WhatsApp non è sicuro, ha backdoor e usa 'trucchi da maghi': le dure parole di Durov

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...rov_86871.html

Il fondatore di Telegram usa parole pesantissime contro il client concorrente WhatsApp, soprattutto nella gestione dell'argomento privacy degli utenti

Click sul link per visualizzare la notizia.

[ZannaMax]

Chi diceva che Telegram non era sicuro mentre Whatsapp si beh...era un gran babbacchione.

[postillo]

il bue che dice cornuto all'asino. WA pessima, TG un pelino meglio ma non tantissimo.
Usate Signal, che mangia in testa a tutte le app. Mi meraviglio come personaggi top come Bezos non ne facciano uso, mhà

[frank8085]

Quote:

Originariamente inviato da chaosblade

Bla bla bla... in riferimento ai commenti. Penso che Pavel abbia le competenze per poter valutare meglio di qualsiasi commentatore della domenica. Penso che al di là del suo interesse a far migrare gente su telegram sia stato più che esaudiente, codice sorgente segreto per whatsapp e che si possa utilizzare in stati dove il governo vuole mantenere il controllo assoluto altrimenti la mette fuorilegge

non c'è una legge in Russia che obbliga le aziende (russe) a consegnare dati sotto richiesta? non è bizzarro che molte compagnie vpn serie abbiano abbandonato il paese e smesso di avere server li? (es: PIA)...

e comunque anche in USA non c'è da fidarsi neanche lontanamente visto cos'è successo nel 2013.

[Erotavlas_turbo]

Quote:

Originariamente inviato da postillo

il bue che dice cornuto all'asino. WA pessima, TG un pelino meglio ma non tantissimo.
Usate Signal, che mangia in testa a tutte le app. Mi meraviglio come personaggi top come Bezos non ne facciano uso, mhà

No signal ha diversi problemi: utilizza il numero di telefono sia per la registrazione sia per i contatti e quindi non è per niente riservato e la crittografia e2e TOFU.

La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.

Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.

Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?

Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?

[El Tazar]

Quote:

Originariamente inviato da Erotavlas_turbo

No signal ha diversi problemi: utilizza il numero di telefono sia per la registrazione sia per i contatti e quindi non è per niente riservato e la crittografia e2e TOFU.

La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.

Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.

Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?

Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?

Senza polemica ma chi ha scritto questi due articoli?
Non trovo nessun riferimento

[Erotavlas_turbo]

Quote:

Originariamente inviato da El Tazar

Senza polemica ma chi ha scritto questi due articoli?
Non trovo nessun riferimento

Gli stessi che gestiscono fpoi.org, l'autore è in alto.

[El Tazar]

Quote:

Originariamente inviato da Erotavlas_turbo

Gli stessi che gestiscono fpoi.org, l'autore è in alto.

Si quello l'ho visto, mi sono forse spiegato male...arrivato a fpoi.org da li non trovo riferimenti su chi siano. Per me potrebbe essere la sciura Pina e sono diffidente quando non trovo riferimenti sull'autore

Da quanto ho capito è un progetto comunitario

[Erotavlas_turbo]

Quote:

Originariamente inviato da El Tazar

Si quello l'ho visto, mi sono forse spiegato male...arrivato a fpoi.org da li non trovo riferimenti su chi siano. Per me potrebbe essere la sciura Pina e sono diffidente quando non trovo riferimenti sull'autore

Da quanto ho capito è un progetto comunitario

Sembra che tu possa contattare l'autore qui.

In generale, l'abito non fa il monaco ovvero l'importante è il contenuto non il contenitore.
Se leggi gli articoli sono ricchi di riferimenti a fonti originali e terze e ti puoi fare un'idea su quanto siano fatti bene.
L'importante è poter verificare le affermazioni attraverso fatti supportati da fonti terze.

P.S. volendo puoi aprire una discussione qui.

[El Tazar]

Ok grazie

[postillo]

Quote:

Originariamente inviato da Erotavlas_turbo

La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori

per verificare le chiavi intendi confrontare i propri codici di sicurezza (anche con QR)?

[k0nt3]

Ma davvero credete che Durov faccia beneficienza? Un articolo su internet non dimostra niente, si trova tutto e il contrario di tutto. https://theoutline.com/post/2348/wha...=1&zi=letauq6b
Dove sta la verità? Probabilmente nel mezzo

[Erotavlas_turbo]

Quote:

Originariamente inviato da postillo

per verificare le chiavi intendi confrontare i propri codici di sicurezza (anche con QR)?

