[Mac OS X] Safety Jabber Pro — самый надежный Jabber-клиент. Спецоперация


Справочник анонима

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

  • «Как работают токены аутентификации и в чем их отличия от паролей»;
  • «Теория и практика шифрования почты»;
  • «Виды шифрования и защиты трафика, выбор софта»;
  • «Делаем шпионскую флешку с защищенной операционкой Tails».

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Давай прикинем, какие критерии должны соблюдаться мессенджером, чтобы он был действительно анонимным. У меня вышел вот такой список.

  1. Не требует ввода номера телефона.
  2. Не требует никаких личных данных.
  3. Нельзя пренебрегать шифрованием и общаться в незащищенных чатах.
  4. Должны быть хоть какие-то подтверждения приватности. Хотя бы в виде блокировок в разных странах.

Так как почти все новомодные мессенджеры не подходят по одному из пунктов, то лучшим вариантом для безопасного общения остается Jabber — известно, что даже специалисты АНБ используют его для переписки.

Мобильный телефон c Java

НазваниеПротоколыЦенаРекомендацииСсылкаQIP MobileQIP.ru, Jabber, Mail.ru, Вконтакте, Яндекс и другиеДля того, чтобы заполнить поле, наведите на него курсор и нажмите «5». Чтобы добавить новый контакт, нужно поставить курсор на название своей учетной записи и нажать кнопку, которая находится под значением «КМ» в меню внизу экрана. При добавлении новых контактов через мобильный QIP могут возникнуть проблемы с авторизацией (она может не дойти или дойти с большим опозданием) и вы не сможете отправлять сообщения новому контакту. Лучше добавить все необходимые учётные записи jabber на компьютере.IM+ICQ, Jabber, MySpace, Twitter, Skype Chat, Facebook, Google Talk, Yahoo, MSN/Live Messenger, AIM/iChat.$1.99Несмотря на то, что есть бесплатная версия с рекламой, рекомендуем покупать платное приложение. Приложение может несколько раз запросить на подключение к сети. О. В качестве хоста введите то, что написано после @ в вашем Jabber ID. После настройки На английском языке.Mail.ru АгентICQ, Jabber, Одноклассники, ВКонтакте, Facebook, Gtalk, Я.Онлайн, QIPДля того, чтобы заполнить поле, наведите на него курсор и нажмите «5». Для использования приложения, у вас должна быть зарегистрирована учётная запись Mail.Ru. Если её нет, приложение поможет её зарегистрировать. Все новые контакты добавляются через поиск. Иногда приложение не может найти через поиск нужную учетную запись jabber. Поэтому лучше добавить все необходимые учётные записи jabber на компьютере.BombusJabberЧтобы открыть окно чата с контактом из списка, нажмите «5».PalringoICQ, Jabber, MSN, AIM, Yahoo!, Google Talk, Gadu-Gadu and Facebook Chat.Можно купить премиум-аккаунт, который позволяет изменять темы и аватары. Для работы с приложением нужно зарегистрировать свою учетную запись Palringo. При добавлении jabber в качестве домена и сервера введите то, что написано после @ в вашем Jabber ID. После подключения jabber, перейдите с помощью движений джойстика вправо на вкладку с изображением человечка. Там будут все ваши контакты из списка. При добавлении новых контактов через Palringo могут возникнуть проблемы с авторизацией (она может не дойти или дойти с большим опозданием) и вы не сможете отправлять сообщения новому контакту. Лучше добавить все необходимые учётные записи jabber на компьютере.

Пара слов о приватности

Под словом «приватность» обычно подразумевают две довольно разные по своей сути вещи. Первая — защита твоих данных от мониторинга государством и извлечения из них выгоды корпорациями. Вторая — защищенность от целенаправленной прослушки третьими лицами (к примеру, ради шантажа или промышленного шпионажа). Для нас важны оба этих аспекта, но нужно понимать, что во втором случае абсолютных гарантий не бывает. Можно предвидеть технические способы деанона (к примеру, от MitM защитит любой мессенджер с шифрованием), но существуют и другие. Опытный специалист постарается использовать для поиска любую выданную тобой крупицу информации, не говоря уже про методы социальной инженерии.

Но чтобы Jabber стал по-настоящему безопасным, его нужно правильно настроить, чем мы сейчас и займемся. Я для наглядности разделил этот процесс на несколько шагов.

THESECURE

Безопасность

PSI + SSL + GnuPG = security
Введение в Jabber

Сейчас есть большое количество различных сред общения в сети. Наиболее популярными являются ICQ и IRC.

Общение по протоколу Jabber позволяет совместить плюсы обоих этих систем, и добавить многие другие возможности. Например, возможность шифрования передаваемого трафика.

Мы настоятельно рекомендует вам пользоваться шифрованием самих сообщений. Хорошим выбором будет использование системы GnuPG. Зашифрованные сообщения возможно передавать любым способом. Если вы воспользуетесь приведённой ниже инструкцией, то сможете использовать GnuPG в клиенте Jabber. Вы пишите текст, GnuPG шифрует его, Jabber клиент передаёт шифротекст по ssl каналу на сервер, от сервера вашему собеседнику, GnuPG которого расшифровывает сообщение. Это позволяет использовать всю мощь системы шифрования с приватным и публичным ключами в режиме онлайн.

В режиме чата использование GnuPG невозможно, исходя из самой схемы шифрования. Но шифрование пакетов на транспортном уровне всёравно происходит.

Теперь подробнее о технической стороне.

В системе Jabber у каждого пользователя есть своя информационная карточка — vCard. Но протоколы Jabber не позволяют производить поиск пользователя по vCard. Если вы хотите чтобы вас могли найти (добавить в контакт лист можно и без этого), зарегистрируйтесь в каталоге пользователей.

Jabber ID — ваш идентификатор в системе, состоит из двух частей.

Ваш ник, например — mynick. Сервер — thesecure.biz. Таким образом, Jabber ID =

Для соединения с сервером, вам необходимо скачать клиент. Хорошим выбором будет клиент Psi

Установка и настройка Psi + GnuPG

После установки клиента зарегистрируйтесь. Для регистрации выберите себе Jabber ID и пароль. Вход: укажите ваш Jabber ID и пароль (сохранение пароля в клиенте — лежит на вашей совести). Psi определит сервер автоматически. На вкладке Connection должны быть установленны две галочки — Use SSL и Send «Keep-Alive».

Для того чтобы при каждом соединении Psi не выдавал предупреждения, вы можете добавить сертификат сервера в файл Psi\certs\rootcert.xml либо отменить варнинги по поводу SSL: ignore SSL warnings.

Обратите внимение, что в самом файле rootcert.xml переносов строк между тегами быть НЕ ДОЛЖНО. Т.е. их нужно удалить, когда вы будете редактировать файл rootcert.xml.

Теперь ваш клиент готов к соединению к серверу. Если подключение пройдёт нормально, то Psi попросит вас заполнить карточку vCard.

Если вы хотите добавить функционал GnuPG (что мы рекомендуем).

Скачайте и установите пакет GnuPG. Определите место где вы будите хранить ваши ключи. Например, это будет папка C:\archive\gnupg. Запустите regedit. В HKEY_CURRENT_USER\Software\GNU\GnuPG добавьте строку HomeDir, со значением C:\archive\gnupg соответственно. Теперь, в свойствах моего компьютера добавьте в переменную окружения PATH путь к самой программе — C:\Program Files\GNU\GnuPG. Разделитилем служет сивол — ;. Перезагрузите компьютер, чтобы система подхватила новый PATH.

После перезагрузки надо запустить cmd.exe. cd C:\archive\gnupg — чтобы всё сохранялось в этом каталоге. gpg —gen-key — генерация личного ключа, выбор — 1 Эль-Гамаль. Длинна ключа 4096. Срок действия 10 лет. Теперь введите ваше имя или ник (не менее 5-ти символов), почтовый адрес и комментарий. Пароль нужно выбрать не менее 10-ти символов. Для генерации, программе необходимо много случайных данных, по этому он требует нажимать на кнопки клавиатуры и производить движения мышью.

Когда ключи будут созданы, выполните gpg —output revoke.asc —gen-revoke astr0 тут вместо astr0 укажите ваше имя или почтовый адрес, который вы указали ранее. Создание revoke.asc — не обязательно, но рекомендуется. Причину отзыва можете не указывать.

Теперь всё готово.

Перезапустите Psi. Зайдите в Account Setup. Нажмите Modify. В главной вкладке (Account) нажмите Select Key. Укажите ваш ключ. Пароль от приватного ключа сохранять не рекомендуется.

Если всё прошло удачно, то при попытке соединения с сервером Psi затребует пароль от ключа GnuPG.

Чтобы другие люди могли шифровать сообщения и передавать их вам, сделайте экспорт публичного ключа. Например так gpg —output astr0.gpg —export Теперь можете выложить этот ключ для всеобщего доступа.

Чтобы импортировать чей-то ключ, выполните gpg —import astr0.gpg

После импорта перезапустите Psi. Чтобы отправить шифрованное сообщение в Psi, нажмите замочек в панеле инструментов привата.

Внимание! Логи! Логи все еще сохраняются. Их можно или отключить, или сменить директорию для их хранения, поставив например директорию, находящуюся на зашифрованном диске. По умолчанию логи лежат в disk:\Documents and Settings\username\PsiData (для NT систем) Достаточно просто поставить переменную окружения с именем PSIDATADIR значением вашего нового каталога (right-click on My Computer -> Preferences -> Advanced tab -> Environment variables).

Есть и другой вариант. Для этого в папке с установленным PSI создайте файл psi.bat со следующим содержанием: set PSIDATADIR=%CD% start Psi И запускайте PSI только через этот файл. Тогда все профили будут храниться в папке с клиентом. Если бы хотите выставить другую директорию для логов, замените %CD% на полный путь до необходимой папки. Также достаточно неудобно использовать консоль для генерации новых ключей и добавления публичных ключей собеседников. Для удобства создана графическая оболочка GPGshell, имеющая поддержку русского языка. Если все действия, описанные выше в статье вы выполнили, то GPGshell установится и будет работать без всяких проблем.

Автор: astr0. Правка/дополнение: nerezus, mr. Secure.

Мелочи имеют значение

Возьмем для примера выбор никнейма. Казалось бы, элементарный пункт, но многие палятся именно на нем. Ты можешь не помнить, что уже использовал его где-то еще, а вот Google помнит все.

Второй тонкий момент заключается в том, что хорошо бы не использовать никнеймы с символами, у которых есть кириллический аналог. Не на всех серверах настроены фильтры, которые запрещают такие трюки, так что у тебя в какой-то момент может появиться близнец, буквы имени которого не отличаются на вид, но имеют другие коды.

Обзор протокола Jabber

Хотя XMPP не привязан к какой-либо сетевой архитектуре, но реализация сеанса взаимодействия осуществляется по схеме клиент-сервер. Клиент должен подключиться к серверу через протокол TCP/IP, а сами серверы взаимодействуют друг с другом посредством TCP-транспорта. По умолчанию для связи клиента с сервером используется порт 5222 (стандартизованный IANA «xmpp-client»), а для взаимодействия между серверами используется порт 5269.

Jabber (XMPP) – это расширяемый протокол на основе XML для обмена сообщениями и данными о присутствии. Jabber позволяет реализовывать ПО для обмена сообщениями между двумя любыми сетевыми конечными точками в режиме, близком к реальному времени.

Отличительной особенностью Jabber является то, что он позволяет использовать собственные серверы в качестве шлюзов между другими IM-протоколами. Однако в некоторых случаях из-за закрытости коммерческих IM-систем данная функциональность может работать нестабильно.

В сети Jabber каждый пользователь получает уникальный идентификатор, так называемый JID (Jabber ID). Этот идентификатор содержит имя пользователя и доменное имя сервера, на котором он зарегистрирован (например, [email protected]).

Несомненным плюсом является то, что Jabber-сервер можно изолировать от публичных сетей и использовать его только в локальной сети компании. В протоколе XMPP при необходимости обеспечивается защита потока информации от фальсификации и подслушивания и поддерживается шифрование, что повышает уровень его защищенности. Кроме этого клиенты могут самостоятельно применять PGP/GPG-шифрование внутри протокола.

Наверное, главным недостатком протокола является то, что передаваемая информация крайне избыточна, так как более 70% трафика XMPP составляют статусные сообщения о присутствии. Еще одной проблемой может оказаться то, что посредством данного протокола невозможно передавать не модифицированные бинарные данные. Поэтому для передачи файлов приходится использовать дополнительные протоколы.

Выбор подходящего IM-решения

В качестве примера будет рассматриваться средняя компания со штатом в 160 служащих с разветвленной структурой, состоящей из множества офисов и рабочих мест, удаленных от главного подразделения. Организация голосовой связи для всех сотрудников компании требует значительных финансовых затрат, поэтому организовать телефонное общение оказывается не всегда возможным. С другой стороны, связь с удаленными подразделениями необходима для организации продуктивной работы, обмена информацией и взаимодействия сотрудников друг с другом. Использование IM-системы на основе Jabber будет удобным и целесообразным выбором для решения данных задач.

Применение протокола XMPP в корпоративной сети позволяет достичь приемлемого уровня безопасности в первую очередь за счет установки корпоративного сервера Jabber. Это дает возможность ограничить трафик сообщений корпоративной сетью, а для сотрудников, не имеющих доступа к корпоративной сети, можно организовать защищенный канал для связи с центральным офисом. Также протокол XMPP позволяет реализовать подобное решение с использованием межсерверных связей (в том числе с использованием SSL).

Так как предполагается, что IM-система будет одновременно обслуживать максимум 150 клиентов, то нет необходимости в дорогом серверном оборудовании. Для подобной нагрузки будет достаточно простого офисного системного блока с увеличенным объемом памяти. В качестве операционной системы будет использоваться Linux-дистрибутив OpenSUSE, который распространяется под лицензией GPLv2, так что его можно свободно устанавливать и использовать.

Из всего многообразия Jabber-серверов был выбран OpenFire, так как это кроссплатформенный Jabber-сервер, написанный на языке Java и поддерживающий большое количество клиентов: Miranda IM, QIP Infium, Spark, Trillian Pro, Gaim, Panddion, Psi, Exodus, Pidgin, Kopete.

К его особенностям стоит отнести удобный и функциональный Web-интерфейс. Также в сервер OpenFire реализована интеграция с Active Directory и возможность расширения функционала за счет огромного количества плагинов. Сообщения и профили пользователей будут храниться в базе данных, работа с которой реализована через JDBC. Поэтому в качестве БД можно использовать любую реляционную СУБД с поддержкой JDBC или встроенную в OpenFire СУБД HSQLDB.

Рейтинг
( 2 оценки, среднее 4.5 из 5 )
Понравилась статья? Поделиться с друзьями: