Dit artikel is enkele jaren geleden geschreven, toen het blokkeren van de Telegram-messenger actief werd besproken in de gemeenschap en bevat mijn mening over deze kwestie. En hoewel dit onderwerp tegenwoordig bijna vergeten is, hoop ik dat het misschien nog steeds voor iemand interessant zal zijn
Deze tekst verscheen als resultaat van mijn gedachten over het onderwerp digitale veiligheid, en ik heb lang getwijfeld of het de moeite waard was om te publiceren. Gelukkig zijn er een groot aantal specialisten die alle problemen goed begrijpen, en ik kan ze niets nieuws vertellen. Naast hen zijn er echter ook een groot aantal publicisten en andere bloggers die niet alleen zelf fouten maken, maar met hun artikelen ook een groot aantal mythen veroorzaken.
Het is geen geheim dat er de laatste tijd een aantal serieuze passies woeden in het digitale oorlogstheater. We bedoelen natuurlijk een van de meest besproken onderwerpen in de Russische moderniteit, namelijk het blokkeren van de Telegram-messenger.
Tegenstanders van blokkering presenteren dit als een confrontatie tussen mens en staat, vrijheid van meningsuiting en totale controle over het individu. Aanhangers daarentegen laten zich leiden door overwegingen van openbare veiligheid en de strijd tegen criminele en terroristische structuren.
Laten we ons eerst eens voorstellen hoe de Telegram-messenger precies werkt. We kunnen naar hun startpagina gaan en lezen hoe zij zichzelf positioneren. Een van de belangrijkste voordelen van het gebruik van deze specifieke oplossing is de compromisloze nadruk op de beveiliging van de eindgebruiker. Maar wat wordt hiermee precies bedoeld?
Net als bij veel andere openbare diensten worden uw gegevens in gecodeerde vorm verzonden, maar alleen naar de centrale servers, waar ze in volledig open vorm zijn en elke beheerder, als hij dat echt wil, gemakkelijk al uw correspondentie kan zien. Heeft u twijfels? Denk dan eens na over hoe de synchronisatiefunctie tussen apparaten wordt geïmplementeerd. Als de gegevens geheim zijn, hoe komen deze dan op het derde apparaat terecht? U verstrekt immers geen speciale clientsleutels voor decodering.
Als u bijvoorbeeld met de e-mailservice van ProtonMail wilt werken, moet u bij het werken met de service een sleutel opgeven die op uw lokale machine is opgeslagen en die door de browser wordt gebruikt om berichten in uw mailbox te decoderen.
Maar zo eenvoudig is het niet. Naast reguliere chats zijn er ook geheime chats. Hier vindt de correspondentie eigenlijk alleen tussen twee apparaten plaats en is er geen sprake van enige synchronisatie. Deze functie is alleen beschikbaar op mobiele clients, waarbij chatscreenshots op app-niveau worden vergrendeld en de chat na een bepaalde tijd wordt vernietigd. Aan de technische kant stroomt de data nog steeds via de centrale servers, maar wordt daar niet opgeslagen. Bovendien is het opslaan op zichzelf zinloos, omdat alleen clients decoderingssleutels hebben en gecodeerd verkeer niet van bijzondere waarde is.
Dit schema werkt zolang de clients en de server het eerlijk implementeren en zolang er geen verschillende soorten programma's op het apparaat staan die zonder uw medeweten momentopnamen van uw scherm naar derden sturen. Dus misschien moet de reden voor een dergelijke afkeer van Telegram van de kant van wetshandhavingsinstanties worden gezocht in geheime chats? Dit is naar mijn mening de wortel van het onbegrip van de meerderheid van de mensen. En we zullen de reden voor dit misverstand pas volledig kunnen begrijpen als we begrijpen wat encryptie in het algemeen is en van wie het bedoeld is om uw gegevens te beschermen.
Laten we ons voorstellen dat een aanvaller een geheim bericht naar zijn vrienden wil sturen. Zo belangrijk dat het de moeite waard is om je druk te maken en op safe te spelen. Is Telegram vanuit het oogpunt van een informatiebeveiligingsspecialist zo’n goede keuze? Nee is niet. Ik beweer dat het gebruik van een van de populaire instant messengers hiervoor de slechtste optie is die je kunt kiezen.
Het grootste probleem is het gebruik van een berichtensysteem, waarbij eerst uw correspondentie wordt doorzocht. En zelfs als het goed genoeg wordt beschermd, kan het feit van zijn aanwezigheid u in gevaar brengen. Laten we u eraan herinneren dat de verbinding tussen clients nog steeds plaatsvindt via centrale servers en dat het verzenden van een bericht tussen twee gebruikers op zijn minst nog steeds kan worden bewezen. Daarom heeft het geen zin om e-mail, sociale netwerken en andere openbare diensten te gebruiken.
Hoe regelt u dan de correspondentie die aan alle veiligheidseisen voldoet? Als onderdeel van onze beoordeling zullen we bewust alle illegale of controversiële methoden terzijde schuiven om aan te tonen dat het probleem uitsluitend binnen het kader van de wet kan worden opgelost. U heeft geen spyware, hacker of moeilijk te vinden software nodig.
Bijna alle tools zijn opgenomen in de reeks standaardhulpprogramma's die bij elk GNU/Linux-besturingssysteem worden geleverd, en het verbieden ervan zou betekenen dat computers als zodanig worden verboden.
Het World Wide Web lijkt op een enorm web van servers, waarop meestal het GNU/Linux-besturingssysteem draait en regels voor het routeren van pakketten tussen deze servers. De meeste van deze servers zijn niet beschikbaar voor directe verbinding, maar daarnaast zijn er nog miljoenen servers met redelijk toegankelijke adressen die ons allemaal bedienen en een enorme hoeveelheid verkeer verwerken. En niemand zal ooit naar jouw correspondentie zoeken tussen al deze chaos, vooral als het niet op een bepaalde manier opvalt tegen de algemene achtergrond.
Wie een geheim communicatiekanaal wil organiseren, koopt eenvoudigweg een VPS (virtuele machine in de cloud) bij een van de honderden spelers die op de markt aanwezig zijn. De prijs van de uitgifte bedraagt, zoals niet moeilijk te zien is, enkele dollars per maand. Dit kan uiteraard niet anoniem en in ieder geval zal deze virtuele machine gekoppeld zijn aan uw betaalmiddel, en dus aan uw identiteit. De meeste hosters maken het echter niet uit wat u op hun hardware draait, zolang u hun basislimieten, zoals de hoeveelheid verzonden verkeer of verbindingen met poort 23, niet overschrijdt.
Hoewel deze mogelijkheid bestaat, is het voor hem eenvoudigweg niet rendabel om de paar dollar die hij van u heeft verdiend, uit te geven om u ook in de gaten te houden.
En zelfs als hij dit wil of wordt gedwongen, moet hij eerst begrijpen wat voor soort software u specifiek gebruikt en op basis van deze kennis een trackinginfrastructuur creëren. Dit zal niet moeilijk zijn om handmatig te doen, maar het automatiseren van dit proces zal een uiterst moeilijke taak zijn. Om dezelfde reden zal het besparen van al het verkeer dat door uw server gaat economisch niet rendabel zijn, tenzij u eerst onder de aandacht komt van de relevante structuren die dit willen doen.
De volgende stap is het creëren van een veilig kanaal met behulp van een van de vele bestaande methoden.
- De eenvoudigste manier is om een veilige SSH-verbinding met de server tot stand te brengen. Verschillende clients maken verbinding via OpenSSH en communiceren bijvoorbeeld via het wall-commando. Goedkoop en vrolijk.
- Het opzetten van een VPN-server en het verbinden van meerdere clients via een centrale server. U kunt ook een chatprogramma voor lokale netwerken zoeken en doorgaan.
- Eenvoudig FreeBSD NetCat heeft plotseling ingebouwde functionaliteit voor primitieve anonieme chat. Ondersteunt encryptie met behulp van certificaten en nog veel meer.
Het is niet nodig om te vermelden dat u op dezelfde manier, naast eenvoudige sms-berichten, alle bestanden kunt overbrengen. Elk van deze methoden kan in 5-10 minuten worden geïmplementeerd en is technisch niet moeilijk. De berichten zien eruit als eenvoudig gecodeerd verkeer, het grootste deel van het verkeer op internet.
Deze aanpak wordt steganografie genoemd: het verbergen van berichten op plaatsen waar niemand er zelfs maar aan zou denken om ze te zoeken. Dit garandeert op zichzelf niet de veiligheid van correspondentie, maar reduceert de kans op detectie tot nul. Als uw server zich bovendien in een ander land bevindt, kan het ophalen van gegevens om andere redenen onmogelijk zijn. En zelfs als iemand er toch toegang toe krijgt, zal uw correspondentie tot dat moment hoogstwaarschijnlijk niet in gevaar komen, aangezien deze, in tegenstelling tot openbare diensten, nergens lokaal wordt opgeslagen (dit hangt uiteraard af van de keuze die u heeft gemaakt voor de wijze van communicatie).
Ze kunnen echter tegen mij opwerpen dat ik op de verkeerde plek zoek, dat de inlichtingendiensten van de wereld lang aan alles hebben gedacht en dat alle encryptieprotocollen al lang gaten bevatten voor intern gebruik. Een volkomen redelijke verklaring, gezien de geschiedenis van de kwestie. Wat te doen in dit geval?
Alle encryptiesystemen die ten grondslag liggen aan de moderne cryptografie hebben een bepaalde eigenschap: cryptografische kracht. Er wordt aangenomen dat elk cijfer kan worden gekraakt - het is slechts een kwestie van tijd en middelen. Idealiter is het noodzakelijk om ervoor te zorgen dat dit proces eenvoudigweg niet winstgevend is voor de aanvaller, ongeacht hoe belangrijk de gegevens zijn. Of het heeft zo lang geduurd dat de gegevens op het moment van hacken niet meer van belang zijn.
Deze verklaring is niet helemaal waar. Het is correct als we het hebben over de meest voorkomende encryptieprotocollen die tegenwoordig worden gebruikt. Onder alle verschillende soorten cijfers is er echter één die absoluut bestand is tegen kraken en tegelijkertijd zeer gemakkelijk te begrijpen is. Het is theoretisch onmogelijk om te hacken als aan alle voorwaarden wordt voldaan.
Het idee achter de Vernam Cipher is heel eenvoudig: er worden vooraf reeksen willekeurige sleutels gemaakt waarmee berichten worden gecodeerd. Bovendien wordt elke sleutel slechts één keer gebruikt om één bericht te versleutelen en te ontsleutelen. In het eenvoudigste geval creëren we een lange reeks willekeurige bytes en transformeren we elke byte van het bericht via de XOR-bewerking met de overeenkomstige byte in de sleutel en sturen deze verder via een niet-versleuteld kanaal. Het is gemakkelijk in te zien dat het cijfer symmetrisch is en dat de sleutel voor codering en decodering dezelfde is.
Deze methode heeft nadelen en wordt zelden gebruikt, maar het behaalde voordeel is dat als de twee partijen het vooraf eens zijn over een sleutel en die sleutel niet in gevaar komt, je er zeker van kunt zijn dat de gegevens niet worden gelezen.
Hoe werkt het? De sleutel wordt vooraf gegenereerd en via een alternatief kanaal tussen alle deelnemers verzonden. Het kan, indien mogelijk, tijdens een persoonlijke ontmoeting op neutraal terrein worden overgedragen om eventuele inspectie volledig uit te sluiten, of eenvoudigweg per post worden verzonden met een USB-stick. We leven nog steeds in een wereld waar er geen technische mogelijkheid is om alle media, alle harde schijven en telefoons, over de grenzen heen te inspecteren.
Nadat alle deelnemers aan de correspondentie de sleutel hebben ontvangen, kan het behoorlijk lang duren voordat de daadwerkelijke communicatiesessie plaatsvindt, wat het nog moeilijker maakt om dit systeem tegen te gaan.
Eén byte in de sleutel wordt slechts één keer gebruikt om één teken van het geheime bericht te coderen en door andere deelnemers te decoderen. Gebruikte sleutels kunnen na de gegevensoverdracht automatisch door alle deelnemers aan de correspondentie worden vernietigd. Nadat u eenmaal geheime sleutels hebt uitgewisseld, kunt u berichten verzenden met een totaalvolume dat gelijk is aan de lengte ervan. Dit feit wordt meestal als nadeel van dit cijfer aangehaald; het is veel prettiger als de sleutel een beperkte lengte heeft en niet afhankelijk is van de grootte van het bericht. Deze mensen vergeten echter de vooruitgang, en hoewel dit tijdens de Koude Oorlog een probleem was, is dat vandaag de dag niet meer zo'n probleem. Als we ervan uitgaan dat de mogelijkheden van moderne media vrijwel onbeperkt zijn en we het in het meest bescheiden geval over gigabytes hebben, dan kan een veilig communicatiekanaal voor onbepaalde tijd functioneren.
Historisch gezien werd de Vernam Cipher, oftewel eenmalige pad-encryptie, tijdens de Koude Oorlog veel gebruikt om geheime berichten te verzenden. Hoewel er gevallen zijn waarin door onzorgvuldigheid verschillende berichten met dezelfde sleutels werden gecodeerd, dat wil zeggen dat de coderingsprocedure werd verbroken, waardoor ze konden worden gedecodeerd.
Is het lastig om deze methode in de praktijk toe te passen? Het is nogal triviaal, en het automatiseren van dit proces met behulp van moderne computers ligt binnen de mogelijkheden van een beginnende amateur.
Dus misschien is het doel van blokkeren het veroorzaken van schade aan een specifieke Telegram-messenger? Als dat zo is, geef het dan opnieuw door. De Telegram-client ondersteunt standaard proxyservers en het SOCKS5-protocol, waardoor de gebruiker via externe servers met niet-geblokkeerde IP-adressen kan werken. Het vinden van een openbare SOCKS5-server voor een korte sessie is niet moeilijk, maar zelf zo'n server op je VPS zetten is nog eenvoudiger.
Hoewel er nog steeds een klap zal komen voor het messenger-ecosysteem, zullen deze beperkingen voor de meeste gebruikers nog steeds een onoverkomelijke barrière vormen en zal de populariteit ervan onder de bevolking eronder lijden.
Dus laten we het samenvatten. Alle hype rond Telegram is een hype en niets meer. Het blokkeren ervan om redenen van openbare veiligheid is technisch analfabeet en zinloos. Elke structuur die wezenlijk geïnteresseerd is in beveiligde correspondentie kan zijn eigen kanaal organiseren met behulp van verschillende complementaire technieken, en wat het meest interessante is, is dat dit uiterst eenvoudig wordt gedaan, zolang er tenminste enige toegang tot het netwerk is.
Het front op het gebied van informatiebeveiliging omvat tegenwoordig niet de boodschappers, maar eerder de gewone netwerkgebruikers, zelfs als zij zich dat niet realiseren. Het moderne internet is een realiteit waarmee rekening moet worden gehouden en waarin wetten die tot voor kort onwrikbaar leken, niet langer van toepassing zijn. Het blokkeren van Telegram is een ander voorbeeld van oorlogen om de informatiemarkt. Niet de eerste en zeker niet de laatste.
Nog maar een paar decennia geleden, vóór de enorme ontwikkeling van het internet, was het belangrijkste probleem waarmee allerlei agentnetwerken werden geconfronteerd het opzetten van een veilig communicatiekanaal, zowel onderling, als het coördineren van hun werk met het centrum. Strenge controle over particuliere radiostations tijdens de Tweede Wereldoorlog in alle deelnemende landen (registratie is vandaag de dag nog steeds vereist), genummerde radiostations uit de Koude Oorlog (sommige zijn nog steeds van kracht), minifilms in de zool van een schoen - dit alles ziet er ronduit belachelijk uit in de nieuwe fase van de ontwikkeling van de beschaving. Evenals de traagheid van het bewustzijn, die de staatsmachine dwingt om elk fenomeen dat niet onder zijn controle staat, rigide te blokkeren. Dit is de reden waarom het blokkeren van IP-adressen niet als een acceptabele oplossing moet worden beschouwd, en toont alleen maar het gebrek aan competentie van de mensen die dergelijke beslissingen nemen.
Het grootste probleem van onze tijd is niet de opslag of analyse van persoonlijke correspondentiegegevens door derden (dit is een vrij objectieve realiteit waarin we vandaag de dag leven), maar het feit dat mensen zelf bereid zijn deze gegevens te verstrekken. Elke keer dat u vanuit uw favoriete browser het internet op gaat, staren een tiental scripts u aan, die registreren hoe en waar u klikte en naar welke pagina u ging. Bij het installeren van een andere applicatie voor een smartphone beschouwen de meeste mensen het verzoekvenster voor het verlenen van rechten aan het programma als een vervelende barrière voordat ze het gaan gebruiken. Zonder dat u merkt dat er een onschadelijk programma in uw adresboek terechtkomt en al uw berichten wil lezen. Beveiliging en privacy worden gemakkelijk ingeruild voor gebruiksgemak. En iemand zelf doet vaak geheel vrijwillig afstand van zijn persoonlijke informatie, en dus van zijn vrijheid, waardoor de databases van 's werelds particuliere en overheidsorganisaties worden gevuld met de meest waardevolle informatie over zijn leven. En ze zullen deze informatie ongetwijfeld voor hun eigen doeleinden gebruiken. En ook zullen ze, in de race om winst, het aan iedereen doorverkopen, waarbij ze alle morele en ethische normen negeren.
Ik hoop dat de informatie in dit artikel u in staat zal stellen een frisse blik te werpen op het probleem van informatiebeveiliging en misschien enkele van uw gewoonten bij het online werken te veranderen. En de experts zullen streng glimlachen en verder gaan.
Vrede bij u thuis.
Bron: www.habr.com