Nešmírovaný mail

hugochavez



hugochavez

Re:Nešmírovaný mail
« Odpověď #76 kdy: 03. 09. 2017, 00:32:14 »
.....a to pro pripad ze by ti nekdo chtel napsat kdyz ses offline......
Mysleno "kdyby ti nekdo S KYM SI JESTE NEPROVEDL VZAJEMNOU AUTENTIZACI" chtel napsat.

Jinak zda se, ze defaultni watchdog podvrzeni fake klice funguje u Signalu OK, nedavno sem poslouchal nejakou DK novinarku ktera se vypravila do Turecka monitorovat co tam Erdogan vyvadi a prej jakmile v Istanbulu zapnula na letisti tlf tak pri prvni doruceny zprave od kolegy z redakce se ji zahlasilo  "protistrana zmenila klic-akceptovat?" cili VELMI rychlej MitM.  ;D  Zda se ze Erdogan neponechava nic nahode a evidentne to maj slusne zautomatizovany, ani by me neprekvapilo kdyby pri prihlaseni zahranicni IMSI do site nastoupilo automaticky odposlouchavani...... inu pokrok nezastavis.

konzerva

Re:Nešmírovaný mail
« Odpověď #77 kdy: 03. 09. 2017, 12:55:08 »
Ked boli data z odpocuvania datacentier (projekt MUSCULAR), tak to je opravene. Vsetko sa sifruje.
....a sifrovaci klice distribuuje kdo?   ;)
S PKI neni treba distribuovat klice krome toho prvniho. Kdyz se pousti nove datacentrum, tak overeni jednoho verejneho klice neni to nejtezsi.
Pristup k rootu duvery ma jenom malo lidi.

PS: Je to stejna sarada jako iMessage u Jabka, klice "opatruje" Apple a neni tedy problem zahrat si na MitM.......
Neni, Vsechno z Googlu je smirovatelne po zadosti od soudu a marketing to nepopira. Neni to spoluprace, ktera by smirovala vsechno.
Apple tvrdi, ze iMessage neni smirovatelny.

Kdyz chces bezpecnost, pouzivej na chat OTR se sdilenym tajemstvim. Staci tomu Jabber, ma PFS a to resi problemy, ktere z principu fungovani sdili i Signal nebo ring.cx. Ochrana metadat neni a nejde ji udelat efektivne.

hugochavez

Re:Nešmírovaný mail
« Odpověď #78 kdy: 03. 09. 2017, 15:18:26 »
....Kdyz se pousti nove datacentrum, tak overeni jednoho verejneho klice neni to nejtezsi.
Pristup k rootu duvery ma jenom malo lidi.
Me je samozrejme jasny ze tim ze si Google natahne VPN mezi svymi datacentry tak fizlovani "po ceste" eliminuje, to je ale jen takova saskarna pro verejnost a rozhodne to neresi ZASADNI problem o kterem se mluvi tady:
 https://www.youtube.com/watch?v=OTV_Vz-Ur2M
alias Google is virtually in bed with state dept.
podobne jako i jine US firmy
https://www.youtube.com/watch?v=7fNvmVt0EBo
a kdyz postoj sefa Googlu ohledne uzivatelu je tohleto:
https://www.youtube.com/watch?v=PsaWkYNLbxc#t=4m
tak je to vlastne potvrzeni toho co rika Assange........
Navic Silicon Valley ma dlouuuuuuuuhou tradici ohledne spoluprace se statem, at uz dobrovolne ci nedobrovolne, cosi vzpominam tak u Yahoo byl pred par lety sef pres IT security kterej zjistil nezakonny sber dat uzivatelu poskytovanych US vlade a upozornil na to vedeni firmy, vzapeti byl vykopnutn a pokud vim tak sedi dodnes za "ohrozeni narodni bezpecnosti" ci podobnej nesmysl.....

Citace
Apple tvrdi, ze iMessage neni smirovatelny.
Apple samozrejme nema jinou moznost nez tvrdit to co tvrdi.
Opak by se projevil na jeho image a prodeji.
Ja si ale velmi dobre pamatuju jak ex-sef FBI James Comey do nebe vychvaloval "bezvadnou spolupraci s Applem" kdyz FBI potrebovala ziskat nektere msgs ulozene na Apple serverech a podivoval se nad tim ze Apple se najednou stavi na zadni kdyz chtej "odemknout zpravy" ulozene na iPhonu samotnym......... (byla to ta znama kauza San Bernardino shooting kdy FBI dokonce dotahla Apple az k soudu- kde si s ni  s plnou paradou vytreli advokati Applu (_!_) nacez FBI nasledne utratila $100.000 za "otevreni" pristroje soukromou izraelskou firmou Cellebrite  Aspon tak znela oficialni verze, mozna ale bylo na fakture jen o nulu ci 2 vice a foun odemklo samo Jabko a na verejnost se vypustila tahle cover story aby Jabko neztratilo tvar........vubec by me to neprekvapilo.

Citace
Kdyz chces bezpecnost, pouzivej na chat OTR se sdilenym tajemstvim.
OTR plugin jsem pouzival v Pidginu pro ICQ i Skype, protoze bezny BFU na nic sofistikovanejsiho nepresvedcite.
To povazuju za problem do budoucna = stale rostouci debilizaci spolecnosti (coz urcite nekterym kruhum naramne vyhovuje)
Dnesni security messenger aby se uplatnil musi bejt "idiot-proof" a nepozadovat od uzivatele vice namahy nez aktivaci prvni signalni soustavy.
Napsat takovy SW neni lehky ukol tim spis ze "the convenience is the enemy of security"
Citace
Ochrana metadat neni a nejde ji udelat efektivne.
Urcita chrana metadat udelat jde-viz Bitmessage ktera napr. veskere zpravy posila vsem v siti, ale jen spravny privatni klic spravneho prijemce ji dokaze precist. Ostatni msg zahodi, zatimco utocnik vidi jen ze si "kazdy pise s kazdym".......... Ovsem tenhle design prakticky vylucuje pouziti na mobilnich zarizenich (baterka/FUP atd)
TOR take skryva metada a zalezi jen na velikosti (penezenky/IT skills) utocnika nakolik je dokaze rozkryt....
Dluzno podotknout ze rozpocet NSA+CIA je cca $70MiLiARD (!!) a za takovej ranec se da koupit uz "hodne spoluprace" s firmami ci insidery ve firmach.
PS: v tech videich se zminuje ze Google pomahala financovat firma In-Q-Tel
od ktere pochazi ony Google Maps/Earth..............puvodne se program jmenoval Keyhole, a vyvinula ho CIA.

hugochavez

Re:Nešmírovaný mail
« Odpověď #79 kdy: 03. 09. 2017, 18:30:18 »
Ahoj, nevíte o nějakém relativně nešmírovaném mailu (žádné čtení pošty pro reklamní účely, pokud možno bez toho, aby to zcela nepokrytě a víceméně legálně četl stát...

Z neplacených třeba GMail/Inbox...

Psát imbecilní příspěvky je asi vaše hobby....
Co je na tom příspěvku imbecilního? Vy si myslíte, že GMail/Inbox někdo šmíruje? Máte ten názor nějak odůvodněný?

Mame https://9to5mac.files.wordpress.com/2013/06/prism-slide.jpg
PS: a aby sme to meli cely komplet Jirsaku Assange:Facebook, Google, Yahoo-spying tools for US intelligence  ;)


hugochavez

Re:Nešmírovaný mail
« Odpověď #80 kdy: 03. 09. 2017, 18:37:07 »
Ahoj, nevíte o nějakém relativně nešmírovaném mailu.......
Onehda jsme tu meli debatu -nee sice o emailu ale na tema nejbezpecnejsi komunikator/messenger
 :)

