Pubblicato in: Facce da gluteo, In missione per conto della dia Tutte

Scaltri come una faina

Mi son fatto la casella su protonmail.com; dove non sono trattato come un criminale fino a prova contraria. E per verificare il funzionamento mi son mandato due righe ai miei indirizzi su GMail e su Yahoo. Guardate cosa mi ha detto la Grande Suocera (Google)

Le annusano certe cose quelli.

Autore:

La Dea Tutte mi ha inviato a combattere il demone dell'evanescenza, fin dalla pianura che non deve essere nominata

12 pensieri riguardo “Scaltri come una faina

  1. è vero che è un detto comune tra la mia gente. ma “Da Me Funziona™”.

    quella particolare segnalazione arriva quando nella testata del messaggio c’è un indirizzo che non coincide con il dominio reale di provenienza: precisamente quando tutta la zuppa DKIM, SPF, DMARC indica che il messaggio arriva da “pippo.com”, ma le testate dicono “pluto.net”.

    "Mi piace"

  2. comunque protonmail è una bufala acchiappa-gonzi: il server non può non poter accedere al messaggio in chiaro, perché, altresì, non potrebbe inviarlo ad altri server di posta elettronica. assumendo che faccia un caso speciale tra due indirizzi protonmail, resta comunque di una sicurezza discutibile per via della mancanza di trasparenza sui meccanismi. puoi facilmente mandare un messaggio totalmente inaccessibile a chiunque tranne il designato destinatario ad un indirizzo di posta elettronica a piacere senza ricorrere a minchiate simili, cifrando tu il messaggio.

    "Mi piace"

      1. ciò è tragicamente falso. ti instillano una idea di sicurezza che non ha nessun particolare fondamento, un po’ come il ciarlatano che ti vende la cura magica, che non si limita a non fare nulla: ti distrae dall’assumere una cura vera.

        "Mi piace"

      1. il destinatario deve essere in chiaro per poter indirzzare il messaggio, ovviamente. lo stesso vale per il mittente qualora uno voglia effettivamente ricevere una risposta. ma questo vale per qualsiasi cosa si chiami “posta elettronica”. voler dichiare che, in qualche modo il mittente e/o il destinatario sono “segreti” è un plateale inganno. ad essere completamente precisi per effettuare una comunicazione in segretezza completa serve dotarsi di mezzi tecnici totalmente non banali, perché è comunque possibile essere identificati tramite l’indirizzo di rete.

        "Mi piace"

        1. Una VPN e/o un SOCKS-5 non mi sembrano “assolutamente non banali”. Non sono gratis, quello sì. Ma pure una scimmia può configurarli.

          Diverso è se anziché comprarla uno la VPN se la vuole fare lui, affittando/comprando un server all’estero e configurandolo come VPN server eccetera. Quello non è banale in effetti, almeno non lo è per me. Però nel fare tutta la trafila lasci un sacco di tracce, tra l’acquisto, la colo e tutto il resto…

          Certo, se sei in grado di comprare un server sotto falso nome, portarlo alla colo all’estero viaggiando sotto falso nome, fare il contratto con loro sotto falso nome, e il tutto pagando in contanti o con mezzi non tracciabili… ma forse a quel punto manco ti serve la VPN, perché il servizio di sicurezza per cui lavori te la fornisce…

          Alla fine una buona VPN e la buona abitudine di usare GPG sono più che sufficienti se non devi fare strani traffici o cose illecite. E ovviamente non usare una mail gratuita.

          "Mi piace"

          1. il falso senso di sicurezza indotto da queste cose è fortemente preoccupante.

            non tutte le vpn sono “sicure” (una quantità significativa di fornitori di vpn sono stati beccati con le mani nella marmellata a farsi i cazzi dei loro utenti), e pochissime vpn sono effettivamente “private”: l’idea che un fornitore di vpn EFFETTIVAMENTE non faccia una contabilizzazione puntuale degli accessi è completamente ridicola; nel caso ottimale, ci si può aspettare che detta contabilizzazione non sia accessibile a cani e porci.

            diciamo che la scelta sta tra una vpn seria, in una nazione dal sistema legale decente, che tratterà i dati secondo la legge, ma che fornirà tutte le informazioni di contabilizzazione a fronte di qualsiasi ragionevole richiesta delle forze dell’ordine, o rischiare con qualcuno in qualche terzo mondo del cazzo, dove probabilmente se ne fregheranno delle richieste delle forze dell’ordine ma, altrettanto, dei diritti legali degli utenti.

            in generale una vpn sposta la fiducia dal punto di accesso ad un qualche altro posto. che è comodo, tipo se si deve usare il wifi di aeroporti / alberghi / bar e roba simile, ma l’idea che una vpn sia in qualche maniera più “sicura” di una connessione internet domestica è quantomeno ingenuo.

            poi. pure una scimmia può configurare una vpn, ma non è banale impedire che le applicazioni o il sistema operativo medesimo sgocciolino più o meno liberamente informazioni identificative. il massimo che una vpn può offrire è una superficiale protezione dagli attacchi più banali provenienti dal punto di accesso. realisticamente, però, proteggersi dal proprio fornitore di connettività è una cosa difficilissima.

            "Mi piace"

    1. Tra indirizzi protonmail e non protonmail il messaggio o è in chiaro (di default) o è cifrato in modo simmetrico (passphrase condivisa in anticipo), ma devi dirglielo tu di cifrarlo. La casella di posta sul server è cifrata con AES.

      Tra due indirizzi protonmail invece è sempre criptato con OpenPGP, semplicemente rende automatico e trasparente il processo. Tu gli dici solo che vuoi mandarla a tizio@protonmail.ch, lui pesca la chiave dal server di chiavi, cifra il messaggio e lo manda.
      Lo potresti fare ovviamente con un normale client di posta e con un qualunque mailserver. E i server di chiavi non sono una novità di questo decennio. Non c’è niente di oscuro dietro, non è come “l’algoritmo segreto” di Telegram che “è il migliorissimo sicurissimo ma come funziona non posso dirlo”.

      Alla fine è solo un modo comodo per comunicare cifrando e firmando i messaggi nel solito modo usato da 30anni con il plus di mandare e-mail con scadenza (che per carità anche questo puoi farlo da solo ma è un po’ una palla per l’utente normale).

      La protezione maggiore non viene tanto dall’usare PGP, ma dalla casella criptata e dalla legge svizzera.

      Quello che non ho capito è la cosa degli headers: chi ha detto che sono criptati? Nella loro documentazione non lo dicono mica. Del resto sarebbe una vaccata se lo dicessero.
      Non capisco neanche la cosa del server che deve accedere al messaggio in chiaro: al server che gli frega se il mio messaggio è criptato con PGP o con l’algoritmo del mago zurlì? Le mail criptate esistono da un bel pezzo, mica le ha inventate protonmail.

      "Mi piace"

      1. questo è quello che intendevo quando dicevo che non è meglio che niente è esattamente questo. il falso senso di sicurezza causato da queste cose è gravissimo.

        quando protonmail manda un messaggio “cifrato” fuori da prontonmail il contenuto è protetto solo da una password.

        esempio: questo senza nessuna conoscenza pregressa, solo con il link e la password (che è “culo”) è perfettamente possibile decifrare il messaggio. i casi sono due: o la cifratura (convenzionale) avviene in javascript dentro al browser (risate. grasse risate) o avviene lato server e quindi, la storia che non possono leggere la tua posta è una minchiata.

        quando protonmail manda un messaggio “cifrato” ad un altro utente protomail, il messaggio è perfettamente leggibile, via web, in chiaro, senza nessuna conoscenza pregressa, a parte il nome del destinatario e la sua password. anche qui, i casi sono due: la cifratura (quella che sia, perché se pure è confaldina pseudoquantistica bitumata, l’unica cosa che sta tra l’attaccante ed il testo in chiaro è una password) avviene dentro al browser (risate. obese risate), oppure il server decifra la chiave privata con la password dell’utente, quindi la storia che non possono leggere la tua posta è una minchiata.

        il che non è proprio una ricca fava uguale ad usare pgp.

        in una nota di carattere tecnico, credere agli articoli su gawker media in proposito ai concorrenti di facebook ha più o meno lo stesso valore scientifico di fragolina84 che crede al video del “dottor sarcazzo” che dice che nei vaccini ci sono i microchip 5g progettati da gates e finanziati da soros: l’algoritmo di telegram non è “segreto”. qui ci sono i sorgenti delle applicazioni https://telegram.org/apps e qui è documentato: https://core.telegram.org/mtproto.

        le critiche al protocollo di telegram riguardano la sicurezza teorica dell’algoritmo (IND-CCA/IND-CTXT) che, per quanto potenzialmente preoccupanti non sono una strada diretta al recupero della chiave o del testo in chiaro. quello che è possibile fare, è modificare “alla cieca” un messaggio in transito, che il destinatario decifrerà senza accorgersi di nulla. ma non ci sono (ancora) prove matematiche che sia possibile fare modifiche arbitrarie, ossia che sia possibile falsificare un contenuto a piacere.

        "Mi piace"

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.