В нашем блоге мы много пишем о создании email-рассылок и работе с электронной почтой. Многие люди пользуются email, но ИТ-специалисты здесь несколько выделяются — у них есть свои предпочтения по стилю общения, кроме того, некоторые из них используют не самые популярные у широких масс инструменты.
К примеру, многие ИБ-эксперты до сих пор работают с почтовым клиентом mutt, предшественником которого был консольный клиент elm. Издание Motherboard опубликовало материал о причинах такой любви к устаревшим средствам общения, а мы подготовили его адаптированный перевод.
Четверть века назад чтобы проверить электронную почту, нужно было использовать мейнфрейм и работать консольным почтовым клиентом вроде elm или pine. Сегодня, многие эксперты по безопасности всё еще используют и советуют mutt.
Кристофер Согхоян (Christopher Soghoian), главный технический специалист ACLU (American Civil Liberties Union, Американский союз защиты гражданских свобод), сообщил, что он является «несчастным пользователем mutt».
«Тот факт, что я использую mutt, не означает, что мне это нравится», – пишет Кристофер. – «Я терпеть его не могу. Я мечтаю о лучшем решении, но пока не нашел его».
Так почему же пользователь, заботящийся о своей безопасности, должен работать с mutt?
«Просто – значит надёжно», – говорит Марек Тузински (Marek Tuszynski) из Tactical Technology Collective – неправительственной организации, обучающей активистов и репортёров средствам цифровой конфиденциальности и безопасности. «В общем, консольные инструменты имеют более простой дизайн, состоят из меньшего количества строк кода без уязвимостей (Java, Flash и т.д.). Всё это повышает безопасность программы в целом (меньше ошибок, выше стабильность)».
«Я не хочу, чтобы мой почтовый клиент использовал движок рендеринга или интерпретатор JavaScript,» – пишет Согхоян. – «Чем меньше возможностей для атаки, тем лучше».
Если верить OpenHub.net, mutt запускается всего лишь на сотне тысяч строк кода, тогда как Thunderbird вместе с Enigmail состоят почти из миллиона. В браузере Firefox их 14 миллионов, а Chromium, база для Google Chrome с открытым исходным кодом, состоит из 17,4 миллионов строк кода.
Количество уязвимостей, найденных в mutt за последние 10 лет, ничтожно мало по сравнению с уязвимостями в браузерах вроде Firefox и Chrome и почтовых клиентах, таких как Outlook и Thunderbird.
Как говорит Согхоян, «(Mutt) не является веб-браузером, поэтому он и не имеет такого огромного количества уязвимостей для атак, как веб-браузер».
В наши дни, когда организованные атаки на пользователей становятся обычным делом, максимизация безопасности устройствеа конечного пользователя является важной для многих. В дополнение к mutt, технически подкованные пользователи переходят на консольные OTR чат-клиенты, такие как xmpp-клиент от Адама Лэнгли.
Протокол Off-the-Record Messaging (OTR) предлагает функции для шифрования чата, которых, судя по документам Сноудена конца 2012 года, было достаточно, чтобы избежать массовой слежки. Однако проблема безопасности на стороне конечного пользователя состоит в том, что Pidgin и Adium, два наиболее популярных OTR чат-клиента, основаны на библиотеке libpurple, безопасность которой находится под вопросом.
По данным Сноудена, правительство США не смогло взломать сообщения, закодированные с использованием протокола OTR
«Да, я использую xmpp-клиент Jabber для переписки», – пишет Согхоян. «Но к нему у меня также двойственное отношение. Мне нравится, что он написан на Go, не использует libpurple и не имеет различных ненужных дополнений типа эмодзи. Но его пользовательский интерфейс ужасен. Жду не дождусь, когда кто-нибудь создаст для него графический интерфейс».
Но повышение безопасности негативно влияет на юзабилити, и это плохо – ведь неважно, насколько безопасна платформа, если ею никто не будет пользоваться. Программы со сложными консольными командами используются только технически подкованными пользователями. Появится ли когда-нибудь надёжное и безопасное средство общения для массового пользователя?
Хmpp-клиент веселее, чем кажется
«Я в восторге от Ricochet: у него нет центрального сервера и утечек метаданных», – пишет Согхоян.– «Но он ещё не готов к запуску и даже не был основательно протестирован».
«Pond (ещё одно детище Адама Лэнгли) – также отличный проект и пример того, как может выглядеть безопасный почтовый сервис будущего», – добавляет Согхоян. «К сожалению, Адам не хочет, чтобы люди использовали pond, и у Адама не очень много времени для работы над ним. Если бы pond находился в активной разработке и был готов к запуску, я бы с радостью обменял на него электронную почту и pgp».
Однако Тузински отмечает, что безопасность на стороне конечного пользователя зависит не только от используемых инструментов. «Для нас важно уделять внимание не только цифровой безопасности информации», – пишет он, – «но и безопасности пользователя: физической и психологической. Проблема, которую нужно решить, является более широкой, чем просто выбор между приложением с консольным или графическим интерфейсом».
Другие материалы по теме email в блоге «Печкина»:
- Email, соцсети, мессенджеры: На что влияют средства коммуникации, и как их выбирать
- Как составлять email-автоответы: Анализ 100 заявок в службы поддержки ИТ-компаний
- Работа с email: Как свести количество входящих сообщений к нулю
- Почему спам так трудно победить
- Email и безопасность: Можно ли защитить почтовую переписку