Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно.

В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь отправитель устанавливает срок действия письма, после которого оно «исчезает». По крайней мере, так должно работать. На самом деле есть несколько способов обойти эту защиту, сохранить полученное сообщение, скопировать или распечатать.




Создание конфиденциального письма Gmail: указывается дата исчезновения письма и активация кода из SMS, который нужно ввести для получения доступа к нему

Компания Google называет эту систему Information Rights Management — этот термин более десяти лет назад изобрела компания Microsoft для похожей функции в Microsoft Office. В реальности это своеобразный аналог DRM, только для электронной почты.

Специалисты из Фонда электронных рубежей видят несколько проблем в том, что как реализован режим конфиденциальности Gmail.

Несерьёзная защита


Во-первых, это простые методы обхода данной «защиты». Очевидно, что можно сделать скриншот полученного письма. Можно просто сохранить его в исходном виде. Хотя в Gmail нет кнопки «Сохранить» или «Скачать письмо», но в браузере такая кнопка есть и она нормально работает на конфиденциальных письмах.

Во-вторых, письмо на самом деле не удаляется полностью — оно продолжает храниться в папке «Отправленные» у отправителя, то есть на серверах Google. Даже если и отправитель, и получатель нажали кнопки «Удалить навсегда» и очистили корзины, письма всё равно продолжают храниться на серверах Google до 60 дней.

Наконец, Google запрещает распечатывать конфиденциальные письма из веб-интерфейса. Но такая защита реализована с помощью CSS-правил @media print, которые скрывают основной контент во время печати. Снять запрет на печать очень легко. Например, в браузере Firefox открываем редактор стилей (Style Editor) в веб-консоли — и удаляем ненужные правила. Как вариант, можно просто нажать слева значок в форме глаза — и отключить все стили CSS на странице. В других браузерах со встроенными инструментами разработчика тоже можно найти @media print в коде, закомментировать его или удалить. Но в Firefox это делается, пожалуй, проще всего.

Вообще, правила @media print реализованы в стандарте для того, чтобы помочь пользователю напечатать страницу без лишнего «мусора». То есть Google использует это правило не по назначению и злоупотребляет им, считают специалисты.

Google также применила несколько трюков для блокировки копипаста, но их тоже можно обойти.

Во-первых, этой CSS свойство user-select, которое не даёт выделить текст. Оно дезактивируется из того же редактора стилей в Firefox: достаточно просто отключить все стили или написать своё правило, которое возвращает нормальное поведение (auto) при выделении текста.



Во-вторых, Google внедрила JavaScript, который блокирует контекстное меню, позволяющее скопировать текст. Данное ограничение в Firefox снимается в конфигурации about:config, где настройку dom.event.contextmenu.enabled следует перевести в состояние false (false значит, что JavaScript не имеет возможности блокировать контекстное меню).

Иллюзия безопасности


Можно предположить, что даже такая ненадёжная защита писем лучше, чем вообще никакой. К сожалению, это не так. Эксперты по информационной безопасности неоднократно предупреждали, что а таких условиях у пользователей возникает иллюзия безопасности. Из-за этого они более беспечно относятся к передаче конфиденциальной информации, излишне полагаясь на безопасность и приватность писем Gmail. Другими словами, такая защита может даже ухудшить реальную защиту информации и увеличить число утечек конфиденциальных документов.

«Если деньги, если рынок определяет меры безопасности и если люди принимают решения основываясь на чувстве защищённости, то самое умное, что может сделать компания, исходя из экономических соображений, — это дать людям чувство защищённости. И всегда есть два способа этого добиться. Первый — можно реально защитить людей и надеяться, что они обратят внимание. Или второй — можно создать чувство защищённости и надеяться, что они не обратят внимания», — так говорил Брюс Шнайер в своей лекции TED, которая называется «Иллюзия безопасности».

DRM в почте


Специалисты Фонда электронных рубежей (EFF) обращают внимание, что в конфиденциальном режиме не применяется шифрование end-to-end, то есть письмо по-прежнему проходит в открытом виде через серверы Google, и компания имеет техническую возможность хранить копии писем неограниченное время, независимо от установленной «даты удаления».

Кроме того, для активации защиты SMS-кодом отправитель должен раскрыть Google номер мобильного телефона получателя письма — потенциально без согласия получателя.



По мнению EFF, реализованная в Gmail система IRM (DRM) полагается не на технологии, а на закон Digital Millennium Copyright Act (DMCA) 1998 года, который прямо запрещает сторонним лицам обходить эту защиту. За первое подобное нарушение грозит до пяти лет тюремного заключения и штраф до $500 тыс. Теоретически, отключение защиты в редакторе стилей веб-консоли Firefox тоже можно считать нарушением DMCA. Опять же, теоретически, Google имеет право надавить на разработчиков Firefox, чтобы они дезактивировали эту функцию для Gmail, и начать преследование разработчиков сторонних расширений, которые попытаются вернуть в Firefox данную функциональность.

«Мы считаем, что продукты для информационной безопасности не должны полагаться на суды для обеспечения своих предполагаемых гарантий, а должны полагаться на такие технологии, как сквозное шифрование, которые обеспечивают фактические математические гарантии конфиденциальности, — сказано в заявлении EFF. — Мы считаем, что использование термина „конфиденциальный режим” для функции, которая не обеспечивает конфиденциальность, как этот термин понимается в ИБ, вводит в заблуждение».

EFF считает, что в незашифрованной почте не может быть никакой конфиденциальности, это касается и «конфиденциального режима» Gmail. Может быть, эта функция имеет смысл в узкой корпоративной среде, но для большинства пользователей в ней нет гарантий приватности и необходимых функций, присущих защищённым коммуникациям. В первую очередь, отсутствует надёжное end-to-end шифрование почты с цифровой подписью.

Комментарии (38)


  1. ColdPhoenix
    02.08.2018 10:28
    +3

    первые две мысли:
    1)а причем тут FF? в самом хроме можно тоже самое сделать(редактировать стили и тп)
    2)вроде уже давно доказано что можно сохранить, то что приходит на комп пользователя. как то не открытие.


    1. Aquahawk
      02.08.2018 10:32
      +3

      Открытие тут это наглость, зная что никакой безопасности нет, начертить мелом линию, сказать что есть закон запрещающий переходить линию другим и сказать что это безопасность.


      1. dartraiden
        02.08.2018 10:57

        А можно вообще сфотографировать экран.

        Например, можно вскрыть замок на входной двери, но мы ведь квартирную дверь запираем, тем не менее.


        1. Aquahawk
          02.08.2018 10:59
          +1

          Так тут речь идёт о пластиковой двери которая закрывается просто табличкой «не входить» а не о стальной двери с замками для взлома которой нужно приложить некислые усилия.


          1. Myateznik
            02.08.2018 12:08
            -1

            Так тут речь идёт о пластиковой двери которая закрывается просто табличкой «не входить» а не о стальной двери с замками для взлома которой нужно приложить некислые усилия.

            Даже в данном случае для «взлома» нужно приложить «некислые усилия», ведь в первую очередь расчёт на то, что «обычный пользователь» не знает и не умеет пользоваться такими инструментами как DevTools. А от умеющих ими пользоваться расчёт на закон DMCA.

            Так, что пример был верен:
            можно вскрыть замок на входной двери, но мы ведь квартирную дверь запираем, тем не менее.

            Взломщики/специалисты тем и отличаются от обычных граждан/пользователей, что осведомлены о методах обхода защиты в виде железной двери и уж тем более замка. И соответственно для них любая такая «железная дверь» сравнима с «пластиковой дверью и табличкой „не входить“».

            Возможно защита действительно слаба или недостаточна, но это защита. И не будем забывать, что у любой защиты есть свои минусы и узкие места, которые рано или поздно будут известны неопределённому кругу лиц. Это просто такая же истина как для программиста то, что нельзя устранить 100% багов: рано или поздно всплывут новые причём в непредсказуемых условиях.

            Не бывает идеального решения — бывает достаточное решение.


            1. Myateznik
              02.08.2018 13:32

              В чём я не прав? К стати ниже уже указали, что эта защита связана конкретно с тем, чтобы не дать доступ к сообщению после определённого временного интервала (ну и до подтверждения доступа), однако до истечения этого интервала считается, что получатель по умолчанию доверенное лицо.


              1. qnok
                02.08.2018 15:25

                Вами все описано логично и понятно. Наверное у кого-то просто настроение плохое. Бывает.


              1. Zenitchik
                02.08.2018 15:28

                В чём я не прав?

                В том, что умение нажать на F12 и прочитать CSS — это уровень не специалиста, а продвинутого юзера.


                1. Myateznik
                  02.08.2018 15:41

                  «Специалист» в данном контексте был использован как обобщение категории имеющей инструмент и умеющей им пользоваться. Возможно слово было подобрано не сильно подходящее, ведь такой же пример как вы привели можно привести и по поводу взломщиков. Умение взять болгарку и просто распилить засовы — это уровень любого у кого есть эта самая болгарка.

