Leaderboard

Pe vremea aia era inca parfum. Google isi punea armata de avocati sa blocheze cererile respective si doar daca se ingrosa treaba dadeau informatiile mai departe. Iti trimiteau din timp o notificare prin care te avertizau ca a fost facuta o cerere legala sa dea mai departe informatiile pe care le au despre tine. Acum primesti notificare doar la 6 dimineata cand iti bat mascatii la usa.

Acum eu cred tu confuzi ceva. Exista doua tipuri de Man in the Middle si tu te gandesti ca doar unul exista. Atacul 1. Man in the Middle prin care NSA, ISPs schimba certificatul SSL prin care compromite domeniul whatsapp.com si te redirectioneaza catre un serverul administrat de NSA. Eu nu vorbeam de acest scenariu. Plus ca e in scenariu mai complicat ca totusi si serverul whatsapp ar trebui sa aibe baza de date si sa fie actualizat cu noul cod sursa al serverul web ca sa nu existe probleme de compatibilitate. Atacul 2. Man in the Middle prin care serverul whatsapp targheteaza anumiti utilizatori (gen Alice sau pe Bob) prin care inlocueste cheile publice a celor cu care comunica respectivii. Cred ca tu nu iei in calcul ca exista doua tipuri de atacuri bazate pe Man in the middle. Eu cand am inceput sa vorbesc de MiTM pe whatsapp, vorbeam de atacul nr 2. Ulterior am vorbit cum NSA poate sa compromita si certificatele SSL. Dar NSA nu s-ar chinui asa de rau ca META si Zuckerberg suge pula NSA-ului in fiecare zi.

Nu ai inteles, dar incepe sa se lege treaba. 1. Partea de criptare se realizeaza prin criptare simetrica unde cheile se schimba folosind cheia asimetrica 2. Partea de trust, de verificare, se realizeaza prin certificate sau semnaturi digitale Criptografie nu inseamna doar AES ci ai: criptare simetrica, asimetrica, semnaturi, hashuri, hmac-uri, certificate, authorities etc. De aceea procesul, normal, nu e doar cum am mentionat eu, doar am dat un exemplu basic. Asa cum pentru a obtine un certificat pentru "rstforums.com" a trebuit sa demonstrez ca am acces la rstforums.com (verificarile unui Root CA pentru a oferi un server certificate), asa aplicatiile precum WhatsApp sau altele au mecanismul lor de verificare prin SMS (de exemplu). Stiu ca era o aplicatie la care scanai un cod QR de la cealalta persoana pentru aceasta relatie de trust. Acest trust e un certificat - adica legatura intre o cheie publica si un utilizator, o identitate. Cum se intampla in browser, desigur, ai la baza acele Root CAs si intr-adevar, unele pot sa fie controlate de catre autoritatile americane, ruse, chineze sau orice altceva. Dar sunt si mecanism in place, inclusiv in browsere. Daca se schimba un certtificat, browser-ul nu permite accesul. Ce putin temporar. Revenind la WhatsApp, sau alte aplicatii desktop, modul de implementare nu e acelasi. Nu ai un Root CA care genereaza acele chei publice si private. Cheile sunt generate local, de catre telefon. Iar daca relatia de trust se face intr-un mod sigur (e.g. cum vezi cheia publica GPG a unuia pe Twitter-ul lui, sau ti-o da pe hartie), atunci totul o sa fie in regula, nimeni nu o sa poata face nimic. Se pare ca public key fingerprints sunt ceea ce foloseste Signal Protocol de exemplu. Tu pierzi din vedere tot acest proces si vezi lucrile la modul simplu in care se schimba niste chei publice, faci MiTM si kaboom, ai acces. Nu esti singura persoana care s-a gandit la asa ceva. Revenind la partea de monitorizare in cazul in care NSA are acces la root CAs, exista solutii simple: own PKI. Se pot genera usor root CAs, se pot verifica certificate emise si tot asa. Daca vrei sa comunica "secure" cu un server, o poti face, trecand peste orice paranoia, folosind aceasta metoda (de exemplu). Adica tu consideri trusted doar acel root CA. Criptografia ajuta mult, trebuie doar inteleasa si facuta corect. Si nu te mai supara atat ca nu are sens.

