیاز به دسترسی به مودم داره. البته اگر در این سیستم حفرهء امنیتی وجود داشته باشه اونوقت لابد میشه بدون زدن دکمه هم وارد شد!

در دنیای کامپیوتر چیزهای عجیب غریب زیاده میتونم بگم تقریبا هرچیزی ممکنه! مثلا قبلا یجا میخوندم حتی از طریق سخت افزار و مثلا حفره های امنیتی موجود در خیلی از کارتهای شبکه میتونن نفوذ کنن. ولی خب اینا که میگن منم میدونم از 100 تا 99 تاش شایعه و دروغ و کلاهبرداری باید باشه. کارهای خفن همینطور الکی نیست که هرکسی سوادش رو نداره و اگر به این سادگی در دسترس عموم باشه که خب موجب عکس العمل های جدی تر و رسمی تر میشه نه همینطور که دوتا منبع غیررسمی واسه خودشون برنامه هک بفروشن به ملت و کسی هم کاری نداشته باشه کاری نکنه.

داداش تلگرام رو هک نمیکنن که با یک برنامه میان به وب سرویس شخص مورد نظر وصل میشن که اونم قابل مشاهدس (در setting و در قسمت private and security و در Active seassions) توی خود برنامه تلگرام

من خودم دیدم ، خیلی خوبم کار میکنه فقط باید برنامه اول رو روی گوشی نصب کنی و جیمیلی برای استفادش بدی ؛

روش کارم اینه که برنامه ناتیفیکشن ارسالی از طرف وب سرویس رو دریافن میکنه و اون رو به وب سرویس برمیگردونه و تمام حالا تلگرام مخاطب رو داریم بقیشم که از وب میخونیم و ...

...بگیره. درواقع تلگرام هک نمیشه، بلکه مثلا از جای دیگه روش دیگه نفوذ میکنن توی اندروید مثلا.


شاید منظورش با استفاده WPS بوده!
البته این روش هک نیست، بلکه یک امکان روی بعضی مودمها هست که داره و من خودم تستش کردم.
برای ما یه دکمه روی مودم داره که بزنی میتونی ....


فکر کتم شما زیاد اطلاعات نداری در این زمینه.
1-هرگونه توانایی نفوذ(هک) بدون رعایت اصول تعریف شده رو تلگرام 300 هزار دلار براش جایزه گذاشته.
2- WPS که شما میگی یه چیز دیگس. شما متوجه عرض بنده نشدی انگار. برای WPS شما حتما باید به روتر دسترسی داشته باشی ولی این نرم افزاری که ایشون میگن به این صورت عمل میکنه که بدون کد وارد هر روتری که آنتنش رو گوشی بیاد میشه. حتی بدون جستجوی رمز های ساده.

1-هرگونه توانایی نفوذ(هک) بدون رعایت اصول تعریف شده رو تلگرام 300 هزار دلار براش جایزه گذاشته.خب کدوم اصول؟

2- WPS که شما میگی یه چیز دیگس. شما متوجه عرض بنده نشدی انگار. برای WPS شما حتما باید به روتر دسترسی داشته باشی ولی این نرم افزاری که ایشون میگن به این صورت عمل میکنه که بدون کد وارد هر روتری که آنتنش رو گوشی بیاد میشه. حتی بدون جستجوی رمز های ساده.

خب بنده هم اشاره کردم که شاید از باگی در پروتکل یا پیاده سازی های WPS استفاده میکنه. اگر حفره ای در این پروتکل یا پیاده سازیش نباشه که خب معلومه نیاز به دسترسی فیزیکی هست.

البته احتمال بیشتر اینه که ادعای ایشون خالی بندی بوده یا به هر شکلی یجایی اشتباه کرده اشتباه فهمیده خلاصه!!

داداش تلگرام رو هک نمیکنن که با یک برنامه میان به وب سرویس شخص مورد نظر وصل میشن که اونم قابل مشاهدس (در setting و در قسمت private and security و در Active seassions) توی خود برنامه تلگرام

منظورت از وب سرویس، تشکیلات سمت سرور برنامهء تلگرام هست؟
خب اینم باز میشه گفت هک تلگرام. بالاخره تلگرام یک سیستم گسترده هست که از پروتکل ارتباطی و برنامه های سمت سرور و سمت کلاینت تشکیل میشه. هرکدام از این بخشها اگر ضعف و حفره ای داشته باشه، میتونیم بطور کلی بگیم که طراحی تلگرام دچار حفرهء امنیتی بوده و هک شده.
راستی دربارهء این روشی که میگید منبع معتبری سراغ دارید؟

2- WPS که شما میگی یه چیز دیگس. شما متوجه عرض بنده نشدی انگار. برای WPS شما حتما باید به روتر دسترسی داشته باشی ولی این نرم افزاری که ایشون میگن به این صورت عمل میکنه که بدون کد وارد هر روتری که آنتنش رو گوشی بیاد میشه. حتی بدون جستجوی رمز های ساده.

روی بعضی از مودمها باگ WPS وجود داره, برنامه هايی برای به دست آوردن پسورد وايرلس با استفاده از اين حفره روی گوشی و هم روی pc وجود دارند که از همين باگ استفاده ميکنند
اگر نميدونيد مودم شما اين باگ رو داره يا نه بهتره کلاً WPS رو از تو تنظيمات مودم غير فعال کنيد

خخخ بابا این تلگرام هم مث اینکه پوشالیه!
ما رو باش فکر میکردیم واقعا درست و حسابیه.
الان یه سرچ زدم چندتا منبع رو نگاهی انداختم متوجه شدم که فقط زیادی سر و صدا و تبلیغات راه انداختن راجع به امنیتش.
مثلا در این منبع:
http://security.stackexchange.com/questions/49782/is-telegram-secure
نظر افراد متخصص و مطلع بر اینه که تلگرام به هیچ وجه اونقدری که طراحانش ادعا میکنن امن نیست.
در این منبع هم:
http://thoughtcrime.org/blog/telegram-crypto-challenge/
طرف میگه با محدودیت هایی که طراحان تلگرام برای چالش هک کردن تلگرام گذاشتن، حتی پروتکل های خیلی ناشیانه تر رو هم نمیشه هک کرد. یعنی این مسابقه عملا ساختگی و تبلیغاتیه بیشتر.
خود طرف یک پروتکل ناشیانه بعنوان مثال مطرح میکنه میگه اگر محدودیت های مسابقهء هک تلگرام رو در این مورد هم قائل بشیم کسی نمیتونه هک کنه و اگر قبول ندارید سعی کنید اینو با همون شرایط هک کنید!

اینجا هم باز مسخرگی ادعاهای تلگرام و نشانه های واضحی از ناشی گری شون رو اشاره کرده:
http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
درمورد تیم طراحی تلگرام میگه حدود 6 نفر هستن که ظاهرا همشون قهرمان های مسابقات ACM هستن، و نصفشون دکترای ریاضی هستن. خب تا اینجا خوبه جالبه، ولی در عین حال هیچکدام متخصص علم رمزنگاری نیستن!

خب تا اینجا بنده به شخصه فهمیدم که مشکل چیه!
چند نفر که چون توی مسابقات عمومی برنامه نویسی برنده شده فکر کردن نابغه برنامه نویسی هستن و دیگه میتونن هرکاری رو بصورت حرفه ای انجام بدن، و فکر کردن چون مثلا دکترای ریاضی هم دارن میتونن بدون تخصص قبلی در علم رمزنگاری به همین سرعت و سادگی واردش بشن و الگوریتم ها و پروتکل های حرفه ای امن طراحی کنن، اومدن تلگرام رو طراحی کردن!
زیادی جوگیر شدن! زیادی نادان بودن در این زمینه.
بنده یکی دو سال بصورت تخصصی در علم رمزنگاری مطالعه و تحقیق داشتم و باید بگم علم رمزنگاری فوق العاده تخصصیه و واقعا هم ظریف و فریبنده است. این اشتباه خیلی ها هست که میرن بدون تخصص در این حیطه از خودشون الگوریتم طراحی میکنن. گرچه ریاضیات در این رشته خیلی کمک میکنه و پایه است، ولی به تنهایی کافی نیست تا شما صلاحیت کار حرفه ای در این زمینه رو پیدا کنید.
بطور مثال یکی از اصول علم رمزنگاری که از هر متخصص واقعی این رشته بپرسید بهتون میگه اینه که هرگز خودتون به تنهایی الگوریتم و پروتکل های رمزنگاری طراحی و استفاده نکنید، و بجاش تا حد امکان از سیستمها و الگوریتم های شناخته و بررسی شده توسط جامعهء متخصصان این رشته که در طول سالها بقدر کافی توسط افراد متعدد این کاره تحلیل و بررسی شدن و در عمل هم محک خوردن استفاده کنید. اما تیم تلگرام این قاعده رو رعایت نکردن که نشان از نادانی و عجول بودن اونهاست و اینکه کلشون باد داشته!
تازه در عمل هم ضعفهایی هم در پروتکل و تشکیلاتشون درآوردن که در منابع بهشون اشاره شده.
ولی خب با اون شرایط و محدودیت هایی که خودشون برای چالش هک تلگرام گذاشتن معلومه کسی نمیتونه به این سادگی هک کنه!!

خخخ بابا این تلگرام هم مث اینکه پوشالیه!
ما رو باش فکر میکردیم واقعا درست و حسابیه.
الان یه سرچ زدم چندتا منبع رو نگاهی انداختم متوجه شدم که فقط زیادی سر و صدا و تبلیغات راه انداختن راجع به امنیتش.
مثلا در این منبع:
http://security.stackexchange.com/questions/49782/is-telegram-secure
نظر افراد متخصص و مطلع بر اینه که تلگرام به هیچ وجه اونقدری که طراحانش ادعا میکنن امن نیست.
در این منبع هم:
http://thoughtcrime.org/blog/telegram-crypto-challenge/
طرف میگه با محدودیت هایی که طراحان تلگرام برای چالش هک کردن تلگرام گذاشتن، حتی پروتکل های خیلی ناشیانه تر رو هم نمیشه هک کرد. یعنی این مسابقه عملا ساختگی و تبلیغاتیه بیشتر.
خود طرف یک پروتکل ناشیانه بعنوان مثال مطرح میکنه میگه اگر محدودیت های مسابقهء هک تلگرام رو در این مورد هم قائل بشیم کسی نمیتونه هک کنه و اگر قبول ندارید سعی کنید اینو با همون شرایط هک کنید!

اینجا هم باز مسخرگی ادعاهای تلگرام و نشانه های واضحی از ناشی گری شون رو اشاره کرده:
http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
درمورد تیم طراحی تلگرام میگه حدود 6 نفر هستن که ظاهرا همشون قهرمان های مسابقات ACM هستن، و نصفشون دکترای ریاضی هستن. خب تا اینجا خوبه جالبه، ولی در عین حال هیچکدام متخصص علم رمزنگاری نیستن!

خب تا اینجا بنده به شخصه فهمیدم که مشکل چیه!
چند نفر که چون توی مسابقات عمومی برنامه نویسی برنده شده فکر کردن نابغه برنامه نویسی هستن و دیگه میتونن هرکاری رو بصورت حرفه ای انجام بدن، و فکر کردن چون مثلا دکترای ریاضی هم دارن میتونن بدون تخصص قبلی در علم رمزنگاری به همین سرعت و سادگی واردش بشن و الگوریتم ها و پروتکل های حرفه ای امن طراحی کنن، اومدن تلگرام رو طراحی کردن!
زیادی جوگیر شدن! زیادی نادان بودن در این زمینه.
بنده یکی دو سال بصورت تخصصی در علم رمزنگاری مطالعه و تحقیق داشتم و باید بگم علم رمزنگاری فوق العاده تخصصیه و واقعا هم ظریف و فریبنده است. این اشتباه خیلی ها هست که میرن بدون تخصص در این حیطه از خودشون الگوریتم طراحی میکنن. گرچه ریاضیات در این رشته خیلی کمک میکنه و پایه است، ولی به تنهایی کافی نیست تا شما صلاحیت کار حرفه ای در این زمینه رو پیدا کنید.
بطور مثال یکی از اصول علم رمزنگاری که از هر متخصص واقعی این رشته بپرسید بهتون میگه اینه که هرگز خودتون به تنهایی الگوریتم و پروتکل های رمزنگاری طراحی و استفاده نکنید، و بجاش تا حد امکان از سیستمها و الگوریتم های شناخته و بررسی شده توسط جامعهء متخصصان این رشته که در طول سالها بقدر کافی توسط افراد متعدد این کاره تحلیل و بررسی شدن و در عمل هم محک خوردن استفاده کنید. اما تیم تلگرام این قاعده رو رعایت نکردن که نشان از نادانی و عجول بودن اونهاست و اینکه کلشون باد داشته!
تازه در عمل هم ضعفهایی هم در پروتکل و تشکیلاتشون درآوردن که در منابع بهشون اشاره شده.
ولی خب با اون شرایط و محدودیت هایی که خودشون برای چالش هک تلگرام گذاشتن معلومه کسی نمیتونه به این سادگی هک کنه!!

خخ.آره بابا تو راس میگی عمو.

خخ.آره بابا تو راس میگی عمو.
حالا شما چرا فکر کردی به این سادگی باور کردی چون طراحان تلگرام یه ادعایی کردن حتما درسته؟

یدونه متخصص رمزنگاری معتبر توی تیمشون نیست! و هیچ متخصص رمزنگاری معتبری رو نمیتونید پیدا کنید که ادعاشون رو تایید کنه.
هرکاری یه اصولی داره متخصص خودش رو میلطبه.
اینا زیادی جوگیر شدن و تبلیغات الکی هم راه انداختن.

