Tento článok bol napísaný pred niekoľkými rokmi, keď sa v komunite aktívne diskutovalo o blokovaní telegramového posla a obsahuje moje myšlienky na túto záležitosť. A hoci je dnes táto téma už takmer zabudnutá, dúfam, že snáď ešte niekoho zaujme
Tento text sa objavil ako výsledok mojich úvah o téme digitálnej bezpečnosti a dlho som pochyboval, či sa oplatí publikovať. Našťastie existuje veľké množstvo odborníkov, ktorí správne chápu všetky problémy, a nemôžem im povedať nič nové. Okrem nich však existuje aj obrovské množstvo publicistov a iných blogerov, ktorí nielen sami robia chyby, ale svojimi článkami podnecujú aj obrovské množstvo mýtov.
Nie je žiadnym tajomstvom, že v digitálnom vojnovom divadle v poslednom čase zúria vážne vášne. Máme, samozrejme, na mysli jednu z najdiskutovanejších tém ruskej moderny, a to blokovanie telegramového posla.
Odporcovia blokovania to prezentujú ako konfrontáciu človeka so štátom, slobodu prejavu a úplnú kontrolu nad jednotlivcom. Podporovatelia sa naopak riadia úvahami o verejnej bezpečnosti a boji proti zločineckým a teroristickým štruktúram.
Najprv si predstavme, ako presne funguje telegramový posol. Môžeme prejsť na ich domovskú stránku a prečítať si, ako sa umiestňujú. Jednou z hlavných výhod použitia tohto konkrétneho riešenia bude nekompromisný dôraz na bezpečnosť koncového užívateľa. Ale čo sa tým presne myslí?
Rovnako ako v mnohých iných verejných službách sa vaše údaje prenášajú v šifrovanej forme, ale iba na centrálne servery, kde sú v úplne otvorenej forme a každý správca, ak naozaj chce, môže ľahko vidieť všetku vašu korešpondenciu. Máte nejaké pochybnosti? Potom sa zamyslite nad tým, ako je implementovaná funkcia synchronizácie medzi zariadeniami. Ak sú údaje tajné, ako sa dostanú do tretieho zariadenia? Koniec koncov, neposkytujete žiadne špeciálne klientske kľúče na dešifrovanie.
Napríklad, ako sa to robí v poštovej službe ProtonMail, kde na prácu so službou potrebujete poskytnúť kľúč, ktorý je uložený na vašom lokálnom počítači a ktorý používa prehliadač na dešifrovanie správ vo vašej poštovej schránke.
Ale také jednoduché to nie je. Okrem bežných chatov existujú aj tajné. Tu korešpondencia skutočne prebieha iba medzi dvoma zariadeniami a nehovorí sa o žiadnej synchronizácii. Táto funkcia je dostupná iba na mobilných klientoch, pričom snímky obrazovky chatu sú uzamknuté na úrovni aplikácie a chat sa po určitom čase zničí. Po technickej stránke dáta stále prechádzajú cez centrálne servery, ale neukladajú sa tam. Okrem toho samotné ukladanie nemá zmysel, pretože dešifrovacie kľúče majú iba klienti a šifrovaná prevádzka nemá osobitnú hodnotu.
Táto schéma bude fungovať, pokiaľ ju klienti a server implementujú poctivo a pokiaľ na zariadení nie sú rôzne typy programov, ktoré odosielajú snímky vašej obrazovky tretím stranám bez vášho vedomia. Možno by sa teda dôvod takejto nechuti k Telegramu zo strany orgánov činných v trestnom konaní mal hľadať v tajných rozhovoroch? Toto je podľa mňa koreň nepochopenia väčšiny ľudí. A nebudeme schopní úplne pochopiť dôvod tohto nedorozumenia, kým nepochopíme, čo je šifrovanie vo všeobecnosti a pred kým je určené na ochranu vašich údajov.
Predstavme si, že útočník chce poslať tajnú správu svojim priateľom. Tak dôležité, že stojí za to sa obťažovať a hrať na istotu. Je Telegram taká dobrá voľba z pohľadu špecialistu na informačnú bezpečnosť? Nie nieje. Tvrdím, že použitie ktoréhokoľvek z populárnych instant messengerov na to je najhoršia možnosť, akú si môžete vybrať.
Hlavným problémom je používanie systému správ, kde sa vaša korešpondencia najskôr prehľadá. A aj keď je dostatočne dobre chránený, samotná skutočnosť jeho prítomnosti vás môže ohroziť. Pripomeňme, že spojenie medzi klientmi stále prebieha cez centrálne servery a stále sa dá minimálne dokázať odoslanie správy medzi dvoma používateľmi. Preto nemá zmysel využívať email, sociálne siete a akékoľvek iné verejné služby.
Ako potom môžete organizovať korešpondenciu, ktorá spĺňa všetky bezpečnostné požiadavky? V rámci našej kontroly zámerne vyradíme všetky nezákonné alebo kontroverzné metódy, aby sme ukázali, že problém je možné riešiť výlučne v rámci zákona. Nebudete potrebovať žiadny spyware, hacker ani ťažko dostupný softvér.
Takmer všetky nástroje sú zahrnuté v sade štandardných pomôcok, ktoré prichádzajú s akýmkoľvek operačným systémom GNU/Linux a ich zákaz by znamenal zákaz počítačov ako takých.
World Wide Web pripomína obrovskú sieť serverov, na ktorých zvyčajne beží operačný systém GNU/Linux a pravidlá pre smerovanie paketov medzi týmito servermi. Väčšina z týchto serverov nie je k dispozícii na priame pripojenie, okrem nich však existujú milióny ďalších serverov s celkom dostupnými adresami, ktoré slúžia nám všetkým a prechádzajú obrovským množstvom prevádzky. A nikto nikdy nebude hľadať vašu korešpondenciu medzi celým týmto chaosom, najmä ak nijako nevyniká na všeobecnom pozadí.
Tí, ktorí chcú zorganizovať tajný komunikačný kanál, si jednoducho kúpia VPS (virtuálny stroj v cloude) od jedného zo stoviek hráčov prítomných na trhu. Cena emisie, ako nie je ťažké vidieť, je niekoľko dolárov mesačne. Samozrejme, nemožno to robiť anonymne a v každom prípade bude tento virtuálny stroj viazaný na váš platobný prostriedok, a teda aj na vašu identitu. Väčšine hostiteľov je však jedno, čo spúšťate na ich hardvéri, pokiaľ neprekročíte ich základné limity, ako je množstvo odoslanej prevádzky alebo pripojenia k portu 23.
Aj keď táto možnosť existuje, jednoducho nie je pre neho výhodné míňať tých pár dolárov, ktoré od vás zarobil, aby vás tiež sledoval.
A aj keď to chce alebo je nútený urobiť, musí najprv pochopiť, aký softvér konkrétne používate, a na základe týchto znalostí vytvoriť infraštruktúru sledovania. Manuálne to nebude ťažké, ale automatizácia tohto procesu bude mimoriadne náročná úloha. Z rovnakého dôvodu nebude úspora všetkej prevádzky prechádzajúcej cez váš server ekonomicky rentabilná, pokiaľ sa najprv nedostanete do pozornosti príslušných štruktúr, ktoré to chcú urobiť.
Ďalším krokom je vytvorenie zabezpečeného kanála pomocou jednej z mnohých existujúcich metód.
- Najjednoduchším spôsobom je vytvoriť bezpečné pripojenie SSH k serveru. Viacerí klienti sa pripájajú cez OpenSSH a komunikujú napríklad pomocou príkazu wall. Lacné a veselé.
- Vytvorenie servera VPN a pripojenie niekoľkých klientov prostredníctvom centrálneho servera. Prípadne vyhľadajte akýkoľvek chatovací program pre lokálne siete a pokračujte.
- Jednoduchý FreeBSD NetCat má zrazu zabudovanú funkciu pre primitívny anonymný chat. Podporuje šifrovanie pomocou certifikátov a oveľa viac.
Netreba pripomínať, že rovnakým spôsobom môžete okrem jednoduchých textových správ prenášať ľubovoľné súbory. Ktorúkoľvek z týchto metód je možné realizovať za 5-10 minút a nie je technicky náročná. Správy budú vyzerať ako jednoduchý šifrovaný prenos, čo je väčšina prenosu na internete.
Tento prístup sa nazýva steganografia – ukrývanie správ na miestach, kde by nikoho ani nenapadlo ich hľadať. To samo o sebe nezaručuje bezpečnosť korešpondencie, ale znižuje pravdepodobnosť jej odhalenia na nulu. Okrem toho, ak sa váš server nachádza aj v inej krajine, proces získavania údajov môže byť nemožný z iných dôvodov. A aj keď k nemu niekto získa prístup, vaša korešpondencia až do tohto momentu s najväčšou pravdepodobnosťou nebude kompromitovaná, pretože na rozdiel od verejných služieb nie je nikde uložená lokálne (samozrejme to závisí od výberu, ktorý ste zvolili. komunikácia).
Môžu mi však namietať, že hľadám na nesprávnom mieste, svetové spravodajské agentúry už dlho mysleli na všetko a všetky šifrovacie protokoly majú už dlho diery na interné použitie. Úplne rozumné vyjadrenie vzhľadom na históriu problému. Čo robiť v tomto prípade?
Všetky šifrovacie systémy, ktoré sú základom modernej kryptografie, majú určitú vlastnosť – kryptografickú silu. Predpokladá sa, že každá šifra môže byť prelomená - je to len otázka času a prostriedkov. V ideálnom prípade je potrebné zabezpečiť, aby tento proces nebol pre útočníka jednoducho ziskový, bez ohľadu na to, aké dôležité sú dáta. Alebo to trvalo tak dlho, že v čase hacknutia už dáta nebudú dôležité.
Toto tvrdenie nie je celkom pravdivé. Je to správne, keď hovoríme o najbežnejších šifrovacích protokoloch, ktoré sa dnes používajú. Spomedzi všetkej rozmanitosti šifier sa však nájde jedna, ktorá je absolútne odolná voči prelomeniu a zároveň veľmi ľahko pochopiteľná. Pri splnení všetkých podmienok je teoreticky nemožné hacknúť.
Myšlienka Vernamovej šifry je veľmi jednoduchá – vopred sa vytvoria sekvencie náhodných kľúčov, pomocou ktorých budú správy šifrované. Navyše, každý kľúč sa používa iba raz na zašifrovanie a dešifrovanie jednej správy. V najjednoduchšom prípade vytvoríme dlhý reťazec náhodných bajtov a transformujeme každý bajt správy pomocou operácie XOR so zodpovedajúcim bajtom v kľúči a pošleme ho ďalej cez nešifrovaný kanál. Je ľahké vidieť, že šifra je symetrická a kľúč na šifrovanie a dešifrovanie je rovnaký.
Táto metóda má nevýhody a používa sa len zriedka, ale dosiahnutou výhodou je, že ak sa obe strany vopred dohodnú na kľúči a tento kľúč nebude kompromitovaný, potom si môžete byť istí, že údaje nebudú načítané.
Ako to funguje? Kľúč je vygenerovaný vopred a prenášaný medzi všetkými účastníkmi cez alternatívny kanál. Dá sa preniesť pri osobnom stretnutí na neutrálnom území, ak je to možné, aby sa úplne vylúčila možná kontrola, alebo jednoducho poslať poštou s USB flash diskom. Stále žijeme vo svete, kde neexistuje žiadna technická schopnosť kontrolovať všetky médiá prekračujúce hranice, všetky pevné disky a telefóny.
Potom, čo všetci účastníci korešpondencie dostanú kľúč, môže uplynúť pomerne dlhý čas, kým dôjde k skutočnej komunikačnej relácii, čo sťažuje boj proti tomuto systému.
Jeden bajt v kľúči sa použije iba raz na zašifrovanie jedného znaku tajnej správy a jej dešifrovanie ostatnými účastníkmi. Použité kľúče môžu byť po prenose dát automaticky zničené všetkými účastníkmi korešpondencie. Po výmene tajných kľúčov raz môžete prenášať správy s celkovým objemom, ktorý sa rovná ich dĺžke. Tento fakt býva uvádzaný ako nevýhoda tejto šifry, oveľa príjemnejšie je, keď má kľúč obmedzenú dĺžku a nezávisí od veľkosti správy. Títo ľudia však zabúdajú na pokrok a kým to bol problém počas studenej vojny, dnes to už taký problém nie je. Ak predpokladáme, že možnosti moderných médií sú prakticky neobmedzené a v najskromnejšom prípade hovoríme o gigabajtoch, potom bezpečný komunikačný kanál môže fungovať neobmedzene.
Historicky sa Vernamova šifra alebo jednorazové blokové šifrovanie široko používalo počas studenej vojny na prenos tajných správ. Aj keď existujú prípady, keď boli z nedbanlivosti rôzne správy zašifrované rovnakými kľúčmi, to znamená, že postup šifrovania bol porušený, čo umožnilo ich dešifrovanie.
Je ťažké použiť túto metódu v praxi? Je to dosť triviálne a automatizácia tohto procesu pomocou moderných počítačov je v rámci možností začínajúceho amatéra.
Takže možno účelom blokovania je spôsobiť poškodenie konkrétneho telegramového posla? Ak áno, pošlite to znova. Telegramový klient po vybalení podporuje proxy servery a protokol SOCKS5, ktorý dáva užívateľovi možnosť pracovať cez externé servery s neblokovanými IP adresami. Nájsť verejný server SOCKS5 na krátku reláciu nie je ťažké, ale nastavenie takéhoto servera na vašom VPS je ešte jednoduchšie.
Ekosystém messengerov síce stále zasiahne ranu, no pre väčšinu používateľov budú tieto obmedzenia stále vytvárať neprekonateľnú bariéru a utrpí tým jeho obľúbenosť medzi obyvateľstvom.
Poďme si to teda zhrnúť. Všetok ten humbuk okolo Telegramu je humbuk a nič viac. Blokovať ho z dôvodov verejnej bezpečnosti je technicky negramotné a nezmyselné. Akékoľvek štruktúry, ktoré sa bytostne zaujímajú o bezpečnú korešpondenciu, môžu organizovať svoj vlastný kanál pomocou niekoľkých doplnkových techník, a čo je najzaujímavejšie, robí sa to veľmi jednoducho, pokiaľ existuje aspoň nejaký prístup k sieti.
Front informačnej bezpečnosti dnes nezahŕňa poslov, ale skôr bežných používateľov siete, aj keď si to neuvedomujú. Moderný internet je realitou, s ktorou treba počítať a v ktorej prestávajú platiť zákony, ktoré sa donedávna zdali neotrasiteľné. Blokovanie telegramu je ďalším príkladom vojen o informačný trh. Nie prvý a určite nie posledný.
Len pred niekoľkými desaťročiami, pred masívnym rozvojom internetu, bolo kľúčovým problémom, ktorému čelili všetky druhy sietí agentov, vytvorenie bezpečného komunikačného kanála medzi sebou a koordinácia ich práce s centrom. Prísna kontrola súkromných rozhlasových staníc počas druhej svetovej vojny vo všetkých zúčastnených krajinách (registrácia je potrebná aj dnes), číslované rozhlasové stanice studenej vojny (niektoré sú v platnosti dodnes), minifilmy v podrážke topánky – to všetko vyzerá jednoducho smiešne na novej etape rozvoja civilizácie. Rovnako ako zotrvačnosť vedomia, ktorá núti štátny automat prísne blokovať akýkoľvek jav, ktorý nie je pod jeho kontrolou. To je dôvod, prečo by sa blokovanie IP adries nemalo považovať za prijateľné riešenie a iba poukazuje na nekompetentnosť ľudí, ktorí takéto rozhodnutia robia.
Hlavným problémom našej doby nie je uchovávanie alebo analýza osobných korešpondenčných údajov tretími stranami (to je celkom objektívna realita, v ktorej dnes žijeme), ale skutočnosť, že ľudia sami sú pripravení tieto údaje poskytnúť. Zakaždým, keď pristupujete na internet z vášho obľúbeného prehliadača, hľadí na vás tucet skriptov, ktoré zaznamenávajú, ako a kam ste klikli a na akú stránku ste prešli. Pri inštalácii inej aplikácie pre smartfón väčšina ľudí vníma okno so žiadosťou o udelenie oprávnení programu ako nepríjemnú prekážku pred začatím používania. Bez toho, aby ste si všimli, že sa do vášho adresára dostáva neškodný program a chce si prečítať všetky vaše správy. Bezpečnosť a súkromie sú ľahko vymeniteľné za účelom jednoduchého používania. A človek sám sa často úplne dobrovoľne rozlúči so svojimi osobnými informáciami, a teda aj so svojou slobodou, čím naplní databázy svetových súkromných a vládnych organizácií tými najcennejšími informáciami o svojom živote. A tieto informácie nepochybne využijú na vlastné účely. A v pretekoch o zisk ho ďalej predajú každému, pričom ignorujú akékoľvek morálne a etické normy.
Dúfam, že informácie uvedené v tomto článku vám umožnia nový pohľad na problém informačnej bezpečnosti a možno aj zmenu niektorých vašich návykov pri práci online. A odborníci sa prísne usmejú a idú ďalej.
Mier do vášho domova.
Zdroj: hab.com