» »

Anonimizacija mobilnih komunikacij

Anonimizacija mobilnih komunikacij

1
2
»

MrStein ::

poweroff je izjavil:

Poglej:
- https://slo-tech.com/forum/36
- https://briarproject.org/

Oba sta še v razvoju, drugega boš moral celo sam prevesti (ampak ni težko, so navodila gor).

Decentralizirana komunikacija, Briar se zna meshati preko wifi ali bluetootha.

Hmm, prvi link je do "Moje teme".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

poweroff je izjavil:


Da. Ampak po drugi strani uporaba telefonske številke precej olajša komunikacijo (uporabiš obstoječi imenik) in olajša širjenje kroga uporabnikov.

V imeniku ima vsak vnos flag, ali podpira Signal? Ali se vedno najprej poskusi klic preko Signal-a?
Iz imenika aplikacija sama ugotovi kdo od tvojih kontaktov uporablja Signal.

Aha, preveri se preko strežnika torej?

poweroff je izjavil:


Mene bi pa med drugim zanimalo poganjanje dveh ločenih instanc Signala hkrati...

Ni to funkcija "Dual Apps" na MIUI in še kateri različici Androida?
Opisujejo kot "Run two Facebook accounts at once", probal še nisem.

poweroff je izjavil:

neres je izjavil:

Kot si napisal v članku, nekdo ti lahko ukrade račun. Pa še en dodaten podatek o tebi imajo (kje si bil ob registraciji), da te npr. lažje najdejo iz kakih posnetkov.

Ja, lahko ti ukrade račun, ampak verjetnost za to je res nizka.
Glede dodatnih podatkov... seveda je mogoče, da pogledajo kdaj je bila cifra registrirana in potem pridobijo tower dump kdo se je tam nahajal z mobitelom, ali pa posnetke kamer. Ampak to je pa že precej huda paranoja, no... 8-)

Ni potem problem, da te nekdo pokliče na številko govorilnice (pomotoma ali namerno), telefon pa dvigne nekdo, ki ni ti? Sploh, če si osumljen in v govorilnici čaka policaj (oziroma napravica).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SmeskoSnezak ::

Glede na prevzem Facebooka Whatsappa, tezko verjamem, da odzadaj noben ne "opazuje". Nasel sem slovensko alternativo, se mi zdi. https://biocoded.com/home Pozna kdo tole?
@ Pusti soncu v srce... @

Gregor P ::

Da, poznam in uporabljam. A žal nisem še imel priložnosti, da bi se zares poglobil v zadevo, da bi znal odgovoriti na vsa varnostna vprašanja. Trenutno gradim razmerje "na zaupanju", ker je podjetje slovenske gore list in zagotavljajo, da gre za zares varno komunikacijo :D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

mat xxl ::

Tale Biocodedm je zanimiva stvar, ker je ena redkih, ki naj bi delala tudi v Windows phonih .

Sicer pa iz varnostnega stališča , oziroma tako ali tako moram menjati telefon, je bolje iti na IOS Iphone 7 ali na Android Samsung S7 , glede varnostnega stališča?

Goody ::

lol, ste tukaj izgleda sami mafiozoti in subverzivni elementi (no ali pa zgolj paranoiki), ki ste prepričani da je vaša komunikacija zanimiva za kogarkoli drugega kot za vas in vašega sogovornika...

mat xxl ::

Ni važno, morda smo paranoiki, zakaj pa naj bi bilo vse javno, naj se malo potrudijo če želijo poslušati, ali pa naj amerikanosom plačajo, če želijo da jim dekriptira Skype pogovore.

Ales ::

V vsaki temi o zasebnosti se najde vsaj en genij, ki nima nič za skrivat.

poweroff ::

MrStein:
Prvi link je bil https://ring.cx

Biokodo poznam. Dober produkt, ampak security in UX model ima po mojem mnenju Signal boljši.

MrStein je izjavil:

V imeniku ima vsak vnos flag, ali podpira Signal? Ali se vedno najprej poskusi klic preko Signal-a?

Izračuna se hash. Na serverju se hranijo hashi. Tvoj klient periodično za tvoje kontakte preverja te hashe na serverju.

MrStein je izjavil:

Ni to funkcija "Dual Apps" na MIUI in še kateri različici Androida?
Opisujejo kot "Run two Facebook accounts at once", probal še nisem.

Ne vem, meni ni uspelo.

MrStein je izjavil:

Ni potem problem, da te nekdo pokliče na številko govorilnice (pomotoma ali namerno), telefon pa dvigne nekdo, ki ni ti? Sploh, če si osumljen in v govorilnici čaka policaj (oziroma napravica).

Ja, to je problem, ampak po drugi strani je pa tudi prednost. Ti si namreč dosegljiv izključno po Signalu. Če te kdo pokliče po "navadni" cifri te sploh ne more dobiti. Samo po varni povezavi te lahko dobi.
sudo poweroff

poweroff ::

https://www.schneier.com/blog/archives/...

How serious this is depends on your threat model. If you are worried about the US government -- or any other government that can pressure Facebook -- snooping on your messages, then this is a small vulnerability. If not, then it's nothing to worry about.


To je vse kar je treba vedet o tem.
sudo poweroff

Goody ::

Ales je izjavil:

V vsaki temi o zasebnosti se najde vsaj en genij, ki nima nič za skrivat.


Kot tudi nima kaj za skrivat mobilnih komunikacij 99,99% normalnih ljudi. Me res zanima kaj se pogovarjaš da te skrbi da bo to en tehnik v NSA, FSB, kitajci, severni korejci... slišal.

poweroff ::

Saj Drenikova pa Sekolec sta bila tudi normalna...
sudo poweroff

Goody ::

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....

jukoz ::

MrStein >> Ni potem problem, da te nekdo pokliče na številko govorilnice (pomotoma ali namerno), telefon pa dvigne nekdo, ki ni ti? Sploh, če si osumljen in v govorilnici čaka policaj (oziroma napravica).
Matthai > Ja, to je problem, ampak po drugi strani je pa tudi prednost. Ti si namreč dosegljiv izključno po Signalu. Če te kdo pokliče po "navadni" cifri te sploh ne more dobiti. Samo po varni povezavi te lahko dobi.

Em, spodaj je tvoj odgovor na moj komentar na prejšni strani (v smislu da če rabiš imeti zasebno komunikacijo, jo izvajaj preko svojega strežnika). Kje je razlika?

jukoz je 11. dec 2016 ob 18:32 izjavil > 1.) Zakaj bi sploh delal infrastrukturo za 100, 500, 1000, miljon ljudi? Rabiš jo samo zase in za te, ki želijo komunicirati s tabo.

Matthai > Mogoče to pride v poštev za zaključeno kriminalno združbo. Tam pač veš, da te bo kontaktiralo samo 5 tvojih pajdašev. V drugih primerih bi pa rad, da se ne ubadaš z registracijo in učenjem vsakega, ki bi te rad varno kontaktiral.

PS - ja, citiranje na slo-techu obstaja, ampak se mi ga ne da uporabljati =)

jukoz ::

Goody je izjavil:

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....

Ne, temveč se prijavljaš na državni razpis, kjer je eden od ponudnikov Telekom —> npr elektronsko cestninjenje... In ne, nimam nobenih dokazov.

Bolj verjetno je, da na enem od telekomov poznaš kakšnega tehnika, mu plačaš 2 pivi in ti vklopi snemanje. Še bolj efektivno pa je seveda pri e-poštnih ponudnikih, primer Gorenaka in SiOL.net mailov:
http://www.mladina.si/106950/ali-v-sds-...

poweroff je izjavil:

https://www.schneier.com/blog/archives/...

How serious this is depends on your threat model. If you are worried about the US government -- or any other government that can pressure Facebook -- snooping on your messages, then this is a small vulnerability. If not, then it's nothing to worry about.


To je vse kar je treba vedet o tem.


Nisem še prebral, ampak če živiš npr v Turčiji je to kar resen problem.

Zgodovina sprememb…

  • spremenilo: jukoz ()

Goody ::

valda nimaš nobenih dokazov, kateri paranoik pa jih ima...

poweroff ::

jukoz je izjavil:

Em, spodaj je tvoj odgovor na moj komentar na prejšni strani (v smislu da če rabiš imeti zasebno komunikacijo, jo izvajaj preko svojega strežnika). Kje je razlika?

Matthai > Mogoče to pride v poštev za zaključeno kriminalno združbo. Tam pač veš, da te bo kontaktiralo samo 5 tvojih pajdašev. V drugih primerih bi pa rad, da se ne ubadaš z registracijo in učenjem vsakega, ki bi te rad varno kontaktiral.

Torej, če imaš ti nek svoj strežnik, lahko uporabljaš povsem anonimen handler, ampak ker je strežnik tvoj, se bo točno vedelo da ga ti uporabljaš. Tudi če boš uporabljal Tor. Še več, če ga uporablja neka opozicijska stranka se ve, da bodo gor zbrane vse relevantne tarče.

Če pa uporabljaš Signal strežnike, se veliko lažje skriješ v množici. Vlada bo težje identificirala tarčo v množici ljudi, ki strežnik uporabljajo.

Na tak način tudi Signal skriva svoje uporabnike z domain frontingom - Savdska Arabija težko loči kateri so Signal uporabniki in kateri zgolj uporabljajo Google / AWS,...

Jukoz - če živiš v Turčiji boš pač redno preverjal varnostna števila.
sudo poweroff

Ales ::

Zagovornikom nimam nič za skrivat je isto, če sediš doma na kavču in se pogovarjaš ali če pogovor objaviš recimo na Facebooku. Ni razlike v stopnji pričakovane zasebnosti.

Poanta obstoja zasebnosti je, da oseba sama odloča, kaj bo kdo izvedel in kaj ne in kdo bo to nekaj izvedel in kdo ne. In če ta oseba noče, da nekdo tretji posluša njene recepte za palačinke, načrte za prihodnjo poslovno potezo ali namene za včlanitev v neko politično stranko, bi to morala biti sposobna zadržati zase. Ali pa rajcanje boljše polovice, če bo komu ob takem primeru prej potegnilo, večina tega le ne bi predvajala sosedu.

Ne gre se le za neke večini nas imaginarne tuje tajne službe, vesoljce, bla bla, ki naj bi nekoga poslušali. Sosedov Janez dela na Telekomu, kolega Franci na lokalni policiji. Folk drži prižgan Siri, Cortano in podobno navlako 24/7, drži prižgane televizije s kamerami in mikrofoni, folk niti ne dojema, da operater IP televizije recimo točno ve, kateri kanal se gleda. Lahko vas zdajle pokliče in vpraša, če je vam in vaši boljši polovici Hustler HD bolj všeč zdaj ali vam je bil bolj všeč včeraj ponoči med 23:17:31 in 00:15:58, zraven pa povpraša ali vam njihova IP telefonija (s kamero in mikrofonom v stanovanju, brez point to point enkripcije) v redu dela. Večina nimam kaj za skrivat folka se v prvi vrsti ne zaveda, kaj se sploh okoli njih dogaja.

Se grem pa stavit, da večina teh vseeno nima postavljene kamere in mikrofona v dnevni, na stranišču in v spalnici. Aja, ups...

Saj končno nič od tega ni problem, oni nimajo nič za skrivat... Turčija je nekje na drugem planetu, mi smo vendar v EU. EU, vam povem, kak Balkan, kake ZDA. Pri nas se nikoli več nič represivnega ne more zgoditi, sosedov Janez je super tip in hčerki vedno pomežikne, ko gre mimo. Aja, policija bi rada blokirala medije brez sodnih nalogov? Nee, to je čisto v redu. Za otroke se gre..!

Goody ::

Mamamija ;), že prva premisa ti je povsem napačna "Zagovornikom nimam nič za skrivat je isto, če sediš doma na kavču in se pogovarjaš ali če pogovor objaviš recimo na Facebooku. Ni razlike v stopnji pričakovane zasebnosti."

poweroff ::

Čisto preprosto je. Naša PRAVICA, da PRAVICA je, da imamo zasebnost. Žal nam država s svojimi represivnimi aparati te pravice ne zagotavlja. Enako nam jo kršijo tudi zasebna podjetja. In še marsikdo drug (delodajalec, sosed,...).

Zato si s tehnologijo to pravico vzamemo nazaj sami.

"Problem" je v tem, da je tehnologija pri tem tako uspešna, da so tisti, ki bi želeli kršiti našo zasebnost ostali brez moči. Potem pa javkajo o paranoikih! :))
sudo poweroff

jukoz ::

poweroff je izjavil:

jukoz je izjavil:

Em, spodaj je tvoj odgovor na moj komentar na prejšni strani (v smislu da če rabiš imeti zasebno komunikacijo, jo izvajaj preko svojega strežnika). Kje je razlika?

Matthai > Mogoče to pride v poštev za zaključeno kriminalno združbo. Tam pač veš, da te bo kontaktiralo samo 5 tvojih pajdašev. V drugih primerih bi pa rad, da se ne ubadaš z registracijo in učenjem vsakega, ki bi te rad varno kontaktiral.

Torej, če imaš ti nek svoj strežnik, lahko uporabljaš povsem anonimen handler, ampak ker je strežnik tvoj, se bo točno vedelo da ga ti uporabljaš. Tudi če boš uporabljal Tor. Še več, če ga uporablja neka opozicijska stranka se ve, da bodo gor zbrane vse relevantne tarče.

Če pa uporabljaš Signal strežnike, se veliko lažje skriješ v množici. Vlada bo težje identificirala tarčo v množici ljudi, ki strežnik uporabljajo.

Na tak način tudi Signal skriva svoje uporabnike z domain frontingom - Savdska Arabija težko loči kateri so Signal uporabniki in kateri zgolj uporabljajo Google / AWS,...

Jukoz - če živiš v Turčiji boš pač redno preverjal varnostna števila.


Razlika pri uporabi svojega strežnika je, da ko potrka NSA/FSB/SOVA/... na vrata in zahteva vpogled v komunikacijo, nekako veš da se je to zgodilo. Ko zahteva vpogled pri WhatsApp/Signal/... ne veš nič in še naprej veselo komuniciraš.

Pa da gremo nazaj na temo - glede WhatsApp je lepo razloženo kje je problem.
https://www.theguardian.com/technology/...

poweroff ::

Ne, članek na Guardianu zavaja. Beri Moxija, beri Schneierja, pa skušaj razumeti kako protokol deluje.

Pa sploh ni fora v tem, da FSB/NSA zahteva vpogled v komunikacijo. Naj ga, ampak tehnična rešitev to ONEMOGOČA.

