Ochrona poczty przed szpiegami - myszkowanie w korespondencji niepożądane!

Prawie każdy użytkownik komputera wysyła i odbiera pocztę. Tymczasem od początku powstania Internetu niemalże nic nie zmieniono w technologii używanej do obsługi elektronicznej korespondencji. Dane logowania, hasła i sama treść wiadomości przemierzają sieć przeważnie w niezaszyfrowanej postaci. Zatem zasadniczo każdy może przeczytać twoją pocztę. Nie odgrywa tu żadnej roli, czy zdecydujesz się na popularnego operatora korespondencji elektronicznej, czy skorzystasz z sieci w swoim miejscu pracy. Przeczytaj, jak działa poczta e-mail, w czym tkwi ryzyko i jak bronić się przed grzebaniem w korespondencji.


1. Co się dzieje w trakcie wysyłania poczty

Skonfigurowałeś serwer poczty przychodzącej i serwer poczty wychodzącej w swoim programie pocztowym. Gdy wysyłasz wiadomość, program pocztowy loguje się w serwerze poczty wychodzącej i przekazuje mu twój e-mail. Serwer ten ustala adres serwera docelowego i przesyła doń wiadomość. Jeśli zostanie przyjęta, trafia do skrzynki pocztowej odbiorcy. W przeciwnym razie powróci do ciebie z dopiskiem, że nie mogła być dostarczona. Dokładny przebieg procesu wysyłania określa protokół SMTP (Simple Mail Transfer Protocol). U zdecydowanej większości operatorów poczty wiadomości nie są szyfrowane.

W trakcie zakładania konta pocztowego program Mozilla Thunderbird samodzielnie sprawdza możliwości serwera pocztowego i stosuje (jeśli to możliwe) szyfrowaną transmisję danych.Są dwa warianty odbierania poczty. Korzystając z popularnego protokołu POP3 (Post Office Protocol), masz skrzynkę pocztową na serwerze operatora poczty. Chodzi o folder na serwerze poczty przychodzącej, z którego pobierasz wiadomości programem pocztowym na twardy dysk swojego komputera. Z reguły pobrane wiadomości są automatycznie usuwane z serwera.

Mniej znany protokół IMAP (Internet Message Access Protocol) pozwala zarządzać wiadomościami na serwerze w kilku uporządkowanych hierarchicznie skrzynkach pocztowych. Wiadomości pozostają na serwerze operatora poczty, dopóki ich nie usuniesz.

Wspólna cecha obu protokołów - wiadomości to zwyczajne pliki tekstowe przechowywane w niezaszyfrowanej postaci na serwerze operatora poczty lub na serwerze firmowym.


2. Tak można przechwycić wysyłane wiadomości

Ryzyko stanowi niezaszyfrowana transmisja nazwy użytkownika i jego hasła w trakcie logowania, a także niezabezpieczone przesyłanie treści wiadomości. Agresor może przechwycić pakiety danych wysyłane z twojego komputera, zdobywając w ten sposób dane dostępu do skrzynki i same wiadomości. Niebezpieczeństwo to grozi na całej trasie, którą wiadomość przebywa w sieci firmowej i w Internecie. Jeśli twoje dane dostępu do skrzynki dostaną się w niepowołane ręce, cyberprzestępca może nadużyć twojego konta pocztowego i powiązanych z nim usług.

Kolejne zagrożenie przedstawiają niezaszyfrowane wiadomości przechowywane na serwerze operatora poczty lub na serwerze firmowym. Mogą zostać przeczytane przez wszystkich, którzy mają dostęp do tych komputerów lub linii przesyłowych. Możesz więc liczyć tylko na to, że serwery i przewody transmisyjne są dostatecznie zabezpieczone.

Oprócz tego są instytucje, którym wolno w majestacie prawa dostać się do twojej poczty. Należą do nich m.in. prokuratura i organy bezpieczeństwa. Jeśli skrzynka nie zawiera treści o znaczeniu prawnokarnym, nie ma powodu do obaw. Podobna sytuacja ma miejsce w sieciach firmowych. Tu wgląd do skrzynek mają administratorzy sieci. Jeżeli prywatna korespondencja jest niedozwolona, nadużywanie służbowej skrzynki do tych celów może nieść ze sobą konsekwencje.

W dowolnej chwili można wyśledzić, z którego komputera została wysłana bądź odebrana wiadomość e-mail. Nawet jeśli utworzyłeś konto pocztowe anonimowo, możesz zostać zidentyfikowany na podstawie unikalnego adresu IP twojego komputera.


3. Jak się chronić

Zabezpieczenie logowania i transmisji wiadomości. Można stosunkowo łatwo chronić wiadomości podczas wysyłania i odbierania. Wymaga to tylko zaszyfrowanego kanału. Stosowane metody zależą od operatora skrzynki pocztowej. Przywołaj stronę z instrukcją używania skrzynki i poszukaj na niej takich pojęć jak szyfrowanie SSL, SSMTP (port 465), SSL-POP (port 995) czy IMAPS (port 993). Znajdziesz tam wskazówki, jak poprawnie skonfigurować swój program pocztowy, aby umożliwić bezpieczną obsługę korespondencji.

Najprościej jednak korzystać z usług pocztowych za pośrednictwem przeglądarki internetowej - pod warunkiem, że operator skrzynki oferuje taką możliwość. W niektórych serwisach można włączyć szyfrowaną transmisję (choć u niektórych operatorów jest dostępna tylko w płatnym wariancie skrzynki). Szyfrowane połączenie rozpoznasz po przedrostku https://, który poprzedza adres internetowy.

Ochrona treści wiadomości przed dostępem niepowołanych osób. Nawet przy szyfrowanej transmisji zawartość skrzynki pocztowej i tak jest przechowywana w jawnej postaci na serwerze. Prosta metoda polega na zaszyfrowaniu wiadomości i wstawieniu jej do e-maila jako załącznik. Możesz np. sporządzić list w edytorze tekstowym, a następnie zabezpieczyć gotowy dokument hasłem. W Wordzie 2010 wystarczy wskazać menu Plik, po czym kliknąć pozycję Informacje i menu Ochrona dokumentu | Szyfruj przy użyciu hasła.

Jednak zabezpieczenie hasłowe dostępne w edytorach tekstowych uchodzi za niezbyt skuteczne, dlatego tylko w ograniczonym stopniu nadaje się do chronienia wrażliwych treści. Znacznie lepiej użyć do tego celu programów kompresujących takich jak np. 7-Zip (do pobrania: wersja 32-bitowa i wersja 64-bitowa). Długie i skomplikowane hasło da się złamać tylko ogromnym wysiłkiem. Musisz je przekazać adresatowi bezpiecznym sposobem (np. przez telefon), aby mógł odczytać wiadomość.

Szyfrowanie z użyciem S/MIME. Największy poziom bezpieczeństwa uzyskasz tylko za pomocą szyfrowania asynchronicznego. Do popularnych metod należą PGP (Pretty Good Privacy) i S/MIME (Secure / Multipurpose Internet Mail Extensions). Najprostszy w użyciu okazuje się S/MIME, bo wymagane funkcje są dostępne we wszystkich znanych programach pocztowych. Niemniej jednak muszą być spełnione określone warunki. Ponadto trzeba powiadomić odbiorców wiadomości, jakie kroki konfiguracyjne powinni podjąć w swoim oprogramowaniu. Poniższe wskazówki dotyczą aplikacji Mozilla Firefox 4/5 i Mozilla Thunderbird 3. W innych programach są podobne funkcje.

Wnioskując o otrzymanie certyfikatu wymaganego do szyfrowanej wymiany korespondencji, musisz podać podstawowe dane osobowe.Etap 1. Zaopatrz się w certyfikat szyfrowania poczty elektronicznej. Bezpłatny formularz (uwaga - tylko do użytku prywatnego) uzyskasz np. za pośrednictwem serwisu TrustCenter. Otwórz tę stronę w Firefoksie i kliknij pole Request Certificate. Następnie zastosuj się do wskazówek witryny. Proces ten wymaga podania swoich danych takich jak imię i nazwisko, a także adres pocztowy. Otrzymasz wiadomość pocztową z linkiem internetowym. Musisz kliknąć go w celu potwierdzenia. W następnej wiadomości nadejdą informacje o tym, jak zainstalować certyfikat w swojej przeglądarce internetowej.

Etap 2. Zanim zaczniesz stosować certyfikat w swoim programie pocztowym, musisz wyeksportować go w Firefoksie. W wersji 4.x kliknij przycisk Firefox w lewym górnym narożniku okna, po czym wskaż polecenie Opcje. We wcześniejszych wersjach, a także w wersji 5.x otwórz menu Narzędzia | Opcje. Wskaż rubrykę Zaawansowane i przeskocz na kartę Szyfrowanie. Kliknij przycisk Wyświetl certyfikaty. Przeskocz na kartę Użytkownik, po czym wskaż żądany certyfikat, kliknij przycisk Kopia zapasowa i zapisz plik pod odpowiednią nazwą. Wpisz dane żądane przez aplikację.

Etap 3. W Mozilla Thunderbirdzie przywołaj menu Narzędzia | Opcje i przeskocz do sekcji Zaawansowane. Otwórz kartę Certyfikaty. Kliknij przycisk Wyświetl certyfikaty, przeskocz na kartę Certyfikaty użytkownika i kliknij przycisk Importuj. Wybierz plik wyeksportowany w etapie 2, a następnie wykonaj czynności podane na ekranie.

Etap 4. Teraz otwórz menu Narzędzia | Konfiguracja kont. W drzewie ustawień swojego konta przeskocz do gałęzi Zabezpieczenia i kliknij przycisk Wybierz w rubryce Szyfrowanie wiadomości. Zaznacz opcję Wymagaj (nie można wysłać wiadomości jeśli nie wszyscy adresaci mają certyfikat), po czym potwierdź przyciskiem OK.

Etap 5. Użytkownik, z którym chcesz wymieniać zaszyfrowane wiadomości, musi wykonać czynności opisane w etapach 1 - 4. Pisząc nową wiadomość, kliknij Zabezpieczenia | Podpisz cyfrowo tę wiadomość. Podczas otwierania wiadomości odebranej w innym pececie Thuinderbird automatycznie pobierze wymagany certyfikat. Od tej pory możesz używać polecenia Zabezpieczenia | Zaszyfruj tę wiadomość do wysyłania zaszyfrowanych wiadomości do tego adresata.


4. Pendrive z zaszyfrowaną skrzynką pocztową

Alternatywnie możesz utworzyć klucz USB zawierający przenośną wersję klienta pocztowego Mozilla Thunderbird ze skrzynką pocztową zaszyfrowaną za pomocą OpenPGP. Przyda ci się w sytuacjach, gdy powinieneś zachować szczególną ostrożność - wysyłając i odbierając pocztę w obcych komputerach, np. w kawiarniach internetowych, na targach lub w hotelach. W ten sposób nie pozostawisz zdradzieckich śladów w cudzym komputerze, a szyfrowanie PGP da ci pewność, że nikt nie uzyska dostępu do twojej korespondencji. Poniższa instrukcja jest przeznaczona dla zaawansowanych użytkowników.

Rozszerzenie EnigMail pozwala szyfrować i opatrywać cyfrowym podpisem korespondencję bezpośrednio w popularnym programie pocztowym Mozilla Thunderbird.Przygotowanie pendrive’a. Pobierz program Mozilla Thunderbird Portable i uruchom instalator. Upewnij się, że jako folder docelowy jest podany pendrive. Gdy uporasz się z czynnościami instalacyjnymi, musisz doinstalować rozszerzenie EnigMail.

Konfigurowanie konta pocztowego. Przy pierwszym uruchomieniu klienta Thunderbird musisz skonfigurować swoje konto pocztowe. Otwórz menu Narzędzia | Konfiguracja kont, kliknij przycisk Operacje i wskaż polecenie Dodaj konto pocztowe. Wpisz swoje imię, nazwisko, adres e-mail i hasło. Na podstawie tych danych Thunderbird powinien wykryć wszystkie ustawienia skrzynki. Wystarczy więc potwierdzić przyciskiem Utwórz konto.

Przejmowanie kluczy szyfrujących. Jeżeli masz już pliki kluczy szyfrujących OpenPGP, skopiuj je do folderu Keys w obrębie folderu konta pocztowego na pendrive. Chodzi o pliki Pubring.gpg, Secring.gpg i Trustdb.gpg. Następnie uruchom kreatora konfiguracji szyfrowania, przywołując menu OpenPGP | Setup Wizard. Zaakceptuj ustawienia domyślne, przechodząc przez kolejne okna. Gdy kreator poprosi o wskazanie klucza, wybierz pliki skopiowane uprzednio do folderu Keys. Kreator samodzielnie wykryje pliki klucza OpenPGP, więc wystarczy tylko zaznaczyć właściwy klucz.

Tworzenie klucza. Jeśli nie masz jeszcze klucza OpenPGP, musisz go założyć. Rozszerzenie EnigMail pozwala to robić bezpośrednio w programie Thunderbird Portable. Uruchom kreatora, otwierając menu OpenPGP | Setup Wizard. Przechodź przez kolejne okna, aż kreator zapyta cię o Passphrase. Zasadniczo chodzi o możliwie długie hasło. Powinno składać się z kilku słów, zawierać duże i małe litery, cyfry, a także losowe znaki specjalne. Wówczas będzie trudne do zrekonstruowania. Po wpisaniu żądanego hasła w obu polach kliknij oba przyciski Next. Potwierdź przyciskiem Finish, a EnigMail utworzy losowo klucz.

W oknie informującym o utworzeniu klucza kliknij Generate certificate. Certyfikat ten ma istotne znaczenie, bo w razie utraty lub szpiegowania pozwala uczynić klucz bezużytecznym. Założony w ten sposób certyfikat zapisz najlepiej na innym pendrive (przechowywanym w bezpiecznym miejscu), abyś mógł z niego skorzystać w razie utraty komputera. W razie problemów zajrzyj do obszernej dokumentacji dostępnej w witrynie EnigMail.

Szyfrowanie poczty. Zgodnie z ustawieniami domyślnymi wszystkie wysyłane od tej pory wiadomości są automatycznie sygnowane twoim kluczem OpenPGP. Oprócz tego już w trakcie pisania wiadomości możesz ją zaszyfrować. Wystarczy przywołać menu OpenPGP | Encrypt Message. Wówczas wiadomość będzie mógł odczytać tylko adresat, którego publicznym kluczem zabezpieczyłeś poufne treści.