Jabber – старое название XMPP-протокола для мгновенного обмена сообщениями, которое до сих пор популярно у пользователей. На даркнет-форумах, как правило, используют просторечное название «жаба».
Устройство XMPP-сети очень простое: есть XMPP-сервера, их много по всему миру, например jabber.ru. Вы выбираете себе сервер, регистрируетесь на нем аналогично тому, как регистрируетесь на любом сайте (если, конечно, владелец сервера предоставил возможность регистрации). В момент регистрации на сервере вам создается аккаунт в виде логина и пароля.
Большинство XMPP-серверов для регистрации требуют только логин и пароль. Никакой привязки к мобильному устройству, почте или иным персональным данным. Новый аккаунт можно зарегистрировать за считанные секунды, а на одном устройстве одновременно использовать хоть сто аккаунтов.
XMPP-сервер привязан к доменному имени, и ваш XMPP-аккаунт будет выглядеть так: уникальное_имя@доменное_имя_сервера, например, example@jabber.ru. Это похоже на email, и многие пользователи путают их, пытаясь отправить электронное письмо адресату. В некоторых случаях вы можете встретить сокращение JID (Jabber ID) – это синоним XMPP-аккаунта.
Регистрируясь на одном сервере, вы можете общаться со всеми пользователями XMPP, независимо от того, на каком сервере зарегистрированы они (если опять-таки нет никаких ограничений от владельца XMPP-сервера).
Для общения по XMPP-протоколу используются специальные программы-клиенты. Их немало, и они есть на все популярные мобильные и десктопные платформы. Самые известные из них это Pidgin, Adium, Xabber и Psi+.
Отличие Jabber-сети от других мессенджеров в децентрализации, или отсутствии единого центра. Вы сами можете настроить и обслуживать свой сервер, хранить или не хранить логи, определить политику сбора данных и сотрудничества с правоохранительными органами. По этой же причине Jabber сложно подвергнуть государственной цензуре.
Миф
XMPP – безопасный протокол, который не прослушивается даже спецслужбами.
Реальность
Владельцы XMPP-серверов могут спокойно перехватывать и читать переписки всех пользователей, кроме тех, которые зашифрованы. Они могут вести запись общения пользователей и хранить эти записи, могут видеть и вести логирование IP-адресов всех пользователей их сервера.
Несмотря на все написанное выше, мы считаем XMPP на сегодняшний день лучшим решением в тех случаях, когда необходим максимальный уровень защиты коммуникации при мгновенном обмене сообщениями. Просто в протоколе XMPP по умолчанию нет надежного шифрования, но его можно добавить.
Для того чтобы общение через XMPP стало максимально анонимным и безопасным:
подключаться к Jabber-серверу следует только через Tor (этому мы вас научим);
всегда использовать OTR/PGP-шифрование (несколько глав курса будут посвящены данному вопросу);
использовать рандомный логин вроде 2g8yyqfhvfyfeyqfquf@jabber.com.
Запомните эти три фундаментальных правила безопасного общения через XMPP.
Проблема публичных Jabber-серверов в том, что они часто поднимаются любителями, которые просто не способны должным образом настроить безопасность. Со стороны вы никак не отличите сервер, поднятый профессионалом, который заботится о безопасности сервера, и сервер, поднятый любителем.
Ежегодно в популярных движках Jabber-серверов обнаруживаются уязвимости, разработчики выпускают обновления, но владельцы XMPP-серверов не спешат их обновлять. Мы лично проверяли публичные сервера на уязвимости, находили их и сообщали владельцам, и не более 50% владельцев серверов исправляли их.
А знаете почему? Многим из них не нужна ваша безопасность, им плевать на нее. У них нет никакой финансовой мотивации заниматься XMPP-сервером, потому как он не приносит денег. Единственный заслуживающий внимания способ заработка на XMPP-сервере - рассылка рекламы зарегистрированным пользователям, но его используют далеко не все администраторы.
Только за время написания этого курса хакерами было взломано несколько популярных XMPP-серверов. В результате взломов был получен доступ к пользовательским аккаунтам и логам. Это стало известно, потому как хакеры хотели монетизировать свой успех и начали пытаться заработать на взломанных аккаунтах, из-за этого поднялся шум, и проблема стала общеизвестной. Если бы эти сервера были взломаны спецслужбами, общественность никогда бы не узнала об этом.
Наверное, у вас может возникнуть вопрос, зачем нужен этот Jabber, если есть достаточно защищенных мессенджеров вроде Telegram? Правильно настроенный XMPP-клиент, включающий отправку только через Tor, анонимную регистрацию и PGP-шифрование, лучше хваленого Telegram.
Более высокий уровень безопасности возникает благодаря разделению программной и серверной части. Говоря простыми словами, если вы ставите Telegram, приложение собирает о вас немало информации и привязывает ее к вашему аккаунту, соединенному с мобильным номером. Если вы столкнетесь с блокировкой аккаунта Telegram за спам и смените аккаунт на устройстве с переустановкой программы, то обнаружите, что программа узнала вас и новый аккаунт также заблокирован.
В Jabber это невозможно, так как инсталлируемые клиенты практически не собирают данные, они не занимаются борьбой со спамом и блокировками пользователей, им эта информация просто не нужна, но даже собираемый ими минимум никак не связан с используемыми XMPP-аккаунтами (по крайней мере, в предлагаемых нами программах это так).
Хотя XMPP и уступает самому анонимному, на наш взгляд, решению Bitmessage, при этом является несравнимо удобнее и предоставляет возможность вести мгновенный обмен сообщениями. Инструкцию по настройке Jabber мы дадим в следующих главах данной части.
