Всеки имейл може да се проследи? Е, този не може*

10.03.2018

Имейл

Във времена, в които всеки имейл се следи – дали от държавни субекти или от доставчиците на услуги – личното пространство остава някак на заден план. След разкритията на Едуард Сноудън, светът сякаш разбра, че дигиталните технологии са дори още по-несигурни, отколкото си мислехме. Днес всеки е чувал репликата, че “това не е за телефон”, дори и да става въпрос за съвсем тривиални неща. Относно телефоните, там има някои съвсем добри решения. Но какво правим с имейлите?

Истината е, че всеки (или почти всеки) имейл може да бъде проследен и/или прочетен. В крайна сметка имейлът е просто знаци, пътуващи от един сървър на друг по Интернет. Пък Интернет, при все всичките му позитиви, е сред палачите на личната неприкосновеност. Възможностите са много – може изпращащият сървър да е компрометиран, може приемащият сървър да е компрометиран, може и по пътя да се “прихване” съобщението. И тук не говоря въобще само за държавна намеса (законна или не). Хакерските атаки са основно частни – на конкуренти и врагове или на обикновени крадци и измамници, целащи да съберат информация за вас (номера на кредитни карти, пароли и пр.).

Като цяло с имейлите има няколко съществени проблема, щом става дума за лична неприкосновеност (privacy). Един от тях е бизнес-моделът, в който имейлите оперират. Другият основен проблем е технологичният – как да стане лесно и удобно да се защити човек от чужди очи в имейл комуникацията си?

Бизнесът на почти всеки имейл доставчик

Всеки имейл по света се създава от някакъв тип корпоративна структура. Вземете например Gmail. Имейлът на Интернет-гиганта е един от най-популярните в света. Той обслужва милиарди имейли ежедневно, бърз е, удобен и ефективен. Като за капак идва с 15 гигабайта пространство за складиране на файлове. И всичко това е… безплатно.

Добре, но трябва някъде да има уловка, нали? Няма как нещо толкова хубаво да се предоставя от корпорация като Гугъл без те да изкарват пари от услугата. Така е. Gmail е брънка от най-печелившия бизнес на американския гигант – рекламния бизнес. Gmail постоянно предоставя реклами на потребителите, а всяка рекламна импресия или клик носи жълтичка във възголямата касичка на Гугъл.

Хубаво. Какво лошо има Гугъл да изкарва пари от реклама, щом ми дава такава чудесна услуга? В крайна сметка нали и телевизиите това правят – издържат се от реклами, които аз гледам, за да имат те пари да ми дадат съдържание, което ми харесва? Така е, но с една малка разлика. Когато ти гледаш телевизия, пред теб просто се пускат някакви реклами. Телевизорът няма как да знае, че сега ти се яде чипс, за да ти пусне реклама именно на чипс.

В Интернет обаче правилата са различни. Ама съвсем различни. Всъщност Интернет-рекламата работи точно така. Търсиш конкретна книга в Гугъл. И хоп, в първия отворен уебсайт виждаш реклама именно на тази същата книга. Не е нито случайност, нито магия. Просто Гугъл те следи. Компанията знае и помни всяко твое търсене и всеки твой интерес. Включително и що се отнася до комуникацията ти по имейл. Ако сега пишеш на приятел един мейл с покана да идете да си купите чипс, след малко всяка реклама, контролирана от Гугъл (което е 1/3 от всички реклами в Интернет по принцип) ще бъде за чипс.

Gmail - имейл услугата на Гугъл

Проблемът

За да може да поднася точните реклами обаче, това значи, че Гугъл трябва да чете съдържанието на всеки твой имейл. Което е неетично и няма как да е така, нали? Всъщност е точно така. Гугъл чете абсолютно цялото съдържание на абсолютно всеки ваш имейл в Gmail. Не просто складира имелите ви. Чете ги. Едва в средата на миналата година от компанията обявиха, че уж щели до края на 2017 г. да спрат с тази порочна практика. Причината – платената им имейл и бизнес услуга G Suite върви толкова добре (имайки над 3 млн. корпоративни клиенти само в САЩ), че ще спрат да разчитат на рекламните доходи от безплатния Gmail. Да, ама явно – не, защото това така и не се случи до момента.

Освен етичния проблем обаче, другият основен такъв е това, че ако Гугъл четат всичките ви имейли, то всеки, който работи с Гугъл потенциално има достъп до тях. А ако сме научили нещо от Сноудън и най-вече от Уикилийкс, то е, че Гугъл си работи съвсем добре с редица американски и европейски служби. Като цяло компанията няма велик проблем да издаде всяка информация за вас, ако такава бъде поискана официално (или не). Следователно имейлът на Гугъл е пич, но си идва с багаж. Впрочем, ако трябва да сме съвсем честни, гореописаното важи за почти всеки голям имейл провайдър в света.

Добре, ако няма да ми дава таргетирани реклами, то как ще се издържа този имейл? Има само една-единствена опция – да си плащаш за услугата. Това е. Малка сума всеки месец, която да ти гарантира, че имейлите ти няма да се четат. Но и това не е достатъчно нали? Защото дори и да не му е необходимо на твоя доставчик на имейл услуга да ти чете писмата, той все пак може да го направи, ако поиска или бъде принуден, нали?