                  Однако если ты умеешь читать CSS и знаешь о медиа-запросах в нём — это уже некие специальные/специфичные знания. Такими же специфичными знаниями в случае со взломщиком будет знание расположения засовов или любые другие знания, которые могут позволить так или иначе открыть дверь. Расчёт же обычно делают скорее на обычного пользователя.


                  1. Zenitchik
                    02.08.2018 15:44

                    Однако если ты умеешь читать CSS и знаешь о медиа-запросах в нём — это уже некие специальные/специфичные знания.

                    Мы все начинали с «Народа»…

                    Со сравнением с болгаркой — согласен.


            1. Daniyar94
              03.08.2018 02:02

              Ну строить защиту базируясь на неосведомленности юзеров, так себе защита. Я могу написать маленький is сниппет, который нужно просто скопировать в F12-DevTools консоль. Защита снята.


              Браузер априори не очень хороший клиент для доставки DRM информации.


              1. Daniyar94
                03.08.2018 02:02

                js*


                1. Myateznik
                  03.08.2018 14:09
                  -1

                  Ну строить защиту базируясь на неосведомленности юзеров, так себе защита.

                  Однако от этого не уйти — любая защита базируется на отсутствии инструментов и достаточных знаний.

                  Я могу написать маленький js сниппет, который нужно просто скопировать в F12-DevTools консоль.

                  Можете, от этого нельзя защититься или по крайней мере сложно. Но опять таки у вас есть инструмент (DevTools) и знания, с помощью которых вы делаете инструмент для остальных, избавляющий их от необходимости знаний. В конечном итоге всё-равно есть инструмент (js сниппет).

                  А ещё ни что не мешает вам добавить в js сниппет XSS, о котором не будут знать потенциальные пользователи вашего сниппета в виду отсутствия знаний связанных с программированием.

                  Наверное именно по этому у того же Facebook'а в консоли выводят предупреждение (которое тоже является своего рода защитой):
                  Остановитесь! Эта функция браузера предназначена для разработчиков. Если кто-то сказал вам скопировать и вставить что-то здесь, чтобы включить функцию Facebook или «взломать» чей-то аккаунт, это мошенники. Выполнив эти действия, вы предоставите им доступ к своему аккаунту Facebook.
                  Подробнее на www.facebook.com/selfxss.

                  Браузер априори не очень хороший клиент для доставки DRM информации.

                  Не хуже любого другого, да возможно больше векторов атаки, но DRM так же как и любая защита не идеальна и вполне обходима, даже если используется какой-то другой клиент (не браузер) — главное наличие знаний.


    1. Crysdd
      02.08.2018 14:07

      Я Вам больше скажу. Гмайл очень здорово читается даже через w3m.


  1. Aquahawk
    02.08.2018 10:31
    +1

    Гугл в своём репертуаре, как загибать http так это за безопасность, как называть безопасностью запрет на печать письма на компьютере клиента при отображении на нём — же, так это тоже безопасность.


  1. Naves
    02.08.2018 10:48
    +2

    А дальше Гугл поступает просто:
    1) защищённое письмо можно открыть только через Гугл хром, в котором нельзя отключить стили
    2) блокируется принтскрин.
    3) включается DRM режим на видеовыходах, если есть активный vga, высвечиваем страшную надпись и ничего не показываем, плюс чёрные списки видеоустройств, чтобы не было проекторов, телевизоров, и несертифицированных приборов.
    4) включается камера у компьютера, которая проверяет фотографию человека у экрана, детектирует средства фотовидеосъемки
    5) на уровне хрома включить анти-отладку и детектирование виртуальных машин.
    Что ещё забыл?
    Слабое место остаётся, это контроль вебкамеры.


    1. ledascho
      02.08.2018 11:06
      +1

      Что ещё забыл?

      Избирательно отключить POP3 и IMAP для «конфиденциальных» писем?
      И что там с «simple HTML view» для подобных писем? Тоже копирование отключается?


    1. ClearAirTurbulence
      02.08.2018 11:14

      У целевого пк может не быть камеры для контроля
      Съемка экрана может вестись без использования клавиши принт скрин — по расписанию, или вообще в видеофайл


      1. Airrr
        02.08.2018 17:02

        Съемка экрана может вестись — с помощью любой камеры, даже 35мм плёночной :)


    1. Daniyar94
      03.08.2018 02:17

      Никак. Нужен подход типа как при сдаче экзамена GRE. Спец центр, с выделенными компьютерами, охраной и досмотром.


      По другому никак :/


  1. APXEOLOG
    02.08.2018 11:15
    +1

    Я не понимаю смысл претензий в статье. Почему здесь обсуждается то, что получатель может сохранить что-то (а если он запомнит? вот ужас-то какой!)?


