Представьте ситуацию. Вы работаете в национальном СМИ. Однажды аноним присылает вам сообщение о коррупции в некой компании. Вы начинаете расследование, проверяете сведения — и оказывается, что это правда. Выходит сенсационный материал.

Но вскоре начальник, пострадавший от правды, которую рассказало аудитории ваше СМИ, решает узнать, кто виноват в случившемся. Обращается к знакомому айтишнику — и обнаруживает IP-адрес сотрудника, который и отправил конфиденциальную информацию в СМИ. Человека, раскрывшего тайну, могут уволить, а в худшем случае — даже подать в суд за разглашение корпоративных сведений.

Так вот, чтобы обезопасить источники получения информации, СМИ используют OTR. Что такое Off-The-Record Messaging и как с ним работать, поговорим в материале.

Утечки данных: почему СМИ в зоне риска

Нынешний год бьет все рекорды по количеству утечек информации. По исследованию Identity Theft Resource Center, по состоянию на 30 сентября 2021, зафиксирован 1291 инцидент, что на 17% больше, чем в 2020. В зоне риска - каждый. Это легко доказать на следующих примерах.

Так, в мае 2021 исследователи CheckPoint обнаружили сведения об аккаунтах 100 млн пользователей Android. Логины, пароли и даже данные кредитных карт выложены в сеть на всеобщее обозрение. Причиной инцидента стала неправильная конфигурация облачных серверов.

А, например, утечка данных из иранского приложения для обмена деловыми сообщениями Raychat повлекла за собой раскрытие персональной информации в темном вебе. К счастью, атака ботов уничтожила эти сведения. А всему виной, как сказано в отчете Gizmodo, стали неправильные настройки в базе данных MongoDB. Так называемые NoSQL (обладающие гибкими схемами, производительные и легко масштабируемые базы данных) славятся простотой в использовании. Но представляют лакомый кусочек для киберпреступников, которые ищут незащищенные ресурсы, оставленные в открытом доступе в сети. Хакеры блокируют контент на таких платформах, оставляя письмо с требованием заплатить выкуп.

А теперь вообразите, что человек сообщил об инциденте, произошедшем с ним по вине руководства фирмы, журналистам, и воспользовался одним из таких приложений. Если программу взломают, переписку прочтет каждый! В таком случае, пострадают все стороны коммуникации!

Если вы смотрели на Netflix сериал о работе глянцевого журнала “Жирным шрифтом” (The Bold Type), то, наверняка, помните, как редакция столкнулась с утечкой данных. Придя утром на работу, журналисты и редакторы обнаружили все свои сообщения в темном вебе. Каждый мог узнать, что думают о нем сотрудники! И это еще полбеды: в сеть попало обсуждение инвесторов, из-за чего спонсоры едва не разорвали сотрудничество с журналом. Так вот, подобную ситуацию можно предотвратить.

Как OTR защищает информацию?

Система OTR (Off-The-Record Messaging) создана для мгновенного обмена сообщениями. OTR инициирует обмен ключами между собеседниками, когда оба находятся онлайн. OTR имеет свойство прямой секретности. Даже если одна сторона утратит контроль над криптографическим ключом для долгосрочного использования, предмет разговора не выйдет за рамки переписки.

В СМИ термин off-the-record намекает на разговор с источником, которого якобы не было. Конечно, беседа состоялась, но информация подается как полученная от анонимов. Тут стоит заметить, что многие медиа не размещают факты, полученные в результате переписки off-the-record. Это противоречит политике прозрачности. Но и с тем, что OTR играет важную роль в защите конфиденциальности информации, не поспоришь.

OTR Vs PGP

Чтобы лучше понять функции OTR, обратимся к Pretty Good Privacy (PGP). Эта система являлась предшественником современной криптографии. Шифровальное программное обеспечение появилось за десять лет до разработки OTR. ПО нередко подвергалось критике из-за громоздкой, неудобной структуры. В PGP слишком много ключей – для определения личности, серверов, подписей, форматов сжатия и так далее. Кроме того, в PGP информацию подписывают статическим публичным ключом, и это также — предмет осуждения в сообществе айтишников.

Ключ может фигурировать на сайте владельца ПО или в местных директориях, используется разработчиком. И можно сколько угодно рассуждать, что так PGP разработана для хранения секретного контента. Но это не лучший вариант для защиты резервного копирования файлов. Да и система обмена защищенными сообщениями не соответствует продвинутым стандартам кибербезопасности. А теперь представьте, что произошла утечка данных, и шифровальный ключ PGP попал в открытый доступ. Хакер перехватит переписку, расшифрует и использует на свое усмотрение. Не слишком заманчивая перспектива.

Система PGP дорабатывалась, но несущественно. Недочеты до сих пор не устранены. Зато на смену PGP пришла система OTR. Теперь тайна переписки достигается за счет совершенной прямой секретности.

Как СМИ соблюдают совершенную прямую секретность?

Прямая секретность гарантирует конфиденциальность вашей работы в сети, даже если ключ шифрования однажды попадет к хакеру. Но технологии не стоят на месте, и специалисты в сфере кибербезопасности изобрели совершенную прямую секретность. Эта система предполагает создание нового ключа для каждой последующей сессии. Таким образом, если владельцы компании, на которую пожаловался сотрудник, решат взломать переписку, они не узнают ровным счетом ничего, ведь разговор со СМИ, определенно, состоялся ранее.

Как это работает? Технология шифрования основана на математических формулах, которые переводят кодирование в понятную для восприятия реципиента информацию. У любого зашифрованного канала коммуникации есть ключ, главное свойство которого — зашифровать или расшифровать данные. Благодаря этому, никто не может поменять сообщение, которое пользователь передает. Это сводит на нет риск атаки посредника (этот популярный вид хакерского воздействия, когда киберпреступник вторгается между двумя собеседниками и, оставаясь невидимым для них, меняет месседжи, достигая таким образом своих целей).

OTR пользуется отрицательной аутентификацией. Это значит, что если ваш разговор захотят подслушать, невозможно сказать, кто с кем общается. Только собеседники получают эту информацию, определяя друг друга по цифровому отпечатку устройства. Именно эта возможность обеспечивает анонимность коммуникации в системе OTR.

Кроме того, в отличие от PGP, off-the-record messaging не даёт посмотреть, кому принадлежит ключ зашифрованной беседы. Да и в целом, после переписки можно уничтожить ключ, и за это отвечает так называемое двусмысленное шифрование.

Однако даже при использовании OTR существуют хакерские приемы, позволяющие идентифицировать участников беседы через каналы чатов, аккаунты и по IP-адресам. Поэтому важно подключаться к чатам через VPN и Tor, особенно когда вы добавляете имя пользователя. Кстати, о том, что такое VPN, можно узнать в отдельном материале. Вы точно скомпрометируете себя, если возьмете будете заходить в переписки только лишь с домашнего или рабочего IP-адреса.

Как пользоваться OTR?

Но достаточно сложной теории. Перейдём к практике.

1. Установите программное обеспечение OTR. В открытом доступе находятся такие варианты: Pidgin (для Windows и Linux), Adium (подойдет, если пользуетесь Mac), Chat Secure (для Android и iOS платформ), Tor Messenger.
2. Настройте аккаунт чата, совместимый со скачанным мессенджером. Подбирайте аккаунт по такому критерию: он должен, как минимум, поддерживать такие протоколы, как jabber / xmpp, открытую децентрализованную систему с функциями, аналогичными электронной почте. Кстати, подойдёт большинство приложений Gmail / Google.
3. Добавьте свои контакты, чтобы начать чат. Введите их адреса в jabber. На практике это выглядит так же, как происходит при добавлении email-адресов.

Итак, теперь вы в состоянии боевой готовности. Нажмите на опцию «начать приватную беседу». Чтобы идентифицировать пользователя, обменяйтесь с собеседником цифровыми отпечатками устройств. Вы найдете свой фингерприт, кликнув на функцию «верификация вручную» в окне чата. Либо, если у вас есть верифицированный зашифрованный канал, вы легко узнаете, с кем общаетесь, в самом чате.

Соблюдая правила кибербезопасности, мы обеспечиваем конфиденциальность и анонимность при общении в сети. Это особенно важно, если вы журналист и обсуждаете серьёзные проблемы или проводите расследование.