» »

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Podatki, ki jih ima OWS o uporabnikih

vir: Ars Technica
Ars Technica - Signal, ki ga razvija podjetje Open Whisper Systems velja za eno najbolj uporabnih aplikacij za varno komuniciranje preko mobilnih telefonov. Na voljo je tako za Android, kot tudi iOS (in trenutno še kot namizna (Google Chrome) aplikacija), omogoča pa močno šifriranje sporočil in pogovorov.

Podjetje Open Whisper Systems oziroma njegovi ustanovitelji so namreč pred časom razvili šifrirni protokol Signal, ki ga poleg aplikacije Signal uporabljajo tudi nekatere druge aplikacije za varno komunikacijo, med drugim tudi WhatsApp, Alo, Facebook Messenger in (deloma) Viber.

Čeprav navedene aplikacije uporabljajo isti kriptografski protokol, Signal velja za najbolj varno in najbolj enostavno aplikacijo, ki hrani kar najmanj podatkov o svojih uporabnikih.

Ker aplikacija uporablja šifriranje med končnimi točkami (tim. end-to-end šifriranje) in ker beleži le minimalno število metapodatkov, je komuniciranje z uporabo te aplikacije načeloma zelo varno.

To se je izkazalo tudi pred kratkim, ko je podjetje Open Whisper Systems od ameriške države tajno sodno odredbo (tim. gag order), ki je zahtevala, da FBI posreduje vse podatke o dveh potencialnih uporabnikih Signala.

Ameriško tožilstvo je namreč Open Whisper Systems posredovalo dve telefonski številki z vprašanjem ali imate registrirana Signal računa ter v primeru, da je temu tako, zahtevalo posredovanje vseh podatkov o teh uporabniških računih.

Ena izmed telefonskih številk ni imela registriranega Signal računa, za drugo pa so zaposleni pri Open Whisper Systems FBI posredovali vse podatke, ki so jih imeli. To pa so bili: datum in čas ustvarjanja Signal računa ter datum in čas, ko je bil uporabnik z danim računom nazadnje povezan na Signalove strežnike.

Ostalih podatkov o uporabnikih Open Whisper Systems nima in jih zato tudi ne more posredovati.

Ker je bila sodna odredba tajna oziroma je naslovniku prepovedovala govoriti o njenem obstoju, so se pri Open Whisper Systems obrnili na ACLU in z njihovo pomočjo pred sodiščem sprožili pritožbeni postopek zaradi zahteve o tajnosti. 29. septembra so s pritožbo uspeli in nato podatke o tem objavili na internetu.

Vsekakor je omenjena novica za Signal uporabnike dober znak, da ne rečemo signal, da je aplikacija zasnovana na način, da čim bolje ščiti zasebnost svojih uporabnikov...

17 komentarjev

vostok_1 ::

Vse se lahko hitro spremeni z enim ali dvema zkona. Sam pol že govorimo o diktaturi. Kar sicer ni tako daleč od realizacije.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

tikitoki ::

Resitev je preprosta, firmo preselis izven ZDA in jih posljes v PM. Za take majhne zadeve bi bilo cisto izvedljivo.

Ribič ::

Tile politiki že res postajajo predrzni s temi blesavimi zakoni.
Mar ne vejo, da s tem uničujejo imunski sistem družbe?

vostok_1 ::

Jebe se politikom za družbo.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

jype ::

Anarhistom pa za politike.

Če ti nimaš podatkov, jih tudi oni ne morejo dobit.

čuhalev ::

jype je izjavil:

Če ti nimaš podatkov, jih tudi oni ne morejo dobit.

Ampak politikom moraš to tudi dokazati.

WhiteAngel ::

Ma, a mi kdo razloži, o čem je fora teh dnevnih novic o "kripto aplikacijah in protokolih" ter "podjetij, ki stojijo za njimi". Sigurno obstaja ducat open source chat aplikacij, ki uporabljajo, ne vem, jabber za protokol in neko asimetrično enkripcijo. Ni variante, da NSA/FBI zlomijo tisti 2048-bitni ključ in glede na to, da je koda odprta, veš, da je komunikacija res point to point in se nikamor ne beleži. WTF? V čem taka znanost?! Tehnično gledano se mi zdi vse skupaj en zeh, pa fakin tolk gonje okoli tega vsak drugi dan.

poweroff ::

WhiteAngel je izjavil:

Sigurno obstaja ducat open source chat aplikacij, ki uporabljajo, ne vem, jabber za protokol in neko asimetrično enkripcijo.

Točno to. NE VEŠ.

