Comments | sporaw: Paranoia: Signal

sporaw

Paranoia: Signal

Apr 30, 2018 05:43

Когда Signal Protol распространяется в Whatsapp, Facebook Messenger, Google Allo, Viber, а потом и в Skype... Это начинает очень конкретно напрягать. Почему? Ну потому что так не бывает в нашем мире. Дело в том, что это около 100% покрытия основных мессенджеров в США, Европе, СНГ. (В общем, это что-то типа теста утки. Если кажется по куче косвенных ( Read more... )

мобильные мессенджеры, мессенджеры, facebook, nsa, signal, whatsapp, skype, cryptography, telegram, weak cryptography, мобильный телефон, google, США, paranoia

Comments 45

redreptiloid April 30 2018, 03:57:48 UTC

бэкап с "шифрации на уникальном ключе устройства, не покидающем его " не имеет смысла для юзкейсов юзера, при утере/поломке устройства он так же теряется. а нужен он то именно для миграции на новое.

--а его собеседник тоже, только собеседнику очень удобны бэкапы
вотъ ;)

нет. вы по старому мыслите, а революционер тут палантир. до них дошло что для контроля над юзерами достаточно метадаты и утечек, вроде тех что с бэкапами. и это не вредно, утеря контроля за самой перепиской, а очень полезно хоть это и оч контринтуитивно. потому что позволяет развивать инструменты контроля на основании метадаты - ну и так понятно что если юзер переписывается с хакерами то он и сам скорее всего хакер, пометили, копим соцграф и логи метадаты сеансов. а когда совсем уж нужна конкретная переписка - легко организовать таргетированую атаку, с количеством зеродеев и бэкдоров все устройства уязвимы.

поэтому стойкий протокол в плюс сильным игрокам.

redreptiloid April 30 2018, 21:20:59 UTC

Таки не исключено ( ... )

sporaw May 1 2018, 20:28:18 UTC

Мета-дата никогда не даст конкретной информации. Она может помочь только в выявлении или подтверждении каких-то фактов. Но сути не даст никогда.

> а когда совсем уж нужна конкретная переписка - легко организовать таргетированую атаку, с количеством зеродеев и бэкдоров все устройства уязвимы.

Вопрос стоимости и возможности. Напомню пример, как слили remote ios exploit стоимостью за >$1M абсолютно впустую, рассылая глупые смс.

redreptiloid May 1 2018, 23:44:09 UTC

главное это выявление. а для проникновения в суть инструментов хватает.
и вот наличие метадаты и отсутствие возможностей массово читать содержимое переписки как раз помогает выявлять более эффективно чем при возможности читать.

да, веселый был кейс. не повезло, бывает ) это ж у них не последний эксплойт наверное и не единственный инструмент.

а так, например, большинство телефонов с андроидом в мире дырявые даже на уровне школоты - куча выявленных зеродеев, а телефоны не апдейтит никто, кроме свежих пока производитель старается.

Thread 5

redreptiloid April 30 2018, 03:58:48 UTC

а сваливать в общем то тоже бесполезно, потому что метадата все равно будет утекать хотя бы из вторых "знакомые знакомых" рук. все с смартфонами, покрытие уже почти тотальное.

redreptiloid April 30 2018, 04:00:55 UTC

спасти ситуацию могли бы мессенджеры с сокрытием метадаты и системы с внятным управлением ключами. но они почти никому не нужны потому что с ними чуть сложнее работать чем с централизованными.

sporaw May 1 2018, 20:30:06 UTC

WIRE вполне себе мессенджер. Не требует телефона для регистрации, работает со смартфонами со всемы выключеными правами (ни контакты не нужны, ничего).

redreptiloid May 1 2018, 23:36:31 UTC

wire видит айпишники юзеров и сеансы их связи между собой, этого достаточно.

заметьте кстати что федеративные мессенджеры никто не делает, кроме джаббера так ничего и не появилось.

sporaw May 1 2018, 23:42:05 UTC

Против IP можно использовать VPN (если надо). TOR/SOCKS WIRE не поддерживает (тикеты есть, авторы гады).

А так, ну, например, есть p2p-мессенджеры имеются, но они адово плохие (Tox и еще ряд).

Кстати, у WIRE исходники сервера могут быть открыты в ближайшее время (не помню, не открыли ли уже). Формально его можно развернуть на свой сервак и запилить свою .apk'шку. И вообще забыть обо всех. Это к вопросу О.

Thread 7

misha_toptygin April 30 2018, 07:04:44 UTC

//в первую очередь все определяется ситуацией в США и 5E

А что такое 5Е? как то не врубаюсь сходу

the_anonymi April 30 2018, 08:28:49 UTC

"5 глаз". Амеры-бритты-австралия и еще кто-то двое.

sporaw May 1 2018, 20:13:40 UTC

https://en.wikipedia.org/wiki/Five_Eyes

droone April 30 2018, 07:28:20 UTC

ИМХО пытаются предотвратить исход на свободный от государства софт. Пока Телеграм и Сигнал активно отбирают долю в "коррумпированных" странах https://thenextweb.com/apps/2018/01/23/signal-and-telegram-are-growing-rapidly-in-countries-with-corruption-problems/ , но думаю что причины стоящие за этой миграцией характерны и для империалистических стран, а значит и там будет развиваться аналогичный процесс.