Безопасность ICQ

Кулхацкеры знают про брутфорс, про вирусы. Ни разу не слышал, чтобы кто-то подбирался к серверам AOL и ставил сниффер перед ними. Открытый канал плох, если кто-то решит украсть лично Ваш пароль. А у кулхацкеров маленький бизнес, простые проверенные методы для получения максимума паролей. Они не будут, например, взламывать Ваш Wi-Fi, защищённый WEP'ом. Это требует времени, но не принесёт особой выгоды. Гораздо продуктивнее отправить миллион спам-писем с прикреплённым вирусом.

Ну как всё скучно и банально. Вы просто не в курсе последних модных тенденций. и сниферы на взломанных серверах провайдеров ставили ещё в прошлом веке. И центральные дээнесы ломали. а последнее модное направление, изобретённое на западе называется do it yourself sigint – кружок "умелые руки" по сигнальной разведке.

Сбор сведений с компьютеров посольств, военных ведомств, ООН, министерств, связанных с серъёзными отраслями промышленности и анализ их методами, которые ранее применялись только разведкой, причём так, что следы эти ведут вроде как непонятно куда (может за деньги всё на всех продают) – потому что собирают инфо на представителей властей всех государств сразу.

По-Вашему, если бы было заявлено "мы не собираем и не используем никакую информацию о пользователях", им следовало бы доверять больше?

Вовсе нет. Почему вы считаете, что одному утверждению нужно обязательно противопостовлять другое? В данном случае компании ICQ нужно сказать спасибо, хотя бы честность.

Вы упомянули пользовательское соглашение, в котором говорится, что AOL может использовать собранные сведения, как отрицательную сторону ICQ. Мне кажется, что текст соглашений не имеет значения. Спросил, что думаете об этом Вы. Вы согласны. Соответственно, не следовало упоминать это как минус ICQ.

Но я думаю трудно даже такую ситацию сравнивать с ситуацией, когда абсолютно все, включая пароли, идет через единственный ненадежный сервер.

Да, разумеется.

Ну и потом, к примеру если я пользуюсь надежным сервером, а мой корреспондент ненадежным, то мой пароль не проходит через тот самый ненадежный сервер. И с этим не согласны?

Пароль – нет. А вот текст сообщений проходит. И сервер вполне может отправить сообщение от имени Вашего собеседника. Хотя, конечно, это лучше, чем один сервер.

Это в любом из случаев потенциальная угроза, и весьма значительная. Использование защищенного канала здесь много значит, хотя бы уже в случае борьбы с плевателями в потолок, сидящими в службе поддержки местных провайдеров.

Да, правильно. Сначала не совсем верно понял суть темы и рассматривал только тех, кто рассылает сообщения "отправь смс" по icq – а это кулхацкеры, о которых сказано выше. А в целом – да, зашифрованный канал для передачи пароля – важно.

Просто внезапно родилась такая идея, подумал, что такого опроса еще не было.

Так в чём же смысл? Ещё раз: опрос "Что вам нравится больше – запорожец или мерседес" имеет право быть. Кто-то любит одно, кто-то другое. А вот опрос "Что быстрее – запорожец или мерседес" не имеет смысла, ведь скорость – объективная характеристика. Так же и здесь. Ладно...

Ну вот видите, оказывается вы и сами сделали свой правильный выбор :)

Мой единственный комментарий – "Гость (25/04/2009 20:37)"

А я вот хоть и пересдаил уже какое-то количество народу на Jabber, но одну свою знакомую не могу до сих пор уболтать, ей видети ли красивые смайлики в QIP нравются, и при этом даже QIPInfium ее не устраивает, не говоря уже о разных там PSI в костюме строго пошива

А потом смайлики сделают платными ;)
Psi поддерживает сменные наборы смайлов – можно достать из QIP'а и добавить в Psi.

Ну как всё скучно и банально. Вы просто не в курсе последних модных тенденций.

Да-да, неправ. Как уже сказал выше – имел в виду методы исключительно кулхацкеров, зарабатывающих деньги.

А я вот хоть и пересдаил уже какое-то количество народу на Jabber, но одну свою знакомую не могу до сих пор уболтать, ей видети ли красивые смайлики в QIP нравются...

Для самых упёртых есть телефон. С женщинами надо общаться вживую, а не лясы пальцы по сети точить :) По сети надо как раз общаться с умными людьми, думающими, чтобы общение было обучающим и плодотворным, и вот как раз таких людей пересадить на Jabber просто :) и 1001 агумент приводить в защиту такого шага им не надо.

Ну вот видите, оказывается вы и сами сделали свой правильный выбор :)

Мой единственный комментарий – "Гость (25/04/2009 20:37)"

Да это он мне ответил ;)

Гость:
Для самых упёртых есть телефон. С женщинами надо общаться вживую, а не лясы пальцы по сети точить :)

Это тема обсуждения для другого форума. Или добро пожаловать в этот раздел.

Гость:
Да это он мне ответил ;)

Извините, здесь сразу было трудно понять.

foo:
Вы упомянули пользовательское соглашение, в котором говорится, что AOL может использовать собранные сведения, как отрицательную сторону ICQ. Мне кажется, что текст соглашений не имеет значения. Спросил, что думаете об этом Вы. Вы согласны. Соответственно, не следовало упоминать это как минус ICQ.

Возможно, но поскольку у нас очень мало кто читает пользователськие соглашения, перед тем как начать использовать тот или иной сервис, думаю хотя бы небольшую вырезку привести было полезно.

foo:
Так в чём же смысл? Ещё раз: опрос "Что вам нравится больше – запорожец или мерседес" имеет право быть. Кто-то любит одно, кто-то другое. А вот опрос "Что быстрее – запорожец или мерседес" не имеет смысла, ведь скорость – объективная характеристика. Так же и здесь. Ладно...

