Преди около месец, на 21 януари, администраторите на публичния сървър на Jabber фондацията jabber.org откриха, че системата е била пробита. Машината hades.jabber.org, която движеше най-вече проекта-хранилище за jabber програми JabberStudio е била компрометирана приблизително една година преди това. След щателната проверка се оказа, че не са намерени улики за някакво влияние на нарушителя върху целостта и съдържанието на файловете от проектите.
В момента тече възстановяване на JabberStudio, като всеки проект се проверява за евентуална неоткрита намеса и се сверяват контролни суми, пазени преди разбиването и/или на други места и от други хора, най-вече ръководителите на проектите.
За нуждите на Jabber фондацията и на цялата общност инсталираха услугите на нови машини. Изобщо – картинката наистина е розова.
Казвам “розова”, защото ще излезе, че това е било възможно най-“доброто” разбиване, което по принцип може да се случи на такава публична система. Сигурно никога няма да се разбере със сигурност дали нападателят просто “е забравил” за разбитата система или нещо му е попречило да се възползва от достъпа си. Или пък дали не е било единствено с “учебна цел”.
Все едно – оценката на системите е и ще бъде работа на хората, които се занимават с този именно сървър.
Но какво остава за нас, потребителите на jabber-услугата и на различни уеб-страници, свързани с jabber проекти? И изобщо потребители на всякакви “неща”, за които трябва да даваме някаква по-чувствителна наша информация?
Не говоря само за имена и пароли. Не говоря пък изобщо за номера на кредитни карти (не за друго, просто нямам такава;)
Става дума примерно за общуването ни през мрежата за моментни съобщения. За историята на розговорите ни, за списъците ни с контакти…
В случая с jabber.org е бил разбит само www.jabber.org, което е уеб-сървърът. Но представете си смешната ситуация, в която биха се оказали много от потребителите, ако някой влезе в сървър за моментни съобщения и… просто седне и “се ослуша”! ;)
Jabber сървърите и клиентите поддържат възможност за шифрирана връзка клиент-сървър. Връзката между сървърите също може да е шифрирана, и в повечето случаи вече е. Но как да сме сигурни, че това, което казваме, няма да може изобщо да бъде подслушано? Понеже ако някой разбие сървъра (или ако за зла съдба администраторът си пада гадняр;), то той ще може да чуе всичко.
Вариантите са, общо взето, два:
- Винаги използваме SSL връзка към сървъра и стискаме палци на защитите на сървъра. ;)
- Използваме шифриране на самото съдържание на съобщенията. Тогава не ни интересува много-много дали сме през SSL или не. Текстът се шифрира (примерно с GnuPG), изпраща се като текст и от другата страна се разшифрира.
Изводът?
Първият извод е, че е добре изобщо да не се случват такива лошави работи на публични услуги. Защото сега, например, моят JID е използваем само от някои сървъри. Понеже преинсталират и проверяват всички сървъри на Jabber фондацията, има промени и по jabber сървъра. И не само че често го презареждат, но и често губи връзка с други сървъри в мрежата. В момента има връзка само с JID-ове от jabber.org и jabber.com.
Вторият извод е, че винаги трябва да използваме шифриране на данните, които предаваме през такава толкова несигурна среда, каквато е Интернет.
Третият (който е много спорен в jabber средите) е, че е най-добре да използвате сървъри “in your vicinity”. Тоест щом сте в България – използвайте jabber.minus273.org. Така ще се избегне ненужното претоварване на “централни” (разбирай “известни”;) сървъри, какъвто е jabber.org.
Аз ползвам и turin@jabber.org , и turin@jabber.minus273.org
.
Ако някой не ме намира на единия, може да използва другия. Страхотно е, че се появи този първи “наш си” сървър.
Но все пак най-важното си е да не се случват неприятни произшествия. И в jabber мрежата да не се късат връзките между сървърите. Тогава няма да има значение дали съм към jabber.minus273.org или към jabber.org.