Ich to już do reszty… Najwyraźniej ktoś uznał, że najlepszym rozwiązaniem problemu “kontrola czatu a szyfrowanie” jest kryminalizacja szyfrowania. Czeka nas (społeczeństwo obywatelskie) dłuuuga batalia…

  • gfle
    link
    fedilink
    11 year ago

    Z tego, co rozumiem, to chodzi o “szyfrowany komunikator” w rozumieniu np. ANOMa, czyli taki, gdzie usługa jest od poczatku nakierowana na grupy przestępcze i nie próbuje nawet celować w inne grupy użytkowników. Oczywiście strona internetowa produktu nie mówi tego wprost, ale… to chyba nie był taki zwyczajny Signal.

    Bardziej martwi mnie to, że aplikacja niby udostępniała “szyfrowanie”, a służby jakoś sobie radzą z wyciągania danych z niej, najwyraźniej zdalnie. Podejrzewam, że programiści w żaden sposób nie zabezpieczyli się przed tym, że ktoś przejmie ich infrastrukturę i zacznie wypuszczać nowe wersje aplikacji z niespodziankami w środku.

    • make
      link
      fedilink
      11 year ago

      Chyba kiedyś o tym czytałam/słyszałam i oni mają wtyki, bo łatwo się wkręcić. To nawet nie musi być na poziomie hackowania. Also nie jestem pewna czy to ten case, bo może mi się pierdolić ale już jakiś czas temu chyba złapali kogoś, kto chciał o tym czacie mówić. Trochę chaotycznie ale jak znajdę to podrzucę źródło

    • @didleth@szmer.infoOP
      link
      fedilink
      11 year ago

      No nie, nie kupuję tego. Po pierwsze vide np. "Holenderskie władze poinformowały, że legalni użytkownicy Exclu, którzy mogą powoływać się na tajemnice prawną (np. prawnicy, notariusze, lekarze lub duchowni) mogą skontaktować się z policją w celu usunięcia ich danych, o ile dane nie zawierają żadnych nielegalnych informacji. " Bycie prawnikiem czy lekarzem jest raczej legalne…Po drugie - no bez jaj, żeby jeszcze programiści rozkminiali, czy to, o czym rozmawiali ich klienci na szyfrowanych komunikatorach, jest legalne. Raz, że to nie ich broszka, dwa - takie podsłuchiwanie byłoby zwyczajnie nielegalne. Jeśli weźmiesz szerszy kontekst: tutaj atak na indymedia nieaktywne od lat, tutaj na jakąś rozgłośnię z żadaniem komunikacji z 25 lat, tutaj prace nad kontrolą czatu, tutaj retencja danych, tutaj pegasus i w zasadzie masowa inwigilacja, a tutaj atak na szyfrowany komunikator - to całościowo wygląda, jakby władze chciały zastraszyć cyfrowe społeczeństwo obywatelskie. Żeby ludzie za bardzo nie protestowali, bo jakiś signal, telegram czy serwer mastodona mogą być kolejne.

      Jeśli chodzi o zabezpieczenia aplikacji - bardzo ciekawe spostrzeżenie. Zwłaszcza w kontekście signala i tego, w jaki sposób jego komunikacja przebiega.

      • gfle
        link
        fedilink
        11 year ago

        Ja patrzę z tego kontekstu, że to nie jest pierwszy “szyfrowany” komunikator tego rodzaju, który został w ten sposób zdjęty. Słyszałeś wcześniej o Exclu? A AN0Mie? EncroChat? A z jakiegoś powodu Signala, Conversations czy Briara nikt nie rusza. Dlatego też bardziej spodziewam się scenariusza “ostatnio wśród przestępców widzimy wzrost popularności tego narzędzia, które zdaje się być na nich nakierowane” niż wynajdowanie jakiegoś niszowego komunikatora z którego mało kto w światku interesującym się cyberbezpieczeństwem korzysta i skupianie się na nim. O Telegramie czy Fedi nie wspominam, bo to nie są bezpieczne kanały komunikacji.

        Ale ja jestem generalnie z tych co dla nich szklanka jest zawsze w połowie pełna, więc pewnie się mylę.

        A co do Signala: to, jak przebiega komunikacja nie ma w sumie nic do rzeczy. Pytanie, kto może zbudować nową wersję Signala i opublikować jako aktualizację w sklepie Play albo AppStore. Jeśli ta osoba wypuści aktualizację wysyłającą nieszyfrowane kopie gdzieś indziej, to najbezpieczniejsze klucze nic nie pomogą.

        • @didleth@szmer.infoOP
          link
          fedilink
          11 year ago

          o Conversations nie słyszałam, briar chyba w ogóle nie jest szyfrowany? a Signal…no to te wszystkie kombinacje “w jaki sposób obejść szyfrowanie” - cilent side scanning itp. uderzą właśnie w signala. Abstrahując już od tego, że to apka amerykańska i zamknięta. Dlaczego zaczynają od jakiegoś randomowego komunikatora? Klasyka - długo gotowana żaba, “nie odbiorą ci wolności z dnia na dzień” itp. Łatwiej o powolne wprowadzanie retoryki “szyfrowanych komunikatorów używają przestępcy, przecież normalni ludzie używają messengera”. Signal czy Threema (od której odstrasza mnie jedynie to, że nikt jej nie używa, bo jednorazową cenę bym przełknęła) będą gdzieś pomiędzy. Plus skupienie się na grupie zawodowej (informatycy), która prawem statystyki raczej szumu w mediach nie narobi. A ogólnie to przydałaby mi się jakaś rozpiska odnośnie tej unijnej dyrektywy (tej od kontroli czatu). Co, kiedy i jak. Bo się gubić zaczęłam :-/ “to, jak przebiega komunikacja nie ma w sumie nic do rzeczy. Pytanie, kto może zbudować nową wersję Signala i opublikować jako aktualizację w sklepie Play albo AppStore. Jeśli ta osoba wypuści aktualizację wysyłającą nieszyfrowane kopie gdzieś indziej, to najbezpieczniejsze klucze nic nie pomogą.” - w sumie też dobre pytanie, służby mają taką możliwość? Ja bym stawiała raczej na to, że będą kombinować pegasusem. Mając dostęp do smartfona mają dostęp do komunikatorów

          • gfle
            link
            fedilink
            1
            edit-2
            1 year ago
            • Conversations: XMPP z Omemo. Nie wymaga numeru telefonu.
            • Briar: jak najbardziej szyfrowany, co więcej: działa po Torze, bez centralnego serwera. Nie wymaga nawet internetu.

            w sumie też dobre pytanie, służby mają taką możliwość?

            No właśnie na tym polega moje pytanie: czy jeśli ktoś wejdzie do domu twórców i zarekwiruje ich komputery, to czy jest w stanie za ich pomocą taki myk wykonać. A tak szczerze to nie wiem jak się przed taką sytuacją bronić inaczej niż “każdy samodzielnie buduje kod analizując za każdym razem zmiany”, a i to nie daje gwarancji, że się czegoś nie przeoczy.

            • @didleth@szmer.infoOP
              link
              fedilink
              11 year ago

              Jeśli wejdzie do domu twórców, to imo jak najbardziej jest w stanie. Wszystko będzie na ich komputerach. Powiedzmy, że twórca wymaga weryfikacji smsem - to ktoś wyśle sms na jego telefon, który i tak będzie w ręku służb itp…

            • @miklo@szmer.infoM
              link
              fedilink
              1
              edit-2
              1 year ago

              Z zderzeniu z siłą państwa i jego służb nie ma takich strategii, które gwarantują pełne bezpieczęństwo/prywatność komunikacji ale pewne wybory dają wieksze szanse niż inne. Np decentralizacja wszystkiego co możliwe - od architektury komunikatora po infrastrukturę i po jego rozwijanie. Wejście (obojętnie czy siłowe czy przy pomocy jakiś technik inwigilacji) do domu twórców nic słuzbom nie da jeśli twórcy nie kontrolują dostępu do serwerów a w proces budowy (otwartego!) oprogramowania jest zangażowanych więcej ludzi, którzy mają oczy na każdą zmianę. Nie można tak po prostu “zamknać komunikatora” pojedynczą akcją policji jeżeli będzie spełniać w/w postulaty. To nie znaczy ,że państwo jest zupełnie bezradne w takiej sytuacji ale żeby mogło zrobić “coś” to musi uruchomić środki, które wykraczają poza proste użycie technik operacyjnych. Czyli np będzie uruchamiać jakes działania legislacyjne, polityczne, które po pierwsze trwają, a po drugie ich skutki uderzają rykoszetem we wszystkich, którzy używają podobnych narzędzi w dobrej wierze. Bo zazwyczaj pomysły polityków/służb polegają na traktowaniu ludzi zbiorowo jako z góry podejrzanych. No a takie podejście jest jednak ryzykowne dla władzy w systemach demokratycznych. “Kryminalizacja szyfrowania” w praktyce wymagałaby takiej kontroli służb państwa nad życiem obywateli i infrastrukturą techniczną, że to by było do zrealizowania - może jedynie w Korei Północnej.