V minulom článku sme si ukázali, prečo nie je správne a bezpečné posielať dôležité údaje prostredníctvom Gmailu a jeho funkcie – Dôveryhodný e-mail. V tomto článku Vám ukážeme spôsoby, ktoré sú bezpečné, resp. bezpečnejšie a nemusíte sa obávať neskoršieho zneužitia údajov.
E-mail a SMS-textové správy sú v súčasnosti extrémne populárne služby na posielanie akýchkoľvek informácií, pretože ich použitie je veľmi jednoduché. Znamená však jednoduchosť aj bezpečnosť?
Prečo e-mail nepovažujeme za bezpečný komunikačný kanál?
Keď posielame e-mail nejakému príjemcovi, správa od nás prechádza serverom poskytovateľa našej emailovej služby, tam je uložená určitý čas a tento server posiela jej kópiu cez ďalšie servery až na server poskytovateľa e-mailovej služby príjemcu, kde je správa uložená a doručená príjemcovi. Toto je, samozrejme, veľmi zjednodušený proces, akým posielanie e-mailov prebieha. Problém, ktorý tu nastáva je, že naša správa nie je šifrovaná spôsobom end-to-end (zašifrovaná na strane odosielateľa a dešifrovaná na strane príjemcu) ale v momente, kedy sa správa nachádza na serveri prevádzkovateľa služby môže byť časť, prípadne celá správa dešifrovaná (za účelom napr. Spam-filtra, antivírusovej kontroly obsahu správy, či prílohy). Týmto spôsobom tak obsah e-mailu môže byť zneužitý na cielenú reklamu, môže mať k dátam prístup niekto nepovolaný, resp. sa k nim môže dostať hacker. Z tohto dôvodu sa všeobecne posielanie dôverných dát prostredníctvom e-mailu nepovažuje za bezpečné.
Prečo ani SMS nie sú bezpečný spôsob komunikácie?
Posielanie sms správ – či už textových alebo multimediálnych (známych tiež pod skratkou MMS) funguje na podobnom spôsobe, ako posielanie e-mailov. Telefón odosielateľa odošle správu, tá putuje cez vysielač operátora na jeho server, kde je uložená a poslaná ďalej príjemcovmu operátorovi, kde je opäť uložená a poslaná ďalej prostredníctvom vysielačov na telefón príjemcu. Niektorí operátori prenos správ medzi zariadením a vysielačom šifrujú, resp. šifrujú iba časť správy a zvyšok zostáva nešifrovaný. Vďaka tomu obsah správ môže byť prečítaný treťou osobou (hacker, vláda, neoprávnený zamestnanec a pod.). Taktiež, keďže správy sú ukladané na serveroch operátora, tieto správy nemusia byť odstránené zmazaním správy u príjemcu/odosielateľa ale môžu tam zotrvať dlhšie. Z týchto dôvodov sa posielanie dôverných dát prostredníctvom sms správ nepovažuje za bezpečné.
Ako teda posielať dôverné informácie bezpečne?
Základnou požiadavkou na to, aby boli dáta posielané bezpečne je, aby k nim mal prístup skutočne iba oprávnený prijímateľ. Alfou a omegou v tom prípade je použitie takého spôsobu, ktorý podporuje už spomínané, end-to-end šifrovanie. Pre prístup do danej komunikačnej služby je tiež dôležité pamätať na
- zabezpečenie silným heslom (veľké a malé písmená, čísla a špeciálne znaky a dĺžka minimálne 8 znakov)
- Odporúčame tiež zabezpečenie 2-faktorovou autentifikáciou (token, prípadne sms kód)
- Prípadne zabezpečenie biometriou (napr. odtlačok prsta)
Bezpečný Instant-messaging
V tejto kategórii nájdeme veľké množstvo zabezpečených komunikačných klientov, predstavíme Vám tie najpopulárnejšie a najdostupnejšie.
Apple’s iMessage. Ak používate zariadenie od Apple, je tou najjednoduchšou voľbou, ktorú možno použiť pre zabezpečenie komunikácie. Samozrejmosťou je end-to-end šifrovanie. Problém však môže nastať vtedy, keď používate iCloud Backup a nemáte povolené Messages v iCloud. Vtedy môže mať Apple prístup k vašim dátam (pretože vlastní pri zálohe privátny kľúč, ktorým ich je možné dešifrovať). Riešenia sú dve – Povoliť Messages v iCloude alebo vypnúť iCloud backup.
Apple’s FaceTime. Populárny nástroj opäť pre používateľov zariadení Apple. Podporuje end-to-end šifrované audio/video hovory.
Whatsapp. Multiplatformová aplikácia (Android/iOS, Windows, MacOS, Windows Phone), podporujúca end-to-end šifrovaný instant-messaging, audio/video hovory a tiež posielanie súborov. Je to jedna z najpopulárnejších komunikačných aplikácií vôbec.
Signal. Podobná aplikácia, ako Whatsapp. Takisto ide o multiplatformovú aplikáciu s end-to-end šifrovaním textových správ, audio/video hovorov, či posielaných súborov. Aplikácia je často odporúčaná expertmi zaoberajúcimi sa digitálnou bezpečnosťou.
Wire. Ďalšia bezpečná alternatíva komunikácie všeho druhu nesie názov Wire. Narozdiel od predošlých aplikácií Whatsapp či Signal pobeží aj na Linuxe, prípadne je možné na komunikáciu využiť nielen aplikáciu ale aj webový prehliadač.
Facebook Messenger. Tento komunikačný nástroj netreba asi nikomu bližšie predstavovať, v našich končinách patrí k najpopulárnejším. Ako je to však s jeho bezpečnosťou? Štandardná komunikácia nie je šifrovaná spôsobom end-to-end avšak je možné aktivovať režim označovaný ako “Secret Conversations”, v tom prípade je komunikácia šifrovaná end-to-end spôsobom využitím rovnakého protokolu, s akým pracuje aj aplikácia Signal.
Bezpečné zaslanie textu iným spôsobom
Pokiaľ z nejakého dôvodu nechcete používať nástroje na instant-messaging, môžete siahnuť hneď po niekoľkých webových aplikáciách, ktoré sa špecializujú na posielanie diskrétnych textových správ. Samozrejmosťou je opäť end-to-end šifrovanie. Predstavíme si najznámejšiu z nich
PrivateBin. Jedná sa o webovú aplikáciu, ktorá šifruje dáta na úrovni prehliadača 256-bitovou AES šifrou. Po napísaní textu jednoducho vygenerujete link, ktorý pošlete príjemcovi a na ktorom si text prečíta. Prečítanie odporúčame podmieniť zadaním hesla, ktoré vy ako odosielateľ nastavíte a príjemcovi odošlete prostredníctvom iného kanálu (napr. SMS, whatsapp a pod.). Schválne uvádzame aj SMS – keďže samotné heslo bez linku v prípade nešifrovanej správy nemá pre nikoho žiadny význam. Taktiež viete nastaviť akciu, čo sa má so správou vykonať po jej prečítaní (napríklad jej zmazanie, či exspiráciu po určitom čase).
Bezpečné posielanie súborov
Ak patríte k tej skupine ľudí, ktorí chcú iba bezpečne odoslať niekomu súbor a nechcú si inštalovať instant-messaging aplikáciu, prípadne riešiť, či príjemca používa rovnakú aplikáciu, môžete použiť niektorú z webových služieb, ktorá sa špecializuje na bezpečné zdieľanie súborov
Google Drive. Pokiaľ používate gmail (bezplatnú, či platenú verziu), môžete jednoducho zdieľať súbor, ktorý máte na svojom drive úložisku. Odporúčame však súbor zbaliť do ZIP archívu a zašifrovať heslom (napr. použiť program WinZip a možnosť 256-bitovej AES šifry). Príjemcovi potom zašlete link, na ktorom si súbor stiahne a prostredníctvom iného kanála (napr. SMS) zasa heslo. Príjemca môže ale nemusí mať gmailový účet. V prípade, ak ho nemá, súbor je dostupný cez tzv. Visitor mode. Táto služba neposkytuje nastavenie exspirácie linku, súbor je teda zdieľaný do doby, pokiaľ sa zdieľanie manuálne nezruší.
