Редактор Habrahabr, Geektimes
43,2
рейтинг
11 июля 2013 в 22:26

Разработка → Ким Дотком (Mega, Megaupload) собирается запустить защищенный от прослушки мессенджер и электронную почту



В общем-то, не нужно быть Вангой, чтобы догадаться, что после раскрытия методов «прослушки», используемых спецслужбами разных стран, последует активное развитие защищенных мессенджеров. Вероятно, прямо сейчас разрабатывается около десятка подобных сервисов, о части которых мы уже слышали, а о другой части — предстоит услышать. К примеру, защищенный мессенджер от Петера Сунде, сооснователя The Pirate Bay, уже собрал около 100 тысяч долларов, необходимых на разработку. Кроме того, поисковый сервис DuckDuckGo, где нельзя отследить поисковые запросы пользователей, стал набирать обороты в последнее время. Ну, и Ким Дотком, основатель Mega, также заявил о скором запуске защищенного мессенджера, а также, позже — электронной почты.

В настоящее время Дотком поддерживает работу файлообменника Mega, все файлы пользователей которого зашифрованы (по заявлению самого Доткома, защита очень серьезная, хотя на Хабре этот вопрос уже ставили под сомнение). Что касается мессенджера, то он будет представлен уже этим летом, вместе с парой-тройкой прочих разновидностей коммуникаций.

По мнению того же Доткома, люди должны иметь право на частную жизнь, включая частную информацию, закрытую для всех, кроме владельца. Эта точка зрения и толкнула Кима Доткома на создание Mega (ну, плюс желание возродить Megauploads и обида на власти), плюс новые, защищенные от прослушки, сервисы коммуникаций. Само собой, над мессенджером работает целая группа разработчиков, не один Дотком.

К сожалению, кроме того, мессенджер будет максимально защищенным, и web-based, о нем ничего более не известно.

Via torrentfreak
marks @marks
карма
170,2
рейтинг 43,2
Редактор Habrahabr, Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (52)

  • +7
    Ребята из CyanogenMod уже пилят реализацию защищённых сообщений, пока только между пользователями этой прошивки.
  • 0
    Интересно, кто его будет защищать? Формально — должно государство проживания, но разделятся ли государства мира на 2 лагеря — защиты приватности и подавления её?
  • +7
    К сожалению, кроме того, мессенджер будет максимально защищенным, и web-based, о нем ничего более не известно.

    Пфф… Запретить доступ просто. http/https-трафик замечательно режется DPI. А в этой стране могут и по IP заблокировать. Был же вброс на тему анонимайзеров. Да и к тому же, проприетарщина, которой просто опасно доверять что-то конфиденциальное.

    Тут нужно что-то standalone и децентрализованное, сейчас веду разработку в этом направлении.
    I2P, о котором я даже писал статьи здесь, на хабре, четыре года назад — это полумера, так как не скрывает своего присутствия и можно его-таки закрыть тем же DPI. Легко объявить его использование незаконным и банить на месте всех пользователей этой сети.
    Tor — это даже четвертьмера тогда из-за наличия центральных узлов, доступ к которым тоже можно порезать (как в Китае).

    В качестве мессенджера и электронной почты можно использовать Bitmessage, но это overkill, так как требует много места на жёстком диске (для хранения цепочки блоков) и очень сильно нагружает процессор даже на мощном стационарном компьютере. То есть, на телефонах — бесполезен.

    Разве что btsync использовать для общения, но он для этого просто не предназначен, хромает скорость передачи, да и с безопасностью протокола проблемы (во всяком случае, пока).
    • +1
      Можно поподробнее про проблемы с безопасностью протокола btsync?
      • 0
        Там не архитектурные ошибки, а скорее, ошибки реализации. Видите ли, протокол btsync закрыт, него нет открытого стандарта, а значит, его можно менять, в том числе, практически полностью, не боясь чинить ошибки в угоду совместимости с открытым стандартом.

        Как пример: известный timestamp-баг, который приводил к постоянно создаваемым файлам. Ещё была ошибка, что была возможность записи, имея только ключ для чтения (к сожалению, не могу найти на него ссылку).
  • +4
    Что-то недавно потянуло перечитать «Криптономикон» Стивенсона. А вот сейчас мелькнула мысль — а может неспроста? Ведь, похоже как раз пришло время строить Крипту. Помнится в прошлые годы были надежды, что Катар возьмет на себя эту роль, но что-то давно новостей по этому поводу неслышно.
    • +2
      Это не книга — это пророчество.
  • 0
    Только вчера был пост про hemlis.mobi… поперло как из рога изобилия)
    • 0
      Поперло не из-за hemlis, а из-за истории с PRISM.
    • +4
      Кстати, с ним тоже всё не очень хорошо в плане того, что оно предполагает использование их серверной архитектуры, что подразумевает единую точку отказа. Легко блокировать.
      Your server only?
      Yes! The way to make the system secure is that we can control the infrastructure.

      И, опять же, оно проприетарное и закрытое. Я считаю, что проприетарное и закрытое можно использовать для шифрования лишь в том случае, если был произведён аудит безопасности в доверенной организации. В частности, ПО, сертифицированное для использования в госучреждениях и для обработки данных, относящихся к гостайне подходит под это определение.

      Конечно, они говорят, что, возможно, откроют исходники:
      Will it be Open Source?
      We have all intentions of opening up the source as much as possible for scrutiny and help!

      Но, скорее всего, это будет касаться только клиента. Серверная часть останется закрытой. Подобная схема применяется в Ubuntu One.
      • +1
        А, ну, и, да: закрытая серверная архитектура — это Vendor-lock, когда, скажем, вы перевели всех своих друзей на этот сервис, а с ним что-то случилось. Такой случай, кстати, произошёл буквально на днях: Google Talk.
      • 0
        Ого. Я и не думал, что там всё так печально. Хотел тоже вложиться.
  • +27
    Ким Шмитц, дважды судимый, причём один раз за мошенничество, воровство и подделку кредитных и телефонных карт, уличённый в прослушивании пользователей своего форума, а будучи схваченным за жопу выдавший властям данные всех своих пользователей, подельников и клиентов, вдруг обещает нам защищённые от прослушки мессенджер и электронную почту?
    Ха-ха.
    • 0
      Как вы не понимаете, он же против СИСТЕМЫ, а вы тут про мелкий развод лохов пользователей. Мелочно как-то /irony
    • 0
      У Цукерберга подобная ситуация с facemash, но FB удался всетаки.
      • 0
        Что там похожего-то?
        Насколько я помню (по фильму), он взял лежащие в открытом доступе в университетской сети фотографии.
        Или он читал чужую переписку, снимал деньги с ворованных карт или занимался другим каким мошенничеством?
  • +22
    Как можно говорить о действительно защищенным чём-то, пока это что-то не opensource?
    • –2
      Да нормально говорить можно.
      Опенсурс не гарантирует защищённости by design.
      • НЛО прилетело и опубликовало эту надпись здесь
    • +3
      Точно также — с помощью регулярных независимых аудитов безопасности. Без них неважно что там открыто, а что закрыто — софт дыра.
      • 0
        Ну вот так вот по сути что они сделают? Дезасемблируют клиент? Потыкают палочкой в закрытый удаленный сервер? Что они могут проверить?
        • +2
          И дизассемблирование, и изучение исходников (поэтому на коммисию софт и дают), и тыкание палочкой и ещё много других штук. Аудиты безопасности — это большая индустрия и люди там очень хорошо умеют «тыкать палочкой». Не забывайте, что почти все люди в этой индустрии — бывшие хакеры. Сейчас они просто легализовались и получают за это очень много денюшек.

          А исходники для аудита вобщем-то особо и не нужны, например.
          • 0
            Бывшие хакеры совсем не обязательно смогут найти хорошо зашифрованный бекдор.
            • 0
              Штука в том, что простой обыватель не найдёт бэкдор даже в небольшом приложении с открытыми исходниками.
              • 0
                Это понятно. Но открытые исходники могут изучить множество тех-же хакеров и вероятность того, что там что-то пропустят будет гораздо меньше, чем в случае аудита небольшой группой бинарников (возможно, зашифрованных, возможно, несколько раз).
                • 0
                  Лично мне в бинариках ориентироваться намного проще. Некоторые открытые проекты вообще в виде исходников осилить невозможно. К тому же исходники — это ещё не факт, что не будет косяков потом в бинарике. Пару лет назад, например, нарисовалась критическая remote execution в ядре Linux, которую найти в исходниках невозможно. Потому что в исходниках её нет, лол. А всё дело в оптимизациях компилятора.

                  К тому же на аудит исходники тоже отдают.
                  • 0
                    Вы ведь живой человек, да? Или пытаетесь тест Тьюринга пройти?=)

                    Понятно, что исходники можно написать так, что бинарник будет прочитать легче. Но в 99% случаев, это не так. Особенно, если софт писался грамотно и с таким расчетом, чтобы его не ломали (почитайте статью Касперски про скайп, например. вот я о таком говорю).

                    Имея исходники, можно просто написать тесты прямо внутри программы. С бинарниками это, как минимум, займет намного больше времени.
                    В исходниках намного сложнее что-то спрятать. То, что в бинарниках выглядит как картинка или другой ресурс. вполне может быть зашифрованным кодом, который расшифровывается какой-то спрятанной функцией и вызывается такой-же спрятанной функцией совсем в другом месте. Та способов скрыть код в бинарнике миллион и не факт что ограниченный круг даже суперпрофессоналов сможет найти его даже за несколько лет. Ошибки искать легче, статистический анализ, как минимум.

                    Кроме того, если открыт код сервера, то он перестает быть черным ящиком. Можно проверить что он делает и установить у себя где-то. В случае стороннего закрытого сервиса, вы вообще не имеете представления о том, что в этом сервере происходит.
                    • –2
                      Ну что вы выдумываете? Если у меня нет прямого доступа к серверу, то он для меня абсолютный чёрный ящик вне зависимости от открытости исходников. К тому же открытость исходников — первый звоночек, что софт может быть модифицирован не во благо для меня. Тоже самое и с локальным софтом — если не я его собирал в бинарный вид и не я его досконально изучал, то он точно такой же чёрный ящик.
                      • +1
                        Сервер можете установить локально в случае недоверия. Софт можете собрать сами из исходников и сравнить с теми бинарниками, что предлагаются обывателям, чтобы убедиться, что различий там нет.
                        • +1
                          Софт можете собрать сами из исходников и сравнить с теми бинарниками, что предлагаются обывателям, чтобы убедиться, что различий там нет.


                          Это не так просто, как кажется.
                          • 0
                            Понятно, что непросто. Но разработчики, что открыли исходники с целью показать что в продукте нет ничего скрытого, могут показать как нужно собрать проект чтобы бинарник получился такой-же как на сайте, так, как сами в этом заинтересованы. Могут даже просто инструкцию на сайте оставить.

                            В крайнем случае, сами пользуетесь своей сборкой и в ней уверены, а другие пусть что хотят используют (не для мессенджера, конечно, вариант).
  • –11
    Лично я прекрасно понимаю, что мою почту, сообщения в мессенжерах, телефонные звонки и т.д. могут отслеживать специальные службы и не вижу в этом ничего страшного и даже считаю это правильным. Можете меня заминусовать бесконечно много за эти слова, но я останусь при своём.

    Ну, во-первых, сразу уточню, что я имею в виду прослушку исключительно спец. службами, о которых и говорилось в статье.
    Во-вторых, чтобы получить мою переписку — нужно специальное разрешение и основание для этого.

    Очень много преступлени раскрывается именно таким способом. И если зашифровать всё и вся, то станим ли мы себя чувствовать безопаснее и что это за собой повлечёт?
    • –15
      Ну хоть кто-то есть вменяемый, спасибо.
    • +7
      Хм, сдается мне это «за всех хорошее и против всего плохого», но реальная жизнь сильно далеко от теоретических представлений.
      • –3
        Нужно стремиться к этому, а не прятаться и шифроваться.
    • +9
      Проблема вокруг разоблачений стоит не в том, ты за прослушку или нет. Проблема в том, что полномасштабная прослушка ведется, но ни одна (!) из перечисленных Сноуденом компаний не призналась в этом. Вот о чем нужно говорить.
      • –1
        Простите, причем здесь компании? Возможно, я просто не правильно вас понял, но компаний может быть интерес к вашей переписке исключительно в маркетинговых целях. И эта информация, действительно, крайне дорога. Но разговор о прослушивании спец. службами и совершенно с другими целями.
        • +3
          Я не говорил, что прослушка ведется компаниями. Я сказал, что прослушка ведется, но компании, которые, конечно, в курсе происходящего, не признаются в этом.

          В таких условиях позиция, например, Китая, в ОТКРЫТУЮ блокирующего трафик и прослушивающего все, что можно, выглядит даже более честно по отношению к своим гражданам, чем позиция США, которые проповедуют демократию всему Миру, а сами вот чем занимаются…
    • +13
      «Променявший свободу на временную безопасность не заслуживает ни безопасности, ни свободы.» Бенджамин Франклин.
    • +4
      Вообще-то у самих американцев мнение по этому поводу расходятся, почти половина поддерживают прослушку спецслужбами. Примерно столько же считает Сноудена предателем.

      Потом есть принципиальная разница, кто и зачем прослушивает. Спецслужбы для того и созданы, чтобы нарушать закон и не попадаться. А вот почему такое большое число компаний без разговоров с ними сотрудничали, это у же вопрос. Плюс спецслужбы, если они кого-то прослушали и ничего не нашли не имеют никакого права сливать свои результаты, чем грешат наши ребята И если вас по делу о терроризме слушали, результаты прослушки не должны приплитаться к делу о выкладывании файла на торрент (в России это формально выполняется, а фактически см. ссылку про кошелек Навального).
      А учитывая прецеденты с сроками за высказывания в интернете как «здесь», так и «там»
      www.rg.ru/2013/07/02/carter-site.html
      crears.ru/press-center/webdev/3412.html
      www.politonline.ru/comments/13704.html
      ясно почему народ волнуется.

      Хотя населению России волноваться не о чем. Ну разве только о совместимости СОРМ2 и PRISM.
    • +3
      Вы думаете, что эти данные будут использованы для поимки преступников, но тут вот какой нюанс:

      www.rusrep.ru/article/2013/06/19/dusha/
      "… у нас есть такая поговорка: хороший опер всегда наладит бизнес своей жене."

      Рекомендую прочитать полностью.

      Теперь еще нужно вспомнить знаменитое про «защиту своих инвестиций», чтобы понять ситуацию еще глубже.
    • +1
      Если вы читали вообще, о чём эта PRISM, то должны понимать: никакого спец. разрешения не требуется. По первой (устной) просьбе рядового сотрудника спецслужбы, все ваши данные, переписки, и т.п. будут моментально выданы.
    • +1
      Вы просто невероятно удивитесь когда ваш конкурент по бизнесу вдруг случайно будет иметь родственника в этих спецслужбах. С точки зрения конспирологии и теорвера все очень даже реально и будет полностью шито крыто. С точки зрения вашего бизнеса, вы будете просто недоумевать почему все ваши идеи, клиенты и все все все будет утаскиваться конкурентом раньше вас. Более того он будет знать все, включая ваше финансовое состояние, личную жизнь и все остальное на любой момент времени, что может быть возможностью для всего включая манипуляцию на фоне эмоционального стресса который опять же спецслужбе будет известен.

      Нет, если вы конечно обычный рабочий станке/компьютере, то бояться нечему, я не думаю что кто-то будет лезть и узнавать какие у вас половые предпочтения, когда вы будете качать ту или иную порнографию.

      Решение одно. Все должно быть законодательно зак, что бы невозможно было делать без санкций. Сейчас это можно сделать и так. В этом и проблема.
    • 0
      Всё хорошо. Большой брат любит тебя.
    • +1
      И если зашифровать всё и вся, то станим ли мы себя чувствовать безопаснее и что это за собой повлечёт?


      Если Вы полностью отдаете себя под чью-то защиту (читай — опеку), то не удивляйтесь, что этот кто-то вскоре станет Вашим хозяином и начнет требовать в обмен на «безопасность» беспрекословного подчинения.
      • –4
        Глупость полная. «этот кто-то» — является государством и оно обеспечивает порядки и безопасность каждого из нас за наш же счёт: налоги, штрафы, пошлины и т.д. Я говорю про идеальную модель, т.е. как это должно работать. И теперь, если закрыть доступ к прослушиванию, это повлечет за собой снижение раскрываемости, позднее реагирование или вообще никакого реагирования на противозаконные деяния. Тем самым мы сами будем препятствовать расследованию.
        Не надо здесь рассказывать про несовершенство существующей системы. Я, и все остальные, это и без того всё понимают. Действительно система гнилая изнутри, но она ещё рабочая и эти прослушки уже предотвратили огромное количество преступлений, в том числе и терактов, и глупо это отрицать.
        И если вы не творите ничего запретного, то вы никому и не нужны, на самом деле.
        • 0
          Государство — это люди. Если люди этого хотят, то да не проблема. Но когда этого хочет правительство, которое временно выбрали те люди, без их ведома, это против них, значит против государства.
          Вопрос, конечно, спорный. Я прекраснопонимаю что это не круто когда твоих близких взрывают и с этим надо что то делать. Но как законопослушный гражданин я не в восторге от таких методов.
    • +2
      Так вы можете придти к пониманию что к вам домой может кто угодно (ах да, только специальные службы) зайти когда угодно, просто так, чисто проверить нет ли у вас там чего незаконного, просто на всякий случай, 3 раза в день. Cavity search (извините, не знаю как переводится) тоже ведь не против будете, если не 3 раза то хотя бы 1? Это же все во благо, вы же можете быть преступником и ничего страшного если вас с ним поставят в один ряд заранее.
      В общем я с вами не согласен. Мне скрывать нечего, но не по тихому, не без моего ведома, и не без ордера.
  • 0
    Запилить защищенный мессенджер — это нынче такой тренд?..
  • +8
    > мессенджер и электронную почту

    Интересная ситуация. Т.е. старый добрый выбор параноиков для почты- PGP, и не очень старый для IM — OTR — уже не находят места в новом инновационном мире. Срочно требуется новое решение от успешных предпринимателей.
    • 0
      OTR далеко не универсален и не работает «из коробки», особенно на телефонах. Например, я не смог сделать так, чтобы у престарелых родителям в гуглочате (со страницы гуглопочты, как они привыкли или хотя бы раритетной ныне программы GoogleTalk) всё шифровалось этим самым OTR.

      PGP для чатов работает нестабиљно (и зачастую функция «подписать каждое сообщение» в нем выглядит избыточной).
      • 0
        Так, может быть, стоит сделать, чтобы OTR работал из коробки, а не изобретать велосипеды?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.