Hudiča, a sploh razumeš kako deluje Signal?
sudo poweroff

jukoz ::

https://www.theguardian.com/technology/...

"You should be notified when sent a friend's new public key, and given the option to validate again that this new key indeed belongs to your friend and not some other party. This behaviour is called "blocking". The problem with WhatsApp is that you are not given this option.

Instead, your WhatsApp will automatically accept this new key and resend all "in transit" messages (those marked with only one tick), encrypted with the new, potentially malicious key. This behaviour is called "non-blocking".

It does not sound too bad because it only affects "in transit" messages, but it is at the discretion of the WhatsApp server to decide which messages are "in transit" and which are not by passing the "delivered" message back to the sender. Furthermore, WhatsApp voice calls are also affected: when you call someone and during the time the call connects you receive a new key, your phone will just switch to this new key without alerting you."

"The Signal protocol allows "lost or out-of-order messages". Therefore it should be possible for the WhatsApp server to block all "message has been received" notifications from the recipient to the sender for a long conversation while it still correctly forwards the actual text messages. The "receipt" notifications, if encrypted at all, can be distinguished from the normal text messages because they are the ones sent directly after the recipient receives the message.

The users would then only see one tick for all their messages, but many might not realise something isn't right because the messages would get through and the conversation would carry on as normal. After days, weeks or maybe even months, the described attack can then be launched in order to get a copy of the whole conversation since that point in time."

Zgodovina sprememb…

  • spremenilo: jukoz ()

poweroff ::

Sem prebral. Pa tudi Moxija in Schneierja. Pač, usability so dali pred security. Ne pa pozabit, da je vmes še TLS layer do serverjev.

Kakorkoli - uporabljaj Signal in je problem rešen.
sudo poweroff

SeMiNeSanja ::

Samo res neverjetno, za kako pomembne izvore strogo zaupnih informacij se imajo nekateri tukaj, da paranoično iščejo variante za 'prikrivanje svojega početja'.

Kaj ste visoki državni uradniki, mafiozi ali mali Einstein-i, da menite, da ste dovolj pomembni, da si bo kdo vzel čas in sploh poskusil slediti vašim komunikacijam?

V IT varnosti se dela analize tveganja, da se potem določi smiselne ukrepe in postopke. Če bi pri vas naredil analizo tveganja, stavim da pri 99% ni popolnoma nobenega razloga niti za download signala in podobnih aplikacij, kaj šele za njihovo namestitev.

Podpiram to, da so ljudje seznanjeni s tovrstnimi orodji, da jih preizkusijo in se kaj naučijo. Za vsakodnevno rabo povprečnega neomadeževanega državljana RS pa so tovrstne aplikacije popolni bullshit. Nasprotno - če bi bil preiskovalec in takšno aplikacijo našel na preiskovančevem mobitelu/ računalniku, bi takoj bil za 500% bolj sumljiv, pa tudi če mu sicer ni drugega za očitat, kot da poje v cerkvenem pevskem zboru.

čuhalev ::

SeMiNeSanja je izjavil:

Nasprotno - če bi bil preiskovalec in takšno aplikacijo našel na preiskovančevem mobitelu/ računalniku, bi takoj bil za 500% bolj sumljiv, pa tudi če mu sicer ni drugega za očitat, kot da poje v cerkvenem pevskem zboru.

Tudi jaz menim, da z uporabo postaneš sumljiv.

MrStein ::

jukoz je izjavil:

Goody je izjavil:

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....

Ne, temveč se prijavljaš na državni razpis, kjer je eden od ponudnikov Telekom —> npr elektronsko cestninjenje... In ne, nimam nobenih dokazov.

Bolj verjetno je, da na enem od telekomov poznaš kakšnega tehnika, mu plačaš 2 pivi in ti vklopi snemanje. Še bolj efektivno pa je seveda pri e-poštnih ponudnikih, primer Gorenaka in SiOL.net mailov:
http://www.mladina.si/106950/ali-v-sds-...

Je iz tega primera bilo kaj več kot članek na mediju, ki bi ga eni označili kot "strankarsko trobilo" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

SeMiNeSanja je izjavil:

V IT varnosti se dela analize tveganja, da se potem določi smiselne ukrepe in postopke.

Analiza tveganja: kot pošten, običajen državljan imaš pravico, ja ustavno zagotovljeno PRAVICO do zasebnosti. Snowden je razkril kako tajne službe množično kršijo to pravico.
Smiseln ukrep: za zavarovanje pravice se uporabi brezplačno in uporabniku prijazno šifriranje.

Case closed. :))
sudo poweroff

jukoz ::

SeMiNeSanja je izjavil:

Samo res neverjetno, za kako pomembne izvore strogo zaupnih informacij se imajo nekateri tukaj, da paranoično iščejo variante za 'prikrivanje svojega početja'.

