Author Topic: Instant Messenger und ihre Sicherheit  (Read 2551 times)

fraggle

  • the breaker
  • Global Moderator
  • Apache
  • *****
  • Posts: 118
  • Karma: +17/-0
    • View Profile
Instant Messenger und ihre Sicherheit
« on: February 22, 2014, 03:19:58 am »
Aus aktuellem Anlass könnte man ja in diesem Thread Erfahrungen, Kritik und Sonstiges in Zusammenhang mit Messenger Apps wie Threema oder Telegram sammeln und diskutieren.

Meine persönliche Meinung dazu ist, dass gerade jetzt wo diese Alternativen zu WhatsApp in Gespräch sind ein Eindruck entsteht, dass die Privatsphäre Dank dem Einsatz von Kryptographischen-Verfahren ausreichend abgesichert ist. Betrachtet man eine App bzw. eine Software als eine Kette das aus mehreren Gliedern besteht so wissen wir alle das diese Kette nur so stark sein kann wie ihr schwächstes Glied. Gehen wir von zwei Teilnehmern aus, Alice und Bob, die über eine verschlüsselte Verbindung miteinander kommunizieren. Ein Angreifer Mallory könnte sich statt auf die verschlüsselte Verbindung auf die Ein- und Ausgangspunkte der Software konzentrieren, in der die Nachrichten noch in Klartext vorliegen. Den Alice muss ja schließlich sehen können was er eintippt bzw. Bob muss lesen können was er von Alice erhalten hat. Durch Reverse Engineering könnte man diese Punkte nun ermitteln und die Klartext-Nachrichten durch einen Hook abgreifen und umleiten. Um unerkannt zu bleiben leitet Mallory die Klartext-Nachrichten an die ursprünglichen Zielfunktionen der Software (Ver-/Entschlüsselung) wieder weiter.


Beispiel: SSL Hooking

Das ist eines von vielen möglichen Szenarios. Möchte aber damit nicht sagen das Verschlüsselung schlecht ist, man sollte sich lieber mehr Gedanken darüber machen welche Daten man riskiert in das Cyberspace hineinzublasen (blasen  :ugly2;) Im Moment nutze ich keines dieser Apps, die Gründe dafür haben nichts mit der Sicherheit und der Vertrauenswürdigkeit dieser Apps zu tun. Ich würde mich allerdings freuen wenn demnächst auch die letzten Zweifel an Telegram aus dem Weg geräumt werden können. Mir gefällt an Telegram das hier keine Plattform für die Nutzung des Clients ausgeschlossen wird. Damit meine ich das z.B. Anwender von Desktop-PC's auch die Möglichkeit haben auf Telegram zuzugreifen. Bei WhatsApp ging das ja erst nach dem das Kommunikationsprotokoll Reverse Engineered wurde. Wozu das dann geführt hat haben wir ja gesehen.

Zum Schluss noch eine Meinung von fefe, ein Artikel zu der Hacking-Challenge
von Telegram und der reddit/netsec Thread zu dem Artikel "Telegram, AKA Stand back, we have
Math PhDs"

- http://blog.fefe.de/?ts=adfb2675
- http://www.reddit.com/r/netsec/comments/1t4kg3/telegram_aka_stand_back_we_have_math_phds/
- http://www.thoughtcrime.org/blog/telegram-crypto-challenge/

Update[1]
Nach einigen Recherchen scheint es wohl ohne das Smartphone zu rooten nicht möglich zu sein, einen Hook auszuführen.

Update[2]

Passendes XKCD Bild ;)



Update[3]
The State of Mobile, Cross-Platform, Encrypted Messaging
https://missingm.co/2014/02/fighting-dishfire-the-state-of-mobile-cross-platform-encrypted-messaging/

Das Marketing-Buzzword für dieses Jahr -> Ende-zu-Ende-Verschlüsselung

http://www.golem.de/news/imho-vorsicht-vor-falschen-krypto-versprechen-1402-104756.html

Hier wird auch mal von Golem Bezug auf den Crypto-Contest von Telegramm genommen:
http://www.golem.de/news/telegram-der-wertlose-krypto-contest-1402-104871.html

In diesem Zusammenhang noch ein paar Artikel zum Crypto-Contest:
http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest
http://telegramteam.tumblr.com/post/70588130319/telegrams-cryptanalysis-contest
https://news.ycombinator.com/item?id=6916860
« Last Edit: March 06, 2014, 02:23:47 pm by fraggle »
May the Force be with you.

puddy

  • Global Moderator
  • Gopher
  • *****
  • Posts: 72
  • Karma: +18/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #1 on: February 22, 2014, 12:53:50 pm »
Gute Idee.

Hier mal eine Liste von Messengern die inzwischen im Gespräch waren.

Threema
https://threema.ch/de/
- Closed Source

Telegram
https://telegram.org/
+ Open Source
- kein verschlüsselter Gruppenchat
- http://blog.fefe.de/?ts=adfb2675
- http://www.reddit.com/r/netsec/comments/1t4kg3/telegram_aka_stand_back_we_have_math_phds/
- http://www.thoughtcrime.org/blog/telegram-crypto-challenge/

ChatSecure
https://chatsecure.org/
+ Open Source
- Usability fails
- OTR zwischen Chatsecure und Pidgin funktioniert nicht

myENIGMA
https://www.myenigma.com
- Closed Source
- Keine technischen Details
- Firma mit unklarem Geschäftsmodell
- lawl

whistle
https://whistle.im/
https://github.com/whistle-im/whistle-im
- Open Source
+- Keine Kontaktsynchro über Kontaktliste anhand von Telefonnummer
- Kein Gruppenchat (?)

fraggle

  • the breaker
  • Global Moderator
  • Apache
  • *****
  • Posts: 118
  • Karma: +17/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #2 on: February 22, 2014, 01:40:41 pm »
Hier gibt es auch eine Zusammenfassung, in den Kommentaren werden noch weitere Alternativen
erwähnt:
https://netzpolitik.org/2014/wir-erklaeren-den-heutigen-tag-zum-deinstalliere-whatsapp-tag/

Noch was zu Telegram:

Quote
All official Telegram clients (and some of the unofficial clients) are open source. The server code is closed, but is expected to be released in 2014. Pavel Durov mentioned that the server code is not free software, because Telegram requires a major redesign of architecture in order to allow independent servers to exchange data and act as a part of the unified Telegram cloud
Quelle: http://en.wikipedia.org/wiki/Telegram_%28application%29

Und zu whistle.im gibt es folgenden Artikel vom CCC Hannover und der
Nachrichtenseite Golem.de:
FaaS - Fuckup as a Service - http://hannover.ccc.de/~nexus/whistle.html
"Whistle.im ist 'Fuckup as a Service'" - http://www.golem.de/news/chaos-computer-club-whistle-im-ist-fuckup-as-a-service-1308-101072.html
« Last Edit: February 22, 2014, 01:54:23 pm by fraggle »
May the Force be with you.

freak_out

  • Hoffnungslose Technikniete
  • Global Moderator
  • Network News
  • *****
  • Posts: 158
  • Karma: +31/-0
  • Von den Frühstücksflocken
    • View Profile
    • freak
Re: Instant Messenger und ihre Sicherheit
« Reply #3 on: February 25, 2014, 04:21:08 pm »
TextSecure:
+opensource
+end zu end crypto

http://www.heise.de/security/meldung/Messaging-Neue-Open-Source-Alternative-zu-WhatsApp-und-Co-2123635.html

(Habs mal installiert und teste mal mit paar Kollegen rum)
« Last Edit: February 25, 2014, 05:00:53 pm by freak_out »

puddy

  • Global Moderator
  • Gopher
  • *****
  • Posts: 72
  • Karma: +18/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #4 on: February 25, 2014, 11:13:30 pm »
Quote
Dahinter steckt das ebenfalls von Whisper Systems entwickelte TextSecure-Protokoll in Version 2.0, das unter anderem einen asynchronen Schlüsselaustausch, Forward Secrecy sowie Abstreitbarkeit (Deniability) bietet

Eigenes Protokoll mit Verschlüsselung macht mich immer bisschen mistrauisch.. konnte auf die Stelle niemanden finden der mir vertrauenswürdig und kompetent erscheint und dazu Gedanken äußert. Hat da jemand was zu?

fraggle

  • the breaker
  • Global Moderator
  • Apache
  • *****
  • Posts: 118
  • Karma: +17/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #5 on: March 06, 2014, 02:18:39 pm »
May the Force be with you.

freak_out

  • Hoffnungslose Technikniete
  • Global Moderator
  • Network News
  • *****
  • Posts: 158
  • Karma: +31/-0
  • Von den Frühstücksflocken
    • View Profile
    • freak

fraggle

  • the breaker
  • Global Moderator
  • Apache
  • *****
  • Posts: 118
  • Karma: +17/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #7 on: September 17, 2014, 02:15:01 pm »
Gibt ja jetzt auch eine kostenpflichtige App die von GSMK entwickelt wurde.

http://www.golem.de/news/mobile-encryption-app-angeschaut-telekom-verschluesselt-telefonie-1409-109243.html
May the Force be with you.

fraggle

  • the breaker
  • Global Moderator
  • Apache
  • *****
  • Posts: 118
  • Karma: +17/-0
    • View Profile
Re: Instant Messenger und ihre Sicherheit
« Reply #8 on: November 05, 2014, 03:18:25 pm »
Die von EFF haben sich ähnliche Gedanken gemacht und eine Scorecard für Messenger erstellt :)
https://www.eff.org/secure-messaging-scorecard
May the Force be with you.