Turvallinen pikaviestittelysovellus älypuhelimille

Liittynyt
07.07.2019
Viestejä
1 395
En ole itse ehtinyt asiaan valitettavasti paneutua kunnolla, mutta ainakin seuraavat vaihtoehdot tulivat esille nopealla tutkimisella. Siksi kysynkin, että onko ajatuksia näiden suhteen? Sekä tietenkin käytännöntietoturva, kuin myös tekninen aspekti, hyvät ja huonot puolet jne.
  1. Tox
  2. Briar
Sekä vielä viimeisenä Ricochet teknisenä referenssinä, vaikka sitä ei mobiilille olekaan saatavissa. Vanhempaa metatietoa piilottavaa genreä edustaa myös mesh replikointiin perustuva Bitmessage, mutta sen aika on tainnut jo mennä. Tietysti on tapauskohtaista, tarvitseeko metadataa piilottaa ja onko sen paljastumisesta haittaa, vai ei.

Sekä jos oikeasti haetaan tietoturvaa, niin silloin kannattanee unohtaa nettiin kytketyt tietokoneet ja puhelimet, ne kun eivät lähtökohtiasesti koskaan ole turvallisia.
 
Liittynyt
20.10.2016
Viestejä
6 185
Vaihtoehtojahan aina löytyy ja jotkut on toimivampia ku toiset, mutta suurin ongelma on saada ne muut ihmiset käyttämään samaa ohjelmaa. Siihen ku ei ole helppoa ratkaisua...
 
Liittynyt
28.10.2016
Viestejä
525
Signal?

Vaihtoehtojahan aina löytyy ja jotkut on toimivampia ku toiset, mutta suurin ongelma on saada ne muut ihmiset käyttämään samaa ohjelmaa. Siihen ku ei ole helppoa ratkaisua...
Tämä on omalla kohdalla tosi kun kaik haluaa käyttää WhatsAppia. Facebookin jätin jo.
 
Liittynyt
17.10.2016
Viestejä
2 305
========================================================================================
edit: Laitetaan muutama linkki tähän alkuun (kaikki eivät välttämättä ole ajan tasalla):

Real-Time Communication | PrivacyTools

Welcome!

Secure Messaging Apps Comparison | Privacy Matters

========================================================================================


Signal on varmaan käytännöllisimmästä päästä. Käytön ymmärtäminen onnistuu peruskäyttäjältäkin. Siinä kai tunnistaudutaan puhelinnumerolla, mikä on joskus etu, joskus haittapuoli. Lisäksi sen turvallisuutta on tutkittu enemmän kuin pienempien projektien ja sen kehitys on vakaalla pohjalla.

Bitmessage on pikemminkin sähköpostin korvike eikä pikaviestin. Jokin aika sitten siitä löytyi niin törkeä tietoturvamoka, että minun olisi vähän vaikea luottaa siihen enää.

Tox on ihan mielenkiintoinen projekti, ja sen, kuten myös Bitmessagen, etu on hajautettu toteutus, jolloin systeemin toimivuus ei ole (kovin merkittävästi) kiinni keskitetyistä palvelimista. Mutta hajautuksen mukana tulee myös merkittävä haittapuoli, eli se, että käyttäjän tunniste on pelkkä julkinen salausavain, jollaista ei kukaan muista ulkoa eikä edes jaksa kirjoittaa mihinkään. Toxille on jotain kolmannen osapuolen palveluita, joihin voi rekisteröidä käyttäjänimen avaimellaan, mutta ne ovat tietoturvamielessä kyseenalaisia.

Ricochet on kovaa anonymiteettiä kaipaaville varmaan ihan jees, mutta käyttäjätunnisteiden, eli tässä tapauksessa Tor-piilopalvelu-osoitteiden hallinta on yhtä hankalaa kuin Toxin avaintenkin. Wikipedian mukaan viimeisin vakaa versio olisi myös vuodelta 2016, eli lieneekö kehitys kovin aktiivista?

Briar on täysin tuntematon minulle.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
2 305
Telegramiin en henkilökohtaisesti luottaisi sitäkään vertaa kuin Whatsappiin. Se, että päästä päähän -salaus ei ole pakollinen eikä oletuksena edes päällä (lähde: Wikipedia), kertoo, että tietoturva ei ole ykkösprioriteetti. Lisäksi Telegramin salausmenetelmää on kritisoitu esimerkiksi sen takia, että se on itse kehitetty eikä perustu luotettavaksi tunnettuihin standardeihin.

Hyvänä puolena Telegramissa on sentään avoin lähdekoodi. Mutta niin on kaikissa tämän ketjun ohjelmissakin. Whatsappin lähdekoodi sen sijaan ei ole julkisesti saatavilla, mutta sitäkin on auditoitu.

Sekin on joskus etu, että Telegramin julkisena käyttäjätunnisteena on nimimerkki eikä puhelinnumero.
 
Liittynyt
19.10.2016
Viestejä
638
Mitenkä muuten perinteinen SMS pärjää näissä tietoturvallisin kisoissa?
 
Liittynyt
05.01.2017
Viestejä
325
Signal on hyvä, löytyy myös puhelut ja videopuhelut. Voi laittaa viestit salasanan tai sormenjäljen taakse, jolloin ne ovat suojassa muiden softien nuuskinnalta. Samalla saa suojattua myös puhelimella lojuvat tekstarit kun tekee Signalista oletus SMS sovelluksen niin se imaisee ne sisäänsä ja salaa nekin. Löytyy myös työpöytäsovellus win/mac/linux. Ainoa heikkous tosiaan käyttäjien puute.
 
Liittynyt
20.10.2016
Viestejä
6 185
Librem on tulevaisuus. Kannattaa vain siihen siirtyä.
No, itse en ainakaan suosittele, sen verta törkeätä ottaa Open Source softia, brändätä omalle nimelle ja vielä alkaa pyytämään rahaakin siitä kaiken lisäksi. Eikä tuo nyt kovin hyvää kuvaa anna ku jo julkaisussa oli iso tietoturva-aukko kaikenlisäksi.

Librem One Affected By Nasty Security Bug On Launch Day, Acknowledges Rebranded Apps - Phoronix

Moneskos kertaan ne jo lykänny sitä puhelimenkin julkasua...
 

selectamatic

BANNATTU
BANNED
Liittynyt
23.04.2019
Viestejä
2 064
No, itse en ainakaan suosittele, sen verta törkeätä ottaa Open Source softia, brändätä omalle nimelle ja vielä alkaa pyytämään rahaakin siitä kaiken lisäksi. Eikä tuo nyt kovin hyvää kuvaa anna ku jo julkaisussa oli iso tietoturva-aukko kaikenlisäksi.

Librem One Affected By Nasty Security Bug On Launch Day, Acknowledges Rebranded Apps - Phoronix

Moneskos kertaan ne jo lykänny sitä puhelimenkin julkasua...
Ei siinä mitään törkeätä ole. Tavoitteena on kuitenkin luoda nippu sovelluksia, joille saa käyttäjäpohjan. Miksi koodata sama ohjelma uudestaan, jos se on jo olemassa?

Ihan normitouhua, että aukkoja löytyy, ja ne korjataan. Kyllä Libremistä vielä hytvä tulee ja eiköhan niitä luureja ala löytymään loppuvuodelle moneltakin valmistajalta.
 
Liittynyt
17.10.2016
Viestejä
2 305
Mitenkä muuten perinteinen SMS pärjää näissä tietoturvallisin kisoissa?
Siinä mielessä todella huonosti, että päästä päähän -salausta ei ole kaiketi ollenkaan (salakuuntelumahdollisuus viranomaisia varten on matkapuhelinstandardeissa vakiona) ja siirron aikainen salauskin on ainakin vanhemmilla standardeilla kuten 2G:llä heikko. Näin ainakin puhelupuolella, tekstiviesteistä olen vähemmän varma. Myös valetukiasemalla saattaa saada ikäviä aikaiseksi.

Siinä mielessä hyvin, että viestit eivät kierrä ulkopuolisten palvelimien kautta.
 
Viimeksi muokattu:
Liittynyt
08.11.2017
Viestejä
65
Ääni Signal:ille, sitä on tullut käytettyä ja toimii hienosti. Rekisteröityessä tarvitsee jonkinlaisen puhelinnumeron, mutta sen jälkeen numeroa ei oikeastaan tarvitse olla edes olemassa. En suoraan osaa sanoa olisiko netissä nykyään joitain palvelua jota voisi käyttää rekisteröinnin yhteydessä hyväksi mikäli sen oman numeron haluaa pitää piilossa. Useissa tapauksissa se ei kuitenkaan ihan maailmanloppu ole vaikka omalla numerolla joutuisi sen rekisteröimään.

Itselläni oli muutama vuosi sitten joku roska prepaid SIM-kortti dual-sim puhelimessa, jolla rekisteröinnin tein. Kortti lähti mäkeen kun sen muutaman euron saldon olin siitä käyttänyt pari vuotta sitten. Varsin hankala tätä vanhaa prepaid numeroa on juuri minuun yhdistää missään tilanteessa tietoturvaa ajatellen.

Ohjelman Open Source lähdekoodi on erittäin hyvin auditoitu, sekä mainitsihan jopa Edward Snowden taannoin että hän käyttäisi kyseistä sovellusta turvalliseen yhteydenpitoon. Ohjelmaa voi käyttää omana appinaan tai haluttaessa sitä voi käyttää myös tavallisten sms-viestien kanssa. Helppokäyttöinen sovellus sellaisillekin jotka eivät niin tekniikasta välitä.

Perus ominaisuuksina viesteille voi asettaa katoamis ajan, sovelluksen lukitus esim. salasanalla, screen shottien esto sovelluksesta ja vahva päästä päähän salaus.

Mikään ei tietenkään suojaa siltä että jos vastaanottaja viestin jakaa muille. Viestien katoamiselle asetettu aika varmistaa sen, että viesti on luettavissa vain tietyn aikaa jonka jälkeen se häviää itseltä ja vastaanottajalta.. tämä ominaisuus on toki muissakin ohjelmissa.
 
Viimeksi muokattu:

Juha Uotila

Ylläpidon jäsen
Liittynyt
18.10.2016
Viestejä
4 935
Ihan normitouhua, että aukkoja löytyy, ja ne korjataan. Kyllä Libremistä vielä hytvä tulee ja eiköhan niitä luureja ala löytymään loppuvuodelle moneltakin valmistajalta.
Eiköhän tuo pulju ole jo melkein konkurssin partaalla kun väkeä lähtee ovista ja ikkunoista "vähän väliä".

Luuri tulee 99% varmuudella olemaan täysfloppi ja sitä ostaa vaan pahimmat opensoos ja yksityisyys ropellihatut.
 
Liittynyt
19.10.2016
Viestejä
242
Telegramiin en henkilökohtaisesti luottaisi sitäkään vertaa kuin Whatsappiin. Se, että päästä päähän -salaus ei ole pakollinen eikä oletuksena edes päällä (lähde: Wikipedia), kertoo, että tietoturva ei ole ykkösprioriteetti. Lisäksi Telegramin salausmenetelmää on kritisoitu esimerkiksi sen takia, että se on itse kehitetty eikä perustu luotettavaksi tunnettuihin standardeihin.
Onko Telegram ainoa näistä pikaviestimistä joka on tai ainakin on yritetty bannata venäjällä ja kiinassa siksi ettei valtio saa nuuskittua liikennettä?
Blocking Telegram in Russia - Wikipedia
Can you access Telegram in China? See if any site is blocked in China
 

selectamatic

BANNATTU
BANNED
Liittynyt
23.04.2019
Viestejä
2 064

?..

BANNATTU
BANNED
Liittynyt
06.04.2018
Viestejä
3 125
No kaikista turvallisin on tietenkin open source Signal.
 
Liittynyt
07.07.2019
Viestejä
1 395
Vaihtoehtojahan aina löytyy ja jotkut on toimivampia ku toiset, mutta suurin ongelma on saada ne muut ihmiset käyttämään samaa ohjelmaa. Siihen ku ei ole helppoa ratkaisua...
Tuo on aika hyvin sanottu, siis tuossahan kiteytyy koko tietoturvan ydinongelma. Eli se, että ihmiset ei välitä tietoturvasta ei sitten pätkän vertaa. Vaikka itse noudattaisit absoluutteisesti täydellistä ja virheetöntä opsecciä, niin joku lähipiirissäsi ei kuitenkaan noudata ja se on siinä. Tietovuodoista ne jotka tulee pinnalle, on varmasti aivan äärimmäisen pieni murto-osa siihen verrattuna, mikä jää medialta huomioimatta. Mikään sovellus ei voi korjata tietoturvan suurinta ongelmaa, eli ihmisiä. Valitettava fakta.

Tavallaan tässä mielessä on turhaa miettiä sitä, onko sovellus turvallinen vai ei, koska sen käyttäjät eivät kuitenkaan ole turvallisia. Mutta jos olisi sellainen optimitilanne, jossa käyttäjät eivät ole ongelma, niin siinä tapauksessa vasta sovelluksella on merkitystä. Juuri tällaisessa käyttötapauksessa mm. Briar näyttää aika vahvalta. Joskin siinäkin on vielä puutteita mm. ajoitusten suhteen. Mikä tahansa sovellus joka tarjoaa "instant" message featurea, on aina haavoittuva ajoitukseen perustuville hyökkäyksille. - Tulossa on myös sovelluksia jotka korjaavat tämän ongelman, mutta ne on suunnattu todellakin foliohatuille. Lisäksi jäljelle jää muutama ongelma, joka sitten kertookin jo paljon.

Ellei yksittäisiä viestejä voida purkaa, tai edes liikenteen metadataa seurata kätevästi, niin sen jälkeen voidaan sitten käytännössä olettaa kaikkien sovellusta käyttävien olevan vahvasti epäilyttäviä, koska kukaan normaali ei koskaan vaivaudu välittämään tietoturvasta vastaavalla tasolla.

Toinen ongelma on alusta. Mikäli sovellus olisikin "täydellinen", niin alusta jolla sitä pyöritetään ei ole. -> Tämä mahdollistaa vakoilun siinäkin hypoteettisessa tilanteessa, että sovellus itsessään on täysin virheetön ja turvallinen.

Mahdottoman vaikeita ja monimutkaisia nämä asiat kyllä ovat. Jäljelle jää siis enää Panopticon, Chilling Effect ja kuuluisa kommentti: "If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place."
 
Liittynyt
07.07.2019
Viestejä
1 395
Ja asiaahan ei helpota, ku tietämättömät päättäjät ajaa tälläisiä ehdotuksia:
UK Bcc Law Enforcement on Messaging Apps Threatens Global Privacy
Ainakin joissain yhteyksissä on käytetty muotoa "Warrant compatible encryption". Joka tarkoittaa tietenkin sitä, että tiedot on vuodettavissa ja salauspurettavissa helposti. Mutta ainahan lainsäädännössä on osattu noi viihdyttävät sanaleikit. Voidaan mainostaa, että on huippuluokan salaus, joka on täysin transparentti ylläpidolle ja viranomaisille. Mutta silti salaus on siis käytössä. Tuohan onkin aika pitkälle avaintenhallinta kysymys, eikä sinänsä "heikennä salausta yhtään". Heh.
 
Liittynyt
19.10.2016
Viestejä
242
Symantec Mobile Threat: Attackers Can Manipulate Your WhatsApp and Telegram Media Files

"WhatsApp and Telegram media files could be exposed and manipulated by malicious actors according to new research by Symantec’s Modern OS Security team, focused on the protection of mobile endpoints and operating systems. The security flaw, dubbed “Media File Jacking”, affects WhatsApp for Android by default, and Telegram for Android if certain features are enabled. It stems from the lapse in time between when media files received through the apps are written to the disk, and when they are loaded in the apps’ chat user interface (UI) for users to consume. This critical time lapse presents an opportunity for malicious actors to intervene and manipulate media files without the user’s knowledge. If the security flaw is exploited, a malicious attacker could misuse and manipulate sensitive information such as personal photos and videos, corporate documents, invoices, and voice memos. Attackers could take advantage of the relations of trust between a sender and a receiver when using these IM apps for personal gain or to wreak havoc."
 
Liittynyt
07.07.2019
Viestejä
1 395
Ääni matrixille johon saa sillattua muita palveluja.
Matrixin aivan ehdottomiin etuihin kuuluu myös se, että voi ajaa ihan omaa palvelinta. Näin ollen tiedot eivät vuoda ulkopuolisille, lukuunottamatta sitä faktaa että ajoitus ja siirrettydatamäärä näkyy, sekä tietenkin se mistä data tulee ja mihin se menee. Joskin tuota voi hämmentää se, jos kaikki käyttäjät eivät ole jatkuvasti online ja data puskuroidaan palvelimelle.
 
Liittynyt
05.11.2016
Viestejä
3 828
Signal toimii mukavasti ainakin tekstari-tyyppiseen viestittelyyn ja puheluihin videolla ja ilman. Ryhmälätinää ei ole tullut sillä harrastettua. Matrix on ihan hyvä irkin korvike, vaikkei Riot ainakaan käyttöliittymältään oikein vakuuta.
 
Liittynyt
03.11.2016
Viestejä
315
Signal toimii mukavasti ainakin tekstari-tyyppiseen viestittelyyn ja puheluihin videolla ja ilman. Ryhmälätinää ei ole tullut sillä harrastettua. Matrix on ihan hyvä irkin korvike, vaikkei Riot ainakaan käyttöliittymältään oikein vakuuta.
Matrixiin saa myös sillan signalille.
 
Liittynyt
16.10.2016
Viestejä
2 408
Onko Telegram ainoa näistä pikaviestimistä joka on tai ainakin on yritetty bannata venäjällä ja kiinassa siksi ettei valtio saa nuuskittua liikennettä?
Blocking Telegram in Russia - Wikipedia
Can you access Telegram in China? See if any site is blocked in China
Venäjän kohdalla kiinnostus Telegramin selittynee sillä että tekijöillä on Venäjän kansalaisuus, vaikkeivat enää Venäjällä asu ja koska Telegram on osittain varmaan edellä mainitusa syystä Venäjällä suosittu. Telegramin käyttämä kotitekoinen kryptografia on saanut paljon kritiikkiä. Kiina blokkaa nyt ylipäänsä melkein kaiken. Joten ei nuo nyt varsinaisesti todista mitään.
 
Liittynyt
31.03.2017
Viestejä
270
Telegram ja Signal reippaasti parempia ja toimivampia sekä turvallisempia ja yksityisempiä WhatsAppin tilalle. Taitaa WhatsAppin suosio perustua pitkälti vain siihen, että se on suurin ja eniten käyttäjiä? Lisäksi sillä on takana Facebookin valta ja taloudelliset varat niin voi kopioida muita, ostaa sisäänsä, painostaa ja uhkailla oikeustoimilla jne. ettei kilpailijat pääse kasvamaan suuremmaksi ja ohi Facebookin WhatsAppin.
 
Liittynyt
07.07.2019
Viestejä
1 395
Tätä ei kukaan maininnut, eli herää kysymys, miten WhatsAppin kautta puhelimet kaapattiin:
WhatsApp sues Israeli security firm for injecting malware into targets' phones through its app

Oliko mahdollista että se klassinen uhka toteutui, jossa järjestelmään laitetaan backdoor tarkoituksella ja sitten se paljastuu... Sitten alkaa kova selittely ja... Taas kerran, en ota mitään kantaa linkin sisältöön tai todenmukaisuuteen, kunhan vaan tämäkin asia (kuten VPN keskustelussa) tuntuu osuvan juuri sopivasti siihen mitä tässä on naureskeltu.

Sovellukseen ei tarvitse tehdä krypto backdooria, kun laittaa siihen backdoorin millä voi kaapata koko laitteen. Kaikki hyvin? Ei ole salauksessa backdooria, sovellus on turvallinen. Päätelaite vaan kaapattiin.
 
Liittynyt
17.10.2016
Viestejä
2 305
Telegramin perustaja käy Whatsappin kimppuun:

Saattaa olla oikeassa, tai sitten on oma lehmä ojassa. Totta on ainakin, että Whatsappin lähdekoodi ei ole avointa (mutta sitä on kuitenkin auditoitu) ja viime aikoina Whatsappista on paljastunut useita tietoturvaongelmia.


Jos haluaa turvallisemman pikaviestisovelluksen, en silti suosittelisi Telegramia vaan ennemmin esimerkiksi Signalia.
 
Liittynyt
17.10.2016
Viestejä
2 305
Lähdekoodi ei ilmeisesti ole avointa, mutta kaiketi auditoitu kuitenkin, joskus. (lähde: EFF:n vanha tietosivu) Tunnisteena on nimimerkki eikä puhelinnumero, mikä on joskus etu.

En tunne tarkemmin, mutta laittaisin suunnilleen samaan kategoriaan Telegramin ja Whatsappin kanssa.

Näiden palveluiden rahoitus on myös sellainen asia, jota kannattaa miettiä. Keskitetyn palvelun ylläpito miljoonille tai jopa miljardeille käyttäjille maksaa jotain.

edit: Privacytoolsilla on kategoria näillekin sovelluksille:

Tuolla on koottu tietoja eri vaihtoehdoista samaan tapaan kuin EFF:n vanhalla tietosivulla:
 
Viimeksi muokattu:
Liittynyt
07.07.2019
Viestejä
1 395
Tässä muuten hyvä luento laitteiden turvallisuudesta. Sovellus ei auta yhtään, jos laite ei ole turvallinen. Eikä nykypuhelimet ole turvallista nähneetkään, kuten myös valitettavasti ei tietokoneetkaan.
Tässä lähdettiin katsomaan turvallista viestittelyä toisesta suunnasta. Eli unohdetaan se ohjelma ja oletetaan että ohjelma on täydellinen ja turvallinen. Sitten voidaankin keskittyä siihen, mikä kaikki on aivan rikki, siitä huolimatta vaikka ohjelmisto olisi täydellinen.
Paranoijahermoja kutkuttavaa settiä.
 
Liittynyt
17.10.2016
Viestejä
2 305
Ääni Signal:ille, sitä on tullut käytettyä ja toimii hienosti. Rekisteröityessä tarvitsee jonkinlaisen puhelinnumeron, mutta sen jälkeen numeroa ei oikeastaan tarvitse olla edes olemassa. En suoraan osaa sanoa olisiko netissä nykyään joitain palvelua jota voisi käyttää rekisteröinnin yhteydessä hyväksi mikäli sen oman numeron haluaa pitää piilossa. Useissa tapauksissa se ei kuitenkaan ihan maailmanloppu ole vaikka omalla numerolla joutuisi sen rekisteröimään.

Itselläni oli muutama vuosi sitten joku roska prepaid SIM-kortti dual-sim puhelimessa, jolla rekisteröinnin tein. Kortti lähti mäkeen kun sen muutaman euron saldon olin siitä käyttänyt pari vuotta sitten. Varsin hankala tätä vanhaa prepaid numeroa on juuri minuun yhdistää missään tilanteessa tietoturvaa ajatellen.
Näistä puhelinnumeroa käyttäjätunnisteena käyttävistä palveluista tuli mieleen ongelma, joka on varmaan melko hyvin tiedossakin, eli mitä tapahtuu, jos puhelinnumero vaihtuu ja vanha numero päätyy jonkun toisen käyttöön? Tai jos palveluun on rekisteröidytty prepaid-liittymästä, jonka käyttö lopetetaan ja numero annetaan seuraavalle asiakkaalle?

Muistanko väärin, vai oliko joku uutinenkin, että uuden numeron hankkinut käyttäjä rupesi saamaan toiselle tarkoitettuja Whatsapp-viestejä?

Miten nuo palvelut ovat varautuneet tällaiseen?



Mikään ei tietenkään suojaa siltä että jos vastaanottaja viestin jakaa muille. Viestien katoamiselle asetettu aika varmistaa sen, että viesti on luettavissa vain tietyn aikaa jonka jälkeen se häviää itseltä ja vastaanottajalta.. tämä ominaisuus on toki muissakin ohjelmissa.
Automaattinen tuhoaminen antaa suojaa lähinnä käyttäjän huolimattomuudelta, eli siltä, että käyttäjä unohtaa poistaa luottamukselliset viestit. Pahantahtoinen käyttäjä voi jäljentää viestit vaikka kynällä ja paperilla.
 
Liittynyt
07.07.2019
Viestejä
1 395
Mä olen kritisoinut montaa näistä "turvallisista" viestintäsovelluksista siitä, etteivät ne tarjoa esimerkiksi multi-identityä suoraan paketista. Mielestäni sen pitäsi olla itsestäänselvyys jos edes yritetään edes perustason turvallisuutta.

Silloin jokainen identiteetti, tietää vain vasta identiteetin pseudonyymin ja tätä yhteyttä käytetään vain saman kontekstin sisällä. Riippuen käyttössä olevista viestintäprotokolista, voi siis olla mahdollista, että sinulla on saman henkilön kanssa useampikin rinnakkainen yhteys, mutta teistä kumpikaan ei edes tiedä sitä. -> Ihan perusteita viestintäturvallisuudessa. aka Context Isolation.

Tuo esimerkiksi vähentää tietovuodon ja tiedon väärinkäyttämisen riskiä aivan olennaisesti ja on tärkeä osa tietoturvaa, ainakin mielestäni.

Muistanko väärin, vai oliko joku uutinenkin, että uuden numeron hankkinut käyttäjä rupesi saamaan toiselle tarkoitettuja Whatsapp-viestejä?
Tietenkin. Siksi identiteetin kytkeminen puhelinnumeroon, sähköpostiin tms tietoon onkin typerää. Mutta tätäkään moni ei tunnu ymmärtävän. (Tietysti on mahdollista että jokaiseen keissiin on olemassa myös eri sähköposti tai puhelinnumero, kuten jäljempänä.)

Joskus kun postailin tietyistä aiheista, allekirjoitin jokaisen viestin PGP:llä. Joku sitten valitti, että ei ole mitään hyötyä jos eivät tiedä kuka olen. No niin, pointti onkin siinä, että halutessani voin myöhemmin todistaa, että se olin minä. Mutta aivan yhtähyvin voin jättää sen todistamatta. Lisäksi kun tietenkin käytin uutta avainta jokaiseen erilliseen keskusteluketjuun, niin kukaan ei pystynyt edes (varmuudella) sanomaan, onko viestit saman kirjoittajan toimesta kirjoitettu vai ei.

Pseudonyymit käyttäjät, joilla on vain yksi identiteetti vuotavat tahtomattaan tietoa epäsuorasti kolmansille osapuolille kaikesta tekemisestään. Ja juuri tähän ansaan Signal ja niin moni muukin softa kapsahtaa.

Valitettavan usein menee sekaisin anonymiteetti ja pseudonymiteetti.

Tietysti tuota ongelmaa voi kiertää esimerkiksi kasalla virtuaali androideja tai burner puhelimia, mutta aika raskaaksi menee. Mutta toimii tilanteen niin vaatiessa. Esim prepaideja voi käyttää siihen että saa numerot ja sitten aktivoidut identiteetit voi siirtää virtuaaliandroidissa pyörivään sovellukseen koneelle.

mm. BitMessagessa oli fiksusti laitettu nappi jolla sai luoda uuden identiteetin. Todella kätevä ratkaisu. Systeemi myös automaattisesti tietenkin seurasi identiteettejä niin, että kun tuli viestejä johonkin identiteettiin niin vastaukset lähtivät sillä samalla ulos. Tosin käytännössä kaikki fiksusti tehdyt multi-identity softat tekee noin.
 
Viimeksi muokattu:
Liittynyt
08.11.2017
Viestejä
65
Näistä puhelinnumeroa käyttäjätunnisteena käyttävistä palveluista tuli mieleen ongelma, joka on varmaan melko hyvin tiedossakin, eli mitä tapahtuu, jos puhelinnumero vaihtuu ja vanha numero päätyy jonkun toisen käyttöön? Tai jos palveluun on rekisteröidytty prepaid-liittymästä, jonka käyttö lopetetaan ja numero annetaan seuraavalle asiakkaalle?

Muistanko väärin, vai oliko joku uutinenkin, että uuden numeron hankkinut käyttäjä rupesi saamaan toiselle tarkoitettuja Whatsapp-viestejä?

Miten nuo palvelut ovat varautuneet tällaiseen?

Automaattinen tuhoaminen antaa suojaa lähinnä käyttäjän huolimattomuudelta, eli siltä, että käyttäjä unohtaa poistaa luottamukselliset viestit. Pahantahtoinen käyttäjä voi jäljentää viestit vaikka kynällä ja paperilla.
Tässähän auttaa ainakin aavistuksen se että ensimmäisen kerran kuin sovelluksella ollaan yhteydessä toiseen henkilöön niin laitteiden avainparit vaihdeteaan keskenään, eli ei käytetä pelkkää puhelinnumeroa varmistamaan henkilöllisyyttä.

Esimerkiksi Whatsapp kertoo tämän avainparin muuttuneen useinkin muutaman kontaktin kohdalla. Silloin tekee mieli kysyä suoraan että taas oot puhelinta räplännyt tai muuten laitetta vaihtanut, mutta ei tätä jaksa tehdä (valitettavasti). Tietoturvan kannalta pitäisi aina varmistaa avainpari muutoksen jälkeen, että onko kohdehenkilö edelleen oikea.

Voisi tai ainakin pitäisi olettaa että Prepaid numero jolla olen signaliin rekisteröinyt aikoinaan saattaa hyvinkin olla jo jollain muulla käytössä. Oikeastaan aina kun saan uuden signal kontaktin lähetän itse viestin ensiksi ennalta sovitusti, koska en edes itse muista tätä numeroa millä olen rekisteröitynyt niin hyvin on toiminut.

Tietenkin se ajattelu on hieman leväperäistä kun en taas tiedä varmaksi mitä tapahtuu, jos jollain on samalla numerolla oikeasti toimiva liittymä ja hän koittaa rekisteröityä signaliin. Eiköhän tämäkin ole hoidettu niin että sama numero ei voi olla rekisteröitynä kahta kertaa ja laitteiden avainparitkin ovat erilaiset.. alkaa menemään jo senverran syvälliseksi, että mutu pohjalta ei viitsi lähteä arvailemaan ja kirjoittamaan puutaheinää.
 
Liittynyt
17.10.2016
Viestejä
2 305
Tässähän auttaa ainakin aavistuksen se että ensimmäisen kerran kuin sovelluksella ollaan yhteydessä toiseen henkilöön niin laitteiden avainparit vaihdeteaan keskenään, eli ei käytetä pelkkää puhelinnumeroa varmistamaan henkilöllisyyttä.

Esimerkiksi Whatsapp kertoo tämän avainparin muuttuneen useinkin muutaman kontaktin kohdalla. Silloin tekee mieli kysyä suoraan että taas oot puhelinta räplännyt tai muuten laitetta vaihtanut, mutta ei tätä jaksa tehdä (valitettavasti). Tietoturvan kannalta pitäisi aina varmistaa avainpari muutoksen jälkeen, että onko kohdehenkilö edelleen oikea.
Tuota tulee silloin tällöin vastaan, mutta harvoin minäkään lähden kyselemään avainten perään. Suurin osa kun ei edes ymmärrä asiasta mitään. Oletuksena Whatsapp ei taida tuota ilmoitusta näyttääkään, mutta itse olen toki ottanut ilmoituksen käyttöön.


