Poczta elektroniczna jest jednym z najstarszych mechanizmów komunikacji na komputerach w sieci: Ray Tomlinson wynalazł ją w obecnej formie w 1972 roku. Począwszy od prostych wiadomości tekstowych wymienianych między profesjonalistami kolegami, e-mail jest obecnie głównym rywalem, a dominującym kanałem komunikacji jest telefon. Każdego dnia wysyłanych jest ponad 30 miliardów e-maili – według niektórych szacunków aż 95% to spam, ale większość ekspertów zgadza się, że co najmniej 40% to spam. Bezpłatna poczta internetowa odniosła ogromny sukces; takie usługi obejmują Hotmail (obecnie, technicznie, Windows Live Hotmail), Gmail, Yahoo! Mail i Hushmail. Wiadomości e-mail są używane w prawie każdym możliwym celu: ogłaszaniu narodzin, organizowaniu podróży, wysyłaniu poufnych dokumentów, wysyłaniu alertów Google, wystawianiu rachunków, przeprowadzaniu badań… lista jest tak długa, jak Twoja wyobraźnia. Wszechobecność poczty elektronicznej doprowadziła również do jej swobodnego używania. Najnowsze reguły e-discovery zaskoczyły wielu użytkowników, którzy zakładają, że Gmail odniósł szczególne sukcesy od jego powstania w 2004 roku. Przez pierwsze trzy lata swojego istnienia Gmail był dostępny tylko na zaproszenie. W tym okresie, szczególnie w pierwszym roku, adres Gmail był oznaką elity społeczności technologicznej. Przypominam sobie liczne dyskusje na listach mailingowych hakerów z członkami aktywnie poszukującymi zaproszenia. Zaskoczyło mnie to, ponieważ zaproszenia zapewniają Google natychmiastowy link między danym użytkownikiem a jego siecią społecznościową; Gmail wymaga również zarejestrowanego konta użytkownika, które ułatwia łączenie e-maili każdego użytkownika z jego wyszukiwaniami i innymi działaniami online. Znajomość sieci społecznościowych, którą można łatwo uzyskać z zapisów komunikacji, jest niezwykle potężna. Na przykład użytkownicy pokładają duże zaufanie w wiadomościach e-mail, które rzekomo pochodzą od znajomych, współpracowników i członków rodziny. W przypadku poczty elektronicznej tylko niewielki procent użytkowników (od 2% do 20%) klika łącza w wiadomościach spamowych wysyłanych z losowych adresów e-mail. Naukowcy z MIT i Indiana University odkryli, że 16% studentów, których testowali, kliknęło takie linki (w tym ujawniło swój identyfikator użytkownika i hasło do niezaufanego serwera); Jednak kiedy e-mail rzekomo pochodzi od znajomego, 72% uczestników tak zrobiło. Gmail i inne usługi poczty elektronicznej mają dostęp do szczegółowych informacji o swoich użytkownikach w sieciach społecznościowych. Chociaż nie wierzę, że Google w najbliższym czasie będzie wysyłać spam, powinniśmy czuć się niekomfortowo, przekazując osobom trzecim cenne informacje z sieci społecznościowych. Google nie dostarcza statystyk dotyczących liczby użytkowników Gmaila, ale wiele szacunków podaje je w zakresie 50 milionów kont. [9] System jest popularny, ponieważ jest darmowy i potężny. W chwili pisania tego tekstu Gmail zapewnia filtrowanie spamu, wyszukiwanie e-maili, zintegrowany czat z wykorzystaniem sieci Google Talk, dostęp przez telefony komórkowe, możliwość oznaczania wiadomości etykietami i ponad 6 GB darmowej pamięci „więc nigdy nie będziesz musiał usuń kolejną wiadomość ”. Gmail został udostępniony w wielu krajach na całym świecie, w tym w Europie, Afryce, Japonii, Australii i Rosji, zanim stał się dostępny globalnie w 2007 roku.
Ostrzeżenie
Popularność danej usługi zwiększa szansę, że stanie się ona celem dla atakujących. Na przykład twórca G-Archiver (www.garchiver.com/), narzędzia zaprojektowanego do tworzenia kopii zapasowych kont Gmail na lokalnym komputerze użytkownika, rzekomo zebrał kopie danych logowania do konta użytkownika Gmail.
Te same zalety budzą również obawy dotyczące bezpieczeństwa i prywatności. Gmail jest nominalnie darmowy, ale jest dotowany za pomocą reklam tekstowych i powiązanych linków, które są stosunkowo dyskretne dla użytkowników. Analizując e-maile i wstawiając reklamy kontekstowe, Google odkrył opłacalny model biznesowy; oznacza to jednak również, że komputer przeczytał wiadomość e-mail i zrozumiał ją na tyle dobrze, aby wyświetlać powiązane reklamy. Na przykład Google może zapobiegać wyświetlaniu reklam „obok wiadomości o katastrofalnych wydarzeniach lub tragediach”, co stanowi dowód na to, że mogą wykryć takie zdarzenia. Mając dostęp do 50 milionów użytkowników i miliardów wiadomości e-mail, szczególnie niepokojąca jest możliwość maszynowego przetwarzania wiadomości e-mail w celu uzyskania treści. Tylko dlatego, że Google ma określoną zasadę, że ludzie nie czytają wiadomości Gmaila w celu kierowania reklam, nie oznacza to, że nie mają takiej możliwości. Dokument dotyczący prywatności Gmaila zawiera następujące przydatne informacje dotyczące poczty e-mail: Wszystkie usługi poczty e-mail skanują Twoją pocztę e-mail. Robią to rutynowo, aby zapewnić takie popularne funkcje, jak filtrowanie spamu, wykrywanie wirusów, wyszukiwanie, sprawdzanie pisowni, przekazywanie dalej, automatyczne odpowiadanie, oznaczanie pilnych wiadomości, konwertowanie przychodzących wiadomości e-mail na wiadomości tekstowe w telefonie komórkowym, automatyczne zapisywanie i sortowanie w folderach, konwersja tekstu Adresy URL do klikalnych linków i czytanie wiadomości niewidomym. W dokumencie stwierdza się, że funkcje te są powszechnie akceptowane, zaufane i używane codziennie przez setki milionów ludzi. Nie mogę się z tym zgodzić – fakt, że taka działalność jest powszechnie akceptowana i cieszy się zaufaniem, był impulsem do napisania tej książki. kontrola nad tym, do kogo adresaci e-maili przekazują wiadomości e-mail. Przekierowanie poczty e-mail na konta Gmail zwiększa dostęp Google do większej części globalnego ruchu pocztowego. Kluczową ideą jest to, że wiele e-maili w końcu dotrze do serwera kontrolowanego przez Google, gdzie będą rejestrowane i przechowywane. W 2006 roku firma Google zaczęła oferować usługę „Gmail dla Twojej domeny”, która umożliwia organizacjom hostowanie poczty e-mail za pomocą usługi Google. Ta usługa umożliwia firmom korzystanie z ich domen e-mail, takich jak ceo@company.com, co maskuje fakt, że miejscem docelowym jest Gmail, więc nadawcy prawdopodobnie nie będą świadomi, że ich wiadomości oraz wiadomości całej firmy są prawdopodobnie widoczne googlować. Dodatkowym ryzykiem związanym z outsourcingiem firmowej poczty e-mail do Google jest to, że zerwanie połączenia internetowego powoduje awarię całej usługi. Zwykle lokalnie hostowana poczta e-mail (na przykład w kampusie uniwersyteckim) nadal działałaby. Poczta e-mail hostowana lokalnie zapewnia administratorom systemu większą kontrolę nad tworzeniem kopii zapasowych i rejestrowaniem. Należy również wziąć pod uwagę inne ważne kwestie: poufne wewnętrzne wiadomości e-mail będą przesyłane przez serwery Google, a usługa może bardzo szybko zmienić się z bezpłatnej na zaporową, powodując zakłócenia. Najważniejsze jest to, że każda organizacja, która rozważa skorzystanie z takiej usługi, musi rozważyć te obawy w stosunku do kosztów prowadzenia usługi wewnętrznie. Gmail zapewnia również łatwy w użyciu mechanizm umożliwiający użytkownikom oznaczanie, wyszukiwanie i filtrowanie poczty e-mail. Takie narzędzia ułatwiają lokalizowanie określonych wiadomości. Jednak informacje oznaczone etykietami umożliwiają skuteczniejsze przetwarzanie danych e-mailem. Na przykład na rysunku ten użytkownik oznaczył wiadomości e-mail etykietami, takimi jak Praca, Rodzina, Przyjaciele i Urlop, co pozwala na bardziej inteligentną analizę maszyny w skali całego systemu . Generalnie poczta e-mail napotyka wiele problemów związanych z bezpieczeństwem. Użytkownicy konfigurują wiadomości poza biurem, aby automatycznie odpowiadały na przychodzące wiadomości e-mail, gdy są w podróży lub na wakacjach. Zwykle do danej strony wysyłany jest tylko jeden taki komunikat, zawierający jedynie ograniczone informacje. Jednak firma zajmująca się hostingiem poczty e-mail ma znacznie więcej szczegółów. Od razu wie, kiedy użytkownik włącza tę funkcję, przypuszczalnie kiedy odchodzi, a także jest świadomy tego, kiedy użytkownik powraca i wyłącza usługę. Jeśli użytkownik sprawdza pocztę w międzyczasie, firma zna prawdopodobne cele podróży użytkownika. Usługi poczty e-mail usuwają również niektóre załączniki z przychodzących wiadomości e-mail, głównie ze względów bezpieczeństwa, lub odsyłają wiadomości e-mail, jeśli zawierają nieobsługiwane formaty lub zbyt duże pliki. Obie te okoliczności powodują ujawnienie całej wiadomości e-mail i jej załączników adresatowi poczty elektronicznej; nawet jeśli wiadomość e-mail zostanie następnie odsunięta lub pozbawiona załączników, dane nadal mogą być przechwytywane i rejestrowane. Wielu użytkowników korzysta z bezpłatnych usług e-mail jako tymczasowych lub jednorazowych adresów e-mail, być może ze względu na wrażliwe komunikaty, które zawierają. Dostawca poczty online może monitorować aktywność na koncie i, jak twierdzę, wykrywać „interesujące” konta e-mail z morza kont utworzonych do nieciekawych zastosowań. Kiedy mówię „ciekawe”, mam na myśli użyte w sposób, którego nie chcielibyście, żeby było to publicznie znane. Ciekawym wariantem jest wykorzystanie usługi e-mail jako martwego punktu. Na przykład terroryści używali usługi Hotmail do przechowywania projektów wiadomości e-mail, które mogą być następnie przeczytane przez dowolną liczbę zainteresowanych stron. E-mail w formacie HTML również został wykorzystany przy użyciu błędów internetowych. Błędy sieciowe to grafika osadzona w wiadomości e-mail w formacie HTML, ale obsługiwana przez inny komputer zaprojektowany do rejestrowania adresu IP odbiorcy, gdy użytkownik przegląda jego pocztę. Usługi poczty elektronicznej online nie są odporne na luki w zabezpieczeniach. Niedawny atak na Yahoo! Usługa poczty elektronicznej wykorzystywała JavaScript do infekowania komputera użytkownika poprzez zwykłe przeglądanie wiadomości e-mail. Gmail miał podobną lukę, która umożliwiała atakującemu przekazywanie wiadomości e-mail na dowolne konto e-mail, gdy zalogowany użytkownik Gmaila kliknął złośliwy link. Okazało się również, że Gmail jest podatny na atak, w którym podsłuchiwacz sieci bezprzewodowej może węszyć sesyjne pliki cookie i uzyskać dostęp do konta Gmail celu. Duże ilości pamięci online stanowią kolejne ryzyko. Gmail oferuje obecnie około 6 GB. Zachęca to użytkowników, aby nigdy nie usuwali wiadomości – poza tym, że „usuwanie” wiadomości może być kiedykolwiek zagwarantowane podczas korzystania z usługi poczty elektronicznej. Co ważniejsze, duże ilości pamięci masowej zachęcają użytkowników do korzystania z usługi w celu przechowywania dokumentów, których normalnie nie przechowywaliby w Internecie, co zwiększa ujawnienie. Polityki korporacyjne i prawo zapewniają pewną ochronę w zakresie prawa do prywatności przechowywanej komunikacji elektronicznej, ale pragmatyczni czytelnicy powinni założyć, że wezwanie do sądu dające dostęp do przechowywanych dokumentów jest realną możliwością. Spam jest plagą Internetu, a firmy internetowe zapewniają skuteczne mechanizmy wykrywania i filtrowania spamu. Na przykład kiedyś otrzymałem wiadomość e-mail ze spamem, od kogoś podającego się za „Barbarę Blexler”. Możemy zwrócić uwagę na kilka ważnych rzeczy dotyczących tej wiadomości e-mail SPAM i ogólnie wiadomości e-mail. W tym przypadku adres zwrotny to