Buono, semplice elenco di motivi per cui l'email è intrinsecamente insicura

17

Ho cercato per un po ', cercando di trovare informazioni utili sui rischi inerenti alla trasmissione di dati sensibili via email. Sono davvero alla ricerca di un elenco completo di tutte le vulnerabilità di una fonte esterna che possiamo utilizzare come parte dell'iniziativa di formazione "IT Security 101 per imprenditori non IT". (Ho cercato dapprima sia su questo sito che su Google. Su Google, continuo a ricevere articoli lunghi e ho trovato buoni pezzi qui e nelle mie ricerche su Google, ma non un elenco completo come quello che sto cercando.)

Lo sfondo è che ho diverse persone nel mondo degli affari che proprio non capisco. Insistono sull'uso della posta elettronica e si rifiutano di accettare il fatto che non è sicuro.

Nel mio attuale dilemma, stiamo implementando SSRS per la segnalazione e ci aspettiamo che le persone visualizzino i report sul sito SSRS. Il motivo è che la maggior parte delle relazioni che trattiamo contengono dati sensibili di un modulo o di un altro e non vogliamo che questi rapporti vengano inviati via email. I regolamenti statali in cui operiamo identificano PID come cognome, iniziale o nome e qualsiasi altra forma di informazione identificativa, come un indirizzo, SSN, numero di conto, e-mail, ecc. Le leggi statali prevedono anche che una violazione trapelasse 500 o più record contenenti tale PID devono essere segnalati allo stato.

Molti report contengono PID con questa definizione e la maggior parte ha oltre 500 record. Quindi IMO un singolo report raccolto da uno sniffer o inviato accidentalmente alla persona sbagliata è una violazione segnalabile - non qualcosa con cui vogliamo occuparci.

Tuttavia, abbiamo alcuni dirigenti di livello superiore che sembrano pensare che le regole non si applicano a loro, soprattutto perché non capiscono quanto sia reale il rischio. Le notizie buone sono che stiamo facendo progressi nel cambiare idea. La cattiva notizia è che i loro occhi si glassano quando diventiamo troppo tecnici. Inoltre, non vogliono semplicemente crederci sulla parola.

Esempi a cui posso pensare:

  • Gli sniffer possono essere utilizzati per leggere le email mentre si spostano attraverso la rete.
  • L'email viene inviata attraverso molti server tra il mittente e il destinatario. Qualcuno di quei server potrebbe intercettare e salvare quella email.

Non sono troppo preoccupato del fatto che la lista sia troppo tecnica - Possiamo farci delle analogie che l'azienda capirà per spiegare i concetti tecnici. Sono più interessato a una lista che ha tutti i rischi.

    
posta David Stratton 01.02.2013 - 17:14
fonte

4 risposte

13

Se vuoi un'analogia, leggi questo .

Per quanto riguarda l'elenco delle vulnerabilità:

  • Le e-mail possono essere sniffate in transito, poiché non sono crittografate ( alcuni siti utilizzano opportunisticamente la crittografia per il transito, ma questo non è attivato in modo affidabile).
  • I messaggi di posta elettronica verranno archiviati su dischi fisici nei server coinvolti nell'operazione: il server di posta del mittente, il server di posta elettronica del destinatario e qualsiasi server "in mezzo". I dischi fisici possono essere annusati al momento della rimozione o attraverso i nastri di backup. I tirocinanti annoiati nelle strutture che gestiscono questi server potrebbero semplicemente dare un'occhiata.
  • È facile far andare le e-mail alla macchina sbagliata alterando il DNS.
  • Esistono virus che ispezionano regolarmente le e-mail ricevute dalle macchine infette, nella ricerca di password, dati della carta di credito o altre informazioni succose.

L'intero sistema di posta elettronica presuppone che tutti siano onesti, gentili e affidabili. È sorprendente (ma moralmente incoraggiante) che funzioni del tutto.

    
risposta data 01.02.2013 - 17:35
fonte
6

La risposta semplice e più profonda è quella SMTP (Simple Mail Tranfer Protocol), che gestisce l'invio di posta dal client al server di posta e tra i server di posta (altri protocolli come POP3 e IMAP sono generalmente utilizzati per recuperare la posta al giorno d'oggi), è stato originariamente progettato per l'uso in ARPANET, che operava in un momento in cui chiunque potesse usarlo aveva un permesso di sicurezza in primo luogo. Di conseguenza, SMTP non riesce a tutti dei quattro aspetti chiave della sicurezza delle informazioni, perché quando è stato progettato le cui preoccupazioni sono state gestite con mezzi alternativi e il protocollo non è mai stato aggiornato per tentare di farlo. / p>

