Berta Sándor

Nem biztonságosak az osztrák e-mail szerverek?

Meglehetősen aggasztó adattal rukkolt elő az ARGE DATEN osztrák adatvédelmi szervezet: a helyi levelezőszerverek kétharmadán nem alkalmaznak titkosítást.

A szakemberek szerint a jelenlegi ausztriai e-mail helyzetet leginkább a könnyelműség és a gondatlanság jellemzi. Sok felhasználó és cég nincs tisztában azzal, hogy mennyire fontos a biztonságos elektronikus levelezés. A megfelelő titkosítási technológiák könnyen és olcsón beszerezhetők, használatuk sem bonyolult, ennek ellenére az emberek és a vállalatok többsége nem is hallott ezekről a megoldásokról. Az ARGE DATEN éppen ezért elindított egy kezdeményezést, amelynek célja a biztonságos elektronikus levelezés megteremtése Ausztriában.

A felmérés eredménye azért is meglepő, mert napjainkban az e-mail gyakorlatilag nélkülözhetetlen kommunikációs formát jelent. A legtöbben úgy gondolják, hogy a biztonsági kérdésekkel nem kell foglalkozniuk. A válasz általában az volt, hogy: "majd a szolgáltató megoldja, hiszen ő tudja, mit csinál". A helyzet különösen azért súlyos, mert sok cég, de magánfelhasználó is gyakran küld e-mailekben vagy azok mellékleteként fontos dokumentumokat, kimutatásokat, projektterveket. E küldeményeket - a megfelelő titkosítás hiányában - egy illetéktelen személy elfoghatja és nyugodtan elolvashatja a tartalmukat.

Ausztriában az emberek és a cégek körülbelül 56 milliárd e-mailt küldenek el évente. Ha ehhez hozzávesszük, hogy a mintegy 10 000 levelezőszerver kétharmadán nem használnak semmilyen titkosítást, akkor érthető, hogy a szakemberek aggódnak. A problémát csak súlyosbítja, hogy a felelőtlenül eljáró intézmények között vannak hivatalok, a tőzsdén is bejegyzett, a TOP500-as listán található, illetve piacvezető konszernek, valamint kutatóintézetek. Titkosítás nélküli levelezőszervert alkalmaz 210 állami hivatal, 36, többségében a tőzsdén is jegyzett részvénytársaság, 213 vállalat, 196 egészségügyi és szociális intézmény, továbbá 113 internetszolgáltató, sőt, néhány politikai párt is.

Pedig lenne egyszerű megoldás. Elég csak a néhány éve elérhető Transport Layer Security (TLS) szabványra gondolni. Egy internetszolgáltató mindössze évi 50-150 eurós költségen beszerezheti és egy óra alatt telepítheti is a rendszereibe a TLS-hez szükséges digitális tanúsítványt. "A nálunk kapható hosszú távú, 2019-ig szóló tanúsítvánnyal jelentősen lecsökkenthető a telepítési idő és az évi 50 eurós kiadás után már nem kell aggódni a nem biztonságos levelezés miatt" - nyilatkozta Hans G. Zeger, az ARGE DATEN A-CERT tanúsítványáért felelős munkatársa. Érdekesség, hogy a szervezet háttéranyaga miatt igencsak felháborodott az Osztrák Internetszolgáltatók Szövetsége (ISPA).

"Némileg meglepődtünk, mivel az ARGE DATEN mai közleménye nemcsak elbizonytalanította az osztrák elektronikus levelezőrendszerek használóit, de egyúttal egy félelemkeltő üzleti modell segítségével a szervezet megpróbálja a saját termékeit eladni. Technikai és gazdasági értelemben néhány dolgot mindenképpen tisztázni kell" - mondta Andreas Wildberger, az ISPA főtitkára.