Doar daca erai angajat la NSA si aveai access la platforma XKeyScore. Din cate am inteles XkeyScore e accessibil si in Europa dar nu access la toata baza de date. Dar din cate as crede nu cred ca ai access la platforma XKeyScore. Mai incearca sa iti reamintesti parola.

Pot lua datele plimbate live, nu cele stocate. Ma rog, e alt subiect Nici eu nu folosesc, nici macar vpn. Ce sa ia? pozele cu cafea si troleala?

Da, complet de acord, peste tot se intampla asa. Dar asta doar cu datele pe care le au firmele. Daca firmele nu au date, nu au ce sa ofere. Cam asta e baza pe care ar trebui sa mearga persoanele ca Gigel de mai sus, PhD in cryptography. Sau, solutia cea mai simpla: nu face mizerii si nu ai de ce sa iti faci griji. Daca toate datele mele de pe Internet ar ajunge publice, probabil ar fi maxim 2-3 zile de mici caterinci si asta ar fi tot.

Bro, este interesant punctul tau de vedere si stim la nivel de securitate cum sta treaba. Insa, in realitate, se intampla total diferit. Companiile au sediu si astea in SUA si practic, nu este nevoie sa se complice sa faca chestii complexe. Pur si simplu, companiile sunt obligate sa dea ce li se cere. Iti vin cu ordin si spun ca au suspiciuni ce tine de siguranta nationala, si sunt obligati cu totii sa se conformeze. Si nu doar in SUA. Uite, un mic exemplu il poti vedea aici: https://thehackernews.com/2013/12/fake-google-ssl-certificates-made-in.html Iti poate povesti si @Noriega despre cum s-au folosit de legislatie pentru a da gmail toate datele despre utilizator (tot in Franta). Totul fara un proces si fara a fi necesar de chestii complexe, precum mitm sau criptografie. Intr-un final, ajungi ca mine, interesat doar de curvele eliptice 🤣

Sunt destul de sigur ca intercepteaza date. Dar din cate se pare, daca partea de crypto e facuta bine, nu pare sa se poata face ceva in privinta asta. Desigur, mai degraba au niste 0day-uri in whatsapp, dar inca cred ca pe partea de crypto nu pot face mare lucru. Cel putin nu fara un quantum computer.

Pe mine ma intereseaza curvele eliptice din ecdsa Frate, am o curiozitate, trecand peste it si rahat: Chiar crezi ca astia nu aduna date si americanul e de fapt sfantul pe pamant? Au interceptat inclusiv parlamentul german (bine, astia la cat sunt de prosti, probabil cred ca au facut-o din dragoste)

Whatsapp, Signal si Telegram folosesc criptare asimetrica. Cheile publice sunt distribuite de catre serverele lor. Ei au capacitate sa faca MAN IN THE MIDDLE sa iti inlocuiasca cheia publica si sa iti compromita criptarea. End of story.

Nu sunt rusnac dar tu pe ce planeta traiesti bro?? Posibil Putin a comandat asasinarea la vreo 20-50 de oameni in cei 30 de ani. Iar aia care i-a asasinat sunt dizidenti (adica s-au transformat in anti putinisti). Probabil majoritatea disidentilor ucisi sunt fosti securisti rusi sau cine stie dubli? Tu crezi ca Rusia ucide orice fraier de Gigel care e patron la o bruterie ca pe VK Gigel a incarcat o poza cu pomul de craciun de la new york city si scrie "as vrea sa fie si la moscova la fel ca in Amerika" Europa si America nu asasineaza, doar baga oameni la puscarie asculand telefoanele lor, citind emailurile si mesajele de pe facebook fara mandat si ii santajeaza daca au amante, probleme medicale, depedente de droguri etc. Daca esti jurnalist, om de afaceri, influencer te cheama pe la DNA cu subsemnatul in fiecare zi sa te filmeze aia de la PROTV. Uite un exemplu clar din Romanica. Dorian Popa stiu ca e consumator de iarba de vreo 10 ani. Gaborii au aflat ori de la dealer ori ascultand telefoanele ca el consuma. Ei stiau ca isi cumparase marfa. Stiau ca THC-ul ramane in sange vreo 2-3 saptamani. Aveau ceva confirmare ca fumase recent. Pe urma au parcat o masina de politie pe langa Hatz Residence si cand l-au vazut pe Dorian Popa, hop poc au aprins girofarele. Trage pe dreapta si parea ca e un filtru obisnuit. Dar gaborii stiau de la bun inceput, Dorian Popa era pont sigur. In presa pe urma a aparut: "la un filtru al politie Dorian Popa a iesit pozitiv la canabis". De unde stiu? Dorian Popa trb sa mearga cam un km pana la cel mai apropriat magazin. Si s-a gandit hai ca ma duc in halat sa imi cumpar plm ceva. Asa prind astia de la DIICOT toti traficantii din Romania. La pont sigur 95% din cazuri. Mai exista si coincidente. Daca nu ar exista coincidente ti-ai dat seama 100% de holograma. Daca tot nu iti gasesc nod in papupera si esti o persoana importanta, iti inchid conturile de Twitter, Facebook, Instagram vezi Andrew Tate, Trump. Lui Tate i-au blocat pana si contul cei de la uber. Trump acum 5 ani i-au inchis contul de Facebook si Twitter, iar acum patronu Facebook il linge in cur pe Trump. Tu nu vezi sau esti orb? Cand statul nu obtine ce vrea, incepe sa se ocupe de tine. America a prestat asasinari la un click distanta ( din drona ) la sute de mii de cetateni de mana a doua din Orientul Mijlociul. Ai auzit de Wikileaks si scandalul cu jurnalistii care au fost omorati din blackhawk ca au crezut ca aia au ak-47 iar in realitate aveau camere de fotografiat ? Mosadul prin anii 80-90 ucidea palestineni prin hotel prin germania. Causescul prin anii 80 comanda si el asasinate cu Carlos Sacalul la jurnalistii care lucrau indirect pt CIA (si finantati prin programele USAID) de la Europa Libera. Qasem Soleimani a fost asasinat cand era in Iraq la ordinul lui Trump din drona in 2020 fara tribunal si dovezi concrete. Era generalul iranian terorist? Ce inseamna terorist? Daca el era terorist era si Ceausescu terorist inainte de 89 ? Doar ca nu se futea in cur cu Ronald Regaon. E Putin terorist? Arabia Saudita a omorat un jurnalist intr-o ambasada in anii 2020. L-a hacuit pe ala in Ambasada si l-a si transat ca mafiotii din New York. Acolo e mirajul, ca daca nu auzeai de nici unu care facea milioane dintr-o aplicatie pe playstore sau dintr-un rahat mic, etc.. atunci stiai sigur ca statul controleaza toate mega corporatiile si controleaza monopolul.... daca conductele economice nu ar fi fost atat de alambigate si imbarligate, holograma nu ar mai fi existat si toata lumea stia ca nu e mare diferenta intre Rusia Totalitara si America Totalitara. Daca esti o persoana importanta, iti fac americanii cu un click man in the middle pe Whatsapp si Signal. Oare de ce dracu toate produsele americane sunt gratuite pt toti prostii ? Ca tu esti produsul. De unde dracu crezi tu ca "jurnalistii independenti" gen Recorder, OCCRP au bani de salarii pentru zeci de oameni si informatii bomba... in realitate ei sunt jurnalisti platiti de americani si au materiale intelligence direct de la americani. Ce dracu crezi ca fac zeci de mii de functionari in Pentagon incluzand vorbitori de limba romana acolo ? Cand nu au ce sa iti faca apari prin blogurile de la OCCRP.