KR. Laboratories 🇺🇦 on Nostr: Мене сьогодні запитали: "Ну а що ти тоді ...
Мене сьогодні запитали: "Ну а що ти тоді пропонуєш?? Telegram нам не можна використовувати, а Signal ти критикуєш - поясни свою позицію!".
Спробую пояснити.
Так, дійсно є певні застереження щодо Signal, і нижче я поясню на чому вони базуються. Але будь-яка моя критика є конструктивною й спрямована на конкретні недоліки. Я хочу таким чином привернути увагу розробників на слабкі точки та усунути їх. І вони роблять це, що мені дуже приємно!
У своїй статті "У ПОШУКАХ БЕЗПЕЧНОГО МЕСЕНДЖЕРА" (https://kr-labs.com.ua/blog/top-secure-and-privacy-messaging-apps/) я розібрав функціонал Signal від А до Я і досить високо оцінив месенджер. Я вважаю, що для широкої аудиторії він залишається найкращим і найдовершенішим засобом онлайн-комунікації!
Однак, до ВІЙСЬКОВОГО РІВНЯ не дотягує.
Ось чому:
1. Signal - ЦЕНТРАЛІЗОВАНИЙ ДОДАТОК, якщо хтось не знав.
При реєстрації облікового запису додаток вимагає від користувача розкриття номера телефону, на який приходить SMS з кодом підтвердження. По-перше, перехопити SMS у наш час, як виявилося, не є неможливим (https://vimeo.com/821717097?share=copy). По-друге, номер телефону - як не крути, є персональними даними і підпадає під європейський регламент GDPR, якому Signal до речі не підпорядковується на всі 100%, тому є продуктом США.
Отже, ігноруються базові принципи конфіденційності й відсутня свобода вибору. Що є ознакою всіх ЦЕНТРАЛІЗОВАНИХ "БЕЗКОШТОВНИХ" МЕСЕНДЖЕРІВ. Або ти вказуєш свій номер телефону, або вали!
Мені такий підхід не подобається. Я вихований на засадах GNU/Open Source, де користувач сам вирішує що йому надавати, а що ні. У мене виробилося тверде переконання, що все що безкоштовно себе пропонує і при цьому збирає твої дані - є ненадійним. І мало хто зможе переконати мене у зворотному.
Хтось скаже, мовляв таким чином Signal здійснює верифікацію і протидіє спам-ботам. Так! Але він все одно здійснює ІДЕНТИФІКАЦІЮ ОСОБИ І ФОРМУЄ БАЗУ ТЕЛЕФОННИХ НОМЕРІВ (це також дозволяє їм блокувати різні підозрілі і спамні номери).
Threema, наприклад, не потребує жодного номера! І це мені на початку так сподобалося, що я був їх фанатом, поки у подальшому НА ВЛАСНОМУ КЕЙСІ, А НЕ НА ЧУЖИХ СЛОВАХ зрозумів, що там сидять люди, які дбають лише про власні бізнес-інтереси. Вони працюють з тими й на тих, хто більше заплатить. Раджу також почитати відгук вчених з ETH Zurich : https://web.archive.org/web/20240306184454/https://breakingthe3ma.app/ Він старенький і пов'язаний з попередніми версіями Threema, але проявляє певні моменти.
Щоправда, нещодавно Signal ввів функціонал "юзернейми", що має можливість користувачу приховати свій номер телефону, а також згенерувати спеціальне посилання, щоб запросити потенційного співрозмовника в чат, як у Viber та Whatsapp. Це суттєвий крок до покращення, і я дуже ціную це.
2. В Signal, можливо, є бекдор, який контролюється спецслужбами. І я тут нічого не вигадую. Про ці бекдори писали ще WIRED і The Guardian на початку бурхливого розвитку WhatsApp:
https://www.theguardian.com/uk-news/2019/may/30/apple-and-whatsapp-condemn-gchq-plans-to-eavesdrop-on-encrypted-chats
Про них неодноразово згадували і Ян Кум, і Браян Ектон: https://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-encryption-billion-people/
Тому що спецслужби вимагають такий бекдор з метою протидії тероризму, а також протидії наркотикам! Вони вимагають його від ВСІХ, без виключення. Це факт, який просто безглуздо заперечувати...
Достатньо відкрити публічні судові справи в Великобританії або США:
https://www.documentcloud.org/app?q=%2Bproject%3Awhatsapp-data-requests-31263
Але щодо Signal'у, то я базуюсь у першу чергу на конкретній публікації за 2020 рік на офіційному сайті шпигунського програмного забезпечення Cellebrite, яким користуються правоохоронні органи по всьому світу для зламу месенджерів. Вони відкрито сказали, що є можливість розшифровувати повідомлення Signal.
Цитую:
"Протестувальники використовують додаток (ред. - Signal), щоб безпечно спілкуватися зі своїми командами, які збирають протестувальників, обговорюють тактику та підтримують зв’язок із поліцією. Злочинці також використовують цю програму для спілкування, надсилання вкладень і укладення незаконних угод, які вони хочуть тримати в таємниці та поза полем зору правоохоронних органів. Оскільки він шифрує практично всі свої метадані, щоб захистити своїх користувачів, правові органи намагаються вимагати від розробників зашифрованого програмного забезпечення вмикати «бекдор», який дає їм доступ до даних людей.
До досягнення таких домовленостей Cellebrite продовжує наполегливо працювати з правоохоронними органами, щоб дозволити агентствам розшифровувати та декодувати дані з програми Signal за допомогою Cellebrite Physical Analyzer і після вилучення, виконаного Cellebrite Advanced Services."
https://web.archive.org/web/20201210150311/https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/
https://web.archive.org/web/20201225223526/https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/
Отже, Signal, який здавалося, так добре захищений і зашифрований, на весь світ славиться своїм алгоритмом подвійного храповика (Double Ratchet Algoritm), або як його ще називають АШОЛОТЛЬ (Axolotl), може бути розшифрований апаратно-програмними засобами Cellebrite. Думаю, молоденький криптографіст Максі Марлінспайк десь таки прогнувся й заклав бекдор. А він не міг цього не зробити, будучи в США! Тому що США - це хранителі світового порядку, це Homeland Security! Вони дуже агресивно відносяться до будь-якого тероризму і наркоторгівлі. Контролювати всі протоколи і алгоритми шифрування - це завдання національної безпеки.
Отже, виходячи з вищенаведених фактів та міркувань, можна припустити, що Signal може мати закладку. А якщо так, то не можна зловживати. Людський фактор ніхто не відміняв! Отже, Signal не є інструментом, повторюю, ВІЙСЬКОВОГО РІВНЯ. Як PGP, TOR, TrueCrypt, OTR, котрі залишаються незламними, а їх розробники через це мали, м'яко кажучи, складну долю.
3. В компанії Signal Messenger працюють громадяни рф, екс-інженери Yandex. Цей факт я виявив самостійно, копаючись в соцмережі LinkedIn (ось чому потрібно закривати свої сторінки): https://kr-labs.com.ua/books/russian-employers-signal-messenger.pdf Хтось каже, мені байдуже, хай там працюють москалі. А мені - не байдуже! І, думаю, МІ-6 мене у цьому цілком підтримає)) Вивчаючи історію зламів популярних криртобірж, я прийшов до висновку що у більшості випадків серед співробітників були зрадники, які зливали службову інформацію. То чому в Signal чи в Telegram такого нема? Тим більше, зараз йде страшна, кровопролитна війна. від результату якої залежатиме майбутній світовий порядок. Чи вірите ви в хороших рускіх, які працюють в Signal і бажають Україні перемоги?? Я щось так не думаю...
Власне це все, що я хотів сказати. Є ще інші аргументи, але вони занадто дрібні, щоб про них згадувати. Надіюсь я прояснив свою позицію.
