»

Zoom po novem z E2EE šifriranjem za vse uporabnike

vir: Pixabay

Slo-Tech - Konferenčna storitev Zoom je končno dočakala celostno oz. end-to-end šifriranje, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. E2EE šifriranje je tako zdaj omogočeno v aplikacijah za Mac, PC, iOS in Android ter v Zoom Rooms, ni pa na voljo v spletnem odjemalcu, kot tudi drugih odjemalcih, ki temeljijo na njihovem SDK oz. programskem razvijalskem paketu.

Celostno šifriranje bo na voljo za vse, tako za plačljive kot za brezplačne uporabnike, čeprav so pri Zoomu še nedavno - v strahu, da bi storitev pograbili raznorazni nepridipravi - načrtovali drugače, a so se nato premislili. Bo pa potrebno identiteto brezplačnega računa potrditi z SMS sporočilom. Samo šifriranje poteka tako, da se ključi generirajo pri gostitelju posamezne konference, nato pa so posredovani sodelujočim. Zoomovi strežniki so na ta način postali samo posredniki podatkov, ki pa brez ključa same vsebine pogovora ne morejo dešifrirati.

Zoomov E2EE uporablja 256 bitno AES-GCM šifriranje,...

10 komentarjev

Iranski hekerji šest let prisluškovali komunikaciji prek WhatsAppa in Telegrama

Slo-Tech - Vsaj od leta 2014 iranski hekerji izvajajo obsežno operacijo prisluškovanja oporečnikom, izseljencem in kritikom režima, je ugotovil CheckPoint. V akciji, ki je tekla pod radarji kar šest let, so spremljali šifrirano komunikacijo prek Telegrama in WhatsAppa, prestrezali gesla za upravljalnika gesel KeePass ter sporočila sms, prisluškovali telefonom ipd. Programi so imeli tudi možnost zajemanja zaslonske slike in pošiljanja datotek upravljavcem virusov.

Napadali so tako računalnike z Windows, kjer lahko tečejo namizne verzije aplikacij, kot tudi mobilne telefone. Za to jim ni bilo treba zlomiti šifrirnih protokolov, temveč je zadostovalo prestreči komunikacijo na izviru. Proti temu se pisci aplikacij teže borijo, saj gre za okužene naprave uporabnikov, ne pa za ranljivost v aplikaciji. V nekaterih primerih pa je šlo za phishing, ko so lažne spletne strani terjale vpis prijavnih podatkov za Telegram. Da se v tem primeru ne da kaj dosti storiti, so potrdili tudi v Telegramu, medtem...

10 komentarjev

Evropska komisija zaposlenim: uporabljajte Signal

Slo-Tech - Očitno v želji, da nekoliko dvigne standarde pri varnosti komuniciranja, je Evropska komisija (EK) zaposlenim interno sporočila, da je bila kot priporočena oblika komunikacije izbrana aplikacija Signal. Ključna prednost pred konkurenčnimi aplikacijami, denimo iMessageom, WhatsAppom ali Telegramom, ki so prav tako celostno oz. end-to-end šifrirani, pa naj bi bila njena odprtokodna narava.

Nasvet EK seveda velja samo za komunikacijo zunaj službenih omrežij, za siceršnjo službeno komuniciranje zaposleni uporabljajo šifrirano elektronsko pošto, ko gre za vsebine zaupne narave, pa vse skupaj poteka pod varnostno še strožjimi pogoji.

Signal so sicer razvili že leta 2013, zadnja leta pa uživa podporo neprofitne fundacije Signal Technology Foundation, za katero stoji Brian Acton, eden od ustanoviteljev WhatsAppa, ki se je pozneje razšel z vodstvom Facebooka. Komunikacija prek Signala je celostno šifrirana, prav tako tudi metapodatki. Kako malo podatkov pravzaprav na njihovih strežnikih...

71 komentarjev

ZDA in Velika Britanija s sporazumom nad end-to-end šifriranje

vir: Maxpixel

vir: Bloomberg
Bloomberg - Sporazum med državama naj bi bil podpisan v oktobru, v medije pa je pred dnevi pobegnilo nekaj podrobnosti. Dogovor pokriva predvsem platforme družabnih medijev in njihova orodja za sporočanje, za katera sta se državi dogovorili, da si bosta njihovo vsebino izmenjali v primerih, ko gre za resna kazniva dejanja, torej terorizem in pedofilijo. Obenem sta se zavezali, da bosta s tem v zvezi preiskovali le lastne državljane, ZDA pa tako pridobljenih informacij ne bodo smele uporabiti v procesih, ki se po njihovem pravu kaznujejo s smrtno obsodbo.