A szakember közölte, hogy vannak olyan digitális tanúsítványok, amelyek nem 50 euróért, hanem ingyen beszerezhetők és telepíthetők, illetve használhatók. Az ISPA vezetője visszautasította, hogy az internetszolgáltatók könnyelműek és gondatlanok lennének, mivel számos biztonságot javító kezdeményezésben részt vesznek.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Vorpal #3
    Tehát akkor a TOR kell?
  • Vantulok #2
    a TOR nem a legjobb megoldás erre az esetre... inkább valami http proxy-t vagy SSL proxy oldalt ajánlok, amely erősen támogatja a Javascriptet, amit majd' minden levelezőrendszer szeretettel használ. A TOR-nál van némi kockázat, hogy ellopják a jelszavunkat, ha nincs a szerver oldal felől külön titkosítás, mivel azonban nincs, hiszen pont erről szól a cikk, így a TOR sem ajánlott.

    A TOR más esetekre van kihegyezve: arra az esetre ha nem szeretnénk valós identitásunkat (IP-nket pl.) kiadni, illetve ha olyan tartalmat szeretnénk letölteni, amely az adott régióban cenzúra alatt áll: ennek megintcsak két oka van: az egyik maga az információ megszerzése, a másik pedig hogy az illetékes hatóság ne tudjon róla hogy mi szereztük meg, illetve hogy miT szereztünk meg.

    Ha a levelező szerver oldalon is van külön titkosítás, egyrészt nem fontos hogy megbízható legyen ,maga a szolgáltatója, vagy a tanúsítvány (certificate) kibocsátója, csupán elég, ha a session-kulcs (folyam-kulcs) eléri , vagy meghaladja a 128 bitet és lehetőleg nem RSA alapú a handshake létrehozásáért felelős algoritmus, ekkor a böngészőnk figyelmeztetni fog, hogy a tanúítvány nem megbízható, viszont a megfelelő böngészőt használva a TOR hálózaton keresztül létrehozott felhasználónév:jelszó párossal semmilyen szervezet nem tud visszaélni, hiszen valós identitásunkat nem tudják, hacsak mi magunk meg nem adjuk. Amúgy elég ha csak TLS van (a bejelentkezés titkosításáért felelős protokoll) mivel a TOR-exit gép véletlenszerű, a levelezésünk nem valószínű, hogy "illetéktelen" kezekbe kerül.

    Ha ezzel sem érjük be akkor hozzunk létre egy gmail, vagy yahoo postafiókot, és ezeknél TLS is és SSL is van, bár a gmail-nél ezt előbb külön be kell kapcsolni a beállításokban.

    Összegezve tehát, bárki, bármilyen országból a jelen pillanatban 110%-os védelmet élvezhet a levelezésein aki:

    1. XeroBank-ot vagy valami más hasonló titkosított böngészőt használ,
    a, lehetőleg valamilyen Linux disztribúción (Firefox+TOR button),
    b, Windows 2000 vagy Windows XP-n , messzire elkerüli a Windows Vista és újabb kiadású Windows-okat,
    c, semmilyen vírusirtót nem használ, csak a beépített tűzfalakat, de lehetőleg azt sem buzerálja, valamint a difoltnál is difoltabb beállításokkal szűz, most telepített rendesen kiherélt kalóz Windowssal próbálkozik (hamár Windows)

    2. gmail-t, ymail-t, vagy pl. anonymail-t használ, amelyek minimum TLS-s, de inkább folyamatos SSL titkosítással bírnak.

    3. megfelelően hosszú és bonyolult jelszót választ a postafiókhoz,

    4. a postaládájában lévő fontosabb levek csatolmányait eleve pl. rar-ral titkosítva tömöríti és csak az illetékes(ek)nek, címzett(ek)nek adja ki e rar állomány titkosító (szimmetrikus) kulcsát (kódját) és persze azért erről tárol saját maga truecrypttel titkosított pendrive-ján is egy biztonsági másolatot arra az esetre, ha a gmail, ymail stb.. lehalna.

    Ezenkívül tulajdonképpen másra már nem kell odafigyelni, elhanyagolható.
    És jöhet maga a MOSZAD , meg az FBI is nyomozgatni.
  • Vorpal #1
    Hottod Scaine? Most nagyon megmondhatod,DD

    Tort az osztrákokba is;DD