oto dlaczego twój e-mail jest niepewny i prawdopodobnie tak pozostanie

e-mail jest najbardziej wszechobecną metodą komunikacji w Internecie-może nawet na planecie. Jest wbudowany w prawie wszystko, od telefonów i tabletów po tradycyjne komputery i urządzenia do gier – do cholery, nawet podłączone urządzenia domowe i samochody mogą robić wiadomości e-mail. Co ważniejsze, bycie „w Internecie” oznacza posiadanie adresu e-mail (lub ich kilkudziesięciu); są to nasze identyfikatory, sposób, w jaki się rejestrujemy, sposób otrzymywania powiadomień, a czasami nawet komunikowania się ze sobą. E-mail to oryginalna ” zabójcza aplikacja.”

ale e-mail nie został zaprojektowany z myślą o prywatności lub bezpieczeństwie. Podjęto wiele wysiłków, aby uczynić e-mail bezpieczniejszym, ale niedawne zamknięcie wysoce reklamowanych bezpiecznych usług pocztowych, takich jak Lavabit (podobno używany przez wyciekacza NSA Edwarda Snowdena) i Silent Circle w następstwie rządowych programów nadzoru podkreślają trudności. Brak bezpieczeństwa poczty e-mail ma również zaskakujące szkody uboczne, takie jak zapowiedziane zamknięcie szanowanego blogu oprogramowania i prawa GrokLaw.

czy zabezpieczenia poczty e-mail są beznadziejne? Czy patrzymy na koniec zabójczej aplikacji w Internecie?

Dlaczego e-mail nie jest bezpieczny?

e-mail nie jest bezpieczny, ponieważ nigdy nie miał być centrum naszego cyfrowego życia. Został opracowany, gdy Internet był znacznie mniejszym miejscem do standaryzacji prostych wiadomości store-and-forward między ludźmi używającymi różnych rodzajów komputerów. E-mail był przesyłany całkowicie w otwartym-wszystko było czytelne dla każdego, kto mógł obserwować ruch sieciowy lub dostęp do kont (pierwotnie nawet hasła nie były szyfrowane). O dziwo, e-mail wysyłany przy użyciu tych szeroko otwartych metod nadal (głównie) działa.

dzisiaj istnieją cztery podstawowe miejsca, w których może zostać naruszona poczta e-mail większości ludzi:

  • na urządzeniach
  • w sieciach
  • na serwerach
  • na urządzeniach odbiorcy)

pierwsze i ostatnie miejsca-urządzenia-są łatwe do zrozumienia. Jeśli ktoś może usiąść przy komputerze, chwycić telefon lub przesunąć palcem po tablecie, istnieje prawdopodobieństwo, że twój e – mail znajduje się tam, aby mógł przeczytać-używasz ekranu blokady lub hasła na swoich urządzeniach, prawda? To samo dotyczy urządzeń odbiorców. Ale nawet hasła i ekrany blokady czasami nie są zbyt pomocne. Podczas gdy kilka programów e-mail szyfruje wiadomości e-mail, które przechowują na urządzeniu, większość z nich tego nie robi. oznacza to, że każdy (lub dowolny program), który może uzyskać dostęp do wewnętrznej pamięci urządzenia, może prawdopodobnie również odczytać wiadomość e-mail i uzyskać dostęp do załączników do plików. Brzmi naciągane? To nie musi być osoba; przeglądanie poczty e-mail jest jedną z najczęstszych rzeczy, które robi złośliwe oprogramowanie.

sieci są trochę trudniejsze do zrozumienia i obejmują trzy podstawowe linki:

  • Twoje połączenie z dostawcą poczty e-mail (niezależnie od tego, czy jest to twój dostawca usług internetowych, Google, Outlook, Yahoo, Apple, czy ktoś inny)
  • wszelkie połączenia sieciowe między dostawcą poczty e-mail a odbiorcą
  • połączenie sieciowe odbiorcy z dostawcą poczty e-mail.

jeśli wysyłasz wiadomość e-mail do kogoś z tej samej usługi, z której korzystasz (powiedzmy Outlook.com), masz co najmniej pierwszą i trzecią potencjalną lukę w sieci: połączenie z Outlook.com i połączenie odbiorcy z Outlook.com. jeśli adres e-mail odbiorcy jest gdzie indziej (powiedzmy firma lub szkoła) , to masz co najmniej jeden więcej: połączenie między Outlook.com i dostawcę poczty e-mail odbiorcy. Rzeczywistość topografii sieci oznacza, że każde z tych połączeń obejmuje szereg routerów i przełączników (być może kilkanaście lub więcej), prawdopodobnie należących i obsługiwanych przez różne stroje. Jeśli jedno połączenie jest bezpieczne, nie ma gwarancji, że inne połączenie w sekwencji jest bezpieczne. I jeśli martwisz się o takie rzeczy jak program nadzoru pryzmatycznego NSA, jak na razie wskazuje, że niektóre z nich zdarzają się w tych tymczasowych punktach sieci.

e-mail nie został zaprojektowany z myślą o prywatności lub bezpieczeństwie.

Serwery to urządzenia u dostawcy poczty e-mail lub dostawcy usług internetowych, które fizycznie przechowują Twoją wiadomość e-mail. Jeśli ktoś złamie (lub zgadnie lub ukradnie) twoje hasło e-mail, prawdopodobnie nie potrzebuje twoich urządzeń; mogą zalogować się bezpośrednio do dostawcy poczty e-mail i odczytać wszystkie przechowywane tam wiadomości e-mail. Może to być tylko kilka wiadomości, ale wiadomości e – mail mogą być warte tygodni, miesięcy lub lat-w tym przynajmniej niektóre wiadomości, które usunąłeś. Ale to nie jedyne ryzyko. Większość usług e-mail przechowuje wiadomości jako zwykły tekst. Tak więc każdy atakujący, który może uzyskać dostęp do tych serwerów (na przykład poprzez lukę bezpieczeństwa lub kradzież hasła administratora), może łatwo uzyskać dostęp do wszystkich przechowywanych wiadomości e-mail i załączników. Dlaczego dostawcy nie chronią przechowywanych wiadomości e-mail? Częściowo ze względu na koszty, które stworzyłyby, ale przechowywanie wiadomości e-mail niezaszyfrowanej pozwala ludziom przeszukiwać ich wiadomości (lubisz przeszukiwać swój e-mail, prawda?) i umożliwia usługom takim jak Gmail automatyczne skanowanie poczty w poszukiwaniu słów kluczowych do sprzedaży reklam (a ty lubisz reklamy, prawda?).

szyfrowanie na ratunek!

najlepszym sposobem ochrony komunikacji jest ich szyfrowanie: zasadniczo szyfrowanie danych za pomocą złożonych przekształceń matematycznych, aby były zrozumiałe tylko przy użyciu poprawnego hasła lub innych poświadczeń. Powszechną formą szyfrowania jest kryptografia klucza publicznego, w której ludzie (lub dostawcy usług internetowych lub firmy) oddają klucz publiczny, którego każdy może użyć do szyfrowania danych przeznaczonych dla nich, ale można go dekodować tylko za pomocą klucza prywatnego, który dana osoba (lub dostawca usług internetowych lub firma) utrzymuje w tajemnicy.

kryptografia klucza publicznego jest podstawą dwóch podstawowych sposobów ochrony poczty elektronicznej:

  • szyfrowanie wiadomości
  • szyfrowanie połączeń sieciowych

szyfrowanie wiadomości

idea zaszyfrowanych wiadomości jest prosta: zamiast wysyłać zwykły tekst, który każdy może przeczytać, wysyłasz kodowany gobbledegook, który może odczytać tylko zamierzony odbiorca. Typowe narzędzia do szyfrowania wiadomości e-mail to PGP (obecnie komercyjny produkt firmy Symantec) oraz wiele popularnych aplikacji i narzędzi, które obsługują open source OpenGPG i S/MIME.

szyfrowanie wiadomości jest prostym pomysłem, ale podejście ma zalety i wady. Z drugiej strony, zaszyfrowane wiadomości są chronione zarówno w sieciach, jak i na serwerach, nawet jeśli są zagrożone lub przechowują wiadomości jako zwykły tekst. (Gobbledegook może sprawić, że Gmail wyświetli jakieś dziwne reklamy!) Wiadomość jest prawdopodobnie również zaszyfrowana na urządzeniu i urządzeniach odbiorcy (do momentu jej dekodowania), co zapewnia dodatkową ochronę. W porządku.

teraz minusy. Szyfrowanie pojedynczych wiadomości to ból. Musisz mieć klucz publiczny wszystkich, z którymi chcesz się bezpiecznie komunikować. Dla jednej lub dwóch osób nie jest to złe, ale większość ludzi ma dziesiątki (lub setki) kontaktów. Uruchomienie wszystkich z nich za pomocą kryptografii klucza publicznego nie będzie łatwe.

co więcej, każdy, kto chce wysłać Ci bezpieczną wiadomość e-mail, potrzebuje Twojego klucza publicznego! Możesz wysłać je do nich e-mailem … ale to nie będzie zaszyfrowane, więc nie jest bezpieczne. To samo dotyczy posta na blogu lub strony na Facebooku lub usług serwera kluczy lub innego niebezpiecznego kanału. Jedynym naprawdę bezpiecznym sposobem wymiany kluczy publicznych jest twarzą w twarz lub w inny sposób możesz być naprawdę pewien, że otrzymujesz odpowiedni klucz od właściwej osoby. To może być szalenie niepraktyczne. Niektórzy ludzie, którzy wysyłają ci wrażliwe wiadomości e – mail-takie jak banki, firmy obsługujące karty kredytowe, szpitale, szkoły lub lokalna Klinika płodności-prawdopodobnie nie będą (lub nie będą wiedzieć, jak) używać Twojego klucza publicznego, nawet jeśli go mieli. Podsumowując, niewiele wiadomości e-mail zostanie zaszyfrowanych, więc szyfrowanie wiadomości nie jest ogólnym rozwiązaniem dla bezpiecznej poczty e-mail.

ale czekaj! Szyfrowanie wiadomości ma więcej wad. Tylko treść wiadomości (i załączniki, jeśli istnieją) są szyfrowane. Informacje nagłówka (w tym adres, adres odbiorcy, temat, Data i inne) są nadal zwykłym tekstem, który każdy może przeczytać. Te informacje mogą być tylko metadanymi, ale z czasem mogą stworzyć zaskakująco szczegółowy obraz twoich działań online. (Zapytaj NSA!) Chcesz kolejny minus? Spróbuj zalogować się do poczty internetowej i przeszukać zaszyfrowaną pocztę w poszukiwaniu numeru telefonu lub adresu.

szyfrowanie połączeń

problemy z zaszyfrowanymi wiadomościami oznaczają, że wiele uwagi poświęcono zabezpieczeniu wiadomości e-mail na szyfrowanie połączeń sieciowych. Podstawową ideą jest to samo, co Korzystanie z bezpiecznej strony internetowej, takiej jak bank lub Amazon.com. po nawiązaniu połączenia z dostawcą poczty e-mail oprogramowanie wykorzystuje Transport Layer Security (TLS, jeszcze lepiej znany jako SSL) do szyfrowania połączenia między urządzeniem a usługą. Zajmuje się nawet wymianą kluczy: większość urządzeń jest dziś fabrycznie instalowana z kluczami dla organów certyfikujących, gdzie mogą pobierać uwierzytelnione klucze dla witryn i usług bez przeszkadzania użytkownikom: bez kłopotów, bez zamieszania, bez latania do Australii, aby wymienić klucze publiczne z kimś. Podstawowa technologia działa w e-commerce od prawie dwóch dekad.

te informacje mogą być tylko metadanymi, ale z czasem mogą stworzyć zaskakująco szczegółowy obraz twoich działań online.

szyfrowanie połączenia między tobą a dostawcą poczty e-mail oznacza, że nikt w sieci nie może przeglądać wysyłanych lub odbieranych wiadomości e-mail: wszystko to gobbledegook. To chroni Cię przed wkradaniem się do lokalnej sieci Wi-Fi, a nawet tajnymi rządowymi kranami w centrum danych gdzieś po drodze.

jednak, gdy wiadomość dotrze do dostawcy poczty e-mail, wszystkie zakłady są wyłączone. Przez większość czasu dostawca poczty e-mail przechowuje dane wiadomości jako zwykły tekst (patrz powyżej), chociaż istnieją wyjątki, takie jak Canada ’ s Hushmail. A jeśli odbiorca jest w innym dostawcy poczty e-mail lub ISP, wiadomość może być (i prawdopodobnie jest!) przesyłane do nich przez Internet jako Old-school zwykły tekst e-mail. Rosnąca liczba usług poczty e – mail Używa protokołu TLS do szyfrowania połączeń między sobą, ale zdecydowana większość serwerów poczty e-mail na świecie nadal wymienia wiadomości bez szyfrowania-i nie ma możliwości, aby o tym wiedzieć. Co więcej, nie wiadomo, czy odbiorca będzie korzystał z chronionego połączenia, aby odbierać lub odpowiadać na twój e-mail. Być może chroniłeś się przed pełzaniem w publicznej sieci Wi-Fi, ale czy twój lekarz lub księgowy? Może nie.

czy e-mail jest stracony?

e-mail nie zniknie w najbliższym czasie. Jest zbyt przydatny, a jego niemal uniwersalny status na prawie każdym urządzeniu i usłudze zapewnia, że e-mail będzie z nami przez wiele lat.

ale Bezpieczny e-mail? Najważniejsze jest to, że e-mail, jaki znamy dzisiaj, nigdy nie był bezpieczny, a niezliczone sposoby wysyłania, odbierania, przechowywania i używania wiadomości e-mail sprawiają, że pełne zabezpieczenie poczty e-mail jest bardzo trudnym problemem. W najlepszym razie.

możemy wymyślić nowe bezpieczne usługi wiadomości, które mogłyby zastąpić e-mail. To, co Silent Circle zrobił ze swoją szyfrowaną usługą komunikacyjną, i prawdopodobnie to, co BlackBerry zrobił z BBM i co Apple mogło zrobić z iMessage. Niemniej jednak usługi te podlegają żądaniom ujawnienia informacji od rządów-chociaż Silent Circle robi interesujący krok, będąc w stanie odpowiedzieć prawie niczym. Co ważniejsze, żadne z nich nie ma prawdopodobnie szerokiego zasięgu i prawie wszechobecnego zasięgu wiadomości e-mail w dowolnym momencie w średnim lub nawet długim okresie. Mam nadzieję, że trudność nie powstrzyma ludzi przed próbowaniem-a Mega Kim Dotcom już rzuca swój kapelusz na ring.

ale w najbliższej przyszłości internauci nie mogą oczekiwać, że e-mail będzie bezpieczny przed wzrokiem ciekawskich lub przechwyceniem. Kropka.

Top Zdjęcie dzięki uprzejmości /3dreams

rekomendacje redaktorów

  • najlepsze aplikacje do szyfrowania wiadomości na iOS i Androida
  • najlepsze tanie oferty VPN na luty 2021 r.
  • jak zatrzymać śledzenie wiadomości e-mail i zachować prywatność
  • jak chronić swój smartfon od hakerów i intruzów
  • jak zmienić hasło do Outlooka

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.