Анонимность и безопасность в Интернете. От «чайника» к пользователю
Шрифт:
Из личного опыта
Такая угроза более чем реальна. Примерно лет семь назад я работал на одном крупном предприятии администратором. Передо мной была поставлена задача "мониторить" все сайты, посещаемые пользователями, все загружаемые файлы, всю переписку по ICQ и электронной почте. Для этого даже был выделен отдельный компьютер, т. к. мой компьютер не справлялся с нагрузкой. Получается, я и был тем самым "злым админом", так что, поверьте, перехват вашей корреспонденции вполне возможен.
Используя безопасные соединения, вы усложняете задачу злоумышленнику. Ведь, чтобы добраться
Примечание
В США максимальная длина ключа – 512 битов, и этому требованию должно соответствовать все программное обеспечение, использующее функции криптографии и применяющееся в США. Видимо, компьютеры спецслужб США настолько слабы, что с более длинными ключами попросту не справляются… За пределами США длина ключа не ограничивается.
Как можно обойти защиту, организованную с помощью безопасных соединений? Существуют несколько способов:
получить физический доступ к вашему компьютеру – тут, однако, можно подстраховаться, установив почтовый клиент на зашифрованный раздел (или просто хранить почтовую базу на зашифрованном разделе). Некоторые клиенты также позволяют установить пароль на доступ к почтоящику, но этот способ менее эффективен, чем хранение почтовой базы на зашифрованном разделе, поскольку почтовый клиент не шифрует почтовую базу на основании пароля, а лишь ограничивает доступ к своим функциям. Другими словами, если почтовая база будет храниться на незашифрованном разделе, никто не помешает ее открыть и с помощью специальных программ прочитать все ваши сообщения. В главе 10 мы поговорим о шифровании данных на жестком диске;
подобрать пароль к вашему почтовому ящику – данный вид угрозы актуален, если вы храните все письма на сервере и не удаляете их при загрузке на ваш компьютер. С одной стороны, хранить письма на сервере – удобно. Ведь если что-то случится с жестким диском (они нередко выходят из строя), то вы всегда сможете получить доступ к своей корреспонденции на сервере. С другой стороны, если кто-то завладеет вашим паролем, он сможет прочитать все ваши письма (кроме, разве что отправленных). Обезопаситься можно так – или удалять письма при загрузке (так по умолчанию работает большинство почтовых программ), или создать сложный пароль на доступ к вашему почтовому ящику. О создании сложного пароля мы поговорим в главе 8;
получить доступ к почтовому серверу – все письма проходят через почтовый сервер. Следовательно, если у кого-то есть к нему доступ, он может прочитать любое письмо. Понятное дело, безопасные соединения нет смысла использовать при работе с корпоративным сервером – администратор вашу корреспонденцию сможет прочесть в любом случае, ведь у него есть полный доступ к серверу. С другой стороны, злоумышленником может оказаться и не администратор, а ваш коллега, – тогда, если вы станете использовать безопасные соединения, у него ничего не получится.
У безопасных соединений, как способа защиты почты, есть свои преимущества и недостатки. К преимуществам можно
Также нужно отметить, что если сервер поддерживает и обычные, и безопасные соединения (как, например, Mail.Ru), то, как правило, безопасные соединения оказываются менее загруженными и сервер меньше "тормозит". Объясняется это явление довольно просто – далеко не все пользователи знают о наличии безопасных соединений, поэтому используют обычные, в результате нагрузка на обычные порты: 25 (отправка почты, SMTP) и 110 (получение почты, POP) – возрастает прямо пропорционально количеству пользователей, не знающих о наличии безопасных соединений.
Понятно, что, настраивая безопасные соединения, вы должны указать параметры как для получения, так и для отправки почты. Толку не будет, если вы выберете безопасное соединение для отправки почты, а вся входящая корреспонденция будет на ваш компьютер передаваться без шифрования.
Недостатки у безопасных соединений тоже имеются. Так, если ваш почтовый сервер не поддерживает безопасные соединения, придется или искать другой сервер (а это означает смену электронного адреса, что не всегда удобно), или же использовать другой способ защиты.
Кроме того, отмечены первые удачные попытки атаки на SSL/TLS, что свидетельствует об уязвимости этого способа защиты. То есть, хотя бы теоретически, но при особом желании расшифровать содержимое TLS-соединения можно. Конечно, расшифровка TLS-соединения – задача непростая, поэтому в большинстве случаев, если вы выбрали этот метод, беспокоиться рано, но на всякий случай рекомендую прочитать следующую статью: http://www.pgpru.com/novosti/2011/predstavlenpervyjjuspeshnyjjsposobatakinassltls.
Заметьте: эта информация появилась совсем недавно (всего через 9 дней с момента написания этих строк), а до сего времени SSL/TLS считался абсолютно безопасным. Впрочем, не следует сразу отбрасывать этот метод защиты – ведь проблеме подвержены не все версии SSL/TLS, а пока только самые ранние.
5.1.2. Способ 2: использование Tor
В главе 2 было показано, как настроить почтовый клиент на использование Tor. В этом случае вы получаете не только шифрование почтового трафика, но и анонимность – почтовый сервер не узнает ваш IP-адрес.
Настройка почтового клиента – дело несложное, достаточно в качестве прокси указать узел localhost и порт 9050. Относительная простота настройки – это единственное преимущество. А теперь начинаются недостатки использования почты через Tor:
с получением почты у вас проблем не будет. А вот с отправкой проблемы могут возникнуть. Ведь при выходе в Tor происходит замена IP-адреса на некий непредсказуемый. При этом может оказаться, что с данного IP-адреса кто-либо рассылал спам, в результате чего адрес занесен в список блокируемых, и отправить сообщение не получится. Бывает также, что сервер может ограничивать отправку почты с определенного диапазона IP-адресов, – например, запретить отправку почты всем узлам, находящимся за пределами России. И если ваш IP-адрес будет принадлежать, скажем, Франции, то с отправкой тоже возникнут проблемы;