dr3zk 一 定要记得清理日志
Overview
Este paper fornece uma visão geral do protocolo XMPP (Extensible Messaging and Presence Protocol), com foco em seus aspectos de descentralização, privacidade e anonimato.
- Abordarei como o protocolo funciona, RFCs, Extensões (XEP) e terminologias.
- Apresentarei um guia prático para a criação de uma conta e configuração do cliente Gajim com OMEMO e anonimização via rede Tor.
Sumário - XMPP
O que é XMPP
O protocolo XMPP, inicialmente chamado de Jabber, foi iniciado em 1999 e tinha como principal objetivo criar uma alternativa de comunicação de código aberto e federada/descentralizada. Com o tempo, o protocolo Jabber foi amadurecendo junto com a comunidade e logo foi padronizado, tornando-se XMPP, que é como o conhecemos hoje.
Você pode ver essa linha do tempo aqui -> XMPP History
RFCs & Extensions (XEP)
Como expliquei anteriormente, com o tempo o protocolo amadureceu e foi padronizado, nascendo assim as RFCs, que são documentos de padronização de protocolos.
RFCs (documentos de padronização do protocolo)
As RFCs principais do protocolo XMPP são:
| RFC | Título | Descrição |
|---|---|---|
| RFC 6120 | XMPP Core | Define o núcleo do protocolo, incluindo streams XML, autenticação SASL, estabelecimento de sessão e mecanismos de comunicação básicos. |
| RFC 6121 | XMPP Instant Messaging and Presence | Especifica as funcionalidades básicas de mensagens instantâneas e presença (online, offline, ocupado, etc.). |
| RFC 7622 | XMPP Address Format | Padroniza o formato do JID (Jabber ID), definindo a estrutura
usuário@domínio/recurso. |
| RFC 7590 | Use of TLS in XMPP | Especifica o uso obrigatório do TLS para criptografia de todas as conexões, garantindo segurança na comunicação. |
| RFC 7395 | XMPP over WebSocket | Define como XMPP pode ser transportado sobre WebSockets, facilitando sua integração com aplicações web modernas. |
Extensions (XEP)
O protocolo XMPP permite a adição de extensões, que são conhecidas como: XEPs (XMPP Extension Protocol).
Os XEP nos permitem
- Adicionar criptografia do lado do cliente (E2EE)
- Chamadas de voz e vídeo
- Compartilhamento de arquivos
- Descobrir os recursos que o servidor disponibiliza
- Salas em grupo (MUC)
- E uma infinidade de outras coisas…
Algumas extensões XEP bem conhecidas são:
| XEP | Nome | Descrição |
|---|---|---|
| XEP-0045 | Multi-User Chat | Salas de conversação em grupo, similares a canais de IRC. |
| XEP-0384 | OMEMO Encryption | Criptografia de ponta-a-ponta moderna, baseada no protocolo Signal. |
| XEP-0363 | HTTP File Upload | Permite o compartilhamento de arquivos mesmo quando o destinatário está offline. |
| XEP-0030 | Service Discovery | Permite que clientes descubram os recursos e extensões suportados por um servidor ou outro cliente. |
| XEP-0234 | Jingle | Framework para comunicação em tempo real, como chamadas de voz e vídeo. |
Existem diversos outros XEP, basta verificar -> xmpp.org/extensions
Como o XMPP funciona
Ideia Central
O XMPP e sua ideia central:
X — eXtensible:Feito para se adaptar a mudanças ao longo do tempo.M — Messaging:Mensagens instantâneas, rápidas e eficientes entre os clientes.P — Presence:A presença de uma entidade no servidor: Online, Offline, Ocupado etc. Indica se você está pronto para receber uma mensagem ou não.P — Protocol:É um protocolo extensível, com conjunto de padrões definidos, que permite a comunicação entre servidores e clientes.
Pontos Positivos do XMPP (em questões de privacidade)
Descentralizado/S2S
O protocolo XMPP é descentralizado por padrão
- Você pode rodar seu próprio servidor na sua casa, ele não depende de
um
servidor centralúnico. - A principal vantagem da descentralização é a liberdade de escolha do usuário, tendo em vista que o usuário pode criar seu próprio servidor (se ele tiver experiência), ou usar servidores seguros/privados (o que torna o uso muito mais simples).
- Os servidores funcionam em um modo chamado server-to-server (S2S), ou seja, os servidores se comunicam entre si, desde que ambos estejam rodando e aceitando comunicações via XMPP.
Estrutura Descentralizada
┌─────────────────────────────────────────────┐
│ Estrutura Descentralizada │
└─────────────────────────────────────────────┘
Server A Server B
┌─────────────┐ S2S ┌─────────────┐
│ │ ◄────────►│ │
│ user1@A.org │ │ user2@B.com │
│ │ │ │
└─────────────┘ └─────────────┘
▲ ▲
│ │
│ C2S │ C2S
│ │
┌─────┴──────┐ ┌─────┴──────┐
│ Client 1 │ │ Client 2 │
└────────────┘ └────────────┘C2S - CLIENT TO SERVER
S2S - SERVER TO SERVER- Isso significa que o usuário pode criar um servidor em casa! Se esse servidor rodar o protocolo XMPP, ele pode se comunicar com todos os outros!
Vantagens de ter seu próprio servidor
- Você gerencia seu servidor (quem pode se comunicar ou o que, E2EE e assim por diante)
- Você gerencia sua privacidade (quem pode te enviar mensagem, o que as pessoas podem ver)
- Você gerencia a forma como a comunicação é feita (adicionando criptografia à conexão ou não, você escolhe!)
- Você gerencia os logs (o que o servidor vai armazenar de útil)
- Mas mesmo se você não possuir um servidor, ainda existem servidores
gratuitos e “confiáveis” que estão disponíveis
24/7, e você pode se registrar criando um JabberID para se comunicar com outros usuários! - Você também pode usar criptografia E2EE (OMEMO) para proteger suas mensagens, impedindo que o servidor tenha acesso ao conteúdo.
Jabber ID
O protocolo XMPP usa um formato de endereçamento de entidades muito simples, semelhante ao e-mail.
- Você pode ter uma conta no Gmail e conversar com quem tem uma conta no Outlook
- user1@meuserver.dot -> user2@serverrandomico.dot2
JabberID
┌──────────────┐
│JabberID (JID)│
└──────────────┘
usuário@domínio/mobileX
───┬─── ───┬─── ───┬───
┌─────┘ │ └────┐
│ │ │
▼ ▼ ▼
┌───────┐ ┌───────────┐ ┌──────┐
│Usuário│ │Domain/FQDN│ │Client│
└───────┘ └───────────┘ └──────┘Usuário
- Seu nickname, escolhido na hora de criar sua conta em um servidor Jabber/XMPP
Domain
- NameSystem do servidor, usado para identificação do servidor do usuário/entidade
Client
- Usado para especificar o cliente/dispositivo que o usuário está
utilizando (
/mobile2 /laptopHome /gajim.DeskTOP12345) - Um usuário pode estar conectado simultaneamente em uma mesma conta, porém em diversos dispositivos diferentes, e é essa parte que identifica em qual dispositivo ele está conectado.
Sem Informações
- Você não precisa dar informações pessoais (e-mails, número de telefone, ou coisas do tipo) ao criar seu JabberID. Basta ter um usuário e uma senha!
- A coleta de informações varia de servidor para servidor. Pela essência do protocolo XMPP, a grande maioria dos servidores evita armazenar informações (IPs, mensagens etc.) por muito tempo! Basta ver as especificações de privacidade do servidor em que você irá se registrar para verificar essas informações.
Lembre-se: tudo depende das políticas do servidor XMPP que você irá utilizar.
Conexão via Tor
- Atualmente a maioria dos clientes suporta conexões feitas via Tor
- Isso anonimiza seu dispositivo e sua conexão, ou seja, o servidor não terá acesso ao seu endereço IP real.
- Isso acaba impedindo os servidores de obterem informações laterais que possam chegar até você (localização baseada no IP, ou identidade real baseada em footprinting).
Baseado em XML
- O protocolo é totalmente baseado em XML, o que permite extensões personalizadas.
- Isso é bom para novas features.
- Exemplo disso é o XEP!
Mitos a respeito do protocolo XMPP
Recomendo que você dê uma olhada sobre os Mitos a respeito do protocolo XMPP
Questões de segurança operacional (OPSEC)
O protocolo XMPP, por ser descentralizado e Open Source, é muito acolhedor para aqueles usuários que gostam de segurança operacional.
Diferente de protocolos proprietários, cujo usuário não pode fazer configurações adequadas e deve confiar cegamente na instituição centralizada.
No XMPP é possível configurar seu próprio ambiente de comunicação, com boas práticas você pode criar um ambiente protegido e privado.
Client
- Escolha um bom cliente, que suporte a maioria das extensões e criptografias, e que também permita conexões via PROXY/SOCKS5
- Dependendo do cliente que você utilizar, você pode fazer muitas configurações
- Com XMPP o usuário poderá implementar criptografia end-to-end, o que significa que você criptografa a mensagem no cliente, e depois envia ao servidor, dessa forma o servidor não poderá ver sua mensagem criptografada, somente o usuário destinatário.
Server
- Existem muitos servidores públicos que fornecem boas práticas de segurança atualmente.
- E mesmo que não forneça, você pode implementar criptografia nas suas mensagens, e o servidor não terá acesso ao conteúdo delas!
- Isso já deixa muitos outros mensageiros no chinelo
Hands on (Chega de teoria)
Vamos á prática! abordarei os dois protocolos extensivos de criptografia mais utilizados com XMPP. Fica a seu critério qual você irá utilizar.
OMEMO
Recomendado para uso diário, conversas com amigos, familiares e etc. (conversas comuns, sem conteúdo sensivel)
- É mais versátil e atual
- Compátivel com + de 1 dispositivo
- Possui negação fraca
- Suporta conversas em Grupo (MUC)
- É assincrono, o que permite receber mensagens offline
OTR
Recomendado para conversas sensiveis (denuncias, crimes e etc.)
- OTR é mais antigo, porém possui uma negação muito forte.
- Ambos clientes devem estar online para se comunicarem
- A cada nova conversa, uma nova chave criptografica! (Isso é bom pois, as chaves antigas não são atreladas a você)
- Se um dia te julgarem em um tribunal, é possivel negar!
Ambos são seguros, mas são utilizados para própositos diferentes!
CLIENTs
Existe uma lista enorme de clients que podem ser utilizados, e você pode encontrar aqui: XMPP CLIENTS
Já utilizei esses clients, nessas plataformas
- Gajim (
Linux/Windows) -> Suporte aOMEMO - Pidgin (
Linux/Windows) -> Suporte aOTR - Conversations (
Android) -> Suporte aOMEMO
Instalando e configurando o Gajim
Como eu utilizo o linux, irei guiar esse tutorial em uma máquina linux!
Criando a conta
Primeiro você precisa de um jabberID, então procure um servidor confiável e crie sua conta
- Essa parte é simples, basta escolher um servidor e criar sua conta lá. (não irei desenvolver essa parte)
- Salve sua senha em um lugar seguro. (KeePassXC)
- Servidores XMPP em sua grande maioria não permitem a troca de senha, e aqueles que permitem precisam de alguma informação pra confirmar sua identidade (e-mail ou coisa do tipo)
Voltando ao Gajim…
Agora que você possui um jabberID em um Servidor, vamos logar usando o Gajim!
Antes de logar na sua conta Jabber, a primeira coisa que iremos fazer é ir nas configurações do Gajim, e configurar umas coisas básicas!
- Clique no icone de configuração na parte inferior esquerda.
Antes de seguir os próximos passos você irá precisar do serviço TOR rodando na sua máquina
- Instale o TOR
sudo apt install tor- Habilite e inicie
sudo systemctl enable tor
sudo systemctl start tor- Saida do terminal esperada
Synchronizing state of tor.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable tor- Verifique se está rodando
- Tudo certo até aqui…
- Agora vá em Advanced e coloque o Global Proxy como Tor
- Feche o Gajim e abra novamente
- Vamos logar na nossa conta agora
- Configuramos o Global proxy para fazer todas as conexões via TOR, mas….
- Para maior anonimização no lado do servidor, recomendo fazer essa etapa com uma VPN ativa, caso o Global proxy não funcione na primeira conexão!
- Isso vai preservar seu IP no Servidor!
- Use riseup VPN!
sudo apt install riseup-vpn- Ative a VPN
- Agora logue na sua conta
Você pode selecionar Adavanced Settings e selecionar o
TOR para conexão (já configuramos isso antes, mas se você é paranoico
assim como eu, faça!), fica ao seu critério
- Agora é hora de configurar sua conta Jabber no Client Gajim!
- Volte as configurações
- Selecione sua conta Jabber
- Agora a gente vai configurar o Proxy da conta especifica
- Clique em Connection
- Selecione TOR como padrão
- Assim a conta jabber que você configurou, irá se conectar atráves do TOR, sempre! (faça o teste desligando o TOR e ligando, veja se a conexão do gajim caiu)
- Verifique também se você está usando conexão sem criptografia
- Deixe as opções dessa forma, assim toda vez que uma conexão sem criptografia for feita, você irá precisar verificar e confirmar!
Pronto!
- Agora vamos colocar criptografia OMEMO por padrão!
OMEMO POR PADRÃO
- Essa etapa é muito simples, basta ir em Privacy e colocar a criptografia padrão como OMEMO
Feito!
- Agora você pode conversar de forma segura
- Agora você pode adicionar pessoas novas, e apresentar o XMPP as pessoas, livrando elas das instituições centralizadas!!!
- Agora você pode me adicionar:
dr3zk@linux.monster
Bom o paper acabou, se você leu até aqui obrigado por ter tirado um tempo para visitar essa joça! Se encontrou algum erro técnico ou de português, sinta-se à vontade para me adicionar no XMPP e me enviar.
