Artykuły dotyczące tematu: e-mail

dodany: 01.03.2013 | tagi: , , ,

Apple cenzuruje e-maile do swoich użytkowników

0

Najwyraźniej Apple chce mieć najbezpieczniejszą z bezpiecznych usług pocztowych. Dzięki filtrowania poczty w iCloud część z nich nie dociera do odbiorców. Wg Macworld e-maile, które zawierały określone frazy, nawet w skompresowanym dokumencie PDF, były automatycznie wychwytywane i nie docierały do odbiorcy. Żadnego znaczenia nie miało tu nawet oznaczenie nadawcy jako zaufanego, co wskazuje, że Apple wie lepiej, komu użytkownik może zaufać.

Problem wyszedł na jaw, gdy użytkownicy zauważyli, że e-maile od zewnętrznych nadawców ze słowami barely legal teen miały problem z dotarciem do odpowiedniej skrzynki odbiorczej w iCloud. Ta sama sytuacja dotyczyła zarówno wiadomości posiadających dane słowa w zawartości, jak i załączonym pliku PDF i jego skompresowanej wersji. Problem w tym, że po ich wysłaniu ślad po nich zaginął. Żadnego powiadomienia czy odesłania do nadawcy.

Co ciekawe, gdy identyczne e-maile wysłane zostały z kont iCloud, wszystko działało bez problemu i trafiały one do skrzynki odbiorczej adresata.

Apple powiedziało Macworld, że wiedzą o takim działaniu filtra:

Czasami zautomatyzowane filtry antyspamowe mogą niepoprawnie blokować legalne e-maile. Jeśli klient uważa, że wiadomość została zablokowana bez przyczyny zachęcamy do zgłaszania tego do AppleCare.

Moje pytanie brzmi: jak klienci mogą zgłosić takie rzeczy, jeśli nie mają zielonego, ani żadnego innego pojęcia, że taki e-mail nie dotarł? Przecież po wysłaniu przez nadawcę e-mail znika. Wiem, że zostaje w wysłanych u nadawcy, ale dość łatwo to przeoczyć. Nie mówiąc już o nieprzyjemnościach, jakie mogą spotkać nadawcę i odbiorcę.

Poza tym, jeśli filtry przychodzącej poczty Apple odrzucają maile po frazie barely legal teen to, ciekawi mnie co jeszcze tkwi w czeluściach apple’owych centrów danych.

dodany: 29.01.2013 | tagi: , , ,

Bezpieczeństwo e-mail

10

Czy wiesz, że korzystanie z poczty elektronicznej poprzedza wynalazek Internetu?

Wiadomości elektroniczne były wysyłane przez przewód jeszcze długo zanim istniały sieci komputerowe. W rzeczywistości, e-mail utorował drogę dla Internetu, jaki znamy dzisiaj.

Czemu nie możesz do końca zaufać każdej wiadomości e-mail? Czy zawsze możesz być pewny, że informacje, jakie znalazłeś w swojej skrzynce pocztowej nie zostały sfałszowane i przyszły od wskazanego nadawcy?

Niestety, kiedy wymyślano e-mail, nie zastanawiano się nad jego bezpieczeństwem. Poczta elektroniczna oparta została o sieć peer-to-peer, gdzie wiadomości wysyłane są z serwera do serwera jako czysty tekst (z ang. plaintext), bez szyfrowania, póki nie osiągną swojego celu (nie dotrą do adresata).

Nawet jeśli łączysz się z dostawcą e-mail przez szyfrowane połączenia (SSL/TLS), żeby ściągnąć swoje wiadomości, nie oznacza to, że wiadomości nie zostały odczytane po drodze do Twojej skrzynki.

W przeciwieństwie do innych sposobów komunikacji w Internecie (sieci IM jak xmpp, gg, Skype czy sieci społecznościowe), w przypadku e-mail nie ma żadnych scentralizowanych serwerów, które kontrolują i zarządzają dostawą poczty, co może powodować problemy takie jak e-mail spoofing (wysyłanie wiadomości, która celowo wygląda jakby została wysłana przez kogoś innego – podszywanie się pod nadawcę).

