Несколько дней как по всем профильным каналам форсится копипаста о том, что гениальная команда Павла героически обновила десктопный клиент до v6.7.2, закрыла уязвимость в ClientHello и в соло победила Роскомнадзор

Спойлер: это наглый, эталонный маркетинговый звиздёж. На Хабре вышло эпичное расследование, где видна истинная работа цифрового сопротивления... официальная команда Telegram не сделала для обхода блокировки ровным счетом НИ-У-Я, пока энтузиасты не принесли им готовое решение.

Слухи о том, что ТСПУ начнут душить MTProxy по TLS-фингерпринтам, ходили еще с начала года. У разрабов тг было минимум 3 месяца на аудит. Но они забили болт. А 1 апреля товарищ майор дернул рубильник, и FakeTLS отвалился.

Как выяснилось, невероятно топовая маскировка под браузер в клиенте Телеги была написана левой пяткой. Во-первых, клиент слал расширение с несуществующим кодом 0xFE02 (древний мусор), тогда как современные браузеры юзают стандартный 0xFE0D для ECH (Encrypted Client Hello). Во-вторых, публичный ключ X25519 по всем законам математики обязан занимать ровно 32 байта. А код Телеги почему-то генерировал 20 байт. Для DPI-фильтра это даже не сигнатура, это как огромный неоновый билборд над пивнушкой вечером... но с вывеской "Я НЕ БРАУЗЕР, ДРОПАЙ МЕНЯ! Я ХОЧУ ЧТОБ ТЫ ЛОМАЛ МЕНЯ!"

Пока Дуров молчал и собирал по 3к рублей за Премиум-подписки на два года вперед, суровые безымянные опенсорсники (из проекта telemt) расчехлили Wireshark. Они побайтово сравнили пакеты Хрома и Телеги, нашли кривые оффсеты, переписали код, оттестировали всё на живых сетях разных провайдеров РФ и принесли официальному мейнтейнеру (john-preston) готовый, разжеванный Pull Request за номером 30513. А теперь вкусное...

Что делает мейнтейнер? Он молча вмердживает минимальный кусок кода из PR с отпиской... Inspired by wide internet discussions.

А на следующий день с двух ног на танцпол влетает Павел Дуров в белом пальто и выкатывает пафосный пост про 65 миллионов россиян, про банковский коллапс и главное... "С нашей стороны, МЫ будем адаптироваться и усложнять детекцию". Мы?! Ваша сторона, чуваки, просто скопипастила два байта, которые за вас запилили и отладили анонимы из чатов. Инженерный процесс - ноль из десяти, маркетинг - десять из десяти

Главный фейл в том, что этот хайповый патч 6.7.2 выкатили только на Десктоп. А в основе мобильных iOS и Android-клиентов лежит ядро tdlib, в котором зашиты ровно те же самые кривые 20 байт вместо 32! То есть миллионы мобильных юзеров продолжали сосать лапу и ловить таймауты, пока комьюнити не пошло пилить отдельные PR-ы и для мобилок.

Вот и получается, что настоящее цифровое сопротивление - это не пафосные посты миллиардеров из Дубаев. Это безымянные инженеры, которые после работы по ночам реверсят правила DPI и пишут патчи за тех, кто получает за это ЗПшку.

Никакого Viva la resistance. Люди просто хотят, чтобы их бабушки могли отправить им картинку с котиком.

Сообществу telemt респект за аптайм


Пост взят с https://t.me/sysodmins/28664

Habr расследование: https://habr.com/ru/articles/1019200/