E-mailul nu este sigur; Iata de ce

e-mailul poate fi vreodată o rețea sigură

E-mailul este cea mai răspândită metodă de comunicare de pe Internet – poate chiar de pe planetă. Este încorporat în aproape orice, de la telefoane și tablete la computere tradiționale la dispozitive de jocuri – la naiba, chiar și electrocasnicele conectate și mașinile pot trimite e-mail. Mai important, a fi „pe Internet” înseamnă a avea o adresă de e-mail (sau zeci de ele); acestea sunt ID-urile noastre, cum ne înscriem pentru lucruri, cum primim notificări și, uneori, chiar comunicăm unul cu celălalt. E-mailul este „aplicația ucigașă” originală.

Dar e-mailul nu a fost conceput cu orice confidențialitate sau securitate în minte. Au fost multe eforturi pentru a face e-mailul mai sigur, dar recenta închidere a serviciilor de e-mail securizate foarte apreciate, cum ar fi Lavabit (se presupune că a fost folosit de informatorul NSA Edward Snowden) și Cercul tăcut în urma programelor guvernamentale de supraveghere evidențiază dificultățile. Lipsa securității e-mailului are, de asemenea, unele daune colaterale surprinzătoare, cum ar fi închiderea anunțată a respectatului software și blogului de lege

GrokLaw.

Videoclipuri recomandate

Este siguranța e-mailului fără speranță? Ne uităm la sfârșitul aplicației criminale de pe Internet?

De ce e-mailul nu este sigur?

E-mailul nu este sigur, deoarece nu a fost niciodată menit să fie centrul vieții noastre digitale. A fost dezvoltat atunci când Internetul era un loc mult mai mic pentru a standardiza mesajele simple de stocare și redirecționare între persoane care foloseau diferite tipuri de computere. E-mailul a fost transferat complet în aer liber – totul era lizibil de oricine putea urmări traficul de rețea sau accesa conturi (inițial nici măcar parolele nu erau criptate). În mod uimitor, e-mailurile trimise folosind acele metode larg deschise încă funcționează (în mare parte).

Astăzi, există patru locuri de bază în care e-mailul majorității oamenilor poate fi compromis:

  • Pe dispozitivul(ele) dvs.
  • Pe rețele
  • Pe server(e)
  • Pe dispozitivul(ele) destinatarului(ele)

Primul și ultimul loc – dispozitivele – sunt ușor de înțeles. Dacă cineva poate să stea la computer, să-ți apuce telefonul sau să treacă prin tabletă, șansele sunt ca e-mailul tău să fie chiar acolo pentru ca ei să-l citească - Tu do utilizați un ecran de blocare sau o parolă pe dispozitivele dvs., nu? Același lucru este valabil și pentru dispozitivele destinatarilor dvs. Dar chiar și parolele și ecranele de blocare uneori nu sunt de mare ajutor. În timp ce câteva programe de e-mail criptează mesajele de e-mail pe care le stochează pe dispozitiv, majoritatea nu le fac. Asta înseamnă că oricine (sau orice program) care poate accesa stocarea internă a dispozitivului poate, de asemenea, să citească e-mailurile și să ajungă la fișiere atașate. Sună exagerat? Nu trebuie să fie o persoană; răsfoirea prin e-mail este unul dintre cele mai comune lucruri pe care le face malware-ul.

Rețelele sunt puțin mai greu de înțeles și acoperă trei legături de bază:

  • Conexiunea dvs. la furnizorul dvs. de e-mail (fie că acesta este ISP-ul dvs., Google, Outlook, Yahoo, Apple sau altcineva)
  • Orice conexiune la rețea între furnizorul dvs. de e-mail și destinatarul dvs
  • Conexiunea de rețea a destinatarului dvs. la furnizorul său de e-mail.

Dacă trimiteți e-mail cuiva cu același serviciu pe care îl utilizați (de exemplu, Outlook.com), aveți cel puțin primul și a treia vulnerabilitate potențială a rețelei: conexiunea dvs. la Outlook.com și conexiunea destinatarului la Outlook.com. Dacă e-mailul destinatarului este în altă parte (să zicem o companie sau o școală), atunci mai aveți cel puțin unul: conexiunea dintre Outlook.com și furnizorul de e-mail al destinatarului. Realitatea topografiei rețelei înseamnă că fiecare dintre acele conexiuni implică o serie de routere și comutatoare (poate o duzină sau mai multe), probabil deținute și operate de diferite echipamente. Dacă o conexiune este sigură, nu există nicio garanție alte conexiunea în secvență este sigură. Și dacă sunteți îngrijorat de lucruri precum programul de supraveghere PRISM al NSA, indicațiile de până acum sunt că unele dintre ele se întâmplă în aceste puncte intermediare ale rețelei.