Mimo to korespondencja przez e-mail wciąż jest wiążąca i może nawet zostać użyta jako dowód sądowy.

Jak więc bezpiecznie wysyłać wiadomości, tak żeby spełniały następujące wymagania:

  • odbiorca będzie przekonany, że e-mail jest od Ciebie,
  •  nikt poza odbiorcą nie będzie mógł przeczytać wiadomości,
  •  nie było możliwości, żeby ktoś zmienił treść wiadomości zanim dotrze do adresata?

W 1991 roku, Phil Zimmerman opublikował program nazwany PGP (z ang. Pretty Good Privacy – „całkiem niezła prywatność”), który gwarantuje wszystkie trzy wymienione punkty.

 Digital key in pixeled keyhole

Wiarygodność poprzez szyfrowanie

Na szczęście PGP i podobne oprogramowanie używające standardu OpenPGP (np. GPG) jest teraz legalnie dostępne w większości krajów i jest świetnym rozwiązaniem zabezpieczenia e-maili. Wysoki poziom bezpieczeństwa zostaje zapewniony przez szyfrowanie wiadomości i cyfrowe podpisywanie ich.

  • Szyfrowanie zapewnia poufność – zawartość wiadomości jest chroniona, więc może zostać odczytana tylko przez zamierzonego odbiorcę.
  • Cyfrowy podpis autoryzuje wiadomości – odbiorca może być pewny, że dostaje je właśnie od Ciebie.
  • Dodatkowo cyfrowy podpis zapewnia, że wiadomość nie została sfałszowana.
  • I na koniec upewnia, że nadawca w późniejszym terminie nie zaprzeczy wysłaniu wiadomości.

Szyfrowanie wiadomości oraz autoryzacja, które spełniają cztery wymagania bezpieczeństwa, oparte są o kryptografię klucza publicznego (ang. public-key cryptography).

Kryptografia klucza publicznego opisuje protokoły matematycznego szyfrowania i algorytmy, które pozwolą Ci bezpiecznie korzystać ze sklepów internetowych i z internetowej bankowości. Niestety, ten rodzaj kryptografii umożliwia malware wkradnięcie się do Twojego komputera i zaszyfrowanie go w celu wyłudzenia okupu (ransomware).

Ellis, Cocks i Williamson w 1973 roku w GCHQ (z ang. Government Communications Headquarters – ‚centrala łączności rządowej’) wymyślili pierwsze algorytmy klucza publicznego. Używały one matematycznej funkcji „trapdoor”, żeby przeprowadzać asymetryczne szyfrowanie wiadomości. To znaczy – sposoby szyfrowania i deszyfrowania są inne, żeby wiadomości nie dało się odkodować.

Każdy może zaszyfrować wiadomość – albo analogicznie zweryfikować cyfrowy podpis jako poprawny – za pomocą publicznej części klucza, ale tylko uprawniona osoba może deszyfrować wiadomość – albo cyfrowo podpisać – używając swojego sekretnego prywatnego klucza.

 

Jak to działa?

Wybierzmy sobie dwie osoby. Niech jedna ma na imię Alicja i druga Robert. Alicja chce bezpiecznie wysłać email do Roberta, bez możliwości, że Ewa odczyta albo zmodyfikuje jej wiadomość i chce, żeby Robert był przekonany, że wiadomość została wysłana właśnie przez nią.

Prosty przykład jak program PGP (albo podobny) zadziała (jak faktycznie protokoły działają, to sprawa dużo bardziej skomplikowana, ale sens jest ten sam):

Najpierw komputer Alicji szuka klucza publicznego Roberta w serwerze kluczy (z ang. key-server), który działa jak duża książka adresowa i szyfruje wiadomość używając jego klucza.

Następnie jej prywatny klucz użyty zostaje do cyfrowego podpisania wiadomości wysyłanej do Roberta.

Na koniec komputer Roberta deszyfruje wiadomość za pomocą jego prywatnego klucza i weryfikuje cyfrowy podpis używając publicznego klucza Alicji (pobranego z serwera kluczy).

Pada pytanie – skąd Alicja wie, że klucz publiczny Roberta, pobrany z serwera kluczy, jest poprawny i należy do niego, a nie np. do Ewy lub innej osoby? I tu pojawia się „web of trust” – mechanizm upewniający poprawność kluczy publicznych.

“Web of trust” jest alternatywą do infrastruktury klucza publicznego (z ang. public key infrastructure, w skr. PKI) używanego przez strony internetowe do zapewnienia bezpieczeństwa za pomocą certyfikatów SSL.

Idea jest prosta: załóżmy, że Alicja i Robert mają wspólnego znajomego o imieniu Marcin, któremu oboje ufają. Marcin może ręczyć za oboje – Alicję i Roberta, ponieważ zna ich osobiście i może zweryfikować ich tożsamość i ich powiązanie z kluczami publicznymi. Marcin podpisuje każdy z ich kluczy publicznych swoim własnym. Ponieważ Marcin ufa Robertowi i Alicja ufa Marcinowi (Alicja podpisała klucz publiczny Marcina) to pozwala Alicji uwierzyć w autentyczność klucza Roberta.

Takie realne uwierzytelnianie może brzmieć niewykonalnie i tworzyć kolejne problemy? Jest to jednak bardzo efektywny sposób zapewnienia bezpiecznej komunikacji (z systemami PGP albo podobnymi) bez potrzeby kupowania drogich certyfikatów bezpieczeństwa, jak te używane przez strony internetowe.

Często organizowane są nawet spotkania znane jako „key signing party”, żeby móc sprawdzić wzajemnie swoją tożsamość i podpisać klucze w celu propagacji sieciowego zaufania (web of trust).

 

Czemu bezpieczeństwo e-maili nie jest tak rozpowszechnione?

Prawdopodobnie powodem jest kombinacja wrażenia niewykonalności i braku świadomości zagrożeń. Nie zawsze jest proste zacząć używać klucza publicznego do szyfrowania e-maili, a utrzymanie klucza publicznego bezpiecznym może być kłopotliwe, jeśli używasz poczty z wielu urządzeń. Ponadto wiedza o problemach z e-mailami, spoofingu (podszywanie się pod nadawcę) nie jest tak duża jak powinna być.

Z pewnych względów tylko zdeterminowani, co do bezpieczeństwa w Internecie, będą się kłopotać używaniem tych systemów jako rutyny. Dla biznesu bezpieczeństwo korespondencji jest delikatną sprawą, często wymuszającą balansowanie na poziomie kosztów i ryzyka. Jednak dostawcy Internetu i poczty e-mail powinni poszerzać świadomość użytkowników i zachęcać do zabezpieczania wiadomości.

Pamiętaj następnym razem, kiedy strona Internetowa informuje, że „bezpiecznie” wysłała Ci przypomnienie hasła – jak faktycznie wygląda ten proces.

dodany: 06.09.2012 | tagi: , , ,

Spam od przyjaciół z Facebooka wynikiem dziury w portalu

0

Otrzymujesz spam, który jako nadawcę podaje Twojego znajomego z Facebooka, ale w rzeczywistości wysłany został z nieznanego adresu e-mail? My także.

Są to ślady ataku, wykorzystującego błąd w konfiguracji na Facebooku, znaleziony tydzień temu, wg informacji podanych przez firmę.  Choć spamerzy nie wykradli żadnych danych z kont, to wygląda na to, że korzystali z wcześniej uzyskanych danych do wysyłania spamu. To oznacza, że wiadomości będą mogły przychodzić do momentu znalezienia przez dostawców źródła spamu i jego usunięcia.

Facebook wydał oświadczenie, w którym czytamy, że jego eksperci odkryli kampanię, która używała zhakowanych kont e-mail, aby uzyskać informacje do  zgarnięcia z listy znajomych adresów, co spowodowało tymczasowe błędy na ich stronie. I dali jasno do zrozumienia, że żadne konta nie zostały zhakowane i nie było żadnego wycieku danych. Dodali też, że stworzyli nowe mechanizmy do natychmiastowego wyłączania złośliwych stron, kont i aplikacji, które przyczyniają się do rozpowszechniania spamu. Zapewniają także, że zmiany w bezpieczeństwie nastąpią też „od środka”.

Jak będzie – zobaczymy.