A mindennapi kommunikációban az email kulcsfontosságú szerepet tölt be. De vajon mennyire maradnak titkosak az emailben küldött információk? Az eheti F-Secure Hírekben megmutatjuk, milyen veszélyek fenyegethetik a levelezésünket, és mit tehetünk annak érdekében, hogy leveleink tartalma ne váljon könnyen hozzáférhetővé.
Tippek és trükkök rovatunkban pedig abba nyújtunk betekintést, hogy mi minden tudható meg rólunk egy egyszerű honlap megnyitásakor és hogyan tudunk az adatgyűjtés ellen védekezni.
Kellemes időtöltést kívánunk,
az F-Secure Hírek szerkesztői
az F-Secure Hírek szerkesztői
*
Vajon lehetséges-e emailben titkos információkat megosztani?
Akit a rövid válasz érdekel: Nem. Kicsit hosszabban: talán, de semmiképpen sem további óvintézkedések nélkül.
Az email az egyik legrégebbi és legszélesebb körben használt szolgáltatás az interneten. Még egy olyan időszakból származik, amikor nem voltunk tudatában a vírusoknak, férgeknek, spameknek, kiberbűnözésnek és az NSA által folytatott megfigyeléseknek sem. Ez nyilvánul meg a felépítésében és a biztonsági funkciók teljes hiányában is.
Anélkül, hogy belemennénk bármiféle technikai részletbe, arra a következtetésre kell jutnunk, hogy az emailek esetében szinte egyáltalán nem beszélhetünk biztonságról. Az email szabványok nem nyújtanak semmilyen titkosítást vagy ellenőrzést a kommunikációban résztvevő felek személyazonosságát illetően. Ehhez mindenképpen további védelmi intézkedésekre van szükségünk. De tudjuk egyáltalán, hogy mit tehetünk Nézzük hát meg, hogy levelezés közben mire érdemes odafigyelnünk!
A hálózati forgalom titkosítása
A köztünk és a levelező szerver közti forgalomba más is bekapcsolódhat, például hackerek vagy hírszerző ügynökségek. Ez komoly problémákat is okozhat, hiszen így mások megszerezhetik a felhasználói azonosítónkat és jelszavunkat, lehetővé téve számukra, hogy bejelentkezzenek a szerverre és elolvassák az ott tárolt leveleinket. Ez a veszély azonban csökkenthető, hagondoskodunk arról, hogy a hálózati forgalom titkosítva legyen.
A legtöbb email kliens program lehetővé teszi, hogy SSL/TLS-titkosításthasználjunk az emailek küldéséhez és fogadásához. Nézzük meg a levelezőprogramunk vagy szolgáltatónk leírását erre vonatkozóan. Ha pedig kiderül, hogy a jelenlegi szolgáltatónk ezt nem teszi lehetővé, akkor sürgősen keressünk magunknak egy másik levelezőrendszert.
Három fontos tényező
Az emailjeinket a levelezőszerver eltárolja. Hogy itt mennyire vannak biztonságban, három tényező nagyban befolyásolja.
Az egyik a saját jelszavunk és hogy milyen körültekintően bánunk vele. A másik magának a szolgáltatónak a biztonsági házirendje, a harmadik pedig annak az országnak a törvényhozása, ahol a szolgáltatás üzemel. A legtöbb hagyományos szolgáltatás megfelelő védelmet kínál a hackerek és a kis erőforrással rendelkező támadók ellen, a hatóságokkal szemben azonban sokszor nem nyújt elegendő védelmet.
A legújabb fejlemények is azt igazolják, hogy az amerikai székhelyű szolgáltatásokban egyáltalán nem szabad megbízni. Az amerikai hatóságok ugyanis bármikor megjelenhetnek és elkérhetik az adatainkat tőlük, vagy arra kényszeríthetik őket, hogy hátsó kapukat építsenek be a rendszereikbe.
A legmegbízhatóbb módszer
A legbiztosabb módja annak, hogy kezelni tudjuk a legtöbb fenyegetést, ha különálló titkosítást használunk. Ehhez további szoftverek teszik lehetővé, mint például a Pretty Good Privacy, azaz PGP.
A titkosítás alkalmazását azonban megnehezíti az, hogy mindkét félnek rendelkeznie kell a kompatibilis programmal és ki kell cserélniük egymás között a titkosításhoz használt kulcsot. De ha mindez megvan, akkor ez a módszer egyaránt védelmet jelent a tárolt és küldött üzenetek számára is.
Ennél egyszerűbb módszer lehet, ha a fontos adatokat titkosított fájlokba csomagoljuk a levélhez. Ehhez használhatunk például WinZip vagy 7-Ziptömörítőket.
Válasszuk ki az AES titkosítási algoritmust (ha van választási lehetőségünk), és győződjünk meg róla, hogy nehezen kitalálható jelszót használunk, ami elég hosszú, tartalmaz kis és nagybetűket, számokat és speciális karaktereket is. Mondani sem kell, hogy a jelszavunkat sohase küldjük el emailben. A legtöbb esetben a jelszó a leggyengébb láncszem, ezért fontos, hogy körültekintően bánjunk vele.
Mire figyeljünk még oda?
Ne feledjük, hogy a forgalom metaadatai még akkor is sokat elárulhatnak, ha a tartalom maga titkosítva van. Megtudható belőlük például az, hogy kivel, mikor és mennyit kommunikáltunk. Az egyetlen védekezési módszer ez ellen, ha tényleg névtelen email fiókot használunk, ami semmilyen módon nem vezethető vissza hozzánk.
Tény, hogy a kommunikációhoz mindig legalább két félre van szükség. És egyetlen lánc sem lehet elég erős, ha van benne egy gyenge láncszem. Nem számít, hogy mi milyen jól védjük a levelezésünket, ha egy olyan embernek küldjük az üzenetet, aki nem törődik kellően a biztonsággal.
Illetve ugyanolyan fontos az is, hogy kellő figyelmet szenteljünk a számítógépünk és a mobil eszközeink védelmére. Ha levelezőkliens programot használunk, akkor a levelek általában egy szövegfájlban kerülnek tárolásra a számítógépünkön, így ha valaki hozzáférést szerez hozzájuk, akkor az súlyos károkat okozhat nekünk.
Konklúzió
Gondoljuk végig, hogy számunkra mennyire fontos, hogy az emailben küldött adataink titkosak maradjanak. Képzeljük el, hogy minden általunk küldött és fogadott levél nyilvánossá válik bárki számára.
Milyen kárt jelentene ez számunkra? Kínos lenne számunkra vagy a barátaink számára? Veszélyeztetné a karrierünk vagy a munkáltatónkat? Jogi problémákat jelentene számunkra vagy a munkatársaink számára? És amit még nehezebb megbecsülni: ezek a dolgok kárt okozhatnak nekünk, ha tíz-húsz évig eltárolják és egy olyan világban újra nyilvánosságra hozzák, ami a maitól gyökeresen el fog térni?
/Forrás: F-Secure 2013.10.20-i hírlevele/*B.K-T.L.
