Šis straipsnis buvo parašytas prieš keletą metų, kai bendruomenėje buvo aktyviai diskutuojama apie Telegram Messenger blokavimą ir jame yra mano mintys šiuo klausimu. Ir nors šiandien ši tema jau beveik užmiršta, tikiuosi, kad galbūt ji vis tiek kam nors bus įdomi
Šis tekstas atsirado dėl mano minčių skaitmeninio saugumo tema, ir aš ilgai abejojau, ar verta jį publikuoti. Laimei, yra daugybė specialistų, kurie teisingai supranta visas problemas, ir aš negaliu jiems pasakyti nieko naujo. Tačiau be jų yra ir daugybė publicistų bei kitų tinklaraštininkų, kurie ne tik patys klysta, bet ir savo straipsniais sukelia daugybę mitų.
Ne paslaptis, kad pastaruoju metu skaitmeniniame karo teatre siautė rimtos aistros. Žinoma, turime omenyje vieną iš labiausiai aptarinėjamų temų Rusijos modernybėje, būtent „Telegram Messenger“ blokavimą.
Blokavimo priešininkai tai pristato kaip žmogaus ir valstybės konfrontaciją, žodžio laisvę ir visišką individo kontrolę. Priešingai, rėmėjai vadovaujasi visuomenės saugumu ir kova su nusikalstamomis ir teroristinėmis struktūromis.
Pirmiausia įsivaizduokime, kaip tiksliai veikia „Telegram Messenger“. Galime eiti į jų pagrindinį puslapį ir perskaityti, kaip jie save pozicionuoja. Vienas iš pagrindinių šio konkretaus sprendimo privalumų bus bekompromisis galutinio vartotojo saugumo akcentavimas. Bet ką tiksliai tai reiškia?
Kaip ir daugelyje kitų viešųjų paslaugų, jūsų duomenys yra perduodami šifruota forma, tačiau tik į centrinius serverius, kur jie yra visiškai atvira forma ir bet kuris administratorius, jei labai nori, gali lengvai matyti visą jūsų susirašinėjimą. Ar turite kokių nors abejonių? Tada pagalvokite, kaip įgyvendinama sinchronizavimo tarp įrenginių funkcija. Jei duomenys slapti, kaip jie patenka į trečiąjį įrenginį? Galų gale, jūs nepateikiate jokių specialių kliento raktų iššifravimui.
Pavyzdžiui, kaip daroma naudojant „ProtonMail“ pašto tarnybą, norėdami dirbti su paslauga, turite pateikti raktą, kuris saugomas jūsų vietiniame kompiuteryje ir kurį naršyklė naudoja pašto dėžutėje esantiems laiškams iššifruoti.
Bet tai nėra taip paprasta. Be įprastų pokalbių, yra ir slaptų. Čia susirašinėjimas tikrai vyksta tik tarp dviejų įrenginių ir apie jokį sinchronizavimą nėra kalbos. Ši funkcija pasiekiama tik mobiliuosiuose įrenginiuose, kai pokalbių ekrano kopijos užrakinamos programos lygiu, o pokalbis sunaikinamas po nustatyto laiko. Kalbant apie techninę pusę, duomenys vis tiek teka per centrinius serverius, tačiau ten nėra saugomi. Be to, pats taupymas yra beprasmis, nes tik klientai turi iššifravimo raktus, o šifruotas srautas nėra ypač vertingas.
Ši schema veiks tol, kol klientai ir serveris ją įgyvendins sąžiningai ir tol, kol įrenginyje nebus įvairių tipų programų, kurios be jūsų žinios siunčia jūsų ekrano momentines nuotraukas trečiosioms šalims. Tad gal tokio teisėsaugos institucijų nemeilės Telegram priežasties reikėtų ieškoti slaptuose pokalbiuose? Mano nuomone, tai yra daugumos žmonių nesusipratimo priežastis. Ir mes negalėsime iki galo suprasti šio nesusipratimo priežasties, kol nesuprasime, kas apskritai yra šifravimas ir nuo ko jis skirtas apsaugoti jūsų duomenis.
Įsivaizduokime, kad užpuolikas nori išsiųsti slaptą žinutę savo draugams. Taip svarbu, kad verta ir vargti, ir žaisti saugiai. Ar „Telegram“ yra toks geras pasirinkimas informacijos saugos specialisto požiūriu? Ne, nėra. Aš tvirtinu, kad tam naudoti bet kurį iš populiarių momentinių pasiuntinių yra pats blogiausias pasirinkimas.
Pagrindinė problema yra pranešimų sistemos naudojimas, kai pirmiausia bus ieškoma jūsų korespondencijos. Ir net jei jis yra pakankamai gerai apsaugotas, pats jo buvimo faktas gali jus sukompromituoti. Primename, kad ryšys tarp klientų vis tiek vyksta per centrinius serverius ir bent jau žinutės siuntimo tarp dviejų vartotojų faktas dar gali būti įrodytas. Todėl nėra prasmės naudotis el. paštu, socialiniais tinklais ir kitomis viešosiomis paslaugomis.
Kaip tuomet galima organizuoti susirašinėjimą, atitinkantį visus saugumo reikalavimus? Atlikdami peržiūrą sąmoningai atsisakysime visų neteisėtų ar prieštaringų metodų, kad parodytume, jog problemą galima išspręsti išimtinai įstatymų ribose. Jums nereikės jokių šnipinėjimo programų, įsilaužėlių ar sunkiai randamos programinės įrangos.
Beveik visi įrankiai yra įtraukti į standartinių paslaugų rinkinį, pateikiamą su bet kuria GNU/Linux operacine sistema, o jų uždraudimas reikštų uždrausti kompiuterius kaip tokius.
Pasaulinis žiniatinklis primena didžiulį serverių tinklą, kuriame paprastai veikia GNU/Linux operacinė sistema ir paketų nukreipimo tarp šių serverių taisyklės. Dauguma šių serverių neprieinami tiesioginiam ryšiui, tačiau be jų yra dar milijonai serverių su gana prieinamais adresais, aptarnaujančių mus visus, praleidžiančių didžiulį srautą. Ir niekas niekada neieškos jūsų susirašinėjimo tarp viso šito chaoso, ypač jei jis niekuo neišsiskiria bendrame fone.
Norintys organizuoti slaptą komunikacijos kanalą tiesiog nusipirks VPS (virtualią mašiną debesyje) iš vieno iš šimtų rinkoje esančių žaidėjų. Emisijos kaina, kaip nesunku suprasti, yra keli doleriai per mėnesį. Žinoma, to negalima padaryti anonimiškai ir bet kokiu atveju ši virtuali mašina bus susieta su jūsų mokėjimo priemone, taigi ir su jūsų tapatybe. Tačiau daugumai prieglobos paslaugų teikėjų nerūpi, ką naudojate jų aparatinėje įrangoje, kol neviršijate jų pagrindinių apribojimų, pvz., siunčiamo srauto ar jungčių su 23 prievadu.
Nors tokia galimybė egzistuoja, jam tiesiog neapsimoka išleisti kelis iš jūsų uždirbtus dolerius ir stebėti jus.
Ir net jei jis nori ar yra priverstas tai padaryti, jis pirmiausia turi suprasti, kokią programinę įrangą konkrečiai naudojate, ir, remdamasis šiomis žiniomis, sukurti sekimo infrastruktūrą. Tai padaryti rankiniu būdu nebus sunku, tačiau automatizuoti šį procesą bus itin sudėtinga užduotis. Dėl tos pačios priežasties išsaugoti visą srautą, einantį per jūsų serverį, nebus ekonomiškai naudinga, nebent pirmiausia atkreipsite atitinkamų struktūrų, norinčių tai padaryti, dėmesį.
Kitas žingsnis – sukurti saugų kanalą vienu iš daugelio esamų metodų.
- Lengviausias būdas yra sukurti saugų SSH ryšį su serveriu. Keletas klientų jungiasi per OpenSSH ir bendrauja, pavyzdžiui, naudodami sienelės komandą. Pigu ir linksma.
- VPN serverio pakėlimas ir kelių klientų sujungimas per centrinį serverį. Arba ieškokite bet kokios vietiniams tinklams skirtos pokalbių programos ir pirmyn.
- Paprastas FreeBSD NetCat staiga turi integruotą primityvaus anoniminio pokalbio funkciją. Palaiko šifravimą naudojant sertifikatus ir daug daugiau.
Nereikia minėti, kad tokiu pat būdu, be paprastų tekstinių žinučių, galite perkelti bet kokius failus. Bet kuris iš šių metodų gali būti įgyvendintas per 5-10 minučių ir nėra techniškai sudėtingas. Pranešimai atrodys kaip paprastas užšifruotas srautas, kuris sudaro didžiąją dalį srauto internete.
Toks požiūris vadinamas steganografija – pranešimų slėpimas tokiose vietose, kur niekam net nekiltų mintis jų ieškoti. Tai savaime negarantuoja korespondencijos saugumo, tačiau sumažina jos aptikimo tikimybę iki nulio. Be to, jei jūsų serveris taip pat yra kitoje šalyje, duomenų gavimo procesas gali būti neįmanomas dėl kitų priežasčių. Ir net jei kas nors gaus prieigą prie jo, greičiausiai iki šiol jūsų susirašinėjimas nebus pažeistas, nes, skirtingai nei viešosios paslaugos, jis niekur nėra išsaugomas vietoje (žinoma, tai priklauso nuo jūsų pasirinkimo). . bendravimo būdas).
