- Регистрация
- 29 Окт 2018
- Сообщения
- 307
- Реакции
- 89
- Репутация
- 0
Jabber – старое название XMPP-протокола для мгновенного обмена сообщениями, которое до сих пор популярно у пользователей. На даркнет-форумах, как правило, используют просторечное название «жаба». Устройство XMPP-сети очень простое: есть XMPP-сервера, их много по всему миру, например jabber.ru. Вы выбираете себе сервер, регистрируетесь на нем аналогично тому, как регистрируетесь на любом сайте (если, конечно, владелец сервера предоставил возможность регистрации). В момент регистрации на сервере вам создается аккаунт в виде логина и пароля. Большинство XMPP-серверов для регистрации требуют только логин и пароль. Никакой привязки к мобильному устройству, почте или иным персональным данным. Новый аккаунт можно зарегистрировать за считанные секунды, а на одном устройстве одновременно использовать хоть сто аккаунтов. XMPP-сервер привязан к доменному имени, и ваш XMPP-аккаунт будет выглядеть так: уникальное_имя@доменное_имя_сервера, например, [email protected]. Это похоже на email, и многие пользователи путают их, пытаясь отправить электронное письмо адресату. В некоторых случаях вы можете встретить сокращение JID (Jabber ID) – это синоним XMPP-аккаунта. Регистрируясь на одном сервере, вы можете общаться со всеми пользователями XMPP, независимо от того, на каком сервере зарегистрированы они (если опять-таки нет никаких ограничений от владельца XMPP-сервера). Для общения по XMPP-протоколу используются специальные программы-клиенты. Их немало, и они есть на все популярные мобильные и десктопные платформы. Самые известные из них это Pidgin, Adium, Xabber и Psi+. Отличие Jabber-сети от других мессенджеров в децентрализации, или отсутствии единого центра. Вы сами можете настроить и обслуживать свой сервер, хранить или не хранить логи, определить политику сбора данных и сотрудничества с правоохранительными органами. По этой же причине Jabber сложно подвергнуть государственной цензуре. Миф XMPP – безопасный протокол, который не прослушивается даже спецслужбами. Реальность Владельцы XMPP-серверов могут спокойно перехватывать и читать переписки всех пользователей, кроме тех, которые зашифрованы. Они могут вести запись общения пользователей и хранить эти записи, могут видеть и вести логирование IP-адресов всех пользователей их сервера. Несмотря на все написанное выше, мы считаем XMPP на сегодняшний день лучшим решением в тех случаях, когда необходим максимальный уровень защиты коммуникации при мгновенном обмене сообщениями. Просто в протоколе XMPP по умолчанию нет надежного шифрования, но его можно добавить. Для того чтобы общение через XMPP стало максимально анонимным и безопасным: подключаться к Jabber-серверу следует только через Tor (этому мы вас научим); всегда использовать OTR/PGP-шифрование (несколько глав курса будут посвящены данному вопросу); использовать рандомный логин вроде [email protected]. Запомните эти три фундаментальных правила безопасного общения через XMPP. Проблема публичных Jabber-серверов в том, что они часто поднимаются любителями, которые просто не способны должным образом настроить безопасность. Со стороны вы никак не отличите сервер, поднятый профессионалом, который заботится о безопасности сервера, и сервер, поднятый любителем. Ежегодно в популярных движках Jabber-серверов обнаруживаются уязвимости, разработчики выпускают обновления, но владельцы XMPP-серверов не спешат их обновлять. Мы лично проверяли публичные сервера на уязвимости, находили их и сообщали владельцам, и не более 50% владельцев серверов исправляли их. А знаете почему? Многим из них не нужна ваша безопасность, им плевать на нее. У них нет никакой финансовой мотивации заниматься XMPP-сервером, потому как он не приносит денег. Единственный заслуживающий внимания способ заработка на XMPP-сервере - рассылка рекламы зарегистрированным пользователям, но его используют далеко не все администраторы. Только за время написания этого курса хакерами было взломано несколько популярных XMPP-серверов. В результате взломов был получен доступ к пользовательским аккаунтам и логам. Это стало известно, потому как хакеры хотели монетизировать свой успех и начали пытаться заработать на взломанных аккаунтах, из-за этого поднялся шум, и проблема стала общеизвестной. Если бы эти сервера были взломаны спецслужбами, общественность никогда бы не узнала об этом. Наверное, у вас может возникнуть вопрос, зачем нужен этот Jabber, если есть достаточно защищенных мессенджеров вроде Telegram? Правильно настроенный XMPP-клиент, включающий отправку только через Tor, анонимную регистрацию и PGP-шифрование, лучше хваленого Telegram. Более высокий уровень безопасности возникает благодаря разделению программной и серверной части. Говоря простыми словами, если вы ставите Telegram, приложение собирает о вас немало информации и привязывает ее к вашему аккаунту, соединенному с мобильным номером. Если вы столкнетесь с блокировкой аккаунта Telegram за спам и смените аккаунт на устройстве с переустановкой программы, то обнаружите, что программа узнала вас и новый аккаунт также заблокирован. В Jabber это невозможно, так как инсталлируемые клиенты практически не собирают данные, они не занимаются борьбой со спамом и блокировками пользователей, им эта информация просто не нужна, но даже собираемый ими минимум никак не связан с используемыми XMPP-аккаунтами (по крайней мере, в предлагаемых нами программах это так). Хотя XMPP и уступает самому анонимному, на наш взгляд, решению Bitmessage, при этом является несравнимо удобнее и предоставляет возможность вести мгновенный обмен сообщениями. Инструкцию по настройке Jabber мы дадим в следующих главах данной части.
Источник:
© CyberYozh security group
Источник:
© CyberYozh security group