Информационная безопасность для чайников

-Сергей Е.

Введение

В последнее время интернет стал очень популярен в среде левых активистов. В интернете публикуются статьи, ведется агитация, через почту и рассылки обсуждаются довольно важные вопросы, планируются акции. Интернет стал настолько привычным, что многие даже не задумываются о том, насколько надежен этот вид связи с точки зрения конспирации. К сожалению, наиболее популярные интернет-протоколы являются в этом отношении совершенно незащищенными. Так, вся почта, отсылаемая и получаемая через бесплатный почтовый ящик типа mail.ru, может быть прочитана не только хозяевами этого сервера (и всеми, кто им заплатит достаточную сумму), но и вашим провайдером, администратором локальной сети дома, интернет-кафе или фирмы на которой Вы работаете. Более того, в некоторых случаях эту информацию могут получить Ваши коллеги или соседи с помощью специальной программы-sniffer’а. Кроме того, злоумышленник может выяснить где именно географически Вы находились, когда отправляли или читали письмо, может вносить в него изменения по своему усмотрению. Все то же самое относится и к Вашей переписке через ICQ, в интернет-форумах или блогах. Фактически, Вы как на ладони для всех тех людей, которым просто любопытно знать, о чем и с кем Вы общаетесь, и для тех кому это положено знать по долгу службы. Однако, выход есть: Вам помогут средства стойкой криптографии.
Дискляймер
Криптография - это раздел математики, изучающий методы шифрования информации. То что на данный момент математики не нашли слабого места в каком-то алгоритме, не означает что они не найдут его через год, или появятся достаточно мощные компьютеры, чтобы взломать шифр перебором всех вариантов. Кроме того, даже самые стойкие алгоритмы шифрования оказываются бессильны против ударов по почкам и прочих методов, используемых криминальными структурами, крупными корпорациями и спецслужбами разных стран. Другими словами, никто не даст гарантии, что через некоторое время изложенные ниже методы защиты не окажутся недостаточно надежными, и что достаточно мощная организация не может получить всю необходимую информацию, просто добравшись (возможно, тайно) до Вас или Вашего компьютера. Однако, все способы обхода упомянутых в статье методов довольно сложны и дороги, поэтому они способны защитить от дилетантов, и частично - от спецслужб. Какая-нибудь ФСБ, пожалуй, способна повесить микровидеокамеру над клавиатурой главы организации, и получить его пароль, но контролировать таким образом абсолютно всех у нее вряд ли получится.
Немного терминологии
Криптография - наука, изучающая алгоритмы преобразования незашифрованных данных в зашифрованные и обратно, с помощью известного секретного ключа (или нескольких ключей). Как правила, все используемые в криптографии алгоритмы не секретны, опубликованы в открытой прессе, однако это ни как не ухудшает защищенность зашифрованных данных.
Криптоанализ - наука, изучающая различные способы взлома шифров, обмана криптосистем и защищенных протоколов. Криптографический алгоритм считается стойким, если не существует способов его взлома, кроме "метода грубой силы", то есть перебора очень большого количества вариантов. Миллиард - это не "очень большое", а вот единица с 20 нулями на момент написания статьи - то что надо.
Ключ - последовательность бит (то есть число), используемое криптографическим алгоритмом для шифровки или расшифровки сообщения.
Симметричное шифрование - класс алгоритмов шифрования, в котором для шифровки и расшифровки используется один и тот же ключ. Причем, имея исходную информацию и зашифрованную, невозможно восстановить ключ (здесь и далее будем под "невозможно" понимать невозможность что-то сделать с помощью криптоанализа, иначе как "методом грубой силы"smiley. Симметричные алгоритмы отличаются высокой скоростью выполнения на компах.
Асимметричное шифрование (с открытым ключом) - класс криптоалгоритмов, в котором для шифровки используется один ключ, а для расшифровки - другой. Причем, зная один ключ невозможно подобрать второй. Поэтому, ключи асимметричного шифрования создаются сразу парами, один из них сообщается всем заинтересованным лицам (открытый ключ), а другой - хранится в секрете (закрытый ключ). Таким образом, зашифровать сообщение открытым ключом может каждый, а расшифровать - только тот, кому известен закрытый ключ. Как правило, асимметричные алгоритмы шифрования работают сравнительно медленно, еще медленнее создается ключевая пара, поэтому обычно используется сочетание симметричного и асимметричного: для каждого сообщения генерируется одноразовый симметричный ключ (ключ сессии), все сообщение шифруется им, а потом к сообщению дописывается одноразовый ключ, зашифрованный открытым ключом. Тот факт, что для шифрования каждый раз используются разные симметричные ключи, гарантирует, что каждый раз на выходе алгоритма будет получаться различная последовательность бит, даже если на вход подавался один и тот же текст.
Хэш - необратимая функция, которая сообщению любой длины ставит в соответствие число. Причем, небольшие изменения в сообщении приводят к значительным изменениям хэша, и невозможно подобрать пару сообщений, имеющих одно и то же значение хэша. Хэш используется для проверки целостности сообщения (если в нем что-то изменили, то и его хэш обязательно изменится), и для создания симметричного ключа на основе текстового пароля.
Электронная подпись (ЭЦП) - запись, добавляемая к сообщению (зашифрованному или нет), позволяющая убедиться в том, что автор сообщения именно тот, кто вам нужен, и что злоумышленник не внес в него свои изменения. Как правило, ЭЦП - это хэш сообщения, зашифрованный закрытым ключом отправителя. Для проверки подписи необходимо расшифровать ее с помощью открытого ключа отправителя, вычислить хэш для сообщения и сравнить результаты. Если не совпали - вы под колпаком, бросайте все и уходите в горы партизанить!
Сертификат - специальный электронный документ, содержащий информацию о владельце сертификата (в частности, адрес его сайта) и его открытый ключ. Сертификат обязательно должен быть подписан Центром Сертификации (ЦС) - специальной организацией, отвечающей за проверку правильности информации, указанной в сертификате. Создание полноценного сертификата - процедура непростая: сама проверка занимает довольно много времени, ЦС как правило с физическими лицами не работают, и берут за свои услуги значительные деньги (порядка 200 $). Однако, можно создать сертификат организации (например, Комсомола) не заверенный ЦС, и зарегистирировать его во всех системах и браузерах членов этой организации как сертификат, которому можно доверять.
Общие рекомендации
Любая криптография (даже абсолютно надежная) совершенно бесполезна, если злоумышленник может получить доступ к Вашей системе. Установив специальную программу (т.н. "троянского коня"smiley, он сможет украсть у Вас любой файл, отследить последовательности клавиш, которые Вы нажимали и так далее. Поэтому, в первую очередь следует обезопасить себя от этой угрозы.
Если уж вы пользуетесь операционной системой Windows, то следует отдавать предпочтение версиям Windows 2000, XP и 2003 Server с установленным последним Service Pack’ом. Кроме того, регулярно устанавливайте патчи (лучше использовать автоматическую систему Windows Update). Обязательно установите антивирусную программу, и регулярно обновляйте ее базу данных (как правило, антивирусы позволяют это делать автоматически). Установите персональный Firewall (хотя бы тот, что входит в состав Windows XP SP2). Ограничьте количество установленных у Вас программ, оставьте только те, без которых никак не можете обойтись, регулярно их обновляйте. Если какой-то программой не пользуетесь - удалите ее с компьютера. Не устанавливайте "ради эксперимента" сомнительные программы из интернета. Не читайте приходящий к Вам по почте спам (а чтобы его было как можно меньше - не публикуйте свой e-mail в Интернете), удаляйте его сразу, будьте осторожны с присланными (даже от знакомых) по почте вложенными файлами. Если пользуетесь Microsoft Office, отключите там макросы. Отключите в почтовом клиенте JavaScript, показ картинок и HTML, а в браузере - Java и ActiveX. В качестве браузера оптимальным на данный момент является FireFox 1.5 (http://www.mozilla.ru/products/firefox), в качестве почтового клиента - Thunderbird 1.5 (http://www.mozilla.ru/products/thunderbird) или Marlin (http://marlin-mail.com/rus). Последний хорош тем, что позволяет маскироваться по другие почтовые клиенты, что усложнит работу потенциального противника: чтобы взломать программу, злоумышленнику нужно сначала выяснить, что он ломает, кроме того, разработчики уверяют, что в этом почтовом клиенте невозможно переполнение стека. Internet Explorer и Outlook Express лучше вообще снести, а Outlook (если на работе почта работает только через него) в конспиративных целях не использовать и внутренний рабочий e-mail ни кому не сообщать.
Все вышеуказанное желательно соблюдать не только дома или на своем ноутбуке, но и на рабочем месте. Кроме того, желательно на работе исключить группу администраторов домена из группы локальных администраторов Вашего компьютера (иначе админ вашей компании сможет делать с Вашим компом что угодно, например установить "троянского коня"smiley, а так же отключить всех локальных администраторов на вашей машине, кроме Вас. Если все это проделать не возможно, подумайте о том, стоит ли заниматься политикой на рабочем месте. Если работаете на чужом компьютере, например со своим flash-диском, будьте готовы к тому, что там помимо занесенного злоумышленником "трояна" может находиться и аналогичная программа, установленная хозяином компьютера.
Отходя от компьютера, блокируйте операционную систему (Ctrl+Alt+Del, затем Enter), уходя - отключайте совсем, не оставляйте без присмотра ноутбук (у кого он есть), флешку храните как свой кошелек или пластиковую карту.
Иногда провайдеры предоставляют услугу "белый IP-адрес", дающий возможность обращаться к Вашему компьютеру напрямую из интернета, а не только из локальной сети, открывая его тем самым для атак со стороны различных вирусов и злобных хакеров. В некоторых случаях такая возможность бывает полезна, но зачастую эта услуга - лишний риск и геморрой за ваш счет.
В последнее время у российских спецслужб стало модно изымать у подозреваемых системные блоки компьютеров. В таком случае они не только получают в свое распоряжение Ваше оборудование (которое как правило не возвращается), но и всю информацию с Вашего жесткого диска. В суде эту информацию использовать не законно, но в оперативной работе - без проблем. Поэтому, очень важно шифровать всю находящуюся на Вашем компьютере конфиденциальную информацию, и не допускать ёё сохранения на винчестере в незашифрованном виде. Для этого, установите какую-либо программу, позволяющую создавать зашифрованные диски, например, PGP (http://www.pgp.com/products/wholedisken … index.html) или TrueCrypt (http://www.truecrypt.org), и храните всю важную информацию на них. Кроме того, операционные системы (например, Windows) могут часть оперативной памяти временно сохранять на винчестер в неизменном виде. Это позволяет одновременно запускать больше приложений, использующих много памяти, но и может привести к тому, что система сохранит на диск фрагменты расшифрованной информации. Чтобы этого не происходило, установите на своем компьютере больше оперативной памяти (примерно раза в 2 больше, чем используете обычно) и отключите файл страниц (Page File). Кроме того, при переходе системы в "спящий режим" (Hibernate), все содержимое оперативной памяти также сбрасывается на винчестер, поэтому, пользоваться этим режимом не рекомендуется.
Пользуйтесь средствами шифрования и анонимной работы в Интернет постоянно, даже когда секретность и анонимность не требуется. Во-первых, это повысит нагрузку на организации, которые могут в данный момент вести за Вами слежку. Во-вторых, Вас не будет демаскировать сам факт использования этих средств (на вопрос: "а чего это Вы там шифруетесь?", всегда будет ответ: "А я всегда шифруюсь, даже когда анекдоты читаю!"smiley. По той же причине рекомендуйте всем своим друзьям и знакомым пользоваться описанными ниже приемами, даже если они политикой не интересуются, или состоят в других (в том числе, враждебных) организациях.
Пароль
Пароль должен быть, прежде всего, сложным. Идеальный вариант - случайный набор из букв (строчных и заглавных), цифр и знаков препинания, достаточно большой длины (например, символов 15-20). Составлять пароль из слов, дат и т.п. - плохая идея. Сейчас существуют неплохие программы, подбирающие пароли по специальным словарям. Наиболее умные программы для своей работы сначала просят ввести информацию о человеке, чей пароль требуется взломать: имя, фамилия, детское прозвище, имя любимой девушки и так далее, и используют эту информацию в своих грязных целях. Во-вторых, нельзя использовать везде один и тот же пароль. В противном случае, злоумышленник сможет перехватить Ваш пароль там, где это наиболее легко сделать, и получить доступ к более защищенным ресурсам. Идеальный вариант - использовать везде разные пароли, оставив один-два простеньких паролей для случаев, где секретность совершенно не важна.
Сочетание этих двух принципов приводит к тому, что Вам приходится запоминать или записывать на бумажку много очень сложных паролей. Запомнить это не возможно, а бумажка может попасть в руки потенциального противника. Поэтому, желательно использовать специальную программу для хранения паролей, например PasswordSafe (http://passwordsafe.sourceforge.net). Все пароли, которые эта программа сохраняет в базе данных (программа также позволяет генерировать случайные пароли заданной сложности), зашифровываются одним главным паролем, вот его-то Вам все-таки придется запомнить. Проще всего запоминаются пароли, в которых чередуются гласные и согласные буквы. Сначала запишите его на бумажке, потом, когда пароль запомните (через неделю примерно) - можете ее уничтожить. Не забывайте делать резервную копию базы с паролями, храните ее в надежном месте.
И, наконец, никто не отменял самый древний способ перехвата паролей: подглядывание. Старайтесь набирать пароль так, чтобы никто не смог его подсмотреть, то есть быстро, незаметно для посторонних, и для маленьких замаскированных видеокамер (которые сейчас свободно продаются по цене не дороже 100$).
WWW
При работе с веб-сайтами, используются два разных протокола: незащищенный HTTP и защищенный HTTPS (то есть HTTP поверх SSL). В первом случае все данные отправляются на веб-сервер и возвращаются обратно в открытом виде и потенциальный противник может не только читать их, но и вносить изменения по своему усмотрению. Например, может заметить, что Вы скачиваете с сайта дистрибутив новой версии ICQ и подсунуть Вам персональную версию, изготовленную лучшими специалистами в ФСБ. Выяснить, что она будет делать помимо основных функций ICQ, будет весьма непросто. В отличие от HTTP, протокол HTTPS использует шифрование с открытым ключом и электронную подпись. Открытый ключ передается с помощью сертификата, который автоматически проверяется браузером. Если URL, указанный в сертификате, не соответствует адресу интернет-сайта, браузер Вас предупредит. Протокол HTTPS гарантирует, что вся информация, которой Вы обменивались с веб-сервером (включая, различные пароли и т.д.) останется между вами. Однако сам сервер может быть взломан, информация с него (в том числе закрытый ключ) может быть выдана администратором сайта врагам, либо за умеренную плату, либо по решению суда.
Из всего вышесказанного следует, что пароли от большинства форумов или блогов могут быть легко перехвачены, а так же, если Вы пользуетесь веб-почтой, отдавайте предпочтение тем системам, которые позволяют к ним обращаться через HTTPS (https://mail.google.com, https://safe-mail.net и т.п.)
E-Mail
Во-первых, желательно пользоваться серверами электронной почты (POP3/IMAP и SMTP), поддерживающими соединение через SSL. В этом случае, по крайней мере, злоумышленники не смогут узнать Ваши почтовые имя и пароль, не смогут перехватить письма в момент отправки и извлечения из ящика. Но в то же время, письма будут идти совершенно незащищенными от прочтения и изменения уже между серверами. Кроме того, не надо забывать про так называемую beer-атаку (когда злоумышленник ставит ящик пива администратору почтового сервера, и получает полный доступ к Вашей почте) и системы типа СОРМ-2. Для борьбы с этим вопиющим безобразием в начале 90-х годов была разработана программа PGP, поддерживающая шифрование с открытым ключем и электронную подпись. Кроме того, существует альтернативная криптосистема GnuPG (http://www.gnupg.org), поддерживающая тот же стандарт шифрования (подробнее об использовании этой программы можно прочитать здесь, а так же на сайте http://pgpru.com). Система PGP имеет довольно богатые возможности: шифрование почты (PGP встраивается в почтовые клиенты), отдельных файлов, создание криптоконтейнеров (специальные зашифрованные каталоги, доступ к которым можно получить, набрав пароль), надежное удаление файлов.
Instant Messengers
Как не трудно догадаться, протокол ICQ тоже не предусматривает никакого шифрования и электронной подписи, то есть потенциальный противник может читать всю Вашу переписку, и даже отвечать за Вас. Конечно, можно сообщения шифровать и расшифровавать вручную с помощью PGP, но можно воспользоваться плагином PGP-ICQ (http://www.samopal.com/soft/pgpicq) или альтернативными клиентами аськи. Например, Miranda и Gaim (http://gaim.sourceforge.net) поддерживают шифрование, основанное на стандарте OpenPGP.
Анонимность
Под анонимностью понимается возможность скрывать свою личность при работе в Интернете. Причем, от всех, от кого Вам нужно.
Вариант №1: Вам нужно оставить сообщение на чужом форуме так, чтобы владельцы форуме не догадались, кто Вы и откуда. В большинстве случаев, когда Вы обращаетесь к интеренет-серверу, он определяет Ваш интернет-адрес (IP), и, возможно, сохраняет его. Впоследствии, владельцы сайта (или люди в форме, если очень хорошо попросят) могут поднять архивы и узнать, кто с какого адреса обращался к серверу и что делал. По IP можно вычислить Ваше географическое положение (точнее, Вашего провайдера), иногда - место работы. При большом желании, можно будет связаться с Вашим провайдером и выяснить точно, кто Вы, где живете и все такое. То есть, при наличии у владельцев сайта достаточного упорства и мозгов, они смогут выйти лично на Вас. В некоторых случаях это может быть опасно. Кроме того, зная ваш IP-адрес, злоумышленники смогут организовать хакерскую атаку на Ваш компьютер. Из данной ситуации возможно несколько наиболее простых выходов:
Использовать анонимные прокси-сервера. Прокси - это такой промежуточный сервер, который принимает от Вас все http-запросы и перенаправляет его веб-серверу. И веб-сервер "думает", что к нему обращаются не с Вашего адреса, а с адреса прокси-сервера. Список прокси можно посмотреть, например, тут. Списки работающих серверов постоянно изменяются, поэтому Вам придется их время от времени менять в настройках браузера.
Можно воспользоваться так называемым анонимизатором (например, http://anonymouse.org). Эта служба комбинирует адреса самого анонимизатора и сервера, к которому обращаются (например, http://anonymouse.org/cgi-bin/anon-www. … //rksmb.ru). При этом не нужно менять настройки веб-браузера.
Однако веб-сайты могут сохранять на Вашем компьютере специальные файлы (cookies), с помощью которых у них будет возможность идентифицировать Вас, даже если Вы измените свой IP. Дабы этого не случилось, отключите cookies, по крайней мере для этого сайта, или настройте их так, чтобы они удалялись при выходе из браузера.
Вариант №2: Злоумышленник следит за Вашим компьютером (например, через систему СОРМ-2), а Вам необходимо обратиться к некоторому веб-ресурсу (например, где изложена технология изготовления водородной бомбы в домашних условиях) так, чтобы враг об этом не узнал. Обычный прокси-сервер тут не поможет, так как злоумышленник увидит содержимое Ваших http-запросов, и поймет к чему именно Вы обращались через этот прокси-сервер. Возможный выход - использовать HTTPS-прокси, желательно находящийся в другой стране.
Вариант №3: Враг хитер и опасен. Он способен добраться до владельца любого прокси-сервера (даже если он живет в глухих джунглях Амазонки) и выбить из него всю информацию, которая осталась у него на винчестере. Таким образом, он пройдет всю цепочку прокси-серверов и нагрянет к Вам домой со своим верным АК-47, светошумовыми гранатами и ордером на Ваш арест, выданным Гаагским трибуналом. Но сдаваться рано. Для пущей анонимности Вы можете использовать сеть TOR (http://tor.freehaven.net). Внешне, клиент этой сети выглядит как установленный на Вашей машине прокси-сервер семейства Socks 4A. В комплекте с этой программой идет специальный HTTP-прокси сервер Privoxy, который тоже устанавливается на Вашей машине и подключается в первому прокси-серверу. Для подключения к ТОРу Вашего браузера, Вы указываете адрес и порт Privoxy (по умолчанию 127.0.0.1:8118), а FireFox 1.5 позволяет (после необходимой настройки) работать напрямую с клиентом ТОРа. В чем заключается основная идея этой сети? Сеть содержит достаточно большое количество серверов, каждый из которых имеет пару открытый/закрытый ключ. Клиент получает список работоспособных в данный момент времени серверов и их открытые ключи, затем создает случайную цепочку через несколько серверов (по умолчанию через 3), зашифровывает сообщение открытыми ключами этих серверов в определенном порядке. В итоге, все сервера кроме первого не знают, с какого адреса было отправлено сообщение. Все сервера кроме последнего, не знают, к какому серверу направляется сообщение. Кроме того, каждый сервер передает тысячи пакетов, пренадлежащих разным пользователям, а сами цепочки регулярно перестраиваются. В результате, выследить Вас сможет только очень могучая организация, затратив на это уйму сил и денег. Но, к сожалению, сеть TOR ничем не сможет помочь, если установленные у Вас программы сами передают некую идентифицирующую Вас информацию. Поэтому, желательно отключить в Вашем браузере Cookies (или по крайней мере только те cookies, к которым могут иметь доступ другие сайты, и включить удаленние cookies после выхода из программы), отключить Java, показ картинок, принадлежащих другим сайтам (не тому, который сейчас показывается), также желательно отключить JavaScript (оставив его для тех сайтов, которым Вы доверяете и которые без него работать не могут), а в почтовом клиенте отключите показ HTML и JavaScript.
Установить TOR очень просто: скачиваете версию для Вашей операционной системы и устанавливаете, запускаете TOR и Privoxy. В большинстве случаев, все сразу заработает. Если вы выходите в Интернет не напрямую, а через прокси-сервер, то в конфигурационном файле (называется torrc, находится в каталоге %USERPROFILE%\Application Data\Tor) надо установить параметры:
HttpProxy <сервер http-прокси>:<порт>
HttpsProxy <сервер https-прокси>:<порт>
Например, если адрес прокси-сервера 192.168.0.1, а порт - 3000, то параметры будут выглядеть так:
HttpProxy 192.168.0.1:3000
HttpsProxy 192.168.0.1:3000
Если прокси-сервер требует аутентификацию, например для доступа к прокси Вы используете имя Lenin1870, а пароль - PromedlenijeSmertiPodobno, то параметры будут такие:
HttpProxyAuthenticator Lenin1870smileyromedlenijeSmertiPodobno
HttpsProxyAuthenticator Lenin1870smileyromedlenijeSmertiPodobno
Наконец, если у Вас на работе системный администратор - натуральный фашист и позакрывал с помощью корпоративного Firewall все порты, кроме HTTP и HTTPS, то добавьте опцию:
FascistFirewall 1
Для работы в Интернете через TOR, на момент написания статьи, лучшие собаководы рекомендуют следующие программы:
Для веба - Mozilla Firefox 1.5.0.1: Зайдите в настройки программы, вкладка "General", нажимаете кнопку "Connection settings". Выбираете пункт Manual Proxy Configuration, в поле SOCKS Host пишете 127.0.0.1, в поле Port - 9050. Выбираете версию прокси: SOCKS v5. В поле No Proxy for пишете localhost, 127.0.0.1, затем нажимаете OK и еще раз OK. В строке адреса пишете такой хитрый адрес: about:config и нажимаете Enter. Находите параметр "network.proxy.socks_remote_dns" и устанавливаете его значение true. Если этот параметр не установить, то может получиться очень интересная ситуация: враг не будет знать наверняка, что Вы заходили на сайт pornuha.com, но будет знать, что Вы запрашивали у DNS адрес этого сайта, что не сможет навести его на некие подозрения.
Для FTP - программа FileZilla (http://sourceforge.net/projects/filezilla): установите программу (есть и русская версия). Выберите в меню "Правка" - "Настройка программы", выберите подпункт "Соединение" - "Настройки Proxy". Выберите тип SOCKS4A прокси, Хост: 127.0.0.1, Порт: 9050.
Для почты - Thunderbird 1.5.0.1 + GnuPG: установите программу. Заходите в настройки, вкладка "General", кнопка "Connection settings", там все заполняется как в браузере FireFox и нажимается кнопка OK. Затем выбирается вкладка "Advanced", кнопка "Config editor", там устанавливается значение параметра "network.proxy.socks_remote_dns" в true. Закрываете страницу дополнительных настроек, нажимаете OK.
Для аськи - бесплатный русский клиент QIP (http://www.qip.ru). Его достоинства - скрытный режим работы, а так же то, что он надежно прячет свой IP-адрес (в т.ч. внутренний) и поддерживает SOCKS4A. К сожалению, на данный момент он поставляется без открытых исходников, и что туда мог запрятать автор программы, одному Биллу Гейтсу известно. В крайнем случае, можно использовать веб-версию ICQ (http://www.icq.com/icq2go).
Для SSH - обычный клиент Putty. Те, кто использует SSH, смогут без проблем настроить клиент. Главное, не забыть установить значение параметра "Do DNS name lookup at proxy end" - Yes.
Если Вам потребовалось получить анонимный доступ с другого компьютера, Вы можете воспользоваться так называемыми портируемыми версиями программ (Portable Applications), которые можно скачать с сайта посвященного им (http://portableapps.com), кроме того, существует пакет TorPark 1.5 (http://torpark.nfshost.com), включающий в себя портируемую версию FireFox 1.5 и TOR (все уже настроенное для совместной работы). Все портируемые программы просто разархивируются, записываются на flash-диск, настраиваются. После чего, их можно запускать непосредственно с флешки, они не требуют установки и не сохраняют ничего лишнего на компьютере. К сожалению, большинству портируемых программ требуется возможность записи на диск, поэтому запускать их с CD или с защищенной от записи флешки невозможно. Программа TrueCrypt позволяет создавать портируемые криптодиски, то есть, вставив флешку в любой компьютер и набрав пароль, Вы получите доступ к своим зашифрованным файлам. Будьте осторожны! Регулярно проверяйте свой флеш-диск (на надежном компьютере) на наличие вирусов, троянов и тому подобной заразы.
Вариант №4: Вам необходимо отправить письмо так, чтобы никто не смог определить, откуда оно пришло. Для этих целей Вы можете использовать специальные почтовые сети, называемые ремейлерами (remailers). Одна из самых современных и надежных на данный момент - сеть третьего поколения Mixmaster, для работы с которой необходимо установить специальный почтовый клиент QuickSilver (http://www.quicksilvermail.net). Принцип работы этой сети похож на принцип работы TOR. Разница в том, что эта сеть использует также задержки между пересылками по цепочке, поэтому письма по этой сети идут сравнительно медленно (около суток).
Вариант №5: У Вас паранойя, Вам кажется что за Вами следят, прослушивают телефоны, установили наружное наблюдение, по ночам Вы слышите телефонные звонки… В таком случае, попробуйте использовать сочетание всех изложенных выше способов: через прокси выходите в сеть TOR, из нее через HTTPS-прокси отсылаете письма через Mixmaster, зашифрованные с помощью PGP. Если и это не поможет - обратитесь к психиатру.

Заключение
Всех перечисленных выше приемов будет явно не достаточно для обеспечения стопроцентной информационной безопасности. Чтобы защита была максимально полной, Вам придется разместиться со своим компьютером в подземном бункере (глубиной не меньше 30 метров), окруженном минными полями, непроходимыми болотами и километрами колючей проволоки. Доступ к Интернету должен производиться через оптоволоконный кабель, закопанный глубоко под землей. Обязательно следует уделять внимание минимизации теплового излучения бункера, которое хорошо регистрируется со спутников…


Версия 1.3, от 20 марта 2006
================================================

Краткое введение в асимметричную криптографию
Вместо введения
Интернет является многомерной сетью открытых каналов информации. Каждый раз, когда мы посылаем электронное сообщение, загружаем данные по FTP, или запрашиваем данные по HTTP (посещаем сайт), от одного конца до другого данные проходят через несколько узлов не подконтрольных нам ЭВМ. Протокол TCP/IP, наиболее широко используемый при передаче данных по Интернет, обязывает машины-посредники передавать пакеты данных следующей в звене машине (при этом протокол предусматривает контроль за целостностью данных). Больше протокол ни к чему не обязывает, и при обыкновенной передаче данных любая из машин-посредников может в закулисах выполнять произвольный набор дополнительных операций. Например, выявление и архивирование электронной корреспонденции, исходящей от лиц, занесённых в определённый список. Доступность данных посредникам-инкогнито — это факт, который вытекает из принципов работы компьютерных сетей; от этого никуда не денешься. Тем не менее, данные можно пересылать в виде, читаемом только известным нам адресатам.
Для этого необходимо воспользоваться технологией асимметричного шифрования . В её основе лежит ключевая пара . Состоит ключевая пара из открытого ( публичного ) и закрытого ( секретного ) ключей. (Грубо говоря, ключ — это выбранное специальным образом большое число.) Ключевая пара генерируется пользователем, причём после генерации становится невозможным восстановить секретный ключ по открытому. Открытый ключ рассылается всем желающим, а секретный — наоборот, обстоятельно защищается от внешнего доступа. Пользователи А и Б обзаводятся ключевыми парами. Чтобы послать зашифрованное сообщение пользователю Б, пользователь А вызывает функцию "зашифровать" с двумя параметрами — исходные данные и открытый ключ пользователя Б. Полученные зашифрованные данные можно прочесть только при наличии секретного ключа пользователя Б; их можно без опасения передавать по открытому каналу. При получении зашифрованных данных пользователь Б вызывает функцию "расшифровать" с двумя параметрами — зашифрованный текст и свой секретный ключ. В результате у него материализуются исходные данные пользователя А.
Для более удобной организации шифруемых данных и обмена ключами разработан стандарт "OpenPGP" (Pretty Good Privacy). Распространяемая на условиях GNU GPL (свободное распространение с открытыми исходными текстами) программа GNU Privacy Guard ("GnuPG" или "GPG"smiley работает по стандартам "OpenPGP". В применении она намного проще, чем обычно предполагают те, кто ни разу не встречался с ней.
Экспресс-настройка шифровальной системы
У пользователей Linux наверняка GnuPG уже установлена; пользователям Windows — загрузить дистрибутив "GnuPG", расположенный по адресу ftp://ftp.gnupg.org/GnuPG/binary/ . Далее распаковывать *.exe в каталог WINDOWS (или другой каталог из переменной окружения PATH ), создать каталог C:\GnuPG (или другой, см. файл *.reg в дистрибутиве).
С командной строки запускаем
gpg --gen-key
В процессе генерации выбираем пароль из 20 СЛУЧАЙНЫХ символов минимум. Рекомендуемая длина ключа — 4096 бит. Далее экспортируем открытый ключ:
gpg -a --export > pubkey.asc
и раздаём содержимое pubkey.asc корреспондентам.
Импортируем открытые ключи корреспондентов:
gpg --import ИМЯФАЙЛА
В дальнейшем, чтобы зашифровать, даём команду:
gpg -o ВЫХОДНОЙФАЙЛ -r ПОЛУЧАТЕЛЬ -a -s -e ВХОДНОЙФАЙЛ
Чтобы расшифровать —
gpg --decrypt ВХОДНОЙФАЙЛ > ВЫХОДНОЙФАЙЛ .
Зашифрованные сообщения
Необходимо заполучить открытый ключ адресата. Их присылают по электронной почте, размещают на веб-страницах, либо на специальных ключевых серверах типа keyserver.net .
Сверив отпечаток ключа (т. е., убедившись, что открытый ключ действительно принадлежит адресату), его необходимо занести в свою базу данных ключей. Для этого запускаем
gpg --import pubkey.asc
(при необходимости заменив "pubkey.asc" на полный путь и имя файла с открытым ключом).
Сохранив подготовленное сообщение в файле msg.txt , запустить
gpg -o msg.asc -r АДРЕСАТ -a -s -e msg.txt
Появится новый файл msg.asc с зашифрованным текстом, его содержимое скопировать в тело почтового сообщения и послать (как обычный текст, HTML и пр. изощрения не включать).
Чтобы расшифровать полученный зашифрованный текст, необходимо сохранить его в файл, например msg.asc , затем запустить
gpg --decrypt msg.asc > msg.txt
и расшифрованное сообщение появится в файле msg.txt .
Не забывайте: чтобы вам другие могли посылать зашифрованные сообщения, необходимо дать свой открытый ключ — его можно послать с сообщением или разместить на keyserver.net .
Дополнительная информация
Для более интуитивной интеграции с почтовым клиентом Outlook Express есть программное обеспечение на сайте http://winpt.sourceforge.net/.
Удобно пользоваться клиентом KMail, поддерживающим работу с электронными ключами. Он входит в оболочку KDE под Linux.

ЭТО ИНТЕРЕСНО ЗНАТЬ
В июле 1990 года лидер Революционного движения Тупак Амару (MRTA) Виктор Полай (Victor Polay) и сорок шесть его товарищей совершили знаменитый побег из тюрьмы Canto Grande в Перу через специально прорытый туннель длиной триста пятнадцать метров.
Однако в мае 1992 года полиция сумела найти компьютерный центр MRTA, получить из компьютера важную информацию о внутренней структуре движения, и уже 10 июня 1992 года Виктор Полай снова был арестован.
Этот провал, а также множество аналогичных мало повлияли на революционные организации и группы России и СНГ, члены которых с упорством маньяков вновь и вновь наступают на одни и те же грабли, оставляя в своих компьютерах важную информацию в незащищённом виде. Первое, что ищет ФСБ (или аналогичные структуры) при обыске, так это компьютер и информацию на его жестком диске, но не брезгует также CD-дисками и дискетами. И, как ни странно, она обычно находит там весьма интересные для себя вещи. Сделайте из этого вывод - необходимо шифровать свою компьютерную информацию.
Забудьте про примитивное шифрование паролями Word или WinZip. Так можно шифровать только письмо любовницы от собственной ревнивой жены, но не более того. В ФСБ есть специалисты по компьютерной безопасности, которые занимаются, например, обеспечением безопасности передачи денежных средств через компьютерные сети, компьютерной безопасностью банков и борьбой против хакеров. Они эти программы «взламывают» как орехи.
Необходимо использовать только программу PGP. Ею пользуются на Западе миллионы людей, не говоря уже о том, что это стандарт для всех революционных организаций мира. Вопреки некоторым распространяемым в Интернете безответственным слухам, она вполне надёжна и никогда не была взломана, разумеется, при грамотном её использовании. Её автор Philip Zimmermann пишет:
«Вы можете планировать политическую кампанию, обсуждать ваши налоги или заниматься разными незаконными делами. Или вы можете делать что-либо, чувствуя, что это не должно быть запрещено, однако является таковым. Что бы это ни было, вы не желаете, чтобы ваше личное электронное сообщение или конфиденциальные документы были прочтены кем-либо ещё, кроме адресата. Нет ничего некорректного в том, что вы хотите сохранить в тайне свою информацию. Подумайте об этом и как о форме солидарности.
Сообщения электронной почты слишком легко доступны для просмотра с использованием поиска интересующих ключевых слов. Это может выполняться легко, автоматически и постоянно, и обнаружить это трудно.
Если секретность вне закона, то только люди вне закона будут ею обладать. Секретные агентства имеют доступ к хорошей криптографической технологии. Такой же технологией пользуются торговцы оружием и наркотиками. Так поступают нефтяные компании и другие корпорации-гиганты. Но обычные люди и организации до сих пор в большинстве своём не имели доступа к криптографическим технологиям «военного уровня» с использованием открытого ключа. PGP позволяет гражданам самостоятельно наладить режим секретности. Сегодня для этого налицо возрастающая социальная потребность. Именно поэтому я и написал PGP.
В стандартных криптографических системах один и тот же ключ используется и для шифрования, и расшифровки. Это значит, что ключ первоначально должен быть передан через секретные каналы таким образом, чтобы обе стороны могли иметь его ещё до того, как шифрованные сообщения будут посылаться по обычным каналам. Это может быть неудобно.
В криптографической системе с общим ключом каждый имеет два ключа, однозначно и взаимно связанных между собой: общий ключ, распространяемый публично, и секретный ключ. Каждый из них дешифрует код, сделанный с помощью второго ключа. Знание общего ключа не позволяет вам вычислить соответствующий секретный ключ. Общий ключ может открыто публиковаться и широко распространяться через Интернет и электронную почту. Такой протокол обеспечивает секретность, и для его использования нет необходимости прибегать к использованию специальных каналов связи, которые необходимы для классических криптографических систем.
Любой отправитель может использовать общий ключ получателя, чтобы зашифровать для него сообщение, а получатель использует свой собственный соответствующий секретный ключ для расшифровки этого сообщения. Никто, кроме получателя, не может расшифровать его, потому что никто больше не имеет доступа к секретному ключу. Даже тот, кто шифровал сообщение, не имеет возможности расшифровать его».
PGP позволяет вести секретную переписку с гражданами из другой страны, с которыми вы никогда лично не встречались. Она «интегрируется» со всеми популярными почтовыми программами типа Outlook Express, это очень удобно. Предусмотрены интересные дополнительные опции, например, гарантированного уничтожения файлов без возможности их восстановления (wipe), очистка свободного места жесткого диска или дискеты от остатков плохо удалённых файлов, электронная подпись и многое другое.
Необходимо отметить, что секретный ключ в свою очередь защищён паролем, то есть даже если он будет обнаружен при обыске ФСБ, расшифровать хранящуюся у вас в папке зашифрованную электронную почту или архив файлов никто не сумеет. Разве что вас могут заставить раскрыть пароль под пыткой.
Русифицированной программы под Windows не существует, есть только английская и некоторые другие локализованные версии.
Домашняя страница PGP в Интернете: http://www.pgpi.org/
Есть два варианта программы: бесплатная (свободно распространяемая через Интернет) и коммерческая. Первая позволяет шифровать отдельные файлы. Коммерческая версия содержит дополнительную опцию PGPdisk, которая позволяет очень удобно сохранять большие архивы, состоящие из множества файлов, советую доставать именно её. Однако, коммерческий вариант версии 6.02, но только она одна, в своё время по недосмотру составителей случайно попала в Интернет:
http://www.pgpi.org/cgi/download.cgi?fi … re602i.exe
Версия 6.02 совместима с Windows 98 и XP.
Однако ещё лучше купить пиратский компакт-диск с последней коммерческой (проверьте это!) версией 8.0 и выше.
Хочу особо оговорить, что абсолютная безопасность при использовании PGP может быть достигнута, если вы работаете с ней аккуратно, в полном соответствии c руководством к программе, не допуская отступлений, не оставляя по небрежности незашифрованных или плохо стертых файлов, и т.д.
Подавляющему большинству активистов радикальной оппозиции не потребуется ничего большего, чем использование PGP. Но надо быть в курсе дела, что есть и более сложные технологии шифрования, это уже дебри, связанные с особо глубокой конспирацией. Изложу их очень конспективно, однако, надо быть в курсе, что существуют и расширенные возможности.
Сотрудник ФСБ, просматривающий вашу электронную почту через прослушивание телефонной линии, может обратить внимание, что вы обмениваетесь с кем-то сообщениями PGP, на основании чего он может вас заподозрить в излишней конспирации и злостной подрывной деятельности. Если вы налаживаете действительно очень серьёзные связи и у вас есть очень веские основания скрывать даже сам факт шифрования, то можно использовать специальные программы, которые позволяют завуалировать то, что вы шифруете свои сообщения электронной почты. Так, вы можете с кем-то обмениваться совершенно безобидными фотофайлами, например порнографическими, но внутри их специальной программой «вложено» сообщение, шифрованное, в свою очередь, PGP. Однако получатель специальной программой сначала «разделяет» полученный файл - собственно картинка отдельно, а шифровка отдельно, и затем расшифровывает документ.
Некоторым серьёзным зарубежным революционерам оказалось мало простого шифрования, которое не позволяет скрывать как свой собственный электронный адрес, так и адрес получателя. Например, вы хотите поместить в очень читаемую группу политических новостей сообщение, которое может быть расценено, скажем, как злостное подстрекательство к отказу посещать Макдональдс и покупать там хот-доги, но вы боитесь, что вас вычислят по вашему электронному адресу и арестуют по обвинению в подрывной и антигосударственной деятельности. Что делать? Надо осваивать ремайлеры (remailers). Это сайты, которые установили где-то за рубежом фанатики-программисты, выступающие за свободу информации в Интернете. Вы шифруете особым образом своё сообщение в группу новостей с помощью их общего ключа PGP и отсылаете его на remailer. Там оно автоматически расшифровывается и оттуда отсылается уже в открытом виде в группу новостей, указанную в вашей шифровке, с адреса электронной почты ремайлера. В этом случае ваше сообщение в группе новостей не содержит вашего личного адреса электронной почты. Возможно и использование цепочки ремайлеров из разных стран, если вы боитесь, что данный конкретный ремайлер, хозяев которого вы не знаете, является «подставой» ФСБ или ЦРУ.
Наиболее «продвинутые» ремайлеры даже позволяют организовать полностью шифрованную переписку в обе стороны, не раскрывая своего настоящего электронного адреса. Однако это более сложно, и чтобы хорошо освоить это программное обеспечение, придётся повозиться, тут есть масса нюансов.
Приведу пример возможностей использования такого ремайлера. Вы похитили, скажем, с выставочного стенда американской компании Макдональдс в Москве их новый опытный хот-дог, только что приготовленный по совершенно секретному фирменному рецепту, и надёжно спрятали его в так называемую «Народную тюрьму». Но как можно провести переговоры, не раскрыв при этом свой действительный адрес электронной почты? В процессе переговоров от вас могут потребовать предоставить фотографии и даже видеоклипы, свидетельствующие, что похищенный объект жив-здоров и действительно находится у вас.
Вы отправляете через ремайлер в Вашингтон президенту Макдональдса ультиматум с требованием зачитать ваше революционное антиамериканское воззвание по всем ведущим телеканалам США и заплатить за него революционный налог (выкуп). В противном случае вы грозитесь преступно съесть этот хот-дог вместе со всеми его уникальными кулинарными секретами. Президент компании отвечает вам по электронной почте, спорит с вами, торгуется. Вы отвечаете на его встречные предложения. ЦРУ и ФСБ с помощью программ фильтрации почты совместно безуспешно пытается выяснить, каков же ваш действительный электронный адрес, чтобы через прослушивание линий вашего провайдера вычислить ваше настоящее имя и местонахождение и арестовать вас по линии Интерпола. Но всё безуспешно. И только когда ваше воззвание, наконец, зачитано, а революционный налог получен, вы благополучно возвращаете фирме Макдональдс их злополучный секретный хот-дог, хотя и изрядно уже провонявший за это время. Несмотря на интенсивные международные переговоры, вы сумеете сохранить абсолютную анонимность.

Шифровальщик