E-mailul nu a fost conceput cu orice confidențialitate sau securitate în minte.

Serverele sunt mașinile de la furnizorul dvs. de e-mail sau ISP care vă stochează fizic e-mailul. Dacă cineva sparge (sau ghicește sau fură) parola dvs. de e-mail, probabil că nu are nevoie de dispozitivele dvs.; se pot conecta direct la furnizorul dvs. de e-mail și pot citi orice e-mail stocat acolo. Acestea ar putea fi doar câteva mesaje, dar ar putea fi e-mailuri de săptămâni, luni sau ani, inclusiv cel puțin unele mesaje pe care le-ați șters. Dar acesta nu este singurul risc. Majoritatea serviciilor de e-mail stochează mesajele dvs. ca text simplu. Așadar, orice atacator care poate accesa acele servere (de exemplu, printr-o defecțiune de securitate sau prin furtul unei parole de administrator) poate accesa cu ușurință toate e-mailurile și atașamentele stocate. De ce furnizorii nu protejează e-mailurile stocate? Parțial din cauza supraîncărcării care ar crea, dar stocarea e-mailului necriptat le permite utilizatorilor să își caute mesajele (îți place să cauți e-mail-ul dvs., nu-i așa?) și permite serviciilor precum Gmail să scaneze automat e-mailurile pentru cuvinte cheie pentru a vinde publicitate (și vă place publicitatea, dreapta?).

Criptarea la salvare!

Cel mai bun mod de a proteja comunicațiile este să le criptezi: practic, amestecarea datelor cu complexe transformări matematice, astfel încât să fie inteligibil doar folosind parola corectă sau alte acreditări. O formă comună de criptare este criptografia cu cheie publică, în care oamenii (sau ISP-urile sau companiile) oferă o cheie publică pe care oricine o poate folosit pentru a amesteca datele destinate acestora, dar pot fi decodate numai folosind o cheie privată pe care persoana (sau ISP-ul sau compania) o păstrează secret.

Criptografia cu cheie publică este baza a două moduri principale de a proteja e-mailul:

  • Criptarea mesajelor
  • Criptarea conexiunilor de rețea

Criptarea mesajelor

Ideea din spatele mesajelor criptate este simplă: în loc să trimiți text simplu pe care oricine poate să-l citească, trimiți înghițit amestecat numai destinatarul vizat îl poate citi. Instrumentele comune pentru criptarea e-mailului includ PGP (acum un produs comercial de la Symantec) și numeroase aplicații și instrumente principale care acceptă open source OpenGPG și S/MIME.

Criptarea mesajelor este o idee simplă, dar abordarea are avantaje și dezavantaje. Pe partea pozitivă, mesajele criptate sunt protejate atât pe rețele, cât și pe servere, chiar dacă sunt compromise sau stochează mesajele ca text simplu. (Totuși, gobbledegook ar putea face ca Gmail să difuzeze niște reclame ciudate!) Mesajul este probabil și criptat pe dispozitivul dvs. și pe dispozitivele destinatarului dvs. (până când îl decodează), ceea ce oferă o anumită protecție suplimentară. Asta e bine.

criptare

Acum dezavantajele. Criptarea mesajelor individuale este o durere. Trebuie să aveți cheia publică a toata lumea cu care doriți să comunicați în siguranță. Pentru una sau două persoane, nu este rău, dar majoritatea oamenilor au zeci (sau sute) de contacte. Nu va fi ușor să le puneți în funcțiune pe toate cu criptografia cu cheie publică.

Mai mult, toți cei care doresc să trimită tu e-mailul securizat are nevoie de cheia dvs. publică! Le puteți trimite prin e-mail... dar nu va fi criptat, așa că nu este sigur. La fel cu o postare pe blog sau o pagină de Facebook sau servicii de server de chei sau orice alt canal nesigur. Singura modalitate cu adevărat sigură de a schimba cheile publice este față în față sau într-un alt mod în care poți fi cu adevărat sigur că primești cheia potrivită de la persoana potrivită. Acest lucru poate fi extrem de nepractic. Unii oameni care vă trimit e-mailuri sensibile – cum ar fi bănci, companii de carduri de credit, spitale, școli sau clinica locală de fertilitate – probabil că nu va (sau nu va ști cum) să vă folosească cheia publică, chiar dacă au făcut-o aceasta. În concluzie, nu multe dintre mesajele tale de e-mail vor fi criptate, așa că criptarea mesajelor nu este o soluție generală pentru e-mailul securizat.

Dar asteapta! Există mai multe dezavantaje la criptarea mesajelor. Doar mesajul continuturi (și atașamentele, dacă există) sunt amestecate. Informațiile din antet (inclusiv adresa dvs., adresa destinatarului, subiectul, data și multe altele) sunt tot text simplu pe care oricine poate citi. Aceste informații ar putea fi doar metadate, dar în timp pot picta o imagine surprinzător de detaliată a activităților tale online. (Doar intreaba NSA!) Vrei un alt dezavantaj? Încercați să vă conectați la webmail și să căutați un număr de telefon sau o adresă prin e-mail criptat.

Criptarea conexiunilor

Problemele legate de mesajele criptate înseamnă că o mare parte din atenția asupra securizării e-mailului a fost pusă pe criptarea conexiunilor de rețea. Ideea de bază este aceeași cu utilizarea unui site Web securizat, cum ar fi banca dvs. sau Amazon.com. Când vă conectați la furnizorul dvs. de e-mail, software-ul dvs. utilizează Transport Layer Security (TLS, cunoscut și mai bine sub numele de SSL) pentru a cripta conexiunea dintre dispozitiv și serviciu. Se ocupă chiar și de schimbul de chei: majoritatea dispozitivelor de astăzi vin preinstalate cu chei pentru autoritățile de certificare, de unde pot descărca chei autentificate pentru site-uri și servicii fără a deranja utilizatorii: fără bătăi de cap, fără agitație, fără zbor în Australia pentru a schimba cheile publice cu cineva. Tehnologia de bază a funcționat pentru comerțul electronic timp de aproape două decenii.

Aceste informații ar putea fi doar metadate, dar în timp pot picta o imagine surprinzător de detaliată a activităților tale online.

Criptarea conexiunii dintre dvs. și furnizorul dvs. de e-mail înseamnă că nimeni din rețea dintre ele nu poate vedea mesajele de e-mail pe care le trimiteți sau pe care le primiți: totul este înghițit. Acest lucru vă protejează de criza de pe rețeaua Wi-Fi locală și chiar de accesările secrete guvernamentale într-un centru de date undeva pe parcurs.

Cu toate acestea, odată ce mesajul ajunge la furnizorul dvs. de e-mail, toate pariurile sunt oprite. De cele mai multe ori, furnizorul dvs. de e-mail stochează datele mesajului ca text simplu (vezi mai sus), deși există excepții precum cea din Canada Hushmail. Și dacă destinatarul dvs. se află pe alt furnizor de e-mail sau ISP, mesajul dvs. ar putea fi (și probabil este!) transmis către ei prin Internet ca e-mail simplu text simplu. Un număr tot mai mare de servicii de e-mail utilizează TLS pentru a cripta conexiunile dintre ele, dar vast majoritatea serverelor de e-mail din lume încă schimbă mesaje fără criptare – și nu ai cum să știi. În plus, nu se știe dacă destinatarul tău va folosi o conexiune protejată pentru a primi sau a răspunde la e-mailul tău. S-ar putea să te fi protejat tu de la nebunul de pe rețeaua Wi-Fi publică, dar medicul sau contabilul dvs.? Poate nu.

E-mailul este condamnat?

E-mailul nu va dispărea în curând. Este mult prea util și este aproape universal pe aproape fiecare dispozitiv și serviciu ne asigură că e-mailul va fi cu noi mulți ani.

Autentificare-confidențialitate

Dar sigur e-mail? Concluzia este acel e-mail așa cum îl știm astăzi nu a fost sigură, iar nenumăratele moduri în care trimitem, primim, stocăm și utilizăm mesajele de e-mail fac ca e-mailul complet securizat să fie un foarte problema dificila. Cel mai bun la.

Putem inventa noi servicii de mesaje securizate care ar putea înlocui e-mailul. Asta e ceea ce Cercul tăcut a făcut cu serviciul său de comunicații criptate și, probabil, asta a făcut BlackBerry cu BBM și ceea ce Apple ar fi făcut cu iMessage. Cu toate acestea, aceste servicii fac obiectul unor solicitări de divulgare din partea guvernelor – deși Silent Circle face pasul interesant de a putea răspunde cu aproape nimic. Mai important, niciunul nu are probabil ubicuitatea largă și acoperirea aproape omniprezentă a e-mailului în orice moment pe termen mediu sau chiar lung. Să sperăm că dificultatea nu îi va împiedica pe oameni să încerce – iar Mega lui Kim Dotcom este deja aruncându-şi pălăria în ring.

Dar, în viitorul apropiat, utilizatorii de internet nu se pot aștepta ca e-mailul să fie protejat de privirile indiscrete sau de interceptări. Perioadă.

Imaginea de sus, prin amabilitatea lui Shutterstock/3 vise