即時通訊軟體安全問題分析
阿新 • • 發佈:2019-02-18
因為眾所周知的原因,最不靠譜的當然是 QQ,所以如果你有祕密或者豔照之類,千萬不要通過 QQ 傳遞。MSN 的通訊是明文未加密的,也不是很靠譜,不過好像有外掛可以提供加密,但要求聊天雙方都安裝。
一、QQ, MSN, GTalk, Skype,哪個最安全,哪個最不安全?
答:因為眾所周知的原因,最不靠譜的當然是 QQ,所以如果你有祕密或者豔照之類,千萬不要通過 QQ 傳遞。MSN 的通訊是明文未加密的,也不是很靠譜,不過好像有外掛可以提供加密,但要求聊天雙方都安裝。Skype 的情況稍微複雜點,簡單來說,就是不要使用從 skype.tom.com (Skype 在國內的御用合作伙伴)下載的簡體中文版 Skype。具體原因不便多說,有興趣的話請自行搜尋(提示:研究是由加拿大多倫多大學的一個實驗室進行的)。請各位繞道牆外下載 Skype 官方客戶端。(例如用這個地址訪問 Skype 英國站。)
GTalk 其實比較好,谷歌自家的客戶端就提供加密功能,只是用的人不多,另外在非 Windows 平臺上沒有官方客戶端。需要注意的一點是,據我們目前所知,只有英文版的 GTalk 客戶端才確認有加密。此外,通過 Gmail 的網頁介面使用 GTalk 也是預設 HTTPS 加密的。
二、用 Adium 和 Pidgin 的人可以選用 OTR 加密,這個的安全性如何?
答:靠譜。另外 Miranda IM 的外掛 SecureIM 可以實現端對端的強加密。 IRC 也是很安全的,而且在 Windows / Linux / BSD / Mac 下都有客戶端,只是技術社群以外的人用得不多。
三、也有很多人用 MSN Shell 來加密 MSN 對話,這個真的安全嗎?
答:我沒用過,不太清楚。不過我一貫的信條是看不到原始碼就不信任,所以不是太放心。況且 MSN Shell 是在 Windows 上執行的,該平臺又是以木馬、後門、和病毒聞名於世,如果用的還是來路不明的盜版,那剩下的也就不用多說了,白搭。
如果作業系統是正版 Windows,平時也很注意安全,確認電腦沒有木馬、後門、病毒等等,這時使用 Pidgin + OTR 還是可以的。
四、用 iChat 上 GTalk,安全性又如何?
答:iChat 新增的 GTalk 賬戶預設是 SSL 加密的,安全。
五、iChat 是專有軟體,Adium 是開源軟體,所以大體來說 Adium 比 iChat 更安全——你沒法確定蘋果沒有監視和儲存你的聊天記錄。這個說法有道理嗎?
答:嗯,的確是這樣的。不過貌似蘋果不像谷歌,對使用者內容沒有興趣吧…… 只能假設它不作惡了 :
六、雖然說 QQ 最不安全,但如果我電腦開了 VPN,是不是也就無所謂了?
答:也不行。QQ 是客戶端和伺服器的問題,跟你開不開 VPN 沒有關係。這個和 Tom 版 Skype 是一個問題。
七、如果我一定要用一款 IM 軟體把我的密碼發給我女友 / 男友 / 父母,應該選用哪款?要做什麼防範措施?
答:GTalk,或者 Adium + OTR。其實我一般有這種要緊的東西要發都是讓對方使用加密連線到 Gmail 接收的。使用暗語或者影象也可以避免密碼被機器識別。如果確實是很重要很重要的東西,還可以考慮採用多渠道分別傳送。比如你可以將該密碼存為一個文字檔案再次加密(選個強的隨機密碼),然後通過 MSN 傳送加密後的檔案,然後通過 GTalk 或者 Gmail 甚至電話等其他渠道告知對方解密的密碼。這個方法可以反覆疊用多做幾次。
八、假設有人在監聽我每天和客戶的 Skype 語音通話,如果我通話時開啟 VPN,是否可以確保通話內容即便被擷取,也無法被聽到?(換句話說:VPN 對文字以外的資訊是否有效?)
答:如果你不屬於被特別「關照」的人群,一般也不會有人來監聽你的語音通訊。這個需要的頻寬、計算資源比較大,對監聽方來說不是很經濟。也許等以後有比較成熟的語音轉文字技術後這會是個問題,但現階段大多數人不用太擔心這個。但文字記錄可以非常容易的獲取,所以 Tom.com 的那個有問題的 Skype 版本才能夠有效地大規模蒐集資訊。
VPN (常見的 PPTP 和 L2TP/IPSec) 對所有資訊都加密的,所以不管是文字還是語音,只要是通過 VPN 連線的都是安全的。不過需要注意在網路連線那裡一定要選擇將所有流量都通過 VPN 傳送。Mac OS X 上這樣操作:在 Network Preferences 裡面選中你的 VPN 連線,然後點 Advanced 按鈕,在 Options 標籤的 Session 下面勾選 Send all traffic over VPN connection,然後儲存修改。
不過,VPN 的加密僅限從你的電腦到你的 VPN 伺服器這一段,之後就不保證了。因此如果需要確保整個對話安全,你和對方都必須使用 VPN ,而且你們兩個的 VPN 之間的連線也要是加密的。比較簡單的辦法是你和對方都同時連線到同一個可以信任的 VPN 上。再次強調,不要使用從 Tom.com 上下載的 Skype!
九、上班族之間經常有「公司的 IT 部門會統一監視公司內部的 MSN 對話」的說法。假設此說屬實,但我仍然需要在公司用 MSN 說一些不希望被任何其他人看到的話,應該怎麼做?
答:有些公司真的會這樣幹。我一個朋友的朋友就因為說了不該說的被炒掉了。如果非要 MSN,那就用外掛加密或者用那個 MSN Shell 吧。套用谷歌 CEO 什密特的說法,如果你不想被人聽到,那最好是不要說……至少等回家再說吧?
結論:
一、任何情況下都不要用 QQ,不要用中國版(Tom 版)Skype。
二、談機密話題時不要用 MSN,哪怕是加了 MSN Shell 的 MSN。
三、儘量多用 GTalk,記得一定用英文版。
四、用 Adium 或 Pidgin 談機密話題時,儘量開啟 OTR 加密。
五、涉密時,如果要在即時通訊和電郵之間二選一的話,請選電郵:目前主流的即時通訊軟體(QQ 和 MSN)都不安全,相比之下,至少強制 HTTPS 加密的 Gmail 是相當可靠的選擇。關於如何保障電郵通訊的安全性。
一、QQ, MSN, GTalk, Skype,哪個最安全,哪個最不安全?
答:因為眾所周知的原因,最不靠譜的當然是 QQ,所以如果你有祕密或者豔照之類,千萬不要通過 QQ 傳遞。MSN 的通訊是明文未加密的,也不是很靠譜,不過好像有外掛可以提供加密,但要求聊天雙方都安裝。Skype 的情況稍微複雜點,簡單來說,就是不要使用從 skype.tom.com (Skype 在國內的御用合作伙伴)下載的簡體中文版 Skype。具體原因不便多說,有興趣的話請自行搜尋(提示:研究是由加拿大多倫多大學的一個實驗室進行的)。請各位繞道牆外下載 Skype 官方客戶端。(例如用這個地址訪問 Skype 英國站。)
GTalk 其實比較好,谷歌自家的客戶端就提供加密功能,只是用的人不多,另外在非 Windows 平臺上沒有官方客戶端。需要注意的一點是,據我們目前所知,只有英文版的 GTalk 客戶端才確認有加密。此外,通過 Gmail 的網頁介面使用 GTalk 也是預設 HTTPS 加密的。
二、用 Adium 和 Pidgin 的人可以選用 OTR 加密,這個的安全性如何?
答:靠譜。另外 Miranda IM 的外掛 SecureIM 可以實現端對端的強加密。 IRC 也是很安全的,而且在 Windows / Linux / BSD / Mac 下都有客戶端,只是技術社群以外的人用得不多。
三、也有很多人用 MSN Shell 來加密 MSN 對話,這個真的安全嗎?
答:我沒用過,不太清楚。不過我一貫的信條是看不到原始碼就不信任,所以不是太放心。況且 MSN Shell 是在 Windows 上執行的,該平臺又是以木馬、後門、和病毒聞名於世,如果用的還是來路不明的盜版,那剩下的也就不用多說了,白搭。
如果作業系統是正版 Windows,平時也很注意安全,確認電腦沒有木馬、後門、病毒等等,這時使用 Pidgin + OTR 還是可以的。
四、用 iChat 上 GTalk,安全性又如何?
答:iChat 新增的 GTalk 賬戶預設是 SSL 加密的,安全。
五、iChat 是專有軟體,Adium 是開源軟體,所以大體來說 Adium 比 iChat 更安全——你沒法確定蘋果沒有監視和儲存你的聊天記錄。這個說法有道理嗎?
答:嗯,的確是這樣的。不過貌似蘋果不像谷歌,對使用者內容沒有興趣吧…… 只能假設它不作惡了 :
六、雖然說 QQ 最不安全,但如果我電腦開了 VPN,是不是也就無所謂了?
答:也不行。QQ 是客戶端和伺服器的問題,跟你開不開 VPN 沒有關係。這個和 Tom 版 Skype 是一個問題。
七、如果我一定要用一款 IM 軟體把我的密碼發給我女友 / 男友 / 父母,應該選用哪款?要做什麼防範措施?
答:GTalk,或者 Adium + OTR。其實我一般有這種要緊的東西要發都是讓對方使用加密連線到 Gmail 接收的。使用暗語或者影象也可以避免密碼被機器識別。如果確實是很重要很重要的東西,還可以考慮採用多渠道分別傳送。比如你可以將該密碼存為一個文字檔案再次加密(選個強的隨機密碼),然後通過 MSN 傳送加密後的檔案,然後通過 GTalk 或者 Gmail 甚至電話等其他渠道告知對方解密的密碼。這個方法可以反覆疊用多做幾次。
八、假設有人在監聽我每天和客戶的 Skype 語音通話,如果我通話時開啟 VPN,是否可以確保通話內容即便被擷取,也無法被聽到?(換句話說:VPN 對文字以外的資訊是否有效?)
答:如果你不屬於被特別「關照」的人群,一般也不會有人來監聽你的語音通訊。這個需要的頻寬、計算資源比較大,對監聽方來說不是很經濟。也許等以後有比較成熟的語音轉文字技術後這會是個問題,但現階段大多數人不用太擔心這個。但文字記錄可以非常容易的獲取,所以 Tom.com 的那個有問題的 Skype 版本才能夠有效地大規模蒐集資訊。
VPN (常見的 PPTP 和 L2TP/IPSec) 對所有資訊都加密的,所以不管是文字還是語音,只要是通過 VPN 連線的都是安全的。不過需要注意在網路連線那裡一定要選擇將所有流量都通過 VPN 傳送。Mac OS X 上這樣操作:在 Network Preferences 裡面選中你的 VPN 連線,然後點 Advanced 按鈕,在 Options 標籤的 Session 下面勾選 Send all traffic over VPN connection,然後儲存修改。
不過,VPN 的加密僅限從你的電腦到你的 VPN 伺服器這一段,之後就不保證了。因此如果需要確保整個對話安全,你和對方都必須使用 VPN ,而且你們兩個的 VPN 之間的連線也要是加密的。比較簡單的辦法是你和對方都同時連線到同一個可以信任的 VPN 上。再次強調,不要使用從 Tom.com 上下載的 Skype!
九、上班族之間經常有「公司的 IT 部門會統一監視公司內部的 MSN 對話」的說法。假設此說屬實,但我仍然需要在公司用 MSN 說一些不希望被任何其他人看到的話,應該怎麼做?
答:有些公司真的會這樣幹。我一個朋友的朋友就因為說了不該說的被炒掉了。如果非要 MSN,那就用外掛加密或者用那個 MSN Shell 吧。套用谷歌 CEO 什密特的說法,如果你不想被人聽到,那最好是不要說……至少等回家再說吧?
結論:
一、任何情況下都不要用 QQ,不要用中國版(Tom 版)Skype。
二、談機密話題時不要用 MSN,哪怕是加了 MSN Shell 的 MSN。
三、儘量多用 GTalk,記得一定用英文版。
四、用 Adium 或 Pidgin 談機密話題時,儘量開啟 OTR 加密。
五、涉密時,如果要在即時通訊和電郵之間二選一的話,請選電郵:目前主流的即時通訊軟體(QQ 和 MSN)都不安全,相比之下,至少強制 HTTPS 加密的 Gmail 是相當可靠的選擇。關於如何保障電郵通訊的安全性。