La posta "spam" eviterebbe davvero le intercettazioni?

Sarebbe di grande aiuto se approfondissi se difendi da un attacco mirato o se sei solo cauto, e quale vettore potrebbe utilizzare il potenziale avversario per origliare.

Detto questo, il metodo a cui ti riferisci è chiamato " sicurezza attraverso l'oscurità ", ed è

"… discouraged and not recommended by standards bodies."

Direi che lo sta descrivendo bene. La sicurezza, sebbene l'oscurità, è molto BAD (a sé stante).

Prova a guardare questo video di Def Con 21 , raccontato dal punto di vista degli investigatori forensi. Mostrano diversi esempi del perché la sicurezza attraverso l'oscurità è una cattiva idea. Puoi anche avere una comprensione delle capacità degli strumenti usati dagli investigatori forensi.

Il problema con questa tecnica (con qualsiasi tipo di steganografia, in realtà) è che si basa su sicurezza attraverso l'oscurità .

Un intercettatore che è a conoscenza di spammimic.com potrebbe facilmente addestrare il proprio sistema di sorveglianza a riconoscere i modelli tipici dei messaggi generati da spammimic, registrarli ed estrarre il loro carico utile nascosto.

A proposito: usare la parola "crittografia" in questo contesto è tecnicamente inaccurato. Una crittografia richiede sempre una chiave segreta. Quando non è richiesta alcuna chiave per "decodificare" il messaggio, come in questo caso, i termini corretti sono codifica e decodifica . Un messaggio che è codificato ma non crittografato non è sicuro contro l'intercettazione perché un utente malintenzionato deve solo conoscere l'algoritmo.

Anche Spammimic offre una variante che richiede una password , che aggiunge un livello di crittografia al livello di codifica. L'algoritmo di crittografia sarebbe strong, questo consentirebbe potenzialmente la comunicazione confidenziale, ma ammette che si tratta di una crittografia molto debole non adatta ad un uso serio.

Conclusione: Spammimic.com è un giocattolo divertente, ma nulla che dovresti usare per qualsiasi seria comunicazione confidenziale a meno che non cripti il tuo carico con un algoritmo di crittografia serio prima di codificarlo.

L'utilizzo della crittografia di steganografia invece di è un'idea piuttosto negativa, soprattutto quando lo strumento utilizzato è liberamente disponibile. Chiunque potrebbe usarlo per scoprire il messaggio.

Tuttavia, la crittografia semplice ha un difetto rispetto alla steganografia: i messaggi crittografati sono solitamente identificabili come tali, quindi mentre nessuno sa che tu mandi qualcuno, c'è una prova che hai inviato qualcosa .

Se si desidera sia la riservatezza che la negabilità, è possibile combinare entrambi gli approcci. Utilizzare un algoritmo strong per crittografare il messaggio, quindi nascondere il testo cifrato in qualche modo. Idealmente, questo dovrebbe essere fatto da alcuni software che eseguono entrambe le attività, dal momento che un'intestazione PGP codificata in ciò che appare superficialmente come spam vi costa negare se scoperta.

In order for your message to get through, it would have to be sufficiently not like spam in order not to be deleted outright. Assuming you send it from your own account, headers etc. will be intact, and isn't this the first thing that spam filters check?

Naturalmente, se hai un account GMail, potresti non avere la possibilità di decidere quali mail vengono rifiutate dal loro server SMTP. Tuttavia, se gestisci il tuo server di posta, è solo questione di configurazione.

Che questa sia una buona idea o una cattiva idea dipende in realtà da quali sono i tuoi requisiti e da quali minacce / rischi stai cercando di proteggere. Penso che ci siano alcune limitazioni significative con gli aspetti pratici di questo approccio, come assicurare che i tuoi messaggi siano abbastanza simili a spam che sono oscurati, ma non tanto come lo spam che il tuo software anti-spam dei destinatari non lo elimina o rifiuta di accettalo ecc.

Se assumiamo che questi problemi siano stati risolti, la domanda diventa quindi quella di determinare esattamente cosa stai cercando di fare. Se tutto quello che vuoi fare è oscurare il fatto che stai comunicando con qualcun altro, allora potrebbe essere utile. D'altra parte, se si desidera la riservatezza, questo probabilmente non sarebbe sufficiente di per sé. Potrebbe essere necessario usarlo in combinazione con altre misure. Ad esempio, potrebbe essere necessario prima crittografare il messaggio originale utilizzando uno schema concordato e quindi inserirlo nel messaggio codificato.

Il punto principale da ricordare è che la sicurezza deve adattarsi allo scopo e al livello di rischio valutato. In generale, vuoi essere chiaro sul motivo per cui stai facendo qualcosa. Se si desidera la riservatezza, normalmente sarà necessario un qualche tipo di crittografia. Se vuoi l'integrità, allora probabilmente vorrai un po 'di hashing e se vuoi solo nascondere qualcosa, allora forse qualche forma di stenografia. Se vuoi tutti e tre, allora dovrai applicare tutte e tre le tecniche. Ignorando alcuni degli aspetti pratici di questa tecnica, tutto ciò che stai facendo è nasconderlo. Se qualcuno sa dove guardare, probabilmente lo troveranno.

Un numero di risposte si riferisce alla sicurezza attraverso l'oscurità e afferma che è cattivo e non dovrebbe essere usato. Questa è una semplificazione eccessiva e simile alle istruzioni di programmazione come "goto è brutto e non dovrebbe mai essere usato". In realtà, nessuna di queste cose è intrinsecamente cattiva in se stessi - sono solo cattive se usate in modo inappropriato. Usare l'oscurità va bene se vengono prese altre misure. Non va bene quando ci si basa esclusivamente su di esso per fornire una protezione completa. L'esecuzione di ssh su una porta non standard è oscurità, ma va bene perché non è l'unico livello di protezione. eseguire semplicemente telnet o ftp su porte non standard non va bene dato che ci si basa solo sull'oscurità per renderle sicure.