Facebook, arrivano le conversazioni segrete (ed effimere) per tutti gli utenti

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/web/fac...nti_64952.html

Dopo WhatsApp arriva la sicurezza della crittografia anche per Facebook Messenger. Attivabile sulle chat segrete, nessuno potrà leggere alcun messaggio se non i partecipanti. Ecco come funziona

Click sul link per visualizzare la notizia.

[songohan]

Facebook e segretezza non vanno tanto bene insieme.
Se volete parlare in segreto, usate Signal della Open Whispers System.

[postillo]

ma perchè? guarda che anche Whatsapp ha la crittografia end2end e le chiavi sono sui client

[ComputArte]

MA BASTA CON STA STR...aordinaria favola che la criptazione nd-to-end sia sicura e che "solo mittente e destinatario vedranno in chiaro il messaggio"...NEMMENO FB STESSO!!!!

Ma la smettiamo di dare informazioni pubblicitarie!!!!!!!

Constati i permessi che le app riescono ad ESTORCERE grazie al sistema operativo ingegnerizzato per raccogliere quanti più dati possibili NON è un peccato mortale che GOOGLE e APPLE ( mettiamoci anche gli asiatici con TIZEN ) lascino le porticine di servizio aperte dalle quali si entra nel "client" e si ricostruisce il puzzle... rastrellando la chiave privata insieme a quella pubblica.

Naturalmente chi difenderà a spada tratta la "PUBBLICITA'" di queste aziende non può, se intellettualmente onesto e tecnicamente preparato, escludere questa "possibilità"....e visto che si tratta di aziende che hanno fatto la loro fortuna ( TUTTE le OTT ) sulla raccolta indiscriminata e continuativa dei dati, fare questo peccatuccio è ...sacrosanto ;-)

[matteop3]

Quote:

Certo la scelta o meno di utilizzare la crittografia end-to-end ha creato alcune critiche nei confronti di Facebook e dei suoi ingegneri. In molti, infatti, hanno fatto presente che la maggior parte degli utenti non utilizzerà tale sistema per il fatto che non dispone delle competenze necessarie per comprendere l'importanza della crittografia e dunque continuerà ad utilizzare le classiche chat di Messenger. Insomma una scelta non completamente accettata che speriamo possa comunque apportare maggiore sicurezza tra gli utenti che la utilizzeranno.

Tutto giusto. E' la stessa critica che si è sempre fatta nei confronti di Telegram e Allo.

Da notare che anche le chat segrete di FbM utilizzano Signal Protocol; bene.

Quote:

Originariamente inviato da songohan

Facebook e segretezza non vanno tanto bene insieme.
Se volete parlare in segreto, usate Signal della Open Whispers System.

Quote:

Originariamente inviato da postillo

ma perchè? guarda che anche Whatsapp ha la crittografia end2end e le chiavi sono sui client

A livello puramente crittografico non farebbe differenza (utilizzano lo stesso identico protocollo), ma a livello di metadati raccolti non c'è paragone: https://twitter.com/whispersystems/s...25788883955713
Applausi per OWS.

[pingalep]

per me è una guerra da agenzie di spionaggio, tra usa che entra nelle chat criptate di whtsapp e fb e kgb che entra in quelle di telegram. non a caso servizi gratuiti

[evil weasel]

Signal è una porcheria anche peggio di whatsapp e simili, viene spacciato come sicuro e crittografato end-to-end quando poi utilizza GCM e semina metadati lungo tutto il tragitto.

[matteop3]

Quote:

Originariamente inviato da evil weasel

Signal è una porcheria anche peggio di whatsapp e simili, viene spacciato come sicuro e crittografato end-to-end quando poi utilizza GCM e semina metadati lungo tutto il tragitto.

Effettivamente Open Whisper Systems raccoglie tanti di quei dati personali da far schifo: https://twitter.com/whispersystems/s...25788883955713
Edit: mi sono accorto di averlo già linkato, quindi probabilmente avevi già letto, ma forse ne dubiti; perché?

Tutto ciò che Google sa tramite i GCM è che l'app X si è svegliata, stop; nessun contenuto della notifica o altro.

