Perché gli esperti di sicurezza come Snowden utilizzano servizi di posta elettronica come Lavabit e Hushmail piuttosto che e-mail ospitate autonomamente?

57

Perché qualcuno come Edward Snowden può contare su servizi di terze parti come Lavabit o Hushmail per ospitare la sua email?

Voglio dire, è molto facile configurare un server di posta elettronica auto-ospitato. Cosa ti serve:

  • Noleggio VPS (ancora meglio: server di casa) & Dominio (può richiedere fino a 2 giorni, a chi importa ...)
  • Imposta il firewall (20 minuti)
  • SSH sicuro (10 minuti)
  • Installa e configura Postfix & Dovecot (1 ora)
  • DKIM, SPF, DMARC, DNSSEC, DANE & co se vuoi. (1 ora - 2 ore)
  • Proteggi tutto di nuovo e prova (30 minuti - 2 ore)

Non è una tale configurazione "più sicura" che fare affidamento su un servizio di posta elettronica di terzi?
Perché così tanti esperti di sicurezza (vale a dire criptologi e co.) Non ospitano la propria email?

    
posta Florian Schneider 02.07.2015 - 23:47
fonte

6 risposte

73

Rent VPS (even better: home server) & Domain (May take up to 2 days, who cares..)

Quanti ISP non forniscono l'accesso alle forze dell'ordine ai loro siti e ai sistemi che forniscono ai loro clienti?

E con un server domestico: molti siti negano esplicitamente l'accesso al loro server di posta da un indirizzo IP "di casa" (sono noti blocchi di indirizzi), al fine di combattere lo spam. E anche se lo gestisci: sei a casa tutto il giorno o sei sicuro di scoprire qualche tipo di irruzione? Si prega di notare che non si va contro il ladro medio.

Secure everything again and test (30 minutes - 2 hours)

Ciò che hai descritto potrebbe aiutare a proteggere la tua privacy contro Google ecc. (almeno le e-mail). Contro l'NSA probabilmente non è sufficiente. Se vogliono davvero possederti, possono inviare email di phishing intelligenti con malware, utilizzare il malvertising per attaccarti, semplicemente irrompere nella tua casa e molto altro ancora.

Why do so many security experts (i.e. cryptologists & co.) not host their own email?

La sicurezza è un campo molto vasto e sono sicuro che molti esperti di crittografia probabilmente non hanno idea di come impostare e proteggere correttamente un server di posta. Anche molti amministratori di posta non hanno idea di una crittografia più profonda. Sono tutti esperti nel proprio campo e non sono in grado di sapere tutto. Ciò significa che imparano a essere esperti in un altro campo e hanno meno tempo per il proprio campo, oppure devono trovare un modo per esternalizzare tali compiti a qualcuno di cui si fidano.

DKIM, SPF, DMARC, DNSSEC, DANE & co if you want. (1 hour - 2 hours)

Questi non sono sicuramente facili. Devi trovare prima qualcuno che ti permette di fare DNSSec con il tuo dominio. La maggior parte degli ISP o persino i provider DNS dedicati non lo fanno. E per avere DKIM, SPF o DANE è necessario utilizzare il proprio server DNS con tutti i problemi (sono necessari primari e secondari per la disponibilità, ecc.) O trovare di nuovo un provider che consente di impostare tutti questi record. Questi brevi tempi che darai non sono assolutamente realistici per qualcuno che lo sta facendo per la prima volta.

    
risposta data 02.07.2015 - 23:54
fonte
48

Come qualcuno che ha fatto questo per un paio d'anni, posso dirti che non è così semplice come lo stai descrivendo e non offre le proprietà di sicurezza che desideri.

In breve:

Why do so many security experts (i.e. cryptologists & co.) not host their own email?

Poiché ci vuole un'enorme quantità di tempo e conoscenze specializzate per farlo correttamente , non è molto più sicuro in generale (in realtà è less sicuro in alcune circostanze ) e ci sono soluzioni migliori e più facilmente disponibili

Quanto tempo ti serve?

Le tue stime iniziali sono molto ottimistiche, anche supponendo che tu sia un amministratore di sistema esperto con molta esperienza sull'attività.

Per darti un'idea veloce, un libro popolare che copre uno dei più popolari MTA s comprende circa 500 pagine .

Questo è solo per il MTA. Nel mondo reale avrai anche bisogno di un MDA con POP / IMAP, filtro anti-spam e probabilmente un server di autenticazione.

Stai anche trascurando lo sforzo continuo necessario a mantenere il sistema sano e sicuro :

  • Monitoraggio dello stato della macchina e del servizio (esistono aggiornamenti del sistema operativo? Il servizio è in esecuzione e risponde? Si sta esaurendo lo spazio su disco?)

  • Monitoraggio dei registri, diagnosi degli errori (esistono attacchi DoS in corso? c'è qualcuno che impone l'autenticazione SMTP? Perché gli accessi non funzionano?)

  • Monitoraggio relativo alla sicurezza ( tripwire ti ha avvisato a causa di un aggiornamento del sistema operativo o di un'intrusione? Ci sono stati avvisi di sicurezza del tuo sistema operativo questa settimana? Che dire di tutti gli altri software in esecuzione sulla macchina?)

A meno che tu non sia felice di avere i tuoi messaggi gravemente ritardati di tanto in tanto (o persi, nel peggiore dei casi), ci sono molte altre cose che sono anche necessarie per fornire in modo affidabile (backup MX, failover e la ridondanza dello storage viene in mente). Un singolo server di casa probabilmente non sarà sufficiente se la tua connessione cade e devi rispondere urgentemente a una email.

Quanto può essere sicuro nel migliore dei casi?

Non hai specificato il tuo modello di thread in modo molto chiaro, ma sembra che tu sia interessato ad un attore sponsorizzato dallo stato che è interessato ad accedere alla tua e-mail in particolare . La configurazione che hai descritto non lo impedirà. Ad esempio, c'è una strong evidenza che l'insetto Heartbleed è stato ampiamente utilizzato prima della sua scoperta pubblica . Se tu fossi un obiettivo sufficientemente interessante su un server di posta elettronica, compromettere sarebbe stato nessun problema . Un avversario sufficientemente ben finanziato avrà la capacità di compromettere qualsiasi sistema di sicurezza pratico che puoi escogitare.

Il self-hosting ha anche il grave svantaggio di esporre molte più informazioni su di te , se il tuo sistema ha pochi utenti. Il tuo ISP può dire banalmente quando ricevi o invii un'email e con quale fornitore comunichi.

Ovviamente, questo non vuol dire che il modello auto-ospitato sia inutile contro i altri modelli di minacce. Impedisce la divulgazione della tua e-mail al tuo fornitore di servizi e ti aiuta a rimanere al sicuro se si verifica una violenta violazione della sicurezza, poiché si tratta di un sistema isolato. Inoltre previene la coercizione silenziosa (legale o meno) del fornitore. Alcuni di questi problemi possono essere in parte mitigati utilizzando un fornitore competente in un paese con forti leggi sulla protezione dei dati.

Ci sono alternative migliori?

Se hai bisogno di sicurezza con questo modello di minaccia in mente, ci sono soluzioni migliori e più semplici, come ha affermato Snowden:

Properly implemented strong crypto systems are one of the few things that you can rely on.

PGP non ha rivali nei confronti di questo particolare modello di minaccia , poiché non è necessario fidati di qualsiasi server o fornitore.

Rispetto al mantenimento di un server di posta elettronica, PGP è in realtà abbastanza semplice da usare e da capire.

    
risposta data 03.07.2015 - 13:35
fonte
18

Quando si inviano e-mail nello scenario, si annuncia l'IP del proprio server e-mail privato. Ogni destinatario e ogni parte interessata ora sa che si utilizza il proprio server di posta elettronica e dove si trova.

Ciò si traduce in una mappatura uno-a-uno di questo server e la tua connessione ad esso. Se un'agenzia governativa vuole rintracciarti, tutto ciò che devono fare è cercare il traffico verso il tuo server, e sanno dove sei o quali servizi usi per cercare di nascondere la tua posizione. Oppure, come alternativa, l'agenzia governativa potrebbe semplicemente chiedere alla tua società di hosting di server di sospendere il tuo server e attendere che tu chiami il supporto.

Per non parlare dei problemi amministrativi. Tempi di inattività, spam, mal di testa del traffico, ridondanza, patch server, analisi dei log, tutti questi tipi di cose sono gestiti da un team di professionisti dedicati alla sicurezza 24/7 quando si utilizza un servizio di posta elettronica.

    
risposta data 03.07.2015 - 00:23
fonte
11

Si parla di qualcuno che non ha mai eseguito la propria email.

Non parli di una soluzione antispam in entrata. DKIM e le tecniche correlate sono per autenticare la tua posta come non spam e renderla disponibile. (La deliverability è la principale barriera contro l'hosting domestico: la maggior parte dei provider blocca la porta 25 e molti destinatari della posta bloccano tutti gli intervalli noti come ADSL). Ma se non si dispone di antispam in entrata, si annegherà nello spam e nessuna delle soluzioni esistenti è davvero "chiavi in mano".

I tuoi tempi sono le migliori per un amministratore di sistema esperto che ha creato tutti quei pezzi prima. Per qualcuno che non lo ha potrebbe richiedere molto più tempo. Devi tollerare il rischio di perdere la posta in silenzio finché non sei sicuro che tutto funzioni.

E i tuoi tempi sono unici. È necessario tenere traccia delle versioni e degli avvisi per tutti quei pezzi ed essere pronti a rilasciare tutto non appena viene annunciata una vulnerabilità. Ovviamente se una vulnerabilità chiave viene annunciata mentre dormi, potresti essere compromessa prima di svegliarti.

    
risposta data 03.07.2015 - 10:40
fonte
10

Risposta breve, non è la soluzione più semplice.

" it's very easy to set up a self-hosted email server"

Ti sbagli, il resto è sbagliato perché è basato su questo. Presumo che tu suggerisca che è facile impostare un server sicuro (altrimenti, qual è lo scopo di tutto questo?). La tua lista di quello che ti serve è lunga, e nemmeno così è completa.

È molto più facile inviare e ricevere e-mail crittografate e firmate e non preoccuparti della trasmissione. Potresti anche fare affidamento su gmail o hotmail per trasmettere i messaggi crittografati.

    
risposta data 03.07.2015 - 18:34
fonte
5

Non sono un esperto, ma poiché nessuno ha ancora detto la parola magica "crittografia", scriverò questa risposta.

Mi sembra che quello che vuoi sia impedire alla NSA di mettere le mani sui tuoi dati di comunicazione, ma stai guardando nel modo sbagliato, devi fidarti solo dell'algoritmo di crittografia che rende i dati sicuri e privati e nient'altro, dovresti mirare a fare in modo che anche se la NSA è in realtà il tuo provider di posta elettronica, le tue e-mail sono ancora private e non possono essere lette.

L'unico modo è ovviamente, con la crittografia ... finché le chiavi sono sicure (ad esempio nella tua testa) e l'algoritmo di crittografia non è rotto non importa dove sono archiviate le email o su quale server le email vengono inviati / ricevuti. Puoi goderti tutta la loro buona infrastruttura, 24/7 di tempo di esecuzione e mantenere i tuoi dati privati.

Avere il proprio server di posta elettronica auto-ospitato equivale a utilizzare il proprio cloud storage self-hosted, quando si può semplicemente crittografare i propri contenuti e godersi la facilità d'uso di Google Drive e meglio ancora non si distingue nel folla.

Quindi nel riprendere nessuno lo fa, perché è troppo sforzo (come hanno detto in precedenza nessun provider di posta elettronica è gestito da una sola persona e sono pagati per quello) e nessun ulteriore beneficio e in più credi davvero che una persona possa tenere gli hacker d'élite che sono molto ben pagati per hackerarti? Lascia che ti modifichino, ma assicurati che non possano farne nulla.

Ma se avessi bisogno di nascondere qualcosa come quello che aveva Snowden, probabilmente avrei una chiave pubblica PGP "master" da utilizzare nel primo contatto con qualcuno, dopo di che sarei d'accordo con la persona a continuare a generare un nuovo PGP chiavi che sarebbero passate su ogni messaggio per cifrare il prossimo, come un algoritmo Diffie-Hellman. E, naturalmente, non riutilizzare mai le chiavi e fare un'eliminazione sicura dopo l'uso. E per di più, avrei crittografato tutte le mie chiavi private con un software open-source e le ho mantenute in un sistema operativo Linux in esecuzione in una scatola virtuale con crittografia completa del disco. E ogni singolo pacchetto tcp e udp su VPN + TOR.Yeah è davvero paranoico, ma efficace.

Detto questo, nessuna crittografia ti proteggerà mai da cryptanalisi in gomma-tubo così vorrei fare ancora di più azioni paranoiche per assicurarsi che non possano raggiungermi (fuggire dal paese sarebbe uno di questi, come doveva fare Snowden)

    
risposta data 03.07.2015 - 07:30
fonte

Leggi altre domande sui tag