Marco Civil da Internet Aprovado

[Picinin]

"

Tava lendo aqui sobre MITM em e2e encryption e achei esse trecho no wikipedia [1]:

Companies may also willingly or unwillingly introduce back doors to their software that help subvert key negotiation or bypass encryption altogether. In 2013, information leaked by Edward Snowden showed that Skype had a back door which allowed Microsoft to hand over their users' messages to the NSA despite the fact that those messages were officially end-to-end encrypted[2][3].

[1] https://en.wikipedia.org/wiki/End-to-end_encryption#Man-in-the-Middle_attacks
[2] https://www.theguardian.com/world/20...tion-user-data
[3] Think your Skype messages get end-to-end encryption? Think again | Ars Technica

Ou seja, é possível para a empresa violar a encriptação de ponta a ponta como eu tinha sugerido? E só não é possível, como o Skype fazia isso sem que os clientes soubesse? Se for, parece que eu não tava clicando tantos botões assim.

"

Não é possível utilizar de MITM (homem no meio) @RKint. A técnica homem no meio consiste de se inserir entre os canais de comunicação para escutar os dados, se a tecnologia utiliza encriptação o que você vai ver é um monte de dado ininteligível.

Backdoor é algo totalmente diferente e é anti-ético, porque se a empresa utiliza backdoor não HÁ NECESSIDADE ALGUMA de se ter um encriptação E2E. É jogar sujo, dizer que tem uma tecnologia quando se está minando a mesma, uma empresa séria pode perder total credibilidade e eu postei esse link do Skype para dizer que empresas podem jogar sujo, mas depois há retratação e consequências negativas. @Picinin não é uma 'solução' se a empresa mantém (ou diz manter) uma postura integra.

Mas foi exatamente o que eu disse lá atrás, eu NÃO confio nessas empresas, e não acho que elas estejam realmente interessadas em proteger minha privacidade, e nem acho que elas sejam éticas. Inclusive citei nesse mesmo post o caso do ex-usuário do Facebook que descobriu que o FB guardava tudo que ele tinha postado, mesmo depois de apagar sua conta, contrariando o que a empresa dizia fazer.

Meu ponto é que essa conversa de que as empresas querem proteger a privacidade do cliente é puro marketing. Se for interessante comercialmente a quebra essa privacidade, eu não tenho dúvida de que elas irão fazê-lo. E há retratação e consequências negativas quando é descoberto, né? Eu não duvido nada que, para cada caso descoberto, existam outros vários que nunca serão conhecidos.

@RKint

Quem me garante que o whatsapp não faz backdoor, ou tenha algum tipo de keylogger ou whatever que tá gravando suas mensagens antes de ela ser enviada pro servidor? Quem me garante que essa encriptação não é só marketing e que eles tão fazendo o mesmo que o Skype fazia? Como eu disse, a diferença é que eu não acredito nessas empresas, e não duvido que elas abram exceções a essa privacidade quando lhes for conveniente. Então não vejo problema que elas abram exceção para a justiça.

[rocksfeller]

@rocksfeller não sei se te responderam, mas plain text é um texto sem estar encriptado. Por exemplo, armazenar senhas em plain text é uma má ideia, pois qualquer um que consiga acessar onde quer que ela tenha sido armazenada (ou intercepte uma mensagem no meio do caminho e ela não esteja encriptada) terá acesso à senha da pessoa. Por isso que usamos técnicas como SHA-1, SHA-256, antigamente MD5, para armazenar senhas dos BDs. Por isso que SE o Telegram armazena mensagens dessa forma, isso seria inseguro. Mas reitero que não sei se é verdade, o Snowden tinha dito isso mas aparentemente o fundador do Telegram negou e não sei quem está certo na história.

O Peba me deu um parecer técnico sobre plain text rs

Eu vi os prints dos twittes sobre o assunto. Não faz sentido achar que o telegram guarda ou tragega a msg sem estar criptografada neh? IMHO se existisse essa msg em algum lugar, algum fucking nerd hacker já teria conseguido acessar.

Não necessariamente, você pode ter um canal encriptado e seguro, mas armazenar suas mensagens em plain text. Um exemplo grosseiro, imagine que A conversa com B com uma chave que somente os dois acham que tem. Acontece que no servidor da aplicação, ou seja, guardado a sete chaves pelo Telegram, existe um registro dizendo: "A chave de comunicação de A e B é X". Dessa forma a aplicação poderia trafegar as mensagens encriptadas mas ser capaz de desencriptá-las e armazenar em plain text.

E não acho que seja simples acessar quaisquer dados, se você usar essa lógica pode pensar que algum hacker pode acessar dados da NSA, do FBI, do ISIS, ou até de empresas (Google, Netflix, Facebook). A diferença é que o Google, por exemplo, deliberadamente grava os dados do usuário (e por isso a desculpa de não poder cooperar com a justiça não cola com eles).

O Telegram pode tranquilamente gravar as mensagens em plain text e mesmo assim adicionar camadas de segurança, porém nada garante que eles não entreguem esses dados a quem for de interesse.

Entendi, concordo.

É que soa estranho vc criar um esquema de criptografia pra manter a privacidade das msg do usuário, mas armazenar essas msg (ou a chave pra descriptografá-las em algum lugar) - qual a necessidade neh?