Я думаю, что вопрос общего характера – что вам нравится больше – предполагает разные аспекты оценок, ведь есть люди для которых критерием выбора является красота интерфейса программы, в данном случае я поставил вопрос однозначный, что было понятно, о чем конкретно ведется речь, к тому же это прямо соответствует тематике сайта.
По поводу объективности – согласен, однако в случае использования разных IM систем эта объективность хоть и присутсвует, но внешне не является очевидной, по сранению с примером о скорости автомобилей. Ниже я привожу вырезку из статьи создателя PGP Циммермана Берегитесь ханаанского бальзама о разных продуктах криптографической защиты. Это разумеется немного другой случай, но определенные параллели в вопросах подхода к использованию разных систем в смысле их безопасности провести можно, например если сказать, что программа ICQ и программа Jabber клиента могут выглядеть на экране монитора внешне вполне одинаково.

В некотором смысле криптография аналогична фармацевтике. Её надёжность представляется критически важной. Плохой пенициллин на вид ничем не отличается от хорошего. Если с вашим текстовым редактором что-то не так, вы это увидите, но как вы определите надёжность своего криптографического пакета? Шифртекст, произведённый слабым алгоритмом, выглядит так же убедительно, как и шифртекст, сгенерированный стойким алгоритмом.

Они не будут, например, взламывать Ваш Wi-Fi, защищённый WEP'ом. Это требует времени, но не принесёт особой выгоды.

60 секунд на целенаправленную атаку. Вам самому не смешно?

Интересно, если бы товарищи, у которых некто Ястремский приобретал номера кридиток, столкнулись с WEP-шифрованием в TJ Maxx, это бы их остановило?

60 секунд на целенаправленную атаку. Вам самому не смешно?

И в третий раз повторю: имел в виду тех кулхацкеров, которые рассылают сообщения "отправь смс" и "одолжи денег" из взломанных ICQ. Им нет никакого смысла ломать Wi-Fi, чтобы, в лучшем случае, получить один UIN. Да они, небось, в большинстве своём и не умеют.

Да они, небось, в большинстве своём и не умеют.

Что-то мне думается, что появление программ выполняющих эту функцию и имеющих интерфейс из одной кнопки уже не за горами. Хотя скорее всего они уже есть.

лучшем случае, получить один UIN.

Hint: офисы. :)
Я как-то не уверен, что тут всё хорошо.

Надо сделать Однокнопочную установку какой-нибудь шифрующей надстройки над аськой, причём можно чтобы автоматом отвечала стучащимся: "пойди и нажми".

... и чтоб использовать протокол аськи в качестве обёртки!

А то ведь практически вся переписка идёт в открытую через территорию "стратегического партнёра", что весьмаи не есть гуд для национальной безопасности.

Надо сделать Однокнопочную установку какой-нибудь шифрующей надстройки над аськой, причём можно чтобы автоматом отвечала стучащимся: "пойди и нажми".

Хоть какие надстройки, пароли все равно будут идти сверху, да и делать такие кнопочки вряд ли кто будет, что-то мне подсказывает. Проще будет перейти на Jabber. Тем более там уже существует нечто вроде Вашего предложения – включить SSL :)

А то ведь практически вся переписка идёт в открытую через территорию "стратегического партнёра", что весьмаи не есть гуд для национальной безопасности.

Точно!

Проще будет перейти на Jabber.

А обычному юзеру пофигу, что внутри. Если будет автоматизированный "однокнопочный" переход на джаббер с импортом прежних контактов и возможностью прежнего общения по ICQ, можно даже особо не распространяться о смене протокола – просто "неофициальный апгрейд на защищённую версию".

делать такие кнопочки вряд ли кто будет

А по совести этим должны были-бы заняться службы госбезопасности (если бы действительно были заинтересованны в безопасности государства). Остаётся надежда на народное информационное ополчение.

пароли все равно будут идти сверху

А это будут пароли тренспортного потока. ;) Пароли сквозного шифрования будут генерироваться надстройкой.

Главное, формат шифрованного сообщения должен предваряться комментарием типа "для прочтения сходите по ссылке и согласитесь на установку дополнения"

А обычному юзеру пофигу, что внутри. Если будет автоматизированный "однокнопочный" переход на джаббер с импортом прежних контактов и возможностью прежнего общения по ICQ, можно даже особо не распространяться о смене протокола – просто "неофициальный апгрейд на защищённую версию".

Так не получится, к сожалению. Для обеспечения большего уровня безопасности нужно в принципе выкинуть канал ICQ, иначе в этой затее нет никакого смысла.

А по совести этим должны были-бы заняться службы госбезопасности

Практически уверен, что госслужбы никогда не сертифицируют ICQ как безопасное средство обмена информацией.

А это будут пароли тренспортного потока. ;) Пароли сквозного шифрования будут генерироваться надстройкой.
Главное, формат шифрованного сообщения должен предваряться комментарием типа "для прочтения сходите по ссылке и согласитесь на установку дополнения"

К чему эти сложности, если c Jabber можно использовать SSL. Если требования к защите особые, то используйте дополнительно gpg.
Хотя для ICQ в принципе можно использовать и OTR, который некоторые клиенты, в основном линуксовые, могут использовать для защиты переписки, однако не следует забывать, что во первых, пароль все же идет верхом, во вторых, что ICQ/AOL запрещают использование не фирменных программ-клиентов. К тому же учитывайте, что количество знаков одного сообщения ICQ ограничено. В данном случае большой по объему открытый текст просто не вместиться и вы прочтете часть сообщения, шифрованное сообщение в данном случае окажется битым и просто не будет расшифровано.