Facebook down, Telegram guadagna milioni di utenti

[Ryddyck]

Quote:

Originariamente inviato da Nui_Mg

Spè, forse mi sono spiegato male: con numero usa e getta (ancora meno tracciabile di un fornitore di numeri virtuali) mi riferivo ad un qualcosa che personalmente uso da anni prevalentemente nell'utilizzo della messaggistica "di massa", telegram e a volte wa su tutti. E questo proprio perché voglio evitare il "leakage" dei provider mobili (quando ho citato "il verificato di persona" almeno con uno di loro) in ambito SIM/vero nome utente.
Certo, viene meno la possibilità di telefonare alla sim inesistente ma questo per me non è mai stato un problema.

Diverso è il discorso che facevo per avere privacy totale, o quasi, nelle comunicazioni di messaggistica, dove allora si ricorre a soluzioni diverse rispetto a telegram, wa, ecc.. Tu per esempio usi wire quando ne hai la necessità, io invece mi sono abituato da diverso tempo con signal.

Il problema è a quale servizio di numeri temporanei ti appoggi, soprattutto se gratuito. Molti di questi indirizzi vengono cambiati ogni tot giorni, altri vengono proprio riutilizzati a distanza di tempo (ne usai uno americano una volta per telegram, era rimasto un bot e guardando tra le connessioni figurava pure l'ip dell'ultimo utente).
Se poi sono servizi a pagamento c'è da considerare il metodo di pagamento usato.

Quote:

Originariamente inviato da Erotavlas_turbo

Non necessariamente. Esistono dei fornitori di numeri telefonici virtuali free (basta cercare) che ti permettono di registrare un utente su telegram e di utilizzarlo in modo anonimo.
Tuttavia, concordo sul fatto che per la riservatezza non ci sono alternative valide a wire e in parte a riot.im (threema è closed source).

Anche se Threema è a codice chiuso non significa mica che è peggio di quelli a codice aperto, tanto è vero che su Threema non hai nemmeno bisogno di una mail o di un numero per registrarti ma devi pur sempre pagare 3€ per acquistare l'app.

[Erotavlas_turbo]

Quote:

Originariamente inviato da Ryddyck

Anche se Threema è a codice chiuso non significa mica che è peggio di quelli a codice aperto, tanto è vero che su Threema non hai nemmeno bisogno di una mail o di un numero per registrarti ma devi pur sempre pagare 3€ per acquistare l'app.

Visti i vari scandali Prism, Vault, Xkeyscore, Echelon, Tempora, etc., utilizzare un'applicazione closed source, per una comunicazione sicura, richiede una grande dose di fiducia nei gestori del servizio.
Inoltre, secondo la maggior parte (tutti) gli esperti di sicurezza, il sistema deve essere aperto e noto (il nemico conosce il sistema) e la sicurezza non deve basarsi sulla non conoscenza dello stesso (security through obscurity).

[Ryddyck]

Quote:

Originariamente inviato da Erotavlas_turbo

Visti i vari scandali Prism, Vault, Xkeyscore, Echelon, Tempora, etc., utilizzare un'applicazione closed source, per una comunicazione sicura, richiede una grande dose di fiducia nei gestori del servizio.
Inoltre, secondo la maggior parte (tutti) gli esperti di sicurezza, il sistema deve essere aperto e noto (il nemico conosce il sistema) e la sicurezza non deve basarsi sulla non conoscenza dello stesso (security through obscurity).

Sicuramente, ma se da una parte hai una possibile presenza di una backdoor dall'altra parte non sai se vi è la presenza dello sfruttamento di exploit se non dopo parecchio tempo o audit (ce ne sono tanti di casi di falle trovate in applicazioni opensource che magari restano pure irrisolti perché il progetto viene abbandonato).

[Nui_Mg]

Quote:

Originariamente inviato da Ryddyck

Il problema è a quale servizio di numeri temporanei ti appoggi, soprattutto se gratuito. Molti di questi indirizzi vengono cambiati ogni tot giorni, altri vengono proprio riutilizzati a distanza di tempo (ne usai uno americano una volta per telegram, era rimasto un bot e guardando tra le connessioni figurava pure l'ip dell'ultimo utente).

Bisogna saper scegliere numero e numero (e varie prove se te lo vuoi tenere a lungo) e fare eventuali modifiche/controlli aggiuntivi consentiti dal servizio IM usato. Io uso da quasi sei anni il medesimo numero canadese e non ho mai avuto alcun problema/intromissione/conflitto.

[Erotavlas_turbo]

Quote:

Originariamente inviato da Ryddyck

Sicuramente, ma se da una parte hai una possibile presenza di una backdoor dall'altra parte non sai se vi è la presenza dello sfruttamento di exploit se non dopo parecchio tempo o audit (ce ne sono tanti di casi di falle trovate in applicazioni opensource che magari restano pure irrisolti perché il progetto viene abbandonato).

Stiamo parlando di software di comunicazione sicura e la trasparenza è un requisito imprescindibile soprattutto dopo gli scandali riportati sopra.
Qualunque progetto aperto o chiuso abbandonato è insicuro.
Tutte le applicazioni di comunicazione più famose aperte (Telegram, Wire, Signal) hanno ricevuto un audit di terze parte oltre a quello possibile da parte di chiunque con la sufficiente conoscenza. Telegram fornisce anche un contest per chi riesca a rompere la sua crittografia.
Ripeto nessun esperto di sicurezza consiglierebbe un'applicazione closed source.

[Nui_Mg]

Quote:

Originariamente inviato da Erotavlas_turbo

Signal purtroppo soffre di diversi problemi:

Tutti evitabili (non parlo di neofiti o meno, parlo di effettiva possibilità tecnica per chiunque abbia voglia/tempo).

Quote:

Originariamente inviato da Erotavlas_turbo

[*] Assenza di username ovvero la necessita di diffondere il proprio numero di telefono oltre tutta la propria rubrica.

Nessun problema, come già citato in precedenza non è difficile usare numero che non faccia capo a sim reale (come faccio io da anni).

Quote:

Originariamente inviato da Erotavlas_turbo

[*] Assenza di un'applicazione su f-droid (apk sul loro sito Web).

Mai usato f-droid e google service sui miei dispositivi tutti rootati: preferisco di gran lunga prendere l'apk a manina, o dal sito web del creatore o ancor meglio da due fonti che controllano approfonditamente la non presenza di virus/malware anche nelle app illegali ed eventualmente "moddate".
Per me è anche facile visto che su tutti i miei dispositivi uso pochissime applicazioni (che io ritengo le migliori per funzionalità e risorse occupate per ogni compito che il device deve/dovrà espletare).

Quote:

Originariamente inviato da Erotavlas_turbo

[*] Stretto legame con i servizi google play service (adesso risolto).

Come detto sopra, per me non sarebbe stato un problema nemmeno se non fosse stato risolto.

Piuttosto, non usando wire, non so se sia vero, stando alla solita comparazione di IM, che wire non crittografi completamente i metadati (come invece fa signal).

Quote:

Originariamente inviato da Erotavlas_turbo

Io sono completamente d'accordo con questo messaggio, Signal non è più da considerarsi affidabile.

Io no. Ne riparleremo se ad un prossimo appuntamento di analisi codice salterà fuori qualcosa di veramente grave/rimarchevole per la privacy e sicurezza. Io non ho alcun problema a cambiare.

[Ryddyck]

Quote:

Originariamente inviato da Nui_Mg

Bisogna saper scegliere numero e numero (e varie prove se te lo vuoi tenere a lungo) e fare eventuali modifiche/controlli aggiuntivi consentiti dal servizio IM usato. Io uso da quasi sei anni il medesimo numero canadese e non ho mai avuto alcun problema/intromissione/conflitto.

A sto punto son curioso, che servizio è? (mandami un mp se non lo vuoi spammare).

Quote:

Originariamente inviato da Erotavlas_turbo

Stiamo parlando di software di comunicazione sicura e la trasparenza è un requisito imprescindibile soprattutto dopo gli scandali riportati sopra.
Qualunque progetto aperto o chiuso abbandonato è insicuro.
Tutte le applicazioni di comunicazione più famose aperte (Telegram, Wire, Signal) hanno ricevuto un audit di terze parte oltre a quello possibile da parte di chiunque con la sufficiente conoscenza. Telegram fornisce anche un contest per chi riesca a rompere la sua crittografia.
Ripeto nessun esperto di sicurezza consiglierebbe un'applicazione closed source.

Secondo questa logica dovremmo tutti utilizzare software aperti, ma ciò non è possibile e bisogna mediare e accontentarsi di quel che c'è.
I programmi di bug bounty sono sempre cosa buona e giusta, ma se vi deve essere sempre un interesse economico mi chiedo che fine farà la comunità e progetti ambiziosi che magari non hanno le risorse dei più grandi (poi se sono delle no profit ancora peggio).

[LukeIlBello]

Quote:

Originariamente inviato da Ryddyck

Secondo questa logica dovremmo tutti utilizzare software aperti, ma ciò non è possibile e bisogna mediare e accontentarsi di quel che c'è.

ok ma se ci sono alternative open usiamole

[Ryddyck]

Quote:

Originariamente inviato da LukeIlBello

ok ma se ci sono alternative open usiamole

Quando arriveranno ad un livello minimo di decenza che non faccia rimpiangere quelle closed.

[maldepanza]

Quote:

Originariamente inviato da Ryddyck

ne usai uno americano una volta per telegram, era rimasto un bot e guardando tra le connessioni figurava pure l'ip dell'ultimo utente)

Da tre anni uso solo telegram e non ho mai riscontrato tal problema (un mio numero fittizio usato eventualmente anche da altri) e me ne sarei accorto subito visto che ad ogni installazione del client (su medesimo dispositivo o su altri) e conseguente accesso su un determinato numero, parte immediatamente una notifica con un codice a tutti i client che usano quel numero. Tutti i codici di notifica arrivati ai miei dispositivi (con quel medesimo numero) sono arrivati esclusivamente da miei client.

Quote:

Originariamente inviato da Ryddyck

Se poi sono servizi a pagamento c'è da considerare il metodo di pagamento usato.

Anche qua mai avuto alcun problema, visto che pagamenti in bitcoin (consentiti da certi servizi) possono essere totalmente anonimi, nel senso nessun collegamento alla tua persona (i pagamenti per eventuale acquisto di bitcoin possono essere fatti in contanti, l'ip della transazione può partire ad esempio da vpn-->tor-->sitovattelapesca, ecc.)

[maldepanza]

Quote:

Originariamente inviato da Erotavlas_turbo

Stiamo parlando di software di comunicazione sicura e la trasparenza è un requisito imprescindibile soprattutto

Concordo completamente con quanto evidenziato. Aggiungo che tale requisito di partenza deve riguardare l'intera filiera, cioè con anche client e server open.

[Ryddyck]

Quote:

Originariamente inviato da maldepanza

Da tre anni uso solo telegram e non ho mai riscontrato tal problema (un mio numero fittizio usato eventualmente anche da altri) e me ne sarei accorto subito visto che ad ogni installazione del client (su medesimo dispositivo o su altri) e conseguente accesso su un determinato numero, parte immediatamente una notifica con un codice a tutti i client che usano quel numero. Tutti i codici di notifica arrivati ai miei dispositivi (con quel medesimo numero) sono arrivati esclusivamente da miei client.

Sarà stato un caso isolato, che vi posso dire

Quote:

Anche qua mai avuto alcun problema, visto che pagamenti in bitcoin (consentiti da certi servizi) possono essere totalmente anonimi, nel senso nessun collegamento alla tua persona (i pagamenti per eventuale acquisto di bitcoin possono essere fatti in contanti, l'ip della transazione può partire ad esempio da vpn-->tor-->sitovattelapesca, ecc.)

Non tutti accettano Bitcoin o altcoin o contanti, e questo è un problema.
A me piacerebbe un servizio tipo Burner ma con mezzi di pagamento alternativi ma semplicemente non esiste anche perché preferirei gestire il numero virtuale.

[maldepanza]

Quote:

Originariamente inviato da Ryddyck

Non tutti accettano Bitcoin o altcoin o contanti, e questo è un problema.

Nessuno ha mai detto che TUTTI accettano bitcoin, solo che ce ne sono che accettano tale criptovaluta (e che ti permettono tranquillamente anche di gestirti un tuo numero virtuale, non sono proprio rarissimi, iniziano a spuntare come funghi, ovviamente molti sono partiti dal darkweb, e costano veramente un niente, soprattutto se interessa solo ricevere sms). Se uno non ha tale criptovaluta se la può procurare in maniera totalmente anonima (l'importante è non far risalire alla persona fisica) e poi può effettuare la transazione da ip totalmente anonimo.
Insomma, le possibilità non mancano sicuramente.

[Erotavlas_turbo]

Quote:

Originariamente inviato da Nui_Mg

Tutti evitabili (non parlo di neofiti o meno, parlo di effettiva possibilità tecnica per chiunque abbia voglia/tempo).

Nessun problema, come già citato in precedenza non è difficile usare numero che non faccia capo a sim reale (come faccio io da anni).

Si sono d'accordo, ma purtroppo questo è valido per un utente esperto con la voglia di farlo ovvero per meno del 5% del totale.
Quello che conta sono le impostazioni di default, utilizzate dal 90-95% degli utenti. Signal soffre dei problemi esposti in precedenza.

Quote:

Originariamente inviato da Nui_Mg

Mai usato f-droid e google service sui miei dispositivi tutti rootati: preferisco di gran lunga prendere l'apk a manina, o dal sito web del creatore o ancor meglio da due fonti che controllano approfonditamente la non presenza di virus/malware anche nelle app illegali ed eventualmente "moddate".
Per me è anche facile visto che su tutti i miei dispositivi uso pochissime applicazioni (che io ritengo le migliori per funzionalità e risorse occupate per ogni compito che il device deve/dovrà espletare).

F-droid contiene solo applicazioni FOSS controllate dai gestori e quindi è esente da malware (almeno non conosco alcun caso). Diversamente da google play, aptoide o apkpure.
L'utente medio fatica a utilizzare f-droid, figuriamoci a cercare apk dai singoli siti Web.

Quote:

Originariamente inviato da Nui_Mg

Piuttosto, non usando wire, non so se sia vero, stando alla solita comparazione di IM, che wire non crittografi completamente i metadati (come invece fa signal).

Quella comparazione contiene svariati errori. Ne ho segnalati alcuni all'autore, ma ne ha corretti solo una parte.
Comunque, secondo l'ultima (agosto 2018) privacy policy di wire, i metadati scambiati cifrati con il server sono: creatore della conversazione, timestamp, lista partecipanti, nome della conversazione. Al momento della registrazione è salvato IP.
Secondo l'ultima (maggio 2018) privacy policy di Signal: timestamp. Al momento della registrazione è salvato il numero di telefono. Ultimamente ha aggiunto la possibilità di "oscurare" ID del mittente di un messaggio sealed sender.
Signal sembra migliore, ma potendo utilizzare un email per la registrazione su Wire, l'utilità della conoscenza dei dati sopra diventa prossima a zero.

Quote:

Originariamente inviato da Nui_Mg

Io no. Ne riparleremo se ad un prossimo appuntamento di analisi codice salterà fuori qualcosa di veramente grave/rimarchevole per la privacy e sicurezza. Io non ho alcun problema a cambiare.

Si certo, anche io sono pronto a cambiare idea in caso di evidenze contrarie a quanto affermato.

Quote:

Originariamente inviato da Ryddyck

Secondo questa logica dovremmo tutti utilizzare software aperti, ma ciò non è possibile e bisogna mediare e accontentarsi di quel che c'è.
I programmi di bug bounty sono sempre cosa buona e giusta, ma se vi deve essere sempre un interesse economico mi chiedo che fine farà la comunità e progetti ambiziosi che magari non hanno le risorse dei più grandi (poi se sono delle no profit ancora peggio).

Non stiamo parlando, in generale, del fatto se un software aperto sia migliore o meno di un software chiuso. Stiamo parlando di software di comunicazione sicura che richiede la massima trasparenza e quindi di essere aperto. Come ti ho riportato, nella sicurezza informatica, la sicurezza di un sistema non deve essere legata alla segretezza dello stesso.
Esistono molti progetti open source privi di bug bounty e di ogni interesse economico diretto che funzionano benissimo e meglio della concorrenza closed source. Comunque questo non è l'oggetto della discussione.