Jabber и ICQ с позиции Концепции Общественной Безопасности.

[nahy]

Вот отличная статья о том почему лучше пользоваться открытым протоколом xmpp/jabber а не закрытым icq.

Мотиватор:

В кратце по теме:
Jabber - это не программа, а целая технология, целая концепция:

Технология Jabber известна как открытая, безопасная, свободная от рекламы альтернатива IM таких как AIM, ICQ, MSN, и Yahoo. В своей основе Jabber является протоколом потоковой передачи данных XML и технологий, которые позволяют передать между двумя объектами в Интернете сообщения, презентацию или другую структурированную информацию близко к реальному времени. Технология Jabber'a обладает рядом ключевых преимуществ:

1. Открытость - протокол Jabber свободен, открыт, общедоступен и понятен. Существует множество открытых реализаций серверов, клиентов и библиотек, поддерживающих Jabber.
2. Стандартность - "The Internet Engineering Task Force" (IETF) формализовал основу протокола потоковой маршрутизации XML и одобрил её для IM и презентационных технологий, представив Jabber как XMPP. XMPP спецификации развиваются очень быстро в рамках проекта IETF.
3. Доказанность - разработка технологии Jabber была начата Jeremie Miller в 1998 и достаточно стабильна на сегодняшний день; сотни разработчиков работают над технологией Jabber, десятки тысяч Jabber-серверов работают в Интернет, и миллионы людей используют Jabber в качестве системы обмена сообщений.
4. Распределенность - архитектура сети Jabber подобна электронной почте, каждый может запустить собственный Jabber сервер, позволяя людям и организациям полноценно использовать IM-систему для собственных нужд.
5. Безопасность - сервер Jabber может быть отключен от Интернет и работать автономно, реализации серверов поддерживают SSL-соединение, клиентские программы используют PGP шифрование.
6. Расширяемость - используя XML, любой может расширить протокол Jabber новыми функциональными возможностями.
7. Гибкость - Jabber-приложения позволяют включить IM в управление сетью, передачи файлов, игр и удаленного мониторинга различных систем.
8. Разнообразность - множество компаний и open-source проектов используют Jabber-протокол для создания и развертывания real-time приложений и сервисов. Вы никогда не разочаруетесь, используя Jabber технологии.

если вы не специалист в области комп. технологий, то просто довертесь спецам, радеющим за КОБ. А лучше конечно самому про все узнать, благо в инете информации достаточно.

так что если уж продвигать КОБ, то с помощью соответствующих ей инструментов...

Для осваивающих КОБ мы открыли специальную конференцию ради общения и быстрого обмена идеями.

Адрес конференции - kob@conference.jabber.ru

А ещё вчера мы скинулись и арендовали бота Теперь конференция записывается.

[Серхио]

так и знал... =) ещё до прочетния статьи у меня были точно такие же мысли, когда задумывался об аське... но переводить всех на джабер... не знаю зачем, мне как то кисло на это соц опросы и тп. У меня блатной инвиз номер, с антиспамом, на всякие уловки типа отпраь н сообщений я никогда не ведусь, а того кто мне это присылает вежливо прошу в следующий раз такое не присылать.

[Снежный Барсик]

так я не понял чем лучше с точки зрения пользователя не разбирающегося в сетевых технологиях. концептуально чем лучше ?
исключает "прослушивание" ?
гарантированно не теряются сообщения ?

[Silvestr]

C Джаббером не связывлся, но если система действительно открытая

Цитата:

Существует множество открытых реализаций серверов, клиентов и библиотек, поддерживающих Jabber.

то, можно действительно исключить прослушку (по крайней мере сильно её усложнить) ... но там ещё понадобится серьёзное шифрование данных (кстати, в америке АНБ запретило использовать продвинутые протоколы шифрования данных на законодат. уровне ... как с этим в России?)

