Το email είναι η πιο διαδεδομένη μέθοδος επικοινωνίας στο Διαδίκτυο – ίσως ακόμη και στον πλανήτη. Είναι ενσωματωμένο σχεδόν σε όλα, από τηλέφωνα και ταμπλέτες έως παραδοσιακούς υπολογιστές έως συσκευές παιχνιδιών – καλό, ακόμη και οι συνδεδεμένες οικιακές συσκευές και τα αυτοκίνητα μπορούν να κάνουν email. Το πιο σημαντικό, το να είσαι «στο Διαδίκτυο» σημαίνει να έχεις μια διεύθυνση email (ή δεκάδες από αυτές). είναι οι ταυτότητές μας, πώς εγγραφόμαστε για πράγματα, πώς λαμβάνουμε ειδοποιήσεις και μερικές φορές ακόμη και επικοινωνούμε μεταξύ μας. Το email είναι η αρχική «εφαρμογή δολοφόνος».
Αλλά το email δεν σχεδιάστηκε με όποιος το απόρρητο ή την ασφάλεια. Έχουν γίνει πολλές προσπάθειες για να γίνει το ηλεκτρονικό ταχυδρομείο πιο ασφαλές, αλλά ο πρόσφατος τερματισμός λειτουργίας των άκρως διαφημιζόμενων ασφαλών υπηρεσιών email, όπως Lavabit (που φέρεται να χρησιμοποιείται από τον διαρρήκτη της NSA Edward Snowden) και Σιωπηλός Κύκλος στον απόηχο των προγραμμάτων κυβερνητικής εποπτείας τονίζουν τις δυσκολίες. Η έλλειψη ασφάλειας ηλεκτρονικού ταχυδρομείου προκαλεί επίσης μια εκπληκτική παράπλευρη ζημιά, όπως ο ανακοινωθείς τερματισμός λειτουργίας του σεβαστού ιστολογίου λογισμικού και νόμου
GrokLaw.Προτεινόμενα βίντεο
Είναι απελπιστική η ασφάλεια του email; Κοιτάμε το τέλος της εφαρμογής δολοφονίας του Διαδικτύου;
Γιατί το email δεν είναι ασφαλές;
Το ηλεκτρονικό ταχυδρομείο δεν είναι ασφαλές γιατί ποτέ δεν προοριζόταν να είναι το κέντρο της ψηφιακής μας ζωής. Αναπτύχθηκε όταν το Διαδίκτυο ήταν ένα πολύ μικρότερο μέρος για την τυποποίηση της απλής αποθήκευσης και προώθησης μηνυμάτων μεταξύ ατόμων που χρησιμοποιούν διαφορετικά είδη υπολογιστών. Όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου μεταφέρονταν εντελώς ανοιχτά - τα πάντα ήταν ευανάγνωστα από οποιονδήποτε μπορούσε να παρακολουθήσει την κυκλοφορία δικτύου ή να αποκτήσει πρόσβαση σε λογαριασμούς (αρχικά ούτε καν οι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι). Παραδόξως, το email που αποστέλλεται χρησιμοποιώντας αυτές τις ευρέως ανοιχτές μεθόδους εξακολουθεί (κυρίως) να λειτουργεί.
Σήμερα, υπάρχουν τέσσερα βασικά μέρη όπου το email των περισσότερων ανθρώπων μπορεί να παραβιαστεί:
- Στη συσκευή(ες) σας
- Στα δίκτυα
- Στο διακομιστή(ους)
- Στη συσκευή του παραλήπτη σας
Η πρώτη και η τελευταία θέση – συσκευές – είναι εύκολα κατανοητές. Εάν κάποιος μπορεί να καθίσει στον υπολογιστή σας, να πιάσει το τηλέφωνό σας ή να σαρώσει μέσα από το tablet σας, οι πιθανότητες είναι ότι το email σας βρίσκεται ακριβώς εκεί για να το διαβάσει - Εσείς κάνω χρησιμοποιήστε οθόνη κλειδώματος ή κωδικό πρόσβασης στις συσκευές σας, σωστά; Το ίδιο ισχύει και για τις συσκευές των παραληπτών σας. Αλλά ακόμη και οι κωδικοί πρόσβασης και οι οθόνες κλειδώματος μερικές φορές δεν βοηθούν πολύ. Ενώ μερικά προγράμματα email κρυπτογραφούν τα μηνύματα email που αποθηκεύουν στη συσκευή, τα περισσότερα δεν το κάνουν. Αυτό σημαίνει ότι οποιοσδήποτε (ή οποιοδήποτε πρόγραμμα) που μπορεί να έχει πρόσβαση στον εσωτερικό χώρο αποθήκευσης της συσκευής μπορεί πιθανώς να διαβάσει επίσης email και να μεταβεί σε συνημμένα αρχεία. Ακούγεται τραβηγμένο; Δεν χρειάζεται να είναι άτομο. Η διέλευση μέσω email είναι ένα από τα πιο κοινά πράγματα που κάνει το κακόβουλο λογισμικό.
Τα δίκτυα είναι λίγο πιο δύσκολα στην κατανόηση και καλύπτουν τρεις βασικούς συνδέσμους:
- Η σύνδεσή σας με τον πάροχο του email σας (είτε αυτός είναι ο ISP, το Google, το Outlook, το Yahoo, η Apple ή κάποιος άλλος)
- Οποιεσδήποτε συνδέσεις δικτύου μεταξύ τον πάροχο email και τον παραλήπτη σας
- Η σύνδεση δικτύου του παραλήπτη σας με τον πάροχο ηλεκτρονικού ταχυδρομείου του.
Εάν στέλνετε email σε κάποιον στην ίδια υπηρεσία που χρησιμοποιείτε (για παράδειγμα, Outlook.com), έχετε τουλάχιστον το πρώτο και τρίτη πιθανή ευπάθεια δικτύου: η σύνδεσή σας με το Outlook.com και η σύνδεση του παραλήπτη σας με Outlook.com. Εάν το email του παραλήπτη σας βρίσκεται αλλού (ας πούμε σε εταιρεία ή σχολείο), τότε έχετε τουλάχιστον ένα ακόμη: τη σύνδεση μεταξύ του Outlook.com και του παρόχου email του παραλήπτη σας. Η πραγματικότητα της τοπογραφίας δικτύου σημαίνει ότι κάθε μία από αυτές τις συνδέσεις περιλαμβάνει μια σειρά από δρομολογητές και μεταγωγείς (ίσως μια ντουζίνα ή περισσότερους), που πιθανώς ανήκουν και λειτουργούν από διαφορετικές συσκευές. Εάν μία σύνδεση είναι ασφαλής, δεν υπάρχει καμία εγγύηση άλλα η σύνδεση στη σειρά είναι ασφαλής. Και αν ανησυχείτε για πράγματα όπως το πρόγραμμα επιτήρησης PRISM της NSA, μέχρι στιγμής υπάρχουν ενδείξεις ότι μερικά από αυτά συμβαίνουν σε αυτά τα προσωρινά σημεία δικτύου.
Το email δεν σχεδιάστηκε με όποιος το απόρρητο ή την ασφάλεια.
Οι διακομιστές είναι τα μηχανήματα στον πάροχο ηλεκτρονικού ταχυδρομείου ή στον ISP που αποθηκεύουν φυσικά τα email σας. Αν κάποιος σπάσει (ή μαντέψει ή κλέψει) τον κωδικό πρόσβασης του email σας, πιθανότατα δεν χρειάζεται τις συσκευές σας. μπορούν να συνδεθούν απευθείας στον πάροχο email σας και να διαβάσουν οποιοδήποτε email που είναι αποθηκευμένο εκεί. Αυτά μπορεί να είναι μόνο μερικά μηνύματα, αλλά μπορεί να χρειαστούν εβδομάδες, μήνες ή χρόνια - συμπεριλαμβανομένων τουλάχιστον ορισμένων μηνυμάτων που έχετε διαγράψει. Αλλά αυτός δεν είναι ο μόνος κίνδυνος. Οι περισσότερες υπηρεσίες email αποθηκεύουν τα μηνύματά σας ως απλό κείμενο. Έτσι, οποιοσδήποτε εισβολέας μπορεί να έχει πρόσβαση σε αυτούς τους διακομιστές (για παράδειγμα, μέσω ενός ελαττώματος ασφαλείας ή κλέβοντας έναν κωδικό πρόσβασης διαχειριστή) μπορεί εύκολα να έχει πρόσβαση σε όλα τα αποθηκευμένα μηνύματα ηλεκτρονικού ταχυδρομείου και τα συνημμένα. Γιατί οι πάροχοι δεν προστατεύουν τα αποθηκευμένα email; Εν μέρει λόγω του γενικού κόστους που θα δημιουργούσε, αλλά η αποθήκευση του μηνύματος ηλεκτρονικού ταχυδρομείου χωρίς κρυπτογράφηση επιτρέπει στους χρήστες να αναζητούν τα μηνύματά τους (σας αρέσει να αναζητάτε το email σας, σωστά;) και επιτρέπει σε υπηρεσίες όπως το Gmail να σαρώνουν αυτόματα την αλληλογραφία για λέξεις-κλειδιά για την πώληση διαφημίσεων (και σας αρέσει η διαφήμιση, σωστά?).
Κρυπτογράφηση για τη διάσωση!
Ο καλύτερος τρόπος για να προστατεύσετε τις επικοινωνίες είναι να τις κρυπτογραφήσετε: βασικά, ανακατεύοντας τα δεδομένα με πολύπλοκα μαθηματικούς μετασχηματισμούς, ώστε να είναι κατανοητό μόνο χρησιμοποιώντας τον σωστό κωδικό πρόσβασης ή άλλα διαπιστευτήρια. Μια κοινή μορφή κρυπτογράφησης είναι η κρυπτογράφηση δημόσιου κλειδιού, όπου οι άνθρωποι (ή οι ISP ή οι εταιρείες) δίνουν ένα δημόσιο κλειδί που μπορεί ο καθένας χρησιμοποιούν για την ανακύκλωση δεδομένων που προορίζονται για αυτούς, αλλά μπορούν να αποκωδικοποιηθούν μόνο χρησιμοποιώντας ένα ιδιωτικό κλειδί που διατηρεί το άτομο (ή ο ISP ή η εταιρεία) μυστικό.
Η κρυπτογράφηση δημόσιου κλειδιού είναι η βάση δύο βασικών τρόπων προστασίας του email:
- Κρυπτογράφηση μηνυμάτων
- Κρυπτογράφηση συνδέσεων δικτύου
Κρυπτογράφηση μηνυμάτων
Η ιδέα πίσω από τα κρυπτογραφημένα μηνύματα είναι απλή: αντί να στέλνετε απλό κείμενο που μπορεί να διαβάσει ο καθένας, στέλνετε κρυπτογραφημένο gobbledegook μόνο ο προβλεπόμενος παραλήπτης μπορεί να διαβάσει. Τα κοινά εργαλεία για την κρυπτογράφηση email περιλαμβάνουν PGP (τώρα ένα εμπορικό προϊόν από τη Symantec) και πολλές κύριες εφαρμογές και εργαλεία που υποστηρίζουν το OpenGPG και S/MIME ανοιχτού κώδικα.
Η κρυπτογράφηση μηνυμάτων είναι μια απλή ιδέα, αλλά η προσέγγιση έχει πλεονεκτήματα και μειονεκτήματα. Από τη θετική πλευρά, τα κρυπτογραφημένα μηνύματα προστατεύονται τόσο σε δίκτυα όσο και σε διακομιστές, ακόμα κι αν έχουν παραβιαστεί ή αποθηκεύουν μηνύματα ως απλό κείμενο. (Το gobbledegook θα μπορούσε να κάνει το Gmail να προβάλλει μερικές περίεργες διαφημίσεις!) Το μήνυμα είναι πιθανώς επίσης κρυπτογραφημένο στη συσκευή σας και στις συσκευές του παραλήπτη σας (μέχρι να το αποκωδικοποιήσουν), το οποίο προσφέρει κάποια πρόσθετη προστασία. Όλα αυτά είναι καλά.
Τώρα τα μειονεκτήματα. Η κρυπτογράφηση μεμονωμένων μηνυμάτων είναι ένας πόνος. Πρέπει να έχετε το δημόσιο κλειδί του Ολοι θέλετε να επικοινωνήσετε με ασφάλεια. Για ένα ή δύο άτομα, αυτό δεν είναι κακό, αλλά οι περισσότεροι άνθρωποι έχουν δεκάδες (ή εκατοντάδες) επαφές. Η έναρξη λειτουργίας όλων αυτών με κρυπτογράφηση δημόσιου κλειδιού δεν θα είναι εύκολη.
Περαιτέρω, όλοι όσοι θέλουν να στείλουν εσείς Το ασφαλές email χρειάζεται το δημόσιο κλειδί σας! Μπορείτε να τους το στείλετε μέσω email… αλλά δεν θα είναι κρυπτογραφημένο, επομένως δεν είναι ασφαλές. Το ίδιο με μια ανάρτηση ιστολογίου ή μια σελίδα Facebook ή υπηρεσίες διακομιστή κλειδιών ή οποιοδήποτε άλλο μη ασφαλές κανάλι. Ο μόνος πραγματικά ασφαλής τρόπος ανταλλαγής δημόσιων κλειδιών είναι πρόσωπο με πρόσωπο ή με κάποιον άλλο τρόπο στα αληθεια βεβαιωθείτε ότι παίρνετε το σωστό κλειδί από το σωστό άτομο. Αυτό μπορεί να είναι εντελώς ανέφικτο. Μερικοί άνθρωποι που σας στέλνουν ευαίσθητα μηνύματα ηλεκτρονικού ταχυδρομείου – όπως τράπεζες, εταιρείες πιστωτικών καρτών, νοσοκομεία, σχολεία ή η τοπική κλινική γονιμότητας – πιθανότατα δεν θα (ή δεν θα ξέρει πώς) να χρησιμοποιήσει το δημόσιο κλειδί σας ακόμα κι αν είχε το. Κατώτατη γραμμή, πολλά από τα μηνύματα ηλεκτρονικού ταχυδρομείου σας δεν πρόκειται να κρυπτογραφηθούν, επομένως η κρυπτογράφηση μηνυμάτων δεν είναι μια γενική λύση για ασφαλή email.
Αλλά περίμενε! Υπάρχουν περισσότερα μειονεκτήματα στην κρυπτογράφηση μηνυμάτων. Μόνο το μήνυμα περιεχόμενα (και τα συνημμένα, εάν υπάρχουν) είναι κωδικοποιημένα. Οι πληροφορίες της κεφαλίδας (συμπεριλαμβανομένης της διεύθυνσής σας, της διεύθυνσης του παραλήπτη, του θέματος, της ημερομηνίας και άλλων) εξακολουθούν να είναι απλό κείμενο που μπορεί να διαβάσει ο καθένας. Αυτές οι πληροφορίες μπορεί να είναι απλώς μεταδεδομένα, αλλά με την πάροδο του χρόνου μπορούν να ζωγραφίσουν μια εκπληκτικά λεπτομερή εικόνα των διαδικτυακών σας δραστηριοτήτων. (Μόλις ρωτήστε την NSA!) Θέλετε άλλο μειονέκτημα; Δοκιμάστε να συνδεθείτε στο webmail σας και να αναζητήσετε έναν αριθμό τηλεφώνου ή διεύθυνση μέσω κρυπτογραφημένης αλληλογραφίας.
Κρυπτογράφηση συνδέσεων
Οι ταλαιπωρίες με τα κρυπτογραφημένα μηνύματα σημαίνουν ότι μεγάλο μέρος της εστίασης στην ασφάλεια του email έχει δοθεί στην κρυπτογράφηση των συνδέσεων δικτύου. Η βασική ιδέα είναι η ίδια με τη χρήση ενός ασφαλούς ιστότοπου όπως η τράπεζά σας ή το Amazon.com. Όταν συνδέεστε στον πάροχο email σας, το λογισμικό σας χρησιμοποιεί Transport Layer Security (TLS, ακόμα πιο γνωστό ως SSL) για την κρυπτογράφηση της σύνδεσης μεταξύ της συσκευής σας και της υπηρεσίας. Φροντίζει ακόμη και την ανταλλαγή κλειδιών: οι περισσότερες συσκευές σήμερα διαθέτουν προεγκατεστημένα κλειδιά για τις αρχές έκδοσης πιστοποιητικών, όπου μπορούν να πραγματοποιήσουν λήψη πιστοποιημένα κλειδιά για τοποθεσίες και υπηρεσίες χωρίς να ενοχλούν τους χρήστες: χωρίς φασαρία, χωρίς φασαρία, χωρίς πτήση στην Αυστραλία για ανταλλαγή δημόσιων κλειδιών με κάποιος. Η βασική τεχνολογία έχει λειτουργήσει για το ηλεκτρονικό εμπόριο για σχεδόν δύο δεκαετίες.
Αυτές οι πληροφορίες μπορεί να είναι απλώς μεταδεδομένα, αλλά με την πάροδο του χρόνου μπορούν να ζωγραφίσουν μια εκπληκτικά λεπτομερή εικόνα των διαδικτυακών σας δραστηριοτήτων.