Torej, ne, ne obstaja ducat open source aplikacij, ki bi bile primerljive s Signalom. Kot prvo ima Signal bistveno boljši security model kot ostale aplikacije (forward secrecy za začetek). Kot drugo ima zelo dobro rešitev za asinhrono komunikacijo (prekeys). Kot tretje so se zelo poidrufili pri UX designu - uoraba aplikacije je zelo enostavna, od uporabnika ne zahteva zapletenega podpisovanja, izmenjave ključev,... In predvsem - ima zelo veliko število uporabnikov.

Tako da to ni "kar ena aplikacija", ampak je ena najpomembnejših aplikacij za varno komuniciranje.

WhiteAngel je izjavil:

Ni variante, da NSA/FBI zlomijo tisti 2048-bitni ključ in glede na to, da je koda odprta, veš, da je komunikacija res point to point in se nikamor ne beleži. WTF? V čem taka znanost?!

Spet kažeš nerazumevanje problema.

Ni problem lomljenje komunikacije. Problem so metapodatki. Facebruh Messenger recimo precej dobro šifrira vsebino, metapodatki pa letijo naokrog na polno.

Signal tudi v tem primeru prednjači. In ta novica je pomembna, ker sedaj točno vemo katere podatke lahko dejansko dajo "državnim terorističnim organizacijam". Ker za ZDA se bo v vrsto kmalu pojavila še kakšna Kitajska ali Rusija.

In to, da je aplikacija opensource ne garantira ničesar. Je zelo pomemben predpogoj,, ampak samo po sebi ni to nikakršno zagotovilo za varnost.
sudo poweroff

WhiteAngel ::

Nisem prej vedel, v novici pa tudi ni bilo tega omenjenega - Signal client in server za chat sta odprta in lahko postaviš doma lasten strežnik, če ne zaupaš firmi. Tako da ja, Signal JE ena izmed ducat opensource aplikacij za chat, kjer veš, da podatki ne odtekajo nikamor. Thumbs up :)

stb ::

No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.

Yacked2 ::

stb je izjavil:

No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.


Pa saj imaš objavlen source, lahko sam compailaš in preveriš hash vrednost, da vidiš če se ujemata.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

poweroff ::

Joj ljudje.

Glede "sej lahko sam prevedeš source" si dajmo najprej kaj prebrat na temo "reproducible builds". Zadeve pač niso enostavne.

WhiteAngel, ti pa lepo vabljen, da postaviš Signal server. Je kar nekaj interesentov za ta posel. In so pripravljeni plačat.

Hint: there is no documentation. And no support.
sudo poweroff

Markoff ::

jype je izjavil:

Anarhistom pa za politike.

Če ti nimaš podatkov, jih tudi oni ne morejo dobit.

Anarhist je nekdo, ki ne spoštuje nobenih pravil igre. Zanje pravila ne obstajajo. Samo zakon močnejšega. Res pa sami sebi lažejo, da bi se brez zakonov držali za roke, peli kumbaja in sadili rožice.

Tile fantje postavljajo pravico do zasebnosti na piedestal. Ne glede na to, ali se strinjamo s tem ali ne, je ta pravica zapisana v vseh ustavah (ali sorodnih dokumentih) zahodnega sveta. Ergo, niso anarhisti.

stb je izjavil:

No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.

Odredba ni zakon, od tebe ne morejo zahtevati compliance z nečim, kar si ni izmislila zakonodajna oblast, temveč izvršilna. Take zahteve morajo najprej v zakonodajo, a ti postopki so javni, varuhov človekovih pravic pa ne srečo še vedno precej. Tajne odredbe so zagotovo del zakonodaje dežele svobodnih, sicer jih nobeno sodišče ne bi požegnalo.

Seveda, kar se gredo tričrkovne agencije MIMO sodišč, je druga zadeva. A preko tistih postopkov lahko zastrašujejo in grozijo (in dronirajo, če smem citirati Killary Killton), ne morejo pa te spraviti na sodišče.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

matijadmin ::

stb je izjavil:

No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.


Da, to je resnično (lahko) problem. Ugiba se, da je že pri več razvijalcih bilo na sledeč način podtaknjene kar nekaj kode. Tudi take, ki zgleda kot hrošč. Mimogrede, celo tekmovanja v pisanju kode, ki ob pregledu, da vtis, da naredi nekaj, pa zelo zahrbtno skriva še kaj manj preglednega, kar je za povrh še nemogoče dokazati, da je nastalo namenoma, poznamo. O takih možnosti podtikanja kode na podlagi odredb tajnega sodišča je tudi Schneier že pisal, a se mi ne da poiskati njegovega zapisa. Naravnost grozno je, da lahko nekaj takega naložijo (kar je tudi zelo logično) zgolj omejenemu št. ljudi, ki so zato potrebni in ti o tem ne smejo niti črhniti nadrejenim. Taka kukavičja jaca lahko zato valijo vse velike firme od Googla do Appla, pa naj se izvršni direktorji in zaposleni še tako trkajo po prsih, kaj vse so naredili za varnost.

