Geekly articles weekly

关于网络安全

图片


这篇文章是几年前写的,当时社区积极讨论了Telegram Messenger的阻塞问题,并包含了我的想法。 尽管今天这个话题几乎被遗忘了,但我希望也许对于某些人来说它仍然很有趣


出现此文本是出于我对数字安全性主题的想法的考虑,并且很长一段时间以来,我一直怀疑它是否值得出版。 幸运的是,有大量的专家正确地理解了所有问题,我无法告诉他们任何新的东西。 但是,除了他们之外,仍然有大量的公关人员和其他博客作者不仅误解了自己,而且在他们的文章中产生了大量的神话。


对于任何人来说,最近一段时间,在军事行动的数字战场上都激起了强烈的热情,这已不是什么秘密。 当然,我们想到的是俄罗斯现代性中讨论最多的主题之一,即电报信使的阻止。


反对者表示为人与国家之间的对抗,言论自由和对人的完全控制。 相反,支持者的指导原则是公共安全以及打击犯罪和恐怖组织的斗争。


首先,想象一下Telegram Messenger的工作原理。 我们可以转到他们的主页,了解他们如何定位自己。 使用此特定解决方案的主要优点之一将是毫不妥协地强调最终用户的安全性。 但是,这到底是什么意思呢?


像在许多其他公共服务中一样,您的数据以加密形式传输,但仅以完全开放的形式传输到中央服务器,并且如果您确实愿意,任何管理员都可以轻松地查看所有通信。 怀疑吗 然后考虑如何实现设备之间的同步功能。 如果数据是保密的,它们如何到达第三台设备? 毕竟,您不提供任何用于解密的特殊客户端密钥。


例如,就像在ProtonMail邮件服务中所做的那样,在何处使用该服务,您需要提供一个密钥,该密钥存储在本地计算机上,浏览器使用它来解密邮箱中的邮件。


但不是那么简单。 除了常规聊天之外,还有秘密聊天。 在此,通信实际上仅在两个设备之间进行,并且没有任何同步的讨论。 此功能仅在移动客户端上可用,并且聊天屏幕快照在应用程序级别被阻止,并且聊天在指定时间后被破坏。 从技术角度来看,数据流仍流经中央服务器,但未保存在中央服务器中。 而且,保存本身是没有意义的,因为只有客户端才具有解密密钥,并且加密的流量没有特殊价值。


只要客户端和服务器诚实地实施该方案,并且该设备没有各种程序,该方案就可以起作用,而您不知道会将屏幕截图发送给第三方。 因此,也许应该在秘密聊天中寻找导致执法机构不喜欢Telegram的原因? 我认为,这是造成大多数人误解的根源。 并且,直到我们弄清楚一般情况下是什么加密以及加密的目的是为了保护您的数据时,我们才能完全理解这种误解的原因。


想象一下,攻击者想要将秘密消息传递给他的朋友。 非常重要,值得混淆和重新保险。 从信息安全专家的角度来看,Telegram是一个不错的选择吗? 不,不是。 我确认为此选择使用任何流行的即时通讯程序都是最糟糕的选择。


主要问题是使用消息传递系统,在该系统中将首先查找您的信件。 即使它得到了很好的保护,它的存在也可能危害您。 回想一下,客户端的连接仍通过中央服务器进行,​​至少仍然可以证明在两个用户之间发送消息这一事实。 因此,使用电子邮件,社交网络和任何其他公共服务没有任何意义。


那么,如何组织符合所有安全要求的信件呢? 作为审查的一部分,我们将有意识地拒绝所有非法或有争议的方法,以表明可以完全在法律框架内解决问题。 不需要间谍软件,黑客或难以到达的软件。
几乎所有工具都包含在任何GNU / Linux操作系统随附的一组标准实用程序中,禁止使用将意味着禁止使用这种计算机。


全世界的Internet网络类似于一个庞大的服务器网络,通常在它们上运行GNU / Linux操作系统,并在这些服务器之间进行数据包路由规则。 这些服务器中的大多数都无法直接连接,但是,除了它们之外,还有数百万台具有完全可访问地址的服务器为我们所有人提供服务,从而通过我们传递了大量流量。 在所有这些混乱之中,没有人会寻找您的信件,特别是如果它在一般背景下不突出的话。


那些想要组织秘密通信渠道的人只需从市场上数百个播放器之一中购买VPS(云中的虚拟机)即可。 由于不难核实,该刊物的价格为每月几美元。 当然,这不能匿名完成,无论如何,该虚拟机将与您的付款方式并因此与您的身份绑定。 但是,大多数主机在您超出其基本限制(例如,发送到端口23的流量或连接数)之前,并不关心您在其硬件上运行什么。


尽管存在这样的机会,但他花钱赚来的几美元来监视您,对他来说根本不赚钱。
并且即使他希望或将被迫这样做,他也必须首先了解您专门使用哪种软件,并在此知识的基础上创建跟踪基础结构。 手动地,这并不困难,但是使该过程自动化将非常困难。 出于同样的原因,仅当您不事先进入想要进行此操作的相关结构的视野时,保留通过服务器的所有流量才不会带来经济利益。


下一步是以多种现有方式之一创建安全通道。


  • 最简单的方法是创建到服务器的安全ssh连接。 多个客户端通过OpenSSH连接并进行通信,例如,使用wall命令。 便宜又开朗。
  • 提升VPN服务器并通过中央服务器连接多个客户端。 或者,寻找适用于本地网络的任何聊天程序然后继续。
  • 简单的FreeBSD NetCat突然具有用于原始匿名聊天的内置功能。 支持证书加密等等。

无需提及,除了简单的文本消息,您还可以传输任何文件。 这些方法中的任何一种都可以在5-10分钟内实施,并且在技术上并不困难。 消息看起来像简单的加密流量,其中大多数在Internet上。


这种方法称为隐写术-将消息隐藏在他们甚至不希望查找的地方。 就其本身而言,这不能保证通信的安全性,但是会将其检测到的可能性降低为零。 此外,如果您的服务器也位于其他国家/地区,则由于其他原因,可能无法进行数据收集过程。 即使有人仍然可以访问它,到目前为止,您的通信也很可能不会受到损害,因为与公共服务不同,它不会存储在本地任何地方(当然,这取决于您选择的内容)通讯方式)。


但是,他们可能会反对我在错误的位置寻找的东西,世界情报机构很长一段时间都在考虑所有问题,并且所有加密协议长期以来都有内部使用的漏洞。 考虑到问题的历史,这是一个非常合理的声明。 在这种情况下该怎么办?


所有构成现代加密技术基础的加密系统都具有某些特性-加密强度。 假定可以破解任何密码-这只是时间和资源的问题。 理想情况下,无论数据多么重要,都必须确保此过程对破解者根本无益。 或者花费了这么长时间以至于在进行黑客攻击时,数据已经失去了重要性。


这个说法并不完全正确。 关于当今使用的最常见的加密协议,这是正确的。 但是,在各种各样的密码中,有一种是完全抗裂的,同时又很容易理解。 如果满足所有条件,理论上就不可能破解。


Vernam密码的原理非常简单-预先创建随机密钥序列以对消息进行加密。 而且,每个密钥仅使用一次来加密和解密一条消息。 在最简单的情况下,我们创建一长串随机字节,并通过XOR操作将消息的每个字节与密钥中的相应字节进行转换,然后在未加密的通道上进一步发送它。 不难看出,密码是对称的,加密和解密的密钥是相同的。


这种方法有缺点,很少使用,但是获得的好处是,如果双方事先就密钥达成了一致,并且此密钥没有受到损害,则可以确保不会读取数据。


如何运作? 密钥是预先生成的,并通过备用通道在所有参与者之间传输。 如果有机会完全排除可能的搜索,或者只是通过邮件将其发送到USB闪存驱动器,则可以在中立地区的个人会议上进行传输。 我们仍然生活在一个没有技术能力来检查所有跨界存储介质,所有硬盘驱动器和电话的世界中。
在通信的所有参与者都收到密钥之后,通信会话开始可能要花费很长时间,这使得抵消该系统更加困难。


密钥中的一个字节仅可使用一次来加密秘密消息的一个字符,并由其他参与者对其进行解密。 数据传输后,通讯中的所有参与者都可以自动销毁已用过的密钥。 与密钥交换后,您可以发送总长度等于其长度的消息。 通常将此事实称为此密码的缺点,当密钥的长度有限且不依赖于消息的大小时,此事实将更为令人愉悦。 但是,这些人忘记了进展,如果在冷战期间这是一个问题,那么今天就没有了。 基于现代媒体的可能性几乎是无限的事实,在最适度的情况下,我们谈论的是千兆字节,那么安全的通信通道可以无限期地运行。


从历史上看,在冷战期间,Vernam密码或使用一次性记事本的加密被广泛用于传输秘密消息。 尽管有时会无意中使用相同的密钥对不同的消息进行加密,也就是说,违反了加密过程,因此可以对它们进行解密。


在实践中使用这种方法难吗? 相当琐碎,借助现代计算机进行此过程的自动化是新手业余爱好者无法企及的。


因此,阻止的目的可能是破坏特定的Telegram Messenger? 如果是这样,那么再来一次。 开箱即用的Telegram客户端支持代理服务器和SOCKS5协议,该协议使用户可以使用IP地址未被阻止的外部服务器来工作。 在短时间内找到公用的SOCKS5服务器并不难,而在VPS-ke上自己举起这样的服务器甚至更加容易。


尽管仍然会对信使生态系统造成打击,但是由于对于大多数用户而言,这些限制仍然会创建无法克服的障碍,并且其在人群中的普及将受到影响。


总结一下。 Telegram周围的所有炒作都是炒作,仅此而已。 出于公共安全原因将其阻止在技术上是毫无意义的。 任何对安全通信非常感兴趣的结构都可以使用几种补充技术来组织其通道,最有趣的是,只要至少有某种对网络的访问,就可以非常简单地完成此操作。


如今,信息安全的前沿并没有通过即时通讯程序,而是通过普通的网络用户,即使他们没有意识到这一点。 现代互联网是一个不容忽视的现实,看似不可动摇的法律最近已停止运作。 电报阻塞是信息市场大战的另一个例子。 不是第一个,当然不是最后一个。


几十年前,在Internet大规模发展之前,各种代理网络面临的关键问题是建立相互之间安全的通信通道以及与中心的协调工作。 第二次世界大战期间,所有参与国都对私人广播电台进行了严格控制(今天仍然需要注册),冷战车牌(有些仍在运行),靴子底部的迷你电影-在新一轮的文明中,所有这些看起来都是荒谬的。 像意识惯性一样,迫使状态机严格阻止任何超出其控制范围的现象。 因此,不应将阻止IP地址视为可接受的解决方案,而只能表明做出此类决定的人员缺乏权限。


我们这个时代的主要问题不是第三方存储或分析个人通信数据(这是我们今天生活的相当客观的现实),而是人们自己准备提供此数据的事实。 每当您从喜爱的浏览器访问Internet时,都会有数十个脚本仔细地看着您,记录您单击的方式和位置以及访问的页面。 在为智能手机安装其他应用程序时,大多数人会在使用该程序之前将向该程序授予特权的请求窗口视为侵入式障碍。 没有注意到一个事实,即无害的程序会爬入您的笔记本并想要阅读所有消息。 安全性和私密性愿意交换可用性。 一个人本人通常会完全自愿地离开他的个人信息,因此也就自由地离开了他,因此,世界私人和国家组织的数据库中充斥着关于他的生活的宝贵信息。 那些人无疑将这些信息用于自己的目的。 而且,在争取利润的竞赛中,他们会将其转售给所有人,而忽略了任何道德和道德标准。


我希望本文中介绍的信息可以使您重新审视信息安全问题,并有可能在网络上工作时改变一些习惯。 专家们将严肃地微笑并继续前进。


和平您的家。

Source: https://habr.com/ru/post/zh-CN482906/

More articles:


All Articles