Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

11 декабря 2009 г.

1/1001. Безопасность ICQ

Сегодня хочу рассказать о безопасности одного из массовых видов современной коммуникаций. Среди его преимуществ - простота использования, ощущение "близости" с собеседником, доступность и бесплатность. О чём речь? Правильно, об ICQ. Итак,
Безопасность ICQ


Строго говоря, ICQ - это лишь один из видов (протоколов) службы мгновенных сообщений. Как известно, созданная двумя израильскими студентами программа интернет-пейджер стала настолько популярной, что принесла приличный доход своим создателям и распространилась по всему миру.
И если в других странах постепенно набирают обороты и кое-где уже сильно потеснили ICQ другие сервисы мгновенных сообщений, то в России "аська" по-прежнему вне конкуренции. Вместе с тем, проблем с безопасностью, когда мы говорим про ICQ, хватает: это и правильный выбор пароля, и защита своего красивого номера от "угона", и, конечно же, тайна переписки.
Мало кто обращает внимание на лицензионные соглашения, а зря. Вот что гласят правила пользования сервисом ICQ:

You agree that by posting any material or information anywhere on the ICQ Services and Information you surrender your copyright and any other proprietary right in the posted material or information. You further agree that ICQ LLC. is entitled to use at its own discretion any of the posted material or information in any manner it deems fit, including, but not limited to, publishing the material or distributing it.
В переводе на русский:
Вы соглашаетесь, что отправляя любой материал или информацию через какой-либо ICQ сервис, Вы уступаете авторские и любые другие имущественные права на опубликованный материал или информацию. В дальнейшем вы соглашаетесь, что ICQ LLC. имеет право использовать опубликованный материал или информацию в любом виде и с любой целью, которую сочтёт нужной, включая, но не ограничиваясь, их публикацию и распространение.
Конечно, далёкой американской компании Ваша переписка быть может и не так интересна, но нужно учесть, что протокол ICQ - это незащищённый протокол. Все Ваши сообщения передаются по Сети практически в открытом виде. Любой провайдер, системный администратор организации (т.е. и её руководство) да и просто Ваш "сосед" по сети при желании с большими (сосед) или меньшими (провайдер и администратор) усилиями может познакомится как с теми посланиями, которые пишите Вы, так и с теми, которые приходят к Вам.
Ни в коей мере не ставлю целью убедить кого бы то ни было в обязательной необходимости защиты своей переписки - это личное дело каждого, но тем, кто для себя этот вопрос решил положительно, хочется дать несколько советов.
Итак, переписка передаётся в открытом виде и Вас это не устраивает. Что можно сделать? Для начала ещё раз напомню, что разработчик об этой проблеме не позаботился никак, т.к. с точки зарабатывания денег, по всей видимости, предоставление защиты переписки клиентам большой прибыли не приносит. Это означает то, что позаботиться о себе нужно самостоятельно.
Хорошая новость заключается в том, что защитить переписку самостоятельно можно, а плохая - в том, что для этого придётся сделать несколько шагов не только Вам, но и Вашему (Вашим) собеседнику(-кам).
С древнейших времён и по сегодняшний день ничего более эффективного для сохранения тайны переписки, чем шифрование, человечество не изобрело.
На самом деле есть несколько способов шифрования Ваших сообщений, но для начала мы рассмотрим самый простой и доступный.
Пожалуй, один из самых популярных в России клиентов для ICQ - это QIP. Создатели сейчас активно продвигают новую версию QIP Infium, предлагающую вместе с собой целый букет сомнительной ценности дополнений (стартовая страница браузера, программу QIP online, регистрацию пользователя на qip.ru и т.п.), но для наших целей нужна всё же старая версия: QIP 2005. В настоящее время она прекрасно работает и лишена всякой лишней мишуры. К тому же, прямо в окне написания сообщений можно выбрать нужную опцию: защищать сообщения паролем.
Для того, чтобы защита заработала, у Вас и у Вашего собеседника должен стоять QIP 2005 и в окне ввода пароля введён один и тот же пароль. Кроме того, Вы должны быть оба быть "в сети" друг для друга (т.е. должны быть в сети для всех или установить настройки взаимной видимости со своим собеседником).
Очень важно пароль сообщать друг другу каким-либо иным способом, а не непосредственно в переписке перед включением защиты. Например, при помощи SMS или при личной встрече. В идеале, конечно, этот пароль надо хотя бы иногда менять. С учётом слабой защищённости описываемого метода лучше делать это раз в месяц (при интенсивной переписке) или даже чаще.
После ввода пароля на обеих сторонах можно общаться как раньше:
Ваш собеседник получит сообщение в читаемом виде, а для посторонних оно будет выглядеть как набор символов. Вот, например, что приходит, если собеседники вводят разные пароли:
Примерно тоже самое увидит и случайный или умышленный свидетель Вашей переписки.
Конечно, серьёзной такую защиту назвать нельзя, но, по крайней мере, она достаточно проста в настройке и для определённых категорий вышеописанных любопытных проблемы создать сможет. В чём недостаток этого способа? В том алгоритме, который используется для шифрования Ваших сообщений. Не проводил глубокого анализа, но, скорее всего, используется простейший способ преобразования текста - замена символов путём сдвига их на число позиций, определяемое паролем. Впрочем, о шифровании мы ещё будем говорить дальше. Пока отмечу лишь, что для профессионала такой способ сокрытия информации не является труднопреодолимым.
Для действительно надёжной защиты переписки нужны другие средства:
Обо всём этом и многом другом будем говорить дальше.
И первые лучи солнца озарили клавиатуру....