La posta "spam" eviterebbe davvero le intercettazioni?

21

spammimic.com offre un servizio che "crittografa" la tua posta come "spam", la logica è che tutta la posta i servizi filtrano automaticamente lo spam, quindi se desideri comunicare con qualcuno senza che qualcuno lo intercetta, camuffare il tuo messaggio come spam lo farà.

Esistono prove che ciò funzionerebbe comunque? Affinché il tuo messaggio possa passare, dovrebbe essere sufficientemente non come lo spam per non essere cancellato completamente. Supponendo che tu lo invii dal tuo account, le intestazioni ecc. Saranno intatte, e non è questa la prima cosa che controllano i filtri antispam? Non sarebbe la prima cosa che controllerebbe anche l'intercettatore?

In breve:

Dear Friend , Especially for you - this red-hot announcement
! If you no longer wish to receive our publications
simply reply with a Subject: of "REMOVE" and you will
immediately be removed from our club . This mail is
being sent in compliance with Senate bill 1621 ; Title
1 ; Section 309 . This is NOT unsolicited bulk mail
. Why work for somebody else when you can become rich
within 61 DAYS ! Have you ever noticed nobody is getting
any younger and people are much more likely to BUY
with a credit card than cash . Well, now is your chance
to capitalize on this ! We will help you SELL MORE
& use credit cards on your website . You are guaranteed
to succeed because we take all the risk . But don't
believe us ! Mrs Ames who resides in Delaware tried
us and says "I've been poor and I've been rich - rich
is better" ! We are licensed to operate in all states
! Do not go to sleep without ordering . Sign up a friend
and your friend will be rich too ! Cheers . Dear Friend
; Especially for you - this cutting-edge intelligence
! This is a one time mailing there is no need to request
removal if you won't want any more ! This mail is being
sent in compliance with Senate bill 2416 , Title 3
; Section 302 ! This is not a get rich scheme ! Why
work for somebody else when you can become rich within
71 weeks ! Have you ever noticed society seems to be
moving faster and faster and most everyone has a cellphone
! Well, now is your chance to capitalize on this !
We will help you SELL MORE and increase customer response
by 170% ! You are guaranteed to succeed because we
take all the risk . But don't believe us . Mr Jones
of Georgia tried us and says "Now I'm rich many more
things are possible" ! This offer is 100% legal ! So
make yourself rich now by ordering immediately ! Sign
up a friend and you'll get a discount of 60% . Best
regards !

    
posta fredley 09.12.2014 - 10:30
fonte

4 risposte

22

Sarebbe di grande aiuto se approfondissi se difendi da un attacco mirato o se sei solo cauto, e quale vettore potrebbe utilizzare il potenziale avversario per origliare.

Detto questo, il metodo a cui ti riferisci è chiamato " sicurezza attraverso l'oscurità ", ed è

"… discouraged and not recommended by standards bodies."

Direi che lo sta descrivendo bene. La sicurezza, sebbene l'oscurità, è molto BAD (a sé stante).

Prova a guardare questo video di Def Con 21 , raccontato dal punto di vista degli investigatori forensi. Mostrano diversi esempi del perché la sicurezza attraverso l'oscurità è una cattiva idea. Puoi anche avere una comprensione delle capacità degli strumenti usati dagli investigatori forensi.

    
risposta data 09.12.2014 - 11:24
fonte
12

Il problema con questa tecnica (con qualsiasi tipo di steganografia, in realtà) è che si basa su sicurezza attraverso l'oscurità .

Un intercettatore che è a conoscenza di spammimic.com potrebbe facilmente addestrare il proprio sistema di sorveglianza a riconoscere i modelli tipici dei messaggi generati da spammimic, registrarli ed estrarre il loro carico utile nascosto.

A proposito: usare la parola "crittografia" in questo contesto è tecnicamente inaccurato. Una crittografia richiede sempre una chiave segreta. Quando non è richiesta alcuna chiave per "decodificare" il messaggio, come in questo caso, i termini corretti sono codifica e decodifica . Un messaggio che è codificato ma non crittografato non è sicuro contro l'intercettazione perché un utente malintenzionato deve solo conoscere l'algoritmo.

Anche Spammimic offre una variante che richiede una password , che aggiunge un livello di crittografia al livello di codifica. L'algoritmo di crittografia sarebbe strong, questo consentirebbe potenzialmente la comunicazione confidenziale, ma ammette che si tratta di una crittografia molto debole non adatta ad un uso serio.

