20:53
9/8/2018

Dziś wielu z Was od rana kontaktowało się z nami i na Twitterze i na Wykopie i przez redakcyjną skrzynkę. Pytaliście nas o zdanie w sprawie artykułów, jakie wczoraj zostały opublikowane w serwisach internetowych Rzeczpospolitej. Chodzi o te trzy artykuły.

W tekstach autorstwa Michała Szułdrzyńskiego, Michała Duszczyka i Wiktora Ferfeckiego padły niepokojące Was, takie sformułowania jak:

  1. “komunikatory nie są w 100% pewne”

  2. “WhatsApp znalazł się w tarapatach (…) oszuści mogą przechwytywać wiadomości przesyłane w ramach dyskusji grupowych lub prywatnych”

    “Signal, czy Telegram, które miały szyfrować treść rozmów i informacji tekstowych przesyłanych za pomocą smarfonów, ale okazały się mało skuteczne. – Używając tych aplikacji, treść rozmów może być wyjęta nawet z telefonu – alarmują w MK My Data”

    “W zeszłym roku WhatsApp przekazał 1 tys. nagrań z rozmów polskim organom ścigania.”

  3. “Gen. Skrzypczak uważa, że politycy nie zaczną korzystać z płatnych komunikatorów, dopóki nie nastąpi wstrząs, np. ktoś ujawni przechwycone informacje. – Wtedy zrozumieją, że błądzą”

Pytaliście nas jak jest naprawdę i co sądzimy o twórczości dziennikarzy Rzeczpospolitej. Przyjrzyjmy się więc każdemu z artykułów i skorygujmy całkowicie nieprawdziwe lub nie do końca prawdziwe informacje jakie od wczoraj pojawiają się w Rzeczpospolitej.

Uzupełnienie do pierwszego artykułu Rzeczpospolitej

“Komunikatory nie są w 100% pewne.”

To zdanie jest prawdziwe (żadne oprogramowanie nie jest w 100% bezpieczne), ale kiedy w artykule pada tylko takie ogólnikowe stwierdzenie, ciężko jest Czytelnikowi zrozumieć kiedy i dlaczego komunikatory “nie są pewne“. Od czego zależy “pewność” (czy też poprawniej: bezpieczeństwo rozumiane jako poufność komunikacji) osób korzystających z komunikatora?

Przytoczmy tu to, co przekazujemy na naszych szkoleniach dla VIP-ów (polityków, członków zarządu i managerów wysokiego szczebla oraz celebrytów, czyli wszystkich osób które ponadprzeciętnie powinny cenić sobie poufność komunikacji). Dobry komunikator powinien:

  • Zapewniać szyfrowanie End-to-End. Komunikat tworzony na telefonie/komputerze nadawcy jest szyfrowany kluczem odbiorcy i przez “niezaufany” internet podróżuje zawsze w formie niemożliwej do odczytania przez osoby trzecie. Rozszyfrowanie następuje dopiero na urządzeniu odbiorcy. To pokazuje, jak wielkie znaczenie dla poufności komunikacji ma bezpieczeństwo urządzenia końcowego (telefonu, komputera nadawcy albo odbiorcy). Jeśli ktoś uzyska do nich dostęp (a podsłuchiwać telefony można na 3 sposoby), to nie ma znaczenia, że treść rozmowy była szyfrowana. W komunikatorze odbiorcy i nadawcy jest ona przecież rozszyfrowana. Dlatego tak ważne jest odpowiednie zabezpieczenie smartfona i komputera, czyli tzw. hardening (por. Jak zabezpieczyć smartfona nie tylko przed służbami?).
  • Ułatwiać poufność poprzez automatyczne kasowanie odebranych wiadomości.
  • Szyfrować archiwum rozmów składowane na urządzeniu użytkownika, aby nawet po przełamaniu zabezpieczeń telefonu lub komputera ktoś kto nie zna “hasła-blokady do komunikatora” nie był w stanie odczytać treści rozmów.
  • Informować o tym, kiedy pod “konto” jednego z rozmówców podepnie się nowe urządzenie (to daje ochronę przed atakami MITM oraz informuje o tym, że rozmówca, którego przecież nie widzimy, zmienił urządzenie, co może oznaczać zarówno niegroźny upgrade sprzętu na nowy, jak również złośliwe zainstalowanie komunikatora przez inną osobę na innym sprzęcie po zdobyciu “loginu i hasła”, z którego do logowania do komunikatora korzystał nasz rozmówca.
  • Uniemożliwiać ataki z duplikatem karty SIM. Tak, za ich pomocą przejąć można nie tylko czyjąś gotówkę w banku, ale również “tożsamość” w komunikatorze służącym do prowadzenia poufnych rozmów.
  • Aspekt wygody: Pozwalać na rozmowy nie tylko tekstowo, ale również przy pomocy “głosowe” i “video” oraz oczywiście je także szyfrować
  • Aspekt wygody: Posiadać oprogramowanie pozwalające na korzystanie z komunikatora na każdym popularnym systemie operacyjnym.

 

Zainstaluj Signala

Wszystkie te funkcje posiada komunikator Signal. I my polecamy pobranie i korzystanie z Signala. Szyfruje on rozmowy end-to-end zarówno w formie tekstowej, głosowej jak i video. Ma wygodną aplikację na każdy z systemów operacyjnych (iOS, Android), także na tradycyjne komputery (Windows, Mac, Linux). Można w nim włączyć automatyczne “kasowanie” odczytanych wiadomości po pewnym czasie (minucie, dniu). A w dodatku Signal chroni się przed atakami duplikatu karty SIM — ktoś kto zdobędzie duplikat naszej karty SIM nie zaloguje się do sieci Signala, jeśli nie będzie znał odpowiedniego PIN-u. Redakcja Niebezpiecznika jak również koledzy z naszego zespołu bezpieczeństwa i reszta pracowników — wszyscy korzystamy właśnie z Signala. Zarówno na smartfonach jak i laptopach.

Jak już Signala zainstalujecie, warto abyście włączyli w nim dodatkowe zabezpieczenia:

Potrzebujesz więcej informacji odnośnie tego jak bezpieczenie komunikować się w interesach firmowych i w prywatnym życiu? Zapraszamy na nasz 3h wykład pt. “Jak nie dać się zhackować?“. Przekazujemy w nim porady jak poprawnie i bezkosztowo zabezpieczyć swój sprzęt (smartfon i laptop) oraz na co uważać korzystając z internetu. Bo ataków na Polaków jest coraz więcej i ludzie tracą w nich dane oraz pieniądze.

Niebawem będziemy z tym wykładem w kilku miastach, m.in. Warszawie, Krakowie, Gdańsku, Wrocławiu i Katowicach. Przyjść na wykład może każdy, a tutaj możecie zarezerwować miejsce). Gdyby termin/lokalizacja Wam nie odpowiadały, zawsze możecie zamówić taki wykład w wersji dedykowanej dla swojej firmy (wtedy my przyjeżdżamy do Was). Mamy także wersję tego wykładu skrojoną tylko pod VIP-ów (polityków, managerów i celebrytów).

Signal jest lepszy niż WhatsApp i Telegram

Jaką przewagę ma Signal nad WhatsAppem i Telegramem? Długo by o tym pisać, ale z najważniejszych kwestii, to nie stoi za nim żadna komercyjna firma, (za WhatsAppem stoi Facebook), więc Signal nie zbiera, nie przechowuje i nie dzieli się kontaktami (danymi Waszych znajomych) z partnerami. A WhatsApp tak (i to jest główna różnica między nim i Signalem, bo tak naprawdę to WhatsApp do komunikacji korzyta z protokołu Signala).

Telegram z kolei nie szyfruje wszystkich typów komunikacji, jakie są w nim dostępne, a to oznacza, że część użytkowników może nie zdawać sobie sprawy, że wymieniane przez nich informacje są widoczne dla innych (#służbylubiąto). W dodatku Telegram jest autorstwa Rosjanina, przeciwko któremu obecnie toczy się proces w Rosji (właśnie o dostęp do danych użytkowników). Nie wiemy czy pokazowy, czy prawdziwy. Ale wiemy jak rosyjskie służby potrafią naciskać i gdzie potrafią się dostać, nawet jeśli oficjalnie ich tam nie ma (por. Rosyjskie służby korzystały z infrastruktury Kaspersky Antywirusa do szpiegowania klientów na całym świecie). Dlatego z Telegrama nie radzimy korzystać.

Bardziej szczegółowe porównanie różnych komunikatorów, nie tylko Signala, WhatsAppa czy Telegrama macie tutaj w formie ładnej tabelki. Fragment tabeli prezentujemy na obrazku poniżej — najważniejszy jest pierwszy wiersz:

Jeśli spojrzy się na nią całościowo, to w skrócie: Signal wygrywa. Używajcie Signala.

Dlaczego nie Wire albo Threema? Bo Threema jest płatna, a Wire zbiera i przechowuje na serwerze (!) wiele informacji:

    * Wszystkie kontakty (wewnętrzne rozszyfrowane, zewnętrzne w formie hasha).
    * Niezaszyforwane dane na temat profilu użytkownika (m.in avatar i nazwa).
    * Informacje na temat każdej konwersacji (kto z kim rozmawia, kiedy i jaką nazwę nadano konwersacji)
    * Zawartośc każdej zarchiwizowanej konwersacji.
    * Częstość z jaką komunikujesz się z innymi (i którymi).
    * Informacje na temat każdej grupy w której jesteś.
    * Niezaszyfrowane tytuły i awatary każdego w grupie.

Signal natomiast nie loguje żadnych metadanych na temat użytkowników i nie ma wiedzy na temat grup, więc w przypadku wniosku służb o dane, niczego nie dostarczy, poza czasem kiedy użytkownik zarejestrował się po raz pierwszy w Signalu i kiedy ostatnio się do niego logował.

To, gdzie zlokalizowane są serwery jednego albo drugiego komunikatora nie ma większego znaczenia. Dobrze wdrożona kryptografia end-to-end sprawia, że serwer, gdziekolwiek by nie był i ktokolwiek by go nie podsłuchiwał, nie pozna treści rozmów.

Uzupełnienie do drugiego artykułu Rzeczpospolitej

Ten artykuł jest najbardziej kontrowersyjny. Wszystko wskazuje na to, że redaktor Rzeczpospolitej dał się nabrać na PR-ową prasówkę i na jej podstawie stworzył nie do końca rzetelny artykuł. Komunikat który zawiera zdania padające w artykule Rzeczpospolitej do redakcji (także naszej) rozesłała Pani Anna, pracująca jako PR Manager (ale nie Checkpoint), a w jednej z polskich firm, która stworzyła swój własny komunikator (także korzystający pod spodem z Signala).

Nasza redakcja zignorowała tę prasówkę (zresztą tak samo jak ignoruje każdą inną informację PR-ową nadsyłaną na redakcyjną skrzynkę), bo czytaliśmy wcześniej źródłowe wyniki badań firmy Checkpoint. Wy też możecie się zapoznać z tymi wynikami i wtedy zrozumiecie dlaczego poniższe zdanie z artykułu nie jest do końca prawdziwe:

“WhatsApp znalazł się w tarapatach (…) oszuści mogą przechwytywać wiadomości przesyłane w ramach dyskusji grupowych lub prywatnych”

W rzeczywistości, firma Checkpoint znalazła w WhatsAppie podatności które pozwalają na wstrzykiwanie prywatnych wiadomości do grup i fałszowanie cytatów, co powoduje, że rozmówca widzi w cytacie to, czego w rzeczywistości nie powiedział (ale oczywiście zorientuje się). Podatności zostały już naprawione i nie ma dowodu na to, że ktokolwiek z nich kiedykolwiek skorzystał. A więc oszuści “wcale nie mogą przechwytywać wiadomości” w ramach dyskusji. Tu macie narzędzie, które do opracowanego przez siebie ataku stworzył Checkpoint. Spróbujcie nim “przechwycić” czyjąś informację na WhatsApp.