Re:Nešmírovaný mail
« Odpověď #81 kdy: 03. 09. 2017, 19:45:16 »
Přijde mi to jak u blbejch na dvorku. Když nechcete, aby se vám v mailu ráchal kdejaký obejda, tak stačí seriózní služba. Pokud hrozí, že ten obejda má podporu státu, tak ta služba musí být mimo jurisdikci příslušného státu - to pro nás třeba znamená, že Gmail bude docela OK, protože Babiš ani Chovanec z něj jen tak moje maily nedostanou.
Jestli ale chcete, aby např. Google nevydal data na příkaz amerického soudu, tak to máte smůlu, můžou to zdržet a odvolat se, ale nesplnit zákonný požadavek nemůžou.
Pak jedině end-to-end šifrování, tj. klíče a s partnery maily šifrovat. Na to ovšem musíte používat poštovního klienta.
No a jestli se zapletete do něčeho velkého, tak vám ani tohle nepomůže, dokud budete žít, tak lze s trochou otrlosti vaši komunikaci dešifrovat gumovou hadicí nebo podobnými, samozřejmě naprosto nezákonnými prostředky. A pokud po vás půjdou mafiáni, tak dojde rovnou na tento odstavec.
« Poslední změna: 03. 09. 2017, 19:53:17 od BobTheBuilder »

GTor

Re:Nešmírovaný mail
« Odpověď #82 kdy: 08. 09. 2017, 15:52:21 »
Testovano bylo nekolik mailovych serveru, a jde hlavne o tyto vlastnosti.
...
takže víťaz je...?

To je tezko rict, ale nejspis vitezem je mail2tor z testovanych. Je tam domena .onion , rozhrani sqirell mail se zalozenim i pristupem bez JS a v domene Onion. Navic se nemusi udavat zadna sekundarni informace. Problem je, ze pri komunikaci s beznymi servery casto pada do spamu. Sifrovani schranky neuvdi a i kdyby, nelze dokazat neexistenci zadnich vratek. Nejspis neni ochraneno pozorovani "Kdo-S Kym". Mala zatez pro CPU a data u weboveho klienta.

2. bitmessage.ch - moznos pristupu bez JS v domene onion, Squirell mail. Ma urcitou ochranu metadat kdo s kym si pise. Zalozit v domene Onion nejde, jde to ale prez Tor (zalozeni schranky je ale spis JS, bez JS je captcha necitelna). Je nutnost zadat sekundarni email, ktery lze take zalozit nekde prez TOR. Ale nektere docasne mailove sluzby, napr. Hide My Ass jsou blokovany. Schranka je sifrovana, ale overit, ze tam nejsou zadni vratka, nejde.

3. tutanota.com - lze zalozit prez TOR, i pouzivat, netreba zadny sekundarni udaj. Nutnost JS tam ale je a navic JS dost zatezuje CPU. Schranka je sifrovana, coz ale nejde primo dokazat, ze tam zadni vratka nejsou. Neni tam ocrana Kdo S Kym.

Naopak nejvetsi propadaky jsou Yahoo, seznam.cz a centrum.cz
I Gmail lze pouzivat prez TOR bez JS, nikoliv vsak zalozit.

Je tu samozrejme riziko, ze celou sluzbu zavrou urady (zabavi cele servery). To plati u mail2tor, a take u bitmessage, tutanota, i jinych. U Gmailu a jinych velkych poskytovatelu je to krajne nepravdepodobne.

hugochavez

Re:Nešmírovaný mail
« Odpověď #83 kdy: 09. 09. 2017, 15:44:14 »
nejspis vitezem je mail2tor z testovanych. Je tam domena .onion , rozhrani sqirell mail se zalozenim i pristupem bez JS a v domene Onion.
Pouzivat email na .onion domene NENI O NIC BEZPECNEJSI NEZ GMAIL.
Nevis naprosto KDO sluzbu spustil, KDO udrzuje zelezo v chodu a JAKE umysly ten admin ma.
Klidne si to mohli zalozit soudruzi z NSA, CIA, FBI proste kdokoliv.
Tim spise, ze FBI nema napr. problem prevzit, NADALE PROVOZOVAT ba co vic jeste VYLEPSIT parametry webky nabizejici CP
 https://motherboard.vice.com/en_us/article/9a3nwp/lawyer-dark-web-child-porn-site-ran-better-when-it-was-taken-over-by-the-fbi

nacez necha pachatele radeji jit http://www.theregister.co.uk/2017/01/06/fbi_lets_people_off_to_keep_methods_secret/   nez aby prozradila u soudu "jak k nemu technicky dosla" -coz naznacuje ze ) onen Tor-0day exploit je pro ne cennejsi nez odsouzeni pachatele, pripadne ze se pri reseni pripadu SAMI pohybovali mimo zakon (=coz se nasledne ukazalo....nebot slo o soudem neposvecenou tzv.fishing expedition) alias Visit the Wrong Website, and the FBI Could End Up in Your Computer

Citace
bitmessage.ch - moznos pristupu bez JS v domene onion...........Zalozit v domene Onion nejde, jde to ale prez Tor.......Ale nektere docasne mailove sluzby, napr. Hide My Ass jsou blokovany.......
Co presne se ziska tim ze ze budes Bitmessage provozovat/zakladat pres TOR??
Pokud me pamet neklame tak se ten klient choval vicemene jako TOR samotnej=navazal hafo spojeni s jinejma nodama, vsechno bylo sifrovany a kazdou msg cos napsal odeslal vsem, nacez si ji dokazal precist jen ten kdo mel prislusnej privatni klic. Verejny klice prijemcu sis musel obstarat jinou cestou+autentifikovat je sam, takze riziko ze by ti "system" podstrcil nejakej fake-key tam moc nebylo.....
Autori uzkostlive dbali o svou anonymitu............aspon tenkrat.....zrejme vedeli proc.

Citace

Ale nektere docasne mailove sluzby, napr. Hide My Ass jsou blokovany....
To bych povzoval spis za vyhodu, vzhledem k tomu ze tahle sluzba neco jinyho vytrubuje do sveta a neco jinyho dela v realu:
 https://www.theatlantic.com/technology/archive/2011/09/lulzsec-hacker-exposed-service-he-thought-would-hide-him/337545/ 
+ What everybody ought to know about HideMyAss
Navic "sluzba zajistujici anonymitu sidlici v UK??"  to je spatny i jako vtip  ;D

Citace
Je tu samozrejme riziko, ze celou sluzbu zavrou urady......U Gmailu a jinych velkych poskytovatelu je to krajne nepravdepodobne.
Tak nepravdepodobne to je hlavne proto ze Google vzorne spolupracuje
a je podle Assangovo info tak nejak celkove in bed with state dept

GTor

Re:Nešmírovaný mail
« Odpověď #84 kdy: 12. 09. 2017, 20:27:50 »
hugochavez

Sluzbu Hide My Ass jsem uvadel jako priklad docasneho emailu, ktere bitmessage blokuje.
To ze Hide My Ass spolupracuje s urady, to vim.

Slo ale o to, ze pri tvorbe schranky u bitmessage musis zadat nejakou mailovou adresu. Tu si take tedy musis vytvorit prez TOR jen na jedno pouziti. Jestli pak ta sekundari adresa - Hide MY Ass - bude spolupracovat s urady, at si spolupracuje.
Uvidi jen jednou pouzitou schranku a zalozeni-prihlaseni prez TOR, plus "jmeno" BitMessage schranky, ktere tam bitmessage posle. To same ale plati, kdyz pouzijes jako sekundarni mail napr. seznam, gmail, nebo cokoliv jineho. U HideMyAss vime, ze spolupracuje s urady, seznam.cz gmail.com  podstate to same.

Pak je akorat rozhodujici, ktery mail (jakozto sekundarni) ma vic-min JS a podobnejch veci, kde je vetsi pravdepodobnost prolomeni TORU a zjisteni tvoji IP - indetity. O tom ze sekundarni mail zalozis prez TOR a pouzijes jen jednou, nemusi byt rec.

GTor

Re:Nešmírovaný mail
« Odpověď #85 kdy: 12. 09. 2017, 20:37:06 »
To, ze mail je v domene .onion skutecne nic neresi. Nevis totiz KDO a za jakym ucelem ho provozuje. Nevis, jestli ma mailserver zadni vratka nebo ne. U Gmailu a dalsich naopak vic ze tam zadni vratka jsou a u ktereokoliv webu v domene Onion muzou byt uplne stejne.