Praktično izvajanje takega sporazuma je seveda pogojeno z možnostjo dostopa obeh držav do vsebine takih sporočil, ki so danes večinoma že celovito oz. end-to-end šifrirana, kar pomeni, da bosta morali najti način, kako učinkovito pritisniti na ponudnike. Ta proces se sicer odvija že nekaj časa, tako so letos spomladi Apple, Google, Microsoft, WhatsApp in drugi ostro nastopili proti britanski obveščevalni agenciji GCHQ(Government...

32 komentarjev

FBI dobil vsebino sporočil WhatsApp in Signal s Cohenovega blackberryja

Slo-Tech - V procesu zoper Trumpovega dolgoletnega odvetnika Michaela Cohena, ki ga zvezni agentje preiskujejo zaradi suma storitve več kaznivih dejanj s področij bančnega kriminala, nezakonitega financiranja kampanje in prevar (prav Cohen je tisti, ki je pornoigralki Stormy Daniels izročil 130.000 dolarjev, da ne bi govorila o intimnih trenutkih s Trumpom), je FBI obvestil sodišče, da so pridobili 731 strani novih dokazov. Gre za sporočila in prometne podatke klicev, ki jih je Cohen izmenjal prek aplikacij WhatsApp in Signal. Ker...

31 komentarjev

WhatsApp za iOS na telefonu pušča izbrisana sporočila

Slo-Tech - Aplikacija za komuniciranje WhatsApp je letos aprila požela veliko odobravanja, ko je podobno kot sorodne aplikacije (npr. Viber) začela šifrirati vso komunikacijo med uporabniki s protokolom Signal. Tako ponudnik infrastrukture in aplikacije ne moreta prebirati vsebine. Ko pa sporočila enkrat prispejo na telefon, se tam seveda shranijo. WhatsApp seveda omogoča brisanje sporočil in pravi, da jih po brisanju ne moremo povrniti. Jonathan Zdziarski pa ugotavlja, da za WhatsApp na iOS velja isto kot za Applov iMessages - tudi po brisanju lokalno ostanejo drobci sporočil, ki omogočajo rekonstrukcijo.

Obnašanje aplikacije WhatsApp je enako ne glede na to, ali izbrišemo posamezno sporočilo, pogovor...

0 komentarjev

WhatsApp šifrira vso komunikacijo

Slo-Tech - WhatsApp je pred poldrugim letom napovedal, da bodo uvedli popolno šifriranja sporočil uporabnikov (end-to-end), in besedo so držali. Tako so včeraj sporočili, da je tehnični del storitve dokončan, tako da so odslej vse oblike komunikacije šifrirane. Potrebujemo le najnovejše verzijo njihove aplikacije in to zadostuje, saj ni treba nikjer ničesar dodatno vključiti. Tehnične podrobnosti pojasnjujejo, katere algoritme uporabljajo - AES-256 in HMAC-SHA256 v sklopu protokola Signal. Šifriranje je izvedeno tako, da tudi s prestreženim ključem ni mogoče odšifrirati starejših pogovorov.

Ker WhatsApp vso komunikacijo šifrira že na viru in ker je nikjer ne shranjuje, je v teoriji dostop do nje -...

65 komentarjev

WhatsApp sklenil partnerstvo z WhisperSystems za šifriranje sporočil

Slo-Tech - WhatsApp, ki ga poznamo po priljubljeni aplikaciji za pošiljanje sporočil po mobilnih telefonih prek podatkovne povezave, sicer pa ga je letos kupil Facebook, je napovedal partnerstvo z WhisperSystems. Sporočila bodo šifrirana od pošiljatelja do prejemnika, tako da jih ne bo mogel prestreči in prebrati nihče, niti WhatsApp sam. To pomeni, da tudi organi pregona ne bodo mogli dobiti sporočil, ker WhatsApp šifrirnega ključa ne bo imel. To pomeni, da 600 milijonom uporabnikov WhatsAppa ne bo treba storiti ničesar, pa se bodo pomenkovali šifrirano.

WhisperSystems je partner pri projektu, ki je razvil protokol TextSecure, katerega bo WhatsApp uporabljal za dostavo sporočil. Odjemalec za Android že podpira šifrirano izmenjavo besedilnih sporočil, medtem ko...

9 komentarjev