И вы всё еще пользуетесь ICQ?

[vitus_wagner]

Когда о взломе аськи или ЖЖ сообщает журналист, политический деятель или ещё кто-то, кто с компьютерами знаком на уровне книжки "за 21 день для полных идиотов" - это понятно. Можно порекомендовать товарищу пройти краткий ликбез в области информационной безопасности и на этом успокоиться, считая себя надежно защищенным.

Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...

Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.

Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.

В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем

1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.

Comments

[aceler.livejournal.com]

Витус, хотелось бы перейти от слов к делу. Где в сети есть документация по использованию SSL/TLS, сертификатах и подписи?

[vitus_wagner]

Хороший вопрос. К сожалению, я не знаю действительно хорошего такого документа. Прям хоть садись и пиши.

В большинстве существующих документов, например SSL Certificates HOWTO зияют здоровенные дыры в области базовых понятий криптографии и безопасности. Например, как правило, не отличают хэш от MAC, public key encryption от key exchange.

Как правило, отсутствует четкое изложение понятным неспециалисту языком списка возможных угроз и мер, предпринятых для защиты от них (а если бы оно там было, тогда бы автор вышеописанной путаницы в классах алгоритмов не допустил, потому что из описания угроз следует, какими свойствами должны обладать алгоритмы и протоколы, защищающие от них)

В общем, прям хоть садись и пиши.

[aceler.livejournal.com]

Ага, еще желательно и на русском. Я-то что, я GPG в Kmail осилил (за две недели), а вот простой советский ламер просто так не сдаётся.

Имхо

[cmotrujj.livejournal.com]

наиболее полная инфа по таким вопросам, похоже, есть только на www.pgpru.com - описания, подсказки, решения и т.д. По крайней мере, автор сайта двигается в этом направлении.

[gds.livejournal.com]

кстати, действительно, может как-нибудь при случае напишете? А то внятной документации не нашёл, когда надо было настраивать SSL. Методом тыка ковырял. Более того, подобные проблемы встают не только у меня, уверен.

[irene_dragon.livejournal.com]

Ликбез по основным понятиям криптографии давным-давно выложен на http://www.cryptocom.ru твоей собственной женой, ею же и написанный. Правда, теория использования сертификатов там ориентирована не на ssl, а на csp, что может сбить юзероламера. Но это уже проблема автора документа следующего уровня - объясняющего, как применить вышепрочитанное к ssl. Каковой, вероятно, действительно следует написать... вот только кому от этого будет лучше?