Dalej w artykule jest cytat od firmy MK My Data (która, na marginesie, współpracuje z firmą bedącą autorem informacji prasowej).

“Signal, czy Telegram, które miały szyfrować treść rozmów i informacji tekstowych przesyłanych za pomocą smarfonów, ale okazały się mało skuteczne. – Używając tych aplikacji, treść rozmów może być wyjęta nawet z telefonu – alarmują w MK My Data”

Oczywiście, że może być wyjęta nawet z telefonu! Treść rozmów KAŻDEJ aplikacji “może być wyjęta nawet z telefonu”, jeśli rozmówcy nie zadbają o to, co podkreślaliśmy wcześniej: kasowanie danych i odpowiednie zabezpieczenie telefonu. Sugerowanie, że tylko Signal czy Telegram są na “wyjęcie z telefonu” podatne jest manipulacją. W dodatku bezsensowną, nie mówiąc już o tym, że niegodną “eksperta”. Bezsensowną, bo w przypadku Signala, treści rozmów można pozyskać tylko i wyłącznie (a nie “nawet”) z telefonu/komputera. I to jest zaleta, a nie wada nie tylko tego komunikatora ale w ogóle szyfrowania end-to-end.

Kolejny cytat w artykule dotyczy przekazywania “nagrań z rozmów” polskim organom ścigania:

“W zeszłym roku WhatsApp przekazał 1 tys. nagrań z rozmów polskim organom ścigania – mówi Paweł Makowski, ekspert z firmy (…)”

Pomimo usilnych starań, nie byliśmy w stanie potwierdzić tej wiadomości do momentu publikacji niniejszego artykułu. Dziennikarz Rzeczpospolitej chyba też jej nie zweryfikował. A informacja ta wydaje się być nieprawdziwa, ponieważ nawet gdyby WhatsApp archiwizował rozmowy, to miałby je jedynie w formie zaszyfrowanej (ze względu właśnie na szyfrowanie end-to-end, z którego korzysta, takie samo jak w Signalu). Co więcej, Facebook w swoim transparency report, opisującym co i ile firma przekazuje służbom, wskazał, że w całym 2017 roku pozytywnie rozpatrzył ok. 1400 wniosków o dane użytkowników (nie nagrań rozmów z WhatsAppa, ale wszystkich wniosków o różne dane, o jakie wnioskowały polskie służby).

Aby być jednak 100% pewnym, że cytat jest błędny, rozesłaliśmy także zapytanie do Facebooka/WhatsAppa i kiedy otrzymamy odpowiedź, zaktualizujemy o nią ten artykuł.

Uzupełnienie trzeciego artykułu

W trzecim artykule padł cytat wypowiedzi generała Skrzypczaka:

“Gen. Skrzypczak uważa, że politycy nie zaczną korzystać z płatnych komunikatorów, dopóki nie nastąpi wstrząs, np. ktoś ujawni przechwycone informacje. – Wtedy zrozumieją, że błądzą”

Płacenie za szyfrowany komunikator uważamy za zbędne a wręcz problematyczne, bo płacąc zostawia się ślad, który może przekreślić “anonimowość” korzystania z komunikatora.

Jeszcze raz powtórzmy, że na rynku jest dostępny doskonały, darmowy i mający wszystko czego potrzeba “by nie błądzić” komunikator. A jego nazwa to Signal. Chcecie się bezpiecznie komunikować? To powtórzmy jeszcze raz: używajcie Signala.

“hehe, polscy politycy używają szyfrowania, hehe”

Aha, co do krytykowanych w artykułach Rzeczpospolitej polskich polityków (za to że korzystają właśnie z szyfrowanych komunikatorów WhatsApp i Signal) — my uważamy, że to godne pochwały. Brawo politycy! Każdy ma prawo do prywatności i poufności. Także wytykany w artykule prezydent Andrzej Duda czy premier Morawiecki (plus dla premiera, że korzysta z iPhona, minus że z nie najnowszego).

Wszystkich polityków zachęcamy do przejścia na Signala, jeśli jeszcze korzystają z WhatsAppa (politycy i inne “ważne” osoby nie powinny z niego korzystać ze względu na metadane jakie WhatsApp zbiera). Ale dobrze się zrozummy — korzystanie z WhatsAppa jest zdecydowanie lepsze niż nie korzystanie z jakiegokolwiek komunikatora.

Redaktorom Rzeczpospolitej też polecamy korzystanie z Signala. Dziennikarze są jednym z podstawowych celów służb. I choć z narracji artykułów w Rzeczpospolitej wynika że politycy powinni obawiać się polskich służb, to na koniec chcielibyśmy przypomnieć, że Polaków (nie tylko polityków czy dziennikarzy) podsłuchiwać mogą też służby zagraniczne. I z tego powodu tym bardziej warto korzystać z Signala.

Wszystkich trzech Panów redaktorów Rzeczpospolitej zapraszamy, za darmo, na którąkolwiek edycję naszego wykładu pt. “Jak nie dać się zhackować?” w dowolnie wybranym mieście. W celu odebrania wejściówki, skontaktujcie się z nami przez Signala (albo e-maila, jeśli poufność Waszych danych nie jest dla Was kluczowa ;).

PS. No to chyba już więcej nie musimy odpowiadać na pytania, jaki komunikator (i dlaczego) polecamy, prawda?


Aktualizacja 10.08.2018, 09:54
Ze względu na powtarzające się w komentarzach pytanie, “dlaczego nie Wire?”, do artykułu dodaliśmy, tuż pod tabelką z porównaniem komunikatorów, krótkie wyjaśnienie, dlaczego Wire jest gorszy od Signala jeśli chodzi o zachowanie poufności rozmów i informacji na temat użytkownika.

Przeczytaj także:

203 komentarzy

Dodaj komentarz
  1. A jak nie ustawię kodu PIN do Signal to atakujący przejmie historię korespondencji? Pytam bo nie wiem czy wtedy nastąpi zmiana klucza szyfrującego.

    • Nie przejmie historii, bo Signal jej nie trzyma na swoich serwerach. Możesz to sprawdzić robiąc backup, kopiując go na komputer, i kasując klienta – po przywróceniu nie będziesz miał żadnych wiadomości, dopóki nie przywrócisz backupu.
      Chociaż ostatnio był jakiś problem i przywracanie backupu tydzień temu nie działało, więc upewnij się, że tych wiadomości nie potrzebujesz.

      Nie wiem, jak jest z trzymaniem informacji na serwerach i WhattsAppem

    • Klucz też się zmieni, i wszystkie kontakty zobaczą powiadomienie o jego zmianie

  2. Historia jest tylko lokalnie, więc nie.

  3. Z tabelki wyszło, że najlepsza jest threema. Ma wszystko co signal, ale serwery w Szwajcarii, nie w USA

    • Jeszcze Wire. Threema płatna.

    • Z tabelki wynika, że równie dobry jest Wire… Napiszecie o niem trochę???

    • Wire jest też spoko, ale nie przekonałem się do niego. Jest zbyt… nowoczesny? Natomiast Threema jest płatna, co jest w porządku, ale dużo łatwiej jest przekonać rodzinę i znajomych do zainstalowania darmowego Signal’a, niż przekonywać każdego z osobna, że wydanie kilku złotych jest tego warte. Także wszystkie trzy są godne polecenia.

    • W komentarzach w Play Store ktoś pisze że nie oferuje forward secrecy. To prawda?

    • @Jan, wg tabelki na https://www.securemessagingapps.com/ Threema nie wspiera perfect forward secrecy.

    • Do artykułu dodaliśmy ramkę odpowiadającą na pytanie “dlaczego Signal a nie Wire?”. W skórcie: Wire dużo przechowuje na serwerze.

    • Wire lepszy, bo bazuje w EU…

    • Ciekawe, kiedy wśród znaczących graczy pojawi się spółka mająca jurysdykcję prawną w Panamie, Liberlandzie bądź na Wyspach Zielonego Przylądka ;)

  4. Wiecie jaki jest największy problem w używaniu Signala? Przekonanie znajomych, żeby korzystali z Signala. Wszyscy siedzą na Messengerze. Co poradzisz.

    • Znam ten ból, chociaż moi akurat na WhattsAppie

    • to zalezy od twoich znajomych. podejrzewam ze okolo 25% moich ma zainstalowanego signala, jak na razie kojarze jedna osobe ktora pytala sie mnie czy mam whatsappa

    • Dokładnie tak. Używanie signala nie ma sensu poza jakąś z góry uzgodnioną wewnętrzną komunikacją, bo zwyczajnie nie ma z kim rozmawiać. Mój signal zainstalowany leży i się kurzy.

    • Tak, zgadza się. Większość dorosłych osób które znam korzystają praktycznie tylko z WhatsApp, nieco rzadziej z messengera. I teraz ich przekonać żeby zainstalowali signala…. On byłby skuteczny dla konkretnych osób które potrzebują tego szyfrowania

    • I do takich osob wlasnie skierowany jest ten artykuł. Wyszli przeciez od polityków.

    • Też mi się podoba, że Wire nie podlega pod jurysdykcję USA i bardzo mnie to do niego przekonuje.

    • a jabber ładnie grzecznie istnieje sobie od jakiś 19 lat…

  5. A jak zapomnę PIN-u, to co? Będę musiał zmienić numer telefonu, żeby wciąż z tego korzystać?

    • Tak. I bardzo dobrze. Bo tu najważniejsza jest poufność. To jest narzędzie dla świadomych użytkowników i świadomi, poważni użytkownicy tego właśnie oczekują.

    • Nie. Możesz po prostu wyłączyć tą opcje i ponownie ustawić nowy PIN. Więcej informacji tu: https://support.signal.org/hc/en-us/articles/360007059792

  6. Signal ma tę wadę, że nie dochodzą SMS-y jeśli nie jest otwarty w tle.

    • A jaki masz telefon? Bo mnie dochodzą bez przeszkód.

    • A to ciekawe. Nie miałem nigdy tego problemu.

    • To jest błąd systemu twojego telefonu. Na markowych telefonach z oficjalnym systemem wszystko działa bez problemu. Też kiedyś miałem taki problem jak używałem chińskiego telefonu za 500 zł (aby nie wymieniać marki). Jego system był tak napisany, aby zaoszczędzić baterię ubijał proces Signala.

    • Bzdura, skonfiguruj sobie poprawnie odbieranie wiadomości sms przez system.
      Android odbiera smsy, jeśli jest domyślną aplikacją. Jak jakiejś innej aplikacji dałeś uprawnienia, w dodatku nie kojarzysz tego faktu i zwalasz winę na Signala – to oddaj komuś telefon, kto używa tego co ma między uszami.

    • To niestety dość powszechny problem. Cały kłopot polega na tym, że producenci telefonów preferują niektóre aplikacje (tj. Facebook, Telegram, Whatsapp, itd), a wygaszają procesy mniejszych aplikacji. Dlatego czasami zdarza się, że dopiero o otwarciu Signal’a pojawiają się powiadomienia o nowych wiadomościach. Jest na to rada. Można ręcznie wymusić w opcjach Androida wyłączenie wygaszania tej aplikacji.

    • @Marcin
      To nie wina “chińskiego telefonu”, po prostu nie ustawiłeś odpowiednich opcji.

    • Mam Lenovo K5 Vibe. Ustawiłem Signal jako domyślną aplikację SMS, włączyłęm/wyłączyłem te wszystkie wymuszenia i inne duperele, których już nawet nie pamiętam. Problem nadal występuje.

  7. Dlaczego WhatsApp miałby mieć zarchiwizowane tylko zaszyfrowane wiadomości? Czy nie jest możliwe, aby już po odszyfrowaniu aplikacja wysyłała wiadomości na sewer? Z tego co wiem WhatsApp nie jest open-source, więc cholera go tam wie :P

    • Signal jest open source :)

    • I może ktoś przeanalizował 1.000.000 linii kodu, że nie ma tam nic podejrzanego…?
      To tak jak z ostatnimi bombami na plaży, leżały ponad 70 lat i nikt ich nie widział, a małe nie były.

  8. A co z faktem, ze jak rozpoczynam korzystanie z np. signala trzeba udostepnic cala liste kontaktow, ktora wedruje …. w swiat

  9. A co sadzicie o BBM (Blackberry Messenger)? Kiedys byla barsso popularny a teraz nawet do zestawienia nie trafil

    • Zastanawiam się, dlaczego telefony i usługi Blackberry są na niebezpieczniku pomijane

  10. 1. Signal, Signa, Signal – wygląda jak artykuł sponsorowany. A skąd wiecie, że w Signalu nie ma dziur? Skąd wiecie, że można ufać jego producentowi? Skąd wiecie, że w pewnych okolicznościach, dane wasze nie są albo nie będą gdzieś wysyłane? Pamiętacie słynną wtopę TrueCrypta? Gdy nagle padł blady strach, że nie można mu ufać. A taki brak zaufania działa WSTECZ! Nie, że dzisiaj przestanę korzystać i OK, ale może od 10 lat waszego używania Signala ktoś Was inwigiluje, a o tym nie wiecie?

    2. „korzystanie z WhatsAppa jest zdecydowanie lepsze niż nie korzystanie z jakiegokolwiek komunikatora.”

    A dlaczego? Ja używam jedynie czasami messengera do smalltalków, bo sporo osób go ma, ale w sumie staram się ograniczać do zera komunikatory, zwłaszcza że kiedyś były one odpowiednikiem telefonu i siedziały w trayu póki ktoś nie zagadał, a teraz muszę wchodzić na stronę i po co mi to?

    Więc akurat zdania, że nie korzystanie z komunikatorów jest złe, zupełnie nie rozumiem. Wiele osób nie korzysta i nie wiem co w tym niewłaściwego.

    • Pokażesz ten atak na Truecrypta?

    • Nie mówię o ataku, a o tym, że na użytkowników padł blady strach, że program przestał być uznawany za bezpieczny i że do dzisiaj nie wiadomo czy coś zostało skompromitowane i jak.

      Olałeś zupełnie moje pytania – skąd wiecie, że Signalowi można ufać. I to z taką determinacją to głosicie. Skąd wiecie, że za pół roku nie straci zaufania, tak jak trueCrypt?

    • Masz w artykule dlaczego żadnemu oprogramowaniu nie wolno ufać. I po czym rozpoznać to, które daje największe (nigdy 100% bezpieczeństwo).

    • co do 1. Nigdy nie ma 100% bezpieczeństwa. Jest to nawet w artykule.
      Ale na razie nic nie wskazuje na to, by były jakieś duże dziury, producent był niezaufany, a dane wysyłane.
      Czy znasz jakikolwiek komunikator, czy jakąkolwiek usługę korzystającą z internetu, w wypadku której wiadomo, że nie ma błędów, producent jest zaufany, a dane nie są nigdzie wysyłane?
      Nie kojarzy mi się nic, co by spełniało te wszystkie wymagania :)
      Nie dziw się, że Signal nie spełnia niemożliwych do spełnienia wymagań…
      Signal jest programem open-source tworzonym przez organizację, która nie skupia się na zarabianiu… Na razie nic nie wskazuje na to, by zbierali dane o użytkownikach, więc na razie wierzę, że tego nie robią.

      Przykładowo UseCrypt, który się stara właśnie rekamować oczerniając inne aplikacje, jest tworzony przez firmę, która musi na siebie zarobić przez użytkowników (a nie z donacji i grantów), a także ma zamknięte źródło i korzysta z protokołu Signala. Jeśli więc jest jakiś błąd z tym protokołem – ma go też UseCrypt, a sama aplikacja jest jak dla mnie mniej zaufana przez rodzaj producenta i zamknięcie źródła :)

      Wymaganie ideału, którego nie ma , jest bez sensu. Trzeba szukać po prostu najlepszego, co istnieje.

      Najbezpieczniejszy obecnie i tak chyba jest Briar, ale poświęca na to wygodę… Bardzo ją poświęca. Nie możesz nawet z kimś rozmawiać, jeśli go nie spotkasz osobiście by dodać do kontaktów.

    • Kto przestał uważać TrueCrypta za bezpieczny? Szczególnie po audytach kodu (już pod nazwą VeraCrypt – https://ostif.org/the-veracrypt-audit-results/ / https://threatpost.com/veracrypt-patches-critical-vulnerabilities-uncovered-in-audit/121342/). To że ludzie panikowali nie znaczy że mieli ku temu powody (tak samo jak teraz konkurencja WhatsAppa próbuje nakręcić aferę – jak widać też nie ma powodów żeby uważać WhatsAppa/Signala za niebezpieczne). Kod TrueCrypta jest otwarty, nie słyszałem żeby ktoś znalazł w nim backdoora. Podrzuć proszę linka jeżeli taki backdoor jednak istnieje, chętnie poczytam.

    • Veracrypt przeszedł audyt, ale Truecrypt wcześniej też przeszedł.
      Oczywiście że wskazano pewne potencjalne błędy i możliwe wektory ataku – ale one są… no cóż, generalnie prawdziwe także dla wszystkich innych tego typu zabezpieczeń.
      I nikt nie słyszał aby TC został złamany czy miał backdoora lub zbierał informacje. Więc był i jest bezpieczny.

    • Hmmm, jak by Ci tu odpowiedzieć… Jeśli nie jesteś pewny co robi Signal to przeanalizuj jego kod źródłowy linijka po linijce i sam go skompiluj. W artykule tego chyba nie ma ale Signal ma jeszcze jedną zaletę: jest open source. I to prawda że ktoś może coś brzydkiego dodać ale łatwiej to wyłapać o czym kiedyś przekonali się twórcy Linuksa Minta, że ktoś jednak te kody przegląda.

  11. A ja mam problem z signalem. Nie moge sie do nikogo dodzwonic. Rozmówca dostaje tylko wiadomość że dzwoniłem….
    Wersja na Android

    • Musisz najpierw potwierdzić weryfikacje numeru bezpieczeństwa w ustawieniach kontaktu. Trzeba to zrobić osobno dla każdego kontaktu z Signala.

    • Sprawdź czy nie łączysz się z internetem przez IPv6. Był jakiś czas temu problem z tym związany, nie wiem czy już go naprawili.

    • Od 2 czy 3 dni pojawil sie taki bug (na iOS). Dzisiaj czy wczoraj byla aktualizacja Signal – pozniej sprawdze czy juz to naprawili.

      pozdrawiam.

      Andrzej

    • uzyj APN ipv4 only lub sieci ipv4 only i sprawdz ponownie. problem jest opisany na gitlabie signala i jest ten workaround.

  12. Podsumujmy:
    – przypadkiem ukazują trzy lobbujące artykuły w prasie krajowej za używaniem przez rząd płatnego komunikatora
    – ekspertem jest wybrana przypadkowo firma MK My Data, która to przypadkowo zna firmę, która to przypadkowo ma płatny “bezpieczny” komunikator,

    Czyli przetarg na “bezpieczną” aplikację dla polityków, który wygrają MK My Data i zaprzyjaźniona firma pani Ani ogłoszony zostanie za …trzy …dwa …jeden

    Nawet się nie zakładam o to czy mam rację – bo to jak zabrać dziecku lizaka i jeszcze przemocowo kazać przynieść kolejnego.

    • Dokładnie to samo pomyślałem.

    • Ponadto w tagach jest “cryptomind”, szybkie google wskazuje na Cryptomind S.A. z siedzibą w Warszawie.

      Pszypadeg?

  13. “Facebook w swoim transparency report, opisującym co i ile firma przekazuje służbom, wskazał, że w całym 2017 roku przetworzył ok. 1400 wniosków o dane użytkowników (nie nagrań rozmów z WhatsAppa, ale wszystkich wniosków o różne dane, o jakie wnioskowały polskie służby).”

    Raczej prawie 3000 wniosków (2×1476=2952).

    • Raczej 1400 bo rozpatrzyła ~53%

    • Przetworzył – czyli rozpatrzył część a część odrzucił. Żeby cokolwiek odrzucić, to musieli do nich zajrzeć, czyli właśnie przetworzyć. Jak upierasz się przy 1400, to zmień w artykule jedno słowo i będzie wszystko jasne. Poza tym 1476*2*.53=1564 więc nijak nie wychodzi “ok. 1400”.

  14. Albo instalujemy OpenKeychain (na Androidzie) i samemu szyfrujemy i podpisujemu wiadomości i wtedy możemy je wysyłać nawet przez messengera.

    • Tylko, że rozwiązanie tego typu jest bardzo niewygodne, co dla przeciętnego użytkownika z góry przekreśla.

  15. Tabela wygląda mi na dzieło ignoranta, który nie zauważa, że model decentralizacji używany przez Matrixa (riot.im to tylko jeden z jego klientów) sprawia, możemy wybrać serwer prowadzony przez osobę której ufamy/znajdujący się w kraju którego prawo nam odpowiada itp.

    • Dopóki wszystko jest szyfrowane end-to-end, serwer może stać nawet w piwnicy CIA.

    • Karol, dopóki samodzielnie kompilujesz klienta i masz pewność, że to szyfrowanie rzeczywiście jest włączone i działa jak powinno… Na komputerze używam nheko (obecnie szyfruje tylko tekst), którego wszystkie commity czytam w zasadzie z ciekawości i sam kompiluję aby być na bieżąco

    • Po co do tego kod? To tylko jeden z wielu sposobów na dojście “co apka wymienia z serwerami” – zamkniętoźródłowe też można prześwietlić, wystarczy posniffować trochę ruchu, niekiedy da się nawet rozszyć TLS-a i posłuchać bezpośrednio strumienie szyfrowanych bitów przechodzące jeszcze “dla pewności” przez TLS :p

  16. Niebezpiecznik, dziękuję Ci za ten artykuł. Od kilku miesięcy obserwuję brzydki i niskich lotów PR Usecrypt’a. Podobne pochlebne dla Usecrypt’a oraz oczerniające Signal i WhatsApp teksty ukazały się mi. w: spidersweb.pl, businessinsider.com.pl, tech.wp.pl, cyberdefence24.pl, pcformat.pl, rzeczpospolita.pl

    • Od jakiegoś czasu UseCrypt ma tak żenująco niski poziom buzz-marketingu, że wywołuje jedynie uśmiech politowania. Szyte tak grubo, że nawet laik sie orientuje. Wpompowali kupę kasy w promkę płatnej apki ( 60 zł / m-sc) która w zasadzie jest nakładką na Signal. Czekam aż ktoś ich za to pozwie ;]

  17. Czy w Signal mogę udostępnić smsy bezpiecznie? Tzn przestawić się z tradycyjnych SMS na SMS Signal?

    • Tak. Wystarczy przytrzymać ikonę wysyłki. Wtedy pojawiają się te dwie opcje do wyboru (ale tylko w wersji na Androida. W przypadku iOS nie ma takiej możliwości).

    • Możesz szyfrować SMS-y tym samym algorytmem, co w Signal:

      https://silence.im/

      Ale jest to dość karkołomne (potrzeba SMS-ów w te i we te, żeby rozpocząć sesję). Oczywisćie druga strona również musi mieć ten program.

  18. Rzeczpospolita napisała bzdury, ale w powyższym teście też jest kilka niedomówień.
    Np płacenie za szyfrowany komunikator zmniejsza naszą prywatność bo zostawia ślady.

    Albo prywatność i anonimowowść, albo bezpieczeństwo.
    Np w jednym moim zdaniem sensownym komunikatorze, Jabber, szyfrowanie z XEP-0027 z użyciem kluczy GNUPG, daje wysoką pewność, z kim rozmawiamy, bardzo dobre zabezpieczenie przed MITM, ale prywatności za grosz, bo klucz GNUPG jednoznacznie identyfikuje użytkownika.

    Jest też szyfrowanie OTR, w którym mamy argument zaprzeczenia, ale uwierzytelnienie użytkownika to jest czasami drapanie się prawą piętą za lewym uchem.
    Równoczęsnie bardzopolularne staje się OMEMo z komunikatora Signal, w ktorym gigantyczną zaletą jest to że możemy szyfrowane wiadomości odbierać na kilku urządzeniach jednocześnie (czego nie potrafi OTR), ale niezauważalne podpięcie podsłuchu w OMEMO jest wtedy najtrudniejsze do wyśledzenia (co w OTR i GNUPG jest praktycznie wykluczone).

    Bezpieczeństwo? jak nie mam szansy zajrzeć do kodu źrodłowego serwerea i klienta danego komunikatora, a także WSZYSKICH bibliotek systemowych, ktore ten serwer i klient potrzebują do pracy, to bezpieczeństwo i integralność prywatnej korespondencji jest pojęciem dosyć teoretycznym, z pewnością nie jest nieskończone.

    Dlatego opisywanie Signala,Telegrama i WhatsAppa bez punktu odniesienia w postaci Jabbera ma niewiele sensu.
    W przypadku Jabbera mogę sobie serwer wystawić nawet na RPI, puścić go przez TORA,
    sam wygenerować certyfikaty SSL używając biblioteki LibreSSL, do tego szyfrowanie end-to-end GNUPG, polączenia głosowe i wideo komunikatory zestawiają w systemie peer-to-peer, lub przez lokalny serwer SIP, i służby calego świata mogą mnie w doopę pocałować ze swoimi podsłuchami.

    Żaden komunikator dużego koncernu adresowany do milionów użytkowników nie gwarantuje należytej prywatności, bo po prostu macierzysty koncern od tego komunikatora nie działa w próżni, i nigdy nie poznam ludzi, ktorzy tworzą np Whatsappa albo administują serwerami tego komunkatora.

    Pozdro

    • Bo artykuł jest o komunikatorach dla ludzi, a nie miłośników gentoo :) aspekty braku usabillity i wymaganej wiedzy do startu w sugerowanej przez Ciebie komunikacji są nie do przeskoczenia dla normalnego człowieka. Ale jak potrafisz tak skonfigurować swój komunikator, masz tyle czasu na upgrade wszystkiego i lekturę kodu źródłowego każdego składnika oraz znajdujesz inne osoby które będą w stanie to samo robić żeby z Toba porozmawiać – ze wszech miar korzystaj i zapomnij o Signalu. PS, jak tam video na Jabberze? Który klient XMPP nie ma teraz żadnych dziur tak paskudnych jakie miały PSI/Adium lata temu?

    • W pełni popieram.
      Jak się chwile zastanowić to z punktu widzenia szpiegostwa przemysłowego to naprawdę warto zrobić takiego Signala.

      Tworzę produkt deklasujący konkurencję. Bezpieczny itd.
      Przeze mnie będzie przechodzić cały ruch. nie pozwolę się podpiąć do moich serwerów “konkurencji” bo mógłbym stracić część tego ruchu.
      Wszystko jest zaszyfrowane więc nie widzę zawartości.

      ALE:
      Widzę kto się z kim komunikuje, kiedy i ile wymienia informacji.
      Na dodatek wiem doskonale kto, bo identyfikator jest oparty na numerze telefonu, który jest właściwie w obecnych czasach publiczna daną.
      SIGINT – nie wiem co, ale wiem kto z kim i kiedy i ile – zyskuję przewagę wystarczająca do tego aby być krok przed innymi.

      Niby wiem mniej, bo pełne szyfrowanie end-to-end. Ale jako jedyny posiadam informacje której inaczej bym nie miał, lub była by bardzo kosztowna do uzyskania.
      Mam monopol na te informacje.
      Robiąc dobry produkt odcinam od tej informacji “konkurencję”.

      IMHO patrząc na Signala z punktu widzenia teorii gier (i org. szpiegowskiej), to jest duże prawdopodobieństwo, że może to być tzw. ucieczka do przodu.
      Produkt który deklasuje konkurencję, zdobywa monopol, odcina konkurencję (inne org. szpieg.), jednocześnie blokuje prawdziwe zagrożenie (rozwiązania rozproszone – które znacznie ciężej monitorować).
      Strategia przynosząca najwięcej korzyści, bo każdy inny wariant jest mniej korzystny.
      Czy mam na to dowody – oczywiście, że żadnych – poza elementarna logiką i wyborem optymalnej strategii.
      Gdybym miał za zadanie monitorować komunikację i miał na to środki – sam bym tak zrobił.

      Ale co ja tam wiem, nic tylko używać Signala. :)

  19. Trzeba sobie zada na poczatku pytanie – przeciwko komu chcemy walczy, sluzba Amerykanskim, czy wlasnego kraju? W mojej ocenie, sluzby wlasnego kraju sa grozniejsze, a do tej walki, komunikatory takie jak Signal, faktycznie, nadaja sie idealnie. To co napisalem, ucina, wszelkie inne komentarze dotyczace “luk, podsluchiwania” takich komunikatorow – nawet, jezeli luki istnieja, to Polskie sluzby o nich nie wiedza/ nie maja do nich dostepu, tylko tyle i az tyle.

    Trzeba tez tutaj dodac, ze obecny Prezydent Francjii tez korzysta z komunikatora Telegram, nawet Francja zamierza budowac swoj wlasny, szyfrowany komunikator: https://matrix.org/blog/2018/04/26/matrix-and-riot-confirmed-as-the-basis-for-frances-secure-instant-messenger-app/

    Idac dalej – chcialbym przypomniec i radzic przeczytac dokladnie (do tego wszelkie analizy) wszelkiem masci polityka, w szczegolnosci PiS, nazwy ustaw, ktore sami przepchneli, zaczynajac od ustawy Antyterrorystycznej, czy tej, dopuszczajacej tzw “owoce zatrutego drzewa”. Dalej – przypomniec, ze na podstawie tych ustaw i innych, sluzby nadal moga w pelni i dowolnie, korzystac z starych i dobrych metod inwigiilacji, przed ktorymi takie komunikatory, nie uchronia takie jak:
    -montowanie wlasnych podsluchow (ktorych nikt nie kontroluje, mozna je montowac przy okazji innych spraw itd)
    -analizy metadanych (do ktorych to maja pelny i nieograniczony dostep), przed tym ostatnim, niestety, sam komunikator Signal nie chroni (trwaja podobno nad tym prace, ale sami stwierdzili, ze bedzie to duzo trudniejsze, niz szyfrowane rozmowy).

  20. Też chciałabym darmowa wejściówke

    • Napisz jakiś fajny artykuł na niebezpiecznika to nie ma problemu.

  21. Z Signalem jest jeden problem: w moim korpo nie przepuszczał go firewall. Natomiast Wire śmiga aż miło.

    Drugi problem to jak ostatnio sprawdzałem, to aplikacja Signala na Windows to po prostu addon do Chrome. Natomiast Wire ma własną aplikację.

    • Nie wiem, jak to sprawdzałeś, bo Signal na desktopy to aplikacja standalone.

    • Michał, zapewne chodzi o to, że używa electrona…

  22. Aż zainteresowałem się Signalem, i duży zawód – na dzień dobry żądają numeru telefonu. Wszędzie chcą numeru telefonu, i to bez jakiegoś dobrego powodu.

    Gdyby była chociaż opcja rejestracji za pomocą normalnego “login+hasło”.

    • Chcą numeru bo to sobie wybrali jako identyfikator. Też mam nadzieję że kiedyś będzie opcja z loginem i hasłem. Ale ze Signal ma być komunikatorem dla znajomych to użycie nru do identyfikacji nie stanowi dużego problemu. Jeśli ktoś chce Signal wykorzystywać do superanonimowego kontaktowania się z obcymi ludźmi to musi wykonać dodatkowe kroki.

    • @Piotr będzie. Ale nie wiadomo kiedy: https://community.signalusers.org/t/a-proposal-for-alternative-primary-identifiers/3023/10

      “This is on our radar, and it has been for a while. We know that it’s something that our users want, but like everything else in Signal (such as encrypted profiles) we also want to take the time to get it right. […] We don’t typically talk about timelines or features until they are ready, but please rest assured that we’re actively looking into this”

      W pierwszym poście jest jeszcze argument przeciw nr-om telefonu dotyczący bezpieczeństwa: “Phone-number verification does not guarantee ownership of the phone number”, ale nie rozkminiałem na ten temat. Maila też się da przejąć. Pytanie co prościej.

    • Od kiedy Signal wprowadził Registration Locka, przejmowanie numeru nie jest groźne. A e-maila przejąć wciąż jest łatwiej. Jeśli ktoś będzie rejestrował konto na Signalu na swój (znany przeciwnikowi) e-mail, to łatwiej będzie mu to konto przejąć.

    • Do rejestracji w Signal można użyć dowolnego numeru telefonu, niekoniecznie swojej komórki, to może być dowolny nr stacjonarny, bez możliwości odebrania SMS. W takiej sytuacji podczas rejestracji po 2 minutach od nieudanej próby załatwienia sprawy SMS-em, następuje połączenie telefoniczne i można odsłuchać kod i następnie go wprowadzić.

    • @Piotr Co do tego łatwiejszego przejmowania emaila, to czy to nie jest tak, że nie tyle jest łatwiej, co mechanizmy przejmowania obu są kompletnie różne? (email, np.: 1. Jakiś fakap po stronie providera; 2. Nieogarnięty użytkownik posiadający wszędzie takie samo hasło; 3. Dobrze zrobiony phishing, obchodzący nawet 2FA. telefon: duplikat karty SIM

      I czy to nie jest tak, że email jest łatwiejszy do przejęcia od telefonu jedynie statystycznie i ogarnięty użytkownik (czytaj: pryszczers) będzie miał dobre hasła, 2FA, na phishing się nie da zrobić, no ale jeśli ktoś sobie wyrobi duplikat SIMa pod jego numer, to na to nie ma wpływu.

      Tutaj ten Registration Lock faktycznie ratuje sytuację, ale już tak rozważam ogólnie, poza Signalem – jakby tego registration locka nie było – Co jest trudniejsze do przejęcia w przypadku pryszczersa?

      Co do samego Signala i autentykacji email+hasło, to podrzuć proszę im Twoje przemyślenia, przedstawiając się kim jesteś.

      To tyle w kwestii bezpieczeństwa, natomiast jest jeszcze kwestia prywatności i np. w Polsce nie kupisz legalnie numeru niepowiązanego z Twoimi danymi osobowymi.

    • > e-maila przejąć wciąż jest łatwiej
      Niby jak? Jedyna opcja to taka, że nie odnowię domeny albo jakimś cudem ktoś podmieni MXy u dostawcy DNS i mój system tego jakimś cudem nie wykryje.

    • @Lukasz032: :D Ło Panie, DNS, MX. Ja za głupi. Można o wiele prościej: Socio. Poczytaj jak przejęli skrzynkę Podesty.

      Stawiasz takie cudo na domenie secure-your-google-account.com.pl tuż przed atakiem (żeby jakieś skanery przyzwoitości internetów nie upaliły tego), wysyłasz emaila i się kręci.

    • Żeby przejąć skrzynkę, najpierw trzeba wiedzieć, jak (i gdzie) się na nią zalogować. (Mówię o poczcie z prawdziwego zdarzenia, nie dostawców masowych.) Dwa wektory przejęcia dobrze zabezpieczonej (programowo/serwerowo) skrzynki to przejęcie domeny lub fizyczny dostęp do serwera ;)

    • @Lukasz032: Poczta z prawdziwego zdarzenia to Signal i podobne :) Oldschoolowy ekosystem mailowy nie był projektowany z myślą prywatności. PGP nie poprawia sytuacji (metadane, nieprzystępność dla nietechnicznego użytkownika, brak forward secrecy). Z bezpieczeństwem też jest słabo, bo co chwila są jakieś CVE na SMTP/IMAP albo na PGP.
      Oczywiście bez emaila nie założysz nigdzie konta, ale liczę na to, że za parę lat się to zmieni.

      A wracając do tematu: Nie znam się na self-hostowaniu maila, więc się nie wypowiem. Na pewno niewiele osób to robi a moja wątpliwość (nie)łatwości przejęcia maila dotyczyła przeciętnego setupu a nie, że Ty sobie postawisz super hardening.
      Aczkolwiek też się to komponuje w to co stwierdziłem: Użytkownik ma wpływ na to jak (nie)łatwo będzie można przejąć jego pocztę. Miło jakby Piotrek to potwierdził / sprostował, ale im więcej piszemy, tym mniejsze szanse na to że czyta :)

  23. Znowu bzdury popisane, bo powtarzane na temat telegrama. Telegram szyfruje domyślnie wszystko swoim autorskim protokołem MTProto 2.0 end-to-server i w drugą stronę żeby zachować możliwość synchronizacji rozmów na różnych urządzeniach. Signal nie jest tak wygodny.

    • Signal korzysta z nieautorskiego lepiej zbadanego protokołu i też nie ma problemu z synchronizacja.

    • Jeżeli od kwietnia nic nie poprawili (a przyznam, nie sprawdzałem później) to niestety, ale Signal ma problem w pewnych przypadkach z synchronizacją, co z resztą sami pośrednio przyznali (vide https://twitter.com/signalapp/status/988903901209464837). Pośrednio, bo nie określili tego jako problem, ale wskazali, kiedy może zdarzyć się rozjazd pomiędzy wiadomościami w różnych aplikacjach (mobile i desktop). Wg nich kolejka wiadomości nie rośnie w nieskończoność i to może być przyczyną różnic. Osobiście dookreśliłbym to, że to nie liczba wiadomości sama w sobie limituje kolejkę, a czas w jakim wiadomości są zakolejkowane do odbioru na pozostałych urządzeniach.

      Skąd te wnioski?
      1. Link na Twitterze.
      2. Relatywnie mała liczba wymienionych wiadomości w danym okresie czasu (100, może 200).
      3. Korzystanie przez okres około miesiąca tylko z mobilnej aplikacji, a po tym czasie próba skorzystania z wersji desktopowej.
      4. Gap w postaci braku większości z ww. wiadomości na kliencie desktopowych, którego nie da się w żaden sposób uzupełnić, jakkolwiek zmuszając do synchronizacji.

      Jest to jak dla mnie jeden z dwóch na tę chwilę największych minusów Signala.

    • M1chu to i tak masz dobrze, że ci nie pobiera wiadomości, bo ja mam taki problem, że mimo to co wyślę z wersji mobilnej a potem usunę (wiadomość/multimedia) a za pare dni włączę signala desktopowego to wszystko mi się wczytuje mimo usunięcia… Czyli jakby gdzieś to było przechowywane, tylko gdzie?

  24. Teoretycznie (mimo bezpiecznego połączenia z serwerem – SSL) to serwer może przeprowadzić MITM – w sensie podmiana klucza publicznego wysyłanego do osoby mającej szyfrować wiadomość na własny, odczytanie tej wiadomości i zaszyfrowanie kluczem publicznym adresata i wysłanie do niego. Wie ktoś czy klucze publiczne adresata są za każdym razem wysyłane przez serwer czy np. tylko raz po dodaniu kontaktu są zapisywane na urządzeniu i nie ma możliwości ich podmiany?

    • W Signalu i WhatsAppie w momencie gdy zmieniają się klucze osoby z którą rozmawiasz w oknie chatu wyskakuje powiadomienie. Dodatkowo po wejściu w profil danej osoby masz fingerprint kluczy. Można bardzo łatwo zweryfikować klucz poprzez zeskanowanie QRCode. Klucz można oznaczyć jako zweryfikowany bądź niezweryfikowany.

  25. notorycznie mam problem z Signalem na komputer-chodzi o synchronizację z telefonem. nie zaciąga mi kontaktów z telefonu. zarówno na windows 7 jak i 10 ten problem się pojawiał. ktoś mądrzejszy wie co może być przyczyną? whatsapp-web działa bez problemu i błyskawicznie synchronizuje kontakty z telefonu,a tutaj jest problem. będę wdzięczny za poradę.

  26. Przeciętny użytkownik który nie pisze o tajemnicach firmowych czy państwowych nie potrzebuje totalnej ochrony Signala.
    Testowałem signala, whatsap, viber i telegrama i ten ostatni wyprzedza konkurencję o lata świetlne jeśli chodzi o user inferface i wygodę używania. To jedna z najlepiej napisanych aplikacji na androida, ma mase funkcji a zużywa mało zasobów, działa szybko, ma świetną synchronizację z aplikacją na pc. Używanie telegrama a potem przesiadka na signal to jak powrót do win xp z 10tki.

    • I przecietny uzytkownik nie skuma sie korzystajac z Telegrama kiedy szyfruje a kiedy nie. Telegram to zło, nie ma wielu wymaganych wspolczesnie mechanizmow bezpieczenstwa. Nie szata zdobi komunikator.

    • We support two layers of secure encryption. Server-client encryption is used in Cloud Chats (private and group chats), Secret Chats use an additional layer of client-client encryption. All data, regardless of type, is encrypted in the same way — be it text, media or files.

      Our encryption is based on 256-bit symmetric AES encryption, 2048-bit RSA encryption, and Diffie–Hellman secure key exchange. You can find more info in the Advanced FAQ.

    • Andrzej, przeciętny użytkownik ma w dupie szyfrowanie i nie obchodzi go, jaki rząd albo ktokolwiek przegląda, jak on wymienia się memami na kanale ze znajomymi. Gdyby tak było, to Facebook by nie istniał.

      Dla przeciętnego Janusza najważniejsza jest prostota używania i dostępność znajomych, dlatego tak trudno namówić ludzi na Signal-a, bo zwyczajnie nikt z niego nie korzysta i „nikt” (w domyśle Janusz, bo VIP-y czy osoby mocno narażone, powinny korzystać bez zastanowienia) nie potrzebuje tego, co on ma do zaoferowania. Sam, chociaż znając zagrożenia, nie korzystam z Signal-a z powyższych powodów i dlatego, że nie cierpię Moxiego, który jest najgorszym rodzajem ortodoksyjnego anarchisty, pragnącego oglądać płonący świat z pokładu swojej łódki zaciągając się yerba mate. Mimo dobrej roboty, którą wykonuje.

    • @anga “nie cierpię Moxiego, który jest najgorszym rodzajem ortodoksyjnego anarchisty, pragnącego oglądać płonący świat z pokładu swojej łódki zaciągając się yerba mate. Mimo dobrej roboty, którą wykonuje.”
      :D

      Ale wiesz, że masowa inwigilacja nie przyczyniła się jeszcze do powstrzymania żadnego ataku terrorystycznego ? disclaimer: nie śledzę njusów, jeśli się coś zmieniło to proszę o poprawienie.
      Jeśli się coś uda powstrzymać to wtedy można się zastanawiać.
      Natomiast jest cała masa negatywnych skutków masowej inwigilacji i trackowania: https://www.ted.com/talks/zeynep_tufekci_we_re_building_a_dystopia_just_to_make_people_click_on_ads

    • @hoek niestety nie wszystkie dane można szyfrować w secret chat – udostępnianie lokalizacji live. Być może jest to tylko ładnie ułożone zdanie by brzmiało, że wszystko to co w “normalnej” konwersacji jest szyfrowane, dało się w też secret. Ale szkoda że nie wiem jak to w signalu jest.

      @viber telegram x faktycznie, wygląda dobrze, nie licząc wszystkich obrazków które mają i emoji rodem.. co najmniej brzydkim :)

      z wielką chęcią przyjmę poradę czy w którymś można włączyć systemowe :)

      a… jak ma się do tego wszystkiego hangouts z wyłączoną historią? (jak ona dokładnie działa)

  27. Kilkukrotnie próbowałam przejść na ten komunikator, ale on nie działa na moim smartfonie. Gdy ktoś do mnie dzwoni ja nie widzę połączenia dopiero potem otrzymuje info ze ktoś dzwonił. Telefon chiński ala największego producenta i flagowiec. O co może chodzić?

    • Jak Huawei to kojarze ze maja bug ubijajacy aplikacje w tle – moze to jest przyczyna? Poza tym chinski rzad nie dopuszcza takich aplikacji, musi wiedziec co obywatel pisze (patrz specjalne “odblokowane” uklady TPM na rynek chinski do plyt glownych).

  28. Niestety Signal nie radzi sobie jako domyślna aplikacja SMS w przypadku telefonu korzystającego z dualsim.

    • nie jest to prawda-mam LG V20 – dual sim z 2 simami aktywnymi i signal od roku dziala

    • Działać jako komunikator to działa, odbieranie zwykłych SMS też jest ok – ale szwankuje wysyłanie -w moim urządzeniu dualsim nie można zarządzać z której karty sim chcę wysłać zwykłego SMS, zawsze wychodzi z tego samego.(konto Signal tylko na 1 numer telefonu).

  29. Używałbym WhatsAppa, ale wkurza mnie to, że każdy z mojej listy 400 kontaktów otrzyma automatyczną informację, że może do mnie tym kanałem się odezwać. W tym szef.
    Moi koledzy z pracy po zainstalowaniu WhatsAppa otrzymują od szefa 10x więcej głupiego spamu tym kanałem o każdej porze dnia i nocy, bo przecierz to “nie dzwonienie ani sms, przecierz nie musisz od razu czytać wszystkiego co Ci wysyłam “.
    Jeżeli mogłbym poinformować tylko niektórych o tym, że mam WhatsAppa, to od razu bym zainstalował. Cała moja rodzina z tego korzysta, a ja jestem do tyłu z powodu jw.

    • Zmień szefa.

    • Usuń szefa z kontaktów, zainstaluj apkę, z powrotem dodaj szefa.

  30. Artykuły wpisują się w kampanię promocyjną aplikacji UseCrypt Messenger.

    https://www.cyberdefence24.pl/co-sprawia-ze-polski-komunikator-usecrypt-messenger-jest-tak-bezpieczny

  31. Używam threemy – widzę w zestawieniu najlepsza poza tym że bardzo niszowa.

  32. Zadam dodatkowe pytanie do artykułu.
    Nigdzie nie został uwzględniony XMPP na którym można zarówno przesyłać wiadomości zaszyfrowane lub nie.
    Sieć jest “rozproszona”, można nawet postawić własny serwer XMPP i komunikować sie wśród znajomych bez przesyłania danych przez jakiś jeden, scentralizowany hub zbierający dane.
    Czy ja czegoś nie wiem? Dlaczego go nie uwzględniliście?

    • XMPP ma tyle różnych mniej lub bardziej bezpiecznych konfiguracji, ile operatorów serwerów. Do tego różne serwery różne XEP-y różnie interpretują, a różni klienci różnie na różne serwery reagują. Protokół niby ten sam, ale dialektów w pieruny i “kompatybilność” wygląda mniej więcej tak, jak wzajemne dogadywanie się Ślůnzoka z Kaszëbskim :p

  33. Zastanawia mnie jedno – o czy oni wszyscy rozmawiają przez te komunikatory, że się tak boją? O czymś nielegalnym? Czy moją coś do ukrycia?

    • “It’s not that I have something to hide. I have nothing I want you to see.”
      Wystarczy że rozmawiam o prywatnych sprawach z rodziną. Czemu ktoś obcy ma mieć możliwość przeczytania takiej rozmowy?

    • Zasłaniasz w domu firanki/rolety/żaluzje? A co masz do ukrycia?

    • Dlaczego tylko ludzie mający coś do ukrycia mają chcieć prywatności? Czy jesteś tak przekonany o własnej świętości, że zupełnie nie przejmujesz się, jakie informacje o tobie są publicznie znane? Jesteś absolutnie pewny, że nie masz żadnego małego, nieszkodliwego sekreciku, czegoś zawstydzającego, całkowicie legalnego, ale takiego, czym nie chcesz się dzielić z innymi? Jesteś pewny, że nigdy nie zrobiłeś nic (choćby nieświadomie i niechcący), za co ktoś mógłby pociągnąć cię do odpowiedzialności? Jesteś pewny, że w czasie rozmowy wymiany smsów osoba z którą rozmawiasz nie rzuci jakiegoś głupiego żartu, albo nie powie czegoś, co wyrwane z kontekstu mogłoby wzbudzić zbytnie zainteresowanie twoją osobą?

      Jeśli uprawiasz seks z żoną/dziewczyną, robisz to w miejscu publicznym, czy raczej wolisz bardziej prywatne miejsce (no chyba, że lubisz ekshibicjonizm, nie osądzam)? Pewnie wybierasz prywatne miejsce. Dlaczego? Przecież uprawianie seksu nie jest nielegalne (poza ekstremalnymi przypadkami). Czyżbyś miał coś do ukrycia? A może się czegoś boisz? Przychodzą do ciebie goście i zaczynają grzebać w papierach, rodzinnym albumie ze zdjęciami, po szafkach i szufladach. Wzruszasz ramionami i stwierdzasz, że i tak nie masz nic do ukrycia, czy też może wyrzucasz tych bezczelnych typów za drzwi? A jeśli tak, co takiego masz do ukrycia, czy boisz się, że ktoś mógłby zobaczyć to czarno-białe zdjęcie prababci? A może skrywasz tam inne, mroczniejsze sekrety? Zamykasz drzwi na klucz? Zaciągasz zasłony? Co ukrywasz?

      Dla jasności, nie sugeruję, że rzeczywiście robisz coś nielegalnego. Tymi przykładami chcę tylko pokazać, że bardzo łatwo jest rzucić hasło “skoro dbasz o prywatność, to na pewno masz coś na sumieniu”. Ładnie brzmi, ale jak się nad tym głębiej zastanowisz, to sam znajdziesz wiele sytuacji, gdzie chciałbyś mieć prywatność, nierobiąc nic niezgodnego z prawem, ani nagannego moralnie. Niepokojące jest to, że nawet demokratyczne w teorii kraje coraz częściej posługują się taką retoryką by usprawiedliwić coraz większą inwigilację obywateli (Potrzebujemy dostępu do waszej komunikacji tylko ze względu na terrorystów i innych bandytów, więc jeśli nie jesteście przestępcami, nie macie się czego obawiać). Niestety wszystko, co zostanie powtórzone wystarczająco wiele razy, zaczyna wydawać się prawdą.

      A prawda wygląda tak, że każdy człowiek ma własne pojęcie o prywatności. Jedni nie widzą nic złego w opisywaniu każdego szczegółu ze swojego życia na Facebooku, a inni dostają bólu zębów na samą myśl o dzieleniu się jakimikolwiek informacjami na swój temat. Jeśli ktoś nie przejmuje się swoją prywatnością, nie mam z tym problemu, jego sprawa, ale zmęczyło mnie słuchanie po raz nie wiadomo który kolejnej odmiany “cenisz sobie prywatność, więc musisz mieć coś do ukrycia”.

    • Przypadek trochę od czapy, bo obcowanie płciowe w miejscu publicznym to wybryk nieobyczajny (art. 140 KW).
      Co nie oznacza, że fajnie jest żyć “na świeczniku” mediów – niektórzy mylą pojęcie prywatności z pojęciem zwyczajnej przyzwoitości. Dzielenie się dosłownie każdym szczegółem życia ze wszystkimi wokoło to przekraczanie pewnej granicy – granicy dość umownej, ale określającej stopień poznania drugiej osoby. Nie byłbym zadowolony zbytnio z sytuacji, gdyby moja dziewczyna prowadziła życie całkowicie publiczne, co minutę postując jakąś aktualizację statusu czy coś – bo przez to traci swoją tajemniczość, czyli coś, co tak naprawdę przyciąga ludzi do siebie. Z tej racji też nie rozumiem podejścia psychofanów, gotowych śledzić kogoś od rana do nocy, a może i w nocy – gdzie zaufanie, gdzie relacja, gdzie ludzkie aspekty kontaktów międzyludzkich? Kurde, żyjemy w tej epoce technologii, powiadomień, ekspresowych publicznych notek na społecznościówkach i zaraz zapomnimy, jak się zwyczajnie rozmawia o wszystkim i o niczym, o sprawach codziennych, w cztery oczy! Czy na pewno tego chcemy? Bo wielu (i ja też) na przykład nie.

    • Nie do końca od czapy, bo wyobraź sobie Janusza z Grażką na balkonie w bloku. Są tacy, ale czy są w większości? A przecież balkon to nie miejsce publiczne (chyba). Albo ile osób nie ubiera się chociaż w ręcznik, kiedy idą otworzyć drzwi listonoszowi/sąsiadce/znajomym prosto spod prysznica….
      I w ogóle (to tak bardziej “polsko”, bo katolicko) dlaczego wszyscy ci, którzy nie mają nic do ukrycia a chodzą do spowiedzi w katolickiej Polsce, mówią do księdza szeptem w konfesjonale zamiast stanąć na środku i po prostu wykrzyczeć? (podobno to się nazywa jakoś, spowiedź powszechna czy jakoś tak…”

    • Osoba o złej woli, posiadając Twoje całkowicie legalne prywatne informacje, np. o lokalizacjach, kontaktach, więzach rodzinnych, zainteresowaniach, zakupach, wyjazdach, itp.
      1) może się pod Ciebie podszyć w kontaktach z Twoimi znajomymi, rodziną, pracownikami
      2) może Cię skutecznie straszyć,
      3) może wytypować i porwać Ci osobę z rodziny,
      4) może Cię szantażować
      5) może za Twoimi plecami rozgłaszać szkodliwe plotki
      6) może wiedzieć kiedy Cię okraść
      ……..
      i tak dalej.

      Oczywiście można ufać wszystkim i uważać, że nikt nie ma złej woli. Ale ja nie polecam takiej strategii.

    • Odwróć pytanie. O czym Ty rozmawiasz że może o tym usłyszeć cały świat? O pogodzie? O nowym odcinku ‘m jak miłość’ To po co w ogóle rozmawiać…

      Dla przykłądu – oto lista moich konwersacji z ubiegłego tygodnia:
      1. Zaproszenie na imprezę – zdecydowanie nie chcę by wszyscy o tym wiedzieli
      2. Rozmowa o chorobie bliskiej osoby – jak wyżej
      3. Informacja ‘jak będziesz wracał to kub chleb’ – o to by mogło pójść otwartym kanałem. Poszło szyfrowanym bo wszystko tak idzie.
      4. Dane do faktury – chyba oczywiste
      5. Dane adresowe kilku firm – w zasadzie to dane publiczne ale niekoniecznie chcę by wszyscy wiedzieli jakich kontrahentów biorę pod uwagę
      6. 7. 8. Informacje o zajęciach pozalekcyjnych, szkole i inne dotyczące moich dzieci pozwalające na profilowanie mojej rodziny. Chyba też oczywiste.

      Tyle. Ja i moi znajomi w większości wyznajemy zasadę: Błogosławieni którzy nie mając nic do powiedzenie nie otwierają ust. Komunikator służy nam do wymiany informacji a nie paplania. Do paplania jest Pub+Piwo.

  34. Z ciekawości przeczytałem sobie artykuł na spier’s na temat usecrypt. A zwłaszcza komentarze. Ich lektura dostarcza więcej uśmiechu na twarzy, niż te trzy z rzeczpospolitej ;]

    • Aż włączyłem skrypty na spider’s żeby sprawdzić. :)

  35. Jak włączyć w signalu usuwanie wiadomości po czasie? Android

  36. A co redakcja sądzi na temat Wickr (darmowa wersja)?
    Raczej nie jest to komunikator ‘na co dzień’ ale czy myślicie że jest bardziej bezpieczny a tym samym może lepszy dla bardziej prywatnych rozmów?

    • Aha, jeszcze dodam że mam problem z komunikatorami do których rejestracja opiera się na numerze telefonu.
      Numer telefonu do już dane osobowe, jako że w polsce obowiązuje prawo rejestracji numeru telefonu, to na jego podstawie można określić dokładną tożsamość osoby która z niego korzysta.
      Tak więc jeśli taki WhatsApp czy Signal jest zarejestrowany na numer telefonu, a nie wymyślony nick czy inne ID, to jak tu można mówić o prywatności. :D

    • A rozumiem ze ktos Cie zmusil bijac olowianym kablem po pietach na rejestracje na SWOJ telefon?
      Czy moze przepisanie kodu ktory przyjdzie smsem na inny telefon przekracza technicznie Twoje mozliwosci?

    • Do rejestracji w Signal można użyć dowolnego numeru telefonu, niekoniecznie swojej komórki, to może być dowolny numerr stacjonarny, nawet bez możliwości odebrania SMS. W takiej sytuacji podczas rejestracji po 2 minutach od nieudanej próby załatwienia sprawy SMS-em, następuje połączenie telefoniczne, odbieramy je, odsłuchujemy kod rejestracji i następnie go wprowadzamy w aplikacji. I gotowe.

  37. @Piotr Konieczny

    Nie muszę sam czytać kodu, otwarty kod powoduje, że każda dziura kiedyś zostaje wykryta, nie zawsze od razu, czasem po latach, ale nic się skutecznie nie ukryje.

    Tutaj też piszecie o dziurach w kernelu czy bibliotekach glibc albo openssl? prawda?

    Wideo w jabberze? trudno znaleźć komunikator, ktory to potrafi, ale odpowiada za to biblioteka jingle (opracowana przez Google dla Gtalk).

    Jest też dostępny w Ejabberd standardowy serwer SIP, który można ustawić na szyfrowaniu TLS, i/albo uzywać w nim SRTP lub ZRTP przez kilenta SIP jak np Linphone.

    W kazdym razie technologii opiseanej w RFC czy XEP* ufam znacznie bardziej niż wynalazkom różnych korpiszonów, ktorych nie znam osobiście, ale czasem się o nich później dowiaduję różnych dziwnych i ciekawych zarazem rzeczy.

    Pozdro

  38. Brak odniesień do Vibera w jedynym z artów też się przewinął.
    Możecie coś na jego temat dopisać ?

    • Viber jest w tabelce porównującej komunikatory.

  39. Korzystając z okazji chciałbym zapytac o bardzo nurtujące mnie pytanie. Jakiś czas Ok 2 miesiące temu zainstalowałem apke desktopowa Signal na Windows 7 i sparowalem ja sobie z moim iPhone. W iphone mam ustawione znikanie wiadomości po 6 godzinach. Gdy włączyłem aplikacje po np tygodniu to pojawiało się synchronizowanie i wyświetlały się wszystkie wiadomości z poprzedniego tygodnia, musza one być w takim razie gdzieś przechowywane? Pozdrawiam

  40. Wiele osób wspomina, że Usecrypt, który nie ma otwartych źródeł, wykorzystuje protokół Signala. Skąd to wiadomo? Jeśli rzeczywiście tak jest, to ciekaw jestem, czy na potrzeby Usecrypta stworzono własną implementację, czy wykorzystano otwartoźródłową dostępną na githubie. Jeśli wykorzystano otwartoźródłową, to chyba źródła Usecrypta powinny być również otwarte, bo implementacja Signala jest na licencji GPL.

