Η υπηρεσία σύνδεσης SMS peer-to-peer του Telegram είναι ένας εφιάλτης για την προστασία της ιδιωτικής ζωής

[BlueChris]

ναι ...

ΑΛΛΑ ΕΦΤΙΑΞΕΣ ΚΑΙ ΤΗΝ ΕΚΔΟΣΗ ΤΗΣ ROM ΠΟΥ ΤΡΕΧΕΙ?

δεν νομιζω ... εκτος και αν εισαι dev σε καποια εκδοση απο αυτες αλλα λιγακι απιθανο γιατι δεν ειναι πολλοι και οσο περναει ο καιρος γινονται λιγοτεροι αφου δεν υπαρχει αντικειμενικό κερδος για την ενασχοληση σε αυτο το αντικειμενο

υ.γ. τα κινητα απο οπου και να τα πιασει καποιος ειναι ΓΤΠ, ΕΛΛΕΕΙΝΑ & ΤΡΙΣΑΘΛΙΑ!

Βγάζεις μεγάλο πόνο μιλάμε, τι σου έχει τύχει? θες να μας πεις?

[Ilias Velaoras]

Τι έχει παιχτεί σε αυτό το νήμα...

Πάντος εγώ παραμένω με το Signal για μηνύματα, καλή κρυπτογράφηση, όλα τοπικά (έχω 700ΜΒ backup από ιστορικό), απλό UI (μηνύματα θέλω να στέλνω), και bubbles
(έχω και viber για τη δουλιά, μου είναι προτιμότερο να τα έχω χώρια)

[ThReSh]

Το θέμα είναι τι χρησιμοποιούν οι "επαφές" μας, φίλοι/γνωστοί/συγγενείς/συνεργάτες/κτλπ.

Αν πχ αρκετοί χρησιμοποιούν εφαρμογές που δεν θέλουμε, τι θα κάνουμε? Θα τους τα πρήζουμε να γυρίσουν σε άλλες μόνο και μόνο για μας ή θα κόψουμε την επαφή μαζί τους?

[tsigarid]

Το θέμα είναι τι χρησιμοποιούν οι "επαφές" μας, φίλοι/γνωστοί/συγγενείς/συνεργάτες/κτλπ.

Αν πχ αρκετοί χρησιμοποιούν εφαρμογές που δεν θέλουμε, τι θα κάνουμε? Θα τους τα πρήζουμε να γυρίσουν σε άλλες μόνο και μόνο για μας ή θα κόψουμε την επαφή μαζί τους?

Ναι. Εγώ αυτό κάνω με το WhatsApp.

[MyISLM]

100% ασφάλεια δεν υπάρχει.

Αυτό που είπε κάποιος αμερικανός κύριος με μεγάλα παπάκια που τώρα είναι στη Μόσχα: τα οποιαδήποτε μέτρα λαμβάνουμε στο βάθος του χρόνου θα μας δώσουν λίγο αέρα παραπάνω, τίποτα περισσότερο.

Ακομη και το Viber που διαφημιζει την κρυπτογραφηση αν του ζητηθει ειναι υποχρεωμενο να δωσει

Για πότε γίνεται third party (κατα την αμερικανική νομική έννοια) το Viber και το κάθε Viber. Πάντως στο Signal δεν κρατάνε πολλά δεδομένα (μόνο πότε πρωτοεγγράφηκε κάποιος και πότε πρωτοσυνδέθηκε), οπότε δεν έχουν και πολλά να δώσουν σε περίπτωση που ζητηθούν...

Αν έχεις χάκερ ήδη μέσα στη συσκευή σου, δεν σε σώζει ούτε το firewall ούτε κάτι άλλο.

Εννοείται αμα ο αλλος εχει root σου κλέβει και όλα τα otp

secure file ΚΑΙ usb key

key file σε usb flash drive?

Με totp είμαι οπουδήποτε το παίρνει.

Α και γώ. Εννείται οτι όπου έχω totp αφαιρώ τις υπόλοιπες μεθόδους ανάκτησης πχ εναλλακτικό email ή κινητό, γιατί μέσω αυτών μπορεί αν λαβει ο αλλος προσβαση(σε εκείνες) και να προχωρήσει παρακάτω και στην υπηρεσία που προσπαθείς να προστατέψεις μέσω totp.

Εδώ ολόκληρη Cloudflare δεν σκέφτηκε να αλλάξει κωδικούς/credential στην Οκτα που παραβιάστηκε νωρίτερα και είχε πρόσβαση σε κώδικα απο git repo τους. Βασικό Access Control Failure

-------------------------------------------------------------------

Signal και πάλι signal, εννοείς

Και gpg για όσους μπορούν. Αλήθεια πόσους δικηγόρους ξέρετε να έχουν κλειδί ανεβασμένο σε κάποιον key-server;;;;

------------------------------------------------------------------

Στις τράπεζες υπήρχε authentication token και το κατάργησαν

Στις τράπεζες θα πρέπει να μπει ακόμα ένα επίπεδο ασφαλείας, πχ authenticator app

Τους ζητάς μηχανάκι, TOTP ή Fido U2F και σε κοιτάν σαν χάνοι.

Έλα που η διοίκηση της τράπεζας το αποφασίζει ποιές μέθοδοι ασφαλεία θα χρησιμοποιούνται και όχι αυτός που ξέρει απο ασφάλεια και δουλεύει στο IT. To ίδιο δόγμα πήρε και το gov.gr

--------------------------------------------------

και πρόκειται να του έρθει ένα sms

Είναι δυνατό να ανοιξει πρόσβαση στον επιτηθέμενο, απλά γνωρίζοντας τον αριθμό τηλεφώνου. Αμα υπάρχει αδυναμία πχ στον parser που έρχεται το μήνυμα δεν χρειάζεται καν να ανοιξεις το μηνυμα ή να κανεις κλικ για να πάρει την πρόσβαση ο άλλος.

Καλά δεν θα πιάσω τα 2G,3G,4G κοκ εκεί οι τρύπες μένουν ανοικτές για να εξυπηρείται ο σκοπός της "νόμιμης επισύνδεσης". Φυσικά με τα ίδια εργαλεία που γίνεται η νόμιμη επισύνδεση, γίνεται και η παράνομη. Πχ αμα αφήνεις την πόρτα του σπιτιού σου ανοικτή τα βράδια να μπορεί να περιπολεί η αστυνομία, θα σου μπουν και διαρρήκτες κάποια στιγμή.

------------------------------------------------------------

sim swapping

Sim swaping με μεταφορά του αριθμού σε νέα sim ή παραγγελία νέας sim με πλαστογραφία. Οι τράπεζες μπορούν να καταργήσουν τα κινήτά και να χρησιμοποιούν TOTP, ή FIDO U2F αλλά κάνουν τα στραβά μάτια και λένε υπάρχει ασφάλεια στις συναλλαγές. Παίζουν θέατρο με ξένα λεφτά.

Επίσης έχω δεί να πέρνουν OTP (μέσω φωνητικών κλήσεων) tokens απο τον τηλεφωνητή, μέσω brute force εύρεση του κωδικού του τηλεφωνητή του κινητού.

--------------------------------------------------------
Πάντως κατά μια έννοια είναι genius η απόφασή τους επιχειρηματικά. Ανταγωνίζονται την Twilio κλπ χωρίς να πληρώνουν τίποτα!!!

Αυτό που χρειάζεται κατ εμέ είναι ένα φουλ P2P signal clone με onion routing σε texts και φωνητικές κλήσεις με codec χαμηλού bandwidth

[MitsakosGR]

Έχει κανείς χρησιμοποιήσει ως 2FA σε διάφορα site (πχ gmail, github κλπ) OTP βασισμένο στο πρότυπο TOTP (time based OTP);
Αυτό σου δίνει ένα αρχικό seed με κάποιες παραμέτρους το εισάγεις στο authenticator app (υπάρχουν πολλά, και αρκετά είναι και Open source) και το app υπολογίζει το OTP που ισχύει ανά 30 seconds(συνήθως).

Υπάρχει κάποιος εγγενής λόγος ασφάλειας που κάνει το TOTP να μην ενδείκνυται ως 2fa στις τράπεζες αντί του sms-otp;

Καθαρά θέμα ευκολίας! Είναι πολύ δύσκολο να πρέπει να εξηγήσεις σε τόσο κόσμο τι σημαίνει authenticator app, και πώς το ρυθμίζεις. Ενώ το SMS είναι υπερβολικά απλό!

[MyISLM]

Καθαρά θέμα ευκολίας! Είναι πολύ δύσκολο να πρέπει να εξηγήσεις σε τόσο κόσμο τι σημαίνει authenticator app, και πώς το ρυθμίζεις. Ενώ το SMS είναι υπερβολικά απλό!

Αμα πεις στον κόσμο το κινητό δεν είναι επαρκές για την ασφαλεια των συναλλαγών βγάλτε κωδικούς TOTP απο τη σελίδα των ρυθμίσεων για το ebanking να δεις πως θα σπεύσουν όλοι να το μάθουν. Ας βγαλει και και ενωση τραπεζών μια ενημερωτική σελίδα FAQ.

[xaris2335]

Συνημμένο Αρχείο 255006

το tails & Qubes OS it's not on the list
καλά ότι παρακολουθούνται αυτά απο την NSA αυτό νομίζω ότι όλοι το ξέρουμε.
Ακόμη και τα κρυπτονομίσματα απο την απαρχή τους.
https://theintercept.com/2018/03/20/...uments-reveal/

Αν ο άλλος πραγματικά θέλει να σε παρακολουθήσει θα βρει τρόπο.
Εργαλεία υπάρχουν τόσο σε hardware όσο και software (Python tools)
https://www.eff.org/files/2014/01/06...nt_catalog.pdf

- - - Updated - - -

Αυτό που δεν μπορώ να ανεχτώ είναι ότι στο παρελθόν η NSA στρατολογούσε χάκερς με τις πλάτες της def con ελπίζω αυτό να μην εξακολουθεί να ισχύει ειδικά μετά τις αποκαλύψεις του snowden.