Domena Onion ma vyhodu, ze mezi Tebo a Serverem je vic nodu (6), zatimco u klasickeho webu jen 3. Co je ale u kterehokoliv serveru v kterekoliv domene rozhodujici - kolik tam je JS, a mnoho dalsich podobnych veci, ktere muzou az narusit TOR anonymitu. Kdo a proc provozuje mail, jestli spoluprauje s urady a jestli nejsou i sifrovaneho mailu backdoby, to se asi nijak zjistit neda, jednine neprimo prez ruzne skasky.

Gmail, Yahoo a dalsi maji naic vsude mozne like buttony a mnoho prvku ma google na webu, prez ktere muze trackovat-chytat. Ma navic obrovske vypocetni i programatoske moznosti pro vyvoj backdoru.


bok

Re:Nešmírovaný mail
« Odpověď #86 kdy: 12. 09. 2017, 22:23:55 »
pochybuji, že někdo, kdo si zakládá tyhle nešmírované maile a surfuje torem, tak nepoužívá adlock, umatrix,ublock, hosts a filtrování, a blokování JS a nevypne si v browseru nebezpečnou funkcionalitu (v posledni době se mi zdá , že s broswerů se stávají OS: service workers, audio api, wallet api, canvas, mikrofon, storage, webgl,  file system api, beacon-behind-scene requesty, atd)

Re:Nešmírovaný mail
« Odpověď #87 kdy: 13. 09. 2017, 07:17:06 »
pochybuji, že někdo, kdo si zakládá tyhle nešmírované maile a surfuje torem, tak nepoužívá adlock, umatrix,ublock, hosts a filtrování, a blokování JS a nevypne si v browseru nebezpečnou funkcionalitu (v posledni době se mi zdá , že s broswerů se stávají OS: service workers, audio api, wallet api, canvas, mikrofon, storage, webgl,  file system api, beacon-behind-scene requesty, atd)
Já jsem si myslel, že kdo si zakládá tyhle nešmírované e-maily a surfuje TORem, bude na e-mail používat nativního poštovního klienta, ne webovou aplikaci. Například protože e-maily šifruje, což mu webový prohlížeč neumožní (tedy pokud nechce vydat svůj soukromý klíč). Ale pravda, tady se neřeší skutečná bezpečnost, tady se řeší paranoia.

GTor

Re:Nešmírovaný mail
« Odpověď #88 kdy: 13. 09. 2017, 13:35:33 »
pochybuji, že někdo, kdo si zakládá tyhle nešmírované maile a surfuje torem, tak nepoužívá adlock, umatrix,ublock, hosts a filtrování, a blokování JS a nevypne si v browseru nebezpečnou funkcionalitu (v posledni době se mi zdá , že s broswerů se stávají OS: service workers, audio api, wallet api, canvas, mikrofon, storage, webgl,  file system api, beacon-behind-scene requesty, atd)

TOR Browser ma vsechny tyhle CPU zatezujici a nebezpecne pro anonymitu funkcionaly zasadne vypnute (vcetne JS a samozrejme zasuvne moduly typu Flash a pod.) Jsou tam 3 urovne zabezpeceni (zakladni, stredni a vysoka). Na vysokej je vse vcetne JS vypute.

Pokud pouzivs prohlizec do posty, je u nekterych mail-serveru nutnost JS, jen u nekterych ne.
Newebovi klienti to resi, navic s moznosti End-To-End sifrovani. Zalozeni schranky prez ne ale uz nejde.

TOR Browser ma deafultne vypnute Cookies treti strany. U google, FB a pod. je problem, ze maji na vsech moznejch strankach like buttony a dalsi udelatka, ktera zarizuji cookies a tracking uzivatelu. Muzes casto davat u TB "New Identity" cimz se cookies smazou.

hugochavez

Re:Nešmírovaný mail
« Odpověď #89 kdy: 13. 09. 2017, 16:46:51 »