2016. szeptember 13., kedd

A „biztonságos” E-mail napjainkban

Sok helyen olvashatjuk az Internet világában, hogy mennyire nem biztonságos az E-mail. Ez sajnos tény és való. Maga az E-mail szolgáltatás rengeteg sebből vérzik. A mai napig titkosítás nélkül levelezünk az esetek 95%-ban, olyan szolgáltatót választunk a leveleink kezelésére, őrzésére melyek nem megfelelően tárolják mindezeket és még sorolhatnám.
Hogyan is működik nagyvonalakban a levelezés?
A gépünkön használt levelező szoftverben megírjuk a levelet (vagy webesen), amit azután elküldünk a levező szerverünknek, hogy továbbítsa a címzett levelező szervernek ahol a címzett elolvassa (vagy telepített szoftverrel vagy webes felületen). Ilyen egyszerű mindez. A gond ott kezdődik, hogy a levél titkosítás nélkül a gépünk routerétől egészen a szolgáltatón szerveréig mint egy képeslap elolvasható, módosítható. A levelező szerverünk, amikor megkapja a levelet akkor az esetek többségében mindenféle titkosításmentes fájlokban tárolhatja az üzenetet, amelyet maga a cég aki ezt üzemelteti és vagy hekkerek különböző hibákat kihasználva elolvashatják, módosíthatják, a benne levő adatokat összegyűjtve tárolhatják, eladhatják, vagy felhasználhatják ellenünk. Kis levelünk tovább halad a levelező szolgáltatónk szerverétől a cél irányába titkosítatlanúl ahol routerek, switch-ek tömkelegén kell áthatolnia, hogy eljusson a cél levelezőszerverig. Közben szinte mindenhol lehallgatható és módosítható a tartalma. A célszerveren úgy, mint a mi levelező szerverünkön bármit meg lehet vele csinálni, míg végül a címzett elolvassa a gépén.
Ha ezt a fenti egyszerű procedúrát titkosítással spékeljük meg akkor a címzettnek is el kell a kulcsot juttatni sima levélben, aminek hatására a kulcs szinte bárkinek a kezébe landolhat és ezzel a titkosított levelünk máris nem titkos. Egy ilyen kulcsot sajnos csak személyesen lehet átadni (vagy egyéb nem biztonságos cloud módokon), ugyanakkor egy kulcs az egy ember, szinte járhatatlan, hogy egy nyaralás megrendelésével a hotel mindenki kulcsával egyesével foglalkozzon.

Mi történik akkor, ha mi mindent jól csinálunk, nem adjuk meg a levelező szolgáltatónknak regisztráció során a pontos nevünk, címünk, telefonszámunkat (hanem hamist adunk meg), olyan szolgáltatót választunk, aki titkosítva tárolja a leveleinket, és olyanokkal levelezünk akik pl.: ugyan ezen a szolgáltatónál vannak (ebben az esetben a levél nem megy ki a szerverről és helyileg lesz elküldve – vagyis sehogy, de megkapja). Nos, ebben az esetben mázlisták vagyunk, hiszen mindenki aki számít nekünk ugyan azt a biztonságos szolgáltatást használja, mindenki és minden anonym é boldogság van. Ugyanakkor rendelünk egy pizzát (onnan ahova már korábban beregisztráltuk magunkat a jelenlegi E-mail címünkkel, de rendes nevünkkel, hiszen nem talál meg minket az ételfutár, telefonszámunkkal, hiszen nem ér minket utol a cég és így nem tudja, hogy palacsinta vagy gyümölcssaláta legyen-e a desszert amit az xezer Ft rendelés felett kérünk és a címünkkel, mert le kell szállítani a pizzát), és amikor ez megtörténik akkor lazán kapunk egy titkosítatlan sima szimpla levelet a szolgáltatótól amiben benne van a nevünk, címünk, telefonszámunk és ez az egy elvél a teljes anonimitásunkat fel is fedi úgy ahogy van.
A fenti példa jól mutatja, hogy mennyre nem foglalkozunk semmivel, hiába írjuk alá, pipáljuk be, hogy adatainkkal így meg úgy bánnak, hiába a titoktartás, a második, harmadik fél felé nem továbbítás, egy darab megrendelés visszaigazolóval az összes adatunk publikus lett.
Ide tartozik még az a velem is megtörtént eset ahol egy egészségügyi cégnél járva meg kellett minden adatomat adni, a szolgáltatást elvégezték, kifizettem, megkaptam hordozható médián amiért jöttem majd elküldték titkosítatlan formában is levélben. A nevem, címem, telefonszámomon kívül a szolgáltató most már a Taj számomat és anyám nevét is megtudta. Ugyanakkor ők az adatokat 100%-os biztonsággal kezelik.
További csemege amikor weben szállást rendelünk, majd válaszlevélben a összes adatunkat megkapjuk, és még el is kérik a szállásban résztvevők személyi azonosítóját és születési adatait is.
Ez a három teljes együttállás alapján a nyitott könyv vagyunk a szolgáltatónál, a hálózatban turkálónál és az olyan szervezeteknél mint az NSA.

Mit tehetünk mi?
Ezen töröm régóta a fejem, de semmit.
Ha minden megteszünk az anonimitásért akkor is lekérhető az ISP-től, hogy az adott IP címen levő levelező szervert abban a szent minutumban amikor használtuk milyen IP-ről használtuk -> megvan az előfizető és ezzel mi is.
Itt kérem szépen nincs semmiféle kiút (legalábbis én most még mindig nem ismerek).


Nincsenek megjegyzések:

Megjegyzés küldése