  • Riservatezza: le e-mail SMTP, per impostazione predefinita, non vengono crittografate durante il trasporto o in qualsiasi altro momento. Chiunque può leggerli mentre vengono trasmessi lungo un canale non crittografato o mentre sono memorizzati sui server di posta di entrambe le parti in attesa del recupero.
  • Integrità: SMTP non fornisce più un controllo degli errori rispetto al protocollo del livello di trasporto utilizzato per inviarlo. Ciò è tristemente inadeguato quando si vuole garantire che nessuno abbia manomesso il messaggio; TCP è progettato per garantire che la rete stessa non causi danneggiamento o perdita di dati; è banale cambiare il contenuto dei pacchetti TCP in rotta se hai il controllo di uno dei nodi di rete lungo i quali vengono inviati.
  • Autenticità: SMTP non ha mezzi per verificare che il mittente elencato sia effettivamente la persona che lo ha inviato. Qualcuno a metà del mondo può creare una e-mail con il tuo indirizzo nel campo "Da" e nessuno saprà la differenza.
  • Non ripudio: Poiché non è possibile verificare che la persona indicata come mittente sia effettivamente inviata, o che l'e-mail stessa sia il contenuto originale inviato da quel mittente, tale persona può negare in modo molto convincente che quello che hai ricevuto è ciò che hanno inviato, o che ti hanno mai inviato una e-mail in primo luogo.

L'aggiunta dell'handshake di sicurezza SSL / TLS in SMTP, creando SMTPS, garantisce la riservatezza nella prima parte del viaggio (dal computer al server di posta elettronica di "casa"). È tutto; non puoi imporre la riservatezza su qualsiasi altra parte del viaggio e gli altri tre aspetti di InfoSec non sono interessati.

    
risposta data 04.02.2013 - 17:22
fonte
3

Uno dei motivi principali per cui non mi piace utilizzare l'e-mail per il trasporto di informazioni sensibili è semplicemente perché una volta che l'e-mail con informazioni sensibili ha lasciato la tua organizzazione, hai perso immediatamente qualsiasi controllo che potresti aver avuto esso.

Ad esempio

  • L'utente ha sensibili e-mail nella sua casella di posta, semplicemente seduto lì. Se l'account è compromesso, ora hai libero dominio su qualsiasi e-mail con tutti i tipi di informazioni sensibili
  • Non hai più alcuna conoscenza se l'utente che riceve i dati invierà l'e-mail a parti che non dovrebbero ricevere tali informazioni
  • Ora hai due potenziali punti di compromesso: i server che hanno inviato le e-mail e i server che hanno ricevuto le e-mail. Metti molta fiducia negli amministratori di quei server e speri solo speri di non essere snoopy e di guardare le informazioni che non dovrebbero vedere
  • Non hai alcuna governance sulle regole di conservazione o sulle pratiche di archiviazione sul lato ricevente. I documenti che dovrebbero avere durata limitata possono potenzialmente vivere per sempre su un server senza pratiche di archiviazione o cancellazione

Consiglierei quasi sempre una soluzione alternativa all'invio di informazioni sensibili via e-mail per i motivi che ho elencato sopra.

    
risposta data 01.02.2013 - 17:39
fonte
0

Che cosa insecure potrebbe significare?

  • Riservatezza - > Sì, la posta non è sicura, ma è possibile utilizzare un livello di crittografia (come PGP) quando necessario.
  • Efficientemente - > No: la posta è uno dei modi più semplici e sicuri per trasmettere informazioni a persone specifiche.

Non dimenticare che security ha molti vettori. La perennità e l'efficienza sono anche importanti vettori di sicurezza.

L'analogia

Il lavoro sulla rete del sistema di posta è simile a quello reale:

  • una volta poteva scrivere qualsiasi cosa in una lettera cartacea
  • aggiungi materiale tossico alla carta
  • falso indirizzo mittente
  • indirizzo del mittente di envelope enveloppe
  • che incapsula in un'altra busta da inviare attraverso l'ufficio postale di un'altra città

Tutto questo è molto non sicuro, ma in ogni caso, tutti continuano a scambiarsi per posta reale.

Quando le persone danneggiano la sicurezza della posta , è più importante che una lettera possa essere sciolta rispetto ad altre ...

La differenza principale è il costo di invio di una mail. Questo implica più junk ma nient'altro.

Quindi il mio punto di vista è che smtp è un protocollo ben funzionante, molto sercurizzato su quale sia l'obiettivo originale .

Informazioni sulla riservatezza

Come inviare informazioni sensibili attraverso post reali. Il dover fare questo tipo di cose implica ulteriori sforzi di securizzazione.

Semplicemente: Non inviare mai informazioni sensibili in testo non crittografato.

Utilizza un altro modo per scambiare le chiavi e le impronte digitali valide, in ordine di preferenza: riunioni, telefono, fax, sms (con cura).

    
risposta data 04.02.2013 - 17:46
fonte

Leggi altre domande sui tag