Kaj ste visoki državni uradniki, mafiozi ali mali Einstein-i, da menite, da ste dovolj pomembni, da si bo kdo vzel čas in sploh poskusil slediti vašim komunikacijam?

V IT varnosti se dela analize tveganja, da se potem določi smiselne ukrepe in postopke. Če bi pri vas naredil analizo tveganja, stavim da pri 99% ni popolnoma nobenega razloga niti za download signala in podobnih aplikacij, kaj šele za njihovo namestitev.

Podpiram to, da so ljudje seznanjeni s tovrstnimi orodji, da jih preizkusijo in se kaj naučijo. Za vsakodnevno rabo povprečnega neomadeževanega državljana RS pa so tovrstne aplikacije popolni bullshit. Nasprotno - če bi bil preiskovalec in takšno aplikacijo našel na preiskovančevem mobitelu/ računalniku, bi takoj bil za 500% bolj sumljiv, pa tudi če mu sicer ni drugega za očitat, kot da poje v cerkvenem pevskem zboru.


Glede na to kako rineš DPI v vsak pogovor o varnosti omrežij je tvoj komentar razumljiv in povsem na mestu. Seveda nočeš šifriranja, saj ti otežuje delo.

Če bi se vsi malo bolj pametno obnašali in varovali podatke s katerimi operiramo na dnevni bazi bi bilo to vsem v korist. Kako pogosto se srečate s podobni scenarijem:
Oseba A: "Jožica, mi lahko prosim preveriš pri stranki N.N. vrednost naročila? Kupila ga je 01.02.2016 z dostavo na Nekje 22a"
Oseba B: "Stranka N.N. je izdelek A kupila 01.02.2016, plačala po predračunu iz računa MMM na banki AAAA ob 14:16:36 z želeno dostavo na Nekje 22."

Drugi primer:
Oseba A: "Ali lahko prosim preverite izvožen seznam strank. Manjkajo mi stranke ki so kupile A, izvoz mi ne prikaže kupcev iz NN pravilno."
Priložen je seznam nekaj 10.000 kupcev, z vsemi podatki (ime, priimek, naslovi, čas nakupa, ...)

Najboljši pa seveda:
Oseba A: "Na dropbox sem ti naložil ZIP fajl z podatki za razpis. Tule je link. Geslo ti pošljem po SMS."

Kaj znano? To se sporoča po telefonu, po e-mailu... Konstantno. Če bi vse skupaj šifrirali bi bil svet boljši.

Kaj pravi analiza IT varnosti o tem? Uporabniki ne smejo pošiljati podatkov po e-pošti, dropboxih, ... Pa jih vseeno. Analiza varnosti samo določi kdo nosi odgovornost, namesto da bi se reklo: OK, v določenih primerih se dogaja da je potrebno poslati kakšne datoteke zunanjim izvajalcem. Kako bi to lahko uredili?

In kot sem že omenil, industrijsko vohunjenje se pri nas dogaja. Če ga vi ne zaznate, še ne pomeni da se ne dogaja. Podjetja, ki vlagajo veliko v razvoj (pa ne samo farmacevti, tudi železarji vseh sort...), imajo kaj za skrivati pred konkurenco.
Primer iz prakse - zaposleni pošilja podatke za prijavo na mednarodni razpis konkurenčnemu podjetju. Od tega podjetja občasno tudi pade kak euro ali telefon, ali pa 300 metrov kabla in kanalov, ker ravno zida hišo.
Korupcija se ne zganja samo na visokih pozicijah. Precej več lahko dosežeš s podkupovanjem nižje.

Sicer pa še en primer zakaj je pametno šifrirati e-pošto - imam ne ravno pogosto kombinacijo imena in priimka, ime pa se hitro zameša (Matija - Matej). In imam e-poštni naslov pri enem od večjih ponudnikov že več kot 15 let.
In v Sloveniji obstaja en Matija s takim priimkom. Ki je nekje sredjni management po državnih firmah (malo se seli sem in tja). Začuda na moj e-mail dobivam maile, namenjene njemu - maile kot so priporočila za zaposlitev, priporočila za nakupe vozil, visoke porabe goriva, ...

Noben ne gre podkupovat direktorja UKC, ker je to brez veze. Referenta v nabavi se bolj splača.

MrStein je izjavil:

jukoz je izjavil:

Goody je izjavil:

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....

Ne, temveč se prijavljaš na državni razpis, kjer je eden od ponudnikov Telekom —> npr elektronsko cestninjenje... In ne, nimam nobenih dokazov.

Bolj verjetno je, da na enem od telekomov poznaš kakšnega tehnika, mu plačaš 2 pivi in ti vklopi snemanje. Še bolj efektivno pa je seveda pri e-poštnih ponudnikih, primer Gorenaka in SiOL.net mailov:
http://www.mladina.si/106950/ali-v-sds-...

Je iz tega primera bilo kaj več kot članek na mediju, ki bi ga eni označili kot "strankarsko trobilo" ?


