Comments | sporaw: End-to-end мессенджеры - доступ к сообщениям при root-доступе или физическом доступе к девайсу

sporaw

End-to-end мессенджеры - доступ к сообщениям при root-доступе или физическом доступе к девайсу

Feb 13, 2021 14:10

* Первый случай (root-доступ) - это в т.ч. и удаленный доступ через malware (государственной чаще всего)
* Второй случай - это телефон у оперативников (таможня; гостиница; места, где надо оставлять телефон на временное хранение и т.п.) или следователей (это когда девайс уже изъят совсем) (тот же root-доступ и более) (государство)

Вот здесь тред, ( Read more... )

мобильные мессенджеры, exploits, ios, signal, security, telegram, android

Leave a comment

Back to all threads

ext_2038817 February 14 2021, 19:38:21 UTC

Не совсем корректно призывать пользоваться возможностями ОС и надеяться, что это спасет. Ровно наоборот - саму операционную систему необходимо рассматривать как ВРАЖДЕБНОЕ окружение, через которое у злоумышленников будет доступ. Т.е. надеяться на то, что какой-нибудь iOS не будет сливать приватные ключи из своего хранилища другим приложениям/спецслужбам - это слишком наивно.

Та же уязвимость с AFU, который секретные ключи физически защищает и не грузит их без полной авторизации на телефоне: это такая надежда на честность Эппл и их спецификации. Мега-корпорацию, активно сотрудничащую со спецслужбами и государством. С закрытыми исходными кодами и железом. Такая себе надежда. Сегодня есть - завтра нет. И не факт, что не уже.

ext_2038817 February 14 2021, 22:35:22 UTC

> Не совсем корректно призывать пользоваться возможностями ОС и надеяться, что это спасет. Ровно наоборот - саму операционную систему необходимо рассматривать как ВРАЖДЕБНОЕ окружение, через которое у злоумышленников будет доступ. Т.е. надеяться на то, что какой-нибудь iOS не будет сливать приватные ключи из своего хранилища другим приложениям/спецслужбам - это слишком наивно.

После этого говорить про какие-то недостатки мессенджеров по обеспечению секретности смешно. Снявши голову по волосам не плачут, как говорится. Для начала на смартфон хотя бы ОС надо поставить, которая не стучит. Чего для Apple смартфонов невозможно в принципе, для некоторых других есть кой-какие варианты (Linage OS, смарты с линуксом), вот для тех вариантов уже что-то можно думать, хотя все-равно там столько будет в них разных закрытых блобов, что никакой гарантии.

sporaw February 14 2021, 23:38:58 UTC

> Не совсем корректно призывать пользоваться возможностями ОС и надеяться, что это спасет. Ровно наоборот - саму операционную систему необходимо рассматривать как ВРАЖДЕБНОЕ окружение, через которое у злоумышленников будет доступ.

Нужно максимально использовать возможности ОС и железа по безопасности, когда они предоставляются. Это первое что нужно сделать. А у вас/авторов_этих_мессендеров концепт сводится к - все известные замки фигня, нет смысла использовать, поэтому двери закрывать вообще не будем. В вашем случае добавляется еще: давайте обсудим что-то фантастическое, защищающее неизвестно как и чем - плазменную дверь. Но так как ее нет, то и делать ничего не будем :)

> Такая себе надежда. Сегодня есть - завтра нет. И не факт, что не уже.

По крайней мере высокая вероятность, что у России этого не будет. Даже через Израиль или еще кого.

ext_2038817 February 15 2021, 00:01:29 UTC

Сегодня у России нет, а завтра есть. Уже проходили. Причем несколько раз за последние годы. Вот эта логика с "лучше уж чужое АНБ следит, чем родная ФСБ" - выше моего понимания. По итогу что получается? Неуловимый Джо - как только понадобишься системе, то тебя тут же возьмут под крыло. Вот и вся приватность и секьюрность.

Я не спорю, что все эти штуки должны защищать от Васяна-собутыльника, полицейского на рынке или жены, которая вечерами телефон проверяет на предмет лишних переписок. А как эта штука будет защищать от Системы? Судебный ордер и любая Эппл выдаст товарища с потрохами и всей историей.

Где все эти криптоанархисты, которые и должны были бы развивать все эти многочисленные продукты и технологии? По-моему, все они вымерли как класс еще к нулевым.

sporaw February 15 2021, 12:21:31 UTC

> Сегодня у России нет, а завтра есть. Уже проходили. Причем несколько раз за последние годы.

Да вот не особо.

> Вот эта логика с "лучше уж чужое АНБ следит, чем родная ФСБ" - выше моего понимания.

То, что я выше указал - не эта логика.

> По итогу что получается? Неуловимый Джо - как только понадобишься системе, то тебя тут же возьмут под крыло. Вот и вся приватность и секьюрность.

> Я не спорю, что все эти штуки должны защищать от Васяна-собутыльника, полицейского на рынке или жены, которая вечерами телефон проверяет на предмет лишних переписок. А как эта штука будет защищать от Системы? Судебный ордер и любая Эппл выдаст товарища с потрохами и всей историей.

Это как раз защитит от Системы, если ты не уровень российского Сноудена. Во всех остальных случаях это более, чем защитит.

> Где все эти криптоанархисты, которые и должны были бы развивать все эти многочисленные продукты и технологии? По-моему, все они вымерли как класс еще к нулевым.Криптоанархисты есть и продолжают делать то, что могут. Но окно возможностей сильно уже. ( ... )

sourann February 16 2021, 14:57:14 UTC

>ТНК пока побеждают по очевидным причинам - деньги.

А почему "пока"? Трудящиеся захватят ТНК и все поделят, или деньги отменят?

sporaw February 16 2021, 16:41:45 UTC

Бывают разные этапы развития в разных областях.
Бывает побеждает броня, бывает снаряд.
По-разному в разное время в разных областях.

sourann February 16 2021, 18:25:53 UTC

В среднем у нападающей стороны всегда преимущество. Но здесь речь не об этом. Здесь речь о том, что ТНК конечно могут исчезнуть, но не может исчезнуть денежный эуквивалент и тем более Его Величество Подкуп. В нашем сильно перенаселенном мире.

sourann February 17 2021, 06:36:29 UTC

>Да вот не особо.

Это не значит, что в будущем не будет "особо"! Учитывая то обстоятельство например, что по спецсредствам (ХО) договорились и на уровне ОЗХО и на уровне применения, вполне логично предположить, что обмен данными будет только расти. Так что надежда, расчет (ненужное зачеркнуть) призрачны и неразумны, кмк.

Личные встречи в отсутствии всей этой электронной муры, отправка предварительно закриптованных на другом устройстве шифротекстов мейлом, личный обмен ключами, пароли, явки и прочие архаичные, но надежные и проверенные временем технологии.

Помню еще те времена, когда рассказывали ротозеям, как это будет все прекрасно, быстро, удобно, и главное надежно и безопасно: сотовая связь, электронная почта, ЭЦП... В результате вышел пшик. За немыслимые деньги. Это уж я молчу о том, что если не дай бог война - все вообще исчезнет с отключение электричества. Денежки прежде всего!

ext_2038817 February 16 2021, 08:52:40 UTC

> Вот эта логика с "лучше уж чужое АНБ следит, чем родная ФСБ" - выше моего понимания
У вас есть черный рынок данных полученных от NSA?
Есть ли озвученные (например: прессой) случаи превышения полномочий сотрудников NSA по отношению к гражданам РФ на территории РФ?

// n1ck

ext_2038817 February 17 2021, 03:36:17 UTC

>> Есть ли озвученные (например: прессой) случаи превышения полномочий сотрудников NSA по отношению к гражданам РФ на территории РФ?

Хуже, есть многочисленные свидетельства превышения своих полномочий АНБ в отношении американских граждан (начиная от слежки за любовницами и заканчивая политическими заказами). Про иностранных граждан вообще молчу - о соблюдении их прав вообще никто не заботится, отнеся их к людям второго сорта прямо в собственных же законах.

Back to all threads