Lembre-se de colocar as luvas nos pés dos MACAC0S! 🇨🇳🇨🇳🇨🇳🇨🇳🇨🇳🇨🇳🇨🇳🇨🇳🇨🇳
⣠⣤⣄⣀⣤⡤⠤⣤⢄⠀⣀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠀⢸⣿⣿⣷⣮⡓⢦⡀⠀⠀⠉⠉⠓⠲⠤⢤⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⢴⣾⣿⣿⣿⣿⣿⣦⣙⠂⠀⠤⡀⠀⠀⠀⠀⠀⠈⠑⠒⠤⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⠐⢻⣿⣿⣿⢿⣿⣿⣿⠷⠀⠀⠀⠀⠀⠀⠀⠀⠀⣀⣤⡀⢙⡯⡓⢤⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀
⢸⣿⢻⣽⣿⣿⣿⠷⠛⠁⠀⠀⠀⠐⠀⠀⠀⠐⠛⠉⣽⣯⡽⠁⠘⢦⣱⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣠⣤⣄⣀⣠⠴⢒⣚⣹⣟⣛⣲⢶⣤⣀⠀⠀⠀
⡘⣻⣷⣽⢿⠏⠙⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠐⠺⢾⣿⢿⣧⣆⠐⠆⣙⣻⢆⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣿⢸⠘⣿⣷⣿⣽⣿⣿⣟⣟⢿⣾⣿⣿⣯⣧⠀
⣤⣸⣿⣿⠂⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠻⢭⣭⣭⣿⣿⣗⣻⣿⣿⡦⣀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣀⣿⣽⡀⠸⣿⣿⣿⣿⣿⣿⣾⣿⣿⣿⡛⣿⡻⣧
⢹⣯⡿⠏⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢠⣤⣶⣾⣿⣿⡯⣛⣷⣯⣿⡺⣿⣮⡳⣄⠀⠀⠀⠀⠀⠀⠀⠀⢀⣴⣾⡿⣿⣿⡟⠁⠀⣿⣿⣿⣿⣿⣿⡿⣿⣴⣿⣯⣹⡟⣿
⠘⠻⠇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠺⠛⢉⣴⣿⣯⣾⢟⡲⢿⣛⢿⡹⣷⣛⣋⠑⡄⠀⠀⠀⠀⡠⠚⠋⠉⠫⢯⣿⣿⣷⡄⢠⣿⣿⣿⣿⣿⡿⣇⣻⣿⣿⣷⢿⣇⢨
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣰⡿⠋⢧⡟⢻⣷⣝⡲⢌⣙⠣⡘⣿⣿⣷⠜⠀⠀⠀⢰⡁⠀⠀⠀⠀⠀⢻⣿⣿⣆⣿⣿⣿⣿⣿⡿⢴⣿⣿⣷⡿⡿⣾⣏⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠁⠀⠀⢏⣠⣿⣿⣿⣿⣶⣮⣍⣒⢼⡏⠁⠀⠀⠀⠀⠀⠙⢑⡒⠒⠒⠋⢡⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣛⣷⣿⠋⢏⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣰⣿⣿⣿⣿⣿⡇⢸⡟⣿⡿⠿⠀⠀⠀⠀⠀⠀⠀⠀⠘⠱⢀⣠⢨⣬⣿⣿⣋⠛⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⢧⡈⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡾⠇⠀⠀⠀⠀⢀⣾⣿⣿⡿⠛⠉⠉⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠈⠓⡿⠛⢻⡿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⢿⣿⣾⣷⡁
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡔⣠⣿⣯⢻⣿⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡼⡽⢰⣸⣿⣾⣿⣿⣿⣿⢿⣿⢿⣿⣿⣿⣿⠟⠁⠀⠙⣿⣿⣷
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣿⣿⣿⣸⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣜⡾⠵⣿⠟⣿⣷⣿⣿⢹⣿⠀⣳⣿⣿⣿⣿⡟⣀⠆⠀⡀⣄⠹⣿
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⣒⢤⡀⠀⠀⣿⣿⣿⣿⣿⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢀⣼⡾⡿⢋⣵⣾⡏⢹⣯⣟⣽⡏⠀⠈⣿⣿⠟⣀⣼⠋⠀⢠⣽⣿⣷⣮
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⡝⡄⠀⠸⣿⣿⣇⣛⡇⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡞⢸⣷⣿⣿⣿⡟⢰⣿⣿⣿⠏⠀⠀⠀⣟⣿⣾⣿⠇⠀⠀⣾⣾⣷⣿⣿
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠘⡄⠀⠈⠛⠿⠿⠃⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⡇⠘⣿⣿⣿⡿⠀⠀⠉⠉⠀⠀⠀⠀⢠⣿⣿⢻⡟⠀⡆⣿⣿⣿⣿⣿⣿
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠙⠤⠤⢖⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⢸⡇⠀⢻⣿⣿⣧⠀⠀⠀⠀⠀⠀⠀⢀⣿⣿⠃⣾⣧⠀⣿⣿⣿⣿⣿⣿⣿