Tačiau jie gali man prieštarauti, kad aš ieškau ne toje vietoje, pasaulio žvalgybos agentūros jau seniai viską apgalvojo, o visi šifravimo protokolai jau seniai turėjo skyles vidiniam naudojimui. Visiškai pagrįstas teiginys, atsižvelgiant į problemos istoriją. Ką tokiu atveju daryti?
Visos šifravimo sistemos, kuriomis grindžiama šiuolaikinė kriptografija, turi tam tikrą savybę – kriptografinį stiprumą. Daroma prielaida, kad bet kurį šifrą galima nulaužti – tai tik laiko ir išteklių klausimas. Idealiu atveju būtina užtikrinti, kad šis procesas būtų tiesiog nenaudingas užpuolikui, nepaisant to, kokie svarbūs yra duomenys. Arba tai užtruko tiek ilgai, kad įsilaužimo metu duomenys nebebus svarbūs.
Šis teiginys nėra visiškai teisingas. Tai teisinga, kai kalbame apie dažniausiai naudojamus šifravimo protokolus. Tačiau tarp visų šifrų įvairovės yra vienas, kuris yra absoliučiai atsparus įtrūkimams ir tuo pačiu labai lengvai suprantamas. Teoriškai neįmanoma nulaužti, jei tenkinamos visos sąlygos.
Vernam šifro idėja yra labai paprasta – iš anksto sukuriamos atsitiktinių raktų sekos, kuriomis pranešimai bus šifruojami. Be to, kiekvienas raktas naudojamas tik vieną kartą vienam pranešimui užšifruoti ir iššifruoti. Paprasčiausiu atveju sukuriame ilgą atsitiktinių baitų eilutę ir kiekvieną pranešimo baitą transformuojame per XOR operaciją su atitinkamu baitu rakte ir siunčiame toliau nešifruotu kanalu. Nesunku pastebėti, kad šifras yra simetriškas, o šifravimo ir iššifravimo raktas yra tas pats.
Šis metodas turi trūkumų ir yra retai naudojamas, tačiau pasiektas pranašumas yra tas, kad jei abi šalys iš anksto susitaria dėl rakto ir tas raktas nėra pažeistas, galite būti tikri, kad duomenys nebus nuskaityti.
Kaip tai veikia? Raktas sugeneruojamas iš anksto ir perduodamas visiems dalyviams alternatyviu kanalu. Jis gali būti perduotas asmeninio susitikimo metu neutralioje teritorijoje, jei įmanoma, siekiant visiškai pašalinti galimą patikrinimą, arba tiesiog išsiųsti paštu su USB atmintine. Vis dar gyvename pasaulyje, kuriame nėra techninių galimybių apžiūrėti visas sienas kertančių laikmenų, visus kietuosius diskus ir telefonus.
Visiems susirašinėjimo dalyviams gavus raktą, gali praeiti nemažai laiko, kol įvyks tikrasis bendravimo seansas, o tai dar labiau apsunkina šios sistemos pasipriešinimą.
Vienas rakto baitas naudojamas tik vieną kartą vienam slaptojo pranešimo simboliui užšifruoti ir jį iššifruoti kitų dalyvių. Panaudotus raktus po duomenų perdavimo visi susirašinėjimo dalyviai gali automatiškai sunaikinti. Vieną kartą apsikeitę slaptaisiais raktais, galite perduoti pranešimus, kurių bendras tūris yra lygus jų ilgiui. Šis faktas dažniausiai nurodomas kaip šio šifro trūkumas, daug maloniau, kai raktas yra riboto ilgio ir nepriklauso nuo pranešimo dydžio. Tačiau šie žmonės pamiršta apie pažangą, ir nors tai buvo problema Šaltojo karo metais, šiandien tai nėra tokia problema. Jei darysime prielaidą, kad šiuolaikinės medijos galimybės yra praktiškai neribotos ir kukliausiu atveju kalbame apie gigabaitus, tai saugus ryšio kanalas gali veikti neribotą laiką.
Istoriškai Vernamo šifras arba vienkartinis šifravimas buvo plačiai naudojamas šaltojo karo metu slaptiems pranešimams perduoti. Nors pasitaiko atvejų, kai dėl neatsargumo skirtingi pranešimai buvo užšifruoti tais pačiais raktais, tai yra, šifravimo procedūra buvo sulaužyta ir tai leido juos iššifruoti.
