В нашем блоге на Хабре мы много пишем о создании почтовых рассылок и работе с электронной почтой. Сегодня речь пойдет о нечасто затрагиваемой, но важной теме — насколько безопасны подобные коммуникации, и как защититься при использовании email? Именно этим вопросом задались пользователи ресурса Quora. Мы представляем вашему вниманию лучший ответ, который дал Билл Франклин, бывший сотрудник защищенного почтового сервиса Lavaboom (проект закрылся летом 2015 года).

Есть ли безопасные почтовые сервисы, и чем в этом плане отличаются популярные почтовики

Электронная почта по своему существу небезопасна. Она создавалась для личной переписки, но в действительности электронные письма ненамного безопаснее открытки.

Франклин говорит, что когда отправляет из Оксфорда через Gmail письмо на Yahoo! Mail другу в Сан-Франциско, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Gmail, на сервере Gmail, при передаче из Gmail на Yahoo!, на серверах Yahoo! Mail, при передаче на компьютер друга и, наконец, на компьютере получателя. Всем известно, что цепь крепка настолько, насколько крепко ее слабое звено, поэтому, даже если оба участника переписки сделают всё возможное, чтобы обезопасить свои компьютеры, им все равно придется полагаться на защиту сервисов Gmail и Yahoo!

Кому может быть нужно взламывать почтовый ящик

Кто может быть заинтересован в получении доступа к чьему-либо почтовому ящику? Прежде всего, это государственные организации, почтовый провайдер и киберпреступники. Разумеется, скрыть переписку от почтового сервиса не получится, обычный пользователь также вряд ли сможет противостоять хакерам. При этом, если у Gmail есть доступ к вашему аккаунту, значит он есть и у Агентства национальной безопасности США (АНБ). И если АНБ встроит бэкдор в почтовый сервис, то им смогут воспользоваться и злоумышленники. Таким образом, пользователю необходимо защитить свой аккаунт от всех трех групп «перехватчиков» потому, что если одна из них получит доступ, то его могут получить и остальные.

Причины, по которым они могут захотеть взломать электронный ящик:

• Государственные органы: массовое слежение и получение данных об отдельных лицах;
• Gmail: сканирование писем по ключевым словам для размещения рекламы;
• Хакеры: рассылка спама, кража банковских данных, кража персональной информации – список ограничивается лишь изобретательностью хакеров, которые находят все новые способы получения денег с помощью украденных личных данных.

Ниже представлена диаграмма исследователя информационной безопасности Брайана Кребса — она наглядно показывает, что почтовый ящик среднего пользователя имеет куда большую ценность, чем принято думать.

Слабые места

Существует множество способов перехвата электронного письма в семи вышеперечисленных точках доступа. Франклин рассказал о том, как это можно сделать в его примере. Быстрее всего (этот способ занимает около часа) взломать базу в Кардиффе, где берет начало трансатлантический телефонный кабель, установить там узел для перехвата электронного письма и ждать, пока оно будет отправлено.

У Агентства национальной безопасности США есть возможность получить доступ к электронному ящику во всех семи точках доступа. И, согласно статьям Джейкоба Эпплбаума (Jacob Appelbaum) и Глена Гринуолда (Glen Greenwald), деятельность АНБ по сбору этим не ограничивается.

Вот, к примеру, один из слайдов презентации программы PRISM от АНБ:



Затраты на программу составляют около 20 млн долларов в год

PRISM – это программа наблюдения, запущенная Агентством национальной безопасности США (при участии центра правительственной связи Великобритании), которая используется в том числе для перехвата электронных писем. При этом крупнейшие почтовые провайдеры Microsoft, Yahoo! и Google в числе первых приняли в ней участие. И, тем не менее, электронная почта остается более популярным средством онлайн-коммуникации, чем Facebook или любой другой сервис. Поэтому ее важность для спецслужб, очевидна. А значит, отправляя почтовое сообщение, вы должны допускать, что он окажется на серверах PRISM или других подобных программ, где «сотрудники» смогут их прочитать.

Помимо технических недостатков в безопасности электронной почты, мы можем также рассмотреть законы, защищающие конфиденциальность ее пользователей. Огромное количество пользователей отправляют электронные письма с американских почтовых сервисов — например, Gmail.

