БЛОГ ENCROCHAT

Английский Dutch French German Русский Испанский Турецкий

Впервые опубликовано: 28 марта 2016

Изменено: 31 марта 2016

Обновление сообщения о фейковом блоге (первоначальный ответ начинается в Теме заголовка ниже):

Представим информацию списком, так не собираемся выделять фейковому "исследователю безопасности" больше места, чем это необходимо.

  • Не называть себя или вашу компанию из-за противостояния. Слабая отговорка. Есть много авторитетных консультантов по безопасности и исследователей, и ВСЕ подписываются под тем, что они пишут. Скрывание за анонимностью создает нулевое доверие.
  • Только потому, что вы напечатали слово ПРАВДА, без каких-либо объяснений, почему это ПРАВДА, после того, как мы объясним, все написанное вами по пунктам окажется ЛОЖЬЮ, и снова переведет всю вашу информацию в разряд анекдота.
  • Вы снова заявляете, что ваше объяснение от Cellebrite верное, хотя, конечно, это не так. Пожалуйста, объясните конечным пользователям, зачем им обращаться в организацию, которая публично никому не будет представлять какие-либо из своих выводов и особенно убеждать таких людей, как вы сами, чьи работы только и того, что состоят из статей, критикующих EncroChat.
  • Действительно, мы не принадлежим компании в Канаде. Это не так уж важно, поскольку мы не имеем ничего против канадцев. Наши диллеры и многие из наших абонентов лично встречались с нами. Очевидно, вы не являетесь не теми и не другими, и не можете ничего предоставить, кроме полной дезинформации о нас.
  • Ох, и мне особенно нравится мой блог в основном потому, что он содержит фактические технические факты, а не придуманную ложь и ерунду. Вы хотите верить в то, что мир плоский, опубликуйте об этом. Я предпочитаю верить, 1 + 1 = "2", а не "лампа", как вы это делаете.
  • Понравился ваш комментарий о том, что доказательство – это не то, о чем идет речь. Неужели, правда? Так что речь идет не о доказательстве своей точки зрения, а просто о клевете без фактов? Вы говорите, что вы защищаете пользователей благодаря своему техническому опыту, которого у вас, по правде говоря, нет, и употребление технических терминов при этом не в счет.
  • Как очевидно, эта статья просто для заманивания людей, и мы вынуждены реагировать, и так как вы распространяете ерунду через PGP сообщения абонентам, у нас к вам такое предложение: Мы можем встретимся с Вами в назначенном месте, где вы продемонстрируете свои "доказательства". Мы знаем, что вы не прийдете, потому что у вас нет никаких доказательств. Но эй, вы можете ответить прямо сейчас все, что захотите, и к вам нулевое доверие. По крайней мере, мы подписываемся под тем, что пишем, поэтому и публикуем все на нашем корпоративном сайте (а не на анонимном блоге). Да, и именно потому, что мы на самом деле реальны и существуем, мы выйдем и встретимся с кем угодно, чтобы обсудить наш продукт. Мы не скрываемся нигде.
  • И на прощанье: Ваш блог мы не вопринимаем серьезно. Вы упускаете суть вопроса. Мы смеемся не с вами, а с вас. Интересно, сможете ли вы понять разницу.

Предмет: Эта сага продолжается Часть II под названием: ложь, ложь, ложь и использование фейковых блогов для клеветы.

Ох, проснулся сегодня утром от сообщений пользователей, приславших мне ссылку на блоговый сайт, где фейковый пользователь разместил клеветнические статьи об EncroChat. Как обычно, я мог бы просто улыбнуться на это. Я имею в виду, что Интернет является местом, где каждый желающий может написать что-нибудь. Для примера, когда рэпер сказал, что земля плоская, эта тема развилась в большую дискуссию, и новость прибрела национальные масштабы. Ну уж нет. Я должен ответить, чтобы успокоить всех: с EncroChat все в порядке, а также хочу посмеяться над анонимными блогами.

В любом случае, я отвлекся. Давайте посмотрим на первое сообщение в блоге, в котором говорится, что есть доказательства нашего сотрудничества с NSA и другими органами. Во-первых, здорово, что кто-то освоил Photoshop настолько хорошо, чтобы создать изображение одного из наших устройств рядом с логотипом NSA. Отличная работа. Уже страшно. Запись в блоге подразумевает, что имеется какой-то информатор и что EncroChat принадлежит “Super Lock Tight”. Мммм, кто же это, черт возьми? По-видимому один из крупнейших провайдеров PGP в Канаде и что они работали с АНБ и ФБР по выданным ордерам. Правда, для такой крупной компании, даже не знаю, кто такие Super Lock Tight. Продолжает говорить, что парень по имени Джефф владеет EncroChat и он дал властям доступ к серверам. Хм! Никогда не слышал о нем ничего. Да, и что власти смогли получить закрытые ключи PGP и сохраненные сообщения с других учетных записей OTR, бла-бла. Во-первых, на наших серверах нет закрытых ключей PGP для транзитного приложения PGP. Открытый / закрытый ключи PGP генерируются с помощью нашего PGP клиента на абонентском устройстве EncroChat, и личный ключ НИКОГДА не покидает устройство. Для загрузки мы не используем Off-The-Record (OTR). Дилеры PGP, конкурирующие с нами, не перестают говорить об этом. Так что один раз и для всех скажу: мы не делаем этого. Мы производная от OTR (нам нравится концепция OTR, но существуют многочисленные проблемы с данным протоколом, поэтому мы значительно улучшили его). Кроме того, с помощью EncroChat, наши абоненты согласовывают свои ключи непосредственно друг с другом, и ключи постоянно меняются с каждым сообщением.

Просматривая остальную часть этого блога, я был поражен полным отсутствием истины. Давайте снова начнем с Super Lock Tight. EncroChat не имеет основной PGP базы. Мы начинали как EncroChat, а не Super Lock Tight (не могу найти никого, кто знает, кто это в принципе). Дилеры PGP блокируют нас из-за этого,– забавно. Единственная причина, по которой нас блокируют PGP дилеры и их группа доменов – финансовая. Они теряют слишком много клиентов, которые переходят на нашу платформу EncroChat, так как их платформа, как было доказано, является небезопасной и разоблачена фактическими реальными репортерами и техническими специалистами авторитетных СМИ (об этом сообщалось и без нашей помощи, я мог бы добавить).

Запись в блоге перекручивает информацию, пытаясь сравнить двойную ОС EncroChat с двойными профилями Blackphone, так что каким-то образом они становятся идентичными, и поэтому кажется, что мы также подвержены атакам вредоносных программ и кейлоггеров. В блоге говорится, как EncroChat удалось сделать две операционные системы, и при этом не сделать что-то неправильно? Вау. Во-первых, это две отдельные операционные системы, что означает, что одна из них не видит другую или даже не знает, что та существует (то же, что и наличие двух физических устройств). Заражение стандартной ОС Android не сможет заразить безопасную операционную систему EncroChat. Это две разные платформы, поэтому вам необходимо перезагрузить устройство, чтобы получить доступ к любой из них. Сравнивать это с переключением профилей просто глупо. Совершенно другие предпосылки. Да, и если этому "исследователю безопасности" надоело смотреть на стандартную операционную систему Android, которую мы предлагаем, он мог бы увидеть, что она сама по себе обеспечена безопасностью.

Затем в блоге говорится о том, что Wi-Fi имеет некоторую лазейку и что ЦРУ с помощью FinFisher может получить доступ к устройству и отправить снимки экрана. Что? Что за бред. Я размещу отдельную статью в блоге по теме Wi-Fi vs сети сотовой связи (SIM) позже, и объясню, что хотя WI-FI и сотовая связь являются опасными средами, Wi-Fi на самом деле предпочтительнее. FinFisher не использует Wi-Fi, и ЦРУ не может просто так влезть в ваш телефон через WI-FI. Это полная выдумка.

Далее, в блоге говорится о попытках провести испытание EncroChat своей собственной командой судебной экспертизы. Что EncroChat не может соответствовать своим заявленным требованиям безопасности. Что в Cellebrite прокомментировали систему безопасности EncroChat и признались, что взломали ее. Да, еще более откровенные выдумки. Все, что я должен тут сказать – это: или докажите или замолчите. Распространение лжи и дезинформация просто жалкая. Если бы у вас было что-то, вообще что-либо, вы бы доказали это. Выдумывание цитат и ложь – это последнее, что возможно придумать. Пора взрослеть. Думаю, вы действительно полагаете, что абоненты воспримут любую придуманную вами чушь. Почему бы вам не сказать нам, что мир плоский, пока вы здесь?

Далее:

В другой записи в блоге с того же фейкового аккаунта заявляется о слабом шифровании PGP и отсутсвии безопасности.

Так как мой ответ получается долгим, я попытаюсь быть краток. Я буду просто отвечать на каждое ложное заявление в блоге простыми словами, так как он пытается сбить с толку пользователей своим техническим жаргоном (эй, обилие технических терминов, должно быть, правда ….)

  1. Мы сливаем частный IP-адрес каждый раз, когда вы посылаете PGP email, так что вас можно отследить до вашего устройства. Да ну! Частные IP-адреса не маршрутизируются в Интернете. Они разработаны таким образом, что частные сети могут использовать блоки IP-адресов, которые не могут маршрутизироваться по сети Интернет общего пользования (т.е. отслеживаться). В этом само определение частного IP-адреса. Буквально десятки миллионов компьютеров используют точно такое же адресное пространство Private IP. НЕПРАВДА
  2. Мы уязвимы для Heartbleed бага. О нем сказано немало, так что пользователь может ввести название в поиске Google и выяснить, что такой существует. Мы не подвержены данной ошибке. НЕПРАВДА
  3. Мы используем самозаверенные сертификаты. 100% верно. Змеиное масло? В самом деле? Таким образом, в блоге подразумевается, что лучше обратиться в центр сертификации (CA) и получить сертификат. Вы знаете тех, кого подрывали или взламывали государственные органы, чтобы получить сертификат для доступа к вашему компьютеру, смартфону и т.д. Мы не допускаем КАКОЙ-ЛИБО сертификации на нашей платформе, кроме нашей собственной, которую мы прикрипляем ко всем нашим приложениям, так что никто не сможет претендовать назвать себя EncroChat или любым из 211+ возможных центров сертификации. Правда, что мы используем самозаверенные сертификаты. Аргументация – НЕПРАВДА (и совершенно неграмотная, к тому же).
  4. Мы используем слабые ключи Диффи-Хеллмана (1024). Звучит просто замечательно, если пользователи задаются вопросом, кто такой Диффи Хеллман? Звучит плохо, если они используют ключи 1024. Протокол обмена ключами Диффи-Хеллмана устанавливает общий секретный ключ между двумя сторонами, который может быть использован для секретной связи для обмена данными по сети общего пользования. EncroChat использует обмен ключами по протоколу Triple Elliptical Curve Diffie-Hellman Ephemeral 25519 (ECDHE), который обеспечивает как прямую, так и будущую секретность. Утверждение опять НЕПРАВДА

И, наконец, отличная попытка; стоила мне сегодня драгоценного времени ответить на явный бред. Совет, кто бы ни писал ваши сообщения в блоге, он технический придурок.

GTranslate Your license is inactive or expired, please subscribe again!

Проверять, выписываться БЛОГ для последних событий. Смотрите Samsung Knox взломать видео и черный список.

GTranslate Your license is inactive or expired, please subscribe again!