Ar sunku praktiškai taikyti šį metodą? Tai gana trivialus, o šio proceso automatizavimas šiuolaikinių kompiuterių pagalba yra pradedantysis mėgėjas.
Tai gal blokavimo tikslas yra pakenkti konkrečiam „Telegram“ pasiuntiniui? Jei taip, tada perduokite dar kartą. „Telegram“ klientas palaiko tarpinius serverius ir SOCKS5 protokolą, kuris suteikia vartotojui galimybę dirbti per išorinius serverius su atblokuotais IP adresais. Rasti viešą SOCKS5 serverį trumpam seansui nėra sunku, tačiau tokį serverį patiems susikurti savo VPS yra dar lengviau.
Nors smūgis pasiuntinių ekosistemai vis tiek bus, nes daugumai vartotojų šie apribojimai vis tiek sukurs neįveikiamą barjerą ir nukentės jos populiarumas tarp gyventojų.
Taigi, apibendrinkime. Visas „Telegram“ ažiotažas yra ažiotažas ir nieko daugiau. Jį blokuoti visuomenės saugumo sumetimais yra techniškai neraštinga ir beprasmiška. Bet kurios struktūros, gyvybiškai suinteresuotos saugiu susirašinėjimu, gali organizuoti savo kanalą, naudodamos keletą vienas kitą papildančių technikų, ir, kas įdomiausia, tai daroma labai paprastai, jei tik yra bent šiek tiek prieiga prie tinklo.
Informacijos saugumo frontas šiandien apima ne pasiuntinius, o paprastus tinklo vartotojus, net jei jie to nesuvokia. Šiuolaikinis internetas yra realybė, į kurią reikia atsižvelgti ir kurioje nustoja galioti įstatymai, kurie dar neseniai atrodė nepajudinami. „Telegramos blokavimas“ yra dar vienas karų dėl informacinės rinkos pavyzdys. Ne pirmas ir tikrai ne paskutinis.
Vos prieš kelis dešimtmečius, prieš masinę interneto plėtrą, pagrindinė visų rūšių agentų tinklų problema buvo saugaus ryšio kanalo tarp jų sukūrimas ir darbo derinimas su centru. Griežta privačių radijo stočių kontrolė Antrojo pasaulinio karo metais visose dalyvaujančiose šalyse (registracija reikalinga ir šiandien), sunumeruotos Šaltojo karo radijo stotys (kai kurios tebegalioja ir šiandien), mini filmai bato paduose – visa tai atrodo tiesiog juokingai naujame civilizacijos raidos etape. Taip pat ir sąmonės inercija, verčianti valstybės mašiną griežtai blokuoti bet kokį reiškinį, kurio ji nevaldo. Būtent todėl IP adresų blokavimas neturėtų būti laikomas priimtinu sprendimu, o tik parodo tokius sprendimus priimančių žmonių kompetencijos stoką.
Pagrindinė mūsų laikų problema yra ne trečiųjų šalių vykdomas asmens susirašinėjimo duomenų saugojimas ar analizė (tai gana objektyvi realybė, kurioje šiandien gyvename), o tai, kad patys žmonės yra pasirengę šiuos duomenis pateikti. Kiekvieną kartą, kai prisijungiate prie interneto iš savo mėgstamos naršyklės, į jus žiūri keliolika scenarijų, įrašančių, kaip ir kur spustelėjote ir į kokį puslapį nuėjote. Diegdami kitą programą išmaniajam telefonui, dauguma žmonių prieš pradėdami ja naudotis užklausos dėl privilegijų suteikimo programai žiūri kaip į erzinančią kliūtį. Nepastebėdamas fakto, kad į jūsų adresų knygą patenka nekenksminga programa ir nori perskaityti visus jūsų pranešimus. Saugumas ir privatumas yra lengvai parduodami, kad būtų patogu naudotis. Ir pats žmogus dažnai visiškai savanoriškai išsiskiria savo asmenine informacija, taigi ir savo laisve, taip užpildydamas pasaulio privačių ir valstybinių organizacijų duomenų bazes vertingiausia informacija apie savo gyvenimą. Ir jie neabejotinai naudos šią informaciją savo tikslams. Be to, lenktynėse dėl pelno jie perparduos jį visiems, nepaisydami jokių moralinių ir etinių standartų.
Tikiuosi, kad šiame straipsnyje pateikta informacija leis naujai pažvelgti į informacijos saugumo problemą ir galbūt pakeisti kai kuriuos įpročius dirbant internete. O ekspertai griežtai nusišypsos ir judės toliau.
Ramybės jūsų namams.
Šaltinis: www.habr.com