- - - Updated - - -

Υ.Γ. Όταν ο συγχωρεμένος κέβιν μιτνικ τους παρακολουθούσε μέσω μεταδεδομένων και έσπαγε πλάκα τα γατάκια της NSA & του FBI δεν ξέρανε που πάνε τα τέσσερα

Spoiler:

[MitsakosGR]

Αμα πεις στον κόσμο το κινητό δεν είναι επαρκές για την ασφαλεια των συναλλαγών βγάλτε κωδικούς TOTP απο τη σελίδα των ρυθμίσεων για το ebanking να δεις πως θα σπεύσουν όλοι να το μάθουν. Ας βγαλει και και ενωση τραπεζών μια ενημερωτική σελίδα FAQ.

Πάλι λίγοι θα μπουν στη διαδικασία να βάλουν TOTP! Εδώ πολλοί γκρινιάζουν για τα μηνύματα, γιατί δεν έχουν συνέχεια το κινητό δίπλα τους, και θέλουν να το καταργήσουν και θα τους πεις για authenticator;;;

[BlueChris]

Πάλι λίγοι θα μπουν στη διαδικασία να βάλουν TOTP! Εδώ πολλοί γκρινιάζουν για τα μηνύματα, γιατί δεν έχουν συνέχεια το κινητό δίπλα τους, και θέλουν να το καταργήσουν και θα τους πεις για authenticator;;;

Όχι τι λες τώρα, είναι χιλιάδες... σαν τους χιλιάδες που έκοψαν τις σταθερές τους και έβαλαν 5G και μπήκε μέσα η Cosmote... lol...

Πέρα από πλάκα, συμφωνώ.. πολύ πολύ δύσκολο για το 90% του λαού αυτό... το μπλιμπλίκι που έδιναν ήταν καταπληκτική λύση και το είχες στα κλειδιά σου και τέλος και ανάθεμα με αν έχω καταλάβει γιατί το έκοψαν.

[euri]

το μπλιμπλίκι που έδιναν ήταν καταπληκτική λύση και το είχες στα κλειδιά σου και τέλος και ανάθεμα με αν έχω καταλάβει γιατί το έκοψαν.

Κόστος. Μπορεί το κόστος της συσκευής σε επίπεδο μονάδας να μας φαίνεται (και να είναι) μικρό, αλλά σε κλίμακα είναι μεγάλο.

Ενώ κινητό έχουν πλέον σχεδόν όλοι, είτε smart, είτε dumb.

[aroutis]

Κόστος. Μπορεί το κόστος της συσκευής σε επίπεδο μονάδας να μας φαίνεται (και να είναι) μικρό, αλλά σε κλίμακα είναι μεγάλο.

Ενώ κινητό έχουν πλέον σχεδόν όλοι, είτε smart, είτε dumb.

Στην αρχή ειχαν δώσει το αντίστοιχο se app. Πλέον παίζουν με 2FA push notification, viber , SMS.

[MyISLM]

Πάλι λίγοι θα μπουν στη διαδικασία να βάλουν TOTP! Εδώ πολλοί γκρινιάζουν για τα μηνύματα, γιατί δεν έχουν συνέχεια το κινητό δίπλα τους, και θέλουν να το καταργήσουν και θα τους πεις για authenticator;;;

Απο τη μια να μην έχουν κινητό ΟΚ, το totp δεν απαιτεί απαραίτητα κινητό γίνεται και στο τερματικό (αυτό που εννοώ ειναι οτι καλή πρακτική είναι να είναι σε άλλη συσκευή).

το μπλιμπλίκι που έδιναν ήταν καταπληκτική λύση

Και τώρα μπορούν με ενα αντιστοιχο Fido U2F πχ Yubico, Yubikey, κλπ. Και εννοείται οτι θα το αγοράζεις μόνος. Απλά δεν το υποστηρίζουν οι τραπεζες.

Οποιασδήποτε παράγοντας εξαρτάται απο κινητό, είναι ανασφαλής (μια αλυσίδα είναι τόσο δυνατή όσο ο πιο αδύναμος κρίκος της).

[Papados]

Κόστος. Μπορεί το κόστος της συσκευής σε επίπεδο μονάδας να μας φαίνεται (και να είναι) μικρό, αλλά σε κλίμακα είναι μεγάλο.

Ενώ κινητό έχουν πλέον σχεδόν όλοι, είτε smart, είτε dumb.

Το μπλιμπλικι στην αρχή ήταν δωρεάν. μετά μια χαρά το χρέωναν και εαν θυμάμαι καλά, η ALPHA είχε πάγια μηνιαία χρέωση για την χρήση του.

[BlueChris]

Το μπλιμπλικι στην αρχή ήταν δωρεάν. μετά μια χαρά το χρέωναν και εαν θυμάμαι καλά, η ALPHA είχε πάγια μηνιαία χρέωση για την χρήση του.

Δεν είχα πληρώσει ποτέ φράγκο για χρόνια που το είχα από την 1η μέρα που βγήκε.