Vpraši klele:

V javnosti znani incidenti s Siolovo pošto

Zgodovina sprememb…

  • spremenilo: jukoz ()

poweroff ::

Heh, tudi jaz imam nekaj soimenjakov. Na Gmail redno dobivam pošto namenjeno njih. Jagodni izbor: ponudba za prevzem Petrola za 1 mio. EUR (kasnej edo nje ni prišlo). Programska koda aplikacije na neki večji banki ("Dodaj popravke notri in mi pošlji nazaj"). Username in password za dostop do strežnika. Družinske fotografije - ko sem nazaj vprašal kaj je to sem dobil odgovor "A zdaj pa še svojih otrok ne poznaš?" :)), ponudbe za posle, prijave na razpise za delovna mesta, opisi škodnih dogodkov z vsemi osebnimi podatki in fotografijami (soimenjak dela v zavarovalnici) - v enem primeru je ena mlajša gospodična poslala svojo zdravstveno doumentacijo vključno s (hm) slikami, itd. itd.

Real "fun", dokler ni tega toliko, da moram dejansko skoraj vsak teden nekomu razlagat, da se je zmotil.
sudo poweroff

SeMiNeSanja ::

@Jukoz - če bi pozorno prebral, kar sem napisal, bi videl, da sem govoril o nesmiselnosti za vsakdnevno rabo povprečnega državljana.

To, o čemur TI govoriš so poslovne skrivnosti in ne spadajo v to kategorijo.
Tu se gre bolj za poglavje odtekanja podatkov, kjer ti pa v večini primerov enkripcija same komunikacije čisto nič ne koristi - ali pa odtekanje še celo olajša! Večina odtekanja podatkov se zgodi iz 'nerodnosti' uporabnikov. Če ti potem še kriptirajo samo komunikacijo, ga ne bo sistema, ki bi to odtekanje zaustavil. To je pa ravno obratno od tega, kar se ves čas zagovarja kot nujen argument za močnejše kriptiranje komunikacij.

Same komunikacije ne more kar kdorkoli vohljati - vsaj ne na zakonit način. Če pogledaš tvoj primer, po koliko je nekdo prodal nek izdelek, ali pa seznam nekih kupcev, je to področje industrijske špionaže, s katerim dvomim, da se ukvarjajo naši organi pregona. Ti so pa tudi edini, ki pod določenimi pogoji pri nas legalno prisluškujejo komunikacijam.
Resno dvomim, da bo neposredni konkurent imel tehnične možnosti, da bi na nezakonit način prisluškoval GSM pogovorom in drugim komunikacijam. Če že, se bo potrudil, da ti nekako namesti trojanca na omrežje (Phishing&Co) - tam ti pa sama kriptirana komunikacija nič ne koristi, če nimaš kriptiranih tudi podatkov na strežnikih, ne uporabljaš izključno varne protokole tudi v internem omrežju, nimaš pokrpane vse varnostne luknje v operacijskih sistemih in aplikacijah,.....

Ampak poudarek je na običajnih državljanih, tvoji materi in očetu, sestri in bratu, teti in stricu. Stavim, da niti tak promotor enkripcije kot je Matthai ni namestil Signal na mobitele celotne žlahte, da nebi slučajno prišlo na napačna ušesa, ko se bodo menili kdo bo prinesel ikebano za dan mrtvih na družinski grob.

Nikakor pa nisem nikoli trdil, da je taka tehnologija na splošno nesmiselna. Definitivno obstajajo vrste komunikacij in poklicne skupine, ki se nikoli nebi smeli drugače pogovarjati, kot preko kriptirane povezave. Obstajajo tudi vrste podatkov, katere se nikoli nebi smelo pošiljati naokrog brez enkripcije (kot npr. banka, ki mi pošilja plaintext pdf izpisek prometa kreditne kartice na gmail ?!?).

Ampak za boga milega nehajte tveziti, da bi vsi morali komunicirati preko kriptirane povezave, kaj bomo imeli za kosilo in kaj bi bilo še dobro prinesti iz Mercatorja. To je potem že popolnoma nesorazmerna paranoja.

Tudi če te kot nedolžnega obtožijo nevem katerega kaznivega dejanja, ker se je slučajno pokrival tvoj komunikacijski profil s profilom dejanskega storilca, boš zagotovo imel še kakšen alibi, pričo,....da boš dokazal, da nisi ti tisti storilec, katerega iščejo. Če pa si storilec.... potem pa takointako bolje, da te dobijo in to čim prej.

Saul Goodman ::

Goody je izjavil:

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....


pa iz katerega planeta si ti padu? na tem forumu so sysadmini, ki imajo dostope do core routerjev od mnz do mzz in vlade, domain admini, folk z dovoljenjem za dostop do podatkov z oznako STROGO TAJNO..

kaj se ma ta folk za bat? pa koga misliš, da oni nadzorujejo? le pedote in teroriste?

