Mastodawn

Patrick Breyer 1d ago

@tagesschau Falsch ist jedenfalls, dass Whatsapp Nachrichtenverläufe scannen würde. Die sind Ende-zu-Ende-verschlüsselt und werden nicht gescannt.
"2024 wurden mit Hilfe der Regelung mehr als eine Million Fälle gemeldet." Auch falsch, es waren 344.200 gemeldete Chats. Ohne die Regelung zur Chatkontrolle (also durch Scannen öffentlicher Inhalte und gehosteter Dateien) wurden sehr viel mehr Meldungen gemacht. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52025DC0740

https://social.tchncs.de/@NiceBastard/115967006322373730

Maxi 12x 💉1d ago

@echo_pbreyer @tagesschau Was hältst Du davon?

https://infosec.space/@kkarhan/116296114801818180

1d ago

@frumble @echo_pbreyer @tagesschau nachweislich gibt's da kein #E2EE, und das spreche ich auch #Signal ab weil keine #SelfCustody der Schlüssel!

Denn wenn @signalapp so sicher wäre wie behauptet wäre @Mer__edith im Knast und der Dienst wie #SkyECC & #EncroChat abgeschaltet!

Kevin Karhan :verified: (@[email protected])

@[email protected] Könnt ihr bitte aufhören unreflektiert #Propaganda - #Lügen (aka. #Copaganda) [nachzuplappern?](https://ard.social/@tagesschau/116295814657701531) - Es ging bei #Cyberfaschismus alla *" #Chatkontrolle "* die um #Jugendschutz, sondern stets um #Überwachung & #Kontrolle marginalisierter! - Etwas anderes zu behaupten ist nicht.nur.glatt gelogen, sondern woderspricht der journalostischen Sorgfaltspflicht eurerseits! Macht's besser, ernsthaft… - Ein #Gebührenzahler / #Rundfunkbeitrag|szahler

Infosec.Space

Maxi 12x 💉1d ago

@kkarhan Alter, Du drehst so frei, berühr mal Gras. Dann auch noch Meredith Whittaker zu taggen -.-

1d ago

@frumble Ich sitze grade auf ner Wiese.

Ist halt #UnbequemeWahrheit…

hex0x 18h ago

@kkarhan @frumble also Signal hat doch gerade erst beweisen dass sie nichtmal Daten haben, die waren gezwungen Daten rauszugeben, alles was die hatten waren wann eine Verbindung zu Signal aufgebaut wurde, mehr nicht! Außerdem wurden die schon auditet meines Wissens nach.

17h ago

@hex0x93 Signal erfasst Telefonnummern und ist selbstverständlich in der Lage darüber indirekt Nutzerdarüber zu identifizieren bzw. zu verraten.

Außerdem haben die nen #Shitcoin - #Scam ¹ am laufen und auch sonst verkackt!
- Deren #Sicherheit ist bestenfalls " #TrustMeBro! "

#EOD

We Tried Signal's MobileCoin So You Never Have To...

YouTube

https://trucoteca.com/en/Signal-Protocol-Security-Analysis%3A-Independent-Review-and-Latest-Risks/

hex0x 10h ago

@kkarhan was soll mir ein 2 Jahre altes Techlore Video über den Coin von Signal, den eh niemand nutzt, sagen?
Signal nutzt zero-knowledge-proof. Ja, die haben Telefonnummern -> potenzielle Sicherheitslücke. Allerdings hat Signal, und das ist eben mehrfach berichtet worden, bereits mehrfach die Herausgabe von Nutzerdaten abgelehnt ind sich dessen verweigert, erfolgreich.

https://trucoteca.com/en/how-signal-works/

Ich weiß immer nicht wo die Annahmen herkommen...

Signal: Analysis and Risks of Its Secure Messaging Protocol

Is Signal safe? Academic review and latest vulnerabilities in modified versions. Read the full analysis and avoid risks.

@hex0x93 Allein die Erfassung dieser Informationen ist inhärent falsch ubd deren #App ist absoluter Rotz!

So grundlegende #InfoSec, #OpSec, #ComSec & #ITsec - Dinge an @signalapp sind falsch dass es fett nach #CryptoAG & #ANØM stinkt!

Kevin Karhan :verified: (@[email protected])

My [reservations](https://infosec.space/@kkarhan/114234551915193036) and [criticism](https://infosec.space/@kkarhan/114862595629371002) re: #Signal are not just valid, but the reality is *even worse than I thought*: - The fact that @[email protected] requires not only their shitty #Android #App, and a #PhoneNumber but literally won't allow people to use their shitty #Desktop-App unless they have an Android device with a camera pointed at it makes it utterly unuseable for certain users *who don't have a fucking #camera in their Android*… Seriously, do they expect folks to deal with that shit? - It's already worse in terms of #UX than #telegram and #discord and that too makes #XMPP+#OMEMO clients like @[email protected] / #monoclesChat & @[email protected] / #gajim easier and faster to onboard #TechIlliterates onto. - Whichever asshole decided that a *replacement for #SMS* should mandate #PII like a #PhoneNumber & not be natively cross-platform should be banned from doing any #tech in their life. Trying to circumvent this shit and helping folks with it makes me so fucking angry that I'm now explicitly refusing to support it! FIX THAT SHIT, @[email protected], and if it means you need to kick some devs in their crouch then consider this a necessary *"investment"*… #sarcasm #TechSupport #TalesFromTechSupport #Enshittification #SignalSucks #TelegramSucks #Messengers

Infosec.Space

Kolja 9h ago

@kkarhan @hex0x93 @signalapp Natürlich liegen die Schlüssel auf deinem Gerät (aka SelfCustody) , Du hast schlichtweg nicht Verstanden wie E2E encrypted Messenger funktionieren.
CryptoAG und Anom haben nichts damit zu tun und sind völlig falsche Beispiele (nicht OpenSource und daher nicht überprüfbare Keys daher Key prechoosen)

Kolja 8h ago

@kkarhan @hex0x93 @signalapp Signal hat Telnummern (Nutzernamen lassen sich btw auf Tel Nummern zurückführen) aber daraus abzuleiten Signal könnte daraus ein Nutzer verhalten erschließen ist Blödsinn. Nummer dient als Nutzerkennung (wie z.B. die Threema ID). Keine ID zu haben (wie Simplex) ist ohne Frage sicherer führt aber auch zu weniger Akzeptanz bei Nutzern. Signal wird relativ weitläufig genutzt weil einfach Benutzbar.

Kolja 8h ago

@kkarhan @hex0x93 @signalapp warum alles in AWS / Gcloud hosten lässt sich streiten, aus US Betreiber und administrativer Sicht ist das verständlich wenn auch nicht schön.
Selbst "kleinere" Projekte aus AWS zu ziehen und auf eigene Openstack Cloud zu ziehen ist ein riesiger Aufwand und sehr teuer (spreche da aus Erfahrung).
Jetzt ist der Zug sowieso erstmal abgefahren (Hardware)

Btw: Wenn du über unsichere Messenger / Honeypots ranten willst solltest Du Telegram nehmen :)

@frelsisbaratta das Problem ist der seitens @signalapp 's @Mer__edith zugegebene #LockIn.

Dass die #Zentralisierung und mangelnde #Dezentralisierung (als auch Umsetzung als #OnionService auf @torproject / #Tor) beabsichtigt ist macht es nicht weniger falsch!

Kolja 6h ago

@kkarhan @signalapp @Mer__edith @torproject Lockin / Zentralisierung haben nichts mit der Sicherheit zu tun. Und natürlich kannst Du Tor mit Signal nutzen nur halt nichts als Onion Service. Die Funktion ist auch eher selten solange Du kein eigenen XMPP Server betreibst :)

@frelsisbaratta und nein, die Beispiele #EncroChat & #ANØM sind zutreffend weil #Signal als zentralisierter "Lösung" weder #SelfHosting ermöglich noch sind die #Clients reprodizierbar.

Genauso wie es keine Möglichkeit gibt zu verifizieren dass der #Server-Code der repeased wurde auch das ist was tatsächlich läuft.
- Dass Signal nicht sicher sein kann erkennt mensch daran dass diese ihre Dienste an Leute in Staaten die unter Totalembargo sind, anbieten darf.
- Ruhig mal #ITAR lesen und fragen warum denen das erlaubt würde... Ganz unabhängig vom #Cyberfaschismus der #USA!

ES GIBT KEINEN "LEGITIMEN GRUND" #PersonenbezogenenDaten (#PII) wie #Rufnummern zu erfassen!!!

Kolja 7h ago

@kkarhan ein Haufen von gefährlichem Halbwissen.

Anom war ein Backdoor project des FBI und nicht Opensource und das war einer der Gründe warum es nicht aufgeflogen ist.
Encrochat war ein Hack und Unfähigkeit der Betreiber (inter server traffic war unverschlüsselt).

OTR via XMPP kannst du, sofern du den Server nicht selber betreibst, auch nichts verifizieren. Und bei XMPP fallen deutlich mehr Daten an.

Dein Argument mit "Totalembargo" offenbart das du Sanktionen nicht verstanden hast.

Kolja 6h ago

@kkarhan Was da kommt ist nur ein ad hominem argument.

Um es dir einfacher zu erklären: sofern du keine Dienstleistung gegen Zahlung anbietest (z.b. Messenger oder Maps) fällt es in den meisten Fällen nicht unter Sanktionen wenn nicht explizit für eine Person unter Sanktionen. Beispiel: Ich kann eine neuetrale Dienstleistung für einen Sanktionierten Terrorstaat wie Russland anbieten sofern es passiv ist. Biete ich es für Putin persönlich an ist es illegal. (Vereinfachte Darstellung)

6h ago

@frelsisbaratta Nein, das Exportverbnot bezieht sich auch auf #FLOSS!

Lies' #ITAR & #USML durch und komm' wieder.

Gibt aber erstmal timeout...

Kolja 5h ago

@kkarhan Das Anbieten einer Dienstleistung die auch in einem anderen Land unentgeltlich erreichbar ist stellt kein Export da. Lies dich nochmal ein oder Frage einen Experten dazu aber Verbreite keinen Blödsiin.

6h ago

@frelsisbaratta nope.

Wenn #Signal auch nur halb so sicher wäre wie behauptet, dann wäre es wie #SkyECC & #EncroChat abgeschaltet worden.

Wenn etwas zu gut ist um wahr zu sein, ist es das nicht.
- Und Signal ist so ein Fall wie #ANØM und #CryptoAG...

Auch damals haben Leute wie du mich ausgelacht...

#ToldYaSo!

#EOD #thxbye #next

Elliot Hacks A Pedophile | Mr. Robot

YouTube

Kolja 5h ago

@kkarhan ein weiteres ad hominem Argument. Die Sicherheit von Signal ist mehrfach von Experten geprüft worden. SkyECC und Encrochat waren eine Dienstleistung die ausschließlich auf Kriminelle Ausgelegt war. Völlig andere Ausgangslage und dazu auch noch unsicher. Was Anom und CryptoAG waren habe ich Dir erklärt. Sorry aber ja für deine Argumente muss man dich auslachen

@frelsisbaratta nein, ich habe nachweislich keine #SelfCustody!

Schon allein deshalb nicht weil ich über diese keine Kontrolle habe.
- Wenn #SelfCudtody vorläge dann würde ich wie bei #OMEMO, #OTR & #PGP entsprechende Kontrolle über die Schlüssel haben!

Kolja 7h ago

@kkarhan Doch, die Schlüssel liegen auf deinem Gerät. Du kannst sie sogar exportieren und auf deinem eigenen Signal Fork einsetzen. Das ist zwar nicht trivial wie bei PGP etc weil kein export Button vorliegt aber durchaus machbar.

@frelsisbaratta Das ändert trotzsem nichts daran dass es zentralisiert ist und dadurch genug Kommunikations-Metadaten bei #Signal selbst abgreifbar sind!

Eben weil alles dort zentralisiert vorliegt!!!