Ecco perché la tua email è insicura e probabilmente rimarrà così

E – mail è il metodo più onnipresente di comunicazione su Internet-forse anche sul pianeta. È integrato in quasi tutto, dai telefoni e tablet ai computer tradizionali ai dispositivi di gioco – diamine, anche gli elettrodomestici e le auto collegati possono fare e-mail. Ancora più importante, essere “su Internet” significa avere un indirizzo email (o dozzine di essi); sono i nostri ID, come ci iscriviamo per le cose, come riceviamo avvisi, e talvolta anche comunicare tra loro. E-mail è l’originale ” killer app.”

Ma e-mail non è stato progettato con qualsiasi privacy o sicurezza in mente. Ci sono stati molti sforzi per rendere la posta elettronica più sicura, ma il recente arresto di servizi di posta elettronica sicuri altamente propagandato come Lavabit (riferito utilizzato da NSA leaker Edward Snowden) e Silent Circle sulla scia di programmi di sorveglianza del governo evidenziare le difficoltà. La mancanza di sicurezza e-mail sta avendo anche alcuni danni collaterali sorprendenti, come l’arresto annunciato del software rispettato e la legge blog GrokLaw.

La sicurezza delle e-mail è senza speranza? Stiamo guardando la fine della killer app di Internet?

Perché la posta elettronica non è sicura?

L’e-mail non è sicura perché non è mai stata pensata per essere il centro della nostra vita digitale. È stato sviluppato quando Internet era un posto molto più piccolo per standardizzare semplici messaggi store-and-forward tra persone che utilizzano diversi tipi di computer. L’e – mail è stata trasferita completamente all’aperto-tutto era leggibile da chiunque potesse guardare il traffico di rete o accedere agli account (in origine nemmeno le password erano crittografate). Sorprendentemente, l’e-mail inviata usando quei metodi spalancati funziona ancora (per lo più).

Oggi, ci sono quattro luoghi fondamentali dove la maggior parte della gente e-mail può essere compromessa:

  • Sul dispositivo(s)
  • reti
  • Sul server(s)
  • Sul tuo dispositivo del destinatario(s)

Il primo e l’ultimo luoghi – dispositivi – sono facili da capire. Se qualcuno può sedersi al computer, afferrare il telefono, o strisciare attraverso il tablet, le probabilità sono che la tua email è seduto proprio lì per loro di leggere-Si fa utilizzare una schermata di blocco o una password sui dispositivi, giusto? Stessa cosa vale per i dispositivi dei destinatari. Ma anche le password e le schermate di blocco a volte non sono di grande aiuto. Mentre alcuni programmi di posta elettronica crittografare i messaggi di posta elettronica che memorizzano sul dispositivo, la maggior parte non lo fanno. Ciò significa che chiunque (o qualsiasi programma) che può accedere alla memoria interna del dispositivo può probabilmente anche leggere e-mail e arrivare a file allegati. Suono inverosimile? Non deve essere una persona; rigatura attraverso e-mail è una delle cose più comuni malware fa.

Reti sono un po ‘ più difficile da capire, e copre tre link:

  • la connessione al tuo provider di posta elettronica (se fosse il tuo ISP, Google, Outlook, Yahoo, Apple, o qualcun altro)
  • tutte le connessioni di rete tra il provider e-mail e il destinatario
  • Il destinatario della connessione di rete per il loro provider di posta elettronica.

Se stai inviando email a qualcuno sullo stesso servizio che usi (ad esempio, Outlook.com), hai almeno la prima e la terza potenziale vulnerabilità di rete: la tua connessione a Outlook.com e la connessione del destinatario a Outlook.com. Se l’e-mail del destinatario è altrove (ad esempio un’azienda o una scuola), ne hai almeno un’altra: la connessione tra Outlook.com e il provider di posta elettronica del destinatario. La realtà della topografia di rete significa che ciascuna di queste connessioni coinvolge una serie di router e switch (forse una dozzina o più), probabilmente di proprietà e gestiti da abiti diversi. Se una connessione è sicura, non è possibile garantire che qualsiasi altra connessione nella sequenza sia sicura. E se sei preoccupato per cose come il programma di sorveglianza PRISM della NSA, le indicazioni finora sono che parte di ciò accade in questi punti di rete intermedi.

Email non è stato progettato con qualsiasi privacy o sicurezza in mente.