A volte mi chiedo su quali presupposti si basino giudizi così categorici e definitivi.

[evil weasel]

Quote:

Originariamente inviato da matteop3

Effettivamente Open Whisper Systems raccoglie tanti di quei dati personali da far schifo: https://twitter.com/whispersystems/s...25788883955713
Edit: mi sono accorto di averlo già linkato, quindi probabilmente avevi già letto, ma forse ne dubiti; perché?

Tutto ciò che Google sa tramite i GCM è che l'app X si è svegliata, stop; nessun contenuto della notifica o altro.

A volte mi chiedo su quali presupposti si basino giudizi così categorici e definitivi.

Certi guidizi così categorici si basano su dati oggettivi:
1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);
2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);
3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);
4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);
5. la discutibile scelta di utilizzare GCM al posto di websocket.

Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.

[Erotavlas_turbo]

Quote:

Originariamente inviato da evil weasel

Certi guidizi così categorici si basano su dati oggettivi:
1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);

Pienamente d'accordo.

Quote:

Originariamente inviato da evil weasel

2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);

Dipende da quale versione di android tu stia utilizzando. Se stai utilizzando AOSP o cyanogemod sono open source.

Quote:

Originariamente inviato da evil weasel

3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);

Non ho bene capito. Signal si appoggia a dei server di google? Da qui sembrerebbe solo per la parte voce. Veramente rimangono tutte queste tracce sul server?
Se si, meglio usare telegram a questo punto almeno è svincolato da google...

Quote:

Originariamente inviato da evil weasel

4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);

Magari vuole mantenere il controllo sul progetto principale. Data la licenza GPL chiunque può creare un nuovo client.

Quote:

Originariamente inviato da evil weasel

5. la discutibile scelta di utilizzare GCM al posto di websocket.

Qui viene spiegato il motivo dell'uso di GCM.
Ci sono vere alternative funzionanti?

Quote:

Originariamente inviato da evil weasel

Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.

Purtroppo comincio a pensarlo anch'io...
Alternative?

[matteop3]

Quote:

Originariamente inviato da evil weasel

1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);

Che non c'entra niente in questo discorso, dato che si parla di Signal che semplicemente utilizza una libreria Google, ma proseguendo si capirà perché.

Quote:

2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);

E cosa c'entrerebbe con Signal, dato che si parla semplicemente di GCM?

Quote:

3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);

Il grassettato è falso. Tramite GCM Google non ha modo di conoscere il contenuto di alcuna notifica, né l'origine del traffico. Queste palate di metadati che Google raccoglie tramite GCM sono semplicemente, come ti avevo già scritto, il wake up di un'app, stop; il massimo che possono dire è: Signal si è svegliato.

Quote:

4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);

La libera circolazione e implemetazione dei software sono una bellissima cosa, ma Moxie ha tra le sue argomentazioni l'evidenza che sarebbe altrimenti molto difficile offrire un servizio di tale qualità.

Quote:

5. la discutibile scelta di utilizzare GCM al posto di websocket.

L'utente prima ti ha linkato il motivo sul loro sito, ma qui Moxie articola ancora meglio: https://github.com/WhisperSystems/Si...oid/issues/127

Poi un interessante post sul perché OWS non permette l'utilizzo dei propri server ai fork di Signal: https://whispersystems.org/blog/the-...tem-is-moving/

Quote:

Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.

La cosa paradossale è che molti pensano che non utilizzare Signal perché richiede un account e qualche libreria Google sia una vittoria per la privacy, senza rendersi conto che - oltre al fatto che sono stati esposti precisi motivi perché sia così (vedi i link) - l'alternativa è utilizzare servizi che, in fatto di sicurezza e privacy, non si avvicinano nemmeno lontanamente a Signal.
Molti inneggiano a Telegram, ma avete visto la quantità di metadati che stora? Sapete che state parlando di un servizio cloud per la messaggistica personale? Sapete che NON è open source (visto che il server, che costituisce il 90% dell'infrastruttura, è closed source)? Sapete che si sono fatti IN CASA il proprio protocollo crittografico (rompendo la regola zero della crittografia)?

State sostanzialmente evitando di mangiare una torta squisita perché non vi piace l'amarena piazzata in cima.

[evil weasel]

Per installare signal serve avere installato le gapps sul telefono perchè Moxie sostanzialmente non permette di utilizzare la sua app in altro modo.
Oltre tutto, sbaglio o senza le gapps le app che richiedono GCM non funzionano? Non che cambi qualcosa visto che per installarlo l'unico modo è farlo dal play store.
L'alternativa a GCM ci sarebbe e si chiama websocket, e anzi, sarebbe l'unica scelta se davvero si avesse come focus la sicurezza senza compromessi.
Telegram è una porcata pazzesca anche lui ma non per questo Signal è meglio.

L'alternativa c'è da una vita e si chiama XMPP; con XEP-0198 diventa assolutamente utilizzabile anche da dispositivi mobile, sono presenti una varietà infinita di client e server (Conversation ed Ejabberd su tutti), supporta qualsiasi sistema di crittografia end-to-end (GPG, OTR ed Axolotl), ecc.

[matteop3]

Quote:

Originariamente inviato da evil weasel

baglio o senza le gapps le app che richiedono GCM non funzionano?

E' così.

Quote:

Non che cambi qualcosa visto che per installarlo l'unico modo è farlo dal play store.

Tecnicamente puoi anche compilarlo dal sorgente.

Piuttosto, rendere disponibili gli apk in giro per la rete (stile exe col desktop), invece di utilizzare uno store ufficiale e con verifica dell'identità e dell'integrità al download, quello sì che è un disastro per la sicurezza.

Quote:

L'alternativa a GCM ci sarebbe e si chiama websocket,e anzi, sarebbe l'unica scelta se davvero si avesse come focus la sicurezza senza compromessi.

Ma esattamente, da un punto di vista prettamente della sicurezza, qual è il problema nell'utilizzare GCM/APN, dato che Google e Apple non hanno modo di accedere ad alcun contenuto e metadato della notifica?
http://support.whispersystems.org/hc...d-my-messages-

A me pare semplicemente che tu non digerisca le Gapps, ma questo non è un problema di Signal. Che poi diciamocelo, è un problema giusto per quella manciata di utenti che utilizzano Android senza servizi Google, mentre lo scopo di Open Whisper Systems è rendere la messaggistica realmente privata, sicura e immedata per tutti, cosa che gli riesce effettivamente bene, fattene una ragione.

Quote:

Telegram è una porcata pazzesca anche lui ma non per questo Signal è meglio.

Obbiettivamente parlando, mettere sullo stesso piano Signal e Telegram quando si parla di sicurezza è, perdonami, da incompetenti o da fanatici; il tutto per le Gapps.

Quote:

L'alternativa c'è da una vita e si chiama XMPP; con XEP-0198 diventa assolutamente utilizzabile anche da dispositivi mobile, sono presenti una varietà infinita di client e server (Conversation ed Ejabberd su tutti), supporta qualsiasi sistema di crittografia end-to-end (GPG, OTR ed Axolotl), ecc.

Infatti si vede che successo e diffusione ha avuto XMPP, in cui è praticamente impossibile introdurre aggiornamenti critici perché non puoi essere sicuro che tutti i millemila client/fork utilizzati esistenti verranno aggiornati di conseguenza.

Tra l'altro, OTR è utilizzabile solo nella comunicazione sincrona (quindi non il caso della messaggistica istantanea), GPG è oggettivamente troppo complesso per essere utilizzato bene da tutti, mentre sul piano tecnico non supporta nemmeno forward secrecy.

Signal è al momento la scelta più solida e trasparente per messaggiare, collezionando una quantità risibile di dati personali (manco il numero di telefono in chiaro, hanno).

[evil weasel]

Sì, il punto è esattamente che non digerisco le gapps perchè sono uno spyware che mina la sicurezza del sistema operativo alla base, e questo è un dato oggettivo.
Se Signal richiede per funzionare che uno spyware sia installato nel telefono questo lo rende automaticamente non sicuro.
Mettere l'apk scaricabile liberamente dal proprio sito ufficiale o da fdroid non equivale a distribuire l'apk in giro a caso per la rete.
Cambierebbe comunque poco visto che websocket non le si vuole supportare e le gapps sarebbero comunque un requisito necessario al corretto funzionamento del tutto.
Queste sono tutta una serie di scelte discutibili mascherate dietro una presunta sicurezza e facilità di utilizzo che altro non fanno che minare la sicurezza dell'utente.

XMPP è alla base del protocollo proprietario usato da whatsapp, che se non ricordo male come server utilizza proprio una versione custom di ejabberd.
Non proprio una cagatina qualsiasi.
Ti sei dimenticato di Axolotl (a.k.a. OMEMO), stesso protocollo di cifratura end-to-end utilizzato da Signal, resistente alle connessioni ballerine e che funziona anche in caso uno dei due client sia down.
XMPP funzionare funziona, e lo fa anche bene, e questo posso dirlo per esperienza personale.
Se uno volesse implementare un servizio di messaggistica basato su XMPP basterebbe decidere che client supportare ed il gioco è fatto, chi usa altro sono affari suoi.

[Syk]

per qualche motivo diversamente noto mi appaiono gli sms su messenger nonostante gli abbia negato l'accesso

[matteop3]

Quote:

Originariamente inviato da evil weasel

Mettere l'apk scaricabile liberamente dal proprio sito ufficiale o da fdroid non equivale a distribuire l'apk in giro a caso per la rete.

Scaricare apk dai siti invece che dagli store è intrinsecamente più rischioso.
Tra l'altro Fdroid adotta un sistema di firme delle app completamente centralizzato (in pratica, le chiavi private per firmare le app sono in mano ai server di Fdroid, non dei singoli sviluppatori). Onestamente non ho capito il perché di questa politica. Semplicità?

Tra l'altro installare apk fuori dallo store richiede autorizzazioni aggiuntive che molte altre app potrebbero sfruttare malevolmente per installare software sul dispositivo.

Quote:

Queste sono tutta una serie di scelte discutibili mascherate dietro una presunta sicurezza e facilità di utilizzo che altro non fanno che minare la sicurezza dell'utente.

Tu stai sostanzialmente suggerendo di distribuire apk fuori dallo store (tornando al tragico modello desktop) per non usare GCM, mentre OWS sta minando la sicurezza degli utenti perché Signal non ha il supporto a websocket; va bene.

Comunque, se ritieni che OWS stia deliberatamente lasciando spazio agli "spioni", sono certo che ti renderai conto che senza un minimo di prove questo rimane una mera speculazione non supportata da fatti.

Quote:

XMPP è alla base del protocollo proprietario usato da whatsapp, che se non ricordo male come server utilizza proprio una versione custom di ejabberd.
Non proprio una cagatina qualsiasi.
Ti sei dimenticato di Axolotl (a.k.a. OMEMO), stesso protocollo di cifratura end-to-end utilizzato da Signal, resistente alle connessioni ballerine e che funziona anche in caso uno dei due client sia down.

Se intendi il protocollo crittografico, WhatsApp utilizza Signal Protocol (così come le chat segrete di Allo e FbM): https://whispersystems.org/blog/whatsapp-complete/

Difatti Signal ha modificato il protocollo e l'ha reso adatto al contesto asincrono, perché altrimenti non lo sarebbe stato: https://whispersystems.org/blog/asynchronous-security/

Ti sfido io ad usare, per esempio, Pidgin+OTR in un contesto asincrono come la messaggistica istantanea.

Quote:

XMPP funzionare funziona, e lo fa anche bene, e questo posso dirlo per esperienza personale.

Non ho mai detto che non funzioni sempre, ma solo che è inadatto per la comune messaggistica istantanea.

Quote:

Se uno volesse implementare un servizio di messaggistica basato su XMPP basterebbe decidere che client supportare ed il gioco è fatto, chi usa altro sono affari suoi.

Risultato: se tu, che utilizzi un client supportato, chatti con un utente con un client non supportato, la comunicazione diventa insicura anche per te.