Ovaj je članak napisan prije nekoliko godina, kada se u zajednici aktivno raspravljalo o blokiranju glasnika Telegram i sadrži moje mišljenje o ovom pitanju. I iako je danas ova tema gotovo zaboravljena, nadam se da će možda ipak nekome biti zanimljiva
Ovaj tekst je nastao kao rezultat mojih razmišljanja na temu digitalne sigurnosti i dugo sam se dvoumio isplati li se objaviti. Srećom, postoji ogroman broj stručnjaka koji ispravno razumiju sve probleme i ne mogu im reći ništa novo. No, osim njih, tu je i ogroman broj publicista i drugih blogera koji ne samo da sami griješe, već svojim tekstovima rađaju ogroman broj mitova.
Nije tajna da su se u posljednje vrijeme na digitalnom ratištu uzburkale ozbiljne strasti. Naravno, mislimo na jednu od tema o kojoj se najviše raspravlja u ruskoj modernosti, naime na blokiranje glasnika Telegram.
Protivnici blokade to predstavljaju kao sukob čovjeka i države, slobode govora i totalne kontrole nad pojedincem. Navijači se, naprotiv, vode razmatranjima javne sigurnosti i borbe protiv kriminalnih i terorističkih struktura.
Prvo, zamislimo kako točno radi glasnik Telegram. Možemo otići na njihovu početnu stranicu i pročitati kako se pozicioniraju. Jedna od glavnih prednosti korištenja ovog rješenja bit će beskompromisan naglasak na sigurnosti krajnjeg korisnika. Ali što se pod ovim točno misli?
Kao iu mnogim drugim javnim servisima, vaši se podaci prenose u kriptiranom obliku, ali samo do središnjih poslužitelja, gdje su u potpuno otvorenom obliku i svaki administrator, ako baš želi, može lako vidjeti svu vašu korespondenciju. Imate li kakvih nedoumica? Zatim razmislite o tome kako je implementirana funkcija sinkronizacije između uređaja. Ako su podaci tajni, kako dolaze do trećeg uređaja? Uostalom, ne dajete nikakve posebne klijentske ključeve za dešifriranje.
Na primjer, kao što je učinjeno u usluzi e-pošte ProtonMail, gdje za rad s uslugom trebate dati ključ koji je pohranjen na vašem lokalnom računalu i koji koristi preglednik za dešifriranje poruka u vašem poštanskom sandučiću.
Ali nije to tako jednostavno. Osim običnih chatova, postoje i tajni. Ovdje se stvarno dopisuje samo između dva uređaja i nema govora o bilo kakvoj sinkronizaciji. Ova je značajka dostupna samo na mobilnim klijentima, sa snimkama zaslona chata zaključanim na razini aplikacije i chatom koji se uništava nakon određenog vremena. S tehničke strane, podaci i dalje teku kroz središnje poslužitelje, ali se tamo ne pohranjuju. Štoviše, samo spremanje je besmisleno, jer samo klijenti imaju ključeve za dešifriranje, a šifrirani promet nije od posebne vrijednosti.
Ova će shema funkcionirati sve dok je klijenti i poslužitelj pošteno provode i dok na uređaju nema raznih vrsta programa koji šalju snimke vašeg zaslona trećim stranama bez vašeg znanja. Pa možda razlog takve nesklonosti Telegramu od strane agencija za provođenje zakona treba tražiti u tajnim chatovima? To je, po mom mišljenju, korijen nerazumijevanja većine ljudi. I nećemo moći u potpunosti razumjeti razlog ovog nesporazuma sve dok ne shvatimo što je enkripcija uopće i od koga je namijenjena zaštiti vaših podataka.
Zamislimo da napadač želi poslati tajnu poruku svojim prijateljima. Toliko važno da se isplati i potruditi i igrati na sigurno. Je li Telegram tako dobar izbor sa stajališta stručnjaka za informacijsku sigurnost? Ne nije. Tvrdim da je korištenje bilo kojeg od popularnih instant messengera za ovo najgora opcija koju možete odabrati.
Glavni problem je korištenje sustava za razmjenu poruka, gdje će se vaša korespondencija prvo pretraživati. Čak i ako je dovoljno dobro zaštićena, sama činjenica njezine prisutnosti može vas kompromitirati. Podsjetimo, veza između klijenata i dalje se odvija preko središnjih poslužitelja i još uvijek se može dokazati činjenica slanja poruke između dva korisnika. Stoga nema smisla koristiti e-mail, društvene mreže i bilo koje druge javne servise.
Kako onda možete organizirati korespondenciju koja ispunjava sve sigurnosne zahtjeve? U sklopu našeg pregleda namjerno ćemo odbaciti sve nezakonite ili kontroverzne metode kako bismo pokazali da se problem može riješiti isključivo u okviru zakona. Neće vam trebati špijunski, hakerski ili teško dostupni softver.
Gotovo svi alati uključeni su u skup standardnih uslužnih programa koji dolaze s bilo kojim operativnim sustavom GNU/Linux, a njihova zabrana značila bi zabranu računala kao takvih.
World Wide Web nalikuje ogromnoj mreži poslužitelja, na kojima se obično izvodi operativni sustav GNU/Linux i pravila za usmjeravanje paketa između tih poslužitelja. Većina ovih poslužitelja nije dostupna za izravnu vezu, međutim, osim njih, postoje još milijuni poslužitelja s prilično dostupnim adresama koji opslužuju sve nas, prolazeći kroz ogromnu količinu prometa. I nitko nikada neće tražiti vašu korespondenciju u svom tom kaosu, pogotovo ako se ne ističe ni na koji način na općoj pozadini.
Oni koji žele organizirati tajni komunikacijski kanal jednostavno će kupiti VPS (virtualni stroj u oblaku) od jednog od stotina igrača prisutnih na tržištu. Cijena izdanja je, kao što nije teško vidjeti, nekoliko dolara mjesečno. Naravno, to se ne može učiniti anonimno, au svakom slučaju ovaj virtualni stroj bit će vezan za vaše sredstvo plaćanja, a time i za vaš identitet. Međutim, većinu hostera nije briga što pokrećete na njihovom hardveru sve dok ne prekoračite njihova osnovna ograničenja, kao što je količina poslanog prometa ili veze na priključak 23.
Iako ta mogućnost postoji, jednostavno mu nije isplativo potrošiti tih par dolara koje je zaradio od vas da vas također prati.
Čak i ako želi ili je prisiljen to učiniti, prvo mora razumjeti kakav softver konkretno koristite i na temelju tog znanja stvoriti infrastrukturu za praćenje. To neće biti teško učiniti ručno, ali automatizacija ovog procesa bit će iznimno težak zadatak. Iz istog razloga, spremanje cjelokupnog prometa koji prolazi kroz vaš poslužitelj neće biti ekonomski isplativo osim ako prvo ne privučete pozornost relevantnih struktura koje to žele učiniti.
Sljedeći korak je stvaranje sigurnog kanala pomoću jedne od mnogih postojećih metoda.
- Najlakši način je stvoriti sigurnu SSH vezu s poslužiteljem. Nekoliko klijenata povezuje se putem OpenSSH-a i komunicira, primjerice, pomoću zidne naredbe. Jeftino i veselo.
- Podizanje VPN servera i povezivanje više klijenata preko centralnog servera. Alternativno, potražite bilo koji program za chat za lokalne mreže i samo naprijed.
- Jednostavni FreeBSD NetCat odjednom ima ugrađenu funkcionalnost za primitivni anonimni chat. Podržava šifriranje pomoću certifikata i još mnogo toga.
Ne treba posebno spominjati da na isti način, osim jednostavnih SMS poruka, možete prenositi bilo koje datoteke. Bilo koja od ovih metoda može se implementirati u 5-10 minuta i nije tehnički teška. Poruke će izgledati kao jednostavan kriptirani promet, što je većina prometa na Internetu.
Taj se pristup naziva steganografija – skrivanje poruka na mjestima gdje ih nitko ne bi ni pomislio tražiti. To samo po sebi ne jamči sigurnost dopisivanja, ali smanjuje vjerojatnost njegovog otkrivanja na nulu. Osim toga, ako se vaš poslužitelj također nalazi u drugoj zemlji, proces dohvaćanja podataka može biti nemoguć iz drugih razloga. Čak i ako mu netko pristupi, vaša korespondencija do ove točke najvjerojatnije neće biti ugrožena, jer se, za razliku od javnih usluga, ne sprema nigdje lokalno (ovo, naravno, ovisi o izboru koji ste napravili) .način komunikacije).
No, mogu mi prigovoriti da tražim na krivom mjestu, svjetske obavještajne službe odavno su se svega dosjetile, a svi protokoli šifriranja odavno imaju rupe za internu upotrebu. Potpuno razumna izjava, s obzirom na povijest problema. Što učiniti u ovom slučaju?
Svi sustavi šifriranja koji su u osnovi moderne kriptografije imaju određeno svojstvo - kriptografsku snagu. Pretpostavlja se da se svaka šifra može probiti - to je samo pitanje vremena i resursa. U idealnom slučaju, potrebno je osigurati da ovaj proces jednostavno nije profitabilan za napadača, bez obzira na to koliko su podaci važni. Ili je trebalo toliko dugo da u trenutku hakiranja podaci više neće biti važni.
Ova izjava nije u potpunosti istinita. Točno je kada govorimo o najčešćim protokolima šifriranja koji se danas koriste. Međutim, među svom raznolikošću šifri, postoji jedna koja je apsolutno otporna na probijanje, au isto vrijeme vrlo je lako razumjeti. Teoretski je nemoguće hakirati ako su ispunjeni svi uvjeti.
Ideja koja stoji iza Vernam Ciphera vrlo je jednostavna - unaprijed se kreiraju sekvence slučajnih ključeva kojima će poruke biti šifrirane. Štoviše, svaki se ključ koristi samo jednom za šifriranje i dešifriranje jedne poruke. U najjednostavnijem slučaju, stvaramo dugačak niz nasumičnih bajtova i transformiramo svaki bajt poruke kroz operaciju XOR s odgovarajućim bajtom u ključu i šaljemo ga dalje preko nešifriranog kanala. Lako je vidjeti da je šifra simetrična i da je ključ za šifriranje i dešifriranje isti.
Ova metoda ima nedostatke i rijetko se koristi, ali postignuta prednost je da ako se dvije strane unaprijed dogovore oko ključa i taj ključ nije ugrožen, tada možete biti sigurni da podaci neće biti pročitani.
Kako radi? Ključ se generira unaprijed i prenosi između svih sudionika putem alternativnog kanala. Može se prenijeti tijekom osobnog sastanka na neutralnom teritoriju, ako je moguće, kako bi se u potpunosti eliminirao mogući pregled, ili jednostavno poslati poštom s USB flash pogonom. Još uvijek živimo u svijetu u kojem nema tehničke mogućnosti pregleda svih medija koji prelaze granice, svih tvrdih diskova i telefona.
Nakon što svi sudionici u korespondenciji dobiju ključ, može proći dosta vremena prije nego što dođe do stvarne komunikacijske sesije, što dodatno otežava suzbijanje ovog sustava.
Jedan bajt u ključu koristi se samo jednom za šifriranje jednog znaka tajne poruke i dešifriranje od strane drugih sudionika. Svi sudionici u korespondenciji nakon prijenosa podataka mogu automatski uništiti korištene ključeve. Nakon što ste jednom razmijenili tajne ključeve, možete slati poruke ukupne količine jednake njihovoj duljini. Ova činjenica se obično navodi kao nedostatak ove šifre, mnogo je ugodnije kada je ključ ograničene duljine i ne ovisi o veličini poruke. Međutim, ti ljudi zaboravljaju na napredak, i dok je to bio problem u vrijeme Hladnog rata, danas to više nije problem. Ako pretpostavimo da su mogućnosti suvremenih medija praktički neograničene i da je u najskromnijem slučaju riječ o gigabajtima, tada sigurni komunikacijski kanal može djelovati neograničeno dugo.
Povijesno gledano, Vernamova šifra, ili jednokratna enkripcija, naširoko se koristila tijekom Hladnog rata za prijenos tajnih poruka. Iako ima slučajeva da su zbog nepažnje različite poruke šifrirane istim ključevima, odnosno pokvarena je procedura enkripcije i to je omogućilo njihovo dekriptiranje.
Je li teško koristiti ovu metodu u praksi? To je prilično trivijalno, a automatizacija ovog procesa uz pomoć modernih računala unutar je mogućnosti početnika amatera.
Pa možda je svrha blokiranja nanošenje štete određenom Telegram messengeru? Ako je tako, prođite ponovno. Telegram klijent izvan kutije podržava proxy poslužitelje i SOCKS5 protokol, što korisniku daje mogućnost rada preko vanjskih poslužitelja s deblokiranim IP adresama. Pronalaženje javnog SOCKS5 poslužitelja za kratku sesiju nije teško, ali postavljanje takvog poslužitelja na vašem VPS-u još je lakše.
Iako će i dalje biti udar na ekosustav glasnika, budući da će za većinu korisnika ta ograničenja i dalje stvarati nepremostivu prepreku i njegova će popularnost među stanovništvom patiti.
Dakle, rezimirajmo. Sav hype oko Telegrama je hype i ništa više. Blokirati ga iz razloga javne sigurnosti tehnički je nepismeno i besmisleno. Sve strukture koje su vitalno zainteresirane za sigurno dopisivanje mogu organizirati vlastiti kanal koristeći nekoliko komplementarnih tehnika, a što je najzanimljivije, to se radi vrlo jednostavno, sve dok postoji barem neki pristup mreži.
Fronta informacijske sigurnosti danas ne pokriva glasnike, već obične korisnike mreže, čak i ako oni toga nisu svjesni. Suvremeni internet je realnost s kojom se mora računati iu kojoj prestaju vrijediti zakoni koji su se donedavno činili nepokolebljivima. Blokiranje Telegrama još je jedan primjer ratova za tržište informacija. Ni prvi, a sigurno ni posljednji.
Prije samo nekoliko desetljeća, prije masovnog razvoja Interneta, ključni problem s kojim su se suočavale sve vrste agentskih mreža bilo je uspostavljanje sigurnog komunikacijskog kanala kako međusobno, tako i koordinacija njihovog rada sa centrom. Stroga kontrola nad privatnim radio postajama tijekom Drugog svjetskog rata u svim zemljama sudionicama (registracija je potrebna i danas), numerirane radio postaje Hladnog rata (neke su na snazi i danas), mini filmovi u potplatu cipele - sve to izgleda jednostavno smiješno na novoj etapi razvoja civilizacije. Kao i inercija svijesti, koja prisiljava državni stroj da kruto blokira svaku pojavu koja nije pod njegovom kontrolom. Zbog toga se blokiranje IP adresa ne smije smatrati prihvatljivim rješenjem, već samo pokazuje nesposobnost osoba koje takve odluke donose.
Glavni problem našeg vremena nije pohranjivanje ili analiza podataka osobne korespondencije od strane trećih strana (to je sasvim objektivna stvarnost u kojoj danas živimo), već činjenica da su ljudi sami spremni dati te podatke. Svaki put kada pristupite internetu iz svog omiljenog preglednika, desetak skripti zuri u vas, bilježeći kako ste i gdje kliknuli i na koju ste stranicu otišli. Kada instalirate neku drugu aplikaciju za pametni telefon, većina ljudi prozor sa zahtjevom za dodjelu privilegija programu doživljava kao dosadnu prepreku prije nego što ga počnu koristiti. Ne primijetivši činjenicu da bezopasni program ulazi u vaš adresar i želi pročitati sve vaše poruke. Sigurnost i privatnost lako se mijenjaju za jednostavno korištenje. I sama se osoba često potpuno dobrovoljno odriče svojih osobnih podataka, a time i svoje slobode, puneći tako baze podataka svjetskih privatnih i državnih organizacija najvrjednijim podacima o svom životu. I oni će nedvojbeno iskoristiti ove informacije za svoje potrebe. A također će ga u utrci za zaradom preprodavati svima, zanemarujući moralne i etičke standarde.
Nadam se da će vam informacije predstavljene u ovom članku omogućiti novi pogled na problem informacijske sigurnosti i možda promijeniti neke od vaših navika pri radu na mreži. A stručnjaci će se strogo nasmiješiti i krenuti dalje.
Mir vašem domu.
Izvor: www.habr.com