البته در اینکه برنامه نویسهای قوی هستن شکی نیست، اینم که دکترای ریاضی دارن خیلی خوبه، ولی حتی با این حال مثل اینه که یه پزشک عمومی خیلی مشهور و باسواد و موفق بخواد همینطور یهو بره وارد کار جراحی مغز و اعصاب بشه و از اولش چاقوی جراحی بگیره دستش! هرچقدر هم که باسواد و نابغه باشه، بهرحال نمیتونه بدون تخصص و یادگیری قبلی و اینکه حداقل یکی دو سالی بصورت تخصصی روی این رشته تخصیل کنه بیاد و جراحی مغز و اعصاب بکنه. صلاحیتش رو نداره. چون رشتهء حساس و فوق تخصصیه.

وقتی خودشون متخصص نیست مدرک رسمی ندارن، و هیچ منبع رسمی هم تاییدشون نمیکنه، تازه ازشون ایراد گرفتن زیر سوال و انتقاد هم بردن، چرا ما باید حرفشون رو باور کنیم؟

شما مطلع نیستی چون در این زمینه اطلاعات کافی ندارید ولی بنده یکی دو سال منابع تخصصی این رشته (رمزنگاری) رو زیر و رو کردم یه چیزایی میدونم وقتی توی منابع به چیزی اشاره کردن کنایه زدن متوجه میشم منظورشون چیه و آیا درست و وارد هست یا نه.

البته حکومت ها و سازمانهای اطلاعاتی هم مسلما بدشون نمیاد که مردم این شایعات رو باور کنن، چون اونوقت مخالفان و تبهکارها و تروریست ها هم این وسط ممکنه گول بخورن و از این نرم افزارها به خیال اینکه امن هستن برای ارتباط و کارهای خودشون استفاده کنن، و اینطوری هست که سازمانهای اطلاعاتی میتونن اونا رو تحت نظر بگیرن!
البته سازمانهای تبهکاری که بقدر کافی پیشرفته باشن مسلما این قضیه رو متوجه میشن و محتاطتر از این حرفها هستن، ولی خیلی از تبهکارهای سطح پایین تر که منابع اطلاعاتی و تخصصی کمتری دارن ممکنه تاحدی فریب بخورن.
توی کشورهایی مثل ما هم که البته حکومت مخالفان سیاسی و خیانت کار داخلی زیاد داره که بیشترشون کم و بیش جزو مردم عادی محسوب میشن، و احتمال باور کردن این شایعات از طرف این افراد طبیعتا زیاده.

حالا شما چرا فکر کردی به این سادگی باور کردی چون طراحان تلگرام یه ادعایی کردن حتما درسته؟

یدونه متخصص رمزنگاری معتبر توی تیمشون نیست! و هیچ متخصص رمزنگاری معتبری رو نمیتونید پیدا کنید که ادعاشون رو تایید کنه.
هرکاری یه اصولی داره متخصص خودش رو میلطبه.
اینا زیادی جوگیر شدن و تبلیغات الکی هم راه انداختن.

البته در اینکه برنامه نویسهای قوی هستن شکی نیست، اینم که دکترای ریاضی دارن خیلی خوبه، ولی حتی با این حال مثل اینه که یه پزشک عمومی خیلی مشهور و باسواد و موفق بخواد همینطور یهو بره وارد کار جراحی مغز و اعصاب بشه و از اولش چاقوی جراحی بگیره دستش! هرچقدر هم که باسواد و نابغه باشه، بهرحال نمیتونه بدون تخصص و یادگیری قبلی و اینکه حداقل یکی دو سالی بصورت تخصصی روی این رشته تخصیل کنه بیاد و جراحی مغز و اعصاب بکنه. صلاحیتش رو نداره. چون رشتهء حساس و فوق تخصصیه.

وقتی خودشون متخصص نیست مدرک رسمی ندارن، و هیچ منبع رسمی هم تاییدشون نمیکنه، تازه ازشون ایراد گرفتن زیر سوال و انتقاد هم بردن، چرا ما باید حرفشون رو باور کنیم؟

شما مطلع نیستی چون در این زمینه اطلاعات کافی ندارید ولی بنده یکی دو سال منابع تخصصی این رشته (رمزنگاری) رو زیر و رو کردم یه چیزایی میدونم وقتی توی منابع به چیزی اشاره کردن کنایه زدن متوجه میشم منظورشون چیه و آیا درست و وارد هست یا نه.

نيازی نيست کسی که پروتکل طراحی ميکنه متخصص رمزنگاری باشه چيزی که زياده متخصص رمزنگاری و الگوريتم های استانداردی هست که در اختيار همه قرار داره الگوريتم هايی نظير RSA و AES و... قبلاً امتحان خودشون رو پس دادند تلگرام هم از همين الگوريتم ها استفاده ميکنه مسئله اي که مهم هست نحوه استفاده از اين الگوريتم ها برای ايمن سازی داده ها هست

ليست حملاتی که تلگرام در برابر اونها ايمن هست:


Known-plaintext attacks (https://core.telegram.org/techfaq#known-plaintext-attacks)
Chosen-plaintext attacks (https://core.telegram.org/techfaq#chosen-plaintext-attacks)
Chosen-ciphertext attacks (https://core.telegram.org/techfaq#chosen-ciphertext-attacks)
What about IND CCA? (https://core.telegram.org/techfaq#what-about-ind-cca)
Replay attacks (https://core.telegram.org/techfaq#replay-attacks)
Man-in-the-middle attacks (https://core.telegram.org/techfaq#man-in-the-middle-attacks)
Hash collisions for DH keys (https://core.telegram.org/techfaq#hash-collisions-for-diffie-hellman-keys)
Length extension attacks (https://core.telegram.org/techfaq#length-extension-attacks)



توی کشورهایی مثل ما هم که البته حکومت مخالفان سیاسی و خیانت کار داخلی زیاد داره که بیشترشون کم و بیش جزو مردم عادی محسوب میشن، و احتمال باور کردن این شایعات از طرف این افراد طبیعتا زیاده.


پروتکل تلگرام متن باز هست قبل از اظهار نظر در مورد امنيتش بهتره يکبار نحوه ايمن سازی در اين پرتوکل رو مطلعه کنيد بعد اگر مشکلی پيدا کرديد به حکمتتون کمک نرم کنيد که ديگه التماس مسئولان تلگرام نکنه که سروراش رو به داخل ايران انتقال بده

نيازی نيست کسی که پروتکل طراحی ميکنه متخصص رمزنگاری باشه
خب این حرفتون اشتباهه!

دقیقا بخاطر همینکه شما تخصصی در این حیطه ندارید از ابعاد گسترده و پیچیده و ظریفی که داره و تجربیاتی که در این زمینه رخ دادن تاحالا خبر ندارید، طراحی پروتکل (منظور پروتکل های امنیتی است که از علم رمزنگاری مدرن استفاده میکنن) رو خیلی دست کم گرفتید.

بارها افرادی و شرکتهایی این اشتباه رو کردن، حتی شرکتهای نسبتا معتبر، که باعث شده در پروتکل هایی که طراحی کردن حفره های امنیتی جدی وجود داشته باشه. حتی یه نمونه که اغلب بعنوان مثال مطرح میکنن، پروتکل WEP (https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy) است که احتمالا یادتون هست همون پروتکل رمزنگاری وایرلس هست که توی مودمهای قدیمی استفاده شده بود و بعد درش ضعف جدی پیدا کردن و بوسیلهء این ضعف اکسپلویتش هم نوشته شده و بخاطر همین این پروتکل الان دیگه کاملا ناامن محسوب میشه و خیلی کم استفاده میشه ازش. هرچند هنوز توی مودمهای قدیمی ممکنه پیشفرض باشه یا تنها گزینهء ممکن باشه، و توی مودمهای جدید هم ساپورت میشه.

دوست عزیز شما نظر متخصصان این رشته رو قبول داری؟ منابع رسمی این رشته رو قبول داری؟

شما میخوای راجع به دارو و درمان بپرسی مطمئن بشی، بنظرت نظر یک پزشک متخصص معتبرتره باید جدی تر گرفته بشه یا نظر آدمهای غیرمتخصص؟
بله الان خیلی ها مثلا سرما میخورن یا مریضی های متداول/جزیی دیگه، میرن خودشون سرخود از داروخانه دارو میگیرن مصرف میکنن، ولی این کار خیلی هم درست نیست، یه پزشک (البته پزشک درست و حسابی نه از این کم سوادها یا اونایی که فقط فکر پر کردن جیب خودشون هستن) مسلما حتی در این زمینه و اینطور بیماریها و درمانهای کم خطر هم اطلاعات و اعتبار بیشتری داره، چه برسه اگر بیماری جدی تر و درمان های پیچیده تری باشه.

همین حرفی که شما زدی آیا قبول داری بنده در یک جایی که دو نفر آدم متخصص و مطلع وجود دارن و پاسخ میدن، مطرح کنم و جوابی که میدن رو ببینیم بررسی کنیم؟ بطور مثال بنظر من crypto.stackexchange.com جای پرسیدن اینطور سوالاته. البته شاید security.stackexchange.com هم بد نباشه. بنده قبلا سابقهء مطالعه و طرح سوال و مباحثه در این منابع رو دارم و میدونم جای مناسبی برای طرح این مسائل هست. جای بهتر منبع بهتر شما خبر دارید بفرمایید!

اگر اینقدر مطمئن هستی مطلع هستی که پای حرف خودت بایستی، بسم ا...، وگرنه قبول کن که حرف بدون تخصص و صلاحیت زدی!


چيزی که زياده متخصص رمزنگاری و الگوريتم های استانداردی هست که در اختيار همه قرار داره الگوريتم هايی نظير RSA و AES و... قبلاً امتحان خودشون رو پس دادند تلگرام هم از همين الگوريتم ها استفاده ميکنه مسئله اي که مهم هست نحوه استفاده از اين الگوريتم ها برای ايمن سازی داده ها هست
دقیقا جمله ای که فرمودید درسته. ولی منظور شما مبهمه. بله این مسئله خیلی مهمه که ما اینا رو چطور استفاده کنیم، ولی همین چطور استفاده کردن خودش کلی جزییات و ظرایف و پیچیدگی های تخصصی داره که افراد غیرمتخصص نمیدونن و درک نمیکنن و بسادگی ممکنه در این موارد اشتباهات مهمی مرتکب بشن.
میخوای دوتا سوال تخصصی از خودت بپرسم ببینم مثلا AES رو چرا چطوری استفاده میکنی؟
فکر نمیکنم حتی در این حد اطلاعات داشته باشی که بدونی اینطور الگوریتم ها چندین Mode مختلف دارن که هرکدام خواص و نکات جانبی خاص خودشون رو دارن و میتونن تفاوت های مهمی ایجاد کنن که بعضی وقتا اشتباه در این زمینه میتونه امنیت رو تقریبا بطور کامل از بین ببره.
افراد عادی، حتی بهترین برنامه نویسان دنیا، از این مسائل فوق تخصصی خبر ندارن. تنها کسانی که واقعا بصورت جدی و تخصصی در علم رمزنگاری تحقیق و مطالعه و یادگیری داشته بوده باشن از این مسائل خبر دارن و صلاحیت کار حرفه ای در این زمینه رو بدست میارن.


ليست حملاتی که تلگرام در برابر اونها ايمن هست:


Known-plaintext attacks (https://core.telegram.org/techfaq#known-plaintext-attacks)
Chosen-plaintext attacks (https://core.telegram.org/techfaq#chosen-plaintext-attacks)
Chosen-ciphertext attacks (https://core.telegram.org/techfaq#chosen-ciphertext-attacks)
What about IND CCA? (https://core.telegram.org/techfaq#what-about-ind-cca)
Replay attacks (https://core.telegram.org/techfaq#replay-attacks)
Man-in-the-middle attacks (https://core.telegram.org/techfaq#man-in-the-middle-attacks)
Hash collisions for DH keys (https://core.telegram.org/techfaq#hash-collisions-for-diffie-hellman-keys)
Length extension attacks (https://core.telegram.org/techfaq#length-extension-attacks)


حالا من زیاد به تلگرام کار ندارم چون برام مهم نیست مثلا میخوام باهاش چه کنم؟
احتمالا در نسخه های بعدی یکسری ضعف ها رو برطرف کردن و شاید منابعی که من خوندم مربوط به نسخه های قدیمی تر دم و دستگاه و تشکیلات تلگرام میشن، چون بعضی از این مواردی که اینجا عنوان زده توی منابع اشاره شده بود که شرط هک تلگرام رو این گذاشتن که از این موارد استفاده نشه.
ولی چیزی که هست بهرحال حرفهای من بطور کلی درسته و بر اساس نظر متخصصان و منابع این رشته و تجربیاتی هست که تا حالا در این فیلد کسب شده. شاید امنیت تلگرام بد نباشه، ولی بنظر من میتونست بهتر باشه و خیلی بیشتر میشد روش حساب کرد اگر کار متخصصان رسمی این رشته بود و یا حداقل به نظر و توصیه متخصصان این رشته توجه بیشتری میکردن و یکسری اصول رو زیر پا نمیذاشتن.
من شخصا کاری با تلگرام ندارم، ولی در آینده اگر بخوام بهش تکیه کنم نمیتونم دربست این کار رو بکنم چون میدونم که طراحی پروتکل های امنیتی یک کار کاملا تخصصیه و کار برنامه نویس معمولی یا حتی دکترای ریاضی به تنهایی نیست. گرچه مسلما نابغه بودن و داشتن رشته های نزدیک و مرتبط مسلما کمک و مزیت بزرگی هست، اما هنوزم تا شرایط استاندارد و حرفه ای فاصله داره. مثال مثال همون پزشک عمومی هست که هرچقدر باسواد و نابغه و کارش خوب باشه بازم نمیشه همینطور زرتی بپره وسط جراحی مغز و اعصاب!


به حکمتتون کمک نرم کنيد که ديگه التماس مسئولان تلگرام نکنه که سروراش رو به داخل ايران انتقال بده
این هیچ چیزی رو ثابت نکنه.
سطح سواد و توانایی نیروهای انسانی، و منابع لازم برای چنین کارهایی در ایران، تاجاییکه بنده دیدم چیز زیادی نیست احتمالا خیلی هم ضعیف باشه.
از طرف دیگر از کجا میشه به دوتا حرف و شایعه و تبلیغات ظاهری اطمینان کرد؟ شاید از روی سیاست و حقه بازی باشه در ظاهر یک چیزی وانمود میکنن که افکار عمومی رو فریب بدن و در باطن کار دیگر هم میکنن!
این چیزا توی این رشته ملاکی نیست. باز کشورهای درست و حسابی رو که متخصص و سابقهء این رشته و کارها رو دارن بگی یه چیزی.
ایرانی ها کی این کاره بودن در این زمینه پیشرو بودن چیز برجسته ای ارائه دادن که حالا انتظار داشته باشیم اینطور باشه و توانستن یا نتوانستن اونا معیار اثبات یا رد چیزی در این زمینه باشه؟ دقت کنید هک معمولی با نفوذهایی که از طریق تحلیل و شکستن پروتکل های رمزنگاری انجام میشه تفاوت زیادی داره. ایران شاید از نظر هک به شکل عمومی و متعارف در دنیا قدرت بحساب آمدنی باشه، ولی تاجاییکه میدونم فراتر از این و از نظر علمی هیچی نیست!
از طرف دیگر فردا شاید همون خارجی ها هکش کردن اکسپلویتش در اومد و نشت کردن توی پابلیک، و اونوقت همه میتونن استفاده کنن. شایدم هیچوقت به اون شکل پابلیک و افشا نشه، ولی عده ای بصورت مخفیانه استفاده کنن، کما اینکه NSA مدتها چنین کاریی میکرده که توسط اسناد اسنودن و بعضی منابع و روشهای دیگر بعد از سالها تازه لو رفتن.

تازه این شایعاتی هم که میگن و در همین تاپیک هم بعضیا اشاره کردن، نگران کننده بنظر میاد. شاید تاحدی هم که شده حقیقت داشته باشه. مثلا نمیدونم این بحث وب سرویس که مطرح شد نمیدونم چیه آیا صحت داره یا نه.
من قبلا این شایعات رو جدی نمیگرفتم، ولی حالا که چند نمونه از نظرات و ایرادهای متخصصان امنیت و رمزنگاری دربارهء تلگرام رو دیدم، و فهمیدم که در تیم طراحی تلگرام متخصص رمزنگاری وجود نداشته و با متخصصان این رشته هم ظاهرا صلاح و مصلحت نکردن ازشون راهنمایی نگرفتن، تردید زیادی پیدا کردم چون میدونم احتمال سوتی دادنشون اینطوری خیلی بیشتر میشه.

خب این حرفتون اشتباهه!

دقیقا بخاطر همینکه شما تخصصی در این حیطه ندارید از ابعاد گسترده و پیچیده و ظریفی که داره و تجربیاتی که در این زمینه رخ دادن تاحالا خبر ندارید، طراحی پروتکل (منظور پروتکل های امنیتی است که از علم رمزنگاری مدرن استفاده میکنن) رو خیلی دست کم گرفتید.

بارها افرادی و شرکتهایی این اشتباه رو کردن، حتی شرکتهای نسبتا معتبر، که باعث شده در پروتکل هایی که طراحی کردن حفره های امنیتی جدی وجود داشته باشه. حتی یه نمونه که اغلب بعنوان مثال مطرح میکنن، پروتکل
WEP (https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy)
است که احتمالا یادتون هست همون پروتکل رمزنگاری وایرلس هست که توی مودمهای قدیمی استفاده شده بود و بعد درش ضعف جدی پیدا کردن و بوسیلهء این ضعف اکسپلویتش هم نوشته شده و بخاطر همین این پروتکل الان دیگه کاملا ناامن محسوب میشه و خیلی کم استفاده میشه ازش. هرچند هنوز توی مودمهای قدیمی ممکنه پیشفرض باشه یا تنها گزینهء ممکن باشه، و توی مودمهای جدید هم ساپورت میشه.

دوست عزیز شما نظر متخصصان این رشته رو قبول داری؟ منابع رسمی این رشته رو قبول داری؟

شما میخوای راجع به دارو و درمان بپرسی مطمئن بشی، بنظرت نظر یک پزشک متخصص معتبرتره باید جدی تر گرفته بشه یا نظر آدمهای غیرمتخصص؟
بله الان خیلی ها مثلا سرما میخورن یا مریضی های متداول/جزیی دیگه، میرن خودشون سرخود از داروخانه دارو میگیرن مصرف میکنن، ولی این کار خیلی هم درست نیست، یه پزشک (البته پزشک درست و حسابی نه از این کم سوادها یا اونایی که فقط فکر پر کردن جیب خودشون هستن) مسلما حتی در این زمینه و اینطور بیماریها و درمانهای کم خطر هم اطلاعات و اعتبار بیشتری داره، چه برسه اگر بیماری جدی تر و درمان های پیچیده تری باشه.

همین حرفی که شما زدی آیا قبول داری بنده در یک جایی که دو نفر آدم متخصص و مطلع وجود دارن و پاسخ میدن، مطرح کنم و جوابی که میدن رو ببینیم بررسی کنیم؟ بطور مثال بنظر من crypto.stackexchange.com جای پرسیدن اینطور سوالاته. البته شاید security.stackexchange.com هم بد نباشه. بنده قبلا سابقهء مطالعه و طرح سوال و مباحثه در این منابع رو دارم و میدونم جای مناسبی برای طرح این مسائل هست. جای بهتر منبع بهتر شما خبر دارید بفرمایید!

اگر اینقدر مطمئن هستی مطلع هستی که پای حرف خودت بایستی، بسم ا...، وگرنه قبول کن که حرف بدون تخصص و صلاحیت زدی!


کسی که پروتکل طراحی ميکنه نياز نيست متخصص رمزنگاری باشه اما لازمه تخصص امنيتی داشته باشه اين دو کاملاً با هم تفاوت دارند ضعيف امنيت WEP به خاطر رمزنگاری نيست به خاطر ضعف طراحی هست که به راحتی کرک ميشه




دقیقا جمله ای که فرمودید درسته. ولی منظور شما مبهمه. بله این مسئله خیلی مهمه که ما اینا رو چطور استفاده کنیم، ولی همین چطور استفاده کردن خودش کلی جزییات و ظرایف و پیچیدگی های تخصصی داره که افراد غیرمتخصص نمیدونن و درک نمیکنن و بسادگی ممکنه در این موارد اشتباهات مهمی مرتکب بشن.



همانطور که گفتم نحوه درست طراحی و استفاده از الگورتيم ها باعث امنيت ميشه نه خود الگوريتم رمزنگاری



میخوای دوتا سوال تخصصی از خودت بپرسم ببینم مثلا AES رو چرا چطوری استفاده میکنی؟
فکر نمیکنم حتی در این حد اطلاعات داشته باشی که بدونی اینطور الگوریتم ها چندین Mode مختلف دارن که هرکدام خواص و نکات جانبی خاص خودشون رو دارن و میتونن تفاوت های مهمی ایجاد کنن که بعضی وقتا اشتباه در این زمینه میتونه امنیت رو تقریبا بطور کامل از بین ببره.
افراد عادی، حتی بهترین برنامه نویسان دنیا، از این مسائل فوق تخصصی خبر ندارن. تنها کسانی که واقعا بصورت جدی و تخصصی در علم رمزنگاری تحقیق و مطالعه و یادگیری داشته بوده باشن از این مسائل خبر دارن و صلاحیت کار حرفه ای در این زمینه رو بدست میارن.



اکثر کسانی که قرار هست به صورت حرفه اي از اين الگوريتم ها استفاده کنند قطعا منابع در مورد اونها رو هم مطلعه ميکنند در مورد کسانی که نميشناسيد پيشداوری و اظهار نظر نفرماييد

اينکه AES چندين مد داره شايد برای شما جديد و فوق تخصصی باشه اما واقعيت اينه چيزی جديد و فوق تخصصی نيست تو همين سايت هم قبلاً در مورد بعضی از اين مد ها و تفاوت اونها صحبت شده




حالا من زیاد به تلگرام کار ندارم چون برام مهم نیست مثلا میخوام باهاش چه کنم؟
احتمالا در نسخه های بعدی یکسری ضعف ها رو برطرف کردن و شاید منابعی که من خوندم مربوط به نسخه های قدیمی تر دم و دستگاه و تشکیلات تلگرام میشن، چون بعضی از این مواردی که اینجا عنوان زده توی منابع اشاره شده بود که شرط هک تلگرام رو این گذاشتن که از این موارد استفاده نشه.
ولی چیزی که هست بهرحال حرفهای من بطور کلی درسته و بر اساس نظر متخصصان و منابع این رشته و تجربیاتی هست که تا حالا در این فیلد کسب شده. شاید امنیت تلگرام بد نباشه، ولی بنظر من میتونست بهتر باشه و خیلی بیشتر میشد روش حساب کرد اگر کار متخصصان رسمی این رشته بود و یا حداقل به نظر و توصیه متخصصان این رشته توجه بیشتری میکردن و یکسری اصول رو زیر پا نمیذاشتن.
من شخصا کاری با تلگرام ندارم، ولی در آینده اگر بخوام بهش تکیه کنم نمیتونم دربست این کار رو بکنم چون میدونم که طراحی پروتکل های امنیتی یک کار کاملا تخصصیه و کار برنامه نویس معمولی یا حتی دکترای ریاضی به تنهایی نیست. گرچه مسلما نابغه بودن و داشتن رشته های نزدیک و مرتبط مسلما کمک و مزیت بزرگی هست، اما هنوزم تا شرایط استاندارد و حرفه ای فاصله داره. مثال مثال همون پزشک عمومی هست که هرچقدر باسواد و نابغه و کارش خوب باشه بازم نمیشه همینطور زرتی بپره وسط جراحی مغز و اعصاب!


موضوع تاپيک در مورد تلگرام هست
اين فقط يک برنامه مسنجر هست قرار نيست اطلاعات امنيتی کشور از اين پرتوکل عبور کنه برای يک مسنجر همچين امنيتی (https://en.wikipedia.org/wiki/Telegram_(software)#Encryption_scheme)(نمره 7 از 7 در بخش سکرت چت) کافی هست




از طرف دیگر از کجا میشه به دوتا حرف و شایعه و تبلیغات ظاهری اطمینان کرد؟ شاید از روی سیاست و حقه بازی باشه در ظاهر یک چیزی وانمود میکنن که افکار عمومی رو فریب بدن و در باطن کار دیگر هم میکنن!


همانطور که گفتم پرتوکل تلگرام متن باز هست و تو خود سايت هم نحوه پياده سازی رو توضيح داده يعنی هر کسی در هر جايی ميتونه در موردش تحقيق کنه تا زمانی که مسئله اي به صورت علمی ثابت نشه شايعه باقی ميمونه

کسي که پروتکل طراحي ميکنه نياز نيست متخصص رمزنگاري باشه اما لازمه تخصص امنيتي داشته باشه اين دو کاملاً با هم تفاوت دارند
دوست عزيز شما بجاي جواب دادن به سوال بنده در باب قبول داشتن و پرسش کردن از منابع تخصصي، دوباره حرف بدون پشتوانه خودتون رو صرفا تکرار کرديد. جواب سوالات منو نداديد!
شما در علم رمزنگاري چه بکگراندي داريد چه تخصصي داريد اصلا يک ذره منابع تخصصي اون رو خونديد؟ اگر نه، پس از کجا اينقدر مطمئن هستيد؟
اونچه که شما در سطح عمومي ديديد، خونديد، و تصورات و برداشت هاي شما، معتبر نيستن لزوما درست و دقيق نيستن.


ضعيف امنيت WEP به خاطر رمزنگاري نيست به خاطر ضعف طراحي هست که به راحتي کرک ميشه
جدا؟ بازم بايد بپرسم از کجا با چه پشتوانه اي اين ادعا رو ميفرماييد؟
منبع و سند و دليلتون چيه؟
ضمنا اينم قابل تحقيق هست اگر روي حرفتون هستيد ميتونيم از منابعي که اشاره کردم تحقيق کنيم.
اصلا اين اصطلاح ضعف طراحي هم مبهم و کلي هست. ضعف طراحي يعني چي دقيقا؟ فرقش با ضعف دانش و مهارت در علم رمزنگاري مثلا چيه؟
دقيقا بخاطر همين که کساني که اين پروتکل رو طراحي کردن متخصصان رمزنگاري نبودن، بقدر کافي مهارت و دانش و حضورذهن در اين مورد نداشتن بقدر کافي از دقت و جديت اين حيطه آگاه نبودن، و بخاطر همين در این جریان سوتی در کردن! مسئله فقط خطاهای انسانی عادی و باگهای معمولی نبوده تاجاییکه بنده میدونم.
ضمنا يه قاعده اي که در علم رمزنگاري هست اينه که هر الگوريتمي، حتي اگر توسط برترين متخصصان اين رشته طراحي شده باشه، اول منتشر ميشه و مدتي، مثلا چند سال، توسط بقيهء متخصصان اين رشته مورد بررسي و تحقيق قرار ميگيره، و تازه اون موقع اگر کسي نتونست ضعف تئوريک يا عملي جدي درش پيدا کنه اونوقت ميان و بهش اطمينان ميکنن و براي کاربردهاي واقعي نامزد ميشه.
اما خب چيزي که مشخصه درمورد پروتکل WEP همينطور اومدن خودشون بريدن و دوختن، وگرنه معلوم بود که اگر با متخصصان و افراد اين کاره مشورت ميکردن اونا بهشون اين چيزها و اصول و رويهء استاندارد اين رشته رو ميگفتن و مسلما در باب استفاده از الگوريتم هاي شخصي که بخصوص افراد غيرمتخصص نوشتن بهشون هشدارهاي لازم رو ميدادن و نکاتي رو يادآوري ميکردن. حتی اگر خیلی عجله بود که این پروتکل سریعا در کاربردهای واقعی استفاده بشه، بازم با مشورت و بررسی متخصصان این رشته به احتمال زیاد از چنین اشتباهات ناشیانه ای در امان میموندن.


همانطور که گفتم نحوه درست طراحي و استفاده از الگورتيم ها باعث امنيت ميشه نه خود الگوريتم رمزنگاري
بنده هم بهتون گفتم که اين کار بيش از چيزي که شما فکر ميکنيد جزييات و ظرافت هاي تخصصي داره. افراد غيرمتخصص سواد و مهارت و بنابراين صلاحيت اين کار رو ندارن.
حالا شما قبول نداري همينطور حرف خودت رو صرفا بر اساس تصورات خودت تکرار ميکني و هيچ پشتوانه اي براش نداري، ولي من ميگم اگر قبول نداري برات منبع تخصصي بيارم بيا بريم توي سايتهايي که دو نفر آدم متخصص اين رشته هستن کساني که چند سال درسش رو خوندن بپرسيم، ولي شما باز صرفا حرف خودت رو تکرار ميکني. وقتي در قدم اول اصول تخصصي و منطق و صداقت رو رعايت نميکني، بقيهء حرفات هم جز باد هوا چيزي نيست! اگر واقعا پشتوانه اي داشتي دنبال روشن شدن اصولي و واقعي قضايا بودي از تحقيق از منابع تخصصی و روبرو شدن با منابع و افراد تخصصي طفره نميرفتي.


اکثر کساني که قرار هست به صورت حرفه اي از اين الگوريتم ها استفاده کنند قطعا منابع در مورد اونها رو هم مطلعه ميکنند در مورد کساني که نميشناسيد پيشداوري و اظهار نظر نفرماييد
بله قطعا مطالعاتي داشتن، ولي خب مطالعه اگر بقدر کافي زياد و اصولي باشه، خب ميشه همون يادگيري و تخصص کسب کردن ديگه! حالا لزومی نداره طرف حتما 4 سال توی دانشگاه درس این رشته رو بخونه، میتونه خودش هم بصورت خودآموز از منابع در اینترنت و جاهای دیگه یاد بگیره (البته منابع منظورم مطالب و گفته های افراد معمولی و غیرمتخصص نیست).
ولی بعضی شواهد دال بر این هستن که این افراد بقدر کافی این مسائل رو جدی نگرفتن و بقدر کافی اصولش رو رعایت نکردن که میشه حدس زدن بقدر کافی هم دنبال تحقیق و یادگیری نرفتن.
و مسئله اینه که چرا این افراد که متخصص رسمی نیستن و هیچ متخصص درست و حسابی این رشته هم ازشون حمایت نمیکنه، و نیامدن با متخصصان مشورت کنن همکاری و کمک بگیرن، حالا یه حرفی میزنن ادعایی میکنن همینطور به همین راحتی باید باور کنیم؟


اينکه AES چندين مد داره شايد براي شما جديد و فوق تخصصي باشه اما واقعيت اينه چيزي جديد و فوق تخصصي نيست تو همين سايت هم قبلاً در مورد بعضي از اين مد ها و تفاوت اونها صحبت شده

خب پس قبلا صحبت شده! میشه شما لینکش رو بدید بنده هم بررسی کنم ببینم چیا گفتن واقعا چقدر سواد و مطالب درست در کار بوده؟
دوست عزیز بقول معروف میگن پیش قاضی و معلق بازی!
بنده خودم یک متخصص، شاید حتی از برترین ها در ایران، در این رشته هستم. هرکس هم خواست حاضرم باهاش چالش کنم! البته متخصص کاملی نیستم اونطور که طبق تعریف و اصول و تحصیلات رسمی این رشته هست، ولی نسب به ملت خودمون بخوای مقایسه کنی مسلما اطلاعات خیلی گسترده تر و دقیق تر و دانش و بینش و توانایی های برجسته ای در این زمینه دارم. چون خودم تاحالا ندیدم کس دیگری در این حد بین هموطنان رو! اینقدر مطلب دادم بحث کردم در طی این سالها روی اینطور چیزها که این حرف رو میزنم.
من میدونم این ملت چقدر سواد دارن چند مرده حلاجن چقدر واقعا بارشونه. خودم بارها دیدم بهم ثابت شده. نمونش توی این تاپیک مشاهده بفرمایید که بعد از سالها که از این ماجرا گذشته هنوز باید باهاشون چک و چونه بزنی درمورد یک موضوع روشن و مستند: http://barnamenevis.org/showthread.php?488259
استارتر اون تاپیک خود بنده بودم.
حالا هرچی توضیح میدی منبع و سند میذاری بازم نه میفهمن اصلا و نه زیر بار میرن! بازم روی نظر خودشون پافشاری میکنن. چرا؟ چون سواد و درکش رو ندارن، ولی اینقدر مثل شما بدون پشتوانه مدعی هستن که سند از معتبرترین منابع دنیا هم براشون بذاری و جواب متخصصان طراز اول این رشته رو هم بذاری بازم قبول نمیکنن!
مگه من تاحالا کم منبع و سند گذاشتم؟
اصلا طرفها سواد ندارن دو خط انگلیسی این منابع رو بتون درست بخونن، بعد با من کل کل میکنن!

همچنین مقالات بنده راجع به امنیت و رمزنگاری رو میتونید در وبلاگم بررسی کنید: http://hamidreza-mz2.tk/?page_id=723
اون زمانی که من دنبال این چیزا رفتم و بعدش کلی بحث کردم مطلب و مقاله دادم، سواد و اطلاعات و منابع در ایران در این زمینه در حد صفر بود! همین الانش هم خبر آنچنانی نیست. اگر بود، اگر هست، پس چرا این همه سال هیچ رد پایی و شواهدی از وجودشون نبوده و نیست؟ بالاخره کسی اگر هست، رد پاش هم ایجاد میشه. مثلا شما راجع به خیلی مسائل امنیت و رمزنگاری اگر سرچ کنی، دقیقا مطالب و مقاله ها و بحثهای بنده در فرومها و سایت شخصی خودم رو مشاهده میفرمایید. این میشه رد پای بنده! مثلا همین اخیرا یکی از دوستان بهم گفت من دنبال یه مطلبی میگردم ولی هرچی سرچ میکنم فقط همون مطالب و پستهای تو میاد!!

متاسفانه خیلی ها مثل شما هستن در چیزهایی که تخصص و اطلاعاتی ندارن به خودشون زحمت ندادن برن از منابع اصلی و رسمی و تخصصی نگاه کنن ببین حداقل کلیتش چی به چیه چه اصولی داره در چه حدیه، همینطور از تصورات و حدسیات خام خودشون نظریه و فتوا میدن، بعد با یکی مثل بنده که حداقل دو سال بطور جدی و مداوم زحمت کشیدم در این زمینه کل کل میکنن و باید وقت و انرژیم رو واسه سر و کله زدن با دوتا آدم بی اطلاع مدعی صرف کنم.

