Quando l'e-mail protetta, non è veramente sicura

16

Abbiamo un venditore che ci invia messaggi "sicuri". I messaggi vengono come un messaggio di posta elettronica che contiene un collegamento a un sito Web crittografato SSL con il messaggio reale. Non ci sono username / password sul sito collegato, o qualsiasi altra forma di autenticazione per quanto posso dire.

Sono sicuro che lo fanno in modo da poter spuntare una casella su una lista di controllo di conformità, ma voglio sapere, può davvero essere considerato sicuro?

Il mio pensiero è che, poiché il link stesso viene inviato in chiaro, non è diverso da quello che se avessero inviato il messaggio nella email in primo luogo. Qualsiasi utente malintenzionato che potrebbe essere in grado di accedere alla mia email, a riposo o in transito, può catturare e quindi visitare il link.

Quindi questo è sicuro, e se è almeno a un certo livello, quali problemi di sicurezza potrebbe risolvere? Esistono altre misure di sicurezza, non immediatamente evidenti, che potrebbero essere intraprese per garantire che solo il destinatario originale possa utilizzare il link?

Perché diverse risposte lo hanno menzionato. In questo caso non esiste un elenco di indirizzi IP in bianco o l'autenticazione proxy dietro le quinte.

Inoltre, c'è una data di scadenza elencata sul link, ma è abbastanza lontana nel futuro.

    
posta matthew 11.03.2013 - 17:55
fonte

6 risposte

18

Poiché le e-mail non crittografate non sono crittografate, ciò che puoi leggere in una e-mail potrebbe essere (concettualmente) letto da qualcuno . Tuttavia, per leggere l'e-mail, l'utente malintenzionato dovrebbe comunque connettersi al server HTTPS, che lascia le tracce (l'IP da cui l'attaccante si connette sarà noto a quel server - ovviamente, tale IP sarà probabilmente quello di un < a href="https://www.torproject.org/"> Tor exit node ). Il sistema link-in-email impedisce attacchi passivi-soli : l'autore dell'attacco deve inviare alcuni pacchetti IP propri a un certo punto. Questo non è un enorme aumento di sicurezza ...

Di solito, i promotori di soluzioni come quella che descrivi lo fanno per sicurezza, ma non la tua sicurezza. Vogliono sapere quando l'e-mail è stata letta. Questa è una misura preventiva contro le persone che leggono e-mail imbarazzanti e quindi affermano di non averle mai ricevute. Non sarà più una prova, ma potrebbe essere sufficiente per contrastare le manovre evasive da parte di alcuni collaboratori non collaborativi.

Se desideri un sistema che garantisca che solo una persona specifica sarà in grado di leggere l'email, allora devi definire quale individuo specifico stai pensando. Nel mondo dei computer, tutti hanno un computer e non sono immediatamente indistinguibili l'uno dall'altro. Le persone hanno identità fisiche che non fanno parte del mondo dei computer, quindi un collegamento deve necessariamente essere fatto ad un certo punto. Le soluzioni email standard sicure come S / MIME lo fanno attraverso un infrastruttura a chiave pubblica : un destinatario è definito come" il ragazzo che controlla la chiave privata corrispondente alla chiave pubblica che si trova in quel certificato ". Ciò sposta il problema dell'identificazione fisica in un'unica fase preparatoria durante la quale viene rilasciato il certificato.

Un possibile modello è che hai incontrato il destinatario di persona una volta e ti ha dato il suo biglietto da visita; sulla scheda viene stampata l'impronta digitale della sua chiave pubblica OpenPGP - quindi trovi la chiave da un server a chiave pubblica e controlla l'impronta digitale . Ci sono molte varianti su questo concetto, ma un contatto fisico senza computer è necessariamente coinvolto.

    
risposta data 11.03.2013 - 18:14
fonte
10

Vorrei aggiungere questo a ciò che l'Orso ha già detto

Questo metodo non aggiunge quasi nessuna sicurezza. Perché?

Esposizione dell'email con il link = Esposizione del messaggio reale

Questo è quasi come inviare il testo nella stessa email usata per inviare il link. Allora perché stanno facendo questo? Potresti chiedere. Ecco alcuni possibili motivi:

  • Conferma di consegna e di lettura: facendo clic sul link e visualizzando la pagina prova che hai letto il messaggio.

  • Negazione plausibile : dopo la prima visita, il messaggio sul server può essere rimosso e non può essere condiviso più tardi con chiunque altro senza dubbio sulla fonte del messaggio. (Anche se fai lo screenshot del messaggio, salva la pagina, mantieni l'e-mail con il link. Il mittente può sempre negare e affermare che puoi facilmente falsificare tutto quanto sopra)

  • Controllo di accesso : il server che ospita il messaggio potrebbe essere configurato per consentire la visualizzazione degli indirizzi IP in white list il messaggio. (Anche se il tuo account email è stato dirottato, l'autore dell'attacco deve trovarsi nell'intervallo in bianco per visualizzare il messaggio effettivo)

risposta data 11.03.2013 - 18:22
fonte
8

Una cosa che non è stata ancora menzionata è che questo approccio può migliorare la sicurezza da una prospettiva diversa: piuttosto che affrontare le preoccupazioni di privacy (che chiaramente non lo è), aiuta sicuramente a stabilire verificabilità .

Chiunque può inviare un'e-mail e falsificare le intestazioni per far sembrare che provenga dal tuo fornitore, ma (presumendo che i loro sistemi siano adeguatamente protetti) i contenuti ospitati sul loro sito possono essere considerati attendibili.

Questo è particolarmente importante quando si considera il phishing. È molto più facile addestrare le persone a fidarsi solo dei contenuti a cui accedono tramite il "Portale sicuro" piuttosto che nel messaggio di posta elettronica direttamente per cercare di indurli a differenziare le email legittime e fasulle.

    
risposta data 12.03.2013 - 03:04
fonte
5

Un trucco che ho visto prima è un link per il download monouso. Se visiti il link, non puoi scaricare il file dopo il primo tentativo. Se ci arrivi e il file è già stato scaricato prima di provarlo, hai rilevato un compromesso. Speriamo che questo sito registri l'indirizzo e il tempo dei downloader almeno.

    
risposta data 11.03.2013 - 20:43
fonte
4

Il problema che il mittente dell'email sta tentando di risolvere sono i dati in transito e i dati a riposo, in particolare una copia della loro e-mail e il percorso necessario per raggiungere la destinazione. Quando accedi a una di queste soluzioni "sicure", Tumbleweed è un esempio, stai semplicemente registrando un server sulla rete del mittente . I dati non hanno mai lasciato la rete del mittente e quindi non sono stati protetti durante il trasporto, né sono protetti a riposo, come quando si trovano nella tua casella di posta nel tuo account webmail.

Inoltre, il link che ti è stato fornito dal mittente è stato inviato solo a tuo indirizzo email, quindi presumibilmente, solo una persona con accesso alla tua email avrebbe accesso a quel link. Si spera che l'algoritmo di generazione del collegamento sia progettato correttamente ed è al sicuro da un utente malintenzionato che ha la capacità di forzare i collegamenti in modo prevedibile e cercare i messaggi noti. Inoltre, questo servizio presuppone l'utilizzo di una password complessa nel tuo account di posta elettronica.

Alcune di queste soluzioni email "sicure" hanno la possibilità di creare una combinazione nome utente / password per proteggere l'e-mail.

    
risposta data 11.03.2013 - 18:06
fonte
2

Suggerirei che senza conoscere l'intero flusso, non si dovrebbe presumere che si tratti di un teatro di sicurezza; tuttavia, è anche del tutto possibile che lo sia. Se vuoi confermare che questi sono effettivamente sicuri nel modo in cui la tua azienda ha intenzione, chiedi al tuo team di infrastruttura se qualcosa va dietro le quinte.

Il termine "sicuro" potrebbe essere usato in termini di non ripudio; la "email" a cui accedi tramite il link è garantita per essere inalterata tra il loro server e il tuo browser. È anche possibile che venga fornita una garanzia che l'e-mail non cambia mai, ad esempio se si dispone di una terza parte attendibile che memorizza l'e-mail originale inviata. Ciò sarebbe vantaggioso per entrambe le società, supponendo che l'unica sicurezza necessaria sia che entrambe le parti abbiano le stesse identiche informazioni. Chiaramente, questo non è sufficiente se la sicurezza fosse di proteggere le informazioni privilegiate.

Potrebbe essere che alla tua azienda sia stato assegnato un set di IP statici, e che l'altra azienda abbia un elenco bianco di quegli IP, le richieste provenienti da questi siano consentite all'accesso. Internamente, la tua azienda potrebbe ottenere una separazione dei problemi con questo sistema.

Infine, potrebbe essere la tua azienda eseguire automaticamente l'accesso / l'handshake a tuo nome se la tua connessione passa attraverso un proxy quando lascia la rete interna. Questo potrebbe essere qualsiasi cosa, da qualsiasi dipendente dell'azienda può vedere le e-mail sicure (come sopra l'esempio IP) al proxy che effettua una ricerca per il proprio indirizzo e-mail in base all'ID utente e lo passa al server dell'altro come parte dell'handshake per determinare se in particolare hai il diritto di vedere quell'email.

Spero che l'approccio Single Sign-On (l'ultimo esempio) sia la ragione per cui sembra che non richieda nulla se non un collegamento per accedere a queste informazioni sicure. La tua domanda mi fa riflettere se dovessimo in qualche modo trasmettere agli utenti se la loro capacità di accedere a un'applicazione interna senza accesso fosse dovuta al single sign-on o che le informazioni fossero destinate a essere pubbliche all'interno dell'organizzazione. O forse se lo aspettano internamente ma vorrebbe qualche indicazione solo per le terze parti? Suppongo che sia un problema UX.

    
risposta data 11.03.2013 - 23:40
fonte

Leggi altre domande sui tag