Prav zato so manjši odprtokodni projekti, kakršen je Signal z OWS (oba se namreč financirata na zelo poseben način, prvi iz sredstev, namenjenih neprofitnim projektom, drugi pa prek svetovanja velikim tehnološkim podjetjem), veliko bolj odporni na tale problem. Še posebej, če je razvijalcev malo, kjer ni verjeti (na podlagi njihovega angažmaja v določeni sredini zanesenjakov), da si česa podobnega med seboj ne bi zaupali in najmanj ugasnili projekt (če ne zaradi drugega, ker so se preselili na drug konec planeta in pustili dosedanje življenje za seboj) ter imajo izjemnega vodjo Moxieja, ki je gonilo vsega tega.

Nenazadnje, prav to, kar sem opisal, so s to potezo le potrdili.
Vrnite nam techno!

Zgodovina sprememb…

matijadmin ::

Markoff je izjavil:

jype je izjavil:

Anarhistom pa za politike.

Če ti nimaš podatkov, jih tudi oni ne morejo dobit.

Anarhist je nekdo, ki ne spoštuje nobenih pravil igre. Zanje pravila ne obstajajo. Samo zakon močnejšega. Res pa sami sebi lažejo, da bi se brez zakonov držali za roke, peli kumbaja in sadili rožice.

Tile fantje postavljajo pravico do zasebnosti na piedestal. Ne glede na to, ali se strinjamo s tem ali ne, je ta pravica zapisana v vseh ustavah (ali sorodnih dokumentih) zahodnega sveta. Ergo, niso anarhisti.

stb je izjavil:

No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.

Odredba ni zakon, od tebe ne morejo zahtevati compliance z nečim, kar si ni izmislila zakonodajna oblast, temveč izvršilna. Take zahteve morajo najprej v zakonodajo, a ti postopki so javni, varuhov človekovih pravic pa ne srečo še vedno precej. Tajne odredbe so zagotovo del zakonodaje dežele svobodnih, sicer jih nobeno sodišče ne bi požegnalo.

Seveda, kar se gredo tričrkovne agencije MIMO sodišč, je druga zadeva. A preko tistih postopkov lahko zastrašujejo in grozijo (in dronirajo, če smem citirati Killary Killton), ne morejo pa te spraviti na sodišče.


Te razne agencije se med drugim poslužujejo tudi sodišč(a) in žal čez lužo poznajo celo tajno zakonodajo, vsaj ta procesni del, ker je njihov pravni sistem pač precedenčni. Tako da marsikaj, kar bi kdo tako lahkotno pripisal kršenju zakonodaje tričrkovnih pošasti v resnici sodno požegnano.
Vrnite nam techno!

Jst ::

Zanimivo mi je bilo poslušati Moxija, ko je razlagal, kako so naredili svoj protokol. Pozabil kateri podcast.

Ampak v času implementiranja in testiranja so prišli do neke točke, kjer je nekaj delovalo, a niso razumeli zakaj deluje. Nekaj je o tem govoril tudi Steve Gibson v Security Now podcastu. Škoda, ker sem od takrat preposlušal toliko podcastov, da bi rabil vsaj kakšen da, ali teden, da bi našel.

Po tem, ko so videli, da SIGNAL v neki točki razvoja dela nekaj, kar ga dela tako odpornega, so potem razvijali naprej in šele kasneje so ugotovili zakaj. V smislu "matematično se izide, a pojma nimamo zakaj."

Sedaj pa, ko sem malo iskal, nisem nikjer našel te "anekdote", ki jo je povedal Moxi.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

jype ::

Markoff> Anarhist je nekdo, ki ne spoštuje nobenih pravil igre.

Fajn so te naplahtal. Anarhist je nekdo, ki ne spoštuje nobene avtoritete.

Markoff> Res pa sami sebi lažejo, da bi se brez zakonov držali za roke, peli kumbaja in sadili rožice.

Kdo, a anarhisti? Premisli še enkrat.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrita (in že odpravljena) resna ranljivost v Signalu

Oddelek: Novice / Varnost
397818 (5273) Matija82
»

Slovenska policija začenja uporabljati varne mobilne komunikacije

Oddelek: Novice / NWO
3616450 (13954) matijadmin
»

WhatsApp šifrira vso komunikacijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6526856 (23521) čuhalev
»

Signal, RedPhone, TextSecure

Oddelek: Informacijska varnost
154980 (4403) poweroff

Več podobnih tem