SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО..

3 months Translate

Translation is not possible.

SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО НЕ САМЫЙ БЕЗОПАСНЫЙ МЕССЕНДЖЕР. /Наконец-то у меня дошли руки до этого "безопасного" мессенджера:) -- Генезис Signal -- Запущенный в 2014 году инициативой Мокси Марлинспайка и Брайана Эктона, соучредителя WhatsApp, Signal возник из стремления обеспечить пользователей платформой для зашифрованных и безопасных коммуникаций. Проект, задуманный Марлинспайком и Майклом Карриером, привел к созданию приложения, использующего протокол шифрования end-to-end, разработанный некоммерческой организацией Signal Foundation. Signal набрал популярность, когда Эдвард Сноуден рекомендовал его как надежное средство для конфиденциального общения в 2013 году. -- Что внутри Signal? -- Signal применяет протокол TextSecure с алгоритмом Double Ratchet для обеспечения обмена зашифрованными сообщениями между сторонами на основе общего секретного ключа. Система генерирует новые ключи для каждого сообщения, делая невозможным вычисление предыдущих ключей из последующих, и использует открытые значения Диффи-Хеллмана для дополнительной безопасности. -- О проблемах уязвимости -- Несмотря на высокий уровень шифрования, были обнаружены уязвимости. Использование устройства UFED позволяло извлекать номера телефонов и фотографии из контактов Signal https://habr.com/ru/news/t/533188. В январе 2023 года были выявлены две уязвимости в десктопных клиентах (CVE-2023-24068 и CVE-2023-24069 - (Windows/Mac)), позволяющие локально модифицировать вложения в разговорах. Также были проблемы с функцией "Исчезающие сообщения" и другие уязвимости, позволяющие подделывать URL-адреса или удаленно выполнять код на устройствах жертв. Все перечисленные способы применяются только ЛОКАЛЬНО. -- Скандалы и проблемы с правоохранительными органами -- Signal стал объектом атаки со стороны компании FinFisher, а в 2021 году стало известно о способности ФБР получать доступ к зашифрованным сообщениям через уязвимости в iPhone. После утечки данных ФБР, Signal начал собирать IP-адреса отправителей в рамках компромисса с правоохранительными органами. Signal использует Amazon Web Services для хостинга и ищет способы шифрования IP-адресов и других метаданных для защиты от анализа трафика. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - https://www.kaspersky.com/blog/finspy-commercial-spyware/27606. -- Политика конфиденциальности и спонсирование -- Политика конфиденциальности Signal подразумевает сотрудничество с третьими сторонами для предоставления услуг и возможность передачи данных юридическим органам по официальному запросу. Существуют утверждения о финансировании Signal ЦРУ через "Radio Free Asia" и Open Technology Fund, хотя Мокси Марлинспайк утверждает, что финансирование прекратилось в 2023 году. Signal продолжает исправлять обнаруженные уязвимости, но возможно существование неизвестных проблем, ставящих под вопрос безопасность и конфиденциальность общения через этот мессенджер. - Автор: Isa Dagestani https://linktr.ee/isa_dagestani

SIGNAL: МИФЫ И РЕАЛЬНОСТЬ БЕЗОПАСНОСТИ. ПОЧЕМУ ЭТО НЕ САМЫЙ БЕЗОПАСНЫЙ МЕССЕНДЖЕР.

/Наконец-то у меня дошли руки до этого "безопасного" мессенджера:)

-- Генезис Signal --

Запущенный в 2014 году инициативой Мокси Марлинспайка и Брайана Эктона, соучредителя WhatsApp, Signal возник из стремления обеспечить пользователей платформой для зашифрованных и безопасных коммуникаций. Проект, задуманный Марлинспайком и Майклом Карриером, привел к созданию приложения, использующего протокол шифрования end-to-end, разработанный некоммерческой организацией Signal Foundation. Signal набрал популярность, когда Эдвард Сноуден рекомендовал его как надежное средство для конфиденциального общения в 2013 году.

-- Что внутри Signal? --

Signal применяет протокол TextSecure с алгоритмом Double Ratchet для обеспечения обмена зашифрованными сообщениями между сторонами на основе общего секретного ключа. Система генерирует новые ключи для каждого сообщения, делая невозможным вычисление предыдущих ключей из последующих, и использует открытые значения Диффи-Хеллмана для дополнительной безопасности.

-- О проблемах уязвимости --

Несмотря на высокий уровень шифрования, были обнаружены уязвимости. Использование устройства UFED позволяло извлекать номера телефонов и фотографии из контактов Signal https://habr.com/ru/news/t/533188. В январе 2023 года были выявлены две уязвимости в десктопных клиентах (CVE-2023-24068 и CVE-2023-24069 - (Windows/Mac)), позволяющие локально модифицировать вложения в разговорах. Также были проблемы с функцией "Исчезающие сообщения" и другие уязвимости, позволяющие подделывать URL-адреса или удаленно выполнять код на устройствах жертв. Все перечисленные способы применяются только ЛОКАЛЬНО.

-- Скандалы и проблемы с правоохранительными органами --

Signal стал объектом атаки со стороны компании FinFisher, а в 2021 году стало известно о способности ФБР получать доступ к зашифрованным сообщениям через уязвимости в iPhone. После утечки данных ФБР, Signal начал собирать IP-адреса отправителей в рамках компромисса с правоохранительными органами. Signal использует Amazon Web Services для хостинга и ищет способы шифрования IP-адресов и других метаданных для защиты от анализа трафика. Уязвимость заключалась в том, как Signal обрабатывал вложения файлов. - https://www.kaspersky.com/blog..../finspy-commercial-s.

-- Политика конфиденциальности и спонсирование --

Политика конфиденциальности Signal подразумевает сотрудничество с третьими сторонами для предоставления услуг и возможность передачи данных юридическим органам по официальному запросу. Существуют утверждения о финансировании Signal ЦРУ через "Radio Free Asia" и Open Technology Fund, хотя Мокси Марлинспайк утверждает, что финансирование прекратилось в 2023 году.

Signal продолжает исправлять обнаруженные уязвимости, но возможно существование неизвестных проблем, ставящих под вопрос безопасность и конфиденциальность общения через этот мессенджер.

Автор: Isa Dagestani

https://linktr.ee/isa_dagestani

Comment

Send as a message

Share on my page

Share in the group