#signal #messenger #месенджери #кібербезпека #безпека #nationalsecurity #messagingapps #cybersecurity #security #infosec #infosecurity #інфобез #opsec
Спробую пояснити.
Так, дійсно є певні застереження щодо Signal, і нижче я поясню на чому вони базуються. Але будь-яка моя критика є конструктивною й спрямована на конкретні недоліки. Я хочу таким чином привернути увагу розробників на слабкі точки та усунути їх. І вони роблять це, що мені дуже приємно!
У своїй статті "У ПОШУКАХ БЕЗПЕЧНОГО МЕСЕНДЖЕРА" (https://kr-labs.com.ua/blog/top-secure-and-privacy-messaging-apps/) я розібрав функціонал Signal від А до Я і досить високо оцінив месенджер. Я вважаю, що для широкої аудиторії він залишається найкращим і найдовершенішим засобом онлайн-комунікації!
Однак, до ВІЙСЬКОВОГО РІВНЯ не дотягує.
Ось чому:
1. Signal - ЦЕНТРАЛІЗОВАНИЙ ДОДАТОК, якщо хтось не знав.
При реєстрації облікового запису додаток вимагає від користувача розкриття номера телефону, на який приходить SMS з кодом підтвердження. По-перше, перехопити SMS у наш час, як виявилося, не є неможливим (https://vimeo.com/821717097?share=copy). По-друге, номер телефону - як не крути, є персональними даними і підпадає під європейський регламент GDPR, якому Signal до речі не підпорядковується на всі 100%, тому є продуктом США.
Отже, ігноруються базові принципи конфіденційності й відсутня свобода вибору. Що є ознакою всіх ЦЕНТРАЛІЗОВАНИХ "БЕЗКОШТОВНИХ" МЕСЕНДЖЕРІВ. Або ти вказуєш свій номер телефону, або вали!
Мені такий підхід не подобається. Я вихований на засадах GNU/Open Source, де користувач сам вирішує що йому надавати, а що ні. У мене виробилося тверде переконання, що все що безкоштовно себе пропонує і при цьому збирає твої дані - є ненадійним. І мало хто зможе переконати мене у зворотному.
Хтось скаже, мовляв таким чином Signal здійснює верифікацію і протидіє спам-ботам. Так! Але він все одно здійснює ІДЕНТИФІКАЦІЮ ОСОБИ І ФОРМУЄ БАЗУ ТЕЛЕФОННИХ НОМЕРІВ (це також дозволяє їм блокувати різні підозрілі і спамні номери).
Threema, наприклад, не потребує жодного номера! І це мені на початку так сподобалося, що я був їх фанатом, поки у подальшому НА ВЛАСНОМУ КЕЙСІ, А НЕ НА ЧУЖИХ СЛОВАХ зрозумів, що там сидять люди, які дбають лише про власні бізнес-інтереси. Вони працюють з тими й на тих, хто більше заплатить. Раджу також почитати відгук вчених з ETH Zurich : https://web.archive.org/web/20240306184454/https://breakingthe3ma.app/ Він старенький і пов'язаний з попередніми версіями Threema, але проявляє певні моменти.
Щоправда, нещодавно Signal ввів функціонал "юзернейми", що має можливість користувачу приховати свій номер телефону, а також згенерувати спеціальне посилання, щоб запросити потенційного співрозмовника в чат, як у Viber та Whatsapp. Це суттєвий крок до покращення, і я дуже ціную це.
2. В Signal, можливо, є бекдор, який контролюється спецслужбами. І я тут нічого не вигадую. Про ці бекдори писали ще WIRED і The Guardian на початку бурхливого розвитку WhatsApp:
https://www.theguardian.com/uk-news/2019/may/30/apple-and-whatsapp-condemn-gchq-plans-to-eavesdrop-on-encrypted-chats
Про них неодноразово згадували і Ян Кум, і Браян Ектон: https://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-encryption-billion-people/
Тому що спецслужби вимагають такий бекдор з метою протидії тероризму, а також протидії наркотикам! Вони вимагають його від ВСІХ, без виключення. Це факт, який просто безглуздо заперечувати...
Достатньо відкрити публічні судові справи в Великобританії або США:
https://www.documentcloud.org/app?q=%2Bproject%3Awhatsapp-data-requests-31263
Але щодо Signal'у, то я базуюсь у першу чергу на конкретній публікації за 2020 рік на офіційному сайті шпигунського програмного забезпечення Cellebrite, яким користуються правоохоронні органи по всьому світу для зламу месенджерів. Вони відкрито сказали, що є можливість розшифровувати повідомлення Signal.
Цитую:
"Протестувальники використовують додаток (ред. - Signal), щоб безпечно спілкуватися зі своїми командами, які збирають протестувальників, обговорюють тактику та підтримують зв’язок із поліцією. Злочинці також використовують цю програму для спілкування, надсилання вкладень і укладення незаконних угод, які вони хочуть тримати в таємниці та поза полем зору правоохоронних органів. Оскільки він шифрує практично всі свої метадані, щоб захистити своїх користувачів, правові органи намагаються вимагати від розробників зашифрованого програмного забезпечення вмикати «бекдор», який дає їм доступ до даних людей.
До досягнення таких домовленостей Cellebrite продовжує наполегливо працювати з правоохоронними органами, щоб дозволити агентствам розшифровувати та декодувати дані з програми Signal за допомогою Cellebrite Physical Analyzer і після вилучення, виконаного Cellebrite Advanced Services."
https://web.archive.org/web/20201210150311/https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/
https://web.archive.org/web/20201225223526/https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/
Отже, Signal, який здавалося, так добре захищений і зашифрований, на весь світ славиться своїм алгоритмом подвійного храповика (Double Ratchet Algoritm), або як його ще називають АШОЛОТЛЬ (Axolotl), може бути розшифрований апаратно-програмними засобами Cellebrite. Думаю, молоденький криптографіст Максі Марлінспайк десь таки прогнувся й заклав бекдор. А він не міг цього не зробити, будучи в США! Тому що США - це хранителі світового порядку, це Homeland Security! Вони дуже агресивно відносяться до будь-якого тероризму і наркоторгівлі. Контролювати всі протоколи і алгоритми шифрування - це завдання національної безпеки.
Отже, виходячи з вищенаведених фактів та міркувань, можна припустити, що Signal може мати закладку. А якщо так, то не можна зловживати. Людський фактор ніхто не відміняв! Отже, Signal не є інструментом, повторюю, ВІЙСЬКОВОГО РІВНЯ. Як PGP, TOR, TrueCrypt, OTR, котрі залишаються незламними, а їх розробники через це мали, м'яко кажучи, складну долю.
3. В компанії Signal Messenger працюють громадяни рф, екс-інженери Yandex. Цей факт я виявив самостійно, копаючись в соцмережі LinkedIn (ось чому потрібно закривати свої сторінки): https://kr-labs.com.ua/books/russian-employers-signal-messenger.pdf Хтось каже, мені байдуже, хай там працюють москалі. А мені - не байдуже! І, думаю, МІ-6 мене у цьому цілком підтримає)) Вивчаючи історію зламів популярних криртобірж, я прийшов до висновку що у більшості випадків серед співробітників були зрадники, які зливали службову інформацію. То чому в Signal чи в Telegram такого нема? Тим більше, зараз йде страшна, кровопролитна війна. від результату якої залежатиме майбутній світовий порядок. Чи вірите ви в хороших рускіх, які працюють в Signal і бажають Україні перемоги?? Я щось так не думаю...
Власне це все, що я хотів сказати. Є ще інші аргументи, але вони занадто дрібні, щоб про них згадувати. Надіюсь я прояснив свою позицію.
#signal #messenger #месенджери #кібербезпека #безпека #nationalsecurity #messagingapps #cybersecurity #security #infosec #infosecurity #інфобез #opsec