    • stad: https://usecrypt.com/ucm-tos/ sekcja Cntent and Ownership. Warte podkreslenia jest ze lamerzy korzystaja z przestarzalej wersji, nie dbajac nawet o jej uaktualnienie.
      To samo zreszta dotyczy wykorzystywanego przez usecrypta notnoopa z githuba: usecrypt uzywa wersji 0.2.3 gdy sam autor zaleca przejscie na 1.0.0.

      Ale spoko, slyzszalem ze Frima zamierza zawinac w swoj frontend TorBrowser z 2016 i wypuscic jako UseTor oczywiscie z abonamentem i oplata za dane

    • https://usecrypt.com/ucm-tos/

      “The Provider and its licensors state that the part of the App that enables and is responsible for sending and receiving messages, including multimedia messaging services and text messages the app is based on modification of software Signal iOS v 2.7.1 for iOS version and modification of Signal Android 3.30.4 distributed on the terms of open – source license GPL v. 3”

    • A czy w takim razie cała aplikacja UseCrypt nie powinna być na licencji GPL?

  41. Z pewnych zrodel slyszalem ze w niedalekiej przyszlosci pojawia sie nowe produkty firmy cryptomind z podobnymi poziomami cen abonamentu:

    1. UseTor (zawiniety w nowy frontend TorBrowser w wersji z 2016 roku) zapewniajacy najwyzsiejszy poziom szyfro…. znaczy: przychodow dla Czlonkow z Zarzadu
    2. UseVPN (zawiniety w nowy frontend i ze zmienionymi serwerami przechowujacymi logi na nowy datacenter gdzies na Zoliborzu PureVPN) zapewniajacy najszybsza transmisje logow na serwer
    3. UseDisk (Zawiniety w nowy frontend TrueCrypt w wersji 2.0)

    To co mniej pewne to fakt ze w dalszej przyszlosci firma Cryptomind planuje wprowadzenie abonamentu na wyszukiwarke Google.

  42. Company jurisdiction i infrastructure jurisdiction USA oznacza tyle, że NSA szpieguje wszystkich co nie mają paszportu USA (numery tel. zaczynającego się od +1xxx).

  43. To teraz tak. Signal czy Threema? To że Threema jest płatna to nie problem.

  44. Jak widać następni powielają założenia z art Rrzepy.
    http://natemat.pl/246097,luki-w-whatsapp-i-podobnych-aplikacjach-alternatywa-usecrypt-messenger.
    Wygląda to na kampanię reklamową usecrypta.

  45. Jak sądzicie z czego się utrzymuje Signal ? Jeżeli jest bezpłatny a obsługa, aktualizacje oraz prace nad bezpieczeństwem kosztują to te koszty rekompensuje ? Lub kto łoży na te wydatki inaczej mówiąc ?

    • Odpowiedź na Twoje pytanie jest w tabelce zamieszczonej do artykułu. Wiersz “Funding”.

  46. Co do Signala, jak skomentujecie ten artykuł? https://drewdevault.com//2018/08/08/Signal.html

  47. A ja mam pytanie nie do końca związane z aplikacjami do czatu… ale może szanowni czytelnicy niebezpiecznika mi pomogą.

    Chodzi mi o automatyczne nagrywanie wszystkich rozmów przychodzących (takich najnormalniejszych) – jaki telefon + jaki soft do tego by się najlepiej nadawał?

    Fajnie, jakby miał opcje, aby po podłączeniu do domowej (jakiejkolwiek sieci WIFI) przesyłał nagrane rozmowy na FTP (czy tam gdziekolwiek) by zwalniać lokalne miejsce na telefonie / karcie.

    Polecicie coś? :)

  48. No tak, Threema jest tu pomijana przy dyskusji choć imho jest najlepsza z jednego prostego powodu, najwyraźniej nie każdego polskiego Mariana stać na wydanie 14PLN, na prywatność regulowaną Szwajcarskim prawem. Poza szyfrowaniem jeszcze powinno się zwrócić uwagę na anonimowość rozmówcy. Prosty przykład – może ktoś jest źródłem informacji a ktoś dziennikarzem i poza wszystkim chce pozostać anonimowy. Threema używa ID a nie numeru telefonu.

  49. Witam,

    Jedna z rzeczy ktora drazni mnie w Signal (i Wire) i co moim zdaniem Whatsapp rozwiazuje o wiele lepiej to przelaczanie miedzy voice call a IM. Mam na mysli to ze podczas rozmowy glosowej / video w Whatsapp jestem w stanie rozmowe przesunac do backgroundu i przejsc do IM zeby np. sprawdzic wiadomosc od innego uzytkownika albo napisac wiadomosc / wyslac zdjecie etc. W Signal i Wire nie da sie tego zrobic. moge przesunac rozmowe do backgroundu ale juz to instancji chata w tej aplikacji przelaczyc sie nie moge.

    Dodatkowe drobnostki to to w jaki sposob Whatsapp obsluguje zdjecia i generalny look and feel ale do tego mozna przywyknac.

    Pozdrawiam.

    Andrzej

  50. Przy okazji zapytam użytkowników,
    korzystam z Signala zarówno na telefonie jak i na laptopie, często mam taką sytuację, że potrafię się zalogować na Signala na laptopie i pojawiają mi się wiadomości sprzed kilku dni, które były odczytane na telefonie mimo, że mam ustawione na telefonie znikające wiadomości na kilka minut, na laptopie również. Śmiem twierdzić, że Signal przechowuje wiadomości na swoich serwerach. Również często występuje sytuacja, że na telefonie mam ustawiony czas znikających wiadomości, a na laptopie resetuje się on (Prawdopodobnie zdarza się to przy aktualizacji na laptopie) Czy ktoś zaobserwował podobne zjawisko?

  51. Szkoda tylko, że signal nie jest komunikatorem tylko aplikacją SMSową zastępującą fabryczną. Jedyna forma komunikacji to poprzez SMSy które mogą być płatne.

  52. A jak na tle tego wszystkiego wyglada FireChat

  53. Byłem na wielu szkoleniach i na każdym mówili – jak coś jest za darmo, to nie jest za darmo.

    Stąd moje pytanie – na czym niby zarabia Signal? WhatsApp wiadomo, jest na kroplówce Facebooka. A kto utrzymuje Signala? I dlaczego? Jak dla mnie to jest ściema i panowie redaktorzy z niebezpiecznika, aż dziwnie to wygląda, że w ostatnim czasie około 5 artykułów o Signalu… Może to materiał sponsorowany po prostu? Wystarczy napisać i wszystko będzie jasne :)

    • Żebyś więc miał jasność: nie jest to materiał sponsorowany przez Signala.

  54. Dziękuje. Zaakceptowanie kodu bezpieczenstwa pomogło.

  55. Signal jest cięty w sieciach Orange. Jak połączę się po WiFi to łączę się bez problemu, przez LTE nie przechodzi

    • Dziwne, siostra ma Signala na P20 w Orange i praktycznie non-stop wysyła via LTE. Żadnych problemów z komunikacją

    • Spróbuj przełączyć się na IPv4. Też miałem podobny problem, bo Orange domyślnie przydziela klientom adresy IPv6 – po wymuszeniu IPv4 nie mam już problemów.

  56. A pytanie moje brzmi – co z imessage i facetime, facetime audio? Jest mniej bezpieczny niż signal?

    • Nie jest – a do tego nie wymaga instalacji dodatkowych aplikacji i ma go każdy z użytkowników iPhone’a. Nie wiem skąd informacje w tabelce typu ‘general sta ce on privacy’. Jeśli jakaś firma dba o prywatność klientów, to jest to Apple ;)

    • iMessege nie pozwala nawet sprawdzić kluczy i jest zamkniętoźródłowy. Nie wiesz, co tak naprawdę robi.

      @Mieszko

      Tak, tak…

      https://en.wikipedia.org/wiki/PRISM_(surveillance_program)#/media/File:Prism_slide_5.jpg

    • > A pytanie moje brzmi – co z imessage i facetime, facetime audio?

      A no tak:

      /r/technology/comments/8raoq3/apple_will_update_ios_to_block_police_hacking_tool/e0tvxpy/

  57. Mniej zorientowani czytelnicy powinni z ostrożnością podchodzić do niektórych publikowanych tu porad. Odmowa odblokowania tel na granicy w UK skończy się natychmiastowym więzieniem i masą problemów, łącznie z przemocą fizyczną wobec właściciela telefonu.

  58. Wg mnie UseCrypt ma sens. Jest płatny, czyli nie będą sprzedawać użytkowników

  59. …material dla frajerow…

    obejrzyj – to tylko fabularny film…P. R. Z. E. C. I. E. K.

    https://www.cda.pl/video/2055702e8

    http://www.psz.pl/124-polityka/hubert-koziel-systemy-szpiegostwa-elektronicznego

    …ale pewnie znowu tego nie puscisz – maze image znafcy – co?…:))

  60. Signal łączy użytkownika z jego nr telefonu, Wire można zarejestrować na dowolny e-mail.

  61. A hangout googla ?

    • Gdzie tam masz end-to-end? Poza tym to trzecia “wielka korpo” skompromitowana współpracą z NSA, a do tego jeszcze podsłuchowaniem kontentu w celu targetowania reklam.

  62. Zapytam się szczerze, jako totalny laik – po co przeciętnemu zjadaczwi chleba takie zabezpieczenia? Zakładając że komunikator służy do small talku i przesyłania sobie kotów w internecie.

    • To, że nie mam nic do ukrycia nie znaczy, że musi to być łatwo dostępne.
      Plus – przejęcie komunikacji przez osoby trzecie mocno ułatwia ataki phishingowe itp. Do tego dochodzi możliwość podszycia się pod użytkownika, co przy posiadaniu np. całej historii konwersacji jest dość proste.

    • Odpowiem szczerze, jako nie totalny laik – po nic.
      Jeżeli nie zależy Ci na własnej prywatności, to nikt o nią za Ciebie nie zadba – powiedziałbym nawet że wprost przeciwnie.

    • @Vistim – dzięki za nakreślenie tego.
      @zzz – zadałem szczere pytanie, a ty odpowiedziałeś, traktując mnie jak idiotę. Not cool. Przyznaję się bez bicia że nie wiem w jakim celu takie dane mogą być użyte przeciwko mnie. O phishingu i podszyciach już zostałem uswiadomiony, a co z resztą. Po co innym podmiotom moje dane i to co z nich wynika?

    • Z żadnej informacji można wyczytać więcej niż wydaje mi się, że ci się wydaje.

      Sprawdzasz pogodę w Tunisie? Po co? Czyżbyś się tam wybierał? I czyżbyś tam się wybierał właśnie w te dni, na które sprawdzasz pogodę?

      Swoją drogą, odkąd komunikuję się cyfrowo, jeszcze nie spotkałem takich osób, które tą drogą nie przekazywaliby w ten sposób prywatnych informacji.

      Może podzielisz się swoją ostatnią korespondecją, byśmy wiedzieli o co chodzi?

  63. Szkoda że ma iphone i NSA go szpieguje na żywo.Poprawcie artykuł, bo to nie plus.

  64. Link dla Pana Piotra Koniecznego odnośnie TrueCrypt’a i jego następców https://www.cvedetails.com/vulnerability-list/vendor_id-4447/Truecrypt-Foundation.html

  65. Czemu WhatsApp ma zaznaczone No w pierwszym wierszu tabelki (szyfrowanie wszystkich wiadomości i załączników)? Jako rodzaj wiadomości nie kest szyfrowany?

    Btw, sprawdziłbym jeszcze ktory z komunikatorów domyslnie stara sie przekonać użytkownika przy instalacji do wykonywania nieszyfrowanego backupu. Mysle ze to ma.kliczowe znaczenie tez :)

  66. A wickr me?

    • Zamknięte źródła. Dziękuję, dobranoc.

  67. Hej, jeśli szukacie bezpiecznego, szyfrowanego messengera gdzie nie musicie podawać numeru telefonu do rejestracji sprawdźcie Tungsten’a. Możecie tam mieć wiele profili (aka “persona”: anonimowe oraz publiczne). Jest dostępny za darmo na Androida oraz iOSa i niedługo wprowadzimy wsparcie na MacOS. Jeśli macie jakieś pytania to napiszcie do nas na support@tungsteapp.com. Sprobujcie i dajcie znać jak Wam się podoba!

  68. Wszystko wygląda na to, że firma która rozsyłała pierwotną notkę opłaciła całą akcję psucia PR konkurencji i w podtekście promowania swoich produktów u nieświadomych użytkowników czy wręcz instytucji państwowych (jak wiadomo to najlepszy i najbardziej bezmyślny klient). Ostatni artykuł jest tego najlepszym przykładem… Bezpłatna konkurencja jest be, a jaki mamy polski, narodowy komunikator, za który politycy powinni zapłacić?

  69. Naiwnie chcę wierzyć, że Signal nie loguje i nie przechowuje komunikacji.
    Nawet jak sam napiszesz komunikator, to jeszcze system operacyjny wie, co piszesz, w sumie nie ma bezpiecznych komunikatorów. A kto musi znać twoje wiadomości to zna, inna sprawa, że nie można tego wykorzystać oficjalnie, ale wiedza pozostaje.

    Bycie offline jest super.

  70. Przeniosłem nr do Nju i mi przestały działać rozmowy na Signalu. Nie można się połączyć. Jak się podepne pod WI-FI to działa. W Plusie też mi działa. Zmieniłem te Ipv6 na Ipv4 (gdzieś wyczytałem żeby spróbować) i dalej nic. Może ktoś mi to pomoże ogarnąć?

  71. Witam, mam być może laickie pytanie. We wszystkich komunikatorach, których używałem do tej pory (włącznie z polecanym signal) nie ma możliwości szyfrowania rozmów grupowych. Tzn z kilkoma odbiorcami wiadomości. Biorąc pod uwagę, że wszędzie jest tak samo podejrzewam, że po prostu szyfrowanie End2end nie jest możliwe z kilkoma osobami. Jednak chciałbym zapytać czy tak faktycznie jest? Czy może jest inny komunikator, metoda szyfrowania, która pozwoli również na tworzenie wspólnych chatów/group i szyfrowanie korespondencji?

  72. literówka – niedziałający link:
    https://whispersystems.org/signal/privacy/
    (tekst: “nie loguje żadnych metadanych na temat użytkowników”)

    • Jak poprawicie, to usuńcie proszę ten komentarz (i zagnieżdżone).
      Wg. regulaminu komentarze techniczne nie są publikowane ;)

  73. @Piotr Konieczny: “Jeśli ktoś chce Signal wykorzystywać do superanonimowego kontaktowania się z obcymi ludźmi to musi wykonać dodatkowe kroki.”

    src: https://niebezpiecznik.pl/post/prostujemy-nieprawdziwe-sformulowania-o-komunikatorach-signal-i-whatsapp-w-rzeczpospolitej/#comment-671154

    Rozwiniesz proszę?
    Chodzi wyłącznie o podanie nru tel, czy o coś jeszcze?
    Jeśli nie masz czasu, to proszę o odesłanie do jakiejś sensownej lektury. Większość, które czytuję nie przedstawia dobrych rozwiązań problemu (The Intercept, https://infosec-handbook.eu/tags/signal/).
    Co do podania nru, to niby Disposable SMS number rozwiązuje problem.
    Ale czy jest i będzie to rozwiązanie bezpieczne?
    Ok, jest Registration Lock, ale przydała by się możliwość kontrolowania konta po utracie numeru użytego do rejestracji.
    Mogę się mylić i po wstępnej weryfikacji Signal kompletnie nie potrzebuje tego nru tel (jeśli tylko znamy PIN z Registration Locka). – Nie próbowałem.
    Jeśli jednak jest potrzebny dostęp do numeru użytego do rejestracji, to jest to slippery slope, bo sporo uzależniamy od konkretnego serwisu oferującego disposable number. Co jeśli przestanie świadczyć usługi?

    No jeszcze jest metoda zwerbowania słupa do kupienia karty SIM, ale to nielegalne.
    Osoba ceniąca prywatność nie powinna musieć się uciekać do nielegalnych działań.

    • > No jeszcze jest metoda zwerbowania słupa do kupienia karty SIM, ale to nielegalne.

      Bzdura. Żadne prawo nie nakazuje używania karty SIM zarejestrowanej na siebie. Inaczej karty czeskie, austriackie czy ukraińskie byłyby nielegalne, bo lokalne rezimy nie wymagają takiej rejestracji.

      Zarejestrowaną kartę możesz kupić np. na sprzedajemy24.pl.

    • Legalnie, czy nielegalnie, nie chcę tego robić.
      Nie chcę przez takie zabiegi się utożsamiać z tymi co kupują taczki koksu, albo kroją ludzi na lewego Dotpaya.
      Musi być jakaś tymczasowa “normalna” metoda zarejestrowania anonimowego Signala.
      Tymczasowa, bo rozwiązanie docelowe jest na celowniku OWS. (pisałem wyżej)

      Piotrek brzmiał jakby znał rozwiązanie, dlatego zapytałem.

      Poza tym, jesteś przekonany, że kupując SIMy online nie zostawisz po sobie żadnego-żadnego śladu i nie popełnisz ani jednego przeoczenia, które skompromituje całą akcję?

    • Jeszcze małe wyjaśnienie:
      Śladów nie chcesz po zobie zostawiać nie dlatego, że jesteś privacy-paranoidem,
      a dlatego, że jeśli służby będą ścigały jakiegoś mafioza i przejmą logi z takiego serwisu do tradingu SIMów, w których będzie figurowała także Twoja transakcja/nawiązanie kontaktu ze sprzedawcą/cokolwiek, to możesz być w ich analizie niekompletnych metadanych postawiony na równi z mafiozem. Mimo tego, że jesteś przykładnym obywatelem a te całe ceregiele z kupnem SIMa były jedynie po to żeby zarejestrować anonimowego Signala.

      Po części to miałem na myśli pisząc o “utożsamianiu się” w poprzednim komentarzu.

    • > a dlatego, że jeśli służby będą ścigały jakiegoś mafioza i przejmą logi z takiego serwisu do tradingu SIMów, w których będzie figurowała także

      Słuszna uwaga. Dlatego nie powinieneś nigdzie dzwonić. Są sprzedawcy, którzy oferują kontakt przez e-mail. Zakładasz nową skrzynkę przez Tora i tak się komunikujesz. Płacisz doładowaniem, kupionym oczywiście gdzieś za gotówkę.

    • @Arnold. Dalej nie będę tak robić :)
      Powód:
      Jesteś pewien, że nie zostawisz po sobie żadnych-żadnych śladów?
      Jesteś pewien, że przez najbliższe pół roku nie zrobisz w kodzie żadnego błędu?
      Ja nie.

      No i jest jeszcze kwestia utożsamiania się. Tak jak napisałem, z takich serwisów raczej korzystają ci od taczek koksu niż privacy-paranoids.
      Tym samym serwisy te wspiera nielegalne działania, więc nie chcę nakręcać im biznesu.

      Może coś Piotr napisze o anonimowym Signalu.

    • > z takich serwisów raczej korzystają ci od taczek koksu niż privacy-paranoids.
      > Tym samym serwisy te wspiera nielegalne działania, więc nie chcę nakręcać im biznesu.

      Dziwna analogia. To że ktoś świadczy usługi osobom zajmującym się rzeczami uznawanymi przez Ciebie za nieetyczne nie znaczy że te usługi są nieetyczne same w sobie. Kupno/sprzedaż wag elektronicznych nie jest nieetyczne, mimo że sporo takich wag kupują dilerzy.

      Pomijam kwestię legalności, bo to rzecz odrębna od moralności.

  74. Signal sie skonczyl jak przestali uzywac smsow i wymusili komunikacje przez ichni centralny serwer – na szczescie jest fork – SIlence – https://silence.im/

  75. Właśnie pisałem do Redakcji odnośnie moich przypadków z Whatsapp i powiem że coś musi być na rzeczy.

    Czy to normalne że używanie tego komunikatora może nieść jakieś konsekwencje jeżeli chodzi o ochronę danych osobowych.
    Czy były zgłoszenia do was jeżeli chodzi o dziwne zachowanie tego komunikatora.
    Tj, mój przypadek nie pierwszy był taki iż łącząc się z moją żoną która była na innej dzielnicy miasta jakieś 7 km dalej podczas próby połączenia już po naciśnięciu zielonej słuchawki do dzwonienia słyszałem w telefonie jak mój syn z dzieciakami siedzący w innym pokoju rozmawiają między sobą dodam że syn ma telefon z Whatsappem lecz wtedy nie był on włączony tzn nie rozmawiał z nikim.
    Dokładnie słyszałem o czym rozmawiają aż do czasu kiedy moja żona odebrała telefon.
    Drugi przypadek i też nie jeden to moja teściowa podczas próby połączenia ze swoim mężem słyszała w słuchawce swoją rozmowę z nim z przed kilku dni do czasu odebrania telefonu przez jej męża.
    Czy takie rzeczy są normalne jeżeli o użytkowanie Whatsapp czy właściciel komunikatora nie mówi nam o tym że przechowuje nasze rozmowy gdzieś u siebie i monitoruje to o czym rozmawiamy??
    Może ta sprawa zainteresowała by opinię publiczną bo wprost mówiąc ktoś tu wali w ch.,….

    Przepraszam za błędy i stylistykę ale tak jestem wkur…… że mała pała.

  76. Ha, zawsze można IRC + GPG na prywatnym serwerze….

  77. Czy jest już jakiś fork do włączenia Signala bez GCM (czyli bez logowania się na konto Google i bez obsługi Google Services na Androidzie)?

    Zależność od GCM to chyba jedyna istotna wada tej aplikacji.

  78. Dlaczego ignorujecie protokół TOX? To wiele klientów z OTWARTYM KODEM o różnym poziomie bezpieczeństwa.
    W odróżnieniu od whatsapów, telegramów czy signali nie wyłudza numeru telefonu (czyli czegoś co jest w polsce rejestrowane.

    Gdzie leży słabość protokołu tox?

    Standardowo bezpieczeństwo powinno się uzupełniać często zmieniając numery/adresy i przy każdej rozmowie weryfikując czy rozmawiamy z tym, z kim chcemy. Do tego służą klasyczne metody typu hasło-odzew lub pytania kontrolne, na które tylko Ty i rozmówca znacie odpowiedź. Nigdy nie powtarzacie pytania i rozmówca nie zna pytania, póki go nie zadasz (to stara szkoła z czasów analogowych ale pozwoliła wyłapać niejednego podstawionego agenta).

    Przypisywanie adresu/numeru komunikatora do urządzenia czy numeru telefonu tylko utrudnia rotacje adresów czyli ułatwia podszycie się pod kogoś. Czemu promowane przez niebezpiecznik komunikatory mają tą słabość a przy okazji wystawiają nas służbom na widelcu przez przypisanie do zarejestrowanego numeru telefonu?

  79. @Piotr Konieczny

    W wire wszystkie dane możesz skasować na raz wszędzie na każdym urządzeniu na raz; także Twój argument o przechowywaniu na serwerach jest “niestabilny”

  80. BTW Nigdy nie wiadomo, czy Signal “po kącie” nie udostępnia danych w drodze wiadomości wysłanej z jednego użytkownika do drugiego, także to że Wire trzyma wiadomości trzyma na serwerze nic nie znaczy w dobie dzisiejszej techniki

Odpowiadasz na komentarz AS

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.