Link alla notizia: https://www.hwupgrade.it/news/telefonia/whatsapp-paragon-solutions-e-la-questione-delle-persone-spiate-cosa-sta-succedendo_135430.html

Lo scandalo Graphite in Italia: spyware israeliano usato contro giornalisti e attivisti solleva questioni su privacy e sicurezza nazionale, provocando una crisi diplomatica e dibattito politico.

Click sul link per visualizzare la notizia.

Sarebbe bello capire se sfrutta una volnerabilita di whatsapp, una backdoor lasciuata paerta da maeta e su quali piattaforme il SW spia funziona. Apple e android dovrebbero offrire diversi tipi di protezioni per evitare spyware del genere.

Si vero, sarebbe interessante che metodo sia usato per infettare e per colpa di quale software o tutti gli SO, ecc.. per curiosita', ma mi sa che non lo diranno mai (fino a che questi metodi funzionano)

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p" :rolleyes:

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

Il caso Snowden credevo fosse un qualcosa di mainstream, evidentemente mi sbagliavo.

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p" :rolleyes:

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

È ovvio che se uno smartphone viene violato tutto il suo contenuto è accessibile.
Ciò comunque non rende inutile la crittografia.

È ovvio che se uno smartphone viene violato tutto il suo contenuto è accessibile.
Ciò comunque non rende inutile la crittografia.

Concordo.
Tuttavia, almeno a livello di utenza comune, siamo in una situazione di pura "SICUREZZA ILLUSORIA"

I software di spionaggio seri, sviluppati ad alti livelli e non certo di diffusione comune, ci "attraversano" come fantasmi. Nenache ci accorgiamo e tutti i nostri dati sono a disposizione.

Concordo.
Tuttavia, almeno a livello di utenza comune, siamo in una situazione di pura "SICUREZZA ILLUSORIA"

I software di spionaggio seri, sviluppati ad alti livelli e non certo di diffusione comune, ci "attraversano" come fantasmi. Nenache ci accorgiamo e tutti i nostri dati sono a disposizione.
Esattamente come una cassaforte o serratura seria è inutile se ti arriva un ladro altamente specializzato.
Quindi, lasciamo aperte le porte di casa e i soldi in bella vista sulla credenza?

Copio incollo da questa news

https://www.hwupgrade.it/news/web/caso-spyware-graphite-cosi-un-software-israeliano-ha-violato-telefoni-di-giornalisti-e-attivisti-italiani_135439.html

" sfrutta vulnerabilità zero-click: basta aggiungere un numero a una chat WhatsApp e inviare un file PDF non aperto dall’utente. "

Quindi sembrerebbe che tutti gli utilizzatori di WhatsApp siano a rischio

Esattamente come una cassaforte o serratura seria è inutile se ti arriva un ladro altamente specializzato.
Quindi, lasciamo aperte le porte di casa e i soldi in bella vista sulla credenza?

Certo che no.
Ma vista l'enorme facilità con cui strumenti di livello sicurmante avanzato riscono ad entrare indisturbati e non rilevati nei nostri dati personali credo sia palese che la nostra "sicurezza" è davvero illusoria anche a voler fare le cose come si deve.

Certo che no.
Ma vista l'enorme facilità con cui strumenti di livello sicurmante avanzato riscono ad entrare indisturbati e non rilevati nei nostri dati personali credo sia palese che la nostra "sicurezza" è davvero illusoria anche a voler fare le cose come si deve.
Beh, usare Whatsapp non è fare le cose come si deve...
Ognuno dovrebbe avere il suo "threat model", e attivisti e giornalisti dovrebbero usare altro...

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p" :rolleyes:

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

Oppure dà la misura di quanto ci sia ancora da lavorare e di quanta poca sensibilità e attenzione si pone sull'argomento privacy.

In ogni caso è necessario conoscere i dettagli tecnici della falla per capire meglio di cosa si tratta.

Purtroppo gli Zero Day esistono e vengono sfruttati proprio in questo modo.

Dopodiché pensare che un privato qualsiasi possa difendersi al 100% da un governo nazionale è un po' difficile.

Con ogni versione nuova di Android spuntano limitazioni alle app perché non possano fare più nulla di utile ad un power user (l'ultima i MAC bloccati nelle scansioni di rete) però questi fanno quello che vogliono impunemente.

Beh, usare Whatsapp non è fare le cose come si deve...
Ognuno dovrebbe avere il suo "threat model", e attivisti e giornalisti dovrebbero usare altro...

eh grazie.
più facile a dirsi che a farsi.

se fai il giornalista o qualsiasi altro mestiere dove devi interagire con altre persone strumenti come WA sono praticamente obbligatori.

Usare "altro" cosa? perchè pur avendo "altro" (ammesso e non concesso che sia sicuro) poi come fai se il resto della gente non ce l'ha?

Anche Signal era compromesso quindi non vedo “altro” usabile perché più sicuro. La realtà è che nei fatti sono tutti bucabili … o già bucati …

Anche Signal era compromesso quindi non vedo “altro” usabile perché più sicuro. La realtà è che nei fatti sono tutti bucabili … o già bucati …

Bisogna distinguere le falle note e corrette con aggiornamento, dagli Zero Day.

Per i secondi non ci si può fare nulla a prescindere, se non scrivere poco codice e scriverlo molto bene.

Ovvero il contrario dell'andazzo dell'ingegneria software degli ultimi 20/30 anni, dove si usano tonnellate di dipendenze/librerie esterne senza sapere neanche cosa fanno e quali buchi hanno.

Ma tanto basta "riutilizzare codice" no? :rolleyes:

In ogni caso, tolti gli aspetti matematici e crittografici, ciò che rimane è l'implementazione. Si può scegliere di puntare ad una implementazione molto semplice che fa solo il suo dovere oppure ad una più complessa con tonnellate di features inutili. E non bisogna meravigliarsi se software complessi hanno bug, perché è nella loro natura.

eh grazie.
più facile a dirsi che a farsi.

se fai il giornalista o qualsiasi altro mestiere dove devi interagire con altre persone strumenti come WA sono praticamente obbligatori.

Usare "altro" cosa? perchè pur avendo "altro" (ammesso e non concesso che sia sicuro) poi come fai se il resto della gente non ce l'ha?
Dipende da cosa devi farci.
Se il giornalista deve scrivere pezzi di cronaca locale, può anche usare WA per interfacciarsi con i vari contatti.
Ma se comincia a fare una qualsiasi inchiesta spinosa... beh, poco importa se gli altri usano WA, devi mandarmi qualcosa di delicato, me lo mandi con altri canali più sicuri.
WA penso sia proprio la più pigra tra le soluzioni, quella che "tanto ce l'hanno tutti e allora la uso anch'io", se un giornalista/attivista usa WA per le questioni importanti, mi tocca dire che quello non ci capisce niente...

Dipende da cosa devi farci.
Se il giornalista deve scrivere pezzi di cronaca locale, può anche usare WA per interfacciarsi con i vari contatti.
Ma se comincia a fare una qualsiasi inchiesta spinosa... beh, poco importa se gli altri usano WA, devi mandarmi qualcosa di delicato, me lo mandi con altri canali più sicuri.
WA penso sia proprio la più pigra tra le soluzioni, quella che "tanto ce l'hanno tutti e allora la uso anch'io", se un giornalista/attivista usa WA per le questioni importanti, mi tocca dire che quello non ci capisce niente...

Eh.. non saprei.
IN TEORIA dovrebbe essere criptato peer to peer e quindi IN TEORIA dovrebbe essere un canale sicuro.
IN TEORIA dovrebbero esserlo telegram, signal ecc.

In pratica se li pippano in un attimo con i software di ditte specializzate.

A questo punto cosa intendi per canale sicuro?
Perchè ritengo che pure un comune PC coi comuni servizi internet sia facilmente bucabile al pri di WA e compagnia.

Eh.. non saprei.
IN TEORIA dovrebbe essere criptato peer to peer e quindi IN TEORIA dovrebbe essere un canale sicuro.
IN TEORIA dovrebbero esserlo telegram, signal ecc.

No, WA non è peer to peer. Forse intendevi crittografato end-to-end...
Ma non è così semplice.
Intanto ricordiamoci che WA è di proprietà di una azienda che vive sulla vendita di dati personali, quindi non mi meraviglierei se un giorno venisse fuori che WA ha una backdoor voluta per l'accesso alle conversazioni, che passi "a monte" della crittografia. E' un'app chiusa, e già questo dovrebbe essere un grosso NO per un uso in ambiti delicati.
Sicuro si sa che WA colleziona tutti i metadati, che non sono crittografati, e possono dire di una conversazione anche più di quello che dice il contenuto stesso dei messaggi.
Ogni messaggio di WA ha poi la voce "segnala", che lo invia (testo o foto che sia) in chiaro ai moderatori di WA per leggerlo... Basta un attimo perché il tuo interlocutore invii la conversazione a Meta, magari anche per sbaglio.
Aggiungiamo poi le pratiche non sicure adottate dall'azienda, come la possibilità di iscrivere un utente ad un gruppo a sua insaputa, come mi pare succeda nella suddetta tecnica per spiarle...
Fino a poche settimane fa, mi pare WA non fosse neanche mai stato sottoposto ad audit di sicurezza, che comunque ha rilevato delle falle nel sistema di crittografia.
Poi, se vuoi, aggiungiamoci anche il fatto che essendo il sistema più diffuso, è anche il più preso di mira per la ricerca di falle...

In pratica se li pippano in un attimo con i software di ditte specializzate.

Dipende sempre da come sono fatti.
Truecrypt, un software di crittografia, è stato chiuso da un giorno all'altro nonostante fosse in pieno sviluppo. "Si dice" gli sviluppatori siano stati costretti a farlo chiudere da qualche grossa agenzia che non era in grado di violare il suo sistema...

A questo punto cosa intendi per canale sicuro?
Perchè ritengo che pure un comune PC coi comuni servizi internet sia facilmente bucabile al pri di WA e compagnia.
Non so, anche Signal è sicuramente meglio di WA.
Meglio ancora SimpleX, Session, Briar, Element... ognuno con i suoi difetti, ma sicuramente migliore di WA...

No, WA non è peer to peer. Forse intendevi crittografato end-to-end...
Ma non è così semplice.
Intanto ricordiamoci che WA è di proprietà di una azienda che vive sulla vendita di dati personali, quindi non mi meraviglierei se un giorno venisse fuori che WA ha una backdoor voluta per l'accesso alle conversazioni, che passi "a monte" della crittografia. E' un'app chiusa, e già questo dovrebbe essere un grosso NO per un uso in ambiti delicati.
Sicuro si sa che WA colleziona tutti i metadati, che non sono crittografati, e possono dire di una conversazione anche più di quello che dice il contenuto stesso dei messaggi.
Ogni messaggio di WA ha poi la voce "segnala", che lo invia (testo o foto che sia) in chiaro ai moderatori di WA per leggerlo... Basta un attimo perché il tuo interlocutore invii la conversazione a Meta, magari anche per sbaglio.
Aggiungiamo poi le pratiche non sicure adottate dall'azienda, come la possibilità di iscrivere un utente ad un gruppo a sua insaputa, come mi pare succeda nella suddetta tecnica per spiarle...
Fino a poche settimane fa, mi pare WA non fosse neanche mai stato sottoposto ad audit di sicurezza, che comunque ha rilevato delle falle nel sistema di crittografia.
Poi, se vuoi, aggiungiamoci anche il fatto che essendo il sistema più diffuso, è anche il più preso di mira per la ricerca di falle...

Dipende sempre da come sono fatti.
Truecrypt, un software di crittografia, è stato chiuso da un giorno all'altro nonostante fosse in pieno sviluppo. "Si dice" gli sviluppatori siano stati costretti a farlo chiudere da qualche grossa agenzia che non era in grado di violare il suo sistema...

Non so, anche Signal è sicuramente meglio di WA.
Meglio ancora SimpleX, Session, Briar, Element... ognuno con i suoi difetti, ma sicuramente migliore di WA...

Si intendevo crittografato end to end.. ops. :p
Comunque resta sempre alla base il fatto che WA ce l'hanno tutti mentre gli altri che hai citato li usano in pochi..
Il problema di un messenger è che deve essere usato da te ma pure da chi vuoi contattare..

Si intendevo crittografato end to end.. ops. :p
Comunque resta sempre alla base il fatto che WA ce l'hanno tutti mentre gli altri che hai citato li usano in pochi..
Il problema di un messenger è che deve essere usato da te ma pure da chi vuoi contattare..
Sì, ma ne puoi usare anche più di uno.
Puoi usare WA con i contatti di lavoro, e Signal con i tuoi familiari per inviare dati personali.
Un giornalista potrebbe avere WA per le conversazioni comuni con più contatti possibili, ed usare (ed imporre all'altro di usare) un'alternativa per conversazioni rilevanti.

Una volta c'erano pur gli sms che avevano tutti quanti, ma son sicuro che un giornalista non si sarebbe azzardato ad usarli per questioni importanti solo perché ce li hanno tutti...

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p" :rolleyes:

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

Scusa, stai facendo una campagna contro la privacy? Vuoi sostenere che è inutile e che quindi dobbiamo tutti mostrarci nudi? Vuoi che le aziende e i governi possano controllare tutto quello che fai?

Perché se tu affermassi che non è possibile prevedere tutto, ti si potrebbe anche dare ragione. Ma come ti stai presentando in realtà affermi che, dato che esistono dei casi limite, qualsiasi protezione è inutile per ognuno di noi.

Non capisci che una protezione, anche limitata, è comunque meglio di nessuna protezione? Mi sembra che il tuo approccio apodittico sia o stupido o in malafede per sostenere qualcos'altro. Non so: vuoi uno stato totalitario?

No, sta solo dicendo che quelli che pensano di essere tranquilli perché gli viene detto che i loro messaggio sono criptati, in effetti NON LO DEVONO ESSERE, figuriamoci poi con un'app gestita da Zuckerberg.

Scusa, stai facendo una campagna contro la privacy? Vuoi sostenere che è inutile e che quindi dobbiamo tutti mostrarci nudi? Vuoi che le aziende e i governi possano controllare tutto quello che fai?

Perché se tu affermassi che non è possibile prevedere tutto, ti si potrebbe anche dare ragione. Ma come ti stai presentando in realtà affermi che, dato che esistono dei casi limite, qualsiasi protezione è inutile per ognuno di noi.

Non capisci che una protezione, anche limitata, è comunque meglio di nessuna protezione? Mi sembra che il tuo approccio apodittico sia o stupido o in malafede per sostenere qualcos'altro. Non so: vuoi uno stato totalitario?

leggi pure i post a seguire

Qui si sta facendo confusione.

Il problema non nasce dal fatto che WA non stabilisca un canale sicuro, ma dal fatto che l'applicazione WA aveva (ha?) una vulnerabilità Zero Day che è stata sfruttata per installare *sul dispositivo* della vittima un trojan.

Chiaro che se il dispositivo è compromesso non c'è app o sistema che possa definirsi "sicuro" o canale "sicuro", perché i dati li osservo/prelevo prima ancora che possano viaggiare sul canale stesso.

esatto WA è solo la porta da cui hanno fatto entrare il cavallo di troia

quindi chi svolge lavori delicati dovrebbe avere più dispositivi e magari anche più numeri di telefono

Qui si sta facendo confusione.

Il problema non nasce dal fatto che WA non stabilisca un canale sicuro, ma dal fatto che l'applicazione WA aveva (ha?) una vulnerabilità Zero Day che è stata sfruttata per installare *sul dispositivo* della vittima un trojan.

Chiaro che se il dispositivo è compromesso non c'è app o sistema che possa definirsi "sicuro" o canale "sicuro", perché i dati li osservo/prelevo prima ancora che possano viaggiare sul canale stesso.
Esatto.
La crittografia E2E non vale niente, se la conversazione è compromessa prima di essere crittografata.