Η κρυπτογράφηση της σύνδεσης ανάμεσα σε εσάς και τον πάροχο email σας σημαίνει ότι κανένας στο ενδιάμεσο δίκτυο δεν μπορεί να δει τα μηνύματα email που στέλνετε ή λαμβάνετε: όλα είναι gobbledegook. Αυτό σας προστατεύει από το ερπυσμό στο τοπικό δίκτυο Wi-Fi και ακόμη και από μυστικές κρατικές πατήσεις σε ένα κέντρο δεδομένων κάπου στη διαδρομή.
Ωστόσο, μόλις το μήνυμα φτάσει στον πάροχο email σας, όλα τα στοιχήματα είναι εκτός λειτουργίας. Τις περισσότερες φορές, ο πάροχος email αποθηκεύει τα δεδομένα του μηνύματος ως απλό κείμενο (βλ. παραπάνω), αν και υπάρχουν εξαιρέσεις όπως του Καναδά Hushmail. Και αν ο παραλήπτης σας είναι σε άλλο πάροχο email ή ISP, το μήνυμά σας θα μπορούσε να μεταδοθεί (και πιθανότατα!) σε αυτούς μέσω του Διαδικτύου ως email απλού κειμένου παλιάς σχολής. Ένας αυξανόμενος αριθμός υπηρεσιών email χρησιμοποιούν το TLS για την κρυπτογράφηση των συνδέσεων μεταξύ τους, αλλά το απέραντος Οι περισσότεροι διακομιστές email στον κόσμο εξακολουθούν να ανταλλάσσουν μηνύματα χωρίς κρυπτογράφηση – και δεν υπάρχει τρόπος να το μάθετε. Επιπλέον, δεν υπάρχει καμία ένδειξη εάν ο παραλήπτης σας θα χρησιμοποιήσει μια προστατευμένη σύνδεση για να λάβει ή να απαντήσει στο email σας. Μπορεί να προστατεύσατε ο ίδιος από το ερπυσμό στο δημόσιο δίκτυο Wi-Fi, αλλά ο γιατρός ή ο λογιστής σας; Μάλλον όχι.
Είναι το email καταδικασμένο;
Το email δεν θα εξαφανιστεί σύντομα. Είναι πολύ χρήσιμο και είναι σχεδόν καθολική σε κάθε συσκευή και υπηρεσία, διασφαλίζει ότι το email θα είναι μαζί μας για πολλά χρόνια.
Αλλά ασφαλής ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ? Η ουσία είναι ότι το ηλεκτρονικό ταχυδρομείο όπως το ξέρουμε σήμερα έχει ποτέ ήταν ασφαλής και οι μυριάδες τρόποι που στέλνουμε, λαμβάνουμε, αποθηκεύουμε και χρησιμοποιούμε μηνύματα ηλεκτρονικού ταχυδρομείου καθιστούν την πλήρη ασφάλεια του email πολύ δύσκολο πρόβλημα. Στην καλύτερη.
Μπορούμε να εφεύρουμε νέες ασφαλείς υπηρεσίες μηνυμάτων που θα μπορούσαν να αντικαταστήσουν το email. Αυτό είναι ό, τι Σιωπηλός Κύκλος έχει κάνει με την κρυπτογραφημένη υπηρεσία επικοινωνιών της, και αναμφισβήτητα αυτό έκανε η BlackBerry με το BBM και αυτό που μπορεί να έκανε η Apple με το iMessage. Ωστόσο, αυτές οι υπηρεσίες υπόκεινται σε αιτήματα αποκάλυψης από τις κυβερνήσεις – αν και η Silent Circle κάνει το ενδιαφέρον βήμα να μπορεί να ανταποκριθεί σχεδόν χωρίς τίποτα. Το πιο σημαντικό είναι ότι κανένα δεν έχει την ευρεία πανταχού παρουσία και σχεδόν πανταχού παρούσα εμβέλεια του email σε οποιοδήποτε σημείο μεσοπρόθεσμα ή ακόμα και μακροπρόθεσμα. Ας ελπίσουμε ότι η δυσκολία δεν θα εμποδίσει τους ανθρώπους να προσπαθήσουν - και το Mega της Kim Dotcom είναι ήδη ρίχνοντας το καπέλο του στο ρινγκ.
Ωστόσο, για το άμεσο μέλλον, οι χρήστες του Διαδικτύου δεν μπορούν να περιμένουν ότι το email θα είναι ασφαλές από αδιάκριτα μάτια ή υποκλοπές. Περίοδος.
Κορυφαία εικόνα ευγενική προσφορά του Shutterstock/3 όνειρα
