Comments 43
То что какая либо из компаний не передает сейчас(допустим что домыслы из статьи не верны) — не значит, что в будущем будет так же.
Выбор каким был всегда, таким и остался: чем безопаснее и надежней — тем менее удобно.
И сделав полномасштабное исследование и доказать что текущая версия менеджера Х(клиент) ничего никуда не передает- можно. Регулярно повторять это исследование(а иначе нельзя) — уже маловероятно.
Сервер уже получает все шифрованное, без разницы если он скомпрометирован.
Скомпрометирован могут быть или исходники или компьютер(вариант что скомпрометирован PGP не рассматривался)
И главный плюс в том что клиента можно было не обновлять — всё работало. Это было самым ценным, ты знал что с обновлением тебе не прилетит какой либо сюрприз.
Но всё равно, нужно тогда ломать сервер, что бы получить доступ к сообщениям.
Две независимые/не принадлежащие друг другу системы тяжелее сломать чем одну, обычно. Это один путь к получению информации только.
А для административного пути это 100% верно. Подкупить две организации практически всегда более затратно, чем одну.
"Ты администратор сервера, ты видишь что на нем происходит и ты будешь уверен, что твои данные, то, о чем ты говоришь не сольется в сеть. "
И живешь при этом за границей
На самом деле email работает не хуже, а охват у него больше. Я бы сказал, что killerapp должно юзать емейл как IM, и тогда свершится удивительное федеративное чудо. А уж в email есть любой уровень анонимности, приватности и шифрования.
Я бы сказал, что killerapp должно юзать емейл как IM, и тогда свершится удивительное федеративное чудо
Delta Chat же.
Но опять таки — проблема курицы и яйца.
instant messenger, у которого транспорт email. С стикерами. Голос и видео при этом не сделать, да.
Со стикерами хз как сейчас.
Это лишь одно из предположений, остальные можете додумать сами.
Если бы я был бы чиновником высокого ранга или сотрудником одного из органов госбезопасности, то я бы нашёл давно проверенного авторитетного айтишника, договорился бы с ним, что он попадает в скандал, но получает деньги, которые в обычных условиях ему бы не было смысла давать, затем он бы переехал в другую страну, нанял бы небольшую команду, которая разрабатывает мессенджер, при этом он должен периодически напоминать всем о скандале, быть публичным лицом, уважающим безопасность и приватность. Мессенджер должен быть удобным, но при этом позволять авторизоваться только по номеру телефона, не использовать end-to-end шифрование по умолчанию, реализовывать собственную криптографию, не публиковать данные об уязвимостях и утечках. В идеале, этот айтишник должен запустить собственные переводы внутри мессенджера, чтобы получить не только полный социальный граф людей, их реальную связь с номерами телефонов и гигантскую базу переписок, но и подозрительные потоки денег. Но последнее кажется малореальным, кто доверит свои данные настолько подозрительному мессенджеру? А вдруг получится?
Эх, как хорошо, что я не из госбезопасности.
Я исхожу из того, что довольно странно предполагать, что среди айтишников и им сочувствующих куча умных и талантливых людей, а с другой стороны — только глупцы. Должны сложится очень странные обстоятельства для такого. Плюс, для реализации плана требуется не очень много разумных людей, остальные могут и не знать детали.
Да и лучше думать о ком-то хорошо сейчас, чем потом узнать, что стоило думать лучше.
Есть много вариантов:
1) Не всегда необходимо сливать что-то, можно использовать эти данные как отправную точку: условно, узнали, что этот коллектив массово варит и продает наркотики, поискали другие зацепки и пошли с ними ловить и сажать. Источник никто не раскрывал.
2) Некоторые люди или организации того стоят: реальная поимка толпы вражеских террористов — вполне неплохая цель, на которую можно потратить такую карту. Да и всегда можно попытаться использовать методы из предыдущего пункта, чтобы ее сохранить.
3) Пассивное наблюдение — тоже цель: лучше знать, что вот эти люди варят наркотики, а вот эти — торгуют патронами, и не использовать эти данные для их поимки, чем слишком поздно узнать, что обитатели другого сервиса чатов собирали бомбу.
4) Возможность в нужный момент отключить связь: я думаю, что многие свергнутые правители мечтали о такой возможности, позвонил, в подчиненном мессенджере нажали на кнопку, случайно произошло падение серверов на пару часов, владелец извиняется за каждое недоставленное сообщение, все рады, кроме попавшихся деятелей.
По поводу варианта 2 — вы верите, что «там» сидят настолько дальновидные и заботящиеся о своем народе люди, что могут провернуть такую схему? Я не очень.
нашёл давно проверенного авторитетного айтишника, договорился бы с ним, что он попадает в скандал, но получает деньги, которые в обычных условиях ему бы не было смысла давать, затем он бы переехал в другую странуЭто хороший план, но работает он только в том случае, если выбранный человек авторитетный, но не богатый, чтобы для него был стимул «продаться».
А тот кого Вы имеете в виду, насколько знаю, уже был весьма обеспеченным человеком…
В этом случае, даже если переписка попадет в чужие руки, то невозможно будет идентифицировать условного Васю Пупкина, зарегенного под ником jhgsjdfkjh.
Ну есть какая-то переписка и что с того? Невозможно ответить на главный вопрос — кто все эти люди?
И такой мессенджер есть.
И да, приведённому мессенджеру я не доверяю. Его написали какие-то люди, и не понятно, где, что и как он хранит, и передаёт.
Вопрос не только о переписке, но и об цифровом профиле пользователя. Не важно кто скрывается под ником jhgsjdfkjh, важно куда он ходит, что читает, что просматривает, что ищет, что пишет.
Это вам к гуглу и эплу надо — они точно знают где вы бываете.
И к Яндексу еще.
Там они знают точно где вы и что вы ищете.
А в мессенджере без номера довольно скудные данные, т.е. при всем желании особо там профиль ваш не пробьешь…
Т.е. я хочу сказать что вы так Гуглу я Яндексу своими профилями светитесь, что мессенджеры отдыхают.
Они (Гугл, Яндекс, Мейл ру) даже маки вашего устройства знают и могут трекать где вы бываете даже без обращений к мобильным операторам.
А вот у мессенджера нет такой возможности.
Его написали какие-то люди, и не понятно, где, что и как он хранит, и передаёт.
хм…
А вацап, вайбер, телеграм — там вам все понятно что где он хранит и куда передает?
А кого из написавших эти мессенджеры вы лично знаете?
Вам же лично нужно знать людей, чтобы им доверять, я правильно вас понимаю?
PS. Если включить paranoid mode, то никому нельзя доверять, даже тем с кем знаком лично и только в этом случае есть 99% анонимность.
Для желающего анонимности в телеграме препятствий нет. Номер телефона регистрации бесполезен чуть менее, чем полностью, т.к. активация последующих устройств возможна не только через номер. Кроме того, номер привязки легко меняется в любой момент. По сути, номер телефона для регистрации в Телеграм нужен только один раз — чтобы принять начальное смс с верификацией. Это можно попросить сделать (условно говоря) первого встречного бомжа с его номера. Далее этот номер для пользования аккаунтом не нужен вообще, и с вами он уже никак связан не будет.
Если кто-то регистрирует аккаунт на свой личный номер и при этом желает анонимности… Ну что тут сказать. ССЗБ.
Вот буквально как в анекдоте «Не брала я у тебя этот горшок, да он уже с трещиной был»
Условно говоря, вы можете попросить бомжа зарегистрировать вам телеграм, но тогда любой другой может попросить того же бомжа проводить с вашим аккаунтом разные операции.
А если вы попросите бомжа зарегистрировать вам аккаунт и смените номер на другой свой номер, то этот новый номер опять же приведёт к вам.
Так в каком же случае этот номер телефона полностью будет отделён от вас и одновременно не позволит сторонним лицам иметь доступ к вашему аккаунту?
И ещё — вы действительно вот ТАК мыслите, скажите мне? Вы знаете, я был бы счастлив, если бы вы тут за деньги защищали анонимность телеграма такими бестолковыми аргументами, потому что если в комментарии выше действительно отображён ваш мыслительный процесс — мне страшно за человечество.
Вы точно пользовались телеграмом? Там есть такая вещь, как двухфакторка, при установке которой делать с аккаунтом, не зная пароля, ничего нельзя. После того, как бомж скажет мне код из смс, я ставлю на аккаунт пароль — и все. После этого кто угодно может просить бомжа о чем угодно, он при всем желании сделать ничего не сможет, не зная пароля.
Насчет смены номера… Кто сказал, что я собираюсь менять его на свой. Можно поменять на номер другого бомжа — аналогочным образом попросив его принять одно смс и сказав полученный код. Это просто изменит номер привязки и все. Без пароля, опять же, доступа к аккаунту ни у кого не будет. При попытке подключить новое устройство к тому же номеру в Телеграм он спросит пароль, и если его не получит — пошлет подальше, владение номером ничего не дает само по себе.
Расскажите теперь, как, зная телефоны нескольких бомжей, когда-то принявших одно смс, вы будете выходить на меня. Очень интересно послушать.
Ну и немного по процедурному вопросу.
Анонимность раньше:
— бесплатно из тёплого кресла регистрируешь левый e-mail через прокси и с него авторизируешься в любом сервисе
Анонимность сейчас:
— бегаешь по всему городу ищешь бомжей и покупаешь им водку, чтобы они дали попользоваться своим телефоном
ОХ И СПАСИБО ДУРОВУ ЗА НАШУ АНОНИМНОСТЬ
Бомж — это аллегория для красочности. Вместо бомжа может быть любой сервис виртуальных номеров, позволяющие принимать смс. Никуда с водкой бегать не нужно. Все делается, не вставая из-за компа, в несколько кликов. Ничуть не сложнее регистрации на левый e-mail через прокси. Даже проще, я бы сказал.
По поводу ссылки на статю 2016 года — она устарела. Сейчас Телеграм просто отправляет код подтверждения разными способами, но сбросить аккаунт и овладеть им не дает без полученного кода.
Еще будут фантазии насчет того, что в Телеграме нельзя сохранить анонимность при минимальных усилиях?
www.vedomosti.ru/technology/articles/2019/12/04/817827-uyazvimost-telegram
Вы опять будете рассказывать, что достаточно всего лишь взяться левой рукой за правое ухо и всё наладится.
И никак не желаете понять, что весь бред, который вы предлагаете это костыли.
Да, можно установить на дверь в квартиру сигнализацию, сверху повесить ведро с зелёнкой, чтобы пометить грабителя, и на выходе из подъезда посадить милиционера, чтобы ловил всех измазанных в зелёнке.
Но это ТУПО, когда нужно было всего лишь поставить замок на дверь.
Я не вижу больше смысла вам что-то разъяснять. Продолжайте применять «минимальные усилия».
ОХ СПАСИБО ДУРОВУ, А ВЕДЬ МОГ БЫ ЗАСТАВИТЬ ПРИМЕНЯТЬ МАКСИМАЛЬНЫЕ!
А вот свежая новость буквально за вчера
www.vedomosti.ru/technology/articles/2019/12/04/817827-uyazvimost-telegram
Из вашей же ссылки:
на устройствах всех пострадавших единственным фактором авторизации были sms
Еще вопросы есть?
И никак не желаете понять, что весь бред, который вы предлагаете это костыли.
Простите, о каком именно бреде вы говорите? Или у вас исчерпались аргументы и вы перешли на банальное хамство?
Да, можно установить на дверь в квартиру сигнализацию, сверху повесить ведро с зелёнкой, чтобы пометить грабителя, и на выходе из подъезда посадить милиционера, чтобы ловил всех измазанных в зелёнке.
Но это ТУПО, когда нужно было всего лишь поставить замок на дверь.
Совершенно верно. Тут аналог замка на дверь — пароль на аккаунт. Включается в настройках и ставится одним движением. И никакие хакеры вам не страшны.
Какой-то очередной поток пустых домыслов, сводящихся к фразе из мультфильма про Винни Пуха: "Это ж-ж-ж-ж неспроста!"
И если в ответ вы мне скажете о «Whats`up»
Интересно, почему никто не предположил ещё более зловещий сценарий на примере, скажем Телеги, когда вся шумиха и оппозиционность, суть, рекламная кампания, направленная на позиционирование Телеги, как надёжного ("врагу не сдается на гордый Варяг") мессенджера, а он при этом, как раз и занимается тем, что собирает данные о пользователях.
А что? Очень удобно: вот он весь такой неподкупно-независимый. А там...
Если каждый пользователь поднял личный jabber, то как должны несколько пользователей взаимодействовать, чтобы не сливать друг другу личные данные?
И тут приходим к началу: почему я должен доверять некоему серверу, владелец которого божится, что там всё безопасно?
Да, ИМХО, переход с российских юридических реалий на проблему доверия к облачным сервисам выглядит как-то не очень логично, что ли. Пусть даже и проблема доверия есть в обоих случаях :)
Если все станет так плохо, что из-за популярного мессенжера к тебе придут омоновцы за мыслепреступления. То люди ринут в Jabber. То для него появится плагин "сдай свое окружение за процент от штрафа", который будет собирать информацию со всех чатов. Это так, коротко об односторонней анонимности.
Анонимны ли бесплатные мессенджеры?