Barbara_Blexler@noipmail.com. Noipmail.com to bezpłatna anonimowa usługa poczty e-mail, która celowo usuwa adres IP użytkownika z nagłówka; wiele innych legalnych usług e-mail może zawierać adres IP użytkownika w nagłówku. Co ważniejsze, filtrowanie spamu oznacza maszynowe przetwarzanie zawartości wiadomości e-mail – innymi słowy, maszyna czyta każdą wiadomość e-mail w poszukiwaniu określonej treści. Maszynowe przetwarzanie wiadomości e-mail jest powszechną praktyką stosowaną również do tworzenia reklam kontekstowych i wykrywania złośliwych załączników. Możliwość automatycznego przetwarzania treści wiadomości e-mail stanowi poważne zagrożenie bezpieczeństwa można nadużyć. Błędy typograficzne stanowią kolejne poważne zagrożenie wyciekiem. Właściciel danej domeny może przechwytywać wszystkie wysłane do niego e-maile. Atakujący wykorzystują ten fakt, kupując typowe błędy ortograficzne i odmiany popularnych nazw domen oraz zbierając błędnie wpisane wiadomości e-mail. Podobnie, nawet jeśli nie jest możliwe uzyskanie odpowiedniej nazwy domeny – powiedzmy dla dużej usługi poczty e-mail – osoba atakująca może utworzyć adres e-mail w tej samej usłudze (tj. Z tym samym składnikiem domeny) i typowy wariant lub błędna pisownia składnika lokalnego (np. jimmy@fictitiousdomain.com vs. jimmi@fictitiousdomain.com). Ciekawymi wariantami błędów typograficznych są listy mailingowe i aliasy grupowe. Kiedyś pracowałem w organizacji, w której para pracowników dzieliła się niekolorowymi dowcipami przez e-mail. Jedna z tych osób przypadkowo wpisała tylko częściowy adres e-mail, który okazał się aliasem grupowym dla około jednej trzeciej organizacji. Następnie wysłał e-mail do tysięcy swoich współpracowników, co było ewidentnie złym posunięciem w karierze. Podobne problemy pojawiają się, gdy klienty pocztowe automatycznie uzupełniają adresy e-mail na podstawie nazw z książki adresowej użytkownika. W ten sposób otrzymałem wiele przypadkowych e-maili i podejrzewam, że Ty też. Podobny problem występuje, gdy użytkownik przypadkowo kliknie opcję Odpowiedz wszystkim zamiast po prostu Odpowiedz. Ponownie, niewłaściwe osoby otrzymują wiadomość, często z żenującymi konsekwencjami. Aby rozwiązać te problemy, naukowcy z MIT opracowali innowacyjną technikę, która przeszukuje Google Images i wyświetla zdjęcia ludzi w wiadomości e-mail jest wysyłana do klienta poczty e-mail użytkownika. Chociaż ich system jest doskonałą techniką zapobiegania wysyłaniu e-maili do niezamierzonych miejsc docelowych, ma niefortunny efekt uboczny polegający na powiadamianiu Google o odbiorcach e-maili użytkownika. Aby podsumować problemy z ujawnianiem informacji dotyczące Gmaila i innych usług online, przyjrzyjmy się niektórym tekstom marketingowym Gmaila. Weź pod uwagę uprawnienia, które przekazujesz dostawcom usług poczty elektronicznej. Złośliwy dostawca poczty e-mail może wykonać następujące czynności:
* Skopiuj i przekaż dowolną wiadomość e-mail do dowolnego odbiorcy
* Twórz filtry, aby blokować (lub zezwalać) na e-maile od dowolnego nadawcy [36]
* Zmień treść wiadomości e-mail, nawet po przyjeździe
* Dodaj złośliwe załączniki do wiadomości przychodzących lub wychodzących
* Usuń wszystkie wiadomości e-mail
* Wyślij fałszywą wiadomość e-mail, być może naśladując Twój styl pisania
* Pozwól stronom trzecim na czytanie lub modyfikowanie dowolnej wiadomości
* Utrzymuj nieujawnione archiwa wiadomości
Praktycznie każda interakcja online dowolnej wielkości generuje wiadomość e-mail , otwierając możliwość tworzenia precyzyjnych sieci społecznościowych, które można powiązać z kontami Google, plikami cookie, adresami e-mail, adresami IP, a nawet treścią samych wiadomości. Te sieci i przepływy informacji można następnie łączyć z innymi działaniami online, takimi jak wyszukiwania, co prowadzi do oszałamiającego zagrożenia.