это конечно экстренные меры, которые потянут определённые затраты (аппаратный сервер в интрнете) + покупка IP адреса в инете + провайдер + поддержка + ... обычно имеет такую инфраструктуру создают солидные коммерческие организации

[Usr]

Цитата:

Сообщение от Silvestr

это конечно экстренные меры, которые потянут определённые затраты (аппаратный сервер в интрнете) + покупка IP адреса в инете + провайдер + поддержка + ... обычно имеет такую инфраструктуру создают солидные коммерческие организации

Сервер может быть и виртуальным за пару десятков долларов в месяц. Это практически все финансовые затраты. Так что не все так страшно. Для начала ресурсов будет вполне достаточно. Но ставить свой сервер особого смысла нет - если преследуется цель избежания перехвата сообщений, то достаточно использовать ПО с шифрованием у отправителя и расшифровкой у получателя, и можно использовать любой общедоступный сервер (http://www.jabberes.org/servers/). Об отказе в использовании системы Windows речи даже не идет - это само собой разумеющееся, иначе от кейлогера никакое шифрование не спасет. Из ПО (клиентов) использовать только открытое. Об использовании QIP даже не задумывайтесь. Как пример, клиент Pidgin с криптующим плагином pidgin-encryption.

[Небесный]

Зачем сейчас покупать выделенный сервер? Читайте статью внимательно, а не между строк. Там собраны все ссылки для того, чтобы можно было во всём разобраться "с нуля".

[VAngeR]

А у меня свой Jabber сервер vanger.ru =)

[Usr]

Цитата:

Сообщение от Небесный

Зачем сейчас покупать выделенный сервер? Читайте статью внимательно, а не между строк. Там собраны все ссылки для того, чтобы можно было во всём разобраться "с нуля".

Что-то сомнения меня берут, что с нуля можно разобраться по этой статье, в которой к тому же есть противоречия (совет пользоваться открытым ПО, какое оно все хорошее и тут же ссылка на софт под windows, которым автор сам и пользуется, похоже).
Я уж не говорю о замудренности описанного шифрования для того, кому это в новинку.
Если не использовать шифрование от отправителя к получателю (учитывая, что люди могут пользоваться разным клиентским софтом, шифрование может быть затруднительным), то Silvestr вполне резонно завел разговор про свой сервер - наивно полагать, что на общедоступных серверах не ведется логирование переписки, тем более если российским сервером пользоваться.
На всех серверах есть поддержка SSL шифрования, но это поможет только от перехвата сообщения до сервера, а не на самом сервере и далее.

[Silvestr]

Цитата:

Зачем сейчас покупать выделенный сервер?

Скажите мне кому пренадлежит предлогаемый вами Jabber сервер и я скажу вам кто будет владеть инфомацией. Там приводится список доступных серверов. Так вот владельцы этих серверов и будут иметь доступ к переписке всех пользователей. Вы готовы поручиться, что владельцы этих серверов не продадут инфу или не отдадут её даром когда их пощимят?

Сейчас все КПЕшники пользуются самыми разными системами (например, ICQ, Skype, MSN, Yahoo, ... электронная почта) и отслеживать это труднее чем когда все будут переведены на единый сервер и единый протокол.

И вообще надо всем иметь ввиду, что идеально защищенного канала быть не может. Есть только понятие "овчинка не стоит выделки", т.е. ломать будет дороже, чем стоимость самой информации. Идеальный вариант, это сервер в штабе КПЕ ... но это дорогое удовольствие. И даже в этом случае данные могут быть легко перехвачены снифферами или более продвинутым прогр. обеспечением (например, сетевой анализатор - Network Instruments Observer). Тогда надо подключать шифрование данных, например SSL ... но это всё равно не даёт абсолютной гарантии. Максимальная гарантия может быть тогда, когда ключ передан физическим путём (из рук в руки) для одного защищённого канала...

В целом я считаю, что open source системы вещь замечательная, если их правильно использовать ... так что против Jabber ничего не имею ... я всего лишь за их правильное применение

[alexander_aa]

А вот касательно спама, типа ребенку нужна кровь или там что произойдет несчастье, если не отправишь еще кому нибудь.
Вот об этом хотелось спросить? в статье , что это типа определить как идет сеть сообщений. А зачем это нужно? Извините, если немного не так вопрос задал, я тут совсем еще новичек..

[Usr]

Цитата:

Сообщение от Silvestr

Тогда надо подключать шифрование данных, например SSL ... но это всё равно не даёт абсолютной гарантии. Максимальная гарантия может быть тогда, когда ключ передан физическим путём (из рук в руки) для одного защищённого канала...

