Мысли о безопасных мессенджерах

[Whisper]

Не очень понял твой вопрос. Я высказал свое предложение и точку зрения на фразу "надо как-то сделать удобную , легкую сборку, где бы все работало сразу.". Как мне кажется проще всего это реализовать в виде контейнера для ВМ с преднастроенной жабой, а не собирать еще один мессенджер чуть-ли с нуля.

Лично я работаю под никсами (не из-за анонимности или "понтов", просто нужного мне софта под винду не существует) - поэтому особой проблемы запустить жабу не испытываю.

Ну вот я и докопался до слова - удобную.
Грубо говоря - предложенный уровень "безопасности" делает применение схемы бессмысленным.

 

[alex778]

как приучить молодых к безопасности?

Тюрьма научит.

возможно ли сделать безопасный мессенджер?

Да. Они все по сути безопасные. Если использовать их безопасным способом.

а главное, как доверять тому, кто его сделает?

Опен сорс с проверкой.

А что если сделать простой мессенджер на подобии привнот.ком? Прочитал, исчезло.

Ты уверен, что оно реально исчезло, а не легло в логи на сервере? Я когда то делал браузерный экстеншен, который поверх любого текстового поля кидал aes512 шифр или же наоборот, расшифровывал на лету. То есть в принципе можно обычным gmail-ом слать шифровки. Удобно ли это? Нет, не особо удобно. Спасёт ли от дурака или крысы на том конце, который тебя сольёт мусорам несмотря на все принятые тобой меры? Тоже нет.

 

[bigheadguy]

Тюрьма научит.

хотел озвучить это, но промолчал. пока первый раз меня не приняли и не светил реальный срок, не думал, что такое безопасность. но вдеь проблема в том, что за его безопасности можешь пострадать ты\я. хотя в своей кансперации я более менее уверен.

Да. Они все по сути безопасные. Если использовать их безопасным способом.

это я понимаю. свой сервак очень помогает.

Опен сорс с проверкой.

не думаю, что это спасет.

 

[Dread Pirate Roberts]

На практике оно вышло так (события по хронологии).
- у собеседника более новая версия gpg , где не только RSA , а и другие типы ключей.
- обновляю gpg4win, оно выводит в консоль какой-то мусор и завершается.
- удаляю, ставлю с нуля, удаляю опять, делаю нового юзера, удаляю , добавляю - один фиг, выводит мусор.
- методом тыка выясняю, что оно хочет англоязычную винду. Ок, ставлю туда, генерирую ключ.
- wime импортирует ключ и уходит в небытие, попытки зайти в настройки теперь крашат прогу. Ставлю Psi.
- добавляю ключ , софт его не видит, переподключаюсь, перезахожу,перезагружаю винду, так раз 5, в конце концов заработало; правда требует раз в Х минут вводить пароль от ключа, но это мелочи.

а ещё ломается шифрование между разными версиями одного и того же клиента, а ещё бывают разные несовместимые плагины для одного и того же клиента, а ещё ... короче, у меня для разных контактов разные мессенджеры с одними и теми же ключами пгп, потому что с кем-то шифрование работает только в Psi, с кем-то в Psi-plus, и так далее.

К чему пишу эти все жалобы здесь? К тому, что я , имея опыт в айти в 10+ лет убил неск . часов на настройку этой ерунды. И настраивая это понял одну истину - почему люди выбирают телегу. Потому что реально, жаба это кривое говно, как и весь этот опенсорц.

и не только жаба, весь линукс - это кривое говно кривого говна. но, к сожалению, приходится жрать го что дают, потому что лучших вариантов нет.
как уже выше заметили - безопасное неудобно, удобное небезопасно.

 

[RedDragon]

Ты уверен, что оно реально исчезло, а не легло в логи на сервере?

Ну хз, эта статья  Взлом privnote.com развеяла сомнения. Суть в самой концепции, вполне себе достойная замена того же Тох мессенджера может получится.

 

[horetop]

SimpleX попробуйте. Активно развивается. Появилась бета даже для десктопа.

 

[WellDone]

Улыбнуло.
1. Не смог настроить pgp.
2. Зачем то поставил экзотический странный клиент. Его ФБР что-ли хакирам советует? Тоже не смог его настроить.
3. ЖАББЕР ПЛАХОЙ!111

ЗЫ: Лет 5-10 не пользовался мирандой, но на 95% уверен, что она всё ещё работает и плагин для пыгыпэ там есть.

Ну понятно, ваш клиент не клиент, система не система, а проблемы не проблемы
Знаете, когда я ставлю хром, телеграм или еще какой-то хороший софт он просто работает.
Там нет проблем с юникодными версиями функций в 2023(!!!) году

- методом тыка выясняю, что оно хочет англоязычную винду. Ок, ставлю туда, генерирую ключ.

Оно не крашится просто "потому что"

- wime импортирует ключ и уходит в небытие, попытки зайти в настройки теперь крашат прогу. Ставлю Psi.

А просто работает
Это не обмен на то что софт безопасный(менее удобный, но вот секьюрити...).
Нет, софт просто говно если называть вещи своими именами

ЗЫ: Лет 5-10 не пользовался мирандой, но на 95% уверен, что она всё ещё работает и плагин для пыгыпэ там есть.

Быстрый гуглеж показал что судя по всему нет.Ну может это не так.

 

[Knew100]

Нам срочно нужен новый ANOM: https://en.m.wikipedia.org/wiki/ANOM

По сабжу: ну по большому счету, если всем хочется прям безопасной безопасности безопасного вида, обменивайтесь криптоконтейнерами без всякой глубокой интеграции с какими-то мессенджерами.

Как это сделать?

luks для шифрования контейнера вм. Думаю весь дистрибутив можно мегабайт в 100 упихать, может даже меньше. Этакий whonix, но не для вебсерфинга, а только мессенджер.
В любом случае безопасный мессенджер и его окружение нужно как-то изолировать от винды, проще всего это сделать средствами виртуализации.
Соответственно новичкам, если уж на то пошло - достаточно будет поставить свой любимый вмварь и запустить контейнер, в котором все предварительно настроено, сделана правильная маршрутизация на случай отвала vpn и так далее.

Почему не QEMU? Правда что TOX идет в обход TOR без криптоконтейнера?

 

[kosok11]

Как это сделать?

Почему не QEMU? Правда что TOX идет в обход TOR без криптоконтейнера?

Хотелось бы конечно увидеть ревью Session от кого-то из бывалых. На первый взгляд он выглядит хорошо.

 

[bratva]

В виде рабочего мессенджера мне лично хотелось бы видеть очень простой мультиплатформенный плагин-тулзу работающий через локальный прокси (как это было в случае SIMP/NDC, тулзы Фиджа), который шифрует сообщения на лету в любом мессенджере, где можно пропустить трафик через прокси и с возможностью обменяться ключами НЕ ЧЕРЕЗ тулзу, а так как хочешь этого лично ты - ручками через любой канал. Еще лучше, если бы была возможность контролировать криптографию, а-ля режим для паранойков - генерировать ключи ВНЕ тулзы, обязательный аудит криптографии независимой стороной + оупенсорс с контролем версий (все модули криптографии НЕ обновляются, если только не было проколов в алгоритме, контроль хэшей файлов на случай провокаций).

Это решило бы так много вопросов! Включая общение с детьми в ТГ, старперами в жабах и представителями шкафчиков в Токсе. Потому что по сути мне не нравится ни один мессенджер, и я предполагаю наличие эксплойтов почти под каждый протокол (ага, протокол, а не клиент). Но в рамках моего ОпСека - мне лично хватило бы шифрования сообщения, разделения контактов по разным айди, смена их и т.д. = этому всему уже научены сквозь годы.