SeMiNeSanja ::

Saul Goodman je izjavil:

Goody je izjavil:

Ah torej se ti pogovarjaš o arbitraži in pri tem kršiš pravila arbitražnega postopka ;)), dej nehaj bluzit no....


pa iz katerega planeta si ti padu? na tem forumu so sysadmini, ki imajo dostope do core routerjev od mnz do mzz in vlade, domain admini, folk z dovoljenjem za dostop do podatkov z oznako STROGO TAJNO..

kaj se ma ta folk za bat? pa koga misliš, da oni nadzorujejo? le pedote in teroriste?

Hja, samo kaj, ko pri nas vlada narobe svet - tisti, ki bi morali uporabljati kriptirane komunikacije, jih ne uporabljajo.
Tisti, ki si pa s tem nimajo prav nič pomagati, pa paranoično rinejo vanje.

Saul Goodman ::

ja in kdo misliš, da dostopa do te kritične infrastrukture? Cerar?

Ne. Taki kot sva ti in jaz, ki imajo v enem oknu router config, v drugem berejo slo-tech temo o anonimizaciji mobilnih komunikacij in se čudijo umotvorom cinka44, v tretjem pa članek TheIntercepta iz leta 2014 - Inside NSA secret efforts to hunt and hack system administrators.

Zakaj je en bogi 20-something sysadmin torej manj zaželena tarča kot Cerar? T.i. "ključe do kraljestva" ima sysadmin.

poweroff ::

Stvar je preprosta. Če je strošek in uporabniška zahtevnost uporabe kriptiranih komunikacij enaka uporabi nekriptiranih komunikacij, potem naj se uporablja prvo.

Čim več bo šifriranja, težje se bodo voajerski vohljači znašli.

Pa še nekaj - zakaj bi že uporabljali HTTPS? Saj to kakšne bedarije pišeš po forumih, katere novice bereš, itd. je pa ja povsem nepomebno...

Točno zato, ker je uporaba HTTPS iz uporabniške prijaznosti enaka kot uporaba HTTP, stroški pa so tudi praktično isti. In ko je večina prometa v HTTPS, potem imajo bolestni vohljači težavo že pri iskanju trč.
sudo poweroff

SeMiNeSanja ::

@Matthai - načeloma drži, kar praviš. Načeloma.

AMPAK - se ti ne zdi, da 'Add-On tehnologije' zgolj zavlačujejo reševanje tega problema na nivoju same infrastrukture, tam kjer bi vse skupaj moralo biti implementirano, da bi bilo dostopno vsem, brez dodatnih komplikacij in kunštvanj?

Jasno, da so dobrodošle kot 'rešitev v sili' za tiste, ki to nujno potrebujejo tukaj in zdaj - toda dolgoročno to ni rešitev. Vsak hvali neko svojo varianto, združljive so pa toliko kot ananas in banana.

Https? Ja, cool - če zaupaš spletni strani, na katero se preko njega povezuješ. Kaj pa če je ta kompromitirana? Ups?
Ampak tako pač je - vsaka stvar ima svoje prednosti in slabosti. Tudi Https ima svoje slabosti in ga je treba gledat z realističnega vidika, ne zgolj z romantiko, češ da si z njim kot James Bond, ker nihče ne more videti, kaj preko njega teče.

poweroff ::

HTTPS sem dal kot primer.

Rešitev na infrastrukturi... da, ampak saj to JE infrastruktura. Poleg tega je end-to-end bolje kot server-only.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

HTTPS sem dal kot primer.

Rešitev na infrastrukturi... da, ampak saj to JE infrastruktura. Poleg tega je end-to-end bolje kot server-only.

end-to-end inside GSM protocol by default, brez add-on-ov mora biti cilj zadeve.
Ampak tudi če bi to pošlihtali, bi se še vedno kdo našel, ki bi trdil, da ima zadeva backdoor, drugi bi kopali toliko časa, da bi našli bug ali šibkost protokola in spet bi se vsa zadeva začela od začetka.

Torej ni toliko stvar v protokolu, kot v pristopu do poenotenega popravljanja tega.

Če si kot primer navajal https - če smo izklopili SSL in prešli na TLS - zakaj ni možno definirati GSM protokole na podoben način, da se dovolj enostavno prilagajajo aktualnemu stanju? Kje pa piše, da je treba 10 in več let uporabljati ene in iste module, ne pa take, ki odpravijo težave, katere so se pokazale v starih verzijah? Če je na http možno, zakaj ni možno na GSM? Ker tričrkovnim agencijam to nebi bilo po volji? Kaj pa vem - potem danes tudi TLS nebi uporabljali, ampak SSLv1 pri http prometu in WEP namesto WPA2 na WiFi-ju.

Saul Goodman ::

Danes mora bit sindikalnim kifeljčkom zelo žal, da so svoje akcije usklajevali na facebooku. FBI zrihtal loge. :-)

Ales ::

@SeMiNeSanja, in, do kakega zaključka si prišel? Zakaj smo implemetirali TLS in zakaj niso popravili GSM?