اساسا شماها دنبال یادگیری واقعی و اصولی نیستید، راههای سخت و طولانی رو بطور کلی انکار میکنید میگید نه همچنین چیزی نیست، چون مردش نیستید!

من بهت میگم بریم در جای درستش از آدمهای درستش بپرسیم جواب بگیریم، شما در پاسخ هیچی نمیگی و صرفا ادعاهای قبلی خودت رو بدون هیچ سند و دلیل و توضیح بیشتری تکرار میکنی. بنظرت این مشکل نداره؟


اين فقط يک برنامه مسنجر هست قرار نيست اطلاعات امنيتي کشور از اين پرتوکل عبور کنه براي يک مسنجر همچين امنيتي(نمره 7 از 7 در بخش سکرت چت) کافي هست
جالبه شما منبعی که خودت میذاری ظاهرا نگاه نمیکنی نمیخونی!

Since 2013,[46] cryptography experts have expressed both doubts and criticisms on the MTProto encryption scheme, saying that deploying home-brewed and unproven cryptography may render the encryption vulnerable to bugs that potentially undermine its security, due to a lack of scrutiny.[47][48] It has also been suggested that Telegram did not employ developers with sufficient expertise or credibility in this field.[49]

In December 2015, two researchers from Aarhus University published a report in which they demonstrated that MTProto does not achieve indistinguishability under chosen-ciphertext attack (IND-CCA) or authenticated encryption.[47] The former means that it is possible to turn any ciphertext into a different ciphertext that decrypts to the same message. The researchers stressed that the attack was of a theoretical nature and they "did not see any way of turning the attack into a full plaintext-recovery attack".[47]

از همون مقالهء ویکیپدیا که خودت لینک دادی!
نیاز هست بگو ترجمش رو هم بذارم.
البته در کل همون حرفهایی رو که من زدم زده گفته متخصصین رمزنگاری از رویهء طراحان تلگرام انتقاد کردن گفتن طبق اصول شناخته شده و تجربه شدهء این رشته نیست و ظاهرا تخصص و اعتبار کافی در این رشته رو نداشتن و بنابراین نمیشه به امنیتش بقدر کافی مطمئن بود.
در پاراگراف بعد هم یک ضعف تئوریک هم اشاره میکنه که درش پیدا کردن، ولی البته میگه در واقعیت نمیشه ازش سوء استفادهء جدی کرد.


همانطور که گفتم پرتوکل تلگرام متن باز هست و تو خود سايت هم نحوه پياده سازي رو توضيح داده يعني هر کسي در هر جايي ميتونه در موردش تحقيق کنه تا زماني که مسئله اي به صورت علمي ثابت نشه شايعه باقي ميمونه

خب دقیقا درست گفتی، ولی چرا این قضیه رو در قالب و مسیر اصولی و علمی خودش نمی بینی و قبول نمیکنی؟
دقیقا این دیدگاه و تجربه و اصول در دنیای رمزنگاری هست که میگن تاجاییکه میتونید از روشهای شناخته شده و استاندارد که سالها بررسی و تست شدن و اطمینان بیشتری به صحتشون هست استفاده کنید. چرا؟ چون این حیطه ظرایف و چیزهای گمراه کننده بسیار دارد و معمولا خود طرفهایی که یک الگوریتم یا پروتکل رمزنگاری رو طراحی میکنن نمیتونن بقدر کافی از امنیت اون مطمئن باشن. تنها در صورتی که یک الگوریتم یا پروتکلی که طراحی میشه، چندین سال در معرض بررسی بقیه متخصصان قرار بگیره هست که میشه به امنیتش و اینکه ضعف و حفرهء بزرگی نداره، تا یک حداقل استانداردی که در این رشته عرف هست اطمینان پیدا کرد. اما مشکل این وسط اینه که رمزنگاری و تحلیل و بررسی اینطور چیزها بصورت علمی و تخصصیش علم پیچیده و دشواریه و زمانبر، و تعداد متخصصان قوی این رشته هم در دنیا زیاد نیست و اینها وقت ندارن اولویت این رو ندارن که هر روز بیان الگوریتم و پروتکل های من درآوردی و غیراستاندارد این و اون (بخصوص افراد غیرمتخصص) رو تحلیل و ارزیابی بکنن. مثلا اون همه تحلیل و ارزیابی الگوریتم ها و پروتکل های معروفی مثل AES و RSA و TLS و غیره در طول سالیان کجا تا تلگرامی که مدتی بیشتر نیست اومده و یک الگوریتم غیراستاندارد و ساختهء چند نفر افراد غیرمتخصص در علم رمزنگاری است. مسلما روی پروتکل و تشکیلات تلگرام تحقیق و بررسی خیلی کمتری شده و خواهد شد! چرا؟ چون اولویتی نداره چون استاندارد نیست چون طبق اصول این رشته نیست چون الگوریتم ها و پروتکل های معتبرتر و باسابقه تر وجود دارن که از نظر یک متخصص باید از همونا استفاده کرد و قرار نیست پروتکل ها و الگوریتم های شخصی، استفادهء استاندارد عمومی و گسترده ای پیدا کنن.
یادمون نره مثلا MD5 سالهای سال بصورت گسترده استفاده میشد، تا اینکه بالاخره بدجوری شکست.
تازه این الگوریتمی بود که توسط متخصصان واقعی طراحی شده بود و تحلیل و ارزیابی کافی هم نسبت بهش بود.
درمورد تلگرام هنوز خیلی زوده که بگیم امنیت خوبی داره یا نه. و مشکل اینجاست که این افراد متخصص نبودن و رویه و اصول این رشته رو زیاد رعایت نکردن و از الگوریتم ها و پروتکل هایی که قبلا بقدر کافی بررسی شدن استفاده نکردن بجاش اومدن خودشون یه چیزی رو طراحی کردن یا دستکاری هایی کردن از خودشون.
البته تمام اینا لزوما باعث نمیشه وضعیت خراب بشه ولی بهرحال میگم که زیاد هم نمیشه روی ادعاشون حساب کرد، چون دلیلی نداره. بیشتر میشه گفت تبلیغات و ادعا و شایعه و شلوغ بازیه تا چیزی که طبق اصول علمی این رشته باشه و بشه معیار و اثبات خوبی دونست.

سلام و خسته نباشی
خب اخرش میشه تلگرام هک کرد یا نه؟؟؟؟:متفکر:

سلام و خسته نباشی
خب اخرش میشه تلگرام هک کرد یا نه؟؟؟؟:متفکر:

پیدا کردن کلید رمز که بعیده...
اما میشه دورش زد و اطلاعات رو در سطح فیبر آنالیز کرد و کلیات آماری رو بدست آورد و مثل اطلاعات cdr با داده کاوی به یک چیزایی رسید...
روشهای خاص هم وجود داره که میشه بصورت حمله خصوصی کار رو انجام داد که صلاح نیست در موردش صحبت بشه