Conclusione: Spammimic.com è un giocattolo divertente, ma nulla che dovresti usare per qualsiasi seria comunicazione confidenziale a meno che non cripti il tuo carico con un algoritmo di crittografia serio prima di codificarlo.

    
risposta data 09.12.2014 - 11:39
fonte
8

L'utilizzo della crittografia di steganografia invece di è un'idea piuttosto negativa, soprattutto quando lo strumento utilizzato è liberamente disponibile. Chiunque potrebbe usarlo per scoprire il messaggio.

Tuttavia, la crittografia semplice ha un difetto rispetto alla steganografia: i messaggi crittografati sono solitamente identificabili come tali, quindi mentre nessuno sa che tu mandi qualcuno, c'è una prova che hai inviato qualcosa .

Se si desidera sia la riservatezza che la negabilità, è possibile combinare entrambi gli approcci. Utilizzare un algoritmo strong per crittografare il messaggio, quindi nascondere il testo cifrato in qualche modo. Idealmente, questo dovrebbe essere fatto da alcuni software che eseguono entrambe le attività, dal momento che un'intestazione PGP codificata in ciò che appare superficialmente come spam vi costa negare se scoperta.

In order for your message to get through, it would have to be sufficiently not like spam in order not to be deleted outright. Assuming you send it from your own account, headers etc. will be intact, and isn't this the first thing that spam filters check?

Naturalmente, se hai un account GMail, potresti non avere la possibilità di decidere quali mail vengono rifiutate dal loro server SMTP. Tuttavia, se gestisci il tuo server di posta, è solo questione di configurazione.

    
risposta data 09.12.2014 - 18:18
fonte
1

Che questa sia una buona idea o una cattiva idea dipende in realtà da quali sono i tuoi requisiti e da quali minacce / rischi stai cercando di proteggere. Penso che ci siano alcune limitazioni significative con gli aspetti pratici di questo approccio, come assicurare che i tuoi messaggi siano abbastanza simili a spam che sono oscurati, ma non tanto come lo spam che il tuo software anti-spam dei destinatari non lo elimina o rifiuta di accettalo ecc.

Se assumiamo che questi problemi siano stati risolti, la domanda diventa quindi quella di determinare esattamente cosa stai cercando di fare. Se tutto quello che vuoi fare è oscurare il fatto che stai comunicando con qualcun altro, allora potrebbe essere utile. D'altra parte, se si desidera la riservatezza, questo probabilmente non sarebbe sufficiente di per sé. Potrebbe essere necessario usarlo in combinazione con altre misure. Ad esempio, potrebbe essere necessario prima crittografare il messaggio originale utilizzando uno schema concordato e quindi inserirlo nel messaggio codificato.

Il punto principale da ricordare è che la sicurezza deve adattarsi allo scopo e al livello di rischio valutato. In generale, vuoi essere chiaro sul motivo per cui stai facendo qualcosa. Se si desidera la riservatezza, normalmente sarà necessario un qualche tipo di crittografia. Se vuoi l'integrità, allora probabilmente vorrai un po 'di hashing e se vuoi solo nascondere qualcosa, allora forse qualche forma di stenografia. Se vuoi tutti e tre, allora dovrai applicare tutte e tre le tecniche. Ignorando alcuni degli aspetti pratici di questa tecnica, tutto ciò che stai facendo è nasconderlo. Se qualcuno sa dove guardare, probabilmente lo troveranno.

Un numero di risposte si riferisce alla sicurezza attraverso l'oscurità e afferma che è cattivo e non dovrebbe essere usato. Questa è una semplificazione eccessiva e simile alle istruzioni di programmazione come "goto è brutto e non dovrebbe mai essere usato". In realtà, nessuna di queste cose è intrinsecamente cattiva in se stessi - sono solo cattive se usate in modo inappropriato. Usare l'oscurità va bene se vengono prese altre misure. Non va bene quando ci si basa esclusivamente su di esso per fornire una protezione completa. L'esecuzione di ssh su una porta non standard è oscurità, ma va bene perché non è l'unico livello di protezione. eseguire semplicemente telnet o ftp su porte non standard non va bene dato che ci si basa solo sull'oscurità per renderle sicure.

    
risposta data 11.12.2014 - 23:24
fonte

Leggi altre domande sui tag