Si, senza quella verifica ti devi fidare del server anche se è tutto open source.

Quote:

Originariamente inviato da k0nt3

Ma davvero credete che Durov faccia beneficienza? Un articolo su internet non dimostra niente, si trova tutto e il contrario di tutto. https://theoutline.com/post/2348/wha...=1&zi=letauq6b
Dove sta la verità? Probabilmente nel mezzo

Leggi questo articolo ci sono tutte le risposte alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?

In breve, telegram ha sede a Dubai ed è bloccato in Russia dal 2018 anche se continua a funzionare grazie a MTproxy.
I fratelli Durov sono dovuti fuggire dalla Russia e tutte le allusioni nei confronti dei legami con Mosca sono false.
Telegram, differentemente dalla maggioranza delle altre applicazioni più note, non è quotato in borsa e non deve produrre profitti. Al momento è mantenuto da Durov, ma in futuro sarà gestito attraverso la TON da una fondazione.

[s-y]

c'entra una mazza ma non resisto
se le parole erano tenere? morbidov?

[andrew04]

Quote:

Originariamente inviato da Erotavlas_turbo

No signal ha diversi problemi: utilizza il numero di telefono sia per la registrazione sia per i contatti e quindi non è per niente riservato

Il numero l'eventuale interlocutore già lo ha solitamente, quindi non vedo il problema (a meno che non vuoi chattare in totale anonimato, il quel caso Signal non fa al caso tuo: privacy, anonimato e sicurezza sono tre cose diverse: Signal è per la prima e per la terza, non per la seconda)

Poi i dettagli del profilo non vengono inviati a terzi senza autorizzazione dell'utente
https://signal.org/blog/signal-profiles-beta/

I contatti restano in locale, ed usa un sistema particolare per il rilevamento
https://signal.org/blog/private-contact-discovery/

Quote:

Come conosce Signal i miei contatti che utilizzano Signal?
Signal periodicamente invia i numeri di telefono troncati crittograficamente hashati per scoprire i contatti. I nomi non sono mai trasmessi e le informazioni non sono memorizzate sui server. I server rispondono con i contatti che sono utenti Signal ed elimina immediatamente questa informazione. Il tuo telefono ora sa quali tuoi contatti sono utenti Signal e ti notifica se un tuo contatto ha iniziato a utilizzare Signal.

https://support.signal.org/hc/it/art...miei-contatti-

Quote:

e la crittografia e2e TOFU.

La crittografia e2e è migliore della crittografia client-server poiché non necessità di alcuna fiducia in terze parti. Questo è vero solo in teoria e quasi mai in pratica. Quasi tutti i servizi e2e (signal, wire, whatsapp, etc.) sono Trust On First Use (TOFU) ovvero al primo utilizzo ti devi comunque fidare dei gestori del servizio. La fiducia rimane se non sei in grado di verificare le chiavi di crittografia dei tuoi interlocutori. Supponi di avere un gruppo con N utenti, devi verificare personalmente N-1 chiavi. In assenza di verifica c'è il rischio di attacco MITM. Quindi in pratica anche la crittografia e2e richiede la fiducia nel server che serve per consegnare i messaggi.

Nota: signal, wire, telegram chat segrete, matrix, etc. sono tutte TOFU. Solo keybase e jami non lo sono.

Un ottimo articolo sulla sicurezza e riservatezza delle applicazioni di messaggistica più note: whatsapp, telegram, signal e wire: Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato?

Un ottimo articolo che analizza e risponde alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?

Non è esattamente così, anzi, sono due cose completamente diverse

Innanzitutto la fiducia in Signal non è necessaria in quanto è e2e ed è open source, insomma: lo vedi nel codice che il messaggio viene crittografato prima di essere inviato al server, che non ha le chiavi

La fiducia semmai è necessaria all'interlocutore, ed è di quello che si parla, usando il codice di verifica discusso anche nel post di keybase e per il resto è la stessa identica cosa

Signal e Wire ti disabilita la spunta di verifica visibile vicino al contatto, chiedendo dunque conferma se continuare a chattare o meno
Keybase ti invia solo l'avviso più grande con richiesta di autorizzazione, ma il succo è lo stesso
(Solo WhatsApp ti manda solo l'avviso in chat)

Poi per essere precisi il problema citato in keybase è per quanto concerne i gruppi, ma è diverso perché i gruppi di keybase sono, seppur e2e, salvate in cloud, mentre quelli signal sono e2e locali: se esce l'avviso di chiave cambiata, smetti di discutere fino a verifica.
(e keybase lamenta l'eccessivo numero di verifiche, visto che avviene in molteplici casi sulle altre chat)

Mentre su keybase, essendo in cloud, chiede, suppongo agli admin del gruppo se far accedere ad uno dopo il cambio della chiave/reset dell'account, in quanto se accede uno che ha preso possesso illegittimo dell'account questo avrà accesso a tutta la cronologia di messaggi, cosa che non avviene su Signal in quanto i messaggi sono in locale

Tra l'altro l'avviso ti esce, a quanto leggo, solo una volta cambiati tutti dispositivi e non quando aggiungi un nuovo dispositivo... il che ti porta seriamente a rischio

Quote:

Is there a good solution, one that doesn't involve trusting servers with private keys? At Keybase, we think yes: true multi-device support. This means that you control a chain of devices, which are you. When you get a new device (a phone, a laptop, a desktop, an iPad, etc.), it generates its own key pair, and your previous device signs it in. If you lose a device, you "remove" it from one of your remaining devices. Technically this removal is a revocation, and there's also some key rotation that happens automatically in this case.

The net result is that you don't need to trust the server or meet in person when a partner or teammate gets a new device. Similarly, you don't need to trust the server or meet in person when they remove a device, unless it was their last. The only time you need to see a warning is when someone truly loses access to all their installs. And in that case, you're met with a serious warning, the way it should be:

ti protegge se perdi il dispositivo e revochi la chiave, ma che succede se qualcuno riesce ad accedere all'account aggiunge un dispositivo e non te ne accorgi?

Onestamente, uso anche keybase, ma trovo il suo post del tutto irrilevante per un confronto con Signal o qualsiasi chat che abbia un e2e non-cloud

Ed è più un alternativa a, come dicono loro anche Slack (visti anche git integrato) e forse Matrix, che a Signal, Wire o per le chat segrete di Telegram

[Nui_Mg]

Quote:

Originariamente inviato da Erotavlas_turbo

In generale, l'abito non fa il monaco ovvero l'importante è il contenuto non il contenitore.

Ero rimasto al fatto che in Telegram i sorgenti ci sono solo per il client (e per le versioni più recenti vengono rilasciati con un bel ritardo) e lato server è tutto closed/proprietario: è cambiato qualcosa? Telegram va bene per le cose di tutti i giorni sotto il sole e funzionalmente è mille volte meglio di WA, ma anche lui è da evitare quando si cerca una privacy degna di tal nome.

[k0nt3]

Quote:

Originariamente inviato da Erotavlas_turbo

Leggi questo articolo ci sono tutte le risposte alle critiche più comuni su telegram: Quanto è veramente sicuro e riservato Telegram?

In breve, telegram ha sede a Dubai ed è bloccato in Russia dal 2018 anche se continua a funzionare grazie a MTproxy.
I fratelli Durov sono dovuti fuggire dalla Russia e tutte le allusioni nei confronti dei legami con Mosca sono false.
Telegram, differentemente dalla maggioranza delle altre applicazioni più note, non è quotato in borsa e non deve produrre profitti. Al momento è mantenuto da Durov, ma in futuro sarà gestito attraverso la TON da una fondazione.

L'avevo gia' letto, ma quell'articolo è nettamente di parte. La maggiorparte delle risposte si basano su affermazioni di Durov, oppure su evoluzioni future del software che nessuno ci assicura avverranno realmente.
Altre risposte invece aggirano la domanda, come quella legata al protocollo di crittografia non collaudato. Se veramente Durov fosse in buona fede rilascerebbe il codice sorgente della parte server oggi stesso.
In breve i dubbi rimangono.

[Ragerino]

"Durov sostiene che le manomissioni del client siano state possibili grazie alla presenza di backdoor inserite di proposito per conformarsi alle volontà delle forze dell'ordine locali. Così facendo WhatsApp si è garantita nel tempo la possibilità di mantenere le l'attività in paesi come Iran e Russia."

E gli USA dove li mettiamo?
Semmai è il paese principale che richiede backdoor ai produttori

[vraptus]

Quote:

Originariamente inviato da s-y

c'entra una mazza ma non resisto
se le parole erano tenere? morbidov?

Fratello, hai la mia stima!

[corvazo]

Tutto quello che si scrive può essere controllato dalla polizia per esempio. Ma ci sono anche siti strani che se paghi dicono di poter bucare il whatsapp di chiunque basta dargli il numero di telefono.
Ma al di là delle app quanto sono poi sicuri Android e iOS?