I server sono le macchine del tuo provider di posta elettronica o ISP che memorizzano fisicamente la tua email. Se qualcuno incrina (o indovina o ruba) la tua password di posta elettronica, probabilmente non ha bisogno dei tuoi dispositivi; possono accedere direttamente al tuo provider di posta elettronica e leggere qualsiasi email memorizzata lì. Potrebbero essere solo alcuni messaggi, ma potrebbero essere settimane, mesi o anni di e – mail, inclusi almeno alcuni messaggi che hai eliminato. Ma non è l’unico rischio. La maggior parte dei servizi di posta elettronica memorizzare i messaggi come testo normale. Quindi, qualsiasi utente malintenzionato che può accedere a tali server (ad esempio, tramite una falla di sicurezza o rubando una password di amministratore) può facilmente accedere a tutte le e-mail e agli allegati memorizzati. Perché i provider non proteggono le email memorizzate? In parte a causa del sovraccarico che creerebbe, ma la memorizzazione dell’e-mail non crittografata consente alle persone di cercare i loro messaggi (ti piace cercare la tua e-mail, giusto?) e consente a servizi come Gmail di scansionare automaticamente la posta per parole chiave per vendere pubblicità (e ti piace la pubblicità, giusto?).

Crittografia in soccorso!

Il modo migliore per proteggere le comunicazioni è crittografarle: in pratica, rimescolando i dati con complesse trasformazioni matematiche in modo che siano intelligibili solo utilizzando la password corretta o altre credenziali. Una forma comune di crittografia è la crittografia a chiave pubblica, in cui le persone (o ISP o aziende) danno via una chiave pubblica che chiunque può utilizzare per rimescolare i dati destinati a loro, ma può essere decodificato solo utilizzando una chiave privata che la persona (o ISP o società) mantiene segreto.

La crittografia a chiave pubblica è la base di due modi principali per proteggere la posta elettronica:

  • Crittografia dei messaggi
  • Crittografia delle connessioni di rete

Crittografia dei messaggi

L’idea alla base dei messaggi crittografati è semplice: invece di inviare testo normale chiunque può leggere, si invia strapazzate gobbledegook solo il destinatario in grado di leggere. Gli strumenti comuni per la crittografia delle e-mail includono PGP (ora un prodotto commerciale di Symantec) e numerose app e strumenti mainstream che supportano l’open source OpenGPG e S/MIME.

La crittografia dei messaggi è un’idea semplice, ma l’approccio ha pro e contro. Sul lato positivo, i messaggi crittografati sono protetti su reti e server, anche se sono compromessi o memorizzano messaggi come testo normale. (Il gobbledegook potrebbe rendere Gmail servire alcuni annunci strani, però!) Il messaggio è probabilmente anche crittografato sul dispositivo e sui dispositivi del destinatario (fino a quando non lo decodificano), il che offre una protezione aggiuntiva. Va tutto bene.

Ora gli aspetti negativi. La crittografia dei singoli messaggi è un dolore. Devi avere la chiave pubblica di tutti quelli con cui vuoi comunicare in modo sicuro. Per una o due persone, non è male, ma la maggior parte delle persone ha dozzine (o centinaia) di contatti. Farli funzionare tutti con la crittografia a chiave pubblica non sarà facile.

Inoltre, tutti coloro che vogliono inviare e-mail sicura ha bisogno della tua chiave pubblica! È possibile inviare a loro via e-mail … ma che non sarà crittografato in modo che non è sicuro. Lo stesso con un post sul blog o una pagina Facebook o servizi keyserver o qualsiasi altro canale insicuro. L’unico modo veramente sicuro per scambiare le chiavi pubbliche è faccia a faccia o in qualche altro modo in cui puoi essere veramente sicuro che stai ricevendo la chiave giusta dalla persona giusta. Questo può essere selvaggiamente impraticabile. Alcune persone che ti inviano email sensibili, come banche, società di carte di credito, ospedali, scuole o la clinica della fertilità locale, probabilmente non sapranno (o non sapranno come) utilizzare la tua chiave pubblica anche se ce l’avessero. In conclusione, non molti dei tuoi messaggi e-mail verranno crittografati, quindi crittografare i messaggi non è una soluzione generale per l’e-mail sicura.

Ma aspetta! Ci sono più aspetti negativi per la crittografia dei messaggi. Solo il contenuto del messaggio (e gli allegati, se presenti) sono criptati. Le informazioni di intestazione (compreso il vostro indirizzo, indirizzo del destinatario, oggetto, data, e altro ancora) sono tutti ancora testo normale chiunque può leggere. Queste informazioni potrebbero essere solo metadati, ma nel tempo possono dipingere un quadro sorprendentemente dettagliato delle tue attività online. (Basta chiedere alla NSA!) Vuoi un altro aspetto negativo? Prova ad accedere alla tua webmail e cercare attraverso la posta crittografata un numero di telefono o un indirizzo.

Crittografia delle connessioni

I problemi con i messaggi crittografati significano che gran parte dell’attenzione alla protezione delle e-mail è stata dedicata alla crittografia delle connessioni di rete. L’idea di base è la stessa di utilizzare un sito Web sicuro come la vostra banca o Amazon.com. Quando ti connetti al tuo provider di posta elettronica, il tuo software utilizza Transport Layer Security (TLS, ancora meglio noto come SSL) per crittografare la connessione tra il tuo dispositivo e il servizio. Si prende anche cura di scambio di chiavi: la maggior parte dei dispositivi di oggi vengono pre-installati con le chiavi per le autorità di certificazione, dove possono scaricare le chiavi autenticate per i siti e servizi senza disturbare gli utenti: no muss, nessun polverone, non volare in Australia per lo scambio di chiavi pubbliche con qualcuno. La tecnologia di base ha funzionato per l’e-commerce per quasi due decenni.

Queste informazioni potrebbero essere solo metadati, ma nel tempo possono dipingere un quadro sorprendentemente dettagliato delle tue attività online.

Crittografare la connessione tra te e il tuo provider di posta elettronica significa che nessuno sulla rete in mezzo può visualizzare i messaggi di posta elettronica inviati o ricevuti: è tutto gobbledegook. Che ti protegge dal creep sulla rete Wi-Fi locale e persino rubinetti governativi segreti in un data center da qualche parte lungo la strada.

Tuttavia, una volta che il messaggio raggiunge il tuo provider di posta elettronica, tutte le scommesse sono disattivate. Il più delle volte, il tuo provider di posta elettronica memorizza i dati del messaggio come testo normale (vedi sopra), anche se ci sono eccezioni come Hushmail del Canada. E se il destinatario è su un altro provider di posta elettronica o ISP, il messaggio potrebbe essere (e probabilmente è!) trasmesso a loro su Internet come e-mail di testo normale vecchia scuola. Un numero crescente di servizi di posta elettronica utilizza TLS per crittografare le connessioni tra di loro, ma la stragrande maggioranza dei server di posta elettronica nel mondo scambiano ancora messaggi senza crittografia – e non c’è modo per voi di sapere. Inoltre, non si sa se il destinatario utilizzerà una connessione protetta per ricevere o rispondere alla tua email. Si potrebbe avere protetto se stessi dal creep sulla rete Wi-Fi pubblica, ma ha fatto il vostro medico o commercialista? Forse no.

La posta elettronica è condannata?

Email non andrà via in qualunque momento presto. E ‘ troppo utile, ed è stato quasi universale su quasi tutti i dispositivi e il servizio assicura e-mail sarà con noi per molti anni.

Ma e-mail sicura? La linea di fondo è che l’e-mail come la conosciamo oggi non è mai stata sicura, e la miriade di modi in cui inviamo, riceviamo, archiviamo e usiamo i messaggi e-mail rende completamente sicuro l’e-mail un problema molto difficile. Nella migliore delle ipotesi.

Possiamo inventare nuovi servizi di messaggi sicuri che potrebbero sostituire la posta elettronica. Questo è ciò che Silent Circle ha fatto con il suo servizio di comunicazioni crittografate, e probabilmente questo è ciò che BlackBerry ha fatto con BBM e ciò che Apple potrebbe aver fatto con iMessage. Tuttavia, questi servizi sono soggetti a richieste di divulgazione da parte dei governi – anche se Silent Circle prende il passo interessante di essere in grado di rispondere con quasi nulla. Ancora più importante, nessuno è probabile che abbia l’ampia ubiquità e la portata quasi onnipresente della posta elettronica in qualsiasi momento nel medio o anche nel lungo termine. Speriamo che la difficoltà non impedisca alle persone di provare – e il Mega di Kim Dotcom sta già lanciando il suo cappello sul ring.

Ma, per il prossimo futuro, gli utenti di Internet non possono aspettarsi che la posta elettronica sia al sicuro da occhi indiscreti o intercettazioni. Periodo.

Top immagine per gentile concessione di /3dreams

Editors’ Raccomandazioni

  • I migliori messaggi criptati app per iOS e Android
  • la Migliore a buon mercato VPN offerte per febbraio 2021
  • Come interrompere i vostri messaggi di posta tracciata, e preservare la vostra privacy
  • Come proteggere il tuo smartphone da parte di hacker e intrusi
  • Come cambiare la password di Outlook

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.