• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Конкурс Способы защиты электронной почты или "паранойя наше все"

BadBlackHat

BadBlackHat

Gold Team
05.02.2017
204
288
Всем гостям и друзьям форума доброго времени суток.
Способы защиты электронной почты или "паранойя наше все"


В данной статье хочу рассмотреть способы защиты электронной почты и различные "защищенные" сервисы электронной почты. Но хочу предупредить что электронная почта сама по себе не безопасна, так как
когда человек отправляет из Оксфорда через Gmail письмо на Yahoo! Mail другу в Сан-Франциско, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Gmail, на сервере Gmail, при передаче из Gmail на Yahoo!, на серверах Yahoo! Mail, при передаче на компьютер друга и, наконец, на компьютере получателя. Всем известно, что цепь крепка настолько, насколько крепко ее слабое звено, поэтому, даже если оба участника переписки сделают всё возможное, чтобы обезопасить свои компьютеры, им все равно придется полагаться на защиту сервисов Gmail и Yahoo!

У спецслужб я думаю имеется возможность получить информацию во всех семи точках)

Приведу ссылку на исследование популярных защищенных сервисов e-mail, исследование датировано 17.02.2017, поэтому на актуальность конечно не претендует, но для информации вполне сойдет.

Способы защиты электронной почты или "паранойя наше все"


Если выбирать лучший сервис, исходя из многих факторов, я бы назвал таковым ProtonMail. Данный выбор обусловлен тем что ProtonMail является исключительно веб-почтой. У него нет поддержки стандартных почтовых протоколов. Веб-интерфейс, естественно, работает через HTTPS. Внутри используется реализация OpenPGP на JavaScript. Также плюсом в копилку этого сервиса будет то что шифрование текста происходит непосредственно в браузере, и на сервер отправляется и там хранится только шифрованная копия. Авторы сервиса утверждают, что даже в судебном порядке им не удастся расшифровать сообщение.

Но следует учесть то что на данный момент нет какой то панацеи, то есть нельзя определить безупречный с технической точки зрения сервис.

Вместе с этим, ниже приведу список почтовых сервисов, так или иначе стремящихся сохранить безопасность ваших данных, чтобы вы смогли выбрать лучший для себя.

) - разработчики сервиса не хотят, чтобы их проект ассоциировался с браузером Tor, т.к он давно отделен от внутренней системы обмена сообщениями луковичной системы и ориентирован на самостоятельную работу в качестве защищенной почты.Этот сервис обеспечивает вас анонимной входящей почтой и большим количеством опций защиты и кодировки. Вы получаете 10 Мб свободной памяти и безопасность за счет использования SSL кодирования для связи и G/PGP кодирования для засекречивания сообщений.

- на бесплатной основе сервис предоставляет приемлемую для email защиту, возможность настраивать фильтр сообщений, выходить через Tor с удобным адресом, и др.

- Этот сервис шифрует ваши сообщения за счет использования 4096-битного ключа. А это значит, что прочесть сообщение не сможет никто, кроме вас. Для регистрации вам не нужно предоставлять какие-либо персональные данные или IP-адрес. Спам полностью блокируется

- в целом позволяет более тонко настраивать защиту, загружая публичные ключи согласно своим предпочтениям, доступны двух факторная аутентификация, временные адреса, возможность хранения защищенной базы паролей; информация об активности не транслируется, есть ограничение в 1000 сообщений.

- исходя из заявлений разработчиков, сервис также весьма привлекателен в смысле использующегося уровня шифрования данных(SSL,PGP,DSA) и предоставляемыми возможностями. Имеются 2 типа подписок (отличаются свободным местом и т.д.)

- Основными плюсами являются: открытый исходный код, используется симметричное шифрование (AES, RSA) для хеширования пароля и данных, есть приложения в google play и app store; пользователю предоставляется 1Гб памяти бесплатно, можно взаимодействовать со сторонними сервисами.

Рассуждать на эту тему можно бесконечно долго, но исходя из вышесказанного приведу несколько простых правил для повышения безопасности и сохранения конфиденциальности переписки.

1. Самым надежным способом обезопасить электронную почту является отказ от использования электронной почты шифрование. В нашем случае я бы рекомендовал PGP
(PGP ( Pretty Good Privacy) — , также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.) То есть простыми словами данный способ превращает вашу переписку в бессмысленный поток данных(за исключением отправителя и получателя).

Самым простым способом реализации такого подхода является Mozilla Thunderbird с расширением Enigmail
(Enigmail — дополнение, осуществляющее шифрование и расшифровку, предназначенное для таких приложений как и . Дополнение поддерживает расшифровку и подписание электронных писем с помощью открытых ключей ).

Но тут стоит учесть один момент что PGP принадлежит Symantec и нельзя исключать тот факт, что данная компания скорее всего сотрудничает с АНБ и алгоритм содержит backdoor или имеет мастер-ключ для расшифровки всех интересующих сообщений.

