Prohoster > Blog > quản lý > Về an toàn trực tuyến

Về an toàn trực tuyến

Về an toàn trực tuyến

Bài viết này được viết cách đây vài năm, khi việc chặn ứng dụng nhắn tin Telegram đã được thảo luận tích cực trong cộng đồng và chứa đựng những suy nghĩ của tôi về vấn đề này. Và mặc dù ngày nay chủ đề này gần như bị lãng quên, tôi hy vọng rằng có lẽ nó vẫn sẽ được ai đó quan tâm

Văn bản này xuất hiện là kết quả của những suy nghĩ của tôi về chủ đề bảo mật kỹ thuật số và tôi đã nghi ngờ trong một thời gian dài liệu nó có đáng được xuất bản hay không. May mắn thay, có một số lượng lớn các chuyên gia hiểu chính xác tất cả các vấn đề và tôi không thể nói với họ bất cứ điều gì mới. Tuy nhiên, bên cạnh họ, còn có một số lượng lớn các nhà báo và các blogger khác không chỉ tự mình mắc sai lầm mà còn làm nảy sinh vô số huyền thoại với các bài báo của họ.

Không có gì bí mật khi gần đây một số niềm đam mê nghiêm túc đang hoành hành trong sân khấu chiến tranh kỹ thuật số. Tất nhiên, chúng tôi muốn nói đến một trong những chủ đề được thảo luận nhiều nhất trong thời hiện đại của Nga, đó là việc chặn ứng dụng nhắn tin Telegram.

Những người phản đối việc ngăn chặn coi đây là sự đối đầu giữa con người và nhà nước, quyền tự do ngôn luận và sự kiểm soát hoàn toàn đối với cá nhân. Ngược lại, những người ủng hộ được hướng dẫn bởi những cân nhắc về an toàn công cộng và cuộc chiến chống lại các tổ chức tội phạm và khủng bố.

Đầu tiên, hãy tưởng tượng chính xác cách thức hoạt động của trình nhắn tin Telegram. Chúng ta có thể vào trang chủ của họ và đọc về cách họ định vị bản thân. Một trong những ưu điểm chính của việc sử dụng giải pháp cụ thể này là sự nhấn mạnh không khoan nhượng vào bảo mật người dùng cuối. Nhưng chính xác thì điều này có nghĩa là gì?

Giống như nhiều dịch vụ công cộng khác, dữ liệu của bạn được truyền ở dạng mã hóa, nhưng chỉ đến các máy chủ trung tâm, nơi chúng ở dạng hoàn toàn mở và bất kỳ quản trị viên nào, nếu thực sự muốn, đều có thể dễ dàng xem tất cả thư từ của bạn. Bạn có nghi ngờ gì không? Sau đó hãy suy nghĩ về cách thực hiện chức năng đồng bộ hóa giữa các thiết bị. Nếu dữ liệu là bí mật thì làm cách nào nó đến được thiết bị thứ ba? Rốt cuộc, bạn không cung cấp bất kỳ khóa máy khách đặc biệt nào để giải mã.

Ví dụ: như được thực hiện trong dịch vụ thư ProtonMail, để làm việc với dịch vụ, bạn cần cung cấp khóa được lưu trữ trên máy cục bộ của mình và được trình duyệt sử dụng để giải mã thư trong hộp thư của bạn.

Nhưng nó không đơn giản như vậy. Ngoài những cuộc trò chuyện thông thường, còn có những cuộc trò chuyện bí mật. Ở đây việc trao đổi thư từ thực sự chỉ được thực hiện giữa hai thiết bị và không có bất kỳ thảo luận nào về việc đồng bộ hóa. Tính năng này chỉ khả dụng trên ứng dụng khách di động, với ảnh chụp màn hình trò chuyện bị khóa ở cấp ứng dụng và trò chuyện bị hủy sau một khoảng thời gian nhất định. Về mặt kỹ thuật, dữ liệu vẫn chảy qua các máy chủ trung tâm nhưng không được lưu trữ ở đó. Hơn nữa, việc lưu bản thân nó là vô nghĩa, vì chỉ khách hàng mới có khóa giải mã và lưu lượng được mã hóa không có giá trị cụ thể.

Lược đồ này sẽ hoạt động miễn là máy khách và máy chủ triển khai nó một cách trung thực và miễn là không có nhiều loại chương trình khác nhau trên thiết bị gửi ảnh chụp nhanh màn hình của bạn cho bên thứ ba mà bạn không biết. Vì vậy, có lẽ lý do khiến các cơ quan thực thi pháp luật không thích Telegram như vậy nên được tìm kiếm trong các cuộc trò chuyện bí mật? Theo tôi, đây là gốc rễ của sự hiểu lầm của đa số mọi người. Và chúng tôi sẽ không thể hiểu đầy đủ lý do của sự hiểu lầm này cho đến khi chúng tôi hiểu mã hóa nói chung là gì và nó nhằm mục đích bảo vệ dữ liệu của bạn khỏi ai.

Hãy tưởng tượng rằng kẻ tấn công muốn gửi một tin nhắn bí mật cho bạn bè của mình. Quan trọng đến mức nó đáng để bận tâm và chơi an toàn. Telegram có phải là sự lựa chọn tốt từ góc nhìn của một chuyên gia bảo mật thông tin? Không có gì cả. Tôi cho rằng việc sử dụng bất kỳ ứng dụng nhắn tin tức thời phổ biến nào cho việc này là lựa chọn tồi tệ nhất mà bạn có thể chọn.

Vấn đề chính là việc sử dụng hệ thống nhắn tin, nơi thư từ của bạn sẽ được tìm kiếm trước tiên. Và ngay cả khi nó được bảo vệ đủ tốt thì sự hiện diện của nó cũng có thể gây tổn hại cho bạn. Hãy để chúng tôi nhắc bạn rằng kết nối giữa các máy khách vẫn diễn ra thông qua các máy chủ trung tâm và ở mức tối thiểu, việc gửi tin nhắn giữa hai người dùng vẫn có thể được chứng minh. Vì vậy, việc sử dụng email, mạng xã hội và bất kỳ dịch vụ công cộng nào khác là vô nghĩa.

Làm thế nào bạn có thể tổ chức thư từ đáp ứng tất cả các yêu cầu bảo mật? Là một phần trong quá trình xem xét của chúng tôi, chúng tôi sẽ cố tình loại bỏ tất cả các phương pháp bất hợp pháp hoặc gây tranh cãi để chứng minh rằng vấn đề có thể được giải quyết hoàn toàn trong khuôn khổ pháp luật. Bạn sẽ không cần bất kỳ phần mềm gián điệp, hacker hay phần mềm khó tìm nào.
Hầu hết tất cả các công cụ đều được bao gồm trong bộ tiện ích tiêu chuẩn đi kèm với bất kỳ hệ điều hành GNU/Linux nào và việc cấm chúng có nghĩa là cấm các máy tính như vậy.

World Wide Web giống như một trang web khổng lồ gồm các máy chủ, thường chạy hệ điều hành GNU/Linux trên đó và các quy tắc định tuyến các gói giữa các máy chủ này. Hầu hết các máy chủ này không có sẵn để kết nối trực tiếp, tuy nhiên, bên cạnh chúng, còn có hàng triệu máy chủ khác với địa chỉ khá dễ tiếp cận phục vụ tất cả chúng ta, truyền qua một lượng lớn lưu lượng truy cập. Và sẽ không có ai tìm kiếm thư từ của bạn giữa tất cả sự hỗn loạn này, đặc biệt nếu nó không nổi bật theo bất kỳ cách cụ thể nào so với bối cảnh chung.

Những người muốn tổ chức một kênh liên lạc bí mật sẽ chỉ cần mua một VPS (máy ảo trên đám mây) từ một trong hàng trăm người chơi có mặt trên thị trường. Cái giá của đợt phát hành này, không khó để thấy, là vài đô la mỗi tháng. Tất nhiên, việc này không thể được thực hiện ẩn danh và trong mọi trường hợp, máy ảo này sẽ được gắn với phương tiện thanh toán của bạn và do đó với danh tính của bạn. Tuy nhiên, hầu hết các nhà cung cấp dịch vụ lưu trữ không quan tâm bạn chạy gì trên phần cứng của họ miễn là bạn không vượt quá giới hạn cơ bản của họ, chẳng hạn như lượng lưu lượng truy cập được gửi hoặc kết nối tới cổng 23.

Mặc dù khả năng này có tồn tại nhưng việc anh ta chi vài đô la kiếm được từ bạn để theo dõi bạn chỉ đơn giản là không mang lại lợi nhuận.
Và ngay cả khi anh ta muốn hoặc bị buộc phải làm điều này, trước tiên anh ta phải hiểu cụ thể loại phần mềm nào bạn đang sử dụng và dựa trên kiến ​​​​thức này, tạo ra cơ sở hạ tầng theo dõi. Việc này sẽ không khó thực hiện thủ công nhưng việc tự động hóa quá trình này sẽ là một nhiệm vụ cực kỳ khó khăn. Vì lý do tương tự, việc lưu tất cả lưu lượng truy cập đi qua máy chủ của bạn sẽ không mang lại lợi nhuận kinh tế trừ khi trước tiên bạn thu hút được sự chú ý của các cấu trúc có liên quan muốn thực hiện việc này.

Bước tiếp theo là tạo kênh an toàn bằng một trong nhiều phương pháp hiện có.

  • Cách dễ nhất là tạo kết nối SSH an toàn đến máy chủ. Một số máy khách kết nối qua OpenSSH và liên lạc, chẳng hạn như sử dụng lệnh trên tường. Rẻ và hài lòng.
  • Xây dựng một máy chủ VPN và kết nối nhiều máy khách thông qua một máy chủ trung tâm. Ngoài ra, hãy tìm bất kỳ chương trình trò chuyện nào cho mạng cục bộ và tiếp tục.
  • FreeBSD NetCat đơn giản đột nhiên có chức năng tích hợp sẵn cho trò chuyện ẩn danh nguyên thủy. Hỗ trợ mã hóa bằng chứng chỉ và nhiều hơn nữa.

Không cần phải đề cập rằng theo cách tương tự, ngoài tin nhắn văn bản đơn giản, bạn có thể chuyển bất kỳ tập tin nào. Bất kỳ phương pháp nào trong số này đều có thể được thực hiện trong 5-10 phút và không khó về mặt kỹ thuật. Các tin nhắn sẽ trông giống như lưu lượng được mã hóa đơn giản, chiếm phần lớn lưu lượng truy cập trên Internet.

Cách tiếp cận này được gọi là steganography - giấu tin nhắn ở những nơi mà thậm chí không ai nghĩ đến việc tìm kiếm chúng. Bản thân điều này không đảm bảo tính bảo mật của thư từ, nhưng nó làm giảm khả năng bị phát hiện của nó xuống bằng không. Ngoài ra, nếu máy chủ của bạn cũng được đặt ở một quốc gia khác, quá trình truy xuất dữ liệu có thể không thực hiện được vì những lý do khác. Và ngay cả khi ai đó có quyền truy cập vào nó, thì thư từ của bạn cho đến thời điểm này rất có thể sẽ không bị xâm phạm, vì không giống như các dịch vụ công cộng, nó không được lưu ở bất kỳ đâu cục bộ (điều này, tất nhiên, phụ thuộc vào lựa chọn bạn đã thực hiện) . phương thức giao tiếp).

Tuy nhiên, họ có thể phản đối rằng tôi đang tìm nhầm chỗ, các cơ quan tình báo thế giới từ lâu đã nghĩ đến mọi chuyện, và tất cả các giao thức mã hóa từ lâu đều có lỗ hổng để sử dụng nội bộ. Một tuyên bố hoàn toàn hợp lý, dựa trên lịch sử của vấn đề. Phải làm gì trong trường hợp này?

Tất cả các hệ thống mã hóa làm nền tảng cho mật mã hiện đại đều có một đặc tính nhất định - sức mạnh mật mã. Người ta cho rằng bất kỳ mật mã nào cũng có thể bị bẻ khóa - đó chỉ là vấn đề thời gian và nguồn lực. Lý tưởng nhất là cần đảm bảo rằng quá trình này đơn giản là không mang lại lợi nhuận cho kẻ tấn công, bất kể dữ liệu quan trọng đến mức nào. Hoặc mất nhiều thời gian đến mức lúc hack dữ liệu sẽ không còn quan trọng nữa.

Tuyên bố này không hoàn toàn đúng. Thật đúng khi nói về các giao thức mã hóa phổ biến nhất được sử dụng hiện nay. Tuy nhiên, trong số tất cả các loại mật mã, có một loại mật mã có khả năng chống bẻ khóa tuyệt đối và đồng thời rất dễ hiểu. Về mặt lý thuyết thì không thể hack được nếu đáp ứng đủ mọi điều kiện.

Ý tưởng đằng sau Mật mã Vernam rất đơn giản - các chuỗi khóa ngẫu nhiên được tạo trước để mã hóa tin nhắn. Hơn nữa, mỗi khóa chỉ được sử dụng một lần để mã hóa và giải mã một tin nhắn. Trong trường hợp đơn giản nhất, chúng tôi tạo một chuỗi dài các byte ngẫu nhiên và chuyển đổi từng byte của tin nhắn thông qua thao tác XOR với byte tương ứng trong khóa và gửi nó đi xa hơn qua một kênh không được mã hóa. Dễ dàng nhận thấy rằng mật mã có tính đối xứng và khóa mã hóa và giải mã là như nhau.

Phương pháp này có nhược điểm và ít được sử dụng nhưng ưu điểm đạt được là nếu hai bên thỏa thuận trước về một khóa và khóa đó không bị xâm phạm thì bạn có thể chắc chắn rằng dữ liệu sẽ không được đọc.

Làm thế nào nó hoạt động? Khóa được tạo trước và truyền giữa tất cả những người tham gia thông qua một kênh thay thế. Nó có thể được chuyển trong cuộc họp cá nhân trên lãnh thổ trung lập, nếu có thể, để loại bỏ hoàn toàn việc kiểm tra có thể xảy ra, hoặc đơn giản là gửi qua thư bằng ổ flash USB. Chúng ta vẫn sống trong một thế giới không có khả năng kỹ thuật để kiểm tra tất cả các phương tiện truyền thông xuyên biên giới, tất cả ổ cứng và điện thoại.
Sau khi tất cả những người tham gia trao đổi thư từ đã nhận được chìa khóa, có thể phải mất một thời gian khá dài trước khi phiên giao tiếp thực sự diễn ra, điều này khiến việc chống lại hệ thống này càng trở nên khó khăn hơn.

Một byte trong khóa chỉ được sử dụng một lần để mã hóa một ký tự của tin nhắn bí mật và giải mã nó bởi những người tham gia khác. Tất cả những người tham gia trao đổi thư từ có thể tự động hủy các khóa đã sử dụng sau khi truyền dữ liệu. Sau khi trao đổi khóa bí mật một lần, bạn có thể truyền các tin nhắn có tổng âm lượng bằng độ dài của chúng. Thực tế này thường được coi là nhược điểm của mật mã này; sẽ dễ chịu hơn nhiều khi khóa có độ dài giới hạn và không phụ thuộc vào kích thước của tin nhắn. Tuy nhiên, những người này quên mất sự tiến bộ, và mặc dù đây là một vấn đề trong Chiến tranh Lạnh nhưng ngày nay nó không còn là vấn đề nữa. Nếu chúng ta cho rằng khả năng của phương tiện truyền thông hiện đại thực tế là vô hạn và trong trường hợp khiêm tốn nhất là hàng gigabyte, thì một kênh liên lạc an toàn có thể hoạt động vô thời hạn.

Trong lịch sử, Mật mã Vernam, hay mã hóa tập đệm một lần, được sử dụng rộng rãi trong Chiến tranh Lạnh để truyền các thông điệp bí mật. Mặc dù có những trường hợp, do bất cẩn, các tin nhắn khác nhau đã được mã hóa bằng cùng một khóa, tức là quy trình mã hóa đã bị hỏng và điều này cho phép chúng được giải mã.

Việc sử dụng phương pháp này trong thực tế có khó không? Nó khá tầm thường và việc tự động hóa quá trình này với sự trợ giúp của máy tính hiện đại nằm trong khả năng của một người mới làm quen với nghiệp dư.

Vậy có lẽ mục đích của việc chặn là gây thiệt hại cho một ứng dụng nhắn tin Telegram cụ thể? Nếu vậy thì hãy vượt qua nó một lần nữa. Ứng dụng khách Telegram ngay lập tức hỗ trợ máy chủ proxy và giao thức SOCKS5, mang đến cho người dùng cơ hội làm việc thông qua các máy chủ bên ngoài với địa chỉ IP không bị chặn. Tìm một máy chủ SOCKS5 công cộng cho một phiên ngắn không khó, nhưng việc tự thiết lập một máy chủ như vậy trên VPS của bạn thậm chí còn dễ dàng hơn.

Mặc dù vẫn sẽ có một đòn giáng mạnh vào hệ sinh thái nhắn tin, vì đối với hầu hết người dùng, những hạn chế này vẫn sẽ tạo ra một rào cản không thể vượt qua và mức độ phổ biến của nó đối với người dân sẽ bị ảnh hưởng.

Vì vậy, hãy tóm tắt. Tất cả sự cường điệu xung quanh Telegram chỉ là cường điệu và không có gì hơn thế. Việc chặn nó vì lý do an toàn công cộng là mù chữ về mặt kỹ thuật và vô nghĩa. Bất kỳ cấu trúc nào thực sự quan tâm đến thư tín an toàn đều có thể tổ chức kênh riêng của họ bằng cách sử dụng một số kỹ thuật bổ sung và điều thú vị nhất là việc này được thực hiện cực kỳ đơn giản, miễn là có ít nhất một số quyền truy cập vào mạng.

Mặt trận bảo mật thông tin ngày nay không bao gồm những người đưa tin mà là những người dùng mạng bình thường, ngay cả khi họ không nhận ra điều đó. Internet hiện đại là một thực tế cần phải được tính đến và trong đó các luật mà cho đến gần đây dường như không thể lay chuyển đã không còn được áp dụng. Chặn Telegram là một ví dụ khác về cuộc chiến tranh giành thị trường thông tin. Không phải là đầu tiên và chắc chắn không phải là cuối cùng.

Chỉ vài thập kỷ trước, trước sự phát triển ồ ạt của Internet, vấn đề chính mà tất cả các loại mạng đại lý phải đối mặt là thiết lập một kênh liên lạc an toàn giữa chúng và phối hợp công việc của chúng với trung tâm. Kiểm soát chặt chẽ các đài phát thanh tư nhân trong Chiến tranh thế giới thứ hai ở tất cả các quốc gia tham gia (ngày nay vẫn cần đăng ký), các đài phát thanh được đánh số của Chiến tranh Lạnh (một số vẫn còn hiệu lực cho đến ngày nay), phim mini trong đế giày - tất cả những điều này trông thật lố bịch ở giai đoạn mới của sự phát triển của nền văn minh. Cũng như quán tính của ý thức, buộc bộ máy trạng thái phải cứng rắn ngăn chặn mọi hiện tượng không nằm trong tầm kiểm soát của nó. Đây là lý do tại sao việc chặn địa chỉ IP không nên được coi là một giải pháp có thể chấp nhận được và chỉ thể hiện sự thiếu năng lực của những người đưa ra quyết định đó.

Vấn đề chính của thời đại chúng ta không phải là việc bên thứ ba lưu trữ hay phân tích dữ liệu thư từ cá nhân (đây là một thực tế khá khách quan mà chúng ta đang sống ngày nay), mà là thực tế là chính mọi người sẵn sàng cung cấp dữ liệu này. Mỗi khi bạn truy cập Internet từ trình duyệt yêu thích của mình, hàng tá tập lệnh đang nhìn chằm chằm vào bạn, ghi lại cách thức và vị trí bạn nhấp vào cũng như trang bạn đã truy cập. Khi cài đặt một ứng dụng khác cho điện thoại thông minh, hầu hết mọi người đều xem cửa sổ yêu cầu cấp đặc quyền cho chương trình như một rào cản khó chịu trước khi bắt đầu sử dụng nó. Không nhận thấy thực tế là một chương trình vô hại đang xâm nhập vào sổ địa chỉ của bạn và muốn đọc tất cả tin nhắn của bạn. Bảo mật và quyền riêng tư được giao dịch dễ dàng để dễ sử dụng. Và bản thân một người thường hoàn toàn tự nguyện chia sẻ thông tin cá nhân của mình, và do đó có quyền tự do của mình, do đó lấp đầy cơ sở dữ liệu của các tổ chức chính phủ và tư nhân trên thế giới những thông tin có giá trị nhất về cuộc sống của anh ta. Và chắc chắn họ sẽ sử dụng thông tin này cho mục đích riêng của mình. Và ngoài ra, trong cuộc chạy đua vì lợi nhuận, họ sẽ bán lại cho mọi người, bất chấp mọi chuẩn mực luân lý, đạo đức.

Tôi hy vọng rằng những thông tin được trình bày trong bài viết này sẽ giúp bạn có cái nhìn mới hơn về vấn đề bảo mật thông tin và có thể thay đổi một số thói quen của bạn khi làm việc trực tuyến. Và các chuyên gia sẽ mỉm cười nghiêm khắc và đi tiếp.

Bình yên cho ngôi nhà của bạn.

Nguồn: www.habr.com

Thêm một lời nhận xét