И така стигаме до проблем номер две.

Технологията

Технологично всеки /или почти всеки/ имейл може да бъде прочетен от доставчика на имейл услугата. Просто вашите съобщения се изпращат от неговите сървъри, до които той има достъп. Следователно, който има достъп до сървъра на вашия доставчик, автоматично има достъп и до вашите имейли. Същото важи и за облака, където имейлите ви се пазят. Същото важи и за сървърите на имейл доставчика на човека, на когото пращате електронна поща.

Впрочем абсолютно същото важи и за пътя между имейла на изпращащия и получаващия. Макар всички имейл провайдъри от години да ползват SSL сертификати, за да ви защитят от атака тип “man-in-the-middle”, при които някои застава образно казано на пътя на вашето съобщение и го получава преди то да стигне до предвидената дестинация, то проблеми има и тук. Защото много сертификати от този тип имат вратички и е лесно да бъдат принудени да дадат възможност за такъв род атаки.

Има, разбира се подходящи решения, които почти напълно изолират този проблем. Те обаче изискват по-високо ниво на компютърни умения, както и поне базови познания по криптография. Това е сравнително дълга и може би за някои и сложна материя, с която може би ще се занимая друг път. Ако имате интерес по темата, може да разгледате повече на сайта на Electronic Frontier Foundation, които са посветили уменията си в защита на дигиталната сигурност и лична неприкосновеност. Като цяло упражнението не е кой знае колко трудно, но е далеч по-неудобно от конвенционалната имейл комуникация. Затова и голяма част от потребителите не използват този тип услуги. Просто не са user-friendly, не са удобни за употреба от всеки.

Възможното решение

ProtonMail - едно от най-сигурните имейл решения

Съществува възможно решение на горепосочените проблеми. И то се казва ProtonMail. Разбира се, има и други подобни услуги, но мисля, че ProtonMail е най-добрата на пазара. Впрочем не само аз мисля така. Forbes дори твърди, че ProtonMail не може да се разбие дори и от ноторната американската Агенция за национална сигурност. Въпреки редицата проблеми, с които ProtonMail се сблъска през годините, в момента системата работи съвсем, ама съвсем прилично, а открите по емпиричен път дефекти бяха отстранени своевременно, разбира се с помощта на цяла плеяда от експерти по кибер сигурност. Впрочем и самият екип на ProtonMail е доста впечатляващ. Основателите се запознават докато работят за ЦЕРН в Швейцария. Водещите фигури в компаният са горди носители на дипломи от престижни университети и като цяло имат доста мащабни биографии. Но това не е толкова важно. Най-важното са системите за сигурност, които ProtonMail използва. Та, нека си дойдем на думата.

Сигурност, сигурност, сигурност

Ако в света на недвижимите имоти са важни само три неща – местоположение, местоположение, местоположение, то в света на безопасните комуникации са важни само три неща – сигурност, сигурност, сигурност. Е, ProtonMail се фокусира основно върху това, но и не забравя да има отчетлив акцент върху потребителския интерфейс, който е доста удобен и изчистен.

Криптиране, без следене на IP и какво ли още не

ProtonMail ползва висок клас end-to-end криптиране. Това ще рече, че съобщението ви е криптирано от изпращането до приемането. Това прави съобщението невъзможно за разчитане, освен ако човек няма съответния ключ. Впрочем, криптирането е толкова сериозно, че дори самите ProtonMail не могат да прочетат какво пишете.

Когато изпратите съобщение по техния мейл то се криптира, преминава през сървърите им в криптиран вид, т.е. без да имат възможност дори те да го прочетат, и пристига криптирано до получателя, който го дешифрира със своя ключ. По този начин се гарантира, че никой освен изпращача и получателя нямат достъп до самия текст на съобщението.

Това, че ProtonMail не могат да прочетат вашите съобщения е чудесно. Защото дори и да бъдат задължени да сторят това, те могат да предадат единствено едно добре криптирано съобщение. Нищо повече. Така не се налага да се доверявате на доставчика, дори и той да е ProtonMail. Доверявате се на математиката, която не позволява на никой да чете съобщенията ви.

Впрочем – не си забравяйте паролите, защото ProtonMail не може да ви възстанови достъпа. Забравите ли паролата си, просто считайте, че нямате имейл при тях вече. Още нещо – ProtonMail не събира никакви ваши данни. При регистрация няма нужда от въвеждане на никаква лична информация. Освен това те не ви пазят и IP-адреса. Това значи, че никой няма информация кога от къде и как влизате в пощата си.

И още нещо. Влизането в ProtonMail е на две нива. Първо, въвеждате потребителското си име и паролата си и тогава мейлът ви иска втора парола. Тя е уникална. Не се пази никъде от ProtonMail и те не я знаят. Тя е ключът, която криптира вашата поща. Ако някой/нещо принуди Протон да даде първичните данни за достъп до мейла ви (потребител и парола), то никой и нищо не може да декриптира вашата поща без втората парола.

Open source

Всичко това не са просто думи и заучени фрази на въпросния доставчик. При тях реално може да се докаже, че нямат достъп до данните. Това става, защото цялата криптографска и друга технологична машинария на Proton е с отворен код. И следователно всеки може да я проучви детайлно, да разбере как работи и да опита да намери пролука в защитата. Това прави самата система възможно най-сигурна, защото всеки може да я одитира и да предложи подобрения. Отдавна в света на киберсигурността се знае, че най-сигурна е тази врата, чиято ключалка се знае как работи, но не може да се отвори без правилния ключ.

Швейцарският фактор

Не е без значение и факторът “локация”. Сървърите и самата централа на ProtonMail се намират в Швейцария. С други думи нито американските, нито европейските власти имат юрисдикция над тях. За да бъдат накарани Proton да споделят ваша информация, те трябва да бъдат задължени от швейцарски съд. Което си е сложна работа. Разбира се, ако сте някакъв мафиот или терорист, сигурно се случва, нищо, че е сложно. Но ако сте такъв човек, едва ли четете този пост. В крайна сметка целта на този имейл е да гарантира личната неприкосновеност на гражданите. Повечето хора, които си ценим личното пространство, сме съвсем нормални граждани, които никога не са извършили някакво престъпление. Просто не искаме да ни следят. И ако вие сте такъв човек, то швейцарският фактор в ProtonMail гарантира неприкосновеността ви.

ProtonMail при комуникация с други имейл доставчици

Един от най-големите плюсове, поне за мен, когато става въпрос за ProtonMail, е възможността за криптиране на съобщения към външни доставчици. Да, вашите съобщения, които са между потребители на ProtonMail са напълно криптирани и обезопасени. Но все пак по-голямата част от хората ползват или Gmail, или Yahoo, или Yandex, или пък родни услуги тип Abv. И когато ти изпратиш безопасно съобщение от защитен сървър до някой в Gmail, то цялото усилие отива в коша. Но при ProtonMail това е заобиколено по много елегантен начин.

Как работи? Създаваш криптирано съобщение, пращаш го до някой с имейл в Gmail или където и да е и той може да прочете съобщението, само ако въведе декриптираща дума или израз. Тя от своя страна трябва обаче да е предварително уговорена между страните. Можете да размените “тайната дума” през Signal или по друг сигурен начин и така си гарантирате, че съобщението ви ще остане криптирано. То въобще не се отваря на сървъра на получателя, а директно отваря нов подпрозорец от ProtonMail.

Snapchat, но на мейл

Другият доста приличен елемент на този мейл доставчик е възможността съобщенията да се трият автоматично. Малко в стил Snapchat, само че в мейла. Можеш преди да изпратиш съобщение да зададеш да се изтрие автоматично след определен период от време. В случай, че изпращате съобщение до потребител с имейл при друг доставчик, тогава съобщението автоматично ще се изтрие след 28 дни. Общо-взето става дума за един изискан дигитален шредер за имейли. Хубава опция, особено ако споделят чувствителна лична информация (банкови карти и пр.)

И е безплатно

Точно така. Като за капак на цялата работа, ProtonMail е безплатна услуга. Да, има известни ограничения. Базовата (т.е. безплатната) услуга има само 500 мегабайта памет. Освен това можете да изпращате и получавате до 150 съобщения на ден. Като цяло обаче това е съвсем достатъчно за някой, който няма свръх-натоварен имейл трафик. Иначе срещу 4 евро на месец получавате 5 гигабайта, 1000 мейла на ден, както и възможност за ProtonMail на собствен домейн (ivan.ivanov@primerendomain.com).

В заключение

Тук идва място на звездичката (*) от заглавието. Истината е, че реално погледното всичко и всеки може да бъде хакнат. Просто е въпрос на ресурси, време и енергия. Просто при Протон е доста, ама доста по-трудно цялото това упражнение.

Ако вие сте обикновен човек като мен, който не върши незаконни неща, а просто желае да запази личното си пространство, тогава ProtonMail е за вас. Реално и много неприятни хора биха могли да си запазят неприкосновеността на съобщенията с този мейл. Всъщност системата им е наистина адски сигурна и сигурно има и такива, които я ползват. Вярно, ако се впрегне цялата  машина на някоя държава, тогава със сигурност ще намерят начин да пробият мейла ви. Но, шансовете са, че едва ли цяла държава (и то трябва да си е бая сериозна тая държава), ще върви по петите ви.

Така че аз бих могъл да препоръчам ProtonMail на всеки, който иска да защити личното си пространство. Системата е хубава, удобна, изключително добре защитена и безплатна е. Всеки си решава сам, но за мен това е нещо изключително сигурно и добро решение. Особено в ерата на хакерите, ransom-вирусите и какви ли не други щуротии, които ни заливат ежедневно. С времето ще става все по-важно човек да защити себе си, затова според мен подобен тип решения са важни и полезни.

Автор: Петър Кичашки

Споделете в социалните мрежи

1 коментар за “Всеки имейл може да се проследи? Е, този не може*

  1. Avatar
    Валката
    29.05.2018 at 10:55

    Добра статия, браво!

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *