Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
@fluepke Wir hätten je nach Inhalt der Kanäle noch die untätigen Korruptionsbehörden (wenn nicht-dienstliche und damit nicht an Aufzeichnungspflichten gebundene Kommunikationskanäle für politische Entscheidungen genutzt werden) oder die IT-Abteilungen, die Signal für Dienstkommunikation freigegeben haben.
Aber das wär nicht so lustig. -
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
@fluepke @signalapp oder - hear me out - hat das gar nichts mit einem konkreten Messenger zu tun sondern mit dem Problem, dass Politiker mit Ämtern fließend zwischen "Privat", "Mandat" und "Parteifunktion" hin und herwechseln, um Compliance und Dokumentationspflichten auszuweichen?
-
@fluepke @signalapp oder - hear me out - hat das gar nichts mit einem konkreten Messenger zu tun sondern mit dem Problem, dass Politiker mit Ämtern fließend zwischen "Privat", "Mandat" und "Parteifunktion" hin und herwechseln, um Compliance und Dokumentationspflichten auszuweichen?
@fluepke @signalapp und als jemand der selber schon erfolgreich gephished wurde: Auf "Hallo hier ist der Signal Support, schicken Sie uns doch mal diese Nummer, die Sie nicht aus der Hand geben sollten" einzugehen, obwohl Signal seine User regelmäßig vor *genau diesem Scheme* warnt, lässt für mich schon Kritik an der handelten Person zu. Gäbe es keine Nummernpflicht wie bei Threema, jede Wette Politiker*innen würden sie trotzdem angeben, weil einfach viel bequemer.
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
@fluepke @signalapp Was schlägst Du stattdessen für Parlamentarier:innen vor? PGP-Keys vergleichen klappt mEn leider nicht so gut, per nPA wäre jetzt nicht mein Ansatz, SSI auch nicht, QR-Codes scannen fürs Handle-Tauschen scheint mir unrealistisch usw.
Ich mein' die Frage schon Ernst...
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
@fluepke @signalapp
Warum erlaubt man den höchsten Ämtern des Staates die Nutzung einer Software, in der so etwas möglich ist?Ich würde erwarten, dass man da per MDM konfigurierte Software erhält, die sich für Aussenstehende nicht autorisieren lässt.
(Das ist explizit keine Kritik an Signal)
-
@fluepke @signalapp
Warum erlaubt man den höchsten Ämtern des Staates die Nutzung einer Software, in der so etwas möglich ist?Ich würde erwarten, dass man da per MDM konfigurierte Software erhält, die sich für Aussenstehende nicht autorisieren lässt.
(Das ist explizit keine Kritik an Signal)
@koehntopp @fluepke @signalapp Aus Erfahrung kann ich sagen: MDM ist bei MdBs nicht. Wegen der verfassungsmäßig garantierten Unabhängigkeit der Abgeordneten (Bei z.B. Fraktionsmitarbeitern sieht das anders aus).
-
@koehntopp @fluepke @signalapp Aus Erfahrung kann ich sagen: MDM ist bei MdBs nicht. Wegen der verfassungsmäßig garantierten Unabhängigkeit der Abgeordneten (Bei z.B. Fraktionsmitarbeitern sieht das anders aus).
-
@koehntopp @fluepke Ja so ist es. Sie könnten das natürlich freiwillig mitmachen und manche machen es vielleicht aber sehr viele nicht. Hat halt alles 2 Seiten. Man will vielleicht auch nicht das der Admin das Device des MdB kontrollieren kann.
-
@koehntopp @fluepke Ja so ist es. Sie könnten das natürlich freiwillig mitmachen und manche machen es vielleicht aber sehr viele nicht. Hat halt alles 2 Seiten. Man will vielleicht auch nicht das der Admin das Device des MdB kontrollieren kann.
-
Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?
Signal und sein auf Telefonnummern basierendes Identitätsmodell oder doch die User?
@fluepke mit Blackberry wäre das nicht passiert!
-
R relay@relay.infosec.exchange shared this topic
-
@fluepke @signalapp Was schlägst Du stattdessen für Parlamentarier:innen vor? PGP-Keys vergleichen klappt mEn leider nicht so gut, per nPA wäre jetzt nicht mein Ansatz, SSI auch nicht, QR-Codes scannen fürs Handle-Tauschen scheint mir unrealistisch usw.
Ich mein' die Frage schon Ernst...
@Rainer_Rehak @signalapp Kryptographie ist nur so gut, wie das Key Agreement. Handynummer austauschen ist kein Key Agreement, sondern X-Keyscore strong Identifier. NSA dankt.
Vor dem Hintergrund: Was spricht dagegen, einen Out-of-Band Channel für den Austausch einer öffentlichen, kryptographischen Identität zu nutzen? Also z.B. QR Code unter die Nase halten oder URL über established Channel austauschen.
Simplex macht das IMHO gut.
-
@linuzifer Linus, das ist nicht das Problem.
Die Frage ist nicht, wie Du auf Signal Deine Identität gegenüber Dritten definierst, sondern wie Signal Dich identifiziert.
Für Signal bist Du eine Rufnummer, die SMS empfangen kann. Wenn ein Hacker jetzt an die SMS TAN (und ggf. Aktivierungscode) kommt, z.B. weil die User ein bisschen dumm sind, dann ist Game Over.
-
@linuzifer Linus, das ist nicht das Problem.
Die Frage ist nicht, wie Du auf Signal Deine Identität gegenüber Dritten definierst, sondern wie Signal Dich identifiziert.
Für Signal bist Du eine Rufnummer, die SMS empfangen kann. Wenn ein Hacker jetzt an die SMS TAN (und ggf. Aktivierungscode) kommt, z.B. weil die User ein bisschen dumm sind, dann ist Game Over.
@linuzifer Handynummern von Top Politikern dürfte der Kreml haben. Es ist also vergleichsweise einfach das gewünschte Opfer zu targetten.
Dass man bei Signal seit 2024 nicht mehr mit Gott und der Welt, sondern nur noch mit AWS und allen angeschlossenen Diensten seine Handynummer teilen muss; da kann man schon mal klatschen.
