See artikkel on kirjutatud mitu aastat tagasi, kui Telegrami messengeri blokeerimist kogukonnas aktiivselt arutati ja see sisaldab minu mõtteid selles küsimuses. Ja kuigi tänaseks on see teema peaaegu unustatud, loodan, et ehk pakub see kellelegi siiski huvi
See tekst tekkis minu mõtete tulemusena digitaalse turvalisuse teemal ja ma kahtlesin kaua, kas see on avaldamist väärt. Õnneks on tohutult palju spetsialiste, kes mõistavad kõiki probleeme õigesti ja ma ei saa neile midagi uut öelda. Kuid peale nende on veel tohutult palju publitsiste ja muid blogijaid, kes mitte ainult ei tee ise vigu, vaid tekitavad oma artiklitega ka tohutul hulgal müüte.
Pole saladus, et digitaalses sõjateatris on viimasel ajal möllanud tõsised kired. Loomulikult peame silmas üht vene modernsuse enim kõneainet pakkuvat teemat, nimelt Telegrami sõnumitooja blokeerimist.
Blokeerimise vastased esitavad seda kui vastasseisu inimese ja riigi, sõnavabaduse ja täieliku kontrollina indiviidi üle. Toetajad, vastupidi, juhinduvad avaliku turvalisuse ning kuritegelike ja terroristlike struktuuride vastase võitluse kaalutlustest.
Esiteks kujutame ette, kuidas Telegrami messenger täpselt töötab. Võime minna nende kodulehele ja lugeda, kuidas nad end positsioneerivad. Selle konkreetse lahenduse kasutamise üks peamisi eeliseid on kompromissitu rõhuasetus lõppkasutaja turvalisusele. Aga mida selle all täpselt mõeldakse?
Nagu paljudes teistes avalikes teenustes, edastatakse teie andmed krüpteeritud kujul, kuid ainult keskserveritesse, kus need on täiesti avatud kujul ja iga administraator, kui ta seda tõesti soovib, näeb kogu teie kirjavahetust hõlpsalt. Kas teil on kahtlusi? Seejärel mõelge, kuidas seadmete vahelist sünkroonimisfunktsiooni rakendatakse. Kui andmed on salajased, siis kuidas need kolmandasse seadmesse jõuavad? Lõppude lõpuks ei paku te dekrüpteerimiseks mingeid spetsiaalseid kliendivõtmeid.
Näiteks, nagu tehakse meiliteenuses ProtonMail, peate teenusega töötamiseks esitama võtme, mis on salvestatud teie kohalikku arvutisse ja mida brauser kasutab teie postkastis olevate kirjade dekrüpteerimiseks.
Kuid see pole nii lihtne. Lisaks tavalistele vestlustele on ka salajasi. Siin toimub kirjavahetus tõesti ainult kahe seadme vahel ja mingist sünkroniseerimisest pole juttugi. See funktsioon on saadaval ainult mobiiliklientide puhul, kus vestluse ekraanipildid lukustatakse rakenduse tasemel ja vestlus hävitatakse teatud aja möödudes. Tehnilise poole pealt liiguvad andmed endiselt läbi keskserverite, kuid neid ei salvestata seal. Pealegi on salvestamine iseenesest mõttetu, kuna dekrüpteerimisvõtmed on ainult klientidel ja krüptitud liiklusel pole erilist väärtust.
See skeem töötab seni, kuni kliendid ja server seda ausalt rakendavad ja seni, kuni seadmes ei ole erinevat tüüpi programme, mis saadavad teie teadmata teie ekraanipilte kolmandatele isikutele. Nii et võib-olla tuleks sellise õiguskaitseorganite Telegrami vastumeelsuse põhjust otsida salavestlustest? See on minu arvates enamiku inimeste arusaamatuse põhjus. Ja me ei saa täielikult aru selle arusaamatuse põhjusest enne, kui mõistame, mis on krüptimine üldiselt ja kelle eest see on mõeldud teie andmete kaitsmiseks.
Kujutagem ette, et ründaja tahab saata oma sõpradele salasõnumi. Nii oluline, et tasub nii vaeva näha kui ka turvaliselt mängida. Kas Telegram on infoturbespetsialisti seisukohalt nii hea valik? Ei ole. Väidan, et mis tahes populaarse kiirsõnumitooja kasutamine on halvim valik, mille saate valida.
Peamine probleem on sõnumisüsteemi kasutamine, kus teie kirjavahetust otsitakse esimesena. Ja isegi kui see on piisavalt hästi kaitstud, võib juba ainuüksi selle olemasolu teid kompromiteerida. Tuletame meelde, et klientidevaheline ühendus toimub endiselt keskserverite kaudu ja vähemalt kahe kasutaja vahelise sõnumi saatmise fakt on siiski tõestatav. Seetõttu pole mõtet kasutada e-posti, sotsiaalvõrgustikke ja muid avalikke teenuseid.
Kuidas siis korraldada kirjavahetust, mis vastab kõigile turvanõuetele? Oma ülevaate raames loobume teadlikult kõigist ebaseaduslikest või vastuolulistest meetoditest, et näidata, et probleemi saab lahendada eranditult seaduse raames. Te ei vaja nuhkvara, häkkerit ega raskesti leitavat tarkvara.
Peaaegu kõik tööriistad sisalduvad mis tahes GNU/Linuxi operatsioonisüsteemiga kaasas olevate standardsete utiliitide komplektis ja nende keelamine tähendaks arvutite kui selliste keelustamist.
World Wide Web meenutab tohutut serverite võrku, milles tavaliselt töötab GNU/Linuxi operatsioonisüsteem ja reeglid pakettide marsruutimiseks nende serverite vahel. Enamik neist serveritest pole otseühenduseks saadaval, kuid peale nende teenindavad meid kõiki miljoneid veel üsna ligipääsetavate aadressidega servereid, mis läbivad tohutul hulgal liiklust. Ja keegi ei hakka kunagi kogu selle kaose hulgast teie kirjavahetust otsima, eriti kui see üldisel taustal kuidagi eriti silma ei paista.
Need, kes soovivad korraldada salajast suhtluskanalit, ostavad lihtsalt VPS-i (virtuaalne masin pilves) ühelt sadadest turul olevatest mängijatest. Emissiooni hind, nagu pole raske näha, on mitu dollarit kuus. Loomulikult ei saa seda teha anonüümselt ja igal juhul seotakse see virtuaalmasin teie maksevahendiga ja seega teie identiteediga. Enamikule hostijatele on aga täiesti ükskõik, mida te nende riistvaraga kasutate, kui te ei ületa nende põhipiiranguid, nagu saadetud liikluse hulk või ühendused pordiga 23.
Kuigi see võimalus on olemas, pole tal lihtsalt tulus kulutada neid paar dollarit, mille ta sinult teenis, et ka sind jälgida.
Ja isegi kui ta soovib või on sunnitud seda tegema, peab ta esmalt aru saama, millist tarkvara te konkreetselt kasutate ja selle teadmise põhjal looma jälgimise infrastruktuuri. Seda ei ole käsitsi keeruline teha, kuid selle protsessi automatiseerimine on äärmiselt keeruline ülesanne. Samal põhjusel ei ole kogu teie serverit läbiva liikluse salvestamine majanduslikult tasuv, kui te ei jõua esmalt vastavate struktuuride tähelepanu alla, kes seda teha soovivad.
Järgmine samm on turvalise kanali loomine, kasutades ühte paljudest olemasolevatest meetoditest.
- Lihtsaim viis on luua serveriga turvaline SSH-ühendus. Mitmed kliendid ühenduvad OpenSSH kaudu ja suhtlevad näiteks seinakäsklusega. Odav ja rõõmsameelne.
- VPN-serveri tõstmine ja mitme kliendi ühendamine keskserveri kaudu. Teise võimalusena otsige kohalike võrkude jaoks mõni vestlusprogramm ja jätkake.
- Lihtsal FreeBSD NetCatil on äkki sisseehitatud funktsionaalsus primitiivseks anonüümseks vestluseks. Toetab krüptimist, kasutades sertifikaate ja palju muud.
Pole vaja mainida, et samamoodi saab lisaks lihtsatele tekstisõnumitele üle kanda mis tahes faile. Kõiki neid meetodeid saab rakendada 5-10 minutiga ja see pole tehniliselt keeruline. Sõnumid näevad välja nagu lihtne krüptitud liiklus, mis moodustab suurema osa Interneti-liiklusest.
Sellist lähenemist nimetatakse steganograafiaks – sõnumite peitmine kohtadesse, kust keegi isegi ei mõtleks neid otsida. See iseenesest ei taga kirjavahetuse turvalisust, kuid vähendab selle tuvastamise tõenäosust nullini. Lisaks, kui teie server asub ka teises riigis, võib andmete väljavõtt olla muudel põhjustel võimatu. Ja isegi kui keegi saab sellele juurdepääsu, siis tõenäoliselt ei kahjustata teie senist kirjavahetust, kuna erinevalt avalikest teenustest ei salvestata seda kuskil kohapeal (see sõltub muidugi teie tehtud valikust) . suhtlusviis).
Siiski võivad nad mulle vastu vaielda, et ma otsin valest kohast, maailma luureagentuurid on juba ammu kõigele mõelnud ja kõikidel krüpteerimisprotokollidel on juba ammu sisekasutuseks augud. Täiesti mõistlik väide, arvestades probleemi ajalugu. Mida sel juhul teha?
Kõikidel krüpteerimissüsteemidel, mis on tänapäevase krüptograafia aluseks, on teatud omadus – krüptograafiline tugevus. Eeldatakse, et iga šifrit saab lahti murda – see on vaid aja ja ressursside küsimus. Ideaalis on vaja tagada, et see protsess lihtsalt ei oleks ründajale kasumlik, olenemata andmete tähtsusest. Või võttis see nii kaua aega, et häkkimise ajal pole andmed enam olulised.
See väide ei vasta täielikult tõele. See on õige, kui rääkida tänapäeval levinuimatest krüpteerimisprotokollidest. Kõigi šifrite hulgas on aga üks, mis on absoluutselt pragude suhtes vastupidav ja samal ajal väga kergesti mõistetav. Häkkida on teoreetiliselt võimatu, kui kõik tingimused on täidetud.
Vernam Cipheri idee on väga lihtne – eelnevalt luuakse juhuslike võtmete jada, millega sõnumeid krüpteeritakse. Lisaks kasutatakse iga võtit ühe sõnumi krüptimiseks ja dekrüpteerimiseks ainult üks kord. Kõige lihtsamal juhul loome pika jada juhuslikest baitidest ja teisendame sõnumi iga baidi läbi XOR-operatsiooni koos vastava võtmes oleva baidiga ja saadame selle edasi krüptimata kanali kaudu. On lihtne näha, et šifr on sümmeetriline ning krüptimise ja dekrüpteerimise võti on sama.
Sellel meetodil on puudusi ja seda kasutatakse harva, kuid saavutatud eelis on see, et kui kaks osapoolt võtmes eelnevalt kokku lepivad ja seda võtit ei ohustata, võite olla kindel, et andmeid ei loeta.
Kuidas see töötab? Võti genereeritakse eelnevalt ja edastatakse kõigi osalejate vahel alternatiivse kanali kaudu. Selle saab võimalusel üle kanda isikliku kohtumise ajal neutraalsel territooriumil, et võimalik ülevaatus täielikult välistada, või lihtsalt saata postiga USB-mälupulgaga. Me elame endiselt maailmas, kus puudub tehniline võimalus kontrollida kõiki piire ületavaid meediume, kõiki kõvakettaid ja telefone.
Pärast seda, kui kõik kirjavahetuses osalejad on võtme kätte saanud, võib tegeliku suhtlusseansi toimumiseni kuluda üsna palju aega, mis muudab selle süsteemi vastu võitlemise veelgi keerulisemaks.
Ühte baiti võtmes kasutatakse ainult üks kord salasõnumi ühe märgi krüptimiseks ja teiste osalejate poolt selle dekrüpteerimiseks. Kasutatud võtmed saavad kõik kirjavahetuses osalejad pärast andmete edastamist automaatselt hävitada. Pärast salajaste võtmete ühekordset vahetamist saate edastada sõnumeid kogumahuga, mis on võrdne nende pikkusega. Seda asjaolu tuuakse tavaliselt selle šifri puudusena, palju meeldivam on, kui võti on piiratud pikkusega ega sõltu sõnumi suurusest. Need inimesed aga unustavad edusammud ja kuigi see oli probleem külma sõja ajal, ei ole see tänapäeval enam nii. Kui eeldada, et kaasaegse meedia võimalused on praktiliselt piiramatud ja kõige tagasihoidlikumal juhul räägime gigabaitidest, siis võib turvaline sidekanal toimida lõputult.
Ajalooliselt kasutati Vernam Cipherit ehk ühekordset padjakrüptimist külma sõja ajal laialdaselt salajaste sõnumite edastamiseks. Kuigi on juhtumeid, kus ettevaatamatusest krüpteeriti erinevad sõnumid samade võtmetega ehk krüpteerimisprotseduur katkes ja see võimaldas need lahti krüpteerida.
Kas seda meetodit on praktikas raske kasutada? See on üsna triviaalne ja selle protsessi automatiseerimine kaasaegsete arvutite abil on algaja amatööri võimete piires.
Nii et võib-olla on blokeerimise eesmärk kahjustada konkreetset Telegrami messengerit? Kui jah, siis andke see uuesti läbi. Väljas olev Telegrami klient toetab puhverservereid ja SOCKS5 protokolli, mis annab kasutajale võimaluse töötada blokeerimata IP-aadressidega väliste serverite kaudu. Avaliku SOCKS5 serveri leidmine lühikeseks seansiks pole keeruline, kuid sellise serveri ise seadistamine oma VPS-is on veelgi lihtsam.
Kuigi sõnumitoojate ökosüsteemile antakse endiselt löök, loovad need piirangud enamiku kasutajate jaoks siiski ületamatu barjääri ja selle populaarsus elanikkonna seas kannatab.
Niisiis, teeme kokkuvõtte. Kogu Telegrami ümber käiv hüpe on hüpe ja ei midagi muud. Selle blokeerimine avaliku turvalisuse huvides on tehniliselt kirjaoskamatu ja mõttetu. Kõik turvalisest kirjavahetusest eluliselt huvitatud struktuurid saavad oma kanali korraldada, kasutades mitut üksteist täiendavat tehnikat, ja mis kõige huvitavam, seda tehakse äärmiselt lihtsalt, kui võrgule on vähemalt mingi juurdepääs.
Infoturbe rind ei hõlma tänapäeval sõnumitoojaid, vaid pigem tavalisi võrgukasutajaid, isegi kui nad seda ei teadvusta. Kaasaegne Internet on reaalsus, millega tuleb arvestada ja milles veel hiljuti vankumatuna tundunud seadused enam ei kehti. Telegrami blokeerimine on veel üks näide sõdadest infoturu pärast. Mitte esimene ja kindlasti mitte viimane.
Veel mõnikümmend aastat tagasi, enne Interneti massilist arengut, oli kõikvõimalike agendivõrkude põhiprobleemiks turvalise suhtluskanali loomine nii omavahel kui ka töö koordineerimine keskusega. Range kontroll eraraadiojaamade üle Teise maailmasõja ajal kõikides osalevates riikides (registreerumine on vajalik ka täna), külma sõja aegsete nummerdatud raadiojaamade üle (mõned kehtivad tänaseni), minifilmid kinga tallas - kõik see tundub tsivilisatsiooni arengu uues etapis lihtsalt naeruväärne. Nagu ka teadvuse inerts, mis sunnib olekumasinat jäigalt blokeerima kõiki nähtusi, mis ei allu tema kontrollile. Seetõttu ei tohiks IP-aadresside blokeerimist pidada vastuvõetavaks lahenduseks ja see näitab ainult selliste otsuste langetajate pädevuse puudumist.
Meie aja põhiprobleem pole mitte isiku kirjavahetuse andmete säilitamine või analüüs kolmandate isikute poolt (see on üsna objektiivne reaalsus, milles me täna elame), vaid see, et inimesed ise on valmis neid andmeid esitama. Iga kord, kui avate oma lemmikbrauserist Internetti, vaatab teid kümmekond skripti, mis salvestavad, kuidas ja kus klõpsasite ning millisele lehele läksite. Nutitelefonile mõne muu rakenduse installimisel näeb enamik inimesi programmile õiguste andmise päringu akent enne selle kasutama asumist tüütuks barjääriks. Märkamata tõsiasja, et kahjutu programm satub teie aadressiraamatusse ja soovib lugeda kõiki teie sõnumeid. Turvalisuse ja privaatsusega kaubeldakse kasutusmugavuse huvides. Ja inimene ise läheb sageli täiesti vabatahtlikult lahku oma isikuandmetest ja seega ka vabadusest, täites nii maailma era- ja valitsusorganisatsioonide andmebaasid kõige väärtuslikuma teabega oma elu kohta. Ja kahtlemata kasutavad nad seda teavet oma eesmärkidel. Ja ka võidujooksus kasumi nimel müüvad nad selle kõigile edasi, eirates moraalseid ja eetilisi standardeid.
Loodan, et selles artiklis esitatud teave võimaldab teil heita uue pilgu infoturbe probleemile ja võib-olla muuta mõnda oma harjumust võrgus töötamisel. Ja eksperdid naeratavad karmilt ja lähevad edasi.
Rahu teie koju.
Allikas: www.habr.com