 

[Vinki]

bratva с почином, вечно занятой товарищ

 

[Quake3]

Плюс токса в том, что есть андроид приложения, по идее более менее защищено.

Не юзал его на андройде (почти), но на компе это хз что; помню раз меня пригласили в какую-то конфу в токсе на 3 чел - кроме матов сказать было нечего.

3. ЖАББЕР ПЛАХОЙ!111

ЗЫ: Лет 5-10 не пользовался мирандой, но на 95% уверен, что она всё ещё работает и плагин для пыгыпэ там есть.

И собирается с пол пинка ? Вот как телега, скачал, установил, сгенерил и поехал?
А как быть, что gpg4win не работал на ру винде? Сгенерит ли ключ плагин миранды или есть нюансы?

если перетерпеть наплыв эмоций, можно, покрасноглазив, решить проблемы.

Конечно можно. Можно и на виндовс ХР сейчас работать, прикрутить туда все что угодно (как и делают некоторые шизики энтузиасты). Вопрос в том, что новичок не будет красноглазить.

Квейк ты же кодер, тряхни стариной, ты же квейк в конце концов.
Накодь нам секурный клиент на питоне, с отром и пгп.

Если и писал бы, то только на Си. Но с закрытым кодом его никто не будет юзать, а с открытым - ты напишешь что там говнокод.
Это шутка, конечно..

Естественный отбор никто не отменял. Если у человека нет мозгов и мотивации, чтобы разобраться в технологии досконально - нефиг лезть в блэк.

Это надо объяснять людям. Мы пишем что телега не секурна, а рядом в теме люди пишут что все ок, пользуйся. Новичок читает и их, и нас, думает, хочет попробовать - телега удобная, а жаба кривая. Вот в чем проблема.

 

[Whisper]

И тем не менее самое разумное я считаю:
Взять пайтон и сделать чатилку с выкидываением всего ненужного, никаких свистоперделок, никаких _не явно_ передаваемых данных.
Протокол реализован так же должен быть на пайтоне, по максимуму билт ин либ.
Все максимально прозрачно, что то переполнить и устроить рце будет не просто.

 

[bratva]

Все максимально прозрачно, что то переполнить и устроить рце будет не просто.

Проблема создания велосипеда (даже идеального, хотя идеальный он только в мечтах кодера) - в реальной жизни людям нравятся разные велосипеды.

Годами все пользуются одними и теми же клиентами, кто-то привык к одному протоколу, кто-то к другому. Пиздец было людей сложно перетянуть на Токс, до сих пор есть много перспективных пентестеров, кого сложно вытянуть из Телеги (они все равно продолжают ей пользоваться, не с тобой - так с другими).

Поэтому человеческим фактором нельзя пренебрегать. Решение должно быть универсальное и это не должен быть велосипед, тогда больше шансов на его массовое продвижение. Если это все завязать на криптографии в контексте простого плагина-тулзы поверх текущих мессенджеров-протоколов и с минимальным гемором при установке - это и было бы таким разумным решением.

 

[Whisper]

Проблема создания велосипеда (даже идеального, хотя идеальный он только в мечтах кодера) - в реальной жизни людям нравятся разные велосипеды.

Годами все пользуются одними и теми же клиентами, кто-то привык к одному протоколу, кто-то к другому. Пиздец было людей сложно перетянуть на Токс, до сих пор есть много перспективных пентестеров, кого сложно вытянуть из Телеги (они все равно продолжают ей пользоваться, не с тобой - так с другими).

Поэтому человеческим фактором нельзя пренебрегать. Решение должно быть универсальное и это не должен быть велосипед, тогда больше шансов на его массовое продвижение. Если это все завязать на криптографии в контексте простого плагина-тулзы поверх текущих мессенджеров-протоколов и с минимальным гемором при установке - это и было бы таким разумным решением.

А я не про то что бы всем причинить пользу не совместимую с слабоумием.
Я скорее про себя любимого и тех остальных кому такое интересно.

 

[Gorg]

Быстрый гуглеж показал что судя по всему нет.Ну может это не так.

У них просто новый сайт уже лет как 5 если не больше: https://miranda-ng.org/ru/about/

Миранда поддерживает протокол Jabber XMPP и в частности шифрование XEP-0384: OMEMO Encryption https://wiki.miranda-ng.org/index.php?title=Plugin:Jabber/ru

Это надо объяснять людям. Мы пишем что телега не секурна, а рядом в теме люди пишут что все ок, пользуйся. Новичок читает и их, и нас, думает, хочет попробовать - телега удобная, а жаба кривая. Вот в чем проблема.

Это называется типичная проблема "большинства", но есть нюанс, вот например есть Фейсбук или Тик-Ток, или Твиттер или что-то там ещё, вот там ваще сидят миллиарды, казалось бы немыслимые цифры, вот где какой-то телеграм, а где Фейсбук?

Но мы же не бежим сломя голову регаться в Фейсбуке, Инстаграме или Тик-Токе под предлогом, что там сидят миллиарды пользователей? Хотя казалось бы в нашей работе это большой плюс, т.к. охват аудитории просто колоссальный, и никакие "тилиграмы" там и рядом не стояли, не сидели, и даже не лежали...

Точно так же и тут, ну сидят и сидят, да и бы с ними...

Раньше тоже все как петушки кукарекали что мол в ВК все сидят, а я вот например там даже не регался никогда.

Просто тут важно понимать, что вам важнее, очередные +500 рублей от школьников из тилиграма за "некие услуги", либо безопасность, т.к. под видом этого самого "заказчика" может выступать товарищь майор, а все данные сольют по первому запросу.

 

[bratva]

Это называется типичная проблема "большинства", но есть нюанс, вот например есть Фейсбук или Тик-Ток, или Твиттер или что-то там ещё, вот там ваще сидят миллиарды, казалось бы немыслимые цифры, вот где какой-то телеграм, а где Фейсбук?

Но мы же не бежим сломя голову регаться в Фейсбуке, Инстаграме или Тик-Токе под предлогом, что там сидят миллиарды пользователей? Хотя казалось бы в нашей работе это большой плюс, т.к. охват аудитории просто колоссальный, и никакие "тилиграмы" там и рядом не стояли, не сидели, и даже не лежали...

Бежим и регаемся, братишка. Потому что в Твиттере палится ежедневно больше тем, чем за месяцы на форумах. Я довольно долго не хотел этого делать, но к окружающей действительности нужно приспосабливаться, если хочешь оставаться на плаву.

Существует стереотип, что дескать для успешной работы достаточно узкого круга лиц. Долгое время мы лично старались работать так: но политические реалии внесли свои коррективы. Когда контакты отваливались десятками и внезапно. К Телеге я тоже долго время предвзято относился, что она не стоит внимания, дети-соли и ФСБ, но... невероятно, но факт: уже сейчас в некоторых темах там наиболее активные сообщества. Речь не только о крипте, есть и куча молодых внятных пентестеров, и кодеры эксплойтов, весь рынок активаций и логов там, арбитражи и трафик-тусовка, спамеры, огромное количество хостеров, прокси сервисы, паблик базы (тг - лучший абузный хостинг) и т.д., и т.п.

 

[kosok11]

Просто тут важно понимать, что вам важнее, очередные +500 рублей от школьников из тилиграма за "некие услуги", либо безопасность, т.к. под видом этого самого "заказчика" может выступать товарищь майор, а все данные сольют по первому запросу

вот я читаю вот такое вот и не могу понять: что должна слить телега по запросу?
Вот я купил готовый акк \ разово арендовал х*й пойми где симку х*й пойми какой страны, из этого получил акк телеги.
Регнул я его и использую исключительно на арендованных серверах, к которым подключаюсь через 3 п*зды колено.
Общаюсь я там исключительно по рабочим моментам.
Что может слить телега?
Адерс временного сервера, который был арендован на одноразовую почту и оплачен криптой?
Переписки, в которых 0 личной информации?
Даже если мы представим, что телега по запросу выдала полный дамп всех переписок: максимальный профит - это связать какие-то конкретные деяния с конкретным аккаунтом\профилями. Что дальше?

Либо я чего-то не понимаю, либо при грамотном использовании телега не критично опаснее любого форума, которые неоднократно взламывались.
Поправьте меня, если я чего-то не понял.

 

[bratva]

вот я читаю вот такое вот и не могу понять: что должна слить телега по запросу?
Вот я купил готовый акк \ разово арендовал х*й пойми где симку х*й пойми какой страны, из этого получил акк телеги.
Регнул я его и использую исключительно на арендованных серверах, к которым подключаюсь через 3 п*зды колено.
Общаюсь я там исключительно по рабочим моментам.
Что может слить телега?
Адерс временного сервера, который был арендован на одноразовую почту и оплачен криптой?
Переписки, в которых 0 личной информации?
Даже если мы представим, что телега по запросу выдала полный дамп всех переписок: максимальный профит - это связать какие-то конкретные деяния с конкретным аккаунтом\профилями. Что дальше?

Либо я чего-то не понимаю, либо при грамотном использовании телега не критично опаснее любого форума, которые неоднократно взламывались.
Поправьте меня, если я чего-то не понял.

Вопрос как всегда в вдумчивости использования того или иного инструмента, понимания (принятия) рисков. Я не сомневаюсь, что у тебя лично проблем не возникнет. Но многие (к сожалению) привыкли использовать Телегу не только как мессенджер и читалку каналов, но и как основной инструмент передачи информации (включая критическую и личную) между своими устройствами, форвардинг сообщений между личными и рабочими акками, активное использование Телеги на мобильных устройствах (рабочих и личных акков на одном устройстве) и/или с WI-Fi, и/или на устройствах, где воткнута любая нормальная сим-карта (с риском косяка и передачи трафика по мобильному интернету и сливу всего этого телеге).

Mtproto - по сути закрытый протокол, мы не знаем, что они собирают на сервере/как компануют трафик и передают ли снэпшоты трафика каким-нибудь интересным трехбуквенным конторам? Потому что если даже у тебя все идеально: при желании можно собрать мета-дату за большой отрезок времени и вычислить тебя в другом месте (сравнивая куски трафика, я даже не говорю про тренированную нейронку). И я не говорю про быдло-осинт - случайный лойс не там где надо, случайный репост, случайное упоминание (с кучей публичных и непубличных сервисов, кто собирает эти данные). Вот это и есть основная проблема Телеги, т.е. это по сути не мессенджер, а как гигантский ханипот, поощряющий использование своего акка для максимального количества действий с трафиком - передача и хранение файлов, чтение каналов (отсюда твои интересы, время сессий, поведенческие), логины, ТОН и многое другое.

Задумайся еще над такой вещью - команда Дурова практически в оригинальном составе ушла с ВК в Телеграм и отказалась от идеи обязательной идентификации пользователей каким-нибудь другим образом кроме телефона. Я не знаю, помнишь ты или нет, но ВК начал же жестко в свое время выпиливать акки с левыми именами и подозрениями на фейки (не только из-за политоты и запретительства), Дуров тогда объяснял это сутью сервиса - необходимостью социальной сети с живыми людьми. Но у меня такая паранойная мысль есть, что посидев на члене ФСБ такое долгое время и поработав с крупнейшей Биг Датой и ее аналитикой, команда Дурова с кураторами осознали, что для идентификации людей тебе и не нужно информации много - кроме информации об их мобильных устройствах, сессиях, поведении и интересах. Возможно я паранойю, но подумай над этим.

 

[nightly]

Quake3 Briar?


Интересно почему все так игнорируют этот месседжер.
- Tor
- Открытый исходный код (полностью)
- No spam
- Вериф
- Р2Р
- Был аудит
- Хорошая документация
- Современное шифрование