Это уж совсем откровенная паранойя либо незнание, как происходит шифрование. SSL (шифруется только канал передачи, парой асимметричных ключей) ни от чего не спасет, и никто его ломать не будет, если нужна будет информация, перехватят в другом месте - нагрянут маски-шоу в офис и возьмут сервер. Ключ шифрования при SSL постоянно меняется - ключи сессионные, т.е. на каждое подключение свой ключ или даже смена ключей в течение одной сессии. Сессионные ключи генерируются асимметричной парой ключей.
При шифровании самого сообщения - шифрование также асимметричное (шифруется открытым ключем, а расшифровывается закрытым, который никуда не передается и находится только у владельца). Открытый ключ можно вручить хоть самому злоумышленнику - ему он будет полезен так же, как мертвому припарка.
Ни в том, ни в другом случае физическая передача ключа не нужна.

[samobart]

От терморектального криптоанализа не спасёт шифрование данных

Цитата:

Основная теорема терморектального криптоанализа — время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.

Что это значит? Представьте себе пароль, состоящий из латинских символов. Достаточно дописать к нему всего одну(!) букву, и его вскрытие станет сложнее в 26 раз! Если ранее традиционные методы, скажем, позволяли найти пароль за сутки, то теперь Вам потребуется почти месяц. За месяц может произойти все что угодно — дефолт, девальвация, революция, оранжевая революция. Разумеется, для бизнеса, который хочет быть стабильным, это неприемлемо. Именно поэтому терморектальный криптоанализ настолько востребован, редко когда для получения пароля любой длины требуется больше 5 минут

[samobart]

А если по теме, каждый день отправляются миллионы сообщений по icq, это террабайты информации и, чтобы проанализировать все сообщения созданные за сутки, надо иметь я бы сказал немало суперкомпьютеров и кучу людей, чтобы разгребать весь этот флуд и спам Но этого делать никто не будет, они же не дураки. Скорее всего слежка будет за интересующими их личностями, которые и сами могут позаботиться о своей информационной безопасности.

[Usr]

Цитата:

Сообщение от samobart

А если по теме, каждый день отправляются миллионы сообщений по icq, это террабайты информации и, чтобы проанализировать все сообщения созданные за сутки, надо иметь я бы сказал немало суперкомпьютеров и кучу людей, чтобы разгребать весь этот флуд и спам

За день терабайты текстовой информации? Очнитесь. И о каком паяльнике в ж... может идти речь, если никаких паролей на шифрование не установлено и узнавать их не нужно? Это же не криптоконтейнер с паролем.

Цитата:

Сообщение от samobart

Но этого делать никто не будет, они же не дураки. Скорее всего слежка будет за интересующими их личностями, которые и сами могут позаботиться о своей информационной безопасности.

Т.е. по логике фразы перед тем, как следить за кем-то, они должны этого субъекта уведомить, и этот несчастный быстро освоит средства защиты от них. Так что ли? Ну а как иначе "интересующая их личность" узнает, что за ним следят и нужно уже сухари сушить...
Спешу огорчить - дураки как раз и не будут все просматривать, поэтому они к ним и не относятся. Есть роботы-анализаторы, которые уловив какую-либо фразу или слово, начинают отслеживать субъекта. Все заложено в уже имеющиеся мощности, никаких суперкомпьютеров для такой пустячной работы не нужно. Это не только к системам IM относится. Например, наша система СОРМ.
Особенно умиляют наши люди, которые занимают какие-то высокие должности в компаниях и обсуждают коммерческие секреты по аське, в соглашении которой прямо указано, что они могут использовать информацию по своему усмотрению. Знаю таких, но доводы разума им чужды.

[samobart]

Бизнесс по icq это не бизнесс, вы сам уже подтвердили это. Роботы анализаторы тоже ерунда.

[Доктор Паскаль]

Цитата:

Сообщение от samobart

А если по теме, каждый день отправляются миллионы сообщений по icq, это террабайты информации и, чтобы проанализировать все сообщения созданные за сутки, надо иметь я бы сказал немало суперкомпьютеров и кучу людей, чтобы разгребать весь этот флуд и спам Но этого делать никто не будет, они же не дураки. Скорее всего слежка будет за интересующими их личностями, которые и сами могут позаботиться о своей информационной безопасности.

После таких высказываний хочется добавить - что сообщениями идиотов (основной массы, что создает горы терабайтов информации) спецслужбы меньше всего интересуются
Бывает идешь в час пик по улице, заглядываешься на людей и видишь - у кого на лице написано безразличие, а кто думу-думает ; ) Думаю с уверенностью можно заявить, что среди общественных масс очень мало параноиков, которые под безразличием скрывают дикие умственные процессы. Следовательно можно заявить - что основная масса давно уже бросила глобальные мысли. И лишь небольшой процент продолжает думать своей головой самостоятельно. Тогда о каких сложных методах контроля мы говорим? Да по недельной переписке человека, робот-анализатор сможет определить - овощ он или идейный человек. А те что заходят в интернет выложить свои очередные личные фотографии, поболтать ни о чем или посмотреть порнушку - вообще мало кого интересуют в этой жизни

[samobart]

Если уж быть параноиком, то надо идти до конца. Нужно вообще отключить интернет у себя, т.к. весь твой трафик скапливается у провайдера в логах для СОРМ

[Доктор Паскаль]

Цитата:

Сообщение от samobart

Если уж быть параноиком, то надо идти до конца. Нужно вообще отключить интернет у себя, т.к. весь твой трафик скапливается у провайдера в логах для СОРМ

Зачем такие радикальные, при этом очень неудобные методы?
Не искажайте суть предложенного. Она заключалась лишь в создании элементарной приватности личной жизни - вот и все. Это ведь не для хацкиров форум
И пусть система СОРМ копит кучи шифрованных байтов - нам будет абсолютно не жаль.
Также хочу добавить, что все эти методы будут эффективны при использовании системы с открытым исходным кодом - мне больше всего по душе пришлась Ubuntu. Таким образом мы забудем про Билла с его глобальной корпорацией

Еще хочу добавить очень грамотное высказывание:

Цитата:

Если у Вас паранойя - это вовсе не значит что за Вами не следят

[Usr]

Цитата:

Сообщение от samobart

Бизнесс по icq это не бизнесс, вы сам уже подтвердили это.

Я не подтверждал, что это не бизнес. Передергивать не надо. По мобильному обсуждение не менее абсурдно, но могу предположить, что у Вас это будет считаться бизнесом. Вообще странное суждение о том, бизнес это или нет, беря во внимание только лишь способ передачи информации. Могу удивить, если еще не сталкивались, что люди, даже находясь в одном кабинете, общаются по аське, не говоря уже о разных кабинетах в одном здании. И вполне себе ведут бизнес. Большинство не обращает внимания на безопасность канала, а те, кто не в курсе технических тонкостей (как раз руководители и менеджеры) об этом даже не задумываются, потому что знаний нет. И все вроде бы хорошо до поры до времени.

Цитата:

Сообщение от samobart

Роботы анализаторы тоже ерунда.

Успокоили, прислушаюсь к специалисту

Небольшое уточнение: весь трафик у провайдера не скапливается, иначе хранить бы все это негде было, скапливаются только текстовые логи - подключений, заходов на сайты и пр.

[Usr]

Цитата:

Сообщение от Доктор Паскаль

Зачем такие радикальные, при этом очень неудобные методы?
Не искажайте суть предложенного. Она заключалась лишь в создании элементарной приватности личной жизни - вот и все. Это ведь не для хацкиров форум

Все верно - элементарная приватность. Хакер - положительный термин, это общественность его зачем-то исковеркала и теперь все хакеры - это взломщики и вирусописатели.

Цитата:

Сообщение от Доктор Паскаль

Еще хочу добавить очень грамотное высказывание:
Если у Вас паранойя - это вовсе не значит что за Вами не следят

Именно. Это пока можно говорит всякое, но еще пару десятков лет тому назад за инакомыслие, которое тут развели, могли и посажать Не так уж и давно, и это будет снова, можно не сомневаться.

Роман Оруэлла "1984" начинает претворяться в жизнь http://www.securitylab.ru/news/365878.php

[Usr]

Почитал, как реализовано асимметричное шифрование сообщения в клиентском ПО (Psi и Gajim). Ужас. Как говориться, не потопаешь - не полопаешь. И ведь Psi является самым популярным клиентом жабы. Сколько телодвижений для каждого контакта, и еще думают, что кто-то этим будет пользоваться из новичков.
Моя рекомендация такая - используйте клиент Pidgin (http://pidgin.im), линуксоиды могут из своих репозиториев поставить, остальные с сайта скачать. Ставите для него плагин Pidgin-Encryption (http://pidgin-encrypt.sourceforge.net/) - ставить аналогично программе. Далее заходим в управление модулями/плагинами в программе и просто ставим галочку, чтобы его подключить. Практически все. Ключи сами сгенерируются для любого количества ваших учетных записей (и даже необязательно jabber), открытые ключи сами будут отсылаться контактам. При начале беседы тыкаем на замочек вверху окна сообщения, чтобы зашифровать ее, или же включаем автомат - правой кнопкой на контакте "включить автокодирование". Не забываем, чтобы у контакта, с которым общаетесь, было поставлено все то же самое. Плагин можно понастраивать для еще большего удобства и информативности простой установкой галочек напротив описания опций, но это необязательно.

[samobart]

Цитата:

Сообщение от Usr

Все верно - элементарная приватность. Хакер - положительный термин, это общественность его зачем-то исковеркала и теперь все хакеры - это взломщики и вирусописатели.

Общественность никогда не коверкала это слово. СМИ насаждают образ хакеров как злых дядек. А ведь если бы не хакеры, вряд ли бы в России появилось огромное количество взломанного софта и игр, с помощью которого в голодные 90ые годы предприятия хоть как-то зарабатывали себе на кусок хлеба, школа обучала детей, а тысячи людей освоили программы такие как фотошоп и другое. С другой стороны это плохо, т.к. в это время страна подсела на windows, а могла бы развивать открытый софт, такой как ОС линукс и многое другое. Но, как говорится, нет худа без добра

[Usr]

Цитата:

Сообщение от samobart

Общественность никогда не коверкала это слово. СМИ насаждают образ хакеров как злых дядек. А ведь если бы не хакеры, вряд ли бы в России появилось огромное количество взломанного софта и игр, с помощью которого в голодные 90ые годы предприятия хоть как-то зарабатывали себе на кусок хлеба, школа обучала детей, а тысячи людей освоили программы такие как фотошоп и другое. С другой стороны это плохо, т.к. в это время страна подсела на windows, а могла бы развивать открытый софт, такой как ОС линукс и многое другое. Но, как говорится, нет худа без добра

Так вот я и говорю, что общественность исковеркала понятие и Вы это подтверждаете. Поинтересуйтесь для начала (да в той же википедии, чтобы далеко не ходить), что изначально вкладывалось в значение. Допустим, те же основные разработчики ядра Линукс называют себя истинными хакерами.

[Доктор Паскаль]

Цитата:

Сообщение от Usr

Именно. Это пока можно говорит всякое, но еще пару десятков лет тому назад за инакомыслие, которое тут развели, могли и посажать Не так уж и давно, и это будет снова, можно не сомневаться/

А Вы случаем не тот мужчина с пронзительным взглядом, что живет на первом этаже моей парадной?
Вообще, очень задела Ваша уверенность в том что за "базар" будут зажать. После таких высказываний лишний раз убеждаешься в том, что среди нас слишком много предателей, работающих на "систему"

[Usr]

Цитата:

Сообщение от Доктор Паскаль

А Вы случаем не тот мужчина с пронзительным взглядом, что живет на первом этаже моей парадной?

Точно, это именно я, Вы меня раскусили, куда уж мне теперь деваться, признаюсь. Приглашаю в гости, обсудим разное, так что можете заявиться без предупреждения, и еще захватите с собой нож побольше, а то у меня угощения нечем нарезать, свой поломался. Потом отпишите на форуме, как мы вместе мило побеседовали

Цитата:

Сообщение от Доктор Паскаль

Вообще, очень задела Ваша уверенность в том что за "базар" будут зажать. После таких высказываний лишний раз убеждаешься в том, что среди нас слишком много предателей, работающих на "систему"

И поэтому я рассказываю, как проще себя обезопасить от перехвата информации и говорю, как может обернуться недосмотр в будущем. Вы явно не помните, как Петров в своих видеовыступлениях неоднократно информировал, что цель "нынешних рулил" - установление фашистского режима. Я с этим согласен, и это вполне вероятно. Не думаете же, что эту задумку удасться остановить "на подлете" кучкой людей, ознакомленных с концепцией. Изменить, возможно, что-то и получится, но не сразу, и кто-то определенно поляжет на этом поле битвы. Нужно загодя себя защищать.