Acest articol a fost scris în urmă cu câțiva ani, când blocarea mesajului Telegram a fost discutată activ în comunitate și conține părerile mele despre această chestiune. Și deși astăzi acest subiect este aproape uitat, sper că poate va mai interesa pe cineva
Acest text a apărut ca urmare a gândurilor mele pe tema securității digitale și m-am îndoit mult timp dacă merită publicat. Din fericire, există un număr mare de specialiști care înțeleg corect toate problemele și nu le pot spune nimic nou. Cu toate acestea, pe lângă ei, există și un număr mare de publiciști și alți bloggeri care nu numai că greșesc ei înșiși, ci și dau naștere unui număr mare de mituri cu articolele lor.
Nu este un secret pentru nimeni că unele pasiuni serioase au făcut furori în teatrul digital de război în ultima vreme. Ne referim, desigur, la unul dintre cele mai discutate subiecte din modernitatea rusă, și anume blocarea mesajului Telegram.
Oponenții blocării prezintă aceasta ca o confruntare între om și stat, libertatea de exprimare și control total asupra individului. Susținătorii, dimpotrivă, sunt ghidați de considerente de siguranță publică și de lupta împotriva structurilor criminale și teroriste.
În primul rând, să ne imaginăm cum funcționează exact messengerul Telegram. Putem accesa pagina lor de start și citim despre cum se poziționează. Unul dintre principalele avantaje ale utilizării acestei soluții speciale va fi accentul fără compromis pe securitatea utilizatorului final. Dar ce se înțelege mai exact prin asta?
Ca și în multe alte servicii publice, datele dumneavoastră sunt transmise în formă criptată, dar numai către serverele centrale, unde sunt în formă complet deschisă și orice admin, dacă dorește cu adevărat, vă poate vedea cu ușurință toată corespondența. Ai vreo îndoială? Apoi gândiți-vă la modul în care este implementată funcția de sincronizare între dispozitive. Dacă datele sunt secrete, cum ajung la al treilea dispozitiv? La urma urmei, nu furnizați chei speciale de client pentru decriptare.
De exemplu, așa cum se face în serviciul de e-mail ProtonMail, unde să lucrați cu serviciul, trebuie să furnizați o cheie care este stocată pe computerul dvs. local și care este utilizată de browser pentru a decripta mesajele din căsuța dvs. poștală.
Dar nu este atât de simplu. Pe lângă chat-urile obișnuite, există și cele secrete. Aici corespondența se realizează într-adevăr doar între două dispozitive și nu se vorbește despre vreo sincronizare. Această funcție este disponibilă numai pentru clienții mobili, cu capturile de ecran de chat blocate la nivel de aplicație și chat-ul distrus după o anumită perioadă de timp. Din punct de vedere tehnic, datele încă circulă prin serverele centrale, dar nu sunt stocate acolo. Mai mult decât atât, salvarea în sine este lipsită de sens, deoarece numai clienții au chei de decriptare, iar traficul criptat nu are o valoare deosebită.
Această schemă va funcționa atâta timp cât clienții și serverul o implementează în mod onest și atâta timp cât nu există diferite tipuri de programe pe dispozitiv care să trimită instantanee ale ecranului dvs. către terți fără știrea dvs. Așadar, poate că motivul unei astfel de antipatii față de Telegram din partea agențiilor de aplicare a legii ar trebui căutat în chat-urile secrete? Aceasta este, după părerea mea, rădăcina neînțelegerii majorității oamenilor. Și nu vom putea înțelege pe deplin motivul acestei neînțelegeri până când nu înțelegem ce este criptarea în general și de cine se intenționează să vă protejeze datele.
Să ne imaginăm că un atacator dorește să trimită un mesaj secret prietenilor săi. Atât de important încât merită atât deranjat, cât și să joci în siguranță. Este Telegram o alegere atât de bună din punctul de vedere al unui specialist în securitatea informațiilor? Nu, nu este. Susțin că utilizarea oricăruia dintre mesageria instant populară pentru aceasta este cea mai proastă opțiune pe care o puteți alege.
Problema principală este utilizarea unui sistem de mesagerie, unde corespondența dvs. va fi căutată mai întâi. Și chiar dacă este suficient de bine protejat, însuși faptul prezenței sale te poate compromite. Să vă reamintim că legătura dintre clienți are loc în continuare prin servere centrale și, cel puțin, faptul trimiterii unui mesaj între doi utilizatori poate fi încă dovedit. Prin urmare, nu are sens să folosești e-mailul, rețelele sociale și orice alte servicii publice.
Cum puteți organiza corespondența care să îndeplinească toate cerințele de securitate? În cadrul revizuirii noastre, vom elimina în mod deliberat toate metodele ilegale sau controversate pentru a arăta că problema poate fi rezolvată exclusiv în cadrul legii. Nu veți avea nevoie de niciun program spion, hacker sau software greu de găsit.
Aproape toate instrumentele sunt incluse în setul de utilitare standard care vin cu orice sistem de operare GNU/Linux, iar interzicerea lor ar însemna interzicerea computerelor ca atare.
World Wide Web seamănă cu o rețea imensă de servere, care rulează de obicei sistemul de operare GNU/Linux pe ele și reguli pentru rutarea pachetelor între aceste servere. Majoritatea acestor servere nu sunt disponibile pentru conexiune directă, totuși, pe lângă ele, mai există milioane de servere cu adrese destul de accesibile care ne deservesc pe toți, trecând printr-o cantitate uriașă de trafic. Și nimeni nu va căuta niciodată corespondența ta între tot acest haos, mai ales dacă nu iese în evidență într-un mod special pe fundalul general.
Cei care vor să organizeze un canal secret de comunicare vor cumpăra pur și simplu un VPS (mașină virtuală în cloud) de la unul dintre sutele de jucători prezenți pe piață. Prețul emisiunii, așa cum nu este greu de văzut, este de câțiva dolari pe lună. Desigur, acest lucru nu se poate face în mod anonim și, în orice caz, această mașină virtuală va fi legată de mijloacele dvs. de plată și, prin urmare, de identitatea dvs. Cu toate acestea, celor mai mulți hosteri nu le pasă ce rulați pe hardware-ul lor, atâta timp cât nu le depășiți limitele de bază, cum ar fi cantitatea de trafic trimisă sau conexiunile la portul 23.
Deși această posibilitate există, pur și simplu nu este profitabil pentru el să cheltuiască câțiva dolari pe care i-a câștigat de la tine pentru a te monitoriza și pe tine.
Și chiar dacă dorește sau este forțat să facă acest lucru, trebuie mai întâi să înțeleagă ce fel de software utilizați în mod specific și, pe baza acestor cunoștințe, să creeze o infrastructură de urmărire. Acest lucru nu va fi dificil de realizat manual, dar automatizarea acestui proces va fi o sarcină extrem de dificilă. Din același motiv, salvarea întregului trafic care trece prin serverul tău nu va fi profitabilă din punct de vedere economic decât dacă intri mai întâi în atenția structurilor relevante care doresc să facă acest lucru.
Următorul pas este crearea unui canal securizat folosind una dintre numeroasele metode existente.
- Cel mai simplu mod este de a crea o conexiune SSH securizată la server. Mai mulți clienți se conectează prin OpenSSH și comunică, de exemplu, folosind comanda wall. Ieftin și vesel.
- Creșterea unui server VPN și conectarea mai multor clienți printr-un server central. Ca alternativă, căutați orice program de chat pentru rețelele locale și mergeți mai departe.
- Simplu FreeBSD NetCat are dintr-o dată o funcționalitate încorporată pentru chat-ul anonim primitiv. Acceptă criptarea folosind certificate și multe altele.
Nu este nevoie să menționăm că în același mod, pe lângă mesajele text simple, puteți transfera orice fișiere. Oricare dintre aceste metode poate fi implementată în 5-10 minute și nu este dificilă din punct de vedere tehnic. Mesajele vor arăta ca un simplu trafic criptat, care reprezintă majoritatea traficului de pe Internet.
Această abordare se numește steganografie - ascunderea mesajelor în locuri în care nimeni nici măcar nu s-ar gândi să le caute. Acest lucru în sine nu garantează securitatea corespondenței, dar reduce probabilitatea detectării acesteia la zero. În plus, dacă serverul dumneavoastră se află și în altă țară, procesul de recuperare a datelor poate fi imposibil din alte motive. Și chiar dacă cineva are acces la el, atunci corespondența dvs. până în acel moment, cel mai probabil, nu va fi compromisă, deoarece, spre deosebire de serviciile publice, nu este stocată local nicăieri (acest lucru, desigur, depinde de alegerea pe care ați ales metoda de comunicare).
Cu toate acestea, s-ar putea să-mi obiecteze că caut în locul greșit, agențiile de informații ale lumii s-au gândit de mult la toate și toate protocoalele de criptare au avut de mult găuri pentru uz intern. O afirmație complet rezonabilă, având în vedere istoricul problemei. Ce să faci în acest caz?
Toate sistemele de criptare care stau la baza criptografiei moderne au o anumită proprietate - puterea criptografică. Se presupune că orice cifru poate fi spart - este doar o chestiune de timp și resurse. În mod ideal, este necesar să ne asigurăm că acest proces pur și simplu nu este profitabil pentru atacator, indiferent de cât de importante sunt datele. Sau a durat atât de mult încât în momentul piratarii datele nu vor mai fi importante.
Această afirmație nu este în întregime adevărată. Este corect atunci când vorbim despre cele mai comune protocoale de criptare utilizate astăzi. Cu toate acestea, printre toată varietatea de cifruri, există una care este absolut rezistentă la crăpare și, în același timp, foarte ușor de înțeles. Este teoretic imposibil să piratați dacă sunt îndeplinite toate condițiile.
Ideea din spatele Vernam Cipher este foarte simplă - sunt create în avans secvențe de chei aleatorii cu care mesajele vor fi criptate. Mai mult, fiecare cheie este folosită o singură dată pentru a cripta și decripta un mesaj. În cel mai simplu caz, creăm un șir lung de octeți aleatori și transformăm fiecare octet al mesajului prin operația XOR cu octetul corespunzător din cheie și îl trimitem mai departe pe un canal necriptat. Este ușor de observat că cifrul este simetric și cheia pentru criptare și decriptare este aceeași.
Această metodă are dezavantaje și este folosită rar, dar avantajul obținut este că dacă cele două părți convin în prealabil asupra unei chei și acea cheie nu este compromisă, atunci poți fi sigur că datele nu vor fi citite.
Cum functioneazã? Cheia este generată în avans și transmisă între toți participanții printr-un canal alternativ. Poate fi transferat în timpul unei întâlniri personale pe teritoriu neutru, dacă este posibil, pentru a elimina complet eventuala inspecție, sau pur și simplu trimis prin poștă cu o unitate flash USB. Încă trăim într-o lume în care nu există nicio capacitate tehnică de a inspecta toate mediile care trec granițele, toate hard disk-urile și telefoanele.
După ce toți participanții la corespondență au primit cheia, poate trece un timp destul de lung înainte să aibă loc sesiunea de comunicare propriu-zisă, ceea ce face și mai dificilă contracararea acestui sistem.
Un octet din cheie este folosit o singură dată pentru a cripta un caracter al mesajului secret și a-l decripta de către alți participanți. Cheile folosite pot fi distruse automat de toți participanții la corespondență după transferul de date. După ce ați schimbat cheile secrete o dată, puteți transmite mesaje cu un volum total egal cu lungimea lor. Acest fapt este de obicei citat ca un dezavantaj al acestui cifru; este mult mai plăcut atunci când cheia are o lungime limitată și nu depinde de dimensiunea mesajului. Cu toate acestea, acești oameni uită de progres și, deși aceasta a fost o problemă în timpul Războiului Rece, nu este o astfel de problemă astăzi. Dacă presupunem că capacitățile mass-media moderne sunt practic nelimitate și în cel mai modest caz vorbim de gigaocteți, atunci un canal de comunicare securizat poate funcționa pe termen nelimitat.
Din punct de vedere istoric, Vernam Cipher, sau criptarea unică prin pad, a fost utilizat pe scară largă în timpul Războiului Rece pentru a transmite mesaje secrete. Deși sunt cazuri în care, din neatenție, mesajele diferite au fost criptate cu aceleași chei, adică procedura de criptare a fost întreruptă și asta a permis decriptarea acestora.
Este dificil să folosești această metodă în practică? Este destul de banal, iar automatizarea acestui proces cu ajutorul computerelor moderne este în capacitatea unui amator începător.
Deci, poate scopul blocării este de a provoca daune unui anumit mesager Telegram? Dacă da, atunci trece-l din nou. Clientul Telegram din cutie acceptă servere proxy și protocolul SOCKS5, care oferă utilizatorului posibilitatea de a lucra prin servere externe cu adrese IP deblocate. Găsirea unui server SOCKS5 public pentru o sesiune scurtă nu este dificilă, dar configurarea unui astfel de server pe VPS-ul tău este și mai ușoară.
Deși va exista în continuare o lovitură pentru ecosistemul de mesagerie, deoarece pentru majoritatea utilizatorilor aceste restricții vor crea în continuare o barieră de netrecut, iar popularitatea sa în rândul populației va avea de suferit.
Deci, să rezumam. Tot hype-ul din jurul Telegram este hype și nimic mai mult. Blocarea acestuia din motive de siguranță publică este analfabetă și inutilă din punct de vedere tehnic. Orice structură interesată vital de corespondența securizată își poate organiza propriul canal folosind mai multe tehnici complementare și, ceea ce este cel mai interesant, acest lucru se face extrem de simplu, atâta timp cât există măcar un anumit acces la rețea.
Frontul securității informațiilor de astăzi nu acoperă mesagerii, ci mai degrabă utilizatorii obișnuiți ai rețelei, chiar dacă aceștia nu își dau seama. Internetul modern este o realitate de care trebuie luată în considerare și în care legi care până nu demult păreau de nezdruncinat încetează să se aplice. Blocarea Telegramului este un alt exemplu de războaie pentru piața informației. Nu primul și cu siguranță nu ultimul.
Cu doar câteva decenii în urmă, înainte de dezvoltarea masivă a Internetului, problema-cheie cu care se confruntă toate tipurile de rețele de agenți era stabilirea unui canal de comunicare sigur atât între ele, cât și coordonarea activității lor cu centrul. Control strict asupra posturilor de radio private în timpul celui de-al Doilea Război Mondial în toate țările participante (înregistrarea este și astăzi necesară), posturi de radio numerotate ale Războiului Rece (unele sunt încă în vigoare astăzi), mini filme în talpa pantofului - toate acestea arată pur și simplu ridicol la noua etapă de dezvoltare a civilizației. La fel și inerția conștiinței, forțând mașina de stat să blocheze rigid orice fenomen care nu se află sub controlul ei. Acesta este motivul pentru care blocarea adreselor IP nu trebuie considerată o soluție acceptabilă, și arată doar lipsa de competență a persoanelor care iau astfel de decizii.
Principala problemă a timpului nostru nu este stocarea sau analiza datelor de corespondență personală de către terți (aceasta este o realitate destul de obiectivă în care trăim astăzi), ci faptul că oamenii înșiși sunt pregătiți să furnizeze aceste date. De fiecare dată când accesați Internetul din browserul dvs. preferat, o duzină de scripturi vă privesc, înregistrând cum și unde ați dat clic și pe ce pagină ați mers. Când instalează o altă aplicație pentru un smartphone, majoritatea oamenilor văd fereastra de solicitare pentru acordarea de privilegii programului ca o barieră enervantă înainte de a începe să-l folosească. Fără a observa faptul că un program inofensiv intră în agenda ta și dorește să-ți citească toate mesajele. Securitatea și confidențialitatea sunt ușor de schimbat pentru ușurință în utilizare. Și o persoană însuși se desparte adesea complet voluntar de informațiile sale personale și, prin urmare, de libertatea sa, umplând astfel bazele de date ale organizațiilor private și guvernamentale ale lumii cu cele mai valoroase informații despre viața sa. Și, fără îndoială, vor folosi aceste informații în propriile lor scopuri. Și, de asemenea, în cursa pentru profit, îl vor revândi tuturor, ignorând orice standarde morale și etice.
Sper că informațiile prezentate în acest articol vă vor permite să aruncați o privire nouă asupra problemei securității informațiilor și, poate, să vă schimbați unele obiceiuri atunci când lucrați online. Iar experții vor zâmbi sever și vor merge mai departe.
Pace în casa ta.
Sursa: www.habr.com