Etätöihin ja muuhun karanteeniajan touhuun liittyen: Zoom-sovelluksen tietosuoja on kyseenalaistettu pahemman kerran:

Koronavirus | Kokoussovellus Zoomista tuli suosittu Suomessakin, mutta sen tietoturva on leväperäinen ja siitä varoittaa jopa FBI
 
Liittynyt
17.10.2016
Viestejä
2 305
Discord on kasvattanut suosiotaan alkuperäisen käyttäjäkuntansa (pelaajien) ulkopuolella näin koronan aikaan, ja tuolla nostettiin esille sen ongelmia:
Kaupallisten tuotteiden markkinointi olemassa olevien käsitteiden merkityksiä muuttelemalla

Siellä tuli muiden joukossa esille se, että viestintää ei ole salattu päästä päähän ja kaikki viestit säilytetään Discordin palvelimilla.

Jossain julkiseksi tarkoitetussa yhteisössä tai peliporukan kanavalla tällä ei välttämättä ole kauheasti merkitystä. Mutta mitään oikeasti luottamuksellista en välttämättä suosittele siellä sanomaan. Ei tarvita kuin tietomurto Discordin palvelimille, ja pahimmassa tapauksessa kaikki yksityiset keskustelut tulevat julki. Entä mitä tapahtuu sitten, kun sijoittajilta ei enää virtaa rahaa entiseen malliin?

Discord muistaakseni väitti jossain, että viestejä voi poistaa pysyvästi, mutta siinä ollaan heidän ilmoituksensa varassa. Yksityisviestien poistoon ei riitä ainakaan se, että vain toinen osapuoli poistaa yksityiskeskustelun.


Sama pätee kaiketi myös Slackiin, Zoomiin ja MS Teamsiin. Zoomin ongelmista jo mainitsinkin. Teamsia pitäisin itse näistä luotettavimpana, koska sen taustalla on iso ja vakavarainen firma, jolla ei ehkä ole samanlaista kiusausta käyttäjien tietojen myyntiin.
 
Viimeksi muokattu:
Liittynyt
07.07.2019
Viestejä
1 395
Liittynyt
16.10.2016
Viestejä
1 051
Näistä puhelinnumeroa käyttäjätunnisteena käyttävistä palveluista tuli mieleen ongelma, joka on varmaan melko hyvin tiedossakin, eli mitä tapahtuu, jos puhelinnumero vaihtuu ja vanha numero päätyy jonkun toisen käyttöön? Tai jos palveluun on rekisteröidytty prepaid-liittymästä, jonka käyttö lopetetaan ja numero annetaan seuraavalle asiakkaalle?
Tässähän auttaa ainakin aavistuksen se että ensimmäisen kerran kuin sovelluksella ollaan yhteydessä toiseen henkilöön niin laitteiden avainparit vaihdeteaan keskenään, eli ei käytetä pelkkää puhelinnumeroa varmistamaan henkilöllisyyttä.

Esimerkiksi Whatsapp kertoo tämän avainparin muuttuneen useinkin muutaman kontaktin kohdalla. Silloin tekee mieli kysyä suoraan että taas oot puhelinta räplännyt tai muuten laitetta vaihtanut, mutta ei tätä jaksa tehdä (valitettavasti). Tietoturvan kannalta pitäisi aina varmistaa avainpari muutoksen jälkeen, että onko kohdehenkilö edelleen oikea.

Voisi tai ainakin pitäisi olettaa että Prepaid numero jolla olen signaliin rekisteröinyt aikoinaan saattaa hyvinkin olla jo jollain muulla käytössä. Oikeastaan aina kun saan uuden signal kontaktin lähetän itse viestin ensiksi ennalta sovitusti, koska en edes itse muista tätä numeroa millä olen rekisteröitynyt niin hyvin on toiminut.

Tietenkin se ajattelu on hieman leväperäistä kun en taas tiedä varmaksi mitä tapahtuu, jos jollain on samalla numerolla oikeasti toimiva liittymä ja hän koittaa rekisteröityä signaliin. Eiköhän tämäkin ole hoidettu niin että sama numero ei voi olla rekisteröitynä kahta kertaa ja laitteiden avainparitkin ovat erilaiset.. alkaa menemään jo senverran syvälliseksi, että mutu pohjalta ei viitsi lähteä arvailemaan ja kirjoittamaan puutaheinää.


En itse ole (vielä) Signalin käyttäjä, mutta koska olen aikeissa piakkoin testailla palvelua niin olen pintapuolisesti silmäillyt joitakin artikkeleita juurikin koskien puhelinnumerodilemmaa ja etenkin sitä miten juuri sen oman pääasiallisen puhelinnumeron käyttämistä voisi välttää/kiertää rekisteröitymisen yhteydessä. Ja ainakin muutamissa niistä on korostettu sitä seikkaa että se numero jolla rekisteröidytään pitää myös jatkossa pitää tiukasti omassa hallinnassa vaikkei numero olisikaan juuri sen nimenomaisen mobiililaitteen puhelinnumero jolla Signalia pääasiassa käytetään.

Ja olen itse myös vähän kahden vaiheilla rekisteröisinkö varsinaiseen ykkösluuriini asennettavan Signalin puhelimen omalla numerolla vaiko kenties käytössäni olevan backup-luurin prepaidilla (jonka prepaidin aion pitää jatkossakin ja joka on myös aivan virallisesti rekisteröity nimiini DNA:n Minun palvelussani).



It’s important to maintain control of this phone number. For example, you could use a disposable SMS service to register with Signal — there are many such services if you search for them — but those phone numbers can be used by anyone. Similarly, you should avoid using a public payphone’s number, or a SIM card on which you do not intend to renew service. If someone else can receive SMS messages or phone calls to this phone number, they can take your Signal account away from you.


Getting a second number
If you want to withhold your personal phone number, the good news is that you can use a secondary phone number to register for these apps.

For example, on Signal you register a phone number during startup.

You might think you have to use your mobile number, but you can really use any number you have access to.
Here’s the catch: You need to have persistent access to the number. If someone else gets access to it, they can use it to re-register Signal, and you will lose access. The new owner of the phone number can quickly become the new owner of your Signal number.

If you use an alternative number, you also need to keep it.

Joissain artikkeleissa aihetta vain sivutaan ohimennen ja kerrotaan että rekisteröitymisen voi hoitaa jenkkisarjoista tutulla ns. burner phonella. En sitten tiedä millainen käytäntö rapakon takaisissa prepaideissa noin yleisesti on mutta ilmeisesti näissä tapauksissa oletuksena on että numero ei missään vaiheessa päädy "kierrätykseen"?

The second factor is that Signal allows users to register with the help of a disposable or burner SIM card and/or phone.

Once the user has managed to register the official Signal application, the app itself does not really need the phone number in order to run properly.



You can register using a disposable “burner” phone or SIM card. Once registered, the Signal app does not need to run on the phone it was registered with.
 
Viimeksi muokattu:
Liittynyt
18.11.2016
Viestejä
3 683
En sitten tiedä millainen käytäntö rapakon takaisissa prepaideissa noin yleisesti on mutta ilmeisesti näissä tapauksissa oletuksena on että numero ei missään vaiheessa päädy "kierrätykseen"?
Ja mitenköhän se nyt sitten olisi edes teoriassa mahdollista? Suurin osa puhelinnumeroista on tietyn pituisia. Se tietty pituisuus tarkoittaa että niitä on äärellinen määrä. Se äärellinen määrä numeroita joudutaan väksin kierrättämään tarpeeksi ajan kuluessa.

Suomessa ainakin ennen operaattoreilla on vieläpä ollut prepaidit tiettyjen alkusarjojen takana, jolloin niitä on ollut vielä vähemmän kuin kaikkia numeroita.
 
Liittynyt
07.03.2020
Viestejä
9
Kysymys Signal sovelluksesta.

Kun tuttu lähettää viestin signal ohjelmalla mulle niin kuuluu piippaus että viesti on tullut vaikka ko ohjelma on kiinni.

Kun lähetän signal ohjelmalla viestin tutulle niin ei minkäänlaista piippausta kuulu tuttavalla kun ohjelma on kiinni..
Vasta kun ohjelman avaa niin kuuluu piippaus.

Meillä on samat signal ohjelman versio ja asetukset molemmissa samat, niin kuitenkin toisessa kuuluu piippaus viestin tullessa ja toisessa ei.

Kellään tietoa mistä syystä tämä ero johtuu.

Siis, toisessa ohjelmassa tulee ilmoitus viesti saapumisesta, toisessa ei.

Mun puhelimessa on androi versio 10 ja tutun puhelimessa androi 8.

Tarkoitus on saada tuttavan puhelimessa ilmoitus saapuvasta viestistä vaikka ohjelma on kiinni.

Joku ilmoitus ääni asetus on säädetty asetuksista väärin, mutta mikä?

Tietääko joku.

Kiitos.
 
Liittynyt
19.10.2016
Viestejä
1 560
@Hunter 3: Jos arvata pitäisi, puhelimen (ei siis Signalin) virransäästöasetukset tappavat Signalin niin tehokkaasti, etteivät viestit tule perille ennen sovelluksen avaamista. Perinteisesti varsinkin Huaweilla on ollut hyvin aggressiivista virransäästöä, mutta myös muilla on runsaasti ongelmia. Tältä sivulta voi kenties löytyi tilanteeseen apuja: Don’t kill my app!
 
Liittynyt
07.03.2020
Viestejä
9
@Hunter 3: Jos arvata pitäisi, puhelimen (ei siis Signalin) virransäästöasetukset tappavat Signalin niin tehokkaasti, etteivät viestit tule perille ennen sovelluksen avaamista. Perinteisesti varsinkin Huaweilla on ollut hyvin aggressiivista virransäästöä, mutta myös muilla on runsaasti ongelmia. Tältä sivulta voi kenties löytyi tilanteeseen apuja: Don’t kill my app!
Ok. Täytyy jatkaa tutkimista.
Kiitos
 
Liittynyt
07.03.2020
Viestejä
9
Ihmeitten aika ei ole ohi.,.vieläkään

Nyt myös tämä mun signaali tekee niin että ei ilmoita viestin tulosta kun viesti tulee kun ohjelma on kiinni.

Vasta kun ohjelman avaa niin ilmoitus ääni kuuluu.

Toinen uusi outo asia mikä on nyt tullut on se, että kun valitsee kelle signal viestin lähettää niin joka ainoa kerta se kysyy otetaanko signal ohjelma oletus sähköposti ohjelmaksi.

Tätä se ei ole ennen kysynyt.

Eikä se kysy sitä jokaisen nimen kohdalla kelle viestin on lähettämässä. Vain yhden nimen kohdalla.

Mistä nämä muutokset johtuvat?
 
Liittynyt
07.07.2019
Viestejä
1 395
Monet tuntuvat luottavan Wickeriin yllättävän paljon. Kuulemma on turvallinen, jos ei tule oikeasti isompia haasteita sen suhteen ketkä koittavat sinua tavoitella.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 474
Viestejä
4 163 479
Jäsenet
70 414
Uusin jäsen
O&G

Hinta.fi

Ylös Bottom