Claro que dá pra criar várias camadas de acesso pra manter isso seguro, mas não vejo motivo pra empresa fazer isso - exceto má fé mesmo.

Mas como eu disse uns posts pra trás, acho sem sentido ficar especulando como a empresa faz ou não faz e se dá pra confiar ou não - porque nunca iremos conseguir confirmar alguma info. IMHO, o melhor jeito pra saber se dá pra confiar ou não, é deixar o tempo dizer - pois com crtz várias pessoas tentam encontrar falhas de segurança nesses sistemas.

[Alvinho]

Eu acho que esse caso da encriptação é diferente, Picinin. A Apple e outras empresas sempre cooperaram com a justiça, hoje mesmo o dono do maior site de torrents foi preso pelo FBI por causa da ajuda da Apple, então não vejo motivos pra essas empresas se recusarem a ajudar a justiça se fosse possível.

[RKint]

@Picinin

Pode ter certeza que isso é investigado. Todo mundo sabe que Skype, Facebook ou Google tem pouco ou nenhum interesse na sua privacidade, então eles não alardeiam isso. Se existe algum backdoor, ele é trackeavel de alguma forma. Se você me pergunta se é possível que o engenheiro mais pica do mundo trabalhe no whatsapp e ninguém tenha descoberto a forma genial que ele desenvolveu pra enganar o mundo inteiro, eu sou obrigado a dizer que sim. Mas é ultra improvável e acaba sendo mais teoria de conspiração que qualquer outra coisa.

Você tem direito de ser cético quanto a isso, e você com certeza entende mais de direito do que eu, mas como o @PebaVermelho falou lá atrás, se eu sou uma empresa e digo que não faço backdoor, mas você é um juiz e desconfia que eu faça, primeiro você tem que provar que eu estou mentindo antes de tomar certas decisões, correto?

[PebaVermelho]

Criptografia do WhatsApp pode ser quebrada por governo interino do Brasil - TecMundo

Esse governo é a coisa mais bizarra que já aconteceu no Brasil.

[TNP]

mais amor que a discussão tá boa

[Picinin]

@Picinin

Pode ter certeza que isso é investigado. Todo mundo sabe que Skype, Facebook ou Google tem pouco ou nenhum interesse na sua privacidade, então eles não alardeiam isso. Se existe algum backdoor, ele é trackeavel de alguma forma. Se você me pergunta se é possível que o engenheiro mais pica do mundo trabalhe no whatsapp e ninguém tenha descoberto a forma genial que ele desenvolveu pra enganar o mundo inteiro, eu sou obrigado a dizer que sim. Mas é ultra improvável e acaba sendo mais teoria de conspiração que qualquer outra coisa.

Você tem direito de ser cético quanto a isso, e você com certeza entende mais de direito do que eu, mas como o @PebaVermelho falou lá atrás, se eu sou uma empresa e digo que não faço backdoor, mas você é um juiz e desconfia que eu faça, primeiro você tem que provar que eu estou mentindo antes de tomar certas decisões, correto?

Certo, mas a juíza não tomou nessa decisão porque acha que tenha um backdoor. Ela tomou essa decisão porque o whatsapp se recusa a cooperar de qualquer forma, não responde aos ofícios da Justiça - e, quando responde, manda email em inglês, lol - e se faz de égua. Como eu disse, antes mesmo de haver essa encriptação e2e os caras já falavam que era impossível atender as solicitações, mas sem dar maiores detalhes e se recusando a cooperar. Os últimos dois bloqueios só foram feitos depois que foram tomadas todas as outras medidas possíveis para que o whatsapp colaborasse e eles sequer se dignavam a responder.

E mais uma dúvida honesta, o código do whatsapp é fechado, né? Mesmo assim seria possível rastrear caso ele te vigie de qualquer forma?
@Alvinho

colaborar pra pegar terceiros é uma coisa, colaborar em algo que afete o seu próprio negócio é outra.

[RKint]

@Picinin, criar qualquer backdoor é uma má prática de segurança. Acredito que o whatsapp se recusasse antes porque isso não estaria em concordância com os ~valores~ da empresa (tanto é que mudaram a encriptação). Você pode argumentar que estão dando uma de joão-sem-braço, mas o fato é que pra muita gente o que o whatsapp faz representa um avanço.

Quanto a outra dúvida, sim, o código é fechado. Porém, quando você trafega dados na internet eles são "públicos" (afinal, eles precisam sair do seu computador, saber qual o destino e trafegar até lá) e sujeitos a "inspeção" (alguém analisando o meio de comunicação pode ter uma pista do que aqueles dados se referem ou até mesmo decifrá-los completamente caso o meio de segurança não seja ideal). No caso do whatsapp, se existisse um backdoor ele seria rastreável de alguma forma, pois o meio não seria seguro como no caso da encriptação e2e (alguém suspeitaria se um pacote de dados tivesse o servidor do whatsapp como destino) e isso seria um escândalo mundial.

[schumi]

Não sei se já foi postado, um vídeo bem didático:

[smiiters]

https://catracalivre.com.br/geral/di...novo-bloqueio/