Privacidad en chats

Jj

https://www.isgeek.net

https://www.isgeek.net/talks/chatapps/

  • mIRC
  • ICQ
  • Yahoo! Messenger
  • MSN Messenger
  • Google Chat
  • Facebook messenger
  • Hangouts
  • Whatsapp
  • Instagram

Funcionamiento tradicional

  • Clientes envian mensajes entre ellos poe medio de un servidor
  • Los mensajes se envian a un servidor, los clientes son lectores de chatlogs

Chats: 95-2005

  • Protección por contraseña
  • Protocolos de texto plano
  • Clientes "tontos"
  • Cifrado de datos en tránsito con otro protocolo de seguridad (TLS, SSH, HTTPS)
  • Similar a webmail
  • IRC, ICQ

Chats: 2005-2015

  • Trinfo de chats centralizados
  • Servidores (y conversaciones) controlados por terceros
  • Cifrado en frio
  • Yahoo, MSN Messenger, Facebook, Google Chat

Chats: 2015+

  • Todos chatean
  • Celo de que el proveedor de chat lea las conversaciones
  • Presiones de gobiernos por acceso a datos de usuarios, "por tu seguridad"
  • Uso político de chats: Egipto, Siria, ISIS, La Botica
  • Cifrado End-to-end
  • Logs en los servidores centrales no pueden ser leidos por el proveedor

Máxima protección

  • Aplicaciones cliente más inteligentes
  • Conversaciones borradas del servidor, guardadas sólo en el cliente
  • Características

    • No se puede compartir conversaciones entre dispositivos
    • Un único cliente activo por cuenta (Ojo con Whatsapp web)
    • Backups en almacenamiento de terceros (provisto por el usuario)

Casi casi

  • Metadata: Whatsapp/Signal
  • Presiones de gobiernos:
    • Ghosting
    • Backdoors
    • Client matching
  • Seguridad del backup
  • Leyes de cada pais:
    • Rusia: Ley Yarovaya de recolección de datos (Afecta chats, VPN)
    • USA: Presiones FBI/CIA
    • China: Observa todas las empresas - Wechat
    • Australia: Ley anti cifrado

Otras medidas de seguridad

  • Información requerida para creación de cuentas
  • Datos de la compañía de chat. País, financiamiento, legalidad
  • Verificación de conversaciones seguras
  • Chats federados :(

Repaso de algunas aplicaciones

  • Telegram: Cifrado en tránsito y frio. Protocolo MProto, sólo conversaciones secretas s on E2E, financiado por hermanos Durov. Oficinas secretas
  • Facebook: Cifrado en tránsito y frio, accesso interno por necesidades legales, Chats secretos E2E
  • Discord: Cifrado en tránsito y frio. Discord guarda la clave para proteger actividad ilegal
  • Slack: Cifrado en tránsito y frío. Permite organizaciones proveer su propia clave de cifrado
  • Google Jibe: Usa RCS - Cifrado en tránsito (TLS), privacidad depende de cada ISP
  • Riot/Matrix: Cifrado E2E - Pero es Feo
  • Signal: Alternativa a Whatsapp, E2E, no guarda logs

Recomendación del chef

  • Signal
  • Telegram por features
  • Whatsapp, pero es de Facebook

Más información