Če poenostavimo, razlika je v enem "m", med smo in so, se ti ne zdi? Različni interesi, različna, nenazadnje, cena implementacije.

In koga to čakaš, da bo implementiral point-to-point enkripcijo na nivoju infrastrukture? Katere infrastrukture? Kdo bi bil motiviran, da kaj takega sploh načrtuje? A ni odgovor enak, kot v pri vrstici mojega posta? Mi smo motivirani, oni niso.

Ne gre se sploh za neko iskanje ne vem kakih imaginarnih zarot. Različne strukture in posamezniki imajo različne motive za svoja (ne)dejanja, to je vendar naravno stanje stvari. Motivacija državnih struktur za vpeljavo višje stopnje zasebnosti državljanov v odnosu do same države je milo rečeno nizka. Iz tega izhajajo težave tudi pri zakonski regulaciji stopnje zasebnosti med samimi fizičnimi in pravnimi osebami. Če nič drugega zato, ker je izkoriščanje osebnih podatkov postalo eden najdonosnejših poslovnih modelov konca 20. in začetka 21. stoletja. Si predstavljaš sploh, kolikšna lobistična moč zdaj stoji za tem?

poweroff ::

SeMiNeSanja je izjavil:

Če je na http možno, zakaj ni možno na GSM? Ker tričrkovnim agencijam to nebi bilo po volji?

Legacy.

Včasih o teh stvareh še niso razmišljali. In potem ostanejo zabetonirane.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

SeMiNeSanja je izjavil:

Če je na http možno, zakaj ni možno na GSM? Ker tričrkovnim agencijam to nebi bilo po volji?

Legacy.

Včasih o teh stvareh še niso razmišljali. In potem ostanejo zabetonirane.

To je jasno - ampak ravno to sem hotel povedati, da je dejanska rešitev v tem, da se preskoči legacy težave in zgradi novo generacijo, katera bo omogočala stvari, zaradi katerih moraš danes nalagati raznorazne dodatke, kateri na koncu medsebojno še združljivi niso. Vse ostalo so začasne krparije, 'izhod v sili', ne pa dejanske rešitve problema.

Seveda je v igri cel kup lobijev, ampak na koncu vsega, državni uradniki ne gradijo tehnologije. Napredek v 'pravo smer' lahko zavirajo do določene mere - ne morejo ga pa preprečiti.
Če gledaš vzporednico z Windows - včasih je bil sam OS (se še spomniš Windows 3.1?) dokaj bos in si moral nanj nalagati celo goro dodatkov. Kasneje se je sicer govorilo, da zaradi legacy problemov ne morejo tega ali onega, ampak kljub temu so šle stvari naprej. Danes je razlika kot dan in noč, če primerjaš Win10 s takratnimi Win3.1, ogromno stvari je vključenih, ki si jih nekoč moral nabirati po vseh koncih in krajih, pogosto tudi za zneske, ki niso bili ravno drobiž.
Toda tu je bilo jasno, da je 'krivec' Microsoft, katerega se je bombardiralo z zahtevami, kaj naj še dodajo v paket.

Pri mobilnih komunikacijah pa redko kdo ve, kdo je dejansko 'krivec', katerega bi bilo treba zasuti s pobožnimi željami. Nihče ne ve, čigave so tiste GSM centrale, katerih antene štrlijo s streh, kdo kroji standarde, po katerih te zadeve delujejo.
Ljudje gledajo 'terminal', katerega držijo v roki in napačno mislijo, da je tukaj jedro problema. Zato se tudi samo na teh 'terminalih' rešuje težave, ki tam sploh niso 'doma' in prav nič ne kaže, da bi se zadeva premaknila v pravo smer.

SmeskoSnezak ::

poweroff je izjavil:

https://www.schneier.com/blog/archives/...

How serious this is depends on your threat model. If you are worried about the US government -- or any other government that can pressure Facebook -- snooping on your messages, then this is a small vulnerability. If not, then it's nothing to worry about.


To je vse kar je treba vedet o tem.

++
Biokodo poznam. Dober produkt, ampak security in UX model ima po mojem mnenju Signal boljši.

Care to elaborate?

In, kaj je po tvojem razlicno/drugacno me pravtako zanima, ce se ti da razpisati?
@ Pusti soncu v srce... @

Zgodovina sprememb…

1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Facebook bo združil sporočanje WhatsAppa, Messengerja in Instagrama

Oddelek: Novice / Zasebnost
269423 (7637) zez
»

Skype dobil šifriranje Signal

Oddelek: Novice / Varnost
95978 (3575) matijadmin
»

Tudi Viber dobil šifriranje pogovorov (strani: 1 2 )

Oddelek: Novice / Zasebnost
7025208 (19965) matijadmin
»

WhatsApp bo delil uporabniške podatke s Facebookom in pripeljal oglaševalce

Oddelek: Novice / Zasebnost
2714586 (11970) slitkx
»

WhatsApp šifrira vso komunikacijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6526739 (23404) čuhalev

Več podobnih tem