• По истечении 180 дней ваши электронные письма на серверах американских почтовых провайдеров становятся собственностью США.
• Исследование показало, что 55% американских работодателей читают электронную переписку своих сотрудников.
• Стоит прочесть историю ныне прекратившего свою работу сервиса Lavabit, которым пользовался Эдвард Сноуден. Можно сделать вывод, что невозможно утаить ни один email, пока он находится на сервере американской компании.
• Читайте серию отчетов Глена Гринуолда «Нигде не спрятаться».

Метаданные, или по-простому данные о данных, имеют важное значение. Например, матаданные этого ответа на Quora – это время его публикации, данные об авторе, продолжительность его пребывания на сайте, месторасположение, браузер, которым он пользуется, данные о его компьютере, местное время… в общем, список получается весьма длинным. В электронных письмах метаданных еще больше. Весь интернет переполнен ими, вероятно, они представляют даже большую ценность, чем сами данные. В своем потрясающем выступлении на тему «Как АНБ предало доверие всего мира – время действовать» Микко Хиппонен (Mikko Hypponen) рассматривает важность метаданных.

Когда вы посылаете email, все метаданные отправляются вместе с ним. Когда вы отвечаете или пересылаете email, вы автоматически пересылаете все метаданные из предыдущего письма. Например, если несколько людей ведут общую переписку по электронной почте, с помощью любого вышеупомянутого способа перехвата любое заинтересованное лицо с легкостью получит доступ к данным о местонахождении всех участников переписки, а также узнает тему обсуждения, даже не читая содержание писем. Подробнее об этом можно почитать в материале под названием «О чем метаданные ваших электронных писем могут рассказать АНБ».

Стоит также упомянуть, что, отправляя email на электронный адрес Gmail, даже если вы сами не являетесь его клиентом, вы автоматически предоставляете Google всю информацию – при этом вам не нужно принимать его условия обслуживания (которые подразумевают чтение ваших электронных писем). То же самое касается и других американских почтовых сервисов.

Как обезопасить свой почтовый ящик

Итак, все вышеперечисленное, по сути, говорит о том, что электронная почта небезопасна, данные и метаданные могут многое о вас рассказать, и от вторжения в личную жизнь спастись нереально. Но все не так безнадежно. Как сказал Эдвард Сноуден: «Времена, когда защита частной жизни граждан полностью зависела от государства, остались в прошлом. Мы больше не обязаны просить у правительства неприкосновенности частной жизни, это наше право».

«Все разведывательные службы – абсолютно все – боятся простых и безопасных коммуникационных инструментов», – говорит Джейкоб Эпплбаум.

Асимметричное шифрование – самое надежное и простое решение, но можно сделать и еще кое-что. Достаточно выполнить несколько несложных шагов, чтобы значительно повысить уровень защищенности email-коммуникаций.

Шаг 1. Шифрование

Pretty Good Privacy (PGP) – программа, позволяющая превращать содержание писем в бессмыслицу для всех, кроме отправителя и получателя. Подходит для некоторых весьма простых в использовании почтовых клиентов. Более подробно о ней можно почитать тут.

Шаг 2. Не стоит пользоваться американскими почтовиками

При выборе почтового сервиса стоит учитывать и географический фактор, но не стоит всецело на него полагаться. Например, в Германии и Швейцарии законы, защищающие частную жизнь граждан, более эффективны, чем в США или Великобритании. Поэтому безопаснее использовать почтовые клиенты других стран, например, корейский Naver.

Шаг 3. Не следует доверять почтовому провайдеру

Отказ от американских почтовых сервисов – это хорошее начало, но в идеале следует использовать почтовые провайдеры с нулевым разглашением информации. Нулевое разглашение означает, что сервер не имеет доступа к исходному тексту данных. Более подробная информация об этом представлена здесь.

Шаг 4. Почта на своем сервере (это не так уж сложно)

Запустить свой собственный почтовый сервер не так трудно, как кажется. Таким образом, можно снизить риск взлома email-аккаунта. Это значит, что сам пользователь будет администрировать свой почтовый ящик, и если кому-то понадобится получить его содержимое, то им придется создавать бэкдор для этого конкретного сервера. Вероятность того, что кому-то понадобитесь именно вы, не особенно велика.

В заключение, несколько решений для повышения уровня защищенности электронной почты:

• Mozilla thunderbird с расширением Enigmail;
• Почтовый клиент Mailpile;
• Список других относительно безопасных сервисов с оценкой их параметров собран по ссылке.