Milyen lehetőségek vannak az e-mailezés biztonságossá tételéhez
2022. okt. 7. | Pataki Tamás
Az e-mail biztonságról szóló cikksorozatunk első részében az e-mail biztonságossá tételének szükségességével ismerkedhet meg. Tudta, hogy az e-mail olyan, mint egy képeslap, amelyet bárki elolvashat, akinek hozzáférése van hozzá? Ha nem hiszi, olvasson tovább; az e-mailekkel való visszaélések arányára vonatkozó statisztikák meg fogják győzni.
50 éves technológiát használunk a mindennapokban
Az e-mail elve, ahogy az interneté is már nagyon régi. Az első e-mailt 51 évvel ezelőtt küldték el és nehezen találnak hasonlóan "népszerű" és tartós technológiát (elég csak a tárcsázós internetre, a floppykra vagy VHS-re gondolnunk). Ha bővebben olvasna az e-mail történetéről, úgy javasoljuk a Wikipedia e-mail szócikkét.
Az e-mail még mindig a legszélesebb körben használt kommunikációs csatorna, mindenki számára elérhető és könnyen használható. 2022-ben azonban még mindig egy fél évszázados technológiát használunk (természetesen részleges fejlesztésekkel), amelynek szerzői biztosan nem látták előre, hogy a jelenlegi módon fogjuk használni. Például az "e-mail" kezdeti időszakában a felhasználók nem is ismerték a spam, azaz a levélszemét fogalmát! Ma már csodálkoznának, hogy HTML-ben küldünk e-maileket, nagyméretű mellékletekkel, és még titkosítani is tudjuk őket.
Az e-mail könnyű használhatóságért cserébe a szinte nulla biztonsággal fizetünk. Jó, ha észben tartjuk, hogy az e-mail egyáltalán nem foglalkozik a kommunikáló felek személyazonosságával, és azok bármilyen nevet megjeleníthetnek. Ezt a hiányosságot évtizedek óta próbálják kiküszöbölni.
Az e-mail olyan, mint egy képeslap, amelyet mindenki elolvashat.
Az e-mailt a megalkotói nem titkos információk közvetítésére szánták, és csak az S/MIME protokoll továbbfejlesztése és modernizálása tette lehetővé a biztonságát. A biztonság azonban továbbra is kiegészítő jellegű, és azt a felhasználónak kell kezelnie a e-mail kliense segítségével.
Az e-mail másik nagy problémája az információ biztonsága az átvitel során; ezt nem vették figyelembe a tervezés során, és maga a MIME internetes e-mail szabvány sem tudja kezelni. Az e-mailre úgy is gondolhat, mint egy képeslapra, amely bejárja a világot, és bárki, aki találkozik vele, elolvashatja. Az e-mail célja az információ továbbítása, nem pedig annak védelme és elrejtése a többi felhasználó elől.
Az e-maileket az interneten keresztül történő továbbítás során az e-mail üzenetet továbbító szerverek közötti titkosítással lehet megvédeni a nem kívánt olvasóktól. Azonban soha se lehet biztos abban, hogy a levelezőszerverek titkosított módon kommunikálnak egymással - csak feltételezhetjük, hogy így van. Az átviteli titkosítás azonban nem foglalkozik a címzett szerverén vagy az Ön számítógépén "heverő" üzenet biztonságával. Egy illetéktelen személy még mindig elolvashatja, mivel egyszerű szövegként van tárolva.
Ha titkosítani szeretne, akkor "vegye a saját kezébe" ennek biztosítását, és használja az S/MIME protokollt az e-mail üzenetek védelmére. Ez lehetővé teszi, hogy az e-maileket ne csak aláírják, hanem titkosítani is lehessen, és így a címzett titkai megmaradnak. A következő cikkünkből megtudhatja, hogyan teheti ezt meg.
Miért kell biztosítani az e-mail kommunikációt?
Bízom benne, hogy a cikkünk új megvilágításba helyezték a titkosítás szükségességét, kérdés hogy motiválják-e arra, hogy törődjön az e-mailjei biztonságával. Ha nem, akkor ajánlunk néhány statisztikát a nyilvánosan közzétett kutatásokból.
- Az e-mailek 99,9%-át a MIME protokollon keresztül küldik, amely nem teszi lehetővé a feladó hitelesítését, és nem garantálja, hogy az üzenetet nem módosították.
- A vállalatok 90%-a nem használja a rendelkezésre álló technológiákat (DKIM, SPF és DMARC) üzleti leveleinek védelmére.
- Az FBI szerint az e-mailes visszaélések által okozott kár az elmúlt öt évben elérte a 43 milliárd dollárt.
A magánlevelezés általában nem érzékeny természetű, és ritkán érdekli a támadókat. Számukra minden bizonnyal érdekesebb, ha megpróbálnak átverni valakit egy olyan cégnél, amelytől több pénzt tudnak megszerezni.
Egy nagyon gyakori és elterjedt forgatókönyv az, amikor a vállalat egyes alkalmazottait a kollégájuk vagy a felettesük nevében támadják meg. A kollégáktól érkező e-maileket a legtöbb felhasználó biztonságosnak tartja, a vezérigazgató e-mailjeiben található utasításait pedig félnek nem végrehajtani. Ezért a támadónak csak egy bizonyos ideig (általában több hónapig) kell figyelnie és olvasnia a vállalati e-maileket, majd megfelelő célzott támadást indítani.
Elképesztő, milyen könnyű hamis feladói névvel e-mailt küldeni. Amikor e-mailt küld, bármilyen nevet használhat feladónak feltüntetve azt, így ez a támadás triviális, és akár egy gyerek is képes azt elvégezni. A támadónak még csak hozzáféréssel sem kell rendelkeznie a vállalati domainhez/postafiókhoz. Az ügyfelek elfogadják az ilyen üzenetek feladójának beállított nevét és annak hitelességét, mivel nem az ő feladatuk ellenőrizni, hogy az üzenetet valóban a megadott feladó küldte-e.
A következő rész tartalmalmából
A sorozat következő részében megtudhatja, hogyan védheti meg Ön (vagy IT-adminisztrátorai) a levelezési címeket és a feladói tartományt a spam és az Ön nevét meghamisítani próbáló csalók ellen.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu