- PVSM.RU - https://www.pvsm.ru -
Специализированный мини-компьютер IMP [1] соединял между собой участников сети ARPANET в 1969 году, прообраз современных маршрутизаторов и символ древности SMTP. Фото: Fred Prouser / Reuters
Электронная почта — очень старая технология. Протокол Simple Mail Transfer Protocol (SMTP) впервые описан в RFC 821 (1982 год), а его основой стали технологии 1970-х. В те времена никто не мог представить, какие проблемы возникнут в будущем из-за открытости протокола.
Сейчас электронная почта — рассадник спама и главное оружие киберпреступников. Большинство кибератак начинается с проникновения в сеть через фишинг. Жертву изучают — и направляют ей таргетированное письмо с обращением по имени, должности, с указанием деталей личной жизни, после чего искусно убеждают открыть приложенный файл. Многие соглашаются и открывают (например, см. проверку персонала в GoDaddy [2] и GitLab [3]). SMTP идеально подходит для социальной инженерии.
Поэтому программист Лиам Брек (Liam Breck) придумал безопасную и современную альтернативу электронной почте — это сеть MNM [4] (расшифровывается как mnm is not mail), сайт сейчас не справляется с нагрузкой, вот кэш в Google [5].
Нынешняя почта — совершенно открытая система из почтовых серверов, подключиться к которым может любой пользователь интернета. Это главное достоинство, но и главный недостаток электронной почты, потому что из-за абсолютной открытости систему эксплуатируют злоумышленники, а все мы страдаем из-за спама и фишинга.
Старый добрый SMTP буквально напрашивается на спуфинг
Лиам Брек уверен, что сегодня Интернет стал крупнейшим гнездом организованной преступности в мире. Ситуация с кибератаками ухудшается с каждым годом.
Этот инструмент позволяет:
Из-за этих уязвимостей пришлось изобретать надстройки и «костыли» — систему цифровой подписи адресов DomainKeys Identified Mail (DKIM) [6], чёрные списки, спам-фильтры.
Например, технология DKIM помогает проверить, что данное конкретное письмо действительно отправлено с заявленного домена. Вместо традиционного IP-адреса, для отправителя DKIM добавляет цифровую подпись, связанную с именем домена. Подпись автоматически проверяется на стороне получателя, после чего применяются белые и чёрные списки.
Вот как выглядит этот «костыль»:
Но электронная подпись ни к чему не обязывает принимающую сторону. Официальный RFC 6376 [8] рекомендует сообщения с обычных серверов, не поддерживающих DKIM, обрабатывать стандартным образом. А сами подписи DKIM не охватывают «конверт» сообщения, который содержит обратный путь и получателей сообщения, поэтому одного только DKIM недостаточно для надёжной защиты от фишинга.
Поскольку в самом SMTP валидация отправителя отсутствует напрочь, на протяжении десятилетий продолжаются попытки решить эту проблему. Кроме DKIM, разработаны технологии SPF [9] и DMARC [10], которые тоже используются в спам-фильтрах.
Несмотря на такие ухищрения, спам-фильтры всё равно работают неидеально и даже в каком-то смысле вредят экосистеме, потому что создают у пользователей ложное чувство защищённости, фильтруя большинство мусорных писем, но пропуская действительно продуманные таргетированные атаки. Свидетельств этому несть числа: см. историю с взломом Мэта Хонана [11]. Буквально в течение часа у журналиста угнали аккаунты Amazon, Gmail, Apple и Twitter, дистанционно уничтожили информацию на iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с момента её рождения, многие документы и значительную часть писем.
Такое может произойти с каждым. В любую минуту.
Беззащитная открытость электронной почты — это фундамент, на котором держится современная киберпреступность. А главная причина всех проблем — протокол SMTP. Он создавался во времена, когда интернетом пользовались только учёные. Они знали друг друга, и не было нужды разрабатывать механизмы аутентификации, верификации и защиты от мошенничества.
Построенная с нуля новая система всегда лучше, чем старая на костылях. Примерно так рассуждает создатель MNM. Он считает, что SMTP даже с заплатками типа DKIM, SPF и DMARC не приспособлен для существования в 21 веке. Нужен современный, новый протокол.
MNM ставит перед собой две задачи: 1) более безопасные коммуникации, где сообщения распространяются только внутри чётких кругов, адресата невозможно подделать, а каждый пользователь сам выбирает, через какие серверы отправлять трафик; 2) добавить возможности, которых не хватает нынешней почте:
- форматирование сообщений и поддержка Markdown
- гиперссылки на другие письма и обсуждения
- хэштеги и приватные теги
- шаблоны для слайдов
- графики и диаграммы
- формы/опросники, результаты которых собираются в таблицы
- многие другие функции для лучшей концентрации, креативности
Автор концепции ничего не говорит о шифровании, но встроенного механизма шифрования действительно сильно не хватает современной (древней) электронной почте.
Аутентификация отправителя и шифрование — это главное, чего не хватает электронной почте.
Вот основные принципы [12], которым должна соответствовать новая система.
Клиент и сервер MNM опубликованы под лицензией Mozilla Public License 2.0. Исходный код см. в репозитории на GitHub [13].
Разработка идёт с начала 2017 года, за это время вышло девять предварительных релизов клиентского приложения. Последняя версия 0.9.0 [14] от 3 января 2021 года.
В данный момент собраны версии под Windows, MacOS, and Linux, планируются порты на Android и iOS.
Графический интерфейс работает через браузер (Vue.js), протестирован в Chrome и Firefox. После старта клиента подключаемся к порту http://localhost:8123/
— и клиент запускается в браузере.
При желании можно запустить клиент на другом порту:
./mnm-hammer -http :8123
mnm-hammer.exe -http :8123
Все данные хранятся на машине пользователя и реплицируются на другие устройства при необходимости. Есть полная документация и курс для новичков.
Приложение и сервер TMTP написаны на Go. Приложение использует Bleve [18] и Gorilla Websocket [19], сервер — NTP-клиент [20] Бретта Викерса.
Сервер TMTP развёрнут в публичном дата-центре и тестируется с начала 2019 года. Он работает под Linux, планируются порты на FreeBSD, Windows и MacOS. В данный момент он не поддерживает ограничения на создание аккаунтов. Последняя версия 0.1.0 [21].
В первую очередь TMTP предназначен для организаций и отделов, где последствия фишинговой атаки будут катастрофическими, поэтому они могут полагаться только на внутреннюю почтовую сеть.
Почтовый ящик и клон сим-карты [22] — ключи ко всей цифровой жизни человека
Концепция MNM/TMTP чем-то напоминает идею Тима Бернерса-Ли о децентрализованной сети из персональных контейнеров Solid [23].
После регистрации [24] на одном из solid-серверов пользователь получает идентификатор и личный «контейнер» (solid pod). Как вариант, можно поднять локальный сервер.
Этот под с личными данными — своеобразное отражение цифровой личности человека. И пользователь настраивает разрешения, какие приложения могут получить доступ к его поду — и какие конкретно данные могут быть выданы этим приложениям для осуществления определённых действий.
Доводы Лиама Брека разумны и логичны, хотя сама идея заменить электронную почту кажется слегка идеалистической, в духе написать собственную ОС с нуля [25] или, что ещё сложнее, написать с нуля веб-браузер [26] (1217 спецификаций W3C [27] содержат 114 млн слов).
Но если идея безумна, то она становится ещё интереснее!
У нас ведь свободное общество. Никто не может запретить опенсорсный проект любой функциональности.
Такие проекты как минимум расширяют воображение.
Ну а если реально посмотреть на вещи, то вся история электронной почты показывает, что это крайне живучая технология. Её не смогли уничтожить ни социальные сети, ни смартфоны с мобильными приложениями, ни мессенджеры, ни круги Google Wave, ни что иное.
Несмотря на распространённость мессенджеров и социальных сетей, по статистике почтовый трафик растёт с каждым годом [28].
Возможно, электронная почта долго сохранится в том виде, в каком ей пользовались наши деды. Похоже, это самая гениальная технология в интернете — и ничего с этим не поделаешь…
VDSina предлагает недорогие серверы [29] с посуточной оплатой. Интернет-канал для каждого сервера — 500 Мегабит, защита от DDoS-атак включена в тариф, возможность установить Windows, Linux или вообще ОС со своего образа, а ещё очень удобная панель управления серверами собственной разработки [30]. Давно пора попробовать ;)
Автор: Mikhail
Источник [31]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/361896
Ссылки в тексте:
[1] IMP: https://en.wikipedia.org/wiki/Interface_Message_Processor
[2] проверку персонала в GoDaddy: https://www.engadget.com/godaddy-sent-fake-phising-email-promising-holiday-bonus-220756457.html
[3] GitLab: https://www.theregister.com/2020/05/21/gitlab_phishing_pentest/
[4] MNM: https://mnmnotmail.org/
[5] кэш в Google: http://webcache.googleusercontent.com/search?newwindow=1&source=hp&ei=SHYrYNqyN4Gjgwf0mLGACg&iflsig=AINFCbYAAAAAYCuEWEONKTKJ6gWdA1HEfWMaG8Jc18pG&q=cache%3Ahttps%3A%2F%2Fmnmnotmail.org%2F&oq=cache%3Ahttps%3A%2F%2Fmnmnotmail.org%2F&gs_lcp=Cgdnd3Mtd2l6EAM6BQguEJMCOgIIADoCCC46CAguEMcBEKMCOgsILhDHARCvARCTAlDEC1j5FmCsGmgAcAB4AIABeogB5AWSAQMxLjaYAQCgAQGgAQKqAQdnd3Mtd2l6&sclient=gws-wiz&ved=0ahUKEwja9oft8u3uAhWB0eAKHXRMDKAQ4dUDCAc&uact=5
[6] DomainKeys Identified Mail (DKIM): http://www.dkim.org/
[7] Image: https://habrastorage.org/webt/ek/c9/r8/ekc9r82v8fuz5flbqupuro2enly.png
[8] RFC 6376: https://www.ietf.org/rfc/rfc6376.txt
[9] SPF: https://tools.ietf.org/html/rfc7208
[10] DMARC: https://dmarc.org/
[11] взломом Мэта Хонана: https://habr.com/ru/post/149179/
[12] основные принципы: https://mnmnotmail.org/rationale.html
[13] репозитории на GitHub: https://github.com/networkimprov/mnm/issues
[14] 0.9.0: https://github.com/networkimprov/mnm-hammer/releases
[15] mnm-app-windows-amd64-v0.9.0.zip: https://github.com/networkimprov/mnm-hammer/releases/download/v0.9.0/mnm-app-windows-amd64-v0.9.0.zip
[16] mnm-app-macos-amd64-v0.9.0.tgz: https://github.com/networkimprov/mnm-hammer/releases/download/v0.9.0/mnm-app-macos-amd64-v0.9.0.tgz
[17] mnm-app-linux-amd64-v0.9.0.tgz: https://github.com/networkimprov/mnm-hammer/releases/download/v0.9.0/mnm-app-linux-amd64-v0.9.0.tgz
[18] Bleve: https://github.com/blevesearch/bleve
[19] Gorilla Websocket: https://github.com/gorilla/websocket
[20] NTP-клиент: https://github.com/beevik/ntp
[21] 0.1.0: https://github.com/networkimprov/mnm/releases
[22] клон сим-карты: https://en.wikipedia.org/wiki/SIM_swap_scam
[23] Solid: https://solid.inrupt.com/
[24] регистрации: https://inrupt.net/register?
[25] написать собственную ОС с нуля: https://habr.com/ru/post/101810/
[26] написать с нуля веб-браузер: https://habr.com/ru/post/541196/
[27] спецификаций W3C: https://www.w3.org/TR/
[28] растёт с каждым годом: http://www.radicati.com/wp/wp-content/uploads/2017/01/Email-Statistics-Report-2017-2021-Executive-Summary.pdf
[29] недорогие серверы: https://vdsina.ru/cloud-servers?partner=habr267
[30] собственной разработки: https://habr.com/ru/company/vdsina/blog/460107/
[31] Источник: https://habr.com/ru/post/542712/?utm_source=habrahabr&utm_medium=rss&utm_campaign=542712
Нажмите здесь для печати.