WhatsApp, Paragon Solutions e la questione delle persone spiate. Cosa sta succedendo?

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...do_135430.html

Lo scandalo Graphite in Italia: spyware israeliano usato contro giornalisti e attivisti solleva questioni su privacy e sicurezza nazionale, provocando una crisi diplomatica e dibattito politico.

Click sul link per visualizzare la notizia.

[emanuele83]

Sarebbe bello capire se sfrutta una volnerabilita di whatsapp, una backdoor lasciuata paerta da maeta e su quali piattaforme il SW spia funziona. Apple e android dovrebbero offrire diversi tipi di protezioni per evitare spyware del genere.

[UtenteHD]

Si vero, sarebbe interessante che metodo sia usato per infettare e per colpa di quale software o tutti gli SO, ecc.. per curiosita', ma mi sa che non lo diranno mai (fino a che questi metodi funzionano)

[demon77]

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p"

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

[Unknown84]

Il caso Snowden credevo fosse un qualcosa di mainstream, evidentemente mi sbagliavo.

[Ataru224]

Quote:

Originariamente inviato da demon77

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p"

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

È ovvio che se uno smartphone viene violato tutto il suo contenuto è accessibile.
Ciò comunque non rende inutile la crittografia.

[demon77]

Quote:

Originariamente inviato da Ataru224

È ovvio che se uno smartphone viene violato tutto il suo contenuto è accessibile.
Ciò comunque non rende inutile la crittografia.

Concordo.
Tuttavia, almeno a livello di utenza comune, siamo in una situazione di pura "SICUREZZA ILLUSORIA"

I software di spionaggio seri, sviluppati ad alti livelli e non certo di diffusione comune, ci "attraversano" come fantasmi. Nenache ci accorgiamo e tutti i nostri dati sono a disposizione.

[marcram]

Quote:

Originariamente inviato da demon77

Concordo.
Tuttavia, almeno a livello di utenza comune, siamo in una situazione di pura "SICUREZZA ILLUSORIA"

I software di spionaggio seri, sviluppati ad alti livelli e non certo di diffusione comune, ci "attraversano" come fantasmi. Nenache ci accorgiamo e tutti i nostri dati sono a disposizione.

Esattamente come una cassaforte o serratura seria è inutile se ti arriva un ladro altamente specializzato.
Quindi, lasciamo aperte le porte di casa e i soldi in bella vista sulla credenza?

[ciokele]

Copio incollo da questa news

https://www.hwupgrade.it/news/web/ca...ni_135439.html

" sfrutta vulnerabilità zero-click: basta aggiungere un numero a una chat WhatsApp e inviare un file PDF non aperto dall’utente. "

Quindi sembrerebbe che tutti gli utilizzatori di WhatsApp siano a rischio

[demon77]

Quote:

Originariamente inviato da marcram

Esattamente come una cassaforte o serratura seria è inutile se ti arriva un ladro altamente specializzato.
Quindi, lasciamo aperte le porte di casa e i soldi in bella vista sulla credenza?

Certo che no.
Ma vista l'enorme facilità con cui strumenti di livello sicurmante avanzato riscono ad entrare indisturbati e non rilevati nei nostri dati personali credo sia palese che la nostra "sicurezza" è davvero illusoria anche a voler fare le cose come si deve.

[marcram]

Quote:

Originariamente inviato da demon77

Certo che no.
Ma vista l'enorme facilità con cui strumenti di livello sicurmante avanzato riscono ad entrare indisturbati e non rilevati nei nostri dati personali credo sia palese che la nostra "sicurezza" è davvero illusoria anche a voler fare le cose come si deve.

Beh, usare Whatsapp non è fare le cose come si deve...
Ognuno dovrebbe avere il suo "threat model", e attivisti e giornalisti dovrebbero usare altro...

[WarDuck]

Quote:

Originariamente inviato da demon77

Ciao,
volevo fare un caloroso saluto a tutti i fanatici della privacy "super criptrato p to p"

Questa news da la misura di qunto potete allegramente detergervi il deretano con tutte le segovie criptopalle che vi fanno credere di essere al sicuro.

Oppure dà la misura di quanto ci sia ancora da lavorare e di quanta poca sensibilità e attenzione si pone sull'argomento privacy.

In ogni caso è necessario conoscere i dettagli tecnici della falla per capire meglio di cosa si tratta.

Purtroppo gli Zero Day esistono e vengono sfruttati proprio in questo modo.

Dopodiché pensare che un privato qualsiasi possa difendersi al 100% da un governo nazionale è un po' difficile.

[virtualdj]

Con ogni versione nuova di Android spuntano limitazioni alle app perché non possano fare più nulla di utile ad un power user (l'ultima i MAC bloccati nelle scansioni di rete) però questi fanno quello che vogliono impunemente.

[demon77]

Quote:

Originariamente inviato da marcram

Beh, usare Whatsapp non è fare le cose come si deve...
Ognuno dovrebbe avere il suo "threat model", e attivisti e giornalisti dovrebbero usare altro...

eh grazie.
più facile a dirsi che a farsi.

se fai il giornalista o qualsiasi altro mestiere dove devi interagire con altre persone strumenti come WA sono praticamente obbligatori.

Usare "altro" cosa? perchè pur avendo "altro" (ammesso e non concesso che sia sicuro) poi come fai se il resto della gente non ce l'ha?

[Enderedge]

Anche Signal era compromesso quindi non vedo “altro” usabile perché più sicuro. La realtà è che nei fatti sono tutti bucabili … o già bucati …

[WarDuck]

Quote:

Originariamente inviato da Enderedge

Anche Signal era compromesso quindi non vedo “altro” usabile perché più sicuro. La realtà è che nei fatti sono tutti bucabili … o già bucati …

Bisogna distinguere le falle note e corrette con aggiornamento, dagli Zero Day.

Per i secondi non ci si può fare nulla a prescindere, se non scrivere poco codice e scriverlo molto bene.

Ovvero il contrario dell'andazzo dell'ingegneria software degli ultimi 20/30 anni, dove si usano tonnellate di dipendenze/librerie esterne senza sapere neanche cosa fanno e quali buchi hanno.

Ma tanto basta "riutilizzare codice" no?

In ogni caso, tolti gli aspetti matematici e crittografici, ciò che rimane è l'implementazione. Si può scegliere di puntare ad una implementazione molto semplice che fa solo il suo dovere oppure ad una più complessa con tonnellate di features inutili. E non bisogna meravigliarsi se software complessi hanno bug, perché è nella loro natura.

[marcram]

Quote:

Originariamente inviato da demon77

eh grazie.
più facile a dirsi che a farsi.

se fai il giornalista o qualsiasi altro mestiere dove devi interagire con altre persone strumenti come WA sono praticamente obbligatori.

Usare "altro" cosa? perchè pur avendo "altro" (ammesso e non concesso che sia sicuro) poi come fai se il resto della gente non ce l'ha?

Dipende da cosa devi farci.
Se il giornalista deve scrivere pezzi di cronaca locale, può anche usare WA per interfacciarsi con i vari contatti.
Ma se comincia a fare una qualsiasi inchiesta spinosa... beh, poco importa se gli altri usano WA, devi mandarmi qualcosa di delicato, me lo mandi con altri canali più sicuri.
WA penso sia proprio la più pigra tra le soluzioni, quella che "tanto ce l'hanno tutti e allora la uso anch'io", se un giornalista/attivista usa WA per le questioni importanti, mi tocca dire che quello non ci capisce niente...

[demon77]

Quote:

Originariamente inviato da marcram

Dipende da cosa devi farci.
Se il giornalista deve scrivere pezzi di cronaca locale, può anche usare WA per interfacciarsi con i vari contatti.
Ma se comincia a fare una qualsiasi inchiesta spinosa... beh, poco importa se gli altri usano WA, devi mandarmi qualcosa di delicato, me lo mandi con altri canali più sicuri.
WA penso sia proprio la più pigra tra le soluzioni, quella che "tanto ce l'hanno tutti e allora la uso anch'io", se un giornalista/attivista usa WA per le questioni importanti, mi tocca dire che quello non ci capisce niente...

Eh.. non saprei.
IN TEORIA dovrebbe essere criptato peer to peer e quindi IN TEORIA dovrebbe essere un canale sicuro.
IN TEORIA dovrebbero esserlo telegram, signal ecc.

In pratica se li pippano in un attimo con i software di ditte specializzate.

A questo punto cosa intendi per canale sicuro?
Perchè ritengo che pure un comune PC coi comuni servizi internet sia facilmente bucabile al pri di WA e compagnia.

[marcram]

Quote:

Originariamente inviato da demon77

Eh.. non saprei.
IN TEORIA dovrebbe essere criptato peer to peer e quindi IN TEORIA dovrebbe essere un canale sicuro.
IN TEORIA dovrebbero esserlo telegram, signal ecc.

No, WA non è peer to peer. Forse intendevi crittografato end-to-end...
Ma non è così semplice.
Intanto ricordiamoci che WA è di proprietà di una azienda che vive sulla vendita di dati personali, quindi non mi meraviglierei se un giorno venisse fuori che WA ha una backdoor voluta per l'accesso alle conversazioni, che passi "a monte" della crittografia. E' un'app chiusa, e già questo dovrebbe essere un grosso NO per un uso in ambiti delicati.
Sicuro si sa che WA colleziona tutti i metadati, che non sono crittografati, e possono dire di una conversazione anche più di quello che dice il contenuto stesso dei messaggi.
Ogni messaggio di WA ha poi la voce "segnala", che lo invia (testo o foto che sia) in chiaro ai moderatori di WA per leggerlo... Basta un attimo perché il tuo interlocutore invii la conversazione a Meta, magari anche per sbaglio.
Aggiungiamo poi le pratiche non sicure adottate dall'azienda, come la possibilità di iscrivere un utente ad un gruppo a sua insaputa, come mi pare succeda nella suddetta tecnica per spiarle...
Fino a poche settimane fa, mi pare WA non fosse neanche mai stato sottoposto ad audit di sicurezza, che comunque ha rilevato delle falle nel sistema di crittografia.
Poi, se vuoi, aggiungiamoci anche il fatto che essendo il sistema più diffuso, è anche il più preso di mira per la ricerca di falle...

Quote:

In pratica se li pippano in un attimo con i software di ditte specializzate.

Dipende sempre da come sono fatti.
Truecrypt, un software di crittografia, è stato chiuso da un giorno all'altro nonostante fosse in pieno sviluppo. "Si dice" gli sviluppatori siano stati costretti a farlo chiudere da qualche grossa agenzia che non era in grado di violare il suo sistema...

Quote:

A questo punto cosa intendi per canale sicuro?
Perchè ritengo che pure un comune PC coi comuni servizi internet sia facilmente bucabile al pri di WA e compagnia.

Non so, anche Signal è sicuramente meglio di WA.
Meglio ancora SimpleX, Session, Briar, Element... ognuno con i suoi difetti, ma sicuramente migliore di WA...

[demon77]

Quote:

Originariamente inviato da marcram

No, WA non è peer to peer. Forse intendevi crittografato end-to-end...
Ma non è così semplice.
Intanto ricordiamoci che WA è di proprietà di una azienda che vive sulla vendita di dati personali, quindi non mi meraviglierei se un giorno venisse fuori che WA ha una backdoor voluta per l'accesso alle conversazioni, che passi "a monte" della crittografia. E' un'app chiusa, e già questo dovrebbe essere un grosso NO per un uso in ambiti delicati.
Sicuro si sa che WA colleziona tutti i metadati, che non sono crittografati, e possono dire di una conversazione anche più di quello che dice il contenuto stesso dei messaggi.
Ogni messaggio di WA ha poi la voce "segnala", che lo invia (testo o foto che sia) in chiaro ai moderatori di WA per leggerlo... Basta un attimo perché il tuo interlocutore invii la conversazione a Meta, magari anche per sbaglio.
Aggiungiamo poi le pratiche non sicure adottate dall'azienda, come la possibilità di iscrivere un utente ad un gruppo a sua insaputa, come mi pare succeda nella suddetta tecnica per spiarle...
Fino a poche settimane fa, mi pare WA non fosse neanche mai stato sottoposto ad audit di sicurezza, che comunque ha rilevato delle falle nel sistema di crittografia.
Poi, se vuoi, aggiungiamoci anche il fatto che essendo il sistema più diffuso, è anche il più preso di mira per la ricerca di falle...

Dipende sempre da come sono fatti.
Truecrypt, un software di crittografia, è stato chiuso da un giorno all'altro nonostante fosse in pieno sviluppo. "Si dice" gli sviluppatori siano stati costretti a farlo chiudere da qualche grossa agenzia che non era in grado di violare il suo sistema...

Non so, anche Signal è sicuramente meglio di WA.
Meglio ancora SimpleX, Session, Briar, Element... ognuno con i suoi difetti, ma sicuramente migliore di WA...

Si intendevo crittografato end to end.. ops.
Comunque resta sempre alla base il fatto che WA ce l'hanno tutti mentre gli altri che hai citato li usano in pochi..
Il problema di un messenger è che deve essere usato da te ma pure da chi vuoi contattare..