Торификация почтового клиента, работающего через протокол IMAP
Завел почту на aol.com, создал аккаунт в Mozilla Thunderbird, торифицировал его, установив соответствующие настройки.
Аккаунт настроил на работу по протоколу IMAP.
Отправил несколько писем в тестовом режиме, посмотрел их заголовки – вроде бы пришли анонимно, с парижского ip.
Однако как ни странно, все письма отправлены с одного ip, хотя я их отправлял несколько, давая между каждыми команду sudo pkill -1 tor, что должно было поменять торовские цепочки.
+ tcpdump в ряде случаев показывает прямой контакт с севером по протоколу IMAP, идет масса каких-то UDP (которые не торифицируются), и в tcpdump и wireshark вижу контакт через ssl/tls с хостом 76.73.76.74, несмотря на смену цепочек.
whois не показывает, что он относится к aol, но учитывая, что параллельно идет коннект с разными узлами tor (которые меняются при производстве указанной команды), а также, что этот айпи американский, есть подозрение, что это прямой коннект с ними.
Это проблема с протоколом IMAP? (Я раньше пользовался через POP). Или это проблема именно с AOL?
P.S. Почему именно aol – потому что нужен бесплатный заграничный сервис, раньше юзал гмыл, но они теперь для активации новых аккаунтов требуют моб. телефон, чтобы активировать через смс
IMAP — протокол приёма почты, а не отправки. Шлётся почта только по SMTP. Если SMTP незащищённый (на порт 25), то удивительно не то, что все данные идут через один узел Tor, а что нашёлся хоть один узел Tor, поддерживающий такой трафик.
А каким образом торифицировать почтовый клиент? Просто указать ему на локальный прокси 127.0.0.1? Конкретно интересует настройка The Bat, под IMAP
Лучше пользуйтесь web-почтой, там 25 порт не нужен.
Укажите в качестве socks-прокси адрес 127.0.0.1 и порт 9050 (умолчальный порт Tor'а, если его не меняли). Получать почту по IMAP и POP сможете без проблем; отправка по SMTP может вызвать трудности. Более того, работать таким образом с почтой весьма небезопасно: exit-узел Tor может перехватить пароли к почтовым ящикам. Очень жалетельно обзавестись почтой с поддержкой SSL. Помимо защиты трафика это облегчит отправку почты: exit-узлов, разрешающих выход на 465-й порт (SMTP over SSL) значительно больше, чем с выходом на 25-й.
Получать почту по IMAP и POP сможете без проблем; отправка по SMTP может вызвать трудности. Более того, работать таким образом с почтой весьма небезопасно: exit-узел Tor может перехватить пароли к почтовым ящикам
Небезопасно работать только на отправку ( SMTP ) и по IMAP и POP в равной степени? А потом, что разве уже такого рода софт появился в открытом доступе? Где то об этом читалось, на англоязычном сайте каком то, но там шла речь об этом явлении скорее, как о теоретической возможности, чем как массовом явлении.
Очень жалетельно обзавестись почтой с поддержкой SSL. Помимо защиты трафика это облегчит отправку почты: exit-узлов, разрешающих выход на 465-й порт (SMTP over SSL) значительно больше, чем с выходом на 25-й.
Можно несколько примеров такого рода почтовых сервисов? Желательно имеющих русскоязычный интерфейс, и по возможности, бесплатных. Погуглил, ничего подходящего не нашёл. Один только berlin.de, он мне по ряду причин не подходит.
Пожалуйста, выделяйте цитаты[link1].
Если не используете SSL, всё одинаково: через exit-узел пароли и вообще трафик идут открытым текстом.
Никакого особенного софта не нужно, хватит tcpdump или любого другого сниффера.
Google Gmail. Было у нас обширное обсуждение этой темы, воспользуйтесь поиском (эффективнее искать через гугл, добавив в запрос site:pgpru.com).
[offtop] Может, стоит добавить на странице поиска галочку "искать в google"? )
[/offtop]
Google Gmail. Было у нас обширное обсуждение этой темы, воспользуйтесь поиском (эффективнее искать через гугл, добавив в запрос site:pgpru.com).
Из найденного следует, что из бесплатных почтовых сервисов только gmail предоставляет pop через ssl .. господа, может , кто-то знает еще такие сервисы? Gmail в связи с его требованием активации акканут чрез регистрационный код, присланный на мобильник, не подходит..
gmx.com
Да, вопрос еще в тему: а https , реализованный так, как это сделано в яндексе, не даёт защиты аналогичной SMTP over SSL ?
https://mail.yandex.ru
Сомнение вызывает только то, что шифруется не всё содержимое страницы, ну логин, пароль то точно.а вот само содержание письма..
SATtva, хотелось бы знать лично ваше мнение
Говорят[link2], что шифрование трафика имеется посредством TLS на стандартном 25-м порте. Если это STARTTLS (а не SSL с сертификатом), то остаётся вероятность MITM-атак, что несколько сложнее простой прослушки открытого текста.
Что там у Яндекса в его почтовом веб-интерфейсе, я не знаю. Может кто-нибудь другой подскажет.
1. А что лучше использовать с точки зрения безопасности/анонимности для получения почты, IMAP или POP?
2. При использовании порта 25 для исходящей почты, и ряда портов для входящей, лог тора ругается типа:
То есть, несмотря на то, что почтовый клиент торифицирован, содержание моей почты можно прочесть не только между экзит-нодой и сервером почты и т.д., но и между мною и ISP?!
Нет! Главная угроза — это сам exit-узел, оператором которого может быть первый встречный. Exit-узлы по понятным причинам способны читать любой трафик, передаваемый без сквозного шифрования (PGP, SSL и т.п.).
Он останется не встреченым, и третьим :)
И это совсем даже не угроза, всё зависит от точки зрения. Даже оператор узла, изначально намеревающийся порыться в трафике (если это не более специфичная атака с выборочным обслуживанием запросов), приносит пользу.
Конечно, всё равно вся почта доступна трёхбуквеннм агентствам, однако будет неприятно, если посторонний завладеет вашим паролём от ценного для вас аккаунта(например платёжной системы). Или интимным фото вашей жены.
SATtva (15/08/2009 14:14) Говорят, что шифрование трафика имеется посредством TLS на стандартном 25-м порте. Если это STARTTLS (а не SSL с сертификатом), то остаётся вероятность MITM-атак, что несколько сложнее простой прослушки открытого текста.
Что касается яндекса, то отправил запрос в саппорт, ответят в течении пары дней. А у гугла всё ещё проще, настройки его висят в хелпе :
Сервер входящей почты (POP3), требуется SSL:pop.gmail.com
Использовать SSL: Да
Порт: 995
Сервер исходящей почты (SMTP), требуется TLS:smtp.gmail.com (использовать проверку подлинности)
Использовать проверку подлинности: Да
Использовать STARTTLS: Да (для некоторых клиентов это называется SSL)
Порт: 465 или 587
Таким образом, и у гугла нет SSL с сертификатом. Кстати, чем так уж плох STARTTLS – он шифрует только логин и пароль, само содержание письма не шифрует ?
Каким образом им может быть доступна почта, отправленная через Tor и через сервер, расположенный в другой стране?! (Без учета возможности оказания "взаимной правовой помощи", которую вряд ли США или Европа будут оказывать России по таким запросам + далеко не каждый мент или фсбшник будет инициировать такой запрос).
Факт такой утечки никак не зависит от факта использования или не использования анонимными сетями и средствами. И зачем вообще что-то подобное, как такое фото, доверять интернетам, тем более открытым текстом.
Не скажите. Каждый может поставить себе tor-exit и перехватывать проходящий через него траффик. Некоторые так и поступают, причём, насколько я понимаю, это вполне легально! Без tor это делать сложнее и (вроде как) незаконно.
Ну, например, у меня стоит сервер TOR. Что дальше? Вы хотите сказать, что у меня есть время и желание копаться в проходящем трафике? Детсад, ей богу.
Каждый может поставить себе tor-exit и перехватывать проходящий через него траффик.
Если это трафик https , или SSL (шифрование с сертификатом ), перехватить его нельзя. Я как раз и задал гуру вопрос, чем отличается безопасность SSL с сертификатом от безопасности STARTTLS.. Подождём ответа..
Это зависит от страны обитания. В Штатах прослушивание трафика с эксита считается незаконным. Насколько понимаю, чтение чужой (по факту) корреспонденции в РФ, тоже незаконно, вне зависимости от того, что владелец узла может считать такой трафик своим.
Сложнее для кого? Вы настолько уверены, что это действительно для всех тех узлов обычных интернетов через которые путешествуют ваши пароли, фотографии, и почта?
Ну у вас нет, а у кого-то есть.
Для обычного оконечного пользователя.
Нпаример, вот: Взлом паролей десятков дипломатов[link3]
По прошествии лет, можно сказать что заголовок был верный. Но содержимое так себе. Шведу было нечего "ломать", всё было сломано до него без участия тор. Который использовали только как ширму скрывающую шпионскую сеть неизвестного происхождения (такая версия многое объясняет). Исследователю просто "повезло", что кто-то так нагло (и возможно глупо, если была техническая возможность использовать защищенные почтовые протоколы) засветил чьи-то почтовые аккаунты. Но счастье длилось не долго, спустя несколько месяцев исследователя аррестовали. Дальнейшую его судьбу можете отследить самостоятельно.
Но кто в действительности шарил почту: дипломаты, шпионы или хакеры, ответа нет — потому что они использовали тор :)
STARTTLS — это в сущности просто команда, посылаемая клиентом с предложением перейти на шифрованный канал. Дальше всё может проходить как просто с совместным секретом по TLS и без аутентификации сервера с помощью сертификата (т.н. оппортунистическое шифрование, обычно на том же стандартном 25-м порте), либо с аутентификацией с SSL-сертификатом (обычно, порт 465). Тут Вам вполне ясно намекают, что подразумевается полноценный SSL с серверным сертификатом.
Оставь надежду всяк, сюда входящий.
Это незаконно во всём "цивилизованном мире".
А на каком основании я не имею право на чтение памяти своего компьютера, особенно если я не подписывал на этот счёт никакого согдашения и никому не давал никаких обязательств на этот счёт.
На том основании, что помимо обязательств из договора у Вас есть и ряд обязательств из закона. Вы участвуете в связи третьих лиц (тут, кстати, ещё вопрос, как это сочетается с нормами ФЗ РФ "О связи", но здесь прошу не развивать, ибо офф-топик), а полномочия по организации и осуществлению законного прослушивания в большинстве стран являются исключительной прерогативой правоохранительных органов.
Не всё так просто. Припоминая перевод того правозащитного сайта, коим вы успешно занимались, вспоминается факт, что в ряде случаев обобщёное раскрытие информации законно, так как не скрывалось владельцем и считается, что он этим дал своё неявное согласие. Например, если на ваш монитор поглядит сотрудник спецслужбы, то он может использовать полученную инфу без ордера. Здесь нечто аналогичное: могут сказать, что люди, пользующиеся интернетом, добровольно соглашаются на прослушивание трафика со стороны передающих узлов, и отдают себе отчёт в этом. Вопрос чисто в трактовке закона.
Ну в том переводе был интересный пример, что если Вася Пупкин (или John Doe) откроет почтовый сервер, не зарегистрировав его как коммерческое предприятие, то он может делать с собранной почтой что-угодно: хоть взять и всё в открытую опубликовать.
С другой стороны, на экситы по каким-то юридическим заморочкам действительно распространяются нормы о том, что хотя они и не коммерческие, но право тайны связи для них соблюдать нужно.
В России непонятно как с этим делом. Вроде тайну переписки у нас должны соблюдать только коммерческие или государственные организации, а эксит-трафик можно приравнять к открытке? Но маловероятно, что такой вопрос вообще будет рассматриваться в таком аспекте.
SATtva (16/08/2009 19:16) Использовать STARTTLS: Да (для некоторых клиентов это называется SSL)
STARTTLS — это в сущности просто команда, посылаемая клиентом с предложением перейти на шифрованный канал. Дальше всё может проходить как просто с совместным секретом по TLS и без аутентификации сервера с помощью сертификата (т.н. оппортунистическое шифрование, обычно на том же стандартном 25-м порте), либо с аутентификацией с SSL-сертификатом (обычно, порт 465). Тут Вам вполне ясно намекают, что подразумевается полноценный SSL с серверным сертификатом.
Что касается гугла, всё понятно.
SATtva, а что вы имели ввиду под оппортунистическим шифрованием? Вот ответ яндекса, что касается почтового интерфейса : :
Вы можете настроить почтовый клиент на шифрованные прием и
передачу данных по протоколам pop3 over SSL (порт 995) и TLS (часть протокола
SMTP, порт 25).
Это SSL с сертификатом.
Утверждают, что это SSL с сертификатом сервера. Или , дело в том, что на 25 порту невозможно осуществить шифрование с сертификатом? Думаю, что это осуществимо на любом порту-технически, наверное, да. А что касается доверия- так так можно сказать про любую почтовую службу, для анализа качества исполнения протокола лично у меня нет достаточной квалификации, поэтому приходится идти окольными путями, используя сбор информации. Поправьте, пожайлуста, если неправ.
Это случай, когда программа-клиент пытается установить шифрованный канал. Если по каким-то причинам не удаётся, использует обычный нешифрованный.
Кстати насчет шведов и баянов. Похоже ремикс на тему порватого баяна в пятой точке, назревает[link4].
Пока всё по шведскому плану, первым идет выброс конечных результатов без комментариев. Комментарии от аналитиков вторых и третьих сторон доставляют тоже. Отличие лишь в анонимности баянистов, при том что вероятней всего эта кака-фония исполняется в рекламных целях одного тупого издания. Результат может оказаться более "забавным" чем кажется, в том числе самим баянистам.