Ansicht umschalten
Avatar von CWert
  • CWert

398 Beiträge seit 27.01.2019

7 trifftige Gründe warum man auch Signal nicht trauen sollte... (Lösung inside)

1. Der Mobilfunknummern-Zwang

Bei der Signal-Anmeldung muss man seine Mobilfunknummer rausgeben, die über eine SMS auch gleich verifiziert wird.

Wer seine Mobilfunknummer rausgibt, gibt damit auch gleichzeitig seine Anonymität auf. Seit Jahren schon müssen in der EU alle Mobilfunknummern namentlich registriert werden und damit ist Signal bei uns nicht anonym nutzbar.

Dazu kommen negative Nebeneffekte, wie zB das man geographisch (in etwa) ortebar ist und man auch einfach feststellen kann, wo jemand wohnt (= der nächtliche Aufenthaltsort)!

Und wenn man gesehen hat, wie Moxie Marlinspike rumgedruckst hat, auf dem letzten CCC (Video bei YouTube abrufbar - auch wenn er komischer Weise keine Aufzeichnung wollte) "Wann denn der Mobilfunknummern-Zwang wegfällt?", dann kann man sich schon einfahc ausrechnen, das die Mobilfunknummer noch lange drin bleiben wird.

Das wurde schon vor 3 Jahren angekündigt und ist bist heute nicht gekommen!

Für echte Sicherheit sind das alles absolute No-Go´s !

Besser:
Man nutzt nur Messenger, die ohne Mobilnummer funktionieren!


2. Finanzierung

2a.) Brian Acton

Die Finanzierung der Signal Foundation durch Brian Acton ist für mich der Hauptgrund Signal nicht zu nutzen. Das all da so lapidar drüber hinweg sehen, dass er dort 2018 mit 50 Millionen Dollar der "Hauptsponsor" geworden ist, erzeugt bei mir massive Verwunderung.

Brian Acton hat durch den Verkauf von WhatsApp an die Datenkrake Facebook 2014 rund 10 Milliarden Dollar bekommen und damit bewiesen, dass wenn der Betrag nur groß genug ist, er bereit ist "seine User" zu verkaufen.

Wer garantiert einem, dass er es mit Signal nicht genauso macht, wenn der Betrag nur groß genug ist?

2b.) Open Tech Fund = Geld von der US-Regierung

Der OTF klämmt sich finanziell überall in den USA mit rein, wo es um Verschlüsselung und Sicherheit geht. Er hat sich an Signal mit kanpp 3 Millionen Dollar beteiligt.

Meinst Ihr wirklich, dass die US-Regierung Geld irgendwo reinsteckt, ohne eine Gegenleistung? Ein Land, das in den letzten 2 Jahrzehnten die größte Überwachungsmaschinerie der Menscheit geschaffen hat?

Dazu muss man die Signal Seite beim OTF mal aufrufen und gucken, mit welchen "Erfolgen" die sich dort brüsten:

"Angesprochene Probleme

- Restriktive Internetfilterung nach technischen Methoden (IP-Blockierung, DNS-Filterung, TCP RST, DPI usw.)
- Repressive Überwachung oder Überwachung der Kommunikation
- Regierungspraktiken, die Vermittler (soziale Netzwerke oder ISPs) für Benutzerinhalte haftbar machen"

Ich würde mal sagen: Spionageauftrag ausgeführt!

Alles hier nachzulesen:
https://www.opentech.fund/results/supported-projects/open-whisper-systems/

2c.) Was ist wenn das Geld alle ist? Wie gehts dann mit Signal weiter?

Derzeit bettelt Signal ja schon um Spenden, wenn sich User neu anmelden und auch deren Webseite = Sollten Actons 50 Mio. Dollar etwa schon alle sein nach nicht mal 3 Jahren?

OpenSource finanziert sich nicht von alleine - man muss immer genau gucken, wo das Geld herkommt!

Besser:
Man nutzt nur Messenger, die über ein transparentes Finanzierungsmodel verfügen!


3. Amazon´s Cloud AWS - Google´s Cloud - Microsoft & Cloudflare

Alle großen IT-Konzerne aus den USA bekommen ihr Datenhäppchen von Signal ab. Guckt Euch den Traffic doch mal genauer an:

Amazon AWS bekommt
textsecure-service.whispersystems.org
cdn.signal.org
sfu.voip.signal.org

Google´s Cloud bekommt
storage.signal.org
contentproxy.signal.org

Microsoft bekommt
api.directory.signal.org
api.backup.signal.org

Cloudflare bekommt
cdn2.signal.org

Wessen komplette Kommunikation dauerhaft gespeichert wird, verliert seine komplette Privatsphäre - da sie (Achtung Ironie) auch mit einem C64 entschlüsselt werden kann, weil Zeit ja keine Rolle mehr spielt!

Es hat also jeder große US-IT-Konzern seinen Datenhappen von den Signal-Usern bekommen!

Wann löschen die diese Clouddaten wieder? Wer hat noch alles Zugriff darauf? Wer überwacht den Daten(ab)fluss?

Was ist, wenn Moxie der NSA ein Tool geschrieben hat, mit denen die Geheimdienste die Clouddaten von alle 4 Anbietern wieder zusammenfügen können? Dann ist mit Signal keinerlei Sicherheitsgewinn mehr gegeben!

Alles wichtige Fragen, die ungeklärt sind!

Ich sag immer Cloud = klaut !

Und wichtig ist es auch zu beachten, dass die Quanten-Computer in den Startlöchern stehen (angeblich hat die NSA schon Einen) mit QC spielt die Verschlüsselung keine Rolle mehr, weil sie alles innerhalb von Sekunden, max. Minuten knacken werden.
Der Fehler den Signal macht, besteht darin, alle Deine Nachrichten dauerhaft in der Cloud zu speichern!

Wer sich dann noch mal den US CLOUD Act durchliest, sieht das dies keine Kleinigkeit ist, die man bei einem Messengertest unterschätzen sollte.

"Die US-Datenschutzorganisation Electronic Frontier Foundation wertete den CLOUD Act als „gefährliches Gesetz“. Das Gesetz sei „nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte“"

Siehe:
https://de.wikipedia.org/wiki/CLOUD_Act

Besser:
Man nutzt nur Messenger die eben keinen Cloudspeicher verwenden!


4. Auffällige "Sicherheitslücken" in drei US-Messengern

Drei populäre Messenger aus den USA, die alle drei die gleiche Art von "Sicherheitslücke" aufwiesen.

WhatsApp von Facebook
iMessage von Apple
und eben die SignalApp

ließen es zu, das bei einem Anrufklingeln Schadcode ins Gerät eingespielt werden konnte!

Zufall?

Schwer vorstellbar, denn alle 3 Messenger kommen aus unterschiedlichen Programmier-Häusern!

Oder vielleicht doch schon - die von der US-Regierung immer geforderte - Hintertüren-Pflicht?

Hier die Links dazu:

WhatsApp:
"Der Angreifer kann die Spyware einfach durch einen WhatsApp-Anruf in das jeweilige Gerät einschleusen, selbst wenn der Angerufene gar nicht abhebt. "
https://heise.de/-4421379

iMessage:
"Ein Google-Sicherheitsforscher schildert, wie sich Schadcode ohne Nutzerinteraktion aus der Ferne auf iPhones einschleusen lässt."
https://heise.de/-4632972

Signal:
"Großer Lausch-Anruf: Signal nimmt selbsttätig Anrufe an"
https://heise.de/-4546500

Klar - diese Lücken sind gepatcht. Aber man weiß ja nicht, wann die nächste "Lücke" auffliegt, die bis dahin unbemerkt weltweit genutzt werden kann.

Besser:
Man nutzt nur Messenger, die nicht dem EU- und/oder US-Recht unterliegen und z.B. aus neutralen Ländern kommen (die nicht den 5- oder 14-Eyes angehören)


5. Signal möchte SMS-Ersatz sein

Hierüber denken die Wenigsten nach, halte ich aber für sehr bedenklich:

Signal möchte sich als SMS-Ersatz ins System einklemmen (optional).

Wer die SMS von Usern mitliest erhält ebenfalls einen wertvollen Datenschatz - meistens sogar mit Nennung des Namens. Z.B. Bank-TANs mit dem Überweisungsbetrag, Empfänger und dem Namen der Bank dabei. Oder Airlines-SMS mit Flugverspätungen (inkl. Abflugs- und Zielort) und viele persönliche Nachrichten von Freunden & Bekannten, die kein Signal verwenden.

Möchte da jemand beim ausspionieren auf Nummer sicher gehen?

Über sogenannte "Leise SMS" kann man den User tracken und Geräteinfos abfragen ohne das der User davon etwas mitbekommt!

Wer Signal hat und SMS bekommt muss davon ausgehen, das seine Identiät sehr schnell offenliegt!

Besser:
Man nutzt nur Messenger, die eben nicht als SMS-Ersatz fungieren!


6. Juristischer Einflussbereich der USA und jetzt auch EU

In beiden Staatengemeinschaften wollen Politiker und Strafverfolger, das die Verschlüsslung von Nachrichten aufgeweicht wird, das Hintertüren eingebaut werden oder das Generalschlüssel hinterlegt werden müssen (auch für mein Haus?)

Nur kurz zum selbst-anlesen:

USA = EARN-IT Act
"EARN IT Act: Signal-Entwickler warnt vor US-Gesetz"
https://heise.de/-4701019

EU = Verschlüsselungsverbot / Generalschlüssel
"Der Wiener Terroranschlag ist für die Regierungen Gelegenheit zum Ausbau der Überwachung. Onlinedienste sollen Zweitschlüssel bei Behörden hinterlegen müssen."
https://heise.de/-4951415

Es gibt also überall massive Bestrebungen unsere private & sichere Kommunikation zu untersagen/untergraben!

Dieser Gesamt-Gesellschaftliche Grundtenor fehlt mir zu sehr in der Presse - es gibt eben noch deutlich mehr zu beachten, als nur die technische Seite!

Besser, wie schon gesagt:
Man nutzt nur Messenger, die nicht dem EU- und/oder US-Recht unterliegen und z.B. aus neutralen Ländern kommen (die nicht den 5- oder 14-Eyes angehören)


7. Kleiner Fun-Fact am Rande

"Moxie Marlinspike" ist nur ein Künstlername

Warum versteckt sich ein Programmierer hinter einem Künstlernamen?

Möchte er straffrei davon kommen, weil er sich dann jederzeit auf seine künstlerische Freiheit berufen darf, wenn rauskommt, dass Signal doch nicht so sicher ist, wie alle dachten?

https://en.wikipedia.org/wiki/Moxie_Marlinspike

Fragen über Fragen... und das auffällige Dauer-Pushen von Signal bei heise ist echt übel!


Mein Fazit sieht so aus:

Threema

- ist zu 100% anonym nutzbar (= größtmöglicher Personen & Datenschutz)

- speichert keine MetaDaten und keine IP´s (= das gibt es NUR bei Threema)

- kommt aus der Schweiz (= nicht EU- & US-Recht)

- hat eigene Server in der Schweiz (= und eben keinen Cloudspeicher)

- speichert Nachrichten nur so lange, bis sie zugestellt wurden (= danach werden sie gelöscht und von anderen Daten wieder überschrieben)

- hat eine transparente Finanzierung (= User zahlt einmalig)

- und ist jetzt OpenSource, damit fällt auch der letzte große Dauer-Kritikpunkt an der ThreemaApp weg

- Threema ist eine professionelle Kommunikationslösung für Unternehmen wie Daimler, Bosch, Rossmann, Die Grünen ect. - die auf echten Datenschutz wertlegen.

- hat eine hervoragende Sprachqualität bei der Telefonie (= allein dafür lohnen sich die 3.99€ schon)

Und alle obigen Datenschutzbedenken in Form der Punkte von 1 - 7 gibt es bei Threema alles nicht!

Nur wenn man völlig anonym Diskutieren kann, ist echter Datenschutz gegeben - Signal bietet genau das eben nicht, weil die Amis immer wissen wollen, wer mit wem kommuniziert, um so Personen-Netzwerke durchleuchten!

Die ThreemaApp gibt es jetzt seit 8 Jahren und seit dem gab es keinerlei Datenschutz-Skandale oder Sicherheitslücken = echte Qualität aus der Schweiz. Dazu regelmäßig externe Sicherheits-Audits!

Crypto for the Masses" bietet Threema also auch und das schon mit über 10 Mio. aktiven Usern - für mich der klare Nutzer- & Sicherheitssieger!

Der aktuell sehr starke Zulauf bestätigt das!

Was sind schon einmalige 3.99€ gegenüber dem dauerhaften Verlust seiner Privatsphäre?

Wer dazu noch die Familienfunktion der AppStores nutzt, zahlt die 3.99 EUR auch nur einmal für seine ganze Familie!

Das Posting wurde vom Benutzer editiert (26.01.2021 16:08).

Bewerten
- +
Ansicht umschalten