Перейти к содержанию
BlackBerrys.ru
novikov_a

BBM назвали одним из самых незащищенных мессенжеров.

Рекомендуемые сообщения

Я в шоке! Что это за вброс? Давайте без эмоций разберёмся, что тут к чему. 

https://www.amnesty.org/en/latest/campaigns/2016/10/which-messaging-apps-best-protect-your-privacy/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, novikov_a сказал:

Я в шоке! Что это за вброс? Давайте без эмоций разберёмся, что тут к чему. 

https://www.amnesty.org/en/latest/campaigns/2016/10/which-messaging-apps-best-protect-your-privacy/

Кто за девушку платит, тот ее и танцует

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Т.е.спокойно можно перехватить сообщения ббм в общем траффике с бб10?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

!Основатель Telegram и социальной сети ВКонтакте Павел Дуров уже успел отреагировать на опубликованные результаты. По его словам, «исследование проводили не эксперты, а идиоты».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не все так радужно и в других месенджерах шифрование в imessadge тоже от лукавого, особенно если вспомнить что в одном зашифрованном диалоге можно участвовать с энного количества устройств. Почта рулит господа.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, sgrem сказал:

Т.е.спокойно можно перехватить сообщения ббм в общем траффике с бб10?

Наоборот, те сообщения ББМ что не на  ББ10 и ББОС. 

Изменено пользователем Gurza

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
22 минуты назад, Gurza сказал:

Наоборот, те сообщения ББМ что не на  ББ10 и ББОС. 

А как дела обстоят с сообщениями PIN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, sgrem сказал:

А как дела обстоят с сообщениями PIN?

Где? На ББ10 нормально обстоят с такими сообщениями, на тех ББ что на андроиде их нет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, Gurza сказал:

Наоборот, те сообщения ББМ что не на  ББ10 и ББОС. 

А как дела обстоят с сообщениями PIN?

 

13 минуты назад, Gurza сказал:

Где? На ББ10 нормально обстоят с такими сообщениями, на тех ББ что на андроиде их нет. 

В моем понимании ББ есть только ББ10,ведро не ББ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле, техническая сторона проблемы (encryption) - это одна сторона медали. Другая - прозрачность компании в вопросах защиты прав и приватности пользователей. И здесь BlackBerry явный дауншифтер. Apple, Google, Microsoft, Facebook - все они публикуют инфо о запросах госорганов про их пользователей. BlackBerry этим явно не страдает и выглядит в глазах Amnesty явным пособником правительств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

T.e. я правильно понял, самые защищенные были старые аппараты, которые были на OS 6-7.1? А в новых надо что-то покупать для защиты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, mioking сказал:

T.e. я правильно понял, самые защищенные были старые аппараты, которые были на OS 6-7.1? А в новых надо что-то покупать для защиты?

Самый защищенный вариант - свой сервак BES на трубках BBOS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но как я понял подключить BES можно если только сервак конторы, операторы физлиц не подключают. А вопрос был в том какие устройства старые или новые больше защищены? ВВМ через бис сервис или ббм через сервер оператора лучше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Sharky сказал:

Ну наконец-то начали задавать правильные вопросы :)

Поясняю в чем суть. Речь идет о end-to-end encryption. То есть, когда ваше сообщение шифруется непосредственно на вашем аппарате и расшифровывается на аппарате получателя. Расшифровка его man-in-the-middle считается невозможной или осложненной. Так вот, в бесплатной редакции BBM такой защиты нет. И вот почему - все идет через VPN BBRY до их серверов, если мы говорим про BBOS/BB10. В случае андроида/iOS сообщения идут в открытом виде на сервера BBRY. То есть их реально перехватить и даже подменить.

То есть, все ваше общение идет незашифрованным и доступно владельцам этих серверов. В случае же с тем же WhatsApp, Viber, Line - шифрование происходит на стороне клиента, и сами сообщения недоступны владельцам сервиса (это надо изучать более подробно, но пока возьмем это за аксиому, ибо алгоритмы заявлены именно таким образом).

А теперь ключевой вопрос - почему так получилось? Вспоминая всю историю вокруг безопасности BBRY, могу точно сказать, что безопасность BBRY это миф. Ранее никто особо не интересовался вопросами насколько оно все устойчиво к взлому. Пока BBOS работала в режиме клиент->VPN->сервер все было в порядке, и озадачиваться дополнительным шифрованием не было смысла. Взломать сам VPN проблематично, а пока он не взломан - гоняй по нему данные как хочешь, все защищено. Сам VPN гарантировался на уровне оператора (точка доступа), поэтому вклиниться где-то не было возможным. Но с уходом от такой схемы, начали проявляться слабые звенья. С уходом на кросс-платформу все стало еще хуже. Не везде была возможность поднять свой собственный канал, поэтому от такой схемы отказались... и ввели платную схему шифрования на стороне клиента. То есть, хочешь безопасности? Плати!

Понятно, что во всех исследованиях и рейтингах рассматривалась именно платная модель, а она довольно хорошо защищена... Хотя, опять же, никто основательно ее не щупал, как это произошло с безопасностью бэкапов BBOS6, когда выяснилось, что они защищены ОДНОЙ (ипаааать, Карл, одной!) итерацией AES256. Я помню, когда мы это обнаружили, то были просто в шоке - взлом бэкапа не требовал мощного железа, не надо было мощных GPU или распределенных серверов, все делалось на одном CPU за считанные секунды. Конечно, после того, как мы опубликовали доклад на эту тему, то где-то через пару месяцев BBRY пофиксили и подняли количество итераций до 20.000, но до этого момента безопасности фактически не существовало. Был шпингалет на деревянной двери, который выбивался легким толчком плеча.

Сейчас люди присмотрелись и к BBM, который позиционируется как "самый безопасный мессенджер"... ну и выяснилось, что нифига он не безопасен для тех, кто не платит...

Только и всего

Простите, какое может быть end-to-end шифрование, если изначальное соединение устанавливается через сервер? Или я что-то не понимаю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, Sharky сказал:

В случае андроида/iOS сообщения идут в открытом виде на сервера BBRY. То есть их реально перехватить и даже подменить.

То есть, все ваше общение идет незашифрованным и доступно владельцам этих серверов. В случае же с тем же WhatsApp, Viber, Line - шифрование происходит на стороне клиента, и сами сообщения недоступны владельцам сервиса (это надо изучать более подробно, но пока возьмем это за аксиому, ибо алгоритмы заявлены именно таким образом).

Почитав разные материалы и источники (ранее, если честно, этим не интересовавшись вообще), я понял следующее. Sharky поправьте, если я не прав!!!

1. Речь о недостаточной защите по сравнению с Е2ЕЕ идет в основном именно о сообщениях ББМ для Андроид/Яблока/Винды? И это в случае, если пользователь - не под контролем БЕС, и/или он не оплатил годовую подписку ББМ Протектед?

2. Так следуя описанию Security Note для ББМ, сообщения между пользователями ББОС и ББ10 все же защищены Тройным 168 Битным ключом, встроенным уже в ББМ или в смартфон ББ. И дополнительно данные защищены протоколом TLS. 

Сообщения ББМ же для Андроид/Яблока/Винды защищены только TLS и это значительно низкий уровень защиты, чем сравниваемые протоколы Е2ЕЕ. Это так, верно?

3. Также в некоторых статьях и источниках обсуждается то, что защита Е2ЕЕ более надежная даже по сравнению с тем встроенным ББ ключом. И достичь того же уровня защиты для сообщений ББМ даже между пользователями смартфонов ББ, возможно только либо используя БЕС, либо купив ББМ Протектед, чего для пользователей других мессенжеров делать не нужно.

4. Однако из других источников становится понятно, что это утверждение тоже не совсем верно, потому, что весьма вероятная опасность появления "человека посредине", то есть возникшего в нужный момент лица, которое будет перехватывать сообщения, содержащие ключ для раскодировки. Так как ключ посылается именно в сообщениях, чтобы получатель смог их расшифровать. Также есть вероятность создания зловреда, интегрированного в смартфон, который будет перехватывать эти ключи и посылать дубли третьим лицам.

5. В случае, если мы имеем дело со стандартным ББМ (без БЕС и ББМ Протектед) и двумя пользователями с аппаратами ББ, это сделать не возможно, так как ключ не пересылается по сетям во время общения.

Это так?    

 

Ну и вообще! Какого уровня защиты хотят добиться два физических лица в частной переписке?

Что двух протоколов параллельных защиты стандартного ББМ не достаточно что-ли?

Меркель на Q10 пересадили как? Или она просто новый телефон купила и факт выявления ее прослушки просто совпал с датой покупки ею нового смартфона?

Изменено пользователем novikov_a

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, да! Вот еще в голову пришло. А кто-то оценивает уровень самого шифрования в мессенжерах в дефолтным Е2ЕЕ?

Или просто априори, если Е2ЕЕ есть, то это уже супер защита?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще треш!!!

Может ну его нафиг, этот ББРИ!  Только сегодня прочитал, как не просто организовать BBM Protected, если у тебя что-то пошло не так. И простыми, прямыми путями от ББРИ ничего нельзя добиться, от тех, кто должен за это отвечать по написанным ими же правилам.

Зато целое подразделение существует для слива информации в полиции 10-ка разных стран!!! Почитайте, это просто офигеть можно! Не мудрено, что этот гребанный китаец возмущается тем, что Яблоко не предоставляет информацию полиции по их запросу! Офигеть, почитайте!  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

novikov_a спросил все :) и еще у меня вопрос к Sharky : а какого уровня зашита в пин-ту-пин сообшениях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Azer сказал:

а какого уровня зашита в пин-ту-пин сообшениях?

самые защищенные, т.к. минуют посредников (опсосов и серверов) попадая прямиком на телефон получателя

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...