PplWare Mobile

Os mais populares serviços de chat não são os mais seguros

                                    
                                

Este artigo tem mais de um ano


Autor: Hugo Cura


  1. Dumitru says:

    Nada eh seguro hoje em dia

  2. Rui says:

    Um artigo muito bom! 5 estrelas.

  3. André Lourenço says:

    Não se arranja dados do Telegram?

  4. Tiago Santos says:

    O telegram não é mais utilizado que o iMessage? Porque não consta na lista?

    • Nunes says:

      Olhando para o número de mensagens enviadas em cada serviço, o iMessage é mais usado.
      Segundo dados que a própria Telegram divulgou, esta processa cerca de mil milhões de mensagens diárias. O iMessage há 2 anos já processava 2 mil milhões de mensagens.

  5. LP says:

    É um bom artigo baseado num mau estudo, pleno de falhas na execução.

    Uma leitura atenta ao estudo e algum conhecimento mais aprofundado de alguns dos serviços fazem com que a validade deste documento seja altamente questionável!

  6. José says:

    É sempre bom o conhecimento, mas então retratam programas para windows como o Skype, facebook chat, e depois como seguros só dão exemplos de programas para (telemóveis). Quando comecei a ler o artigo julguei que me falassem de programas como mIRC ou outras páginas on-line onde se escolhe uma sala de um determinado tema e fala-se do que quer que seja.
    Obrigado

  7. Não Não says:

    O estudo está errado, o iMessage e o Skype, pelo menos, têm verificação da identidade dos contactos.

    • Hugo Cura says:

      3. Can you independently verify your correspondent’s identity?
      This criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised. Two acceptable solutions are:

      – An interface for users to view the fingerprint (hash) of their correspondent’s public keys as well as their own, which users can verify manually or out-of-band.

      – A key exchange protocol with a short-authentication-string comparison, such as the Socialist Millionaire’s protocol.

      Other solutions are possible, but any solution must verify a binding between users and the cryptographic channel which has been set up. For the scorecard, we are simply requiring that a mechanism is implemented and not evaluating the usability and security of that mechanism.”

  8. Gamix says:

    E o Whatsapp não ia integrar a encriptação do Textsecure no seu codigo? Esta feita essa integração ou ainda esta por vir?

  9. lmx says:

    Desde já os meus Parabéns pelo artigo 😉

    Acho que a malta precisa é de coisas destas, nos dias de hoje… 😉

    Eu preocupo-me mais em relação ao que uso… BBM.

    [Verificação de Identidade]
    A verificação de Identidade, é feita , quer usando BBM ou Pin Messages(um sistema tipo sms, que já existe há décadas..), usando o BB ID!!

    Portanto ai deveria estar um SIM?!

    http://btsc.webapps.blackberry.com/btsc/viewdocument.do;jsessionid=DB316623B30F3ABC6FFA665F83E1CEB6?externalId=KB23716&sliceId=2&cmd=displayKC&docType=kc&noCount=true&ViewedDocsListHelper=com.kanisa.apps.common.BaseViewedDocsListHelperImpl

    Agora…eu penso que não seja em todos os TMs…mas pelo menos nos BB é suportado, há décadas…eu já alterei o meu BB ID, porque precisei de desenvolver uma app para BB10, e perdi a chave de aceso…essa brincadeira só por si Bloqueou-me o telefone, e cheguei a um ponto em que mais uma tentativa, e apagava-me tudo no tm…quando digo tudo é tudo mesmo, incluindo SO!

    É um mecanismo usado para verificação de contactos, identidade, rastreio do equipamento, bloqueio do mesmo, ou eliminação de todos os dados existentes no mesmo.

    Deveria estar um SIM ai na lista 😉

    Em relação ao ISP, epah isso acontece em todos…porque a BB é obrigada por lei em cada País a fornecer mecanismos que permitam aos reguladores entregar informação sobre actos elicitos aos Tribunais!

    No entanto as BB PIN Messages estão de fora desse mecanismo!
    Mas é possível na mesma os Tribunais requisitarem acesso a logs sobre esse serviço!
    A diferença é que aqui, o pedido tem que ser feito directamente o á BB, tendo em conta a lei, e não o ISP!

    http://www.zdnet.com/article/if-bbm-is-helping-rioters-ripa-will-catch-them/

    [Histórico Seguro]
    Este aqui penso que só é possível ter no serviço BES(Serviço pago)!
    Mas deveria haver uma nota a isso, e nesse caso deveria estar lá um sim.. 😉

    Por ultimo, ainda tens o Serviço BB Protected, encriptado end-to-end em cima disto, que também é pago e é usado por Organismos Politicos, Empresas que precisam do mais alto nivel de segurança, Agencias militares, etc!
    http://www.computerworld.com/article/2488999/encryption/blackberry-pushes-bbm-protected-for-end-to-end-encrypted-messaging.html

    • Nunes says:

      chegaste a ir ao site para perceber?
      “Verificação de Identidade” é existir um método que permita à pessoa por si (independente do sistema de mensagem) confirmar que quem está do outro lado é realmente quem se pensa que é!
      “3. Can you independently verify your correspondent’s identity?”
      Não tem nada que ver com o BB ID ou os IDs doutros sistemas.
      Mas não deixa de ser verdade que só em casos extremos é que isto pode ser útil!

      “[Histórico Seguro]”
      4. Are past communications secure if your keys are stolen?
      This criterion requires that the app provide forward-secrecy, that is, all communications must be encrypted with ephemeral keys which are routinely deleted (along with the random values used to derive them). It is imperative that these keys cannot be reconstructed after the fact by anybody even given access to both parties’ long-term private keys, ensuring that if users choose to delete their local copies of correspondence, they are permanently deleted. Note that this criterion requires criterion 2, end-to-end encryption.

      De forma bastante generalista é cada mensagem ter a sua própria chave de encriptação, que dificilmente alguém consegue recuperar para ler os conteúdos de mensagens interceptadas.
      Segundo a EFF mesmo o BBM Protected não assegura isto

      • lmx says:

        boas,

        [Identidade]

        “Verificação de Identidade” é existir um método que permita à pessoa por si (independente do sistema de mensagem) confirmar que quem está do outro lado é realmente quem se pensa que é!”

        O BB PIN ID identifica-te na rede BB.

        Por exemplo, se eu receber uma mensagem do PIN ID xpto, eu presumo que seja dele, porque cada mensagem que envias do teu equipamento…sai com o teu BB PIN ID!
        Se recebo do xpto uma mensagem, é porque veio de lá…

        OS BB PIN ID’s são únicos no mundo, pelo que identificam univocamente cada utilizador.

        São criados aleatoriamente usando o teu BB ID, EMEI do equipamento etc.

        Não sei, mas acho que mesmo quem tem BBM em Android ou ios, tem um BB PIN ÎD associado, e que é UNICO!

        Agora para todos os SO’s, emails, etc??, isso só mesmo via assinatura digital.

        Mas tens isso no serviço BES.

        http://docs.blackberry.com/en/smartphone_users/deliverables/50635/als1341594004678.jsp

        [Segurança]

        “Note that this criterion requires criterion 2, end-to-end encryption”…

        É o que o BB Protected oferece, encriptação end-to-end! 😉

        http://us.blackberry.com/enterprise/products/bbm-protected.html

        A encriptação end-to-end é uma encriptação de 3 layers.

        No fundo de grosso modo,é encriptação em cima de encriptação..isto para cada mensagem…

        de forma simples podes ver aqui..
        http://www.pcmag.com/article2/0,2817,2459580,00.asp

        outro local:

        http://crackberry.com/more-details-emerge-about-ebbm-and-bbm-protected
        “Plus, each message uses a new random symmetric key for message encryption. ”

        [Pin Messages]

        A malta diz que as BB PIN Messages são inseguras por exemplo…epah, depende de como vês a coisa..

        Eu acho-as uma forma fantástica, simples e rápida de ter um mecanismo seguro, por algum tempo para enviar sms.

        Muito Melhor que o formato de sms que temos actualmente por exemplo.

        http://docs.blackberry.com/en/admin/deliverables/12058/PIN_encryption_keys_840390_11.jsp

        Nunes…estamos a falar da BB, eu não sei se já te tinhas apercebido??

        • Nunes says:

          Não vale a pena estar a discutir isto se nem te dás ao trabalho de ir ler sobre qual é o critério de verificação de identidade – no fundo é a verificação independente de que não há um ataque “man in the middle”

          Quanto ao outro ponto, lê como deve ser tudo!
          Não é sobre se o serviço tem encriptação end-to-end, mas se o sistema de encriptação usado previne que haja reconstrução/recuperação de chaves que permita ler mensagens antigas interceptadas. Foi essa a avaliação que fizeram com base na documentação que a BlackBerry disponibiliza sobre o seu sistema. Certamente saberão mais do que tu sobre a fiabilidade do sistema quanto a esta questão!

          “Nunes…estamos a falar da BB, eu não sei se já te tinhas apercebido??”
          acorda! há outras soluções a usarem sistemas seguros com encriptação “end to end”. Na verdade o sistema da BB de encriptação “end to end” apareceu depois doutros terem lançado este tipo de soluções, como por exemplo a Apple!

          • lmx says:

            há sim Nunes, ??!

            o BlackBerry tem encriptação end_to_end,
            entre BlackBerry há mais de uma decada… é o teu imessage a quanto tempo existe?

            O BBM protected surgio agora é apenas porque a BlackBerry lançou ferramentas para ios e Android, pelo que faz sentido adicionar mais uma camada de proteção ao que já havia…

            O imessage tem encriptação end to end de 3 layers?É funiona em outros SO’s?

            Acho que não estás a querer ver aquilo que é obvio…

            O teo imessage também gera uma chave para cada mensagem enviada??

            epah…quer dizera…a BlackBerry usa TLS, que todos os outros usam na sua 3 camada de proteccao…sim terceira não primeira como os outros…

            E o que e que eles dizem…epah há e tal e que dá para reconstruir chaves criptograficas… mas só da para o BB…

            fica a pergunta no ar…então e os outros incluindo o teu imessage…que raio de encriptação e que usam na única camade de encriptação que usam?

            Eu não digo que os problemas produtos que eles dizem seguros não o sejam… mas dizerem que a BlackBerry só tem o primeiro nivel..quando na prática tem muitos mais que os outros todos juntos..

            Para mim tira credibilidade a esse organismo…mas é a minha opinião..

          • Nunes says:

            tens razão, o PIN messaging pode ser classificado como end-to-end, e existe há mais tempo!
            “O teo imessage também gera uma chave para cada mensagem enviada??”
            sim!
            “E o que e que eles dizem…epah há e tal e que dá para reconstruir chaves criptograficas… mas só da para o BB…
            fica a pergunta no ar…então e os outros incluindo o teu imessage…que raio de encriptação e que usam na única camade de encriptação que usam?”
            lê como deve ser as coisas!
            A análise é no caso de roubo de uma chave, se é possível recuperar/reconstruir chaves usadas para mensagens anteriores. Eles avaliaram como é que as novas chaves são geradas e verificaram esta debilidade.

            “mas dizerem que a BlackBerry só tem o primeiro nivel”
            mas quem é que disse tal coisa!??? Eles têm outra análise para o BBM Protected e determinam que há end-to-end encryption, o que significa que para eles não é primeiro nível!

          • lmx says:

            epahh,

            mesmo assim, há alguma coisa que não bate bem…

            repara, em cima do algoritmo 3DES patenteado pela BB( sim não é o algoritmo comum… a BB tem montes de patentes em curvas elipticas para geração de números aleatórios, etc..), é que assenta o TLS…ou seja, como é que eles analisaram a geração de chaves que é feita, na camada 3DES??

            É que a chave TLS é a mesma para cada sessão!
            por baixo disto tens encriptação tripla com o algoritmo 3DES, e mais uma série de manipulações de bits “marado”…

            Tu para quebrares a forma como as chaves são geradas para a camada 2, tinhas primeiro que quebrar a camada 3(TLS).

            ou seja para aceder a info, tens que quebrar o TLS, depois adivinhar como é que as chaves sõ geradas,depois quebrar o 3DES, depois “quebrar” a manipulação de bits, ou seja repor os dados correctamente, e só depois é que acedes a info…

            Se isto não é seguro?!… então meu caro não acedas ao teu banco online…porque esse usa TLS, não ha 3 encriptações neste processo, nem nenhum sistema hitech de bit Scrambling a não ser o TLS…

            desliguem a NET!

          • Nunes says:

            Lê o que eles disseram! É em caso de roubo de chaves. Não precisam de quebrar o TLS, pois assume-se que nesta situação já se sabe a chave, etc!

    • lmx says:

      ha esqueci-me…

      O código da BB é auditado…mas não por uma empresa concorrente…como deves calcular a BB tem a sua galinha dos ovos de ouro na sua infraestructura e mecanismos de segurança, e nunca deixaria uma empresa concorrente analisar o seu código!

      No entanto, as muitas empresas de segurança que a BB tem fazer analises de auditoria ao código da BB.

      Não esquecer que a BB tem muitas empresas especialistas em Segurança!

      E como tal , era estupido deixar outros concorrentes verem o seu código, e estupido também, porque como achas que os profissionais da BB reagiriam, ao ver que eles que são do melhor não podiam auditar o código, e tinha que ser auditado por uma empresa externa??

      Afinal essa gente estaria lá a fazer o quê?
      É que sõ eles que dão auditoria a NSA, ao governo americano, e aos serviços militares Americanos..e pelo menos um pouco por todo o mundo!

      Não achas que estas empresas de segurança, teem mais do que condições para analisar o código de uma das Empresas do grupo??

      Ou achas que a BB tinha que chamar uma empresa externa, para que lhes roubassem o “galinha dos ovos de ouro”??

    • João says:

      “elicitos”? Está tudo dito! lol

  10. Anónimo says:

    Algo não bate certo neste artigo, o Whatsapp é o sistema de conversas com um sistema de encriptação avançada. Se vissem as notícias, Londres quer banir o sistema do Whatsapp porque não conseguem desencriptar as conversas!

    • Nuno says:

      Claro, se não conseguissem vinham a publico dizer. Terroristas de todo o mundo combinem os ataques por Whatsapp que nós não vos conseguimos ler as mensagens. Pois claro.

    • lmx says:

      Londres quer banir Whatsapp, BBM, imessage, etc, etc, etc………….

      Percebes-te?
      Não é só o whatsapp, são todos 🙂

      Algoritmos avançados de encriptação teem eles todos ;), uns mais que outros…

      Para os Ingleses, esse é que é o problema!
      Repara que os Ingleses não querem estar dependentes da NSA, e da sorte que houver na tentativa de decifrar algo…

      Por ultimo essa brincadeira custa fortunas a sério, que os Ingleses na crise que estão, não estão dispostos a pagar!

      Os artistas, querem roubar a tua info assim de mão beijada! 😉

      Eu também queria muitas coisas e não tenho… lol

  11. N_E_O says:

    Eu uso o Surespot ( https://www.surespot.me/ )
    Ainda está muito verde mas parece muito bom. Só falta mesmo a funcionalidade de se poder mensagens para um grupo de pessoas, de momento só é possível 1 para 1

  12. Bahh says:

    Threema parece ser uma boa alternativa, embora não seja gratuita é de um só pagamento. Disponível para iOS, Android, Amazon apps e Windows Phone.

    A segurança parece razoável. O maior problema será com certeza não o conteúdo em trânsito, mas manter o smartphone seguro… que com tantos problemas de segurança, deve ser quase impossível.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.