Elektronska pošta danes predstavlja obliko komunikacije, ki je veliko bolj razširjena kot pa komunikacije preko telefonskih linij. Ne verjamete? Koliko mailov prejmete, pošljete in posredujete dnevno in koliko telefonskih klicev opravite? Koliko sporočil elektronske pošte posredujete več kot enemu prejemniku? OK – torej smo prepričani, da je danes elektronska pošta bolj razširjena oblika komunikacije, kot pa telefon – pravzaprav je verjetno celo najbolj razširjena oblika komunikacije.
Problem komunikacije preko elektronske pošte pa predstavlja zagotavljanje zasebnosti – no, problemov pri uporabi elektronske pošte je veliko več, ampak zasebnost pri uporabi elektronske pošte nam je zelo pomembna. Sploh prebivalci EU imamo zelo visoka pričakovanja glede pričakovane zasebnosti in ta pričakovanja prenašamo tudi na področje uporabe elektronskih storitev.
Elektronska pošta je storitev, ki je že zelo stara. Zato s sabo prinaša nekatere nevarnosti, ki jih pač nekoliko zastarela tehnologija prinaša. Storitev elektronske pošte je bila praktično ena prvih storitev, ki jih je internet omogočal.
Danes je najbolj priljubljena storitev za uporabo elektronske pošte na zasebnem področju Gmail. Rešitev je enostavna, uporabna, možno jo je uporabljati na vseh platformah, ne glede na operacijski sistema ali namensko aplikacijo za uporabo elektronske pošte. Rešitev pa iz vidika ohranjanja zasebnosti ni ravno najboljša.
Službeno / zasebno?
Zasebnost v razmerju delodajalec / delojemalec je v EU zelo jasno določena in regulirana. Ko govorimo torej o zasebnosti in elektronski pošti, je uporaba elektronske pošte namenjena le v poslovne namene. Ker je tole zapisati eno, izvajati pa drugo, določena stopnja tolerance obstaja – torej elektronska pošta je kljub osnovnemu namenu uporabe za službene namene v razumljivi obliki in obsegu omogočena tudi uporabi v zasebne namene. Tako lahko na primer odgovoriš kolegu, ki te po službi vabi na fuzbal pa pir ali pa kolegici, ki jo je malo strah, ker je sama doma… Nerazumska uporaba pa je na primer, če posreduješ preko službenega maila reklamo za novega BMW-ja, ki ga prodajajo v lokalnem prodajnem salonu vsem, ki jih poznaš .
Ne glede na vse pa delodajalec ne sme in ne more kar brezpogojno dostopati do vašega predala elektronske pošte. Kaj je v tem primeru najboljše?
Naredite si mapo “zasebno” ali podobno in nastavite pravila, da zasebna pošta, ki pač morebiti prihaja v vaš nabiralnik elektronske pošte zaide v to mapo. Tako je vedno vsem jasno, kaj je zasebno, kaj pa službeno.
Kdo bere mojo pošto?
Že brez paranoičnih misli, lahko samo pogledamo nekatera dejstva. Elektronsko pošto uporabljamo več let. Uporabljamo isti naslov elektronske pošte, da lahko naši partnerji v komunikacij z nami normalno komunicirajo. No… …ponudnik storitve pa seveda ima in shranjuje zgodovino izvajanja komunikacije, ki vsebuje tudi intenzivnost komunikacije med posamezniki. Že iz tega je možno razbrati intenzivnost odnosa med ljudmi. Potem pa je tukaj še vsebina sporočil elektronske pošte. Besedilni deli sporočil elektronske pošte se lahko analizirajo z namenskimi algoritmi – na osnovi tega nam Google tudi prikazuje oglase med prebiranjem elektronske pošte. Seveda pa ni samo oglaševanje tisto, ki išče vzorce in besede v naših sporočilih. Podobni algoritmi so vzpostavljeni in se uporabljajo tudi za izvajanje pregledovanja priponk sporočil elektronske pošte. Tukaj je pomembno zavedanje, da ni le in zgolj ponudnik elektronske pošte tisti, ki ima potencialni dostop do sporočil elektronske pošte. Če je verjeti gospodu Edwardu Snowdnu, globalno najbolj znanemu žvižgaču, so si tudi obveščevalne službe s pridom ogledovale zasebne porno zbirke, ki so si jih ljudje izmenjevali preko priponk sporočil elektronske pošte. No – to pa že ima vpliv na zasebnost, mar ne?
Pregledi sporočil elektronske pošte so zanimivi in niso zanimivi. Jaz si na primer ne predstavljam, da je v Ljubljani nek Janez Vez, tajni agent 03, ki cele dneve prebira mojo elektronsko pošto. Še meni je dolgočasna, kaj šele njemu. Pa tega je toliko, da je nenormalno. Ubogi 03.
Spremljanje elektronske pošte danes je osnovano na algoritmih, ki preverjajo določene prisotnosti ključnih besed ali vsebin. In kdo je tisti, ki ga vse to zanima? Ja, na eni strani so to predstavniki korporacij, na drugi strani pa so to predstavniki različnih obveščevalnih služb. Eni bi radi nadzirali posle, drugi pa politično stabilnost in povezana prepričanja. Če realno pogledamo, smo s tem dobili kombinacijo, ki ima na eni strani veliko pooblastil (lahko tudi neformalno dodeljenih) in pa predvsem veliko finančnih sredstev za doseganja lastnih ciljev.
Verjetno zdaj mislite, da sem danes z veliko žlico jedel paranojo, ki jo zdaj delim z vami. Pa poglejmo nekoliko bolj konkretno – država in njeni predstavniki pregona so imeli z državljani urejen odnos, ki je temeljil na tem, da lahko pogledajo v zasebnost komunikacij le v primeru, da obstaja določen utemeljen sum kaznivega dejanja, ki je zadostna podlaga za odreditev dostopa do komunikacije. Ravno Snowden je tale balonček milnice razblinil – povedal je, da se je izvajanje pregledov zasebne komunikacije izvajalo tudi kar tako – malo na zalogo. Imeli so tehnična sredstva in možnosti, pa so malo pogledali. S tem dejstvom in globalizacijo svetovnega spleta, pa več dejansko nismo prepričani, kdo gleda kaj in kje. Torej nismo več omejeni na spremljanja znotraj posamezne države. Ja? Moje pošte ne spremlja Janez Vez, ampak mogoče kdo od njegovih ruskih, izraleskih, ameriških ali pa celo kitajskih kolegov. Aha – torej iz držav, ki imajo za takšne sisteme spremljanja celo dovolj finančnih sredstev, da to lahko izvajajo.
Gmail?
Dajmo razumeti, da pri gmail-u gre pravzaprav za Google račun. Enaki prijavni podatki za vse storitve Googla. Najprej preglejmo osnovne koncepte:
- Brezplačne storitve niso nikoli brezplačne.
- Sporočila elektronske pošte, ki vsebujejo priponke, lahko v priponki vsebujejo škodljivo vsebino, škodljivo programsko opremo…
- Pri uporabi storitev preko odprtih omrežij je enostavno omogočeno izvajanje spremljanja prometa, pa tudi vsebine prometa.
- Če uporabljate nezasebne računalnike, se vedno odjavite po prekinitvi uporabe storitve.
Vsi že relativno dobro poznamo Googlov poslovni model. Ta je osnovan na tem, da zbira spletne navada posameznikov in jih uporablja za namenska oglaševanja in/ali tržne raziskave. Spletno profiliranje je pravzaprav tako zelo močno, da vas preko določenega časovnega obdobja Google lahko prepozna, brez da bi se pravzaprav kakorkoli identificirali. Kako nam Google pravzaprav sledi? Seveda je najbolj očitna oblika sledenja tista, da se prijavimo v Google račun z na primer brskalnikom Crome, ker gremo:
a) prebirat pošto,
b) ker nam youtube pravi, da je potrebno za ogled posnetka izvesti preverjanje starosti
Na enkrat smo prijavljeni in sledenje se lahko izvaja.
V svetu nekoliko bolj paranoičnih ljudi se širijo celo govorice, da je Google v brskalnik Chrome vgradil kreiranje identifikatorja, ki se računa na podlagi operacijskega sistema, MAC oznake omrežnih kartic ter različice brskalnika Chrome. Ta identifikator bi potem služil kot identifikator brskanja na posamezni računalniški napravi. S takšnim pristopom je potem rešeno praktično vse – tudi sledenje preko brskanja v zasebnem načinu. Pa sej Google že ni takšen…
Če se vrnemo k elektronski pošti – pri Googlu so za vas poskrbeli s ciljno osredotočenim oglaševanjem. To je prilagojeno vaši zgodovini brskanja in vašim sporočilom elektronske pošte. Tudi zadetki brskanja so prilagojeni. To torej pomeni, da vam dejansko Google povsem usmerjeno ponuja informacije. Glede na to, da vse stvari, ki jih ne poznamo, gremo najprej “pogooglat” vam je zdaj verjetno že postalo jasno, da sta navadna google-lutka. Marioneta.
Rešitve, ki so zanimive za zagotavljanje varnosti ob dostopih do elektronske pošte, sta zagotovo VPN in pa mehanizmi šifriranja podatkov. Prvi vam omogoča dejansko “skrivanje” lokacije, iz katere dostopate na splet in večjo varnost, ki vam preti s strani groženj lokalnih (zasebnih) omrežij, iz katerih dostopate do spleta. Drugi mehanizem pa vas ščiti pred vsebinskimi napadi. Pravzaprav bi bilo zanimivo pošiljanje sporočila z vsebino “v prilogi pošiljam sporočilo” – to pa bi bilo dejansko v priloženi šifrirani datoteki. To bi prenesli k sebi in jo potem na svoji oprememi pregledali in odprli.
…no, saj v nadaljevanju piše, kako je to tudi bolje urejeno.
Kaj pa so alternative?
Proton mail – ena redkih storitev, ki se ponuja iz geografskega območja EU. Ponudnik ima sedež v Švici in zagotavlja zaščito zasebnosti skladno z zahtevami švicarske zakonodaje, kjer je zasebnost visoko spoštovana in cenjena. Storitev je na voljo od leta 2014. Financirana je s strani uporabnikov, ki plačujejo storitev. Za 5 EUR mesečno ponuja 5Gb prostora, ki pa je šifriran. Proton mail razkriva le naslovnika in zadevo, dostopa do vsebine pa nima niti ponudnik sam. Seveda, če pošljemo sporočilo na naslov gmail nismo ravno naredili veliko?!? Ja, ni tako – prejemnik ima ključ, s katerim sporočilo lahko odpre le on. Sporočilo prejme, odpre ga v ločenem okolju od ponudnika storitve elektronske pošte in … to je to.
Kolab Now – vsebinsko predstavlja alternativo celotnemu paketu Google storitev, in ne le alternativo elektronski pošti. Vključuje pisarniški paket, koledar, bazo stikov, nad dokumenti pa omogoča tudi izvajanje sočasnega urejanje za pooblaščene uporabnike. Seveda je storitev plačljiva.
CounterMail – ponudnik storitve elektronske pošte, ki vključuje enkripcijo. Zanimiv varnostno / poslovni model temelji tudi na tehnični nezmožnosti zapisovanja podatkov, saj njihovi spletni strežniki ne vsebujejo trdih diskov, sistem se zaganja preko CD/DVD enote. Spletni strežnik sicer dostopa do poštnega strežnika, na katerem pa je hramba podatkov. Sistem sicer temelji na 4 slojih šifriranja in je zanimiva predvsem za totalne cyber paranoike.
Start mail – temelji na enkripciji podatkov z algoritmom PGP (pretty good privacy). Zanimiv je predvsem po tem, da je pri njih zaposlen tudi avtor PGP enkripcije (Phil Zimmermann), ki je do danes eden najbolj varnih šifrirnih algoritmov.
Lavabit – pri ponudniku elektronske pošte je bolj prepoznavna zgodba, kot pa rešitev sama. Storitev je namreč uporabljal za svojo komunikacijo tudi Snowden. Ko so prišli do ponudnika predstavniki oblasti z nalogom, da naj preda podatke in podatkovne baze vseh uporabnikov, je ta raje izvedel izbris podatkov, kot pa predajo podatkov predstavnikom oblasti. Nekaj časa je bila storitev nedostopna, zdaj pa se je vrnila v novi različici. Storitev je cenovno zelo dostopna, zakriva pa tudi meta podatke. Storitev ima vse pričakovane varnostne lastnosti, velik varnostni pomanjkljaj pa je dejstvo, da je sedež ponudnika v ZDA, kjer pač zasebnost ni najbolj cenjena in imajo oblasti zelo velika pooblastila.
Povzetek?
Če uporabljate elektronsko pošte in bi želeli nekaj več varnosti na področju izmenjave podatkov, bo potrebno pričeti z uporabo šifrirnih algoritmov. To lahko naredite sistematično preko uporabo plačljive storitve, ali pa z uporabo dodatkov za šifriranje podatkov. Pri izbiri je potrebno vedeti. pred kom se pravzaprav želimo zaščititi in na kakšen način – ali pred ponudnikom storitve, ali pred tistim, ki bi lahko prisluškoval omrežju, pa pred tistim, ki bi izvajal nepooblaščen dostop na napravo, ki jo uporabljate.
Lahko brez gmaila?
Težko. Brez Google računa je danes dejansko težko izvajati uporabo spleta in pametnega mobilnega telefona, ki deluje na Android platformi. Tudi Youtube je nekoliko težje uporabljati brez omejitev, če nimate registriranega Google računa.
Šifrirano ali pa ne –> nazaj delat je treba it.
