Почему эксперты по безопасности предпочитают устаревшие почтовые клиенты
[1]
В нашем блоге мы много пишем о создании email-рассылок [2] и работе с электронной почтой. Многие люди пользуются email, но ИТ-специалисты здесь несколько выделяются — у них есть свои предпочтения по стилю общения [3], кроме того, некоторые из них используют не самые популярные у широких масс инструменты.
К примеру, многие ИБ-эксперты до сих пор работают с почтовым клиентом mutt, предшественником которого был консольный клиент elm. Издание Motherboard опубликовало материал [4] о причинах такой любви к устаревшим средствам общения, а мы подготовили его адаптированный перевод.
Четверть века назад чтобы проверить электронную почту, нужно было использовать мейнфрейм и работать консольным почтовым клиентом вроде elm [5] или pine [6]. Сегодня, многие [7] эксперты [8] по безопасности [9] всё еще используют и советуют mutt [10].
Кристофер Согхоян (Christopher Soghoian), главный технический специалист ACLU (American Civil Liberties Union, Американский союз защиты гражданских свобод), сообщил, что он является «несчастным пользователем mutt».
«Тот факт, что я использую mutt, не означает, что мне это нравится», – пишет Кристофер. – «Я терпеть его не могу. Я мечтаю о лучшем решении, но пока не нашел его».
Так почему же пользователь, заботящийся о своей безопасности, должен работать с mutt?
«Просто – значит надёжно», – говорит Марек Тузински [11] (Marek Tuszynski) из Tactical Technology Collective – неправительственной организации, обучающей активистов и репортёров средствам цифровой конфиденциальности и безопасности. «В общем, консольные инструменты имеют более простой дизайн, состоят из меньшего количества строк кода без уязвимостей (Java, Flash и т.д.). Всё это повышает безопасность программы в целом (меньше ошибок, выше стабильность)».
«Я не хочу, чтобы мой почтовый клиент использовал движок рендеринга или интерпретатор JavaScript,» – пишет Согхоян. – «Чем меньше возможностей для атаки, тем лучше».
Если верить OpenHub.net, mutt запускается всего лишь на сотне тысяч строк [12] кода, тогда как Thunderbird [13] вместе с Enigmail [14] состоят почти из миллиона. В браузере Firefox их 14 миллионов [15], а Chromium, база для Google Chrome с открытым исходным кодом, состоит из 17,4 миллионов [16] строк кода.
Количество уязвимостей, найденных в mutt за последние 10 лет, ничтожно мало по сравнению с уязвимостями в браузерах вроде Firefox и Chrome и почтовых клиентах, таких как Outlook и Thunderbird.
Как говорит Согхоян, «(Mutt) не является веб-браузером, поэтому он и не имеет такого огромного количества уязвимостей для атак, как веб-браузер».
В наши дни, когда организованные атаки [17] на пользователей становятся обычным делом, максимизация безопасности устройствеа конечного пользователя является важной для многих. В дополнение к mutt, технически подкованные пользователи переходят на консольные OTR чат-клиенты, такие как xmpp-клиент [18] от Адама Лэнгли [19].
Протокол Off-the-Record Messaging (OTR [20]) предлагает функции для шифрования чата, которых, судя по документам Сноудена конца 2012 года, было достаточно, чтобы избежать массовой слежки [21]. Однако проблема безопасности на стороне конечного пользователя состоит в том, что Pidgin и Adium, два наиболее популярных OTR чат-клиента, основаны на библиотеке libpurple, безопасность которой находится под вопросом [22].
По данным Сноудена, правительство США не смогло взломать сообщения, закодированные с использованием протокола OTR
«Да, я использую xmpp-клиент Jabber для переписки», – пишет Согхоян. «Но к нему у меня также двойственное отношение. Мне нравится, что он написан на Go, не использует libpurple и не имеет различных ненужных дополнений типа эмодзи. Но его пользовательский интерфейс ужасен. Жду не дождусь, когда кто-нибудь создаст для него графический интерфейс».
Но повышение безопасности негативно влияет на юзабилити, и это плохо – ведь неважно, насколько безопасна платформа, если ею никто не будет пользоваться. Программы со сложными консольными командами используются только технически подкованными пользователями. Появится ли когда-нибудь надёжное и безопасное средство общения для массового пользователя?
Хmpp-клиент веселее, чем кажется
«Я в восторге от Ricochet [23]: у него нет центрального сервера и утечек метаданных», – пишет Согхоян.– «Но он ещё не готов к запуску и даже не был основательно протестирован».
«Pond [24] (ещё одно детище Адама Лэнгли) – также отличный проект и пример того, как может выглядеть безопасный почтовый сервис будущего», – добавляет Согхоян. «К сожалению, Адам не хочет, чтобы люди использовали pond, и у Адама не очень много времени для работы над ним. Если бы pond находился в активной разработке и был готов к запуску, я бы с радостью обменял на него электронную почту и pgp».
Однако Тузински отмечает, что безопасность на стороне конечного пользователя зависит не только от используемых инструментов. «Для нас важно уделять внимание не только цифровой безопасности информации», – пишет он, – «но и безопасности пользователя: физической и психологической. Проблема, которую нужно решить, является более широкой, чем просто выбор между приложением с консольным или графическим интерфейсом».
Другие материалы по теме email в блоге «Печкина [25]»:
- Email, соцсети, мессенджеры: На что влияют средства коммуникации, и как их выбирать [26]
- Как составлять email-автоответы: Анализ 100 заявок в службы поддержки ИТ-компаний [27]
- Работа с email: Как свести количество входящих сообщений к нулю [28]
- Почему спам так трудно победить [29]
- Email и безопасность: Можно ли защитить почтовую переписку [30]
Автор: Pechkin-mail.ru
Источник [31]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/119148
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/pechkin/blog/282455/
[2] email-рассылок: https://pechkin-mail.ru/?utm_source=habr&utm_medium=referral&utm_campaign=mutt
[3] предпочтения по стилю общения: https://habrahabr.ru/company/pechkin/blog/279511/
[4] материал: http://motherboard.vice.com/read/why-security-experts-are-using-an-ancient-email-format-in-2015
[5] elm: https://ru.wikipedia.org/wiki/Elm_(%D0%BF%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82)
[6] pine: https://ru.wikipedia.org/wiki/Alpine
[7] многие: https://gist.github.com/bnagy/8914f712f689cc01c267
[8] эксперты: http://www.linuxjournal.com/content/encrypt-your-dog-mutt-and-gpg
[9] безопасности: https://www.qubes-os.org/doc/Mutt/
[10] mutt: http://mutt.org/
[11] Марек Тузински: https://tacticaltech.org/team/marek
[12] сотне тысяч строк: https://www.openhub.net/p/mutt
[13] Thunderbird: https://www.openhub.net/p/thunderbird
[14] Enigmail: https://www.openhub.net/p/enigmail
[15] 14 миллионов: https://www.openhub.net/p/firefox
[16] 17,4 миллионов: https://www.openhub.net/p/chrome
[17] организованные атаки: http://motherboard.vice.com/tag/Hacking+Team
[18] xmpp-клиент: https://github.com/agl/xmpp-client
[19] Адама Лэнгли: https://www.imperialviolet.org/
[20] OTR: http://motherboard.vice.com/read/the-nsa-uses-the-same-chat-protocol-as-hackers-and-activists
[21] массовой слежки: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html
[22] под вопросом: http://motherboard.vice.com/read/secure-messaging-might-not-be-so-secure-otr-libpurple
[23] Ricochet: https://ricochet.im/
[24] Pond: https://github.com/agl/pond
[25] Печкина: https://pechkin-mail.ru/
[26] Email, соцсети, мессенджеры: На что влияют средства коммуникации, и как их выбирать: https://habrahabr.ru/company/pechkin/blog/278337/
[27] Как составлять email-автоответы: Анализ 100 заявок в службы поддержки ИТ-компаний: https://habrahabr.ru/company/pechkin/blog/277895/
[28] Работа с email: Как свести количество входящих сообщений к нулю: https://habrahabr.ru/company/pechkin/blog/277809/
[29] Почему спам так трудно победить: https://habrahabr.ru/company/pechkin/blog/277259/
[30] Email и безопасность: Можно ли защитить почтовую переписку: https://habrahabr.ru/company/pechkin/blog/276761/
[31] Источник: https://habrahabr.ru/post/282455/
Нажмите здесь для печати.