    На мой взгляд данная функция сделана для того, чтобы возложить контроль за удаление писем на сервис. Например вы выслали какую-то конфиденциальную информацию письмом и вы не хотите чтобы потом, в случае взлома ящика, эти письма обнаружились у получателя. Звонить после каждого письма и спрашивать — "Ты удалил письмо? Точно?" — это идиотизм, а так вы можете не особо париться. Функция защиты от копирования это скорее подсказка о том, что данное письмо лучше никуда не сохранять


    Юз-кейз вполне понятен после всех эти новостей о взломе почтовых ящиков сотрудников предвыборных штабов в США — он дает вам возможность контроля над информацией на аккаунте получателя, чтобы таких "сливов" при взломах не происходило.


    При этом задача тут очевидно не в защите от сознательного вредителя, который может фоткать монитор и ему пофиг какие у вас там защиты. Тут идет защита от человеческого фактора


    1. qnok
      02.08.2018 15:28

      Отличное объяснение положительной стороны вопроса. Его бы лучше видеть в самой статье, а то в ней как-то все желтушно однобоко получается (и ощущение, будто только Firefox на такое способен).


    1. edogs
      02.08.2018 18:56
      +2

      Вы были бы правы. если бы гугл это так и преподносил. Но statement гугла при создании такого письма «Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»© Это явное введение в заблуждение — ибо смогут — и то и другое и третье и четвертое, о чем собственно статья и говорит.

      А в глобальном смысле вещь полезная. И даже не с точки зрения забывчивости, а с точки зрения ответственности. Одно дело случайно переслать письмо, другое дело выполнить намеренные действия по снятию защиты на пересылку. Но нужна, конечно, доработка — как и техническая, так и по формулировкам.


      1. Frankenstine
        03.08.2018 11:15

        Вы были бы правы. если бы гугл это так и преподносил.

        Возможно это для вас сюрприз, но гугл именно так и преподносит эту функцию. Нажимаете «Подробнее», и открывается страница support.google.com/mail/answer/7674059?hl=ru на которой чётко указано:
        Примечание. Эти ограничения позволяют защититься от случайной пересылки конфиденциальной информации, но не гарантируют полной защиты от вредоносного ПО и злоумышленников, которые могут скопировать ваше письмо или прикрепленные файлы.

        Так что претензии к гуглу по поводу этого режима имеют необоснованный характер.


        1. edogs
          04.08.2018 02:23

          гугл именно так и преподносит эту функцию. Нажимаете «Подробнее»,
          Нет. Перед «подробнее» стоит фраза «Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»©, то что по «подробнее» меняется смысл на противоположный — это просто еще один косяк гугла, т.к. подробности не должны менять смысл.

          не гарантируют полной защиты от вредоносного ПО и злоумышленников,
          Пустая фраза, т.к. полной защиты никто и никогда гарантировать не может.


          1. Frankenstine
            04.08.2018 10:57
            -1

            Нет. Перед «подробнее» стоит фраза «Пользователи не смогут

            Между пользователями и злоумышленниками, использующими методы обхода ограничения, есть разница. Без дополнительных телодвижений по обходу ограничений, действительно,
            «Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»


  1. vtvz_ru
    02.08.2018 11:21

    С трудом представляю себе, как можно все правильно провернуть в браузере. От принтскрина и скринрекорда ничего не спасет. А текст? Ну что можно сделать с текстом, чтобы его ну никак нельзя было вытянуть из кода страницы? Рисовать в canvas? Но его тоже можно правой кнопкой сохранить. Как вариант, можно на странице расположить сотню канвасов и рисовать текст фрагментированно, чтобы было сложнее вытянуть данные. Хотя я не уверен, что сохранение страницы целиком не сохраняет и содержимое канвасов — не проверял. Но тем не менее. Любой, кто владеет кнопкой PrtSc, а это почти все, сможет сохранить себе сообщение навсегда, как бы Google не старался.


    1. Myateznik
      02.08.2018 12:21

      А текст? Ну что можно сделать с текстом, чтобы его ну никак нельзя было вытянуть из кода страницы?

      Использовать подобный метод: https://mess.now.sh/.

      Правда это не избавляет от:
      Любой, кто владеет кнопкой PrtSc, а это почти все, сможет сохранить себе сообщение навсегда, как бы Google не старался.

      Но всё-таки выше уже указали, что задача скорее защитить от получения информации после определённого срока, а до его истечения никакой защиты не предусматривается. Это как временная ссылка, доступная в течении 15 минут: в этот временной промежуток по ней может пройти кто угодно и сколько угодно раз, но вот после истечения временного промежутка перейти по ней невозможно.


      1. vtvz_ru
        02.08.2018 15:33

        Я в восторге. Кажется, до подобного не додумался бы никогда) Возможно, стоит взять на вооружение. Формально, он должен поддерживать любой язык? Главное, чтобы исходный шрифт имел кириллицу?


        1. Myateznik
          02.08.2018 15:48

          Поддерживает любой язык, главное чтобы в шрифте имелся набор необходимых символов. Этот метод никак не завязан на язык он работает только с символами, его задача просто поменять их начертания местами и зная такую таблицу перестановки вернуть новый текст и шрифт с её учётом.


          1. vtvz_ru
            02.08.2018 17:01

            Кажется, было бы лучше, если бы использовались не только имеющиеся символы, но и любые другие; также чтобы на один визуальный символ могло быть более 1го кода; и использовать лигатуры, создавая из двух символов один. Последнее, кажется, реализовать сложнее всего. Но первые два вполне. Надо попробовать поковырять библиотеку. Там меньше сотни строк кода, должно быть несложно разобраться


  1. telhin
    02.08.2018 11:24

    Я так понимаю ситуацию с expire time у писем — нормальная ситуация, что отправляющее и принимающее лицо являются априори допущенными к конфиденциальной информации, также принимающему лицу, вероятно, нужно использовать такую информацию. Пускай например паспортные данные. Время истечения предоставляет возможность своевременно их обработать, после чего они исчезнут. Если в дальнейшем кто-то хакнет сервер (или придет новый сотрудник с злыми намерениями), а ветка писем на принимающей стороне не удалена, то данные утекут. Expire механика в данном случае позволяет их защитить.


    Альтернативой можно представить зашифрованные архивы, но они как правило являются вектором атаки с malware и не все почтовые сервисы их любят. Плюс при большом желании можно попробовать расшифровать архив (пару лет назад брутфорсил 5 значный пароль от архива и весьма успешно).


    В этом контексте со стороны google неприятно, что письма хранятся в открытом виде для сервера. Но в общем если базовая механика выполняется, то уже профит есть.


    Запрет на печать в данном случае воспринимается как поле private в с++. Ты можешь обойти такой запрет, но лучше этого не делать.


  1. Evgeniy112
    02.08.2018 12:10

    если не работает менюшка по ПКМ (правой кнопке мышки) — можно нажать shift+ПКМ (на ff 100% работает)


  1. Cheater
    02.08.2018 14:36
    +1

    Хотя в Gmail нет кнопки «Сохранить» или «Скачать письмо», но в браузере такая кнопка есть и она нормально работает на конфиденциальных письмах.

    Во-вторых, письмо на самом деле не удаляется полностью — оно продолжает храниться в папке «Отправленные» у отправителя, то есть на серверах Google.

    Безумие какое-то. Почему все эти люди считают, что почта Google == веб-интерфейс Gmail? Когда успели отменить IMAP/POP3 и почтовые клиенты?


    1. edogs
      02.08.2018 22:21

      Безумие какое-то. Почему все эти люди считают, что почта Google == веб-интерфейс Gmail? Когда успели отменить IMAP/POP3 и почтовые клиенты?
      Нене, не так, Вы не вкурили.
      Не «почта гугл=вебинтерфейс гмаил», а «секретное письмо=веб-интерфейс гмэил».
      Там же сказано "Пользователи сторонних сервисов (не Gmail) получат код доступа по электронной почте.", т.е. если Вы качаете по imap/pop3, то Вы увидите не текст секретного письма, а ссылку для его открытия на гмыльном сервисе. Поскольку в самом письме текста нет, просто ссылка. Если Вы открываете письмо через гмыльный сервис, то он эту ссылку распознает и показывает как текст письма (при наличии доступа).


  1. saipr
    02.08.2018 21:53

    Когда успели отменить IMAP/POP3 и почтовые клиенты?

    Поэтому используйте почтовые клиенты, подписывайте и шифруйте свои сообщения (SMIME). И все с вашей перепиской будет в порядке.


  1. Dvlbug
    02.08.2018 22:07

    Почитал я тут справку, что приложена к новости:

    Примечание. Эти ограничения позволяют защититься от случайной пересылки конфиденциальной информации, но не гарантируют полной защиты от вредоносного ПО и злоумышленников, которые могут скопировать ваше письмо или прикрепленные файлы.

    Довели до абсурда и начали громить.


  1. monah_tuk
    03.08.2018 08:00

    Пардон, а "новый Gmail" это про inbox.google.com?