Мысли о безопасных мессенджерах

[bigheadguy]

Да понял я, понял. Успокойся уже. Понятное дело у тебя эксклюзивный индивидуальный доступ к анонимному вай-фаю, симкам, супер-пупер анонимным дедикам, абузо и арбузо-устойчивым сервакам, именно твои серваки не логируются, с них невозможно снифать трафик и ваще хостятся в ж... мира на соседней полке с порнушкой, а оплачиваешь ты всё это дело анонимной криптой через миксеры что бы транзакции не отследили))

Ты главное не раскрывай свои супер схемы тут на форуме, а то все станут неуязвимы и анонимны в тилиграме и не только.

ххахаххаххах, умозаключение 89 лвл)
и все таки, вопрос не в безопасности тг или жабы) а в том, как приучить молодых действовать анонимно)

 

[Dread Pirate Roberts]

товарищи, не забывайте о low-hanging fruit. не надо перетаскивать людей в безопасные мессенджеры, вы этим только себе делаете хуже.

 

[Dread Pirate Roberts]

пользователям телеграма и не только будет полезно: https://xss.pro/threads/96698/

 

[sesh]

Пришли эксперты, и как всегда все ушло в гипотетические "идеальные" сценарии. Но как бы вот эти вот "если" на практике все не состыкуются, произойдет какой-то проеб, в данном случае даже неважно по глупости (новичок) или неосторожности (все мы люди), последствия могут оказаться серьезными. Именно поэтому топик о том чтобы найти максимально приближенный к "безопасному из коробки" варианту общения, а то все обсуждение скатилось в "спасение утопающих дело рук самих утопающих". И не стоит забывать о том, что безопасность так то это относительное понятие. Важно понимать от кого ты хочешь обезопаситься, и уже от этого отталкиваться.
А этого всего понимания у неопытного нету. Но при этом поступают предложения регать телегу. Зачем? Это путь вопреки, а не благодаря. Как я это вижу:

Жаба:
1. Сервер надо скомпрометировать
2. Найти ценную инфу (незашифрованные переписки, айпишники и т.д)
3. Сопоставить это с чем-то личным

Условный централизованный сервис:
1. Ничего компрометировать не нужно, все достается довольно таки легко
2. Все на блюдечке, если надо еще удобные инструменты для работы предоставят
3. ИИ все проанализировало и сопоставило давным давно

При этом с жабой все очень неточно, вскроют ли сервер, хранит ли сервер логи (зачем), неужели ОТР который идет из коробки так сложно включать в онлайне а в оффе пользоваться записками, как много инфы можно собрать с твоих даже пусть будет регулярных проебов аля забыл врубить отр на одно сообщение пока собеседник не сделал это, пальнул какой то важный айпи и т.д?... Разница по-моему на лицо. В конце концов, поставить Whonix и запихнуть в него Psi+ это так легко, что даже пары минут не займет без учета времени скачки и инсталляции. Активируешь ОТР в плагинах и все вот тебе нереальная крутая установка для новичка. Что еще нужно я не понимаю, поправьте плиз если что не так сказанул.

P.S По PGP я полностью согласен, я в первый раз пока разбирался как его настроить бедный собеседник охуел сколько раз ему пришлось перезапустить клиент... Но опять же для новичка ОТР с головой хватит, имхо.

 

[товарищ_майор]

на приватный жабасервер, который никому ничего не выдаст даже под пытками))

А много ли он сможет выдать под пытками? OMEMO гарантирует end-to-end в прямом смысле этого слова, с генерацией и хранением ключей на девайсах пользователей, даже если сообщения хранятся на сервере. Протокол открытый и хорошо описанный. Аккаунт регается и юзается только через Тор, без всяких левых симок и телефонов. У сервера остаётся только метадата, которая, конечно, тоже представляет ценность для товарища майора, но это самое меньшее, чем можно отделаться. Естественно, всегда есть возможность где-нибудь накосячить, и никакой софт не поможет человеку, который идиот по определению. Но юзать мэйнстримовый, коммерческий и полностью централизованный сервис вроде телеги для чего-то большего, чем бытовуха - такое себе.

 

[Guron_18]

без знаний
в телегу через tor х..й зайдешь )

Не надо быть гением, что бы зайти в настройки. Несете порой откровенную чушь.

Да да, действительно, все с мобил сидят. 90%

У тебя просто нет знакомых геймеров. У меня кореш купил тел. специально в COD играть. причем на ПК версии он никогда не играл.

 

[bigheadguy]

А много ли он сможет выдать под пытками? OMEMO гарантирует end-to-end в прямом смысле этого слова, с генерацией и хранением ключей на девайсах пользователей, даже если сообщения хранятся на сервере

если тебя собираются принять, то ТОВАРИЩ_МАЙОР уже имеет все на тебя, что нужно. твое шифрование ни к чему. не станут ничего ломать. он уже с тобой пообщался и совершил преступление.

Но юзать мэйнстримовый, коммерческий и полностью централизованный сервис вроде телеги для чего-то большего, чем бытовуха - такое себе.

отчасти соглашусь. ну напомню. тебя просто так искать не станут. а если начали, то будет контрольная закупка.
просто так взять чей то мессенджер(тг это будет или жаба) не имеет смысла. нужен свидетель, который подтвердит деяние.
из этого вывод, что надо грамотно подходить к собственной безопасности. не работать с каждым васей по обьявлению.
у меня в жабе 3 контакта. никакого спама нет. соответственно, не думаю, что она будет интересна кому то.


была ситуация. работали с андройд. раздавал контакты все кому нужно. как свои, так и коллеги(с его разрешения)
работали по польше. спустя год, серваки жабы полетели. может кто то помнит, это был 20 год. а коллега пропал.
совпадение? не думаю. были другие его контакты(форум, тг, другая жаба) нет его по сей день.

 

[товарищ_майор]

если тебя собираются принять, то ТОВАРИЩ_МАЙОР уже имеет все на тебя, что нужно. твое шифрование ни к чему. не станут ничего ломать. он уже с тобой пообщался и совершил преступление.

тебя просто так искать не станут. а если начали, то будет контрольная закупка.
просто так взять чей то мессенджер(тг это будет или жаба) не имеет смысла.

не работать с каждым васей по обьявлению.

В таком случае для чего нужна возня с левыми симками, телефонами и дедиками? В чём проблема просто работать с доверенными людьми через МэйлРу почту, зареганную на ваш номер, подключаясь со своего условного Ростелекомовского АйПи? Никто ведь просто так её читать не будет.

 

[Gorg]

У тебя просто нет знакомых геймеров. У меня кореш купил тел. специально в COD играть. причем на ПК версии он никогда не играл.

Конечно у меня нету знакомых геймеров, да и знакомых сидельщиков в тилиграме тоже нету, но зато у меня есть факты:

1) https://www.twitch.tv - смотрим сколько подписчиков и зрителей смотрят топ стримеров
2) https://dtf.ru/gameindustry/2031081...am-v-ney-nahodilos-bolshe-875-tysyach-igrokov - рекорд по онлайну
3) https://dtf.ru/s/1034819-blog-ggsel/1926526-top-samyh-prodavaemyh-igr-za-pervuyu-polovinu-2023-goda - топ самых продаваемых игр за первую половину 2023 года, на циферки продаж посмотрите

Никто не сидит с ПК, вот прям ваще никто, все с мобил да в тилиграмме.

спустя год, серваки жабы полетели. может кто то помнит

Хм... ну а как же так произошло то? А как же ваши супер-пупер-мега-ультра сверхзащищённые эксклюзивные сервера поставляемые лично вам от сверхнадёжных контактов? Получается подвели?

А https://thesecure.at как работали так и работают)

 

[bigheadguy]

В таком случае для чего нужна возня с левыми симками, телефонами и дедиками? В чём проблема просто работать с доверенными людьми через МэйлРу почту, зареганную на ваш номер, подключаясь со своего условного Ростелекомовского АйПи? Никто ведь просто так её читать не будет.

так ведь надо где то взять проверенного васю.

Хм... ну а как же так произошло то? А как же ваши супер-пупер-мега-ультра сверхзащищённые эксклюзивные сервера поставляемые лично вам от сверхнадёжных контактов? Получается подвели?

А https://thesecure.at как работали так и работают)

где было написано, что там было все супер надежно? я хз как получилось, но такое бывает.
что касается местной жабы, то воздержусь от комментария. админ уже писал про личную безопасность в одном из тредов.

 

[bratva]

Жаба:
1. Сервер надо скомпрометировать
2. Найти ценную инфу (незашифрованные переписки, айпишники и т.д)
3. Сопоставить это с чем-то личным

...

При этом с жабой все очень неточно, вскроют ли сервер, хранит ли сервер логи (зачем), неужели ОТР который идет из коробки так сложно включать в онлайне а в оффе пользоваться записками, как много инфы можно собрать с твоих даже пусть будет регулярных проебов аля забыл врубить отр на одно сообщение пока собеседник не сделал это, пальнул какой то важный айпи и т.д?... Разница по-моему на лицо. В конце концов, поставить Whonix и запихнуть в него Psi+ это так легко, что даже пары минут не займет без учета времени скачки и инсталляции. Активируешь ОТР в плагинах и все вот тебе нереальная крутая установка для новичка. Что еще нужно я не понимаю, поправьте плиз если что не так сказанул.

Мне хочется с тобой согласиться во многих вещах, но современная ситуация показывает, что с жабой проблемы имеются тоже. Во-первых, я не очень понимаю, почему ты ее противопоставляешь "централизованным" решениям? Да, есть межсерверные, можешь использовать свой православный сервер, НО: это все таки не p2p, она все равно остается централизованной. И сервер скомпрометировать на самом деле не так и сложно: есть и публичные 0дей, как недавний: https://learningsomecti.medium.com/path-traversal-to-rce-openfire-cve-2023-32315-6a8bf0285fcc

Вопрос на засыпку: как ты думаешь, какой процент пользователей жабы в принципе в курсе о софте сервера? А о софте-сервера их контактов? Проблема причем ведь не только в логах ваших бесед, а например в контакт-листах, которые хранятся на сервере и часто заботливыми ручками ваших респондентов палят все ваши старые ники через запятую Опять же - айпи-адреса, можно при желании включить принудительную авторизацию всех и собрать в плейнтексте пароли, а потом прогнать их через известные утечки.

Поэтому если честно - хер знает что лучше - сидеть в Телеге, осознавая риски или сидеть в жабе и иметь ложное чувство безопасности.

Также этот тред замечательно демонстрирует ситуацию, как сложно придти к какому-то консенсусу Поэтому я за какую-то универсальную надстройку над любым мессенджером, чем попытки использовать что-то одно. Хотя начать просто хотя бы систематизировать информацию о месенджерах и доносить риски до масс - это тоже очень хорошая и здравая идея.

 

[kosok11]

...

Мне хочется с тобой согласиться во многих вещах, но современная ситуация показывает, что с жабой проблемы имеются тоже. Во-первых, я не очень понимаю, почему ты ее противопоставляешь "централизованным" решениям? Да, есть межсерверные, можешь использовать свой православный сервер, НО: это все таки не p2p, она все равно остается централизованной. И сервер скомпрометировать на самом деле не так и сложно: есть и публичные 0дей, как недавний: https://learningsomecti.medium.com/path-traversal-to-rce-openfire-cve-2023-32315-6a8bf0285fcc

Вопрос на засыпку: как ты думаешь, какой процент пользователей жабы в принципе в курсе о софте сервера? А о софте-сервера их контактов? Проблема причем ведь не только в логах ваших бесед, а например в контакт-листах, которые хранятся на сервере и часто заботливыми ручками ваших респондентов палят все ваши старые ники через запятую Опять же - айпи-адреса, можно при желании включить принудительную авторизацию всех и собрать в плейнтексте пароли, а потом прогнать их через известные утечки.

Поэтому если честно - хер знает что лучше - сидеть в Телеге, осознавая риски или сидеть в жабе и иметь ложное чувство безопасности.

Также этот тред замечательно демонстрирует ситуацию, как сложно придти к какому-то консенсусу Поэтому я за какую-то универсальную надстройку над любым мессенджером, чем попытки использовать что-то одно. Хотя начать просто хотя бы систематизировать информацию о месенджерах и доносить риски до масс - это тоже очень хорошая и здравая идея.

подписываюсь под каждым словом.

Я даже не знаю, можно ли было короче и лаконичнее сказать то, что я пытался изрыгнуть многими сообщениями выше и в итоге сдался

 

[sesh]

...

Мне хочется с тобой согласиться во многих вещах, но современная ситуация показывает, что с жабой проблемы имеются тоже. Во-первых, я не очень понимаю, почему ты ее противопоставляешь "централизованным" решениям? Да, есть межсерверные, можешь использовать свой православный сервер, НО: это все таки не p2p, она все равно остается централизованной. И сервер скомпрометировать на самом деле не так и сложно: есть и публичные 0дей, как недавний: https://learningsomecti.medium.com/path-traversal-to-rce-openfire-cve-2023-32315-6a8bf0285fcc

Да, неправильно выразился. И да, эти две разные по своей сути вещи сравнивать такое себе, риски и методы борьбы с ними тоже разные. Я абсолютно согласен что это "не так и сложно", но в процессе работы будет тратиться все равно больше ресурсов и на конвеер это ты не поставишь, что для новичка огромный плюс.

Вопрос на засыпку: как ты думаешь, какой процент пользователей жабы в принципе в курсе о софте сервера? А о софте-сервера их контактов? Проблема причем ведь не только в логах ваших бесед, а например в контакт-листах, которые хранятся на сервере и часто заботливыми ручками ваших респондентов палят все ваши старые ники через запятую Опять же - айпи-адреса, можно при желании включить принудительную авторизацию всех и собрать в плейнтексте пароли, а потом прогнать их через известные утечки.

Поэтому если честно - хер знает что лучше - сидеть в Телеге, осознавая риски или сидеть в жабе и иметь ложное чувство безопасности.

Да мне кажется нет особой нужды для БОЛЬШИНСТВА быть вовлеченным во все эти процессы и знать как там что происходит. В какой то степени да - это "неосознание рисков". Но опять же, люди "осознающие риски" это невероятно маленькая группа людей, которая будет их осознавать и в жабе, и в телеге в силу своих знаний и опыта. А новичку же разобраться в жабе по сути проще, ибо что там: оставайся анонимным и шифруй общение, что еще он может придумать со своими то знаниями? Когда же дело доходит до таких людей как ты, то да, лично я и не понятия не имею о чем вы заботитесь каждый день в плане безопасности. Неосознанность? Да. Единственное что можно с этим поделать - это развиваться. Хорошо подметил что главное это не расслабляться.

Также этот тред замечательно демонстрирует ситуацию, как сложно придти к какому-то консенсусу Поэтому я за какую-то универсальную надстройку над любым мессенджером, чем попытки использовать что-то одно. Хотя начать просто хотя бы систематизировать информацию о месенджерах и доносить риски до масс - это тоже очень хорошая и здравая идея.

Окей, у нас есть универсальная надстройка над любым мессенджером, а что если мы проебались при установке? Это же довольно таки просто проебаться в таком случае ибо универсальность это тоже не легко достижимая задача. И вообще, что же это у нас получается, ЦЕНТРАЛИЗАЦИЯ нашего общения в одном месте нашей системы??? Ох нет, надеюсь я еще не сошел с ума и она не мерещится мне везде...

 

[SVG45qbVolk]

Тут промелькнули три или даже 4 неплохих вариантов решений:

1. Создать новый мессенджер.
2. Модернизировать имеющийся джаббер.
3. Надстройка для популярных мессенджеров.
4. Держать готовую сборку для вирт. машин.

У всех вариантов свои плюсы и минусы, перейдём к ним.
Вариант 1 -
Плюсы:

• Новый и усовершенствованый анонимный клиент.

Минусы:

• Дорого.
• Займёт время на разработку.
• Нет лидера, который возглавит всё.

Вариант 2 -
Плюсы:

• Дёшево и быстро.

Минусы:

• Мы всё же будем иметь некачественный продукт и после модернизации.

Вариант 3 -
Плюсы:

• Можно не опасаться утечки реальных данных железа ментам.

Минусы:

• Ваши логи с переписками легко могут попасть в руки фсб/фбр и др.

Вариант 4 -
Плюсы:

• Нет никаких затрат.
• Решает проблему с настройкой раз и навсегда.

Минусы:

• Vmware платная, а кряков люди боятся.
• Virtualbox, про неё можно сказать всё тоже, что и Кваке про джаббер. Пытался с ней возиться, но даже тех. поддержка не помогла решить проблему с расширением.

Помоему изобрести новый, многоскоростной велосипед силами всего форума хорошая идея.

​

 

[asddddd]

Никакой принципиальной разницы нет. Сказано было к тому, что работать со смартфона = заранее выписать себе приговор.

Почему? Можно анонимизировать андройд. Эмулятор со сменой всех нужных параметров и тор

 

[bratva]

Почему? Можно анонимизировать андройд. Эмулятор со сменой всех нужных параметров и тор

Ты можешь подробно расписать, что ты подразумеваешь под сменой "всех нужных параметров". Особенно в контексте IMEI/IMSI.

 

[Quake3]

Virtualbox, про неё можно сказать всё тоже, что и Кваке про джаббер. Пытался с ней возиться, но даже тех. поддержка не помогла решить проблему с расширением.

Увы, это проблема всего опенсорца.

Создать новый мессенджер.

Этот вопрос упирается в финансы. Есть люди, которые могли бы закодить полноценный мессенджер, но им нужно платить. На одном энтузиазме выйдет очередной токс (в лучшем случае, ибо кодить за идею никому не хочется), а денег нет - т.к. большинство комьюнити не готово платить, или готово скинуть 50-100 баксов. А миллиардерам из рансома это все не нужно, походу.

По теме - нужно руками ставить PSI (желательно,PSI+), gnu4win, и настраивать. Готовых вариантов нет. Wime глючный. Miranda вроде работает, но только с RSA.

 

[dynstr]

Как-то новость была про наркокартели со своим мессенджером и устройствами связи. Итог один. Мне кажется, что все дело во времени. Периодически менять устройства, ПО, физическое местоположение себя. Твоя безопасность зависит от времени и от твоих привычек

 

[Quake3]

Как-то новость была про наркокартели со своим мессенджером и устройствами связи.

Там была провокация от ФБР, я же имею ввиду вариант, закодить с 0 мессенджер с открытым исходным кодом. Или же написать клиент ToX, но без уязвимостей.
Ес-но, если код будет закрытый, никто не будет доверять проекту. Хотя, 99% людей не понимают в том коде ничего, но.. так спокойнее.

 

[Villys]

лично я использую только Utopia удобно, надежно, безопасно