Gmail, dôveryhodný režim a zaheslovaný ZIP archív. Alternatívou je zaslanie súboru v ZIP-archíve, zaheslovanom 256-bitovou AES šifrou (už cez vyššie spomínaný WinZip). V kombinácii s použitím tzv. Dôveryhodného režimu (angl. Confidential mode) z dôvodu nastavenia dátumu exspirácie, o ktorom sme písali v tomto článku. Môžeme teda hovoriť o bezpečnom zaslaní súboru aj prostredníctvom e-mailu.
Firefox Send. Webová aplikácia, nezávislá na platforme, podporujúca end-to-end šifrovanie prenosu súborov s možnosťou nastavenia exspirácie súboru, či nastavenia hesla (odporúčame nastaviť oboje). Heslo, samozrejme, obdobne ako pri PrivateBin aplikácii zasielame prostredníctvom iného kanála.
Je možné zvýšiť zabezpečenie dát v e-maily?
Pokiaľ chceme bezpečne komunikovať prostredníctvom e-mailu, potrebujeme nájsť spôsob, aby komunikácia bola aj v tomto prípade šifrovaná v režime end-to-end. Ako na to?
Je niekoľko služieb, ktoré ponúkajú túto funkcionalitu. Z tých najpopulárnejších sú to Mailvelope a ProtonMail.
Mailvelope. Prostredníctvom rozšírenia prehliadača pridá OpenPGP šifrovanie do webmailovej služby (Gmail, Yahoo, či Outlook.com, mail.ru a ďalších). Postup je potom jednoduchý, vygenerujete si privátny a verejný kľúč pre svoju identitu (e-mailovú adresu) a keď budete chcieť niekomu poslať zašifrovanú správu (textovú, prípadne s prílohou), pridáte si do rozšírenia verejný kľúč príjemcu (ktorý získate od príjemcu, prípadne ho príjemca zverejní). Následne viete vytvoriť šifrovaný email (zašifrovaný verejným kľúčom príjemcu) a odoslať ho príjemcovi (ten ho dešifruje svojím privátnym kľúčom). Pozor – predmet správy nie je šifrovaný, preto doň nevpisujeme žiadne dôležité údaje.
Protonmail. Alternatíva k Mailvelope. Narozdiel od Mailvelope má podporu mobilných zariadení (iOS, Anrodid). Nemá však integráciu s ostatnými e-mailovými službami, keďže Protonmail je sám o sebe poskytovateľ e-mailových služieb.
Čo dodať na záver?
Ako máme možnosť vidieť, spôsobov ako bezpečne komunikovať a posielať dôverné dáta je neúrekom, každý z nich môže byť pre nás výhodnejší v inej situácii a podmienkach. Možností je, samozrejme, ďaleko viac ako sme vám ukázali. Dôležité je tiež dodať, že bezpečnosť samotných dát nie je ovplyvnená iba bezpečnosťou prenosu medzi odosielateľom a príjemcom ale aj bezpečnosťou prístupu k daným komunikačným kanálom. Preto odporúčame tiež:
- Heslá neukladať do webového prehliadača ale do niektorého z manažérov hesiel – napr. KeePass
- Využívať 2-faktorové overenie všade, kde je to možné (či už cez token alebo sms kód)
- Bezpečnosť závisí tiež od úrovne zabezpečenia zariadení príjemcu/odosielateľa (pravidelné aktualizácie, antivírus, firewall)
Potrebujete zabezpečiť Váš PC, či server? Vyberte si z našej ponuky bezpečnostných riešení od ESETu.