New website Theme

Well, ProjectAinita has a new theme for the website. We think this is a minimalistic design, help viewer focus on content.

خب، وقت آن رسیده که برای وب سایت یک پوسته جدید داشته باشیم. این پوسته با طراحی حداقلی، اجازه خواهد داد بیننده بیشتر بر روی مطالب تمرکز کند

Announcing TAYA Secure SMS App

In past year or two, we have witnessed a major move by some government back hackers in the MENA region, to hack activists and journalists email, social media and Internet messenger accounts.

Countering these moves, Project Ainita is announcing the TAYA APP, which is a secure SMS APP for people who need it. Please read here about our latest effort in cyber security for our users, and contact us if you needed more information or if you wanted to apply to get access to this platform.

معرفی اپ تایا

طی چند سال اخیر، ما شاهد فعالیت‌های زیادی در منطقه خاورمیانه، از طرف هکرهای دولتی، برای هک کردن ایمیل‌ها، حساب‌های کاربری پیام‌رسان‌ها و شبکه‌های اجتماعی روزنامه‌نگاران و فعالین بودیم. برای مقابله با این تهدیدها، پروژه آینیتا، اپ تایا را معرفی می‌کند. اپ تایا به شما کمک می‌کند تا با داشتن یک شماره اختصاصی و دریافت اس‌ام‌اس‌های آن، امنیت حساب‌های کاربری خود را افزایش دهید. در این لینک می‌توانید در مورد آخرین تلاش‌های ما در راستای امنیت اطلاعات بخوانید و برای کسب اطلاعات بیشتر
و دسترسی به اپ تایا با ما تماس بگیرید

More evidence of using Iranian mobile infrastructure by IR Gov hackers

Today there has been a new interesting development. A number of Iranians reported they are being informed by Google that “Government-backed attackers may be trying to steal your password”. Below screenshot is sent to me by a friend reporting the same from Canada:

This is a familiar alert for us, but what is interesting is the possible attack vector: users inside Iran aside, the users who got this alert outside the country all had Iranian mobile numbers assigned in their Google accounts as backup / recovery number.

This means as suspected earlier, SMS interception in Iranian mobile operators is being used for resetting the password of Iranian users.

We recommend using TOTP using your mobile, using U2F keys, and not using any Iranian mobile phone number as backup number in your Google profile.

Iranian Gov Hackers, intercept 2FA via SMS to access activist accounts

Iranian government hackers in the recent months, repeatedly managed to hack activists / journalist email and social media accounts protected by Two Factor Authentication. The first major incident reported in the media was Imam Ali charity in Iran, although this was not the first by any means. here are their Tweets (in Persian), informing Gmail, Telegram, LinkedIn, and Facebook accounts of a large number of their colleagues in the organization has been hacked:

And in late September, a lawyer has tweeted the same attacks on her Gmail and Telegram accounts, and also many other woman’s rights activists in Iran:

How this possibly happens:

What happens is Iranian security forces have successfully phished or otherwise gained access to a target’s Gmail password. Then they send a 2FA request, usually in very early mornings when target is sleep, using the victim’s phone number. As they have full access to the country’s mobile operator networks, they intercept the 6 digit code sent by Google:

In many cases, they don’t even need the password, as they can also request a password reset request (Again!) by entering the phone number in Gmail.

Once they have access to the email of the victim, they start resetting passwords of their social media accounts, i.e. Twitter, Facebook, Linkedin, etc.

Using the same technique, for instant messengers:

As most instant messenger Apps, i.e. Telegram, Whatsapp and others use SMS to authenticate their users, once attacker can intercept the victims SMS, they can simply authenticate a new session for their instant messengers and read their messages. Very few IMs like Telegram, actually offer a second factor for authentication – in case of telegram, a password – but many do not have this function activated, as it is not required by the platform.

Workarounds:

Iranian users are advised to use offline methods only, i.e TOTP for their second factor authentication, and delete their phone numbers from their google records so it can not be used for password recovery or 2FA fallback. As for the instant messengers, they should activate the 2FA for the platforms that support this, and quit the ones they don’t support 2FA.

Blog updates

Dear Project Ainita users;

It has been some time! Our blog needs some serious posts and updates for you. On behalf of our small team and as project director, I apologize to you. 2017 was an amazing ride, and it came with all sorts of challenges, many new projects, and ended up in a massive sociopolitical unrest in Iran. All of which kept us so busy, blog updates took a back seat.

But you will see a few posts in the coming days, reporting back to you on some stuff we have been busy with, projects like major improvement of our free VPN network, our research work, our response to the late December events in Iran, and other stuff we want to share with you.

دوستان و همراهان گرامی پروژه آی نیتا:

مدت زمان زیادی بود که وبلاگ پروژه نیاز به چند پست خیلی جدی و به روز رسانی برای شما عزیزان داشت. از طرف تیم کوچک پروژه آی نیتا و به عنوان مدیر پروژه، من از شما عذرخواهی میکنم. سال ۲۰۱۷ سال بسیار پرباری بود، و با چالش های زیادی دست و پنجه نرم کردیم از جمله درگیر شدن در تعداد زیادی پروژه های جدید و در نهایت و در پایان سال هم شلوغی های اجتماعی – سیاسی ایران، که همه آنچنان ما رو مشغول نگه داشتند که به روز رسانی این وبلاگ به عقب افتاد.

ولی ظرف چند روز اینده تعدادی پست جدید در راه هستند، که به شما دوستان گزارش های کوتاهی از پروژه هایی که در آن درگیر بودیم خواهیم داد.  به عنوان مثال بهینه سازی اساسی شبکه وی پی ان رایگان ما، کارهای تحقیقاتی که انجام شده، واکنش به مشکلات پیش آمده شبکه در اعتراض های دیماه و بقیه مواردی که ما رو به خودشون سرگرم نگه داشتند.

Project Ainita team at IFF 2017

Like the years before,Project Ainita team is gonna be at the Internet Freedom Festival in Valencia, Spain. If you are participating, tweet us and lets meet. If you are not, just follow @ProjectAinita and #IFF2017 on twitter for updates. 🙂

Ownership in Iran’s Telecom sector

Tehran based news website eghtesadonline has published a very interesting infograph, showing ownership of major telecom operators in Iran. All of them are one way or another controlled by the government, and 3/4th of them are controlled by the organizations under the supreme leader, Ayatollah Khameneie.

وب سایت خبری اقتصاد آنلاین جدولی جالب منتشر کرده است که نحوه مالکیت شرکتهای مخابراتی مهم ایران را به تصویر میکشد. همه این شرکتها مستقیم یا غیر مستقیم دولتی هستند و سه چهارم این شرکتها نیز مالکیتشان به سازمان ها و نهاد های زیر نظر رهبر ایران, آیت الله خامنه ای برمیگردد

 

IR_Telecom_Ownership_2016-09-03

وقتی شبهه اطلاعات اشتباه درباره تلگرام در شبکه خبری رسمی کشور، پشت سر هم تکرار میشود

Telegram_logo

در روز های گذشته مقالاتی بسیارشبیه به هم در سایت های رسمی و نیمه رسمی خبری کشور درباره تلگرام منتشر میشود و شامل شبهه اطلاعات و آمارها و تحلیل هایی از تعداد کاربران ایرانی این شبکه  پیام رسان با تکیه بر منبعی نادرست استخراج و حدث زده شده است.

از کاربران عادی که نمیشود توقع داشت که تحقیقی فنی انجام دهند و اطلاعاتی که در منابع رسمی منتشر میشود را مطالعه میکنند. وضعیت روزنامه نگاری تخصصی در کشور ما هم به جایی رسیده است که مقاله ای با این سطح فنی، برای بار اول در روزنامه دولتی ایران منتشر و بعد از آن سایت به سایت کپی و بازنشر میشود. به عنوان نمونه:

مقاله “راز محبوبیت تلگرام در ایران چیست؟” در بخش فناوری اطلاعات سایت خبر آنلاین

مقاله “راز محبوبیت تلگرام در ایران چیست؟” در سایت الف

در مقاله فوق، نویسنده مطرح میکند که با به مشکل خوردن پیام رسان وایبر و نگرانی های امنیتی، کاربران به استفاده از تلگرام که مکالمات امن و رمزنگاری شده ارائه میکند رو آورده اند. در قدم بعد به روز رسانی های مختلفی که در ماههای اخیر بوسیله تلگرام ارائه شده و برخی از امکانات شبکه های اجتماعی فیلتر شده را به کاربران میدهد نام برده شده است.

ولی قبل از همه و در ابتدای مقاله، این پاراگراف جالب وجود دارد:

ایران نوشت: «لشکر ایرانی‌ها در تلگرام 48 میلیون شد» این خبری است که ابتدای هفته جاری خبرگزاری‌ خبرآنلاین منتشر کرد و برخی دیگر از سایت‌ها نیز این آمار را باز نشر کردند.
این سایت خبری با اتکا به آمار سایت بین‌المللی alexa که میزان مراجعه ایرانیان به دو آدرس telegram.org و telegram.me را به ترتیب45.3 و 80.5 درصد نشان می‌دهد و همچنین با اتکا به آمارهای اعلام شده از سوی مدیرعامل سرویس تلگرام که به تازگی (فوریه 2016) اعلام کرده این شبکه پیام‌رسان 100 میلیون کاربر فعال دارد و با انجام چند فرمول ریاضی، به این نتیجه رسیده است که تعداد کاربران ایرانی این شبکه نزدیک به 45 میلیون نفر است.

 نویسنده با بررسی رده بندی دو دامنه telegram.org و telegram.me در سایت رتبه بندی الکسا و کل آمارکاربران اعلام شده ازسوی تلگرام را تقصیم بر درصد دسترسی به این سایتها در ایران کرده و به عدد ۴۵ میلیون نفر رسیده است.

سایت الکسا با توجه به متد های مختلف و همینطور بازخورد از نرم افزار Alexa Toolbar که در مرورگرها نصب میشود، ترافیک وب سایت مورد نظر را تخمین میزند. به کار گیری چنین منبعی برای تایین تعداد کاربران ایرانی به کل اشتباه است چون این سایت، ترافیک وب را اندازه گیری کرده و این ترافیک ربطی به ترافیک سرور های اصلی خدمات دهنده به سکوی پیام رسان تلگرام ندارد.

با نصب یک نرم افزار ساده، میتوان دید نرم افزار تلگرام با آی پی های دیگری به جز آی پی های وب سرور این شرکت ارتباط برقرار میکنند که البته همگی در همان گروه آی پی ها – Subnet هستند:

Prefix

First Seen

Last Seen

91.108.56.0/22 2016-04-07 08:00:00 UTC 2016-04-21 08:00:00 UTC
91.108.4.0/22 2016-04-07 08:00:00 UTC 2016-04-21 08:00:00 UTC
2001:67c:4e8::/48 2016-04-07 08:00:00 UTC 2016-04-21 08:00:00 UTC
149.154.164.0/22 2016-04-07 08:00:00 UTC 2016-04-21 08:00:00 UTC
149.154.160.0/20 2016-04-07 08:00:00 UTC 2016-04-21 08:00:00 UTC

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

در این میان برای دیدن ترافیک مبدا و مقصد از این آی پی ها هیچ راهی وجود ندارد به جز اینکه شما متولی ترافیک مقصد (شرکت تلگرام)‌ یا متولی ترافیک مبدا (شرکت ارتباطات زیرساخت ایران) باشید. حتی اگر مقدار ترافیک به این سرورها را هم در اختیار داشته باشید، باز هیچ راه نسبتا دقیقی برای محاسبه تعداد کاربران از ترافیک سرورها وجود ندارد و تنها جایی که میتواند چنین عددی اعلام کند، شرکت تلگرام است.

نکات جالب دیگر:

حالا اطلاعات جالب دیگری نیز به چشم میخورد، مثلا اینکه تمام این آی پی ها (و در نتیجه سرور های خدمات رسان) برخلاف تصور مرسوم نه در روسیه، که در انگلیس و هلند قرار دارند:

Announced Prefix
Countries (ISO-3166)
149.154.160.0/20 GB
149.154.164.0/22 GB
91.108.4.0/22 NL
91.108.56.0/22 NL

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

 شرکت متولی این سرورها، یعنی شرکت Telegram Messenger LLP شرکتی است نه روسی، بلکه انگلیسی که در آدرس Suite 2, 23-24 Great James Street, London, WC1N3ES, UK ثبت شده است.

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

در پیج ویکیپدیای بنیان گذار این شبکه، آقای Pavel Durov نیز، ذکر شده که این کارآفرین روسی الاصل، در سال ۲۰۰۶ بزرگترین شبکه اجتماعی روسی به نام VKontakte را راه اندازی کرده که رقیب داخلی و روسی Facebook به حساب میاید. بعد از این موفقیت و عدم همکاری برای ارایه اطلاعات کاربران با پلیس روسیه،  با انواع فشارها سهام کل شرکت و همچنین سهام شخصی ایشان در شرکت VKontakte  خریداری شده و آقای Durov از سمت مدیر عاملی این شرکت برکنار شده اند. ایشان سپس روسیه را ترک کرده، شهروندی جزیره Saint Kitts and Nevis را ابتیاع و در انگلیس شرکت جدیدی به اسم تلگرام  پایه گذاری کرده است.

منبع: صفحه انگلیسی پاول دوورف در ویکیپدیا