έγραψα όμως και άλλα όπως αποδεδειγμένες κακές υλοποιήσεις που σκοτώνουν την ασφάλεια σε δεδομένα προστατευμένα και βασισμένα σε "κρυπτογραφία" πχ το Heartbleed που αποκαλύπτει "μυστικά" κλειδιά για δεκαετίες για όποιον το ήξερε με πολλές προεκτάσεις (να μην τις αναφέρω, μέχρι να γίνει ο κακόβουλος CA και να μην ξεχωρίζει από τον γνήσιο). Για εκείνα μπορούμε (μπορείς) να κάνουμε κουβέντα; ή είναι "υποθέσεις";
Η "ασφάλεια" είναι σχετική. Δεν πιστεύω πως μπορείς ποτέ να αισθανθείς μετά βεβαιότητος "ασφαλής" σε ρεαλιστική κλίμακα (όχι θεωρητικά να κρυπτογραφήσεις μια αράδα bits με one time pad, αυτό δεν αφορά την καθημερινότητα). Και από ΤΟΣΑ που έχουν βγει (backdoors σε συσκευές ασφάλειας πχ hardcoded master passwords σε firewalls κτλ θα μπορούσα να αραδιάσω μια σελίδα με τυχαίες "περιπτώσεις") είναι βέβαιο πως τα κράτη (ΗΠΑ, Ρωσία, Κίνα, Ισραήλ, κτλ) κάνουν ότι μπορούν για να μπορούν να διάβάζουν μηνύματα ή να ελέγχουν δίκτυα και δεδομένα γενικότερα. Τα ίδια τα κράτη το ξέρουν ή το υποπτεύονται μετά μεγάλης σιγουριάς και για τους "αντιπάλους" ότι και αυτοί κάνουν το ίδιο. Οπότε για αυτό (και όχι οικονομικούς λόγους μόνο) απαγορεύουν τεχνολογία "ασφάλειας" του αντιπάλου σε κρίσιμες υποδομές. Γιατί ο αντίπαλος έχει έλεγχο του κώδικα άρα η κρυπτογραφία με backdoor στο πιο πάνω επίπεδο (πχ εκεί που φτιάχνονται τα κλειδιά να αποστέλλονται και κάπου) δεν μπορεί να προστατέψει..
Εμφάνιση 31-43 από 43
-
20-08-18, 23:48 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #31
Τελευταία επεξεργασία από το μέλος keysmith : 21-08-18 στις 00:17.
There is nothing like 127.0.0.1
-
21-08-18, 01:07 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #32
-
21-08-18, 01:18 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #33
Επί της αρχής συμφωνώ και δεν απαιτείται καν σύνδεση στο Internet.
-
21-08-18, 01:55 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #34
Τώρα θυμήθηκα ένα δικό μας από Ελλάδα παράδειγμα που είναι από αυτά που με κάνουν να γελάω όταν οι εταιρίες λένε "δεν συνεργαζόμαστε" και δεν δίνουμε τπτ στις κρατικές υπηρεσίες..
όταν θέλησαν να αποκτήσουν πρόσβαση οι.. δεν ξέρω ποιοι (μερικ@νοι? γκουχου γκουχου) στο δίκτυο κινητής τηλεφωνίας της Ελλάδας το 2004-7 δεν έσπασαν τους αλγορίθμους κρυπτογράφισης του GSM (που και αυτοί έχουν θέματα αλλά ποιος νοιάζεται). Όχι δεν έτρεξαν brute force να βρουνε τα session keys που χρησιμοποιούσαν τα τηλέφωνα του τότε πρωθυπουργού , βουλευτών κτλ σε κάθε κλήση για να ακούσουν τι λένε. Και αυτό θέλει χρόνο και κόπο και δε χρειάζεται να φτάσεις εκεί.
βρήκαν έναν διαχειριστή μέσα στην Voda και αυτός (αφού τον "έπεισαν") ενεργοποίησε/τροποποίησε/ρύθμισε λογισμικό που υπήρχε για άλλο σκοπό (συνακρόασης, σικ, και όχι υποκλοπής). Αυτό προγραμματίστηκε αυτόματα να κάνει προώθηση (ως συνακρόαση) των υπό ενδιαφέρων κλήσεων σε "ανώνυμα" καρτοκινητά που άκουγαν πέριξ των γνωστών πρεσβειών που με τη σειρά τους κάποια έκαναν κλείσεις στις ΗΠΑ. Οταν αποκαλύφθηκε το σκάνδαλο ο "υπεύθυνος" διαχειριστής βρέθηκε "αυτοκτονημένος"..
Πολύ απλή "τεχνολογία" παραβίασης χρησιμοποίησαν και όχι κρυπταναλύσεις και ψαγμένους χάκερ. Το σκοπό σου τον πετυχαίνεις με πολλούς τρόπους. Πας εκεί που ο κρίκος είναι πιο "αδύναμος", πάνω ή έξω από τα κρυπτογραφημένα data.
Αυτό εννοούσα "στη θεωρία" vs "στην πράξη"..There is nothing like 127.0.0.1
-
21-08-18, 02:02 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #35
Υπάρχει όμως μια διαφορά, η φωνή που ταξιδεύει μέσα στο δίκτυο του παρόχου δεν είναι κρυπτογραφημένη, κρυπτογράφηση υπάρχει απο την κεραία προς το κινητό του τελικού χρήστη.
Κάτι που δεν ισχύει στο messenger, ή σε παρόμοιες εφαρμογές, εκεί η κρυπτογράφηση είναι απο τον χρήστη προς τον χρήστη, ο πάροχος μεταφέρει κρυπτογραφημένη πληροφορία.
Εκεί και να τον ξέρεις τον Admin, δεν βοηθάει
Φαντάσου, χρειάστηκε να βρούνε άτομο απο μέσα για να έχουν πρόσβαση σε gsm, αυτό μήπως σημαίνει πως πραγματικά δεν μπορούν να ακούσουν τα πάντα; ότι δεν έχουν δηλαδή κάποιο master key.Τελευταία επεξεργασία από το μέλος sdikr : 21-08-18 στις 02:07.
-
21-08-18, 08:02 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #36έτσι ώστε να μπορεί η κυβέρνηση να παρακολουθήσει τους υπόπτους της συμμορίας MS-13
Ή το FBI έχει ήδη τα αρχεία των συνομιλιών και θέλει απλά να νομιμοποιήσει δεδομένα που έλαβε χωρίς εισαγγελική εντολή, ώστε αυτά να μην μπορούν να ακυρωθούν, ως παρανόμως αποκτημένα, στο δικαστήριο
Ή τότε πράγματι το FBI δεν μπορεί να τα σπάσει.
Αμφιταλαντεύομαι αρκετά καθώς στην πρώτη περίπτωση αν αποτύχει να πείσει το Facebook να δώσει αυτό που ζητάει τότε τα δεδομένα που έχει ήδη, δεν μπορεί να τα χρησιμοποιήσει, ενώ αν όλο αυτό το έκανε για το θεαθήναι, τότε απλά "ανακοίνωσε" ότι θέλει να παρακολουθήσει τις "μυστικές" συνομιλίες μιας συγκεκριμένης συμμορίας.
Αν ο σκοπός της ήταν να παρακολουθήσει μελλοντικές συνομιλίες, τότε η κίνηση αυτή είναι άκυρη καθώς μόνο και μόνο η περίπτωση της δημοσίευσης της, όπως και έγινε, θα κάνει τους MS-13 να αλλάξουν τακτικές και λογισμικό.
Εκτός και αν ο σκοπός της ήταν απλά να διαβάσει συνομιλίες που ήδη έχουν υποκλέψει και θεωρούν ότι είναι αρκετές, αν τις αποκρυπτογραφήσουν, ώστε να προχωρήσουν σε συλλήψεις.
Δεν ξέρω, οι ιστορίες συνωμοσίας μου προκαλούν πονοκέφαλο καθώς όλα έχουν μια λογική, αν τα δεις από διαφορετική οπτική γωνία.
Αν είχες πράγματι backdoor σε μια υπηρεσία, δεν θα το κρατούσες 1000% κρυφό ώστε να συνεχίσει ο κόσμος να θεωρεί ότι είναι secure? Γιατί να ριψοκινδυνέψεις να την ζητήσεις δημόσια, βάζοντας έστω και τους πιο ακραίους security freaks σε σκέψη;
The first rule of Fight Club is: You do not talk about Fight ClubWorking from home
-
21-08-18, 12:55 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #37
Υπάρχει και συνεχεία
Facebook’s case is different, and potentially much friendlier to the feds. Instead of a locally encrypted hard drive, prosecutors want a wiretap on all the Messenger voice calls to and from a single user. Those calls are encrypted with a session key, generated locally by each device — but crucially, the session key is much less closely guarded than Apple’s passcode. A 2015 analysis of the Messenger profile by researcher Philipp Hancke found that the keys were actually shared with Facebook’s servers as part of the encryption process, a result of Facebook’s implementation of a standard protocol called SDES. We don’t know the full details of Facebook’s SDES implementation or if that implementation has changed in the three years since the report. (Facebook did not respond to a request for comment.) But if Hancke’s research is accurate, complying with the wiretap order might simply be a matter of catching the session keys in transit. The Reuters story doesn’t mention Facebook’s Secret Conversation’s feature, which runs on the more robust Signal protocol but doesn’t include VoIP service.
“They will be able to do a much more plausible denial if they have removed the old SDES stuff altogether,” Hancke says. “If they have not, they might argue that they do not log the keying material as it passes through their servers.”
Απο το Verge
Spoiler:
-
22-08-18, 02:52 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #38
ας σκεφτούμε το ενδεχόμενο ότι δίνει πρόσβαση στα προφίλ των υπόπτων. έχετε την εντύπωση ότι δεν θα μαθευτεί/διαρρεύσει ποτέ;
αν δεν μαθευτεί όταν γίνει, θα μαθευτεί μήνες/χρόνια μετά. τίποτα πλέον δεν μένει κρυφό.
επίσης μπορεί άνετα ο Μάρκος να βάλει τους προγραμματιστές του να δουλέψουν νυχθημερόν και να βελτιώσουν ή να προσθέσουν ακόμα περισσότερα χαρακτηριστικά ασφαλείας στις εφαρμογές που έχει.
-
22-08-18, 04:25 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #39
Η κρυπτογράφηση μπορεί να είναι από χρήστη σε χρήστη αλλά μεσολαβούν εφαρμογές που την υλοποιούν. Εκεί παίζεται το όλο παιχνίδι και όχι απαραίτητα στον αλγόριθμο, αυτό λέμε. Οπότε εκεί αν ξέρεις τον... admin της εφαρμογής, ίσως βοηθάει.
Με βάση αυτά που έγραψε ο Keysmith περί WW2, θα απαντούσα ότι ίσως δεν ήθελαν να ρισκάρουν να καεί τέτοιο χαρτί (ΑΝ υπάρχει master key) και θεώρησαν ασφαλέστερη τη λύση του inside job. Πάντως επειδή αναφέρθηκες στο GSM συγκεκριμένα... δε θεωρείται ασφαλές εδώ και χρόνια (σε αντίθεση με νεότερης γενιάς δίκτυα, βλέπε 3G/4G): https://arstechnica.com/gadgets/2010...p-on-gsm-call/Τελευταία επεξεργασία από το μέλος psyxakias : 22-08-18 στις 04:34.
-
22-08-18, 12:58 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #40
-
22-08-18, 14:38 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #41
Ο παραλληλισμός με την τηλεφωνία είναι χρήσιμος, όχι τόσο για την κρυπτογράφηση καθεαυτή, που είναι δευτερεύουσα συζήτηση.
Στην τηλεφωνία υπάρχουν νόμιμα back-door συστήματα για συνακρόαση/παρακολούθηση από τις αρχές στο επίπεδο του παρόχου. Παρ' όλο που η επικοινωνία από/προς τον πάροχο είναι κρυπτογραφημένη, το περιεχόμενο της συνομιλίας μπορεί να καταγραφεί χωρίς να χρειαστεί να σπάσει η κρυπτογράφηση (που και αυτό είναι εφικτό).
Το ίδιο ζητάνε τώρα οι αρχές των ΗΠΑ και για άλλες μορφές φωνητικής (αρχικά) επικοινωνίας, ακόμη κι αν το μοντέλο τους αυτή τη στιγμή απέχει αρκετά από αυτό των κλασικών παρόχων τηλεφωνίας. Το πρόβλημα είναι ότι σε αντίθεση με άλλες περιπτώσεις στο παρελθόν, ο τρόπος χρήσης αυτών των εφφαρμογών είναι πολύ όμοιος με την κλασική τηλεφωνία, και άρα είναι πολύ πιθανό κάποιο δικαστήριο να αποφανθεί ότι θα πρέπει να έχουν τις ίδιες προβλέψεις νόμιμης παρακολούθησης που επιβάλλει εκεί ο νόμος.
-
23-08-18, 09:30 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #42
Υπάρχει ένα άρθρο (πολέμησα να το βρω, αν βρεθεί θα κάνω edit) που εξηγεί
ακριβώς τι συμβαίνει με την ασφάλεια στην κινητή τηλεφωνία.
1. Γιατί το GSM/A5-1 είναι "σχετικά" ασφαλές από μικρο-επιθέσεις (ντεντέκτιβ κλπ) αλλά "σπάσιμο" από κυβερνητικές υπηρεσίες by-design (μιλάμε για μερικά δευτερόλεπτά, κάποτε ήταν λίγα λεπτά)
2. Γιατί το GSM/A5-2 που "έσπρωξαν" σε αραβικές χώρες και ινδία ήταν της πλάκας (zero ασφάλεια) και ουσιαστικά πεθαίνει
3. Γιατί το GSM/A5-3 δεν τρέχει γιατί - σχεδιάστηκε καλύτερο - αλλά έχει και οι δύο υλοιποιήσεις του MISTY/KATSUMI έσπασαν εδώ και λίγα χρόνια. Το έχουν παρατήσει, σε χάρη του end-to-end encryption (δείτε παρακάτω)
4. Και το χειρότερο... αν έχεις "γνωστό τεχνικό" σε οποιοδήποτε επίπεδο, όλα είναι προσβάσιμα γιατί το voice τρέχει unencrypted σε μεγάλο μήκος της διαδρομής. Το σημείο αυτό, όταν έγινε "γνωστό" δημιούργησε τεράστια ζητήματα γιατί αποκάλυψε ότι δεν υπάρχει end-to-end encryption (E2EE), και κάθε μπάρμπας μπορούσε να παρακολουθεί ακόμα και τον πρόεδρο όταν τηλεφωνούσε στα παιδιά του.
Τώρα πολεμάνε να "μαζέψουν" το E2EE, φανταστείτε ότι στο φόρουμ Ε2ΕΕ που διοργάνωσε το wire, συμμετείχε και ο CTO του υπουργείου δικαιοσύνης των ΗΠΑ.Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
23-08-18, 22:50 Απάντηση: ΗΠΑ: Πιέσεις στο Facebook για απενεργοποίηση της κρυπτογράφησης στο messenger #43
Το παράδειγμα με την τηλεφωνία που ανέφερα είναι για να τονίσω ότι ακόμα και αν το GSM (2g με Α5) είναι ανασφαλές το να το σπάσεις over the air ακόμα θέλει "κόπο" και προϋποθέσεις.. (δεν σπάει έτσι απλά και το βασικότερο θέλει κινητοποίηση πιο πάνω κλιμακίων ίσως μη διαθέσιμα πάντα καθως πχ σπάνε κάτι άλλο). Δεν θα είχαν την αμεσότητα που ήθελαν.
Οι ..μεριν@νοι όμως δεν κάθισαν το 2004 να σπάσουν το σχετικά ανασφαλές 2g GSM (A5) αν και ίσως θα μπορούσαν (όχι σε πραγματικό χρόνο, όχι τότε μάλλον). Έκαναν κάτι πιο απλό. Χωρίς καμία άδεια ή συνεργασία (? υπό συζήτηση και αυτό), μέσω ενός υπαλλήλου εισέβαλαν στη vodafon τροποποιώντας τη χρήση ενός λογισμικού που υπήρχε εκεί (δεν το έβαλα χακερς. υπήρχε). Αυτό μας διδάσκει κάποια πράγματα.
Τι; Το βασικό ότι επιλέγουμε τον "απλούστερο" τρόπο. Υπάρχει όμως και δεύτερη λογική. Ειπόθηκε αλλά να την ξανασυζητήσουμε.
Οι Αμερικάνοι μπορεί (θεωρία συνωμοσίας) να έχουν σπάσει τα κρυπτοσυστήμα δημοσίου κλειδιού που έχουν σχεδόν όλα τα εφαρμοσμένα κρυπτογραφικά συστήματα/πρωτόκολλα/εφαρμογές στην κορυφή του key managment τους. Αρα βάσει της θεωρίας σπάνε όλα τα messangers που χρησιμοποιούν κρυπτογραφία χωρίς την συναίνεση του χρήστη ή του παρόχου και δεν πρέπει να διαμαρτήρονται.
Αυτό όμως δεν είναι τόσο απλό να αποκαλυφθεί. Δεν σημαίνει ότι για κάθε παιδεραστή και μικροτρομοκράτη θα του σπάσουν την συνομιλία με κρυπτανάλυση και θα παρουσιάσουν τα στοιχεία στο δικαστήριο. Αν το έκαναν αυτό αυτομάτως θα ξέραμε ότι ολα που έχουμε τα σπάνε και ότι δεν υπάρχει ασφάλεια στο σύστημά μας και θα αλλάζαμε τακτική και αλγορίθμους και και..
Με άλλα λόγια αν για έναν παιδεραστή σπάσουν τις συνομιλίες του στο wu και παρουσιάσουν τα δεδομένα στο δικαστήριο, τι μένει να κάνουν για τους Ρώσους ή τους Κινέζους ή την βιομηχανία αιχμής που θέλουν να παρακολουθήσουν στα κρυφά; Τίποτα παραπάνω..
Θα ήταν σαν στο WWII να έσωζαν μια νηοπομπή φορτωμένη με ξύλα από τα γερμανικά υποβρύχια αλλά αυτομάτως οι Γερμανοί θα την ψυλλιάζονταν την δουλειά και θα άλλαζαν βιβλία κλειδιών για τον ναυτικό enigma με 4 ρότορες και αντίο η κρυπτανάλυση των συμμάχων (που στηρίζονταν σε κλεμμένο βιβλίο από γερμανικό υποβρύχιο, δεν έχει σχέση με τον enigma του πεζικού με 3 ρότορες που ήταν πιο απλός). Μετά θα έχαναν οι σύμμαχοι τη νηοπομπή με τα πυρομαχικά και τα όπλα ή τα στρατεύματα γιατί δε θα μπορούσαν πια να διαβάσουν τα νέα μνμ των Γερμανών που είχαν αλλάξει κωδικούς σιγά σιγά και σύστημα κρυπτογράφισης. Έτσι οι σύμμαχοι θυσίαζαν κάποιες νηοπομπές για να δείχνουν όλα φυσιολογικά.
Το ίδιο οι Αμερικάνοι σήμερα. Θα αφήσουν έναν έμπορο ναρκωτικών να μιλάει χωρίς να τον 'ακούνε' για να επιτρέψουν στις υπηρεσίες τους να ακούνε τους κινέζους (πχ). ΟΜΩΣ θέλουν να πάνε τον έμπορο ναρκωτικών φυλακή και εκεί το παίζουν ότι δεν μπορούν τιποτα να σπάσουν και ότι θέλουν βοήθεια. Έτσι τις συνομιλίες που με κάποιο τρόπο μάλλον ξέρουν ή μπορούν να ξέρουν (με hacking, backdoors, cryptanalysis you name it) δεν μπορούν να τις παρουσιάσουν σε δικαστήριο ή στο κοινό. Και για αυτό παίζουν αυτό το θέατρο ότι ζητάνε πράγματα.
Η άλλη περίπτωση επίσης πιθανή είναι το τι ξέρει και μπορεί μια υπηρεσία δεν σημαίνει το κάνει και η δίπλα ή το δίπλα γραφείο. Οι κρατική αστυνομία fbi ξερω γω δεν σημαίνει ότι όλες οι υπηρεσίες της έχουν πρόσβαση στα "καλά" κόλπα. Ο λόγος ο ίδιος ότι θα το μάθαινε το κοινό αν γινόταν συχνά. Οπότε αυτοί ζητάνε μια πρόσβαση νόμιμη που μπορεί να έχουν. Προσωπικά πιστεύω off the record οι εταιρίες συνεργάζονται με όλους αυτούς όταν τους ζητηθεί απλά Off the record.. (δε σε ξέρω δε με ξέρεις). Αφού τα μνμ διαβαστούν η υπόθεση δένεται με άλλο τρόπο να μην φαίνεται ότι διάβασαν μνμ.. Κατά τη γνώμη μου λογικό να γίνεται κάπως έτσι και υπάρχουν και αναφορές για αυτό.There is nothing like 127.0.0.1
Παρόμοια Θέματα
-
Το Facebook σκανάρει τα ιδιωτικά μηνύματα του Messenger
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 39Τελευταίο Μήνυμα: 21-04-18, 23:46 -
Αντιδράσεις για την κακόβουλη χρήση δεδομένων 50 εκατομμυρίων χρηστών του Facebook για την καμπάνια Τραμπ το 2016
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 11Τελευταίο Μήνυμα: 10-04-18, 22:29 -
Δεν εμφανίζονται οι ειδοποιήσεις στο Facebook
Από GiorgosAth στο φόρουμ Internet, web surfing και online υπηρεσίεςΜηνύματα: 1Τελευταίο Μήνυμα: 27-03-18, 15:37 -
Προβλημα με το messenger στο facebook
Από Valek στο φόρουμ Internet, web surfing και online υπηρεσίεςΜηνύματα: 6Τελευταίο Μήνυμα: 22-09-17, 23:50
Bookmarks