Главное Авторские колонки Вакансии Образование
755 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Почему эксперты по безопасности предпочитают устаревшие почтовые клиенты

Почему многие специалисты по компьютерной безопасности предпочитают использовать для общения устаревшие email-клиенты. Разбираемся в нашем новом материале.
Мнение автора может не совпадать с мнением редакции

В нашем блоге мы много пишем о создании email-рассылок и работе с электронной почтой. Многие люди пользуются email, но ИТ-специалисты здесь несколько выделяются — у них есть свои предпочтения по стилю общения, кроме того, некоторые из них используют не самые популярные у широких масс инструменты.

К примеру, многие ИБ-эксперты до сих пор работают с почтовым клиентом mutt, предшественником которого был консольный клиент elm. Издание Motherboard опубликовало материал о причинах такой любви к устаревшим средствам общения, а мы подготовили его адаптированный перевод.

Четверть века назад чтобы проверить электронную почту, нужно было использовать мейнфрейм и работать консольным почтовым клиентом вроде elm или pine. Сегодня, многие эксперты по безопасности всё еще используют и советуют mutt.

Кристофер Согхоян (Christopher Soghoian), главный технический специалист ACLU (American Civil Liberties Union, Американский союз защиты гражданских свобод), сообщил, что он является несчастным пользователем mutt.

Тот факт, что я использую mutt, не означает, что мне это нравится, – пишет Кристофер. – Я терпеть его не могу. Я мечтаю о лучшем решении, но пока не нашел его.

Так почему же пользователь, заботящийся о своей безопасности, должен работать с mutt?

Просто – значит надёжно, – говорит Марек Тузински (Marek Tuszynski) из Tactical Technology Collective – неправительственной организации, обучающей активистов и репортёров средствам цифровой конфиденциальности и безопасности. В общем, консольные инструменты имеют более простой дизайн, состоят из меньшего количества строк кода без уязвимостей (Java, Flash и т.д.). Всё это повышает безопасность программы в целом (меньше ошибок, выше стабильность).

Я не хочу, чтобы мой почтовый клиент использовал движок рендеринга или интерпретатор JavaScript, – пишет Согхоян. – Чем меньше возможностей для атаки, тем лучше.

Если верить OpenHub.net, mutt запускается всего лишь на сотне тысяч строк кода, тогда как Thunderbird вместе с Enigmail состоят почти из миллиона. В браузере Firefox их 14 миллионов, а Chromium, база для Google Chrome с открытым исходным кодом, состоит из 17,4 миллионов строк кода.

Количество уязвимостей, найденных в mutt за последние 10 лет, ничтожно мало по сравнению с уязвимостями в браузерах вроде Firefox и Chrome и почтовых клиентах, таких как Outlook и Thunderbird.

Как говорит Согхоян, (Mutt) не является веб-браузером, поэтому он и не имеет такого огромного количества уязвимостей для атак, как веб-браузер.

В наши дни, когда организованные атаки на пользователей становятся обычным делом, максимизация безопасности устройствеа конечного пользователя является важной для многих. В дополнение к mutt, технически подкованные пользователи переходят на консольные OTR чат-клиенты, такие как xmpp-клиент от Адама Лэнгли.

Протокол Off-the-Record Messaging (OTR) предлагает функции для шифрования чата, которых, судя по документам Сноудена конца 2012 года, было достаточно, чтобы избежать массовой слежки. Однако проблема безопасности на стороне конечного пользователя состоит в том, что Pidgin и Adium, два наиболее популярных OTR чат-клиента, основаны на библиотеке libpurple, безопасность которой находится под вопросом.

По данным Сноудена, правительство США не смогло взломать сообщения, закодированные с использованием протокола OTR

Да, я использую xmpp-клиент Jabber для переписки, – пишет Согхоян. Но к нему у меня также двойственное отношение. Мне нравится, что он написан на Go, не использует libpurple и не имеет различных ненужных дополнений типа эмодзи. Но его пользовательский интерфейс ужасен. Жду не дождусь, когда кто-нибудь создаст для него графический интерфейс.

Но повышение безопасности негативно влияет на юзабилити, и это плохо – ведь неважно, насколько безопасна платформа, если ею никто не будет пользоваться. Программы со сложными консольными командами используются только технически подкованными пользователями. Появится ли когда-нибудь надёжное и безопасное средство общения для массового пользователя?

Хmpp-клиент веселее, чем кажется

Я в восторге от Ricochet: у него нет центрального сервера и утечек метаданных, – пишет Согхоян.– Но он ещё не готов к запуску и даже не был основательно протестирован.

Pond (ещё одно детище Адама Лэнгли) – также отличный проект и пример того, как может выглядеть безопасный почтовый сервис будущего, – добавляет Согхоян. К сожалению, Адам не хочет, чтобы люди использовали pond, и у Адама не очень много времени для работы над ним. Если бы pond находился в активной разработке и был готов к запуску, я бы с радостью обменял на него электронную почту и pgp.

Однако Тузински отмечает, что безопасность на стороне конечного пользователя зависит не только от используемых инструментов. Для нас важно уделять внимание не только цифровой безопасности информации, – пишет он, – но и безопасности пользователя: физической и психологической. Проблема, которую нужно решить, является более широкой, чем просто выбор между приложением с консольным или графическим интерфейсом.Другие материалы по теме email в блоге Печкина:

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем