ProHoster > Օրագիր > Վարչակազմը > Առցանց անվտանգության մասին

Առցանց անվտանգության մասին

Առցանց անվտանգության մասին

Այս հոդվածը գրվել է մի քանի տարի առաջ, երբ համայնքում ակտիվորեն քննարկվում էր Telegram մեսենջերի արգելափակումը և պարունակում է իմ մտքերն այս հարցի վերաբերյալ: Ու թեև այսօր այս թեման գրեթե մոռացված է, բայց հուսով եմ, որ միգուցե այն դեռ կհետաքրքրի որևէ մեկին

Այս տեքստը հայտնվեց թվային անվտանգության թեմայով իմ մտորումների արդյունքում, և ես երկար ժամանակ կասկածում էի, թե արդյոք արժե այն հրապարակել։ Բարեբախտաբար, կան հսկայական թվով մասնագետներ, ովքեր ճիշտ են հասկանում բոլոր խնդիրները, և ես նրանց որևէ նոր բան չեմ կարող ասել։ Սակայն, բացի նրանցից, կան նաև հսկայական թվով հրապարակախոսներ և այլ բլոգերներ, որոնք ոչ միայն իրենք են սխալվում, այլև իրենց հոդվածներով հսկայական թվով առասպելներ են ծնում։

Գաղտնիք չէ, որ պատերազմի թվային թատրոնում վերջին շրջանում մոլեգնում են լուրջ կրքեր։ Մենք, իհարկե, նկատի ունենք ռուսական արդիականության ամենաքննարկվող թեմաներից մեկը՝ Telegram մեսենջերի արգելափակումը։

Արգելափակման հակառակորդները սա ներկայացնում են որպես մարդու և պետության առճակատում, խոսքի ազատության և անհատի նկատմամբ լիակատար վերահսկողություն։ Աջակիցները, ընդհակառակը, առաջնորդվում են հասարակական անվտանգության և հանցավոր ու ահաբեկչական կառույցների դեմ պայքարի նկատառումներով։

Նախ, եկեք պատկերացնենք, թե կոնկրետ ինչպես է աշխատում Telegram մեսենջերը։ Մենք կարող ենք գնալ նրանց գլխավոր էջ և կարդալ, թե ինչպես են նրանք դիրքավորվում: Այս կոնկրետ լուծման օգտագործման հիմնական առավելություններից մեկը կլինի վերջնական օգտագործողի անվտանգության վրա անզիջում շեշտադրումը: Բայց կոնկրետ ի՞նչ է սա նշանակում:

Ինչպես շատ այլ հանրային ծառայություններում, ձեր տվյալները փոխանցվում են կոդավորված ձևով, բայց միայն կենտրոնական սերվերներին, որտեղ դրանք ամբողջովին բաց են, և ցանկացած ադմին, եթե նա իսկապես ցանկանում է, կարող է հեշտությամբ տեսնել ձեր ամբողջ նամակագրությունը: Դուք կասկածներ ունե՞ք։ Այնուհետև մտածեք, թե ինչպես է իրականացվում սարքերի միջև համաժամացման գործառույթը: Եթե ​​տվյալները գաղտնի են, ինչպե՞ս են դրանք հասնում երրորդ սարքին: Ի վերջո, դուք չեք տրամադրում հատուկ հաճախորդի բանալիներ ապակոդավորման համար:

Օրինակ, ինչպես արվում է ProtonMail փոստի ծառայությունում, ծառայության հետ աշխատելու համար անհրաժեշտ է բանալի տրամադրել, որը պահվում է ձեր տեղական մեքենայի վրա և որն օգտագործվում է զննարկչի կողմից՝ ձեր փոստարկղում հաղորդագրությունները վերծանելու համար:

Բայց դա այնքան էլ պարզ չէ: Բացի սովորական չաթերից, կան նաև գաղտնի: Այստեղ նամակագրությունն իսկապես իրականացվում է միայն երկու սարքերի միջև, և որևէ համաժամացման մասին խոսք չկա։ Այս հատկությունը հասանելի է միայն շարժական հաճախորդների համար, որտեղ զրույցի սքրինշոթները կողպված են հավելվածի մակարդակով, իսկ զրույցը ոչնչացվում է որոշակի ժամանակ անց: Տեխնիկական առումով տվյալները դեռ հոսում են կենտրոնական սերվերներով, բայց այնտեղ չեն պահվում։ Ավելին, խնայողությունն ինքնին անիմաստ է, քանի որ միայն հաճախորդներն ունեն ապակոդավորման բանալիներ, և կոդավորված տրաֆիկը առանձնահատուկ արժեք չունի:

Այս սխեման կաշխատի այնքան ժամանակ, քանի դեռ հաճախորդներն ու սերվերն այն իրականացնում են ազնվորեն, և քանի դեռ սարքում չկան տարբեր տեսակի ծրագրեր, որոնք առանց ձեր իմացության երրորդ կողմերին են ուղարկում ձեր էկրանի պատկերները: Այսպիսով, միգուցե իրավապահ մարմինների կողմից Telegram-ի հանդեպ նման հակակրանքի պատճառը պետք է փնտրել գաղտնի չաթերում: Սա, իմ կարծիքով, մարդկանց մեծամասնության թյուրիմացության արմատն է։ Եվ մենք չենք կարողանա լիովին հասկանալ այս թյուրիմացության պատճառը, մինչև չհասկանանք, թե ինչ է գաղտնագրումն ընդհանրապես և ումից է այն նախատեսված ձեր տվյալները պաշտպանելու համար:

Պատկերացնենք, որ հարձակվողը ցանկանում է գաղտնի հաղորդագրություն ուղարկել իր ընկերներին։ Այնքան կարևոր, որ արժե և՛ անհանգստացնել, և՛ անվտանգ խաղալ: Արդյո՞ք Telegram-ը այդքան լավ ընտրություն է տեղեկատվական անվտանգության մասնագետի տեսանկյունից։ Ոչ չէ: Ես պնդում եմ, որ դրա համար հայտնի ակնթարթային մեսենջերներից որևէ մեկի օգտագործումը ամենավատ տարբերակն է, որը դուք կարող եք ընտրել:

Հիմնական խնդիրը հաղորդագրությունների համակարգի օգտագործումն է, որտեղ նախ կփնտրվի ձեր նամակագրությունը։ Եվ նույնիսկ եթե այն բավականաչափ լավ պաշտպանված է, նրա ներկայության փաստը կարող է վտանգել ձեզ: Հիշեցնենք, որ հաճախորդների միջև կապը դեռևս տեղի է ունենում կենտրոնական սերվերների միջոցով, և առնվազն երկու օգտատերերի միջև հաղորդագրություն ուղարկելու փաստը դեռևս կարելի է ապացուցել։ Ուստի անիմաստ է օգտվել էլեկտրոնային փոստից, սոցիալական ցանցերից և ցանկացած այլ հանրային ծառայություններից:

Այդ դեպքում ինչպե՞ս կարող եք կազմակերպել նամակագրություն, որը համապատասխանում է անվտանգության բոլոր պահանջներին: Որպես մեր վերանայման մաս՝ մենք միտումնավոր հրաժարվելու ենք բոլոր անօրինական կամ վիճելի մեթոդներից՝ ցույց տալու համար, որ խնդիրը կարող է լուծվել բացառապես օրենքի շրջանակներում։ Ձեզ հարկավոր չի լինի որևէ լրտեսող ծրագիր, հաքեր կամ դժվար գտնել ծրագրակազմ:
Գրեթե բոլոր գործիքները ներառված են ստանդարտ կոմունալ ծրագրերի շարքում, որոնք գալիս են ցանկացած GNU/Linux օպերացիոն համակարգով, և դրանց արգելումը կնշանակի արգելել համակարգիչները որպես այդպիսին:

Համաշխարհային սարդոստայնը հիշեցնում է սերվերների հսկայական ցանց, որը սովորաբար աշխատում է GNU/Linux օպերացիոն համակարգը դրանց վրա և այդ սերվերների միջև փաթեթները երթուղավորելու կանոններ: Այս սերվերների մեծ մասը հասանելի չէ ուղղակի կապի համար, սակայն, բացի նրանցից, կան ևս միլիոնավոր սերվերներ՝ բավականին մատչելի հասցեներով, որոնք սպասարկում են բոլորիս՝ անցնելով հսկայական տրաֆիկի միջով։ Եվ ոչ ոք երբեք չի փնտրի ձեր նամակագրությունը այս ամբողջ քաոսի մեջ, հատկապես, եթե այն որևէ առանձնահատուկ կերպով աչքի չի ընկնում ընդհանուր ֆոնի վրա:

Նրանք, ովքեր ցանկանում են կազմակերպել գաղտնի հաղորդակցման ալիք, պարզապես կգնեն VPS (վիրտուալ մեքենա ամպի մեջ) շուկայում ներկա հարյուրավոր խաղացողներից մեկից: Թողարկման գինը, ինչպես դժվար չէ նկատել, ամսական մի քանի դոլար է։ Իհարկե, դա հնարավոր չէ անել անանուն, և ամեն դեպքում, այս վիրտուալ մեքենան կապված կլինի ձեր վճարման միջոցների, հետևաբար նաև ձեր ինքնության հետ: Այնուամենայնիվ, հոսթերներից շատերին չի հետաքրքրում, թե ինչ եք աշխատում իրենց ապարատում, քանի դեռ չեք գերազանցում դրանց հիմնական սահմանները, օրինակ՝ ուղարկված տրաֆիկի քանակը կամ 23-րդ նավահանգիստին միացումները:

Թեև այդ հնարավորությունը կա, բայց նրա համար պարզապես ձեռնտու չէ ծախսել այն մի քանի դոլարը, որը նա վաստակել է ձեզանից՝ նաև ձեզ վերահսկելու համար։
Եվ նույնիսկ եթե նա ցանկանում է կամ ստիպված է լինում դա անել, նա նախ պետք է հասկանա, թե կոնկրետ ինչ ծրագրային ապահովում եք օգտագործում և այս գիտելիքների հիման վրա ստեղծի հետևելու ենթակառուցվածք։ Դա դժվար չի լինի ձեռքով անել, սակայն այս գործընթացի ավտոմատացումը չափազանց բարդ խնդիր կլինի: Նույն պատճառով, ձեր սերվերով անցնող ամբողջ թրաֆիկը խնայելը տնտեսապես շահավետ չի լինի, քանի դեռ նախապես չեք հայտնվել համապատասխան կառույցների ուշադրության կենտրոնում, որոնք ցանկանում են դա անել:

Հաջորդ քայլը անվտանգ ալիք ստեղծելն է՝ օգտագործելով գոյություն ունեցող բազմաթիվ մեթոդներից մեկը:

  • Ամենահեշտ ձևը սերվերի հետ անվտանգ SSH կապ ստեղծելն է: Մի քանի հաճախորդներ միանում են OpenSSH-ի միջոցով և շփվում, օրինակ՝ օգտագործելով պատի հրամանը: Էժան և ուրախ:
  • VPN սերվերի բարձրացում և մի քանի հաճախորդների միացում կենտրոնական սերվերի միջոցով: Որպես այլընտրանք, փնտրեք տեղական ցանցերի համար ցանկացած զրույցի ծրագիր և շարունակեք:
  • Պարզ FreeBSD NetCat-ը հանկարծ ներկառուցված գործառույթներ ունի պարզունակ անանուն զրույցի համար: Աջակցում է կոդավորմանը՝ օգտագործելով վկայագրեր և շատ ավելին:

Պետք չէ նշել, որ նույն կերպ, բացի պարզ տեքստային հաղորդագրություններից, կարող եք փոխանցել ցանկացած ֆայլ։ Այս մեթոդներից որևէ մեկը կարող է իրականացվել 5-10 րոպեում և տեխնիկապես դժվար չէ: Հաղորդագրությունները նման կլինեն հասարակ գաղտնագրված տրաֆիկի, որը ինտերնետում տրաֆիկի մեծ մասն է:

Այս մոտեցումը կոչվում է ստեգանոգրաֆիա՝ թաքցնել հաղորդագրությունները այնպիսի վայրերում, որտեղ ոչ ոքի մտքով անգամ չի անցնի դրանք փնտրել: Սա ինքնին չի երաշխավորում նամակագրության անվտանգությունը, սակայն զրոյի է հասցնում դրա հայտնաբերման հավանականությունը: Բացի այդ, եթե ձեր սերվերը նույնպես գտնվում է այլ երկրում, տվյալների որոնման գործընթացը կարող է անհնար լինել այլ պատճառներով: Եվ նույնիսկ եթե ինչ-որ մեկը հասնի դրան, ապա ձեր նամակագրությունը մինչև այդ պահը, ամենայն հավանականությամբ, չի վտանգի ենթարկվի, քանի որ, ի տարբերություն հանրային ծառայությունների, այն չի պահվում տեղում որևէ տեղ (սա, իհարկե, կախված է ձեր ընտրած մեթոդից: հաղորդակցություն):

Այնուամենայնիվ, նրանք կարող են առարկել ինձ, որ ես սխալ տեղում եմ փնտրում, աշխարհի հետախուզական գործակալությունները վաղուց մտածել են ամեն ինչի մասին, և բոլոր գաղտնագրման արձանագրությունները վաղուց ունեն ներքին օգտագործման անցքեր: Միանգամայն ողջամիտ հայտարարություն՝ հաշվի առնելով խնդրի պատմությունը։ Ի՞նչ անել այս դեպքում:

Բոլոր գաղտնագրման համակարգերը, որոնք ընկած են ժամանակակից կրիպտոգրաֆիայի հիմքում, ունեն որոշակի հատկություն՝ կրիպտոգրաֆիկ ուժ: Ենթադրվում է, որ ցանկացած ծածկագիր կարող է կոտրվել՝ դա միայն ժամանակի և ռեսուրսների հարց է։ Իդեալում, անհրաժեշտ է ապահովել, որ այս գործընթացը պարզապես ձեռնտու չէ հարձակվողի համար, անկախ նրանից, թե որքան կարևոր են տվյալները։ Կամ այնքան ժամանակ է պահանջվել, որ կոտրելու պահին տվյալներն այլևս կարևոր չեն լինի։

Այս հայտարարությունը լիովին չի համապատասխանում իրականությանը: Ճիշտ է, երբ խոսում ենք այսօր օգտագործվող ամենատարածված կոդավորման արձանագրությունների մասին: Այնուամենայնիվ, գաղտնագրերի բոլոր բազմազանության մեջ կա մեկը, որը բացարձակապես դիմացկուն է ճեղքման և միևնույն ժամանակ շատ հեշտ հասկանալի: Տեսականորեն անհնար է կոտրել, եթե բոլոր պայմանները պահպանվեն:

Vernam Cipher-ի գաղափարը շատ պարզ է. նախապես ստեղծվում են պատահական ստեղների հաջորդականություններ, որոնցով հաղորդագրությունները կգաղտնագրվեն: Ավելին, յուրաքանչյուր բանալի օգտագործվում է միայն մեկ անգամ մեկ հաղորդագրություն գաղտնագրելու և վերծանելու համար: Ամենապարզ դեպքում մենք ստեղծում ենք պատահական բայթերի երկար շարան և XOR գործողության միջոցով փոխակերպում ենք հաղորդագրության յուրաքանչյուր բայթ՝ համապատասխան բայթով բանալիով և ուղարկում այն ​​հետագա չգաղտնագրված ալիքով: Հեշտ է տեսնել, որ ծածկագիրը սիմետրիկ է, իսկ գաղտնագրման և վերծանման բանալին նույնն է:

Այս մեթոդն ունի թերություններ և հազվադեպ է օգտագործվում, բայց ձեռք բերված առավելությունն այն է, որ եթե երկու կողմերը նախապես համաձայնության են եկել բանալիի շուրջ, և այդ բանալին չի վտանգի ենթարկվել, ապա կարող եք վստահ լինել, որ տվյալները չեն կարդացվի:

Ինչպես է դա աշխատում? Բանալին ստեղծվում է նախօրոք և փոխանցվում բոլոր մասնակիցների միջև այլընտրանքային ալիքով: Այն կարող է փոխանցվել չեզոք տարածքում անձնական հանդիպման ժամանակ, հնարավորության դեպքում, հնարավոր ստուգումը իսպառ վերացնելու համար, կամ պարզապես ուղարկել փոստով USB ֆլեշ կրիչով: Մենք դեռ ապրում ենք մի աշխարհում, որտեղ չկա տեխնիկական հնարավորություն՝ ստուգելու բոլոր լրատվամիջոցները, որոնք հատում են սահմանները, բոլոր կոշտ սկավառակներն ու հեռախոսները:
Այն բանից հետո, երբ նամակագրության բոլոր մասնակիցները ստանան բանալին, բավական երկար ժամանակ կարող է անցնել մինչև իրական հաղորդակցման նիստը, որն էլ ավելի է դժվարացնում այս համակարգին դիմակայելը:

Բանալին մեկ բայթն օգտագործվում է միայն մեկ անգամ՝ գաղտնի հաղորդագրության մեկ նիշը գաղտնագրելու և այլ մասնակիցների կողմից այն վերծանելու համար: Օգտագործված բանալիները կարող են ավտոմատ կերպով ոչնչացվել նամակագրության բոլոր մասնակիցների կողմից տվյալների փոխանցումից հետո: Գաղտնի բանալիները մեկ անգամ փոխանակելով՝ կարող եք հաղորդագրություններ փոխանցել դրանց երկարությանը հավասար ընդհանուր ծավալով: Այս փաստը սովորաբար նշվում է որպես այս ծածկագրի թերություն, շատ ավելի հաճելի է, երբ բանալին ունի սահմանափակ երկարություն և կախված չէ հաղորդագրության չափից: Սակայն այս մարդիկ մոռանում են առաջընթացի մասին, և թեև սա խնդիր էր Սառը պատերազմի ժամանակ, այսօր դա նման խնդիր չէ։ Եթե ​​ենթադրենք, որ ժամանակակից մեդիայի հնարավորությունները գործնականում անսահման են, իսկ ամենահամեստ դեպքում խոսքը գիգաբայթերի մասին է, ապա ապահով կապի ալիքը կարող է անվերջ գործել։

Պատմականորեն, Vernam Cipher-ը կամ մեկանգամյա պահոցների կոդավորումը լայնորեն օգտագործվում էր Սառը պատերազմի ժամանակ՝ գաղտնի հաղորդագրություններ փոխանցելու համար: Թեև կան դեպքեր, երբ անզգուշության պատճառով տարբեր հաղորդագրություններ գաղտնագրվել են նույն բանալիներով, այսինքն՝ գաղտնագրման ընթացակարգը խախտվել է, և դա թույլ է տվել դրանք վերծանել։

Դժվա՞ր է այս մեթոդի կիրառումը գործնականում: Դա բավականին աննշան է, և ժամանակակից համակարգիչների օգնությամբ այս գործընթացի ավտոմատացումը սկսնակ սիրողականի հնարավորությունների շրջանակում է:

Այսպիսով, միգուցե արգելափակման նպատակը Telegram-ի կոնկրետ մեսենջերին վնաս պատճառե՞լն է: Եթե ​​այդպես է, ապա նորից փոխանցեք այն: Telegram-ի հաճախորդը առանց տուփի աջակցում է պրոքսի սերվերներին և SOCKS5 արձանագրությանը, որն օգտատիրոջը հնարավորություն է տալիս աշխատելու արտաքին սերվերների միջոցով՝ ապաշրջափակված IP հասցեներով։ Կարճ նստաշրջանի համար հանրային SOCKS5 սերվեր գտնելը դժվար չէ, բայց ինքներդ ձեր VPS-ում նման սերվեր տեղադրելն ավելի հեշտ է:

Թեև դեռևս հարված կլինի մեսենջերների էկոհամակարգին, քանի որ օգտատերերի մեծամասնության համար այս սահմանափակումները դեռ անհաղթահարելի արգելք կստեղծեն, և բնակչության շրջանում դրա ժողովրդականությունը կտուժի:

Այսպիսով, եկեք ամփոփենք. Telegram-ի շուրջ բոլոր աղմուկը հիպ է և ոչ ավելին: Հասարակական անվտանգության նկատառումներով այն արգելափակելը տեխնիկապես անգրագետ է և անիմաստ։ Ցանկացած կառույց, որը կենսականորեն հետաքրքրված է անվտանգ նամակագրությամբ, կարող է կազմակերպել իր սեփական ալիքը՝ օգտագործելով մի քանի լրացուցիչ տեխնիկա, և, ամենահետաքրքիրն այն է, որ դա արվում է չափազանց պարզ, քանի դեռ կա առնվազն որոշակի մուտք դեպի ցանց:

Տեղեկատվական անվտանգության ճակատն այսօր ընդգրկում է ոչ թե մեսենջերները, այլ ցանցի սովորական օգտատերերը, նույնիսկ եթե նրանք դա չեն գիտակցում: Ժամանակակից ինտերնետն իրականություն է, որը պետք է հաշվի առնել, և որում դադարում են գործել մինչև վերջերս անսասան թվացող օրենքները։ Telegram-ի արգելափակումը տեղեկատվական շուկայի համար պատերազմների ևս մեկ օրինակ է։ Ոչ առաջինը և, իհարկե, ոչ վերջինը:

Ընդամենը մի քանի տասնամյակ առաջ, նախքան ինտերնետի զանգվածային զարգացումը, բոլոր տեսակի գործակալական ցանցերի առջև ծառացած հիմնական խնդիրը և՛ միմյանց միջև անվտանգ հաղորդակցման ալիքի ստեղծումն էր, և՛ կենտրոնի հետ աշխատանքը համակարգելը: Երկրորդ համաշխարհային պատերազմի ընթացքում մասնավոր ռադիոկայանների նկատմամբ խիստ հսկողություն բոլոր մասնակից երկրներում (գրանցումը դեռևս պահանջվում է), Սառը պատերազմի համարակալված ռադիոկայանները (որոշները դեռ գործում են այսօր), մինի ֆիլմեր կոշիկի տակով. քաղաքակրթության զարգացման նոր փուլում պարզապես ծիծաղելի է թվում: Ինչպես նաև գիտակցության իներցիան՝ ստիպելով պետական ​​մեքենային կոշտ արգելափակել իր վերահսկողության տակ չգտնվող ցանկացած երեւույթ։ Ահա թե ինչու IP հասցեների արգելափակումը չպետք է ընդունելի լուծում համարվի, և միայն ցույց է տալիս նման որոշումներ կայացնող մարդկանց կոմպետենտության բացակայությունը։

Մեր ժամանակի հիմնական խնդիրը ոչ թե երրորդ անձանց կողմից անձնական նամակագրության տվյալների պահպանումն ու վերլուծությունն է (սա բավականին օբյեկտիվ իրականություն է, որում մենք այսօր ապրում ենք), այլ այն, որ մարդիկ իրենք են պատրաստ տրամադրել այդ տվյալները։ Ամեն անգամ, երբ դուք մուտք եք գործում ինտերնետ ձեր սիրած բրաուզերից, տասնյակ սցենարներ նայում են ձեզ՝ արձանագրելով, թե ինչպես և որտեղ եք սեղմել և որ էջն եք մտել: Սմարթֆոնի համար մեկ այլ հավելված տեղադրելիս մարդկանց մեծամասնությունը ծրագրին արտոնություններ տրամադրելու հարցման պատուհանը դիտում է որպես զայրացնող արգելք՝ նախքան այն օգտագործելը: Առանց նկատելու այն փաստը, որ անվնաս ծրագիր է մտնում ձեր հասցեագրքում և ցանկանում է կարդալ ձեր բոլոր հաղորդագրությունները: Անվտանգությունը և գաղտնիությունը հեշտությամբ փոխանակվում են օգտագործման համար: Եվ մարդն ինքն էլ հաճախ ամբողջությամբ կամովին բաժանվում է իր անձնական տվյալներից, հետևաբար՝ իր ազատությունից՝ այդպիսով լցնելով աշխարհի մասնավոր և պետական ​​կազմակերպությունների տվյալների շտեմարաններն իր կյանքի մասին ամենաարժեքավոր տեղեկություններով: Եվ նրանք, անկասկած, կօգտագործեն այս տեղեկությունը իրենց նպատակների համար։ Եվ նաև, շահույթի մրցավազքում, նրանք այն վերավաճառելու են բոլորին՝ անտեսելով բարոյական և էթիկական որևէ չափանիշ։

Հուսով եմ, որ այս հոդվածում ներկայացված տեղեկատվությունը ձեզ թույլ կտա թարմ հայացք նետել տեղեկատվական անվտանգության խնդրին և, հնարավոր է, փոխել ձեր որոշ սովորություններ՝ առցանց աշխատելիս։ Իսկ փորձագետները խստորեն կժպտան ու կշարժվեն առաջ։

Խաղաղություն ձեր տանը:

Source: www.habr.com

Добавить комментарий