Почему эксперты по безопасности предпочитают устаревшие почтовые клиенты

от автора

В нашем блоге мы много пишем о создании email-рассылок и работе с электронной почтой. Многие люди пользуются email, но ИТ-специалисты здесь несколько выделяются — у них есть свои предпочтения по стилю общения, кроме того, некоторые из них используют не самые популярные у широких масс инструменты.

К примеру, многие ИБ-эксперты до сих пор работают с почтовым клиентом mutt, предшественником которого был консольный клиент elm. Издание Motherboard опубликовало материал о причинах такой любви к устаревшим средствам общения, а мы подготовили его адаптированный перевод.

Четверть века назад чтобы проверить электронную почту, нужно было использовать мейнфрейм и работать консольным почтовым клиентом вроде elm или pine. Сегодня, многие эксперты по безопасности всё еще используют и советуют mutt.

Кристофер Согхоян (Christopher Soghoian), главный технический специалист ACLU (American Civil Liberties Union, Американский союз защиты гражданских свобод), сообщил, что он является «несчастным пользователем mutt».

«Тот факт, что я использую mutt, не означает, что мне это нравится», – пишет Кристофер. – «Я терпеть его не могу. Я мечтаю о лучшем решении, но пока не нашел его».

Так почему же пользователь, заботящийся о своей безопасности, должен работать с mutt?

«Просто – значит надёжно», – говорит Марек Тузински (Marek Tuszynski) из Tactical Technology Collective – неправительственной организации, обучающей активистов и репортёров средствам цифровой конфиденциальности и безопасности. «В общем, консольные инструменты имеют более простой дизайн, состоят из меньшего количества строк кода без уязвимостей (Java, Flash и т.д.). Всё это повышает безопасность программы в целом (меньше ошибок, выше стабильность)».

«Я не хочу, чтобы мой почтовый клиент использовал движок рендеринга или интерпретатор JavaScript,» – пишет Согхоян. – «Чем меньше возможностей для атаки, тем лучше».

Если верить OpenHub.net, mutt запускается всего лишь на сотне тысяч строк кода, тогда как Thunderbird вместе с Enigmail состоят почти из миллиона. В браузере Firefox их 14 миллионов, а Chromium, база для Google Chrome с открытым исходным кодом, состоит из 17,4 миллионов строк кода.

Количество уязвимостей, найденных в mutt за последние 10 лет, ничтожно мало по сравнению с уязвимостями в браузерах вроде Firefox и Chrome и почтовых клиентах, таких как Outlook и Thunderbird.

Как говорит Согхоян, «(Mutt) не является веб-браузером, поэтому он и не имеет такого огромного количества уязвимостей для атак, как веб-браузер».

В наши дни, когда организованные атаки на пользователей становятся обычным делом, максимизация безопасности устройствеа конечного пользователя является важной для многих. В дополнение к mutt, технически подкованные пользователи переходят на консольные OTR чат-клиенты, такие как xmpp-клиент от Адама Лэнгли.

Протокол Off-the-Record Messaging (OTR) предлагает функции для шифрования чата, которых, судя по документам Сноудена конца 2012 года, было достаточно, чтобы избежать массовой слежки. Однако проблема безопасности на стороне конечного пользователя состоит в том, что Pidgin и Adium, два наиболее популярных OTR чат-клиента, основаны на библиотеке libpurple, безопасность которой находится под вопросом.

По данным Сноудена, правительство США не смогло взломать сообщения, закодированные с использованием протокола OTR

«Да, я использую xmpp-клиент Jabber для переписки», – пишет Согхоян. «Но к нему у меня также двойственное отношение. Мне нравится, что он написан на Go, не использует libpurple и не имеет различных ненужных дополнений типа эмодзи. Но его пользовательский интерфейс ужасен. Жду не дождусь, когда кто-нибудь создаст для него графический интерфейс».

Но повышение безопасности негативно влияет на юзабилити, и это плохо – ведь неважно, насколько безопасна платформа, если ею никто не будет пользоваться. Программы со сложными консольными командами используются только технически подкованными пользователями. Появится ли когда-нибудь надёжное и безопасное средство общения для массового пользователя?

Хmpp-клиент веселее, чем кажется

«Я в восторге от Ricochet: у него нет центрального сервера и утечек метаданных», – пишет Согхоян.– «Но он ещё не готов к запуску и даже не был основательно протестирован».

«Pond (ещё одно детище Адама Лэнгли) – также отличный проект и пример того, как может выглядеть безопасный почтовый сервис будущего», – добавляет Согхоян. «К сожалению, Адам не хочет, чтобы люди использовали pond, и у Адама не очень много времени для работы над ним. Если бы pond находился в активной разработке и был готов к запуску, я бы с радостью обменял на него электронную почту и pgp».

Однако Тузински отмечает, что безопасность на стороне конечного пользователя зависит не только от используемых инструментов. «Для нас важно уделять внимание не только цифровой безопасности информации», – пишет он, – «но и безопасности пользователя: физической и психологической. Проблема, которую нужно решить, является более широкой, чем просто выбор между приложением с консольным или графическим интерфейсом».

Другие материалы по теме email в блоге «Печкина»:

ссылка на оригинал статьи https://habrahabr.ru/post/282455/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *