I nostri clienti stanno eliminando Signal messenger! Non ci aspettavamo segnali del genere
Un evento straordinario è accaduto 10 giorni fa. Uno dei nostri maggiori clienti ha riferito di aver disinstallato Signal messenger da tutti i dispositivi dei suoi dipendenti. Senza spiegazioni, ha chiesto che la possibilità di installarlo dall’app store di Mactrix fosse disabilitata.
In precedenza vi avevamo detto che stavamo ricostruendo Telegram e Signal per motivi di sicurezza. E solo allora i clienti possono installarlo sui loro telefoni.
Pertanto, il nostro leader del team di sviluppo è rimasto sorpreso, per usare un eufemismo. Lancia urgentemente un test della nostra versione di Signal. 70 ore di ricerca – 0 bug.
Siamo stati fortunati. Dopo alcuni giorni di silenzio alle nostre domande, il grande cliente ha risposto: so esattamente della fuga di notizie da Signal verso alcuni servizi.
Quindi che si fa?
Internamente pensavamo che Signal fosse al sicuro. Il nostro team leader predica letteralmente il valore delle soluzioni open source per determinate aree. E ovviamente Signal è stato scomposto in molecole. Anche l’opinione dei personaggi pubblici ha avuto un certo peso.
Anche in tali progetti, il problema è che è possibile inserire una backdoor. Come ha avvertito Pavel Durov: “La crittografia di Signal (=WhatsApp, FB) è stata finanziata dal governo degli Stati Uniti. Prevedo che una backdoor sarà trovata lì entro 5 anni da adesso”.
Ora non ci fidiamo di nessuno e iniziamo la nostra indagine:
- team leader tra esperti di criptovalute e hacker
- altri di pubblico dominio
Dove viene utilizzato il protocollo Signal in questo momento?
Signal, Facebook Messenger, Google Allo, Skype e Whatsapp.
Perché nessuno crede nella privacy della corrispondenza di Facebook e Whatsapp (almeno in base all’accordo pubblico sulla privacy), mentre su Signal non ci sono dubbi?
Chi ha iniziato tutto?
Moxie Marlinspike e il suo contributo alla crittografia dei messenger.
2010: fonda Whisper Systems insieme a un programmatore e crea RedPhone e TextSecure. Questi erano i prototipi dell’attuale Signal.
2011: Twitter acquista Whisper Systems, una società di 2 persone. E Marlinspike divenne capo della sicurezza informatica.
Elon Musk: i servizi segreti statunitensi avevano pieno accesso a tutta la corrispondenza su Twitter.
2013: Il nostro eroe ha lasciato Twitter e ha fondato una società chiamata Open Whisper Systems e ha subito iniziato a ricevere enormi donazioni. La società non ha rivelato i nomi dei suoi investitori.
Un minimo di $ 2.955.000 è stato dato dall’Open Technology Fund nel 2013-2016, e sul sito web dell’organizzazione si dice che Signal “è stato originariamente sviluppato con il finanziamento di OTF”.
OTF è un progetto del governo degli Stati Uniti.
È stato creato nel 2012 come programma pilota di Radio Free Asia (RFA), una risorsa della US Global Media Agency (USAGM), che a sua volta è finanziata ogni anno dal Congresso degli Stati Uniti per un importo di 944 milioni di dollari.
Avvertimento! Nell’agosto 2018, il CEO di USAGM ha ammesso che le priorità dei media “riflettono gli interessi di sicurezza nazionale degli Stati Uniti”.
Il New York Times ha descritto questi media come “una rete di propaganda mondiale creata dalla CIA”.
Leader della squadra: WTF!?
Scavare ulteriormente.
2014: Marlinspike ha annunciato di aver lavorato con WhatsApp per sei mesi per implementare un protocollo di crittografia end-to-end nel suo messenger per proteggere tutti i messaggi degli utenti.
2014: appare il segnale
2018: Moxie Marlinspike e Brian Acton hanno incorporato Signal Messenger LLC. E poco tempo dopo, hanno fondato la Signal Technology Foundation senza scopo di lucro. La fondazione ora possiede l’azienda e accetta tutte le donazioni. Segretamente, non da OTF.
Cos’altro sappiamo?
- L’exploit dell’intercettazione dei dati del segnale è confermato
- Ho trovato la conferma che Signal ha avuto problemi di sicurezza anno dopo anno, MA sembra che abbia avuto backdoor fin dall’inizio
Una consulenza a pagamento con esperti di criptovaluta ha confermato che Signal è stato costruito con fondi del governo degli Stati Uniti. Così è il browser Tor.
Almeno dal 2014, l’FBI ha monitorato da vicino Tor valutando i nodi di uscita degli utenti (il falso indirizzo IP che il server vede). Test indipendenti condotti dalla Columbia University hanno dimostrato che i ricercatori sono stati in grado di identificare oltre l’81% degli utenti Tor in test reali.
“Signal e Tor creano un falso senso di sicurezza. Dipende da chi stai cercando di nasconderti. Se è il tuo dipartimento di polizia locale e stai usando Signal, probabilmente è sufficiente. Ma se sei coinvolto in qualche tipo di protesta politica, organizzare e sfidare l’autorità del governo a un certo livello, non dipenderei da Signal per questo” – da La storia militare segreta di Internet di Yasha Levine.
Capo squadra:
Se non stai pagando per il prodotto
Tu sei il prodotto
Fidati dello scambio di informazioni sensibili Telefono crittografico de-google con messenger MChat integrato su sistema operativo Mactrix indipendente con crittografia a tre livelli:
- a livello di sistema operativo
- a livello applicativo
- a livello dello stack di rete
Visualizza una presentazione online del flusso di lavoro con un consulente per la sicurezza all’indirizzo:
Presentazione in linea