Artikel ini ditulis beberapa tahun lalu, apabila menyekat utusan Telegram dibincangkan secara aktif dalam komuniti dan mengandungi pemikiran saya mengenai perkara ini. Dan walaupun hari ini topik ini hampir dilupakan, saya berharap mungkin ia masih menarik minat seseorang
Teks ini muncul sebagai hasil pemikiran saya tentang topik keselamatan digital, dan saya meragui untuk masa yang lama sama ada ia berbaloi untuk diterbitkan. Nasib baik, terdapat sebilangan besar pakar yang memahami semua masalah dengan betul, dan saya tidak dapat memberitahu mereka sesuatu yang baharu. Walau bagaimanapun, selain mereka, terdapat juga sejumlah besar publisiti dan blogger lain yang bukan sahaja membuat kesilapan sendiri, tetapi juga menimbulkan sejumlah besar mitos dengan artikel mereka.
Bukan rahsia lagi bahawa beberapa keghairahan serius telah berkecamuk dalam teater perang digital akhir-akhir ini. Kami, tentu saja, bermaksud salah satu topik yang paling dibincangkan dalam kemodenan Rusia, iaitu menyekat utusan Telegram.
Penentang menyekat membentangkan ini sebagai konfrontasi antara manusia dan negara, kebebasan bersuara dan kawalan penuh ke atas individu. Penyokong, sebaliknya, dipandu oleh pertimbangan keselamatan awam dan memerangi struktur jenayah dan pengganas.
Mula-mula, mari kita bayangkan bagaimana sebenarnya messenger Telegram berfungsi. Kita boleh pergi ke halaman utama mereka dan membaca tentang cara mereka meletakkan diri mereka. Salah satu kelebihan utama menggunakan penyelesaian khusus ini ialah penekanan tanpa kompromi terhadap keselamatan pengguna akhir. Tetapi apakah sebenarnya yang dimaksudkan dengan ini?
Seperti dalam banyak perkhidmatan awam lain, data anda dihantar dalam bentuk yang disulitkan, tetapi hanya kepada pelayan pusat, di mana ia berada dalam bentuk terbuka sepenuhnya dan mana-mana pentadbir, jika dia benar-benar mahu, boleh melihat semua surat-menyurat anda dengan mudah. Adakah anda mempunyai sebarang keraguan? Kemudian fikirkan tentang cara fungsi penyegerakan antara peranti dilaksanakan. Jika data itu rahsia, bagaimana ia boleh sampai ke peranti ketiga? Lagipun, anda tidak memberikan sebarang kunci pelanggan khas untuk penyahsulitan.
Contohnya, seperti yang dilakukan dalam perkhidmatan mel ProtonMail, di mana untuk bekerja dengan perkhidmatan tersebut, anda perlu menyediakan kunci yang disimpan pada mesin tempatan anda dan yang digunakan oleh penyemak imbas untuk menyahsulit mesej dalam peti mel anda.
Tetapi ia tidak semudah itu. Selain sembang biasa, ada juga yang rahsia. Di sini surat-menyurat benar-benar dijalankan hanya antara dua peranti dan tidak ada perbincangan tentang sebarang penyegerakan. Ciri ini hanya tersedia pada pelanggan mudah alih, dengan tangkapan skrin sembang dikunci pada peringkat apl dan sembang dimusnahkan selepas tempoh masa yang ditetapkan. Dari segi teknikal, data masih mengalir melalui pelayan pusat, tetapi tidak disimpan di sana. Selain itu, menyimpan itu sendiri tidak bermakna, kerana hanya pelanggan yang mempunyai kunci penyahsulitan, dan trafik yang disulitkan tidak mempunyai nilai tertentu.
Skim ini akan berfungsi selagi pelanggan dan pelayan melaksanakannya dengan jujur ββdan selagi tiada pelbagai jenis program pada peranti yang menghantar syot kilat skrin anda kepada pihak ketiga tanpa pengetahuan anda. Jadi mungkin alasan untuk tidak menyukai Telegram di pihak agensi penguatkuasaan undang-undang perlu dicari dalam sembang rahsia? Ini, pada pendapat saya, adalah punca salah faham majoriti orang. Dan kami tidak akan dapat memahami sepenuhnya sebab salah faham ini sehingga kami memahami apakah penyulitan secara umum dan daripada siapa ia bertujuan untuk melindungi data anda.
Bayangkan seorang penyerang ingin menghantar mesej rahsia kepada rakan-rakannya. Sangat penting sehingga ia berbaloi untuk mengganggu dan bermain dengan selamat. Adakah Telegram pilihan yang baik dari sudut pandangan pakar keselamatan maklumat? Tidak. Saya berpendapat bahawa menggunakan mana-mana pemesej segera yang popular untuk ini adalah pilihan terburuk yang boleh anda pilih.
Masalah utama ialah penggunaan sistem pemesejan, di mana surat-menyurat anda akan dicari terlebih dahulu. Dan walaupun ia dilindungi dengan cukup baik, hakikat kehadirannya boleh menjejaskan anda. Biar kami mengingatkan anda bahawa sambungan antara pelanggan masih berlaku melalui pelayan pusat dan, sekurang-kurangnya, fakta menghantar mesej antara dua pengguna masih boleh dibuktikan. Oleh itu, tidak masuk akal untuk menggunakan e-mel, rangkaian sosial dan sebarang perkhidmatan awam yang lain.
Bagaimanakah anda boleh mengatur surat-menyurat yang memenuhi semua keperluan keselamatan? Sebagai sebahagian daripada semakan kami, kami dengan sengaja akan membuang semua kaedah yang menyalahi undang-undang atau kontroversi untuk menunjukkan bahawa masalah itu boleh diselesaikan secara eksklusif dalam rangka kerja undang-undang. Anda tidak memerlukan sebarang perisian pengintip, penggodam atau perisian yang sukar ditemui.
Hampir semua alatan disertakan dalam set utiliti standard yang disertakan dengan mana-mana sistem pengendalian GNU/Linux, dan melarangnya bermakna mengharamkan komputer seperti itu.
World Wide Web menyerupai web pelayan yang besar, biasanya menjalankan sistem pengendalian GNU/Linux padanya dan peraturan untuk penghalaan paket antara pelayan ini. Kebanyakan pelayan ini tidak tersedia untuk sambungan terus, walau bagaimanapun, selain mereka, terdapat berjuta-juta lagi pelayan dengan alamat yang boleh diakses yang melayani kita semua, melalui sejumlah besar trafik. Dan tiada siapa yang akan mencari surat-menyurat anda di antara semua kekacauan ini, terutamanya jika ia tidak menonjol dalam apa-apa cara tertentu terhadap latar belakang umum.
Mereka yang ingin mengatur saluran komunikasi rahsia hanya akan membeli VPS (mesin maya dalam awan) daripada salah satu daripada ratusan pemain yang ada di pasaran. Harga isu itu, seperti yang tidak sukar untuk dilihat, adalah beberapa dolar sebulan. Sudah tentu, ini tidak boleh dilakukan secara tanpa nama, dan dalam apa jua keadaan, mesin maya ini akan terikat dengan cara pembayaran anda, dan oleh itu dengan identiti anda. Walau bagaimanapun, kebanyakan pengehos tidak peduli apa yang anda jalankan pada perkakasan mereka selagi anda tidak melebihi had asas mereka, seperti jumlah trafik yang dihantar atau sambungan ke port 23.
Walaupun kemungkinan ini wujud, adalah tidak menguntungkan baginya untuk membelanjakan beberapa dolar yang diperoleh daripada anda untuk turut memantau anda.
Dan walaupun dia mahu atau terpaksa melakukan ini, dia mesti terlebih dahulu memahami jenis perisian yang anda gunakan secara khusus dan, berdasarkan pengetahuan ini, cipta infrastruktur penjejakan. Ini tidak sukar untuk dilakukan secara manual, tetapi mengautomasikan proses ini akan menjadi tugas yang amat sukar. Atas sebab yang sama, menyimpan semua trafik yang melalui pelayan anda tidak akan menguntungkan dari segi ekonomi melainkan anda mula-mula mendapat perhatian struktur berkaitan yang ingin melakukan ini.
Langkah seterusnya ialah mencipta saluran selamat menggunakan salah satu daripada banyak kaedah sedia ada.
- Cara paling mudah ialah membuat sambungan SSH selamat ke pelayan. Beberapa pelanggan menyambung melalui OpenSSH dan berkomunikasi, sebagai contoh, menggunakan arahan dinding. Murah dan ceria.
- Meningkatkan pelayan VPN dan menyambungkan beberapa pelanggan melalui pelayan pusat. Sebagai alternatif, cari sebarang program sembang untuk rangkaian tempatan dan teruskan.
- Simple FreeBSD NetCat tiba-tiba mempunyai fungsi terbina dalam untuk sembang tanpa nama primitif. Menyokong penyulitan menggunakan sijil dan banyak lagi.
Tidak perlu menyebut bahawa dengan cara yang sama, sebagai tambahan kepada mesej teks mudah, anda boleh memindahkan sebarang fail. Mana-mana kaedah ini boleh dilaksanakan dalam 5-10 minit dan secara teknikalnya tidak sukar. Mesej akan kelihatan seperti trafik yang disulitkan mudah, yang merupakan sebahagian besar trafik di Internet.
Pendekatan ini dipanggil steganografi - menyembunyikan mesej di tempat yang tiada sesiapa pun akan terfikir untuk mencarinya. Ini dengan sendirinya tidak menjamin keselamatan surat-menyurat, tetapi ia mengurangkan kemungkinan pengesanannya kepada sifar. Di samping itu, jika pelayan anda juga terletak di negara lain, proses pengambilan data mungkin mustahil atas sebab lain. Dan walaupun seseorang mendapat akses kepadanya, maka surat-menyurat anda sehingga ke tahap ini kemungkinan besar tidak akan terjejas, kerana, tidak seperti perkhidmatan awam, ia tidak disimpan di mana-mana secara tempatan (ini, sudah tentu, bergantung pada pilihan yang telah anda buat) . kaedah komunikasi).
Walau bagaimanapun, mereka mungkin membantah saya bahawa saya mencari di tempat yang salah, agensi perisikan dunia telah lama memikirkan segala-galanya, dan semua protokol penyulitan telah lama mempunyai lubang untuk kegunaan dalaman. Kenyataan yang benar-benar munasabah, memandangkan sejarah isu itu. Apa yang perlu dilakukan dalam kes ini?
Semua sistem penyulitan yang mendasari kriptografi moden mempunyai sifat tertentu - kekuatan kriptografi. Diandaikan bahawa mana-mana sifir boleh dipecahkan - ia hanya masalah masa dan sumber. Sebaik-baiknya, adalah perlu untuk memastikan bahawa proses ini tidak menguntungkan penyerang, tidak kira betapa pentingnya data itu. Atau ia mengambil masa yang lama sehingga pada masa penggodaman data tidak lagi penting.
Kenyataan ini tidak sepenuhnya benar. Ia betul apabila bercakap tentang protokol penyulitan yang paling biasa digunakan hari ini. Walau bagaimanapun, di antara semua jenis sifir, terdapat satu yang benar-benar tahan retak dan pada masa yang sama sangat mudah difahami. Secara teorinya mustahil untuk menggodam jika semua syarat dipenuhi.
Idea di sebalik Vernam Cipher adalah sangat mudah - jujukan kekunci rawak dibuat lebih awal dengan mesej yang akan disulitkan. Selain itu, setiap kunci digunakan sekali sahaja untuk menyulitkan dan menyahsulit satu mesej. Dalam kes paling mudah, kami mencipta rentetan panjang bait rawak dan mengubah setiap bait mesej melalui operasi XOR dengan bait yang sepadan dalam kekunci dan menghantarnya lebih jauh melalui saluran yang tidak disulitkan. Adalah mudah untuk melihat bahawa sifir adalah simetri dan kunci untuk penyulitan dan penyahsulitan adalah sama.
Kaedah ini mempunyai kelemahan dan jarang digunakan, tetapi kelebihan yang dicapai ialah jika kedua-dua pihak bersetuju dengan kunci terlebih dahulu dan kunci itu tidak terjejas, maka anda boleh yakin bahawa data itu tidak akan dibaca.
Bagaimanakah ia berfungsi? Kunci dijana terlebih dahulu dan dihantar antara semua peserta melalui saluran alternatif. Ia boleh dipindahkan semasa mesyuarat peribadi di wilayah neutral, jika boleh, untuk menghapuskan sepenuhnya kemungkinan pemeriksaan, atau hanya dihantar melalui mel dengan pemacu kilat USB. Kami masih hidup dalam dunia yang tidak mempunyai keupayaan teknikal untuk memeriksa semua media yang merentasi sempadan, semua cakera keras dan telefon.
Selepas semua peserta dalam surat-menyurat telah menerima kunci, masa yang agak lama mungkin berlalu sebelum sesi komunikasi sebenar berlaku, yang menjadikannya lebih sukar untuk menentang sistem ini.
Satu bait dalam kunci digunakan sekali sahaja untuk menyulitkan satu aksara mesej rahsia dan menyahsulitnya oleh peserta lain. Kekunci yang digunakan boleh dimusnahkan secara automatik oleh semua peserta dalam surat-menyurat selepas pemindahan data. Setelah bertukar kunci rahsia sekali, anda boleh menghantar mesej dengan jumlah volum yang sama dengan panjangnya. Fakta ini biasanya disebut sebagai kelemahan sifir ini; ia adalah lebih menyenangkan apabila kunci mempunyai panjang terhad dan tidak bergantung pada saiz mesej. Walau bagaimanapun, orang-orang ini melupakan kemajuan, dan walaupun ini adalah masalah semasa Perang Dingin, ia tidak menjadi masalah hari ini. Jika kita menganggap bahawa keupayaan media moden hampir tidak terhad dan dalam kes yang paling sederhana kita bercakap tentang gigabait, maka saluran komunikasi yang selamat boleh beroperasi selama-lamanya.
Dari segi sejarah, Vernam Cipher, atau penyulitan pad sekali, digunakan secara meluas semasa Perang Dingin untuk menghantar mesej rahsia. Walaupun terdapat kes di mana, disebabkan kecuaian, mesej yang berbeza disulitkan dengan kunci yang sama, iaitu, prosedur penyulitan telah dipecahkan dan ini membenarkannya untuk dinyahsulit.
Adakah sukar untuk menggunakan kaedah ini dalam amalan? Ia agak remeh, dan mengautomasikan proses ini dengan bantuan komputer moden adalah dalam kemampuan seorang amatur pemula.
Jadi mungkin tujuan menyekat adalah untuk menyebabkan kerosakan pada messenger Telegram tertentu? Jika ya, kemudian luluskannya semula. Pelanggan Telegram di luar kotak menyokong pelayan proksi dan protokol SOCKS5, yang memberi pengguna peluang untuk bekerja melalui pelayan luaran dengan alamat IP yang tidak disekat. Mencari pelayan SOCKS5 awam untuk sesi pendek tidak sukar, tetapi menyediakan pelayan sedemikian sendiri pada VPS anda adalah lebih mudah.
Walaupun masih akan ada tamparan kepada ekosistem utusan, kerana bagi kebanyakan pengguna sekatan ini masih akan mewujudkan halangan yang tidak dapat diatasi dan popularitinya di kalangan penduduk akan terjejas.
Jadi, mari kita ringkaskan. Semua gembar-gembur di sekitar Telegram adalah gembar-gembur dan tidak lebih. Menyekatnya atas sebab keselamatan awam secara teknikalnya adalah buta huruf dan sia-sia. Mana-mana struktur yang sangat berminat dalam surat-menyurat selamat boleh mengatur saluran mereka sendiri menggunakan beberapa teknik pelengkap, dan, apa yang paling menarik, ini dilakukan dengan sangat mudah, asalkan terdapat sekurang-kurangnya akses kepada rangkaian.
Bahagian keselamatan maklumat hari ini tidak meliputi utusan, sebaliknya pengguna rangkaian biasa, walaupun mereka tidak menyedarinya. Internet moden adalah realiti yang mesti diambil kira dan undang-undang yang sehingga baru-baru ini kelihatan tidak tergoyahkan tidak lagi digunakan. Menyekat Telegram adalah satu lagi contoh peperangan untuk pasaran maklumat. Bukan yang pertama dan pastinya bukan yang terakhir.
Hanya beberapa dekad yang lalu, sebelum pembangunan besar-besaran Internet, masalah utama yang dihadapi oleh semua jenis rangkaian ejen ialah mewujudkan saluran komunikasi yang selamat di antara mereka dan menyelaraskan kerja mereka dengan pusat. Kawalan ketat ke atas stesen radio swasta semasa Perang Dunia Kedua di semua negara yang mengambil bahagian (pendaftaran masih diperlukan hari ini), stesen radio bernombor Perang Dingin (ada yang masih berkuat kuasa hari ini), filem mini dalam tapak kasut - semua ini kelihatan tidak masuk akal pada peringkat baru pembangunan tamadun. Serta inersia kesedaran, memaksa mesin keadaan untuk menyekat secara tegar sebarang fenomena yang tidak berada di bawah kawalannya. Inilah sebabnya mengapa menyekat alamat IP tidak boleh dianggap sebagai penyelesaian yang boleh diterima, dan hanya menunjukkan kekurangan kecekapan orang yang membuat keputusan sedemikian.
Masalah utama zaman kita bukanlah penyimpanan atau analisis data surat-menyurat peribadi oleh pihak ketiga (ini adalah realiti yang agak objektif di mana kita hidup hari ini), tetapi hakikat bahawa orang sendiri bersedia untuk memberikan data ini. Setiap kali anda mengakses Internet dari penyemak imbas kegemaran anda, sedozen skrip merenung anda, merekodkan bagaimana dan di mana anda mengklik dan halaman yang anda pergi. Apabila memasang aplikasi lain untuk telefon pintar, kebanyakan orang melihat tetingkap permintaan untuk memberikan keistimewaan kepada program sebagai halangan yang menjengkelkan sebelum mula menggunakannya. Tanpa menyedari hakikat bahawa program tidak berbahaya masuk ke dalam buku alamat anda dan mahu membaca semua mesej anda. Keselamatan dan privasi mudah didagangkan untuk kemudahan penggunaan. Dan seseorang itu sendiri sering secara sukarela berpisah dengan maklumat peribadinya, dan oleh itu dengan kebebasannya, dengan itu mengisi pangkalan data organisasi swasta dan kerajaan dunia dengan maklumat yang paling berharga tentang hidupnya. Dan mereka sudah pasti akan menggunakan maklumat ini untuk tujuan mereka sendiri. Dan juga, dalam perlumbaan untuk keuntungan, mereka akan menjualnya semula kepada semua orang, mengabaikan sebarang piawaian moral dan etika.
Saya berharap maklumat yang dibentangkan dalam artikel ini akan membolehkan anda melihat semula masalah keselamatan maklumat dan, mungkin, mengubah beberapa tabiat anda apabila bekerja dalam talian. Dan para pakar akan tersenyum tegas dan meneruskan.
Damai ke rumah anda.
Sumber: www.habr.com