2. Если предыдущий вариант не устраивает, и вы хотите пользоваться известными почтовыми клиентами, нужно учитывать географическое расположение сервера. Я бы не стал доверять сервисам из US так как там конфиденциальности переписки уделяется минимум внимания. Исходя из лицензионного соглашения gmail по истечении 180 дней ваши электронные письма на серверах американских почтовых провайдеров собственностью США. Также следует пользоваться провайдерами с нулевым разглашением информации, это значит, что даже у самого оператора почты не должно быть доступа к исходному тексту письма.

3. Если учесть 2 предыдущих пункта, самым логичным способом является разворачивание собственного почтового сервера. Данный способ имеет очевидный плюс, в случае заинтересованности содержимым почты, злоумышленнику придется создавать конкретный backdoor, что при соблюдении определенных принципов и методик будет очень сложно. Вариантов реализации тут масса, но следует учитывать, что реализация потребует вычислительных мощностей и времени на администрирование.

Все вышесказанное говорит только о том, что необходимо более тщательно следить за анонимностью и безопасностью в сети, тем более в наш век бурного развития методик защиты и еще более бурного развития методик и векторов атак на информацию

P.S.



Бюджет данной программы 20 млн. долларов США в год
 
Последнее редактирование:
Axon

Axon

Well-known member
04.01.2017
70
77
Насчет ProtonMail существует много положительных отзывов, однако, также многие утверждают, что смущает один момент, а именно включение Javascript, без которого протон отказывается работать
 
  • Нравится
Реакции: yarr и z3RoTooL
BadBlackHat

BadBlackHat

Gold Team
05.02.2017
204
288
ProtonMail является исключительно веб-почтой. У нее нет поддрежки стандартных протоколов imap/pop3 нет. Веб-интерфейс, естественно, работает через HTTPS. Внутри используется реализация OpenPGP на JavaScript.
 
  • Нравится
Реакции: Axon
Axon

Axon

Well-known member
04.01.2017
70
77
ProtonMail является исключительно веб-почтой. У нее нет поддрежки стандартных протоколов imap/pop3 нет. Веб-интерфейс, естественно, работает через HTTPS. Внутри используется реализация OpenPGP на JavaScript.
Но истинного параноика с шапочкой из фольги ProtonMail не удовлетворит)))
 
BadBlackHat

BadBlackHat

Gold Team
05.02.2017
204
288
Ну поэтому в первом пункте есть зачеркнутый текст который предназначен именно для них)
 
yarr

yarr

Red Team
05.10.2017
296
581
ProtonMail интересен системой из 2 паролей. 1 для аутентификации(доступа к аккаунту), второй шифрует ящик. Причем 2 пароль не отправляется за пределы компьютера пользователя и используется в процессе генерации ключа для шифрования в последующем. Второй пароль не восстановить. Даже если просто сбросить 1 пароль (в случае 1 парольной аутентиф. можно сбросить пароль с помощью 2 почты, но содержимое ящика будет потеряно).
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Да зашифруйте текст письма в gpg4usb и отправляйте хоть через mail.ru
Пусть перехватывают :) только что эти дурачки с ним делать будут
Из знатных почтовиков стоит добавить самый проверенный riseup.net
 
Последнее редактирование:
valerian38

valerian38

Grey Team
20.07.2016
655
741
Да зашифруйте текст письма в gpg4usb и отправляйте хоть через mail.ru
Пусть перехватывают :) только что эти дурачки с ним делать будут
А ещё можно переписываться на языке который знают только два человека (или даже один человек, если он переписывается сам с собой :)). Такую переписку точно никто не расшифрует.
 
  • Нравится
Реакции: Vertigo и Kalina
BadBlackHat

BadBlackHat

Gold Team
05.02.2017
204
288
В детстве помню был кирпичный язык))
 
O

Ow11

ProtonMail интересен системой из 2 паролей. 1 для аутентификации(доступа к аккаунту), второй шифрует ящик. Причем 2 пароль не отправляется за пределы компьютера пользователя и используется в процессе генерации ключа для шифрования в последующем. Второй пароль не восстановить. Даже если просто сбросить 1 пароль (в случае 1 парольной аутентиф. можно сбросить пароль с помощью 2 почты, но содержимое ящика будет потеряно).
Настоятельное требование оригинальной APK ProtonMail иметь сервисы Google Play на устройстве, вызывает подозрение, правда пропустив это предупреждение, продолжает работать.
 
yarr

yarr

Red Team
05.10.2017
296
581
Настоятельное требование оригинальной APK ProtonMail иметь сервисы Google Play на устройстве, вызывает подозрение, правда пропустив это предупреждение, продолжает работать.
Это нормально, я вообще GAPPS не использую, онли 4pda. Кстати я не ставил еще мобильный клиент.
 
  • Нравится
Реакции: n01n02h
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
protonmail использует кроме перечисленного выше JS o_O делайте выводы сами
 
O

Ow11

Это нормально, я вообще GAPPS не использую, онли 4pda. Кстати я не ставил еще мобильный клиент.
Также использую 4pda, никаких GAPPS принципиально

protonmail использует кроме перечисленного выше JS o_O делайте выводы сами
Без JS на современных девайсах просто никак.

Знаю одного разработчика в ProtonMail лично, глаза горят, идейный человек. Пока ничего плохого, кроме JS у них нет.
 
  • Нравится
Реакции: yarr
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб