Elektronska pošta je bistvenega pomena za vašo varnost in vredna posebne pozornosti. Je osrednje spletno sidro, ker je podlaga za širitev prisotnosti na druge spletne platforme. Poenostavljeno, svoj (Gmail) račun vpišete pri registraciji na Facebooku, MMC-ju ali Tinderju. In če tam pozabite geslo, potem sidro poskrbi za obnovo. Mehanizem lahko zlorabijo zlikovci. Če vam kdo vdre v e-pošto, vam lahko posmuka tudi druge račune, tam menja geslo in si jih lahko tudi nepovratno prisvoji.
E-poštnega naslova se ne menjuje pogosto. Velika večina ljudi svoj Gmail ali Yahoo! Mail uporablja na dolge proge v nasprotju z MySpacei, Twooi ipd. V njem se ugnezdi, počuti dokaj varno in zasebno. Skozenj letijo osebna pisma, morda kočljive fotografije ali poslovni načrti, vsekakor številne občutljive informacije. Na neki način je kar povzetek kakšnega desetletja ali dveh življenja z vsemi osebnimi povezavami, ki ste jih v tem času stabilno vzpostavili. Zato ni vseeno, katerega ponudnika e-pošte izberete.
Tako kot pri e-pošti kot tako rekoč vseh drugih storitvah se je dobro držati naslednje maksime: če ne plačate, ste zelo verjetno produkt vi. Sicer se je ne da posplošiti na čisto vse primere, morda komu delamo krivico, a čez palec velja. Podjetje od nekod mora dobiti denar, in če mu ga ne daste vi, potem se je dobro vprašati, kako v resnici služi svoj vsakdanji kruh. Najpogosteje pač prečesa vsebino vaše pošte do zadnjega znaka, zbira vaše metapodatke, zbrano pa posredno ali neposredno ponuja oglaševalcem, ki so zainteresirani, da vam ponudijo res želeni produkt.
Napaberkovani podatki seveda dišijo tudi državam. Zato se je dobro izogibati očetnjavam z močnimi nadzorovalnimi apetiti. Za nas najbolj aktualna je t. i. skupina Petero oči, torej ZDA, Kanada, Velika Britanija, Avstralija in Nova Zelandija, ki na obveščevalnem področju tesno sodelujejo in so se že dokazale z globokimi posegi. Med podatkovno lačne očetnjave se zlahka uvrstita Rusija, Kitajska, pa tudi Nemčija je med njimi, če sledimo Snowdnovim razkritjem. Tam delujoči ponudnik e-pošte utegne biti (bolj ali manj) prisiljen v sodelovanje z obveščevalno-varnostnimi službami, včasih kar množično in vsepoprek. Po domače, če imate tam svoj predalnik, vam utegnejo po njem brskati državne agencije, če že ne dostopati do metapodatkov.
Nikoli ne gre pozabiti tega: zaščita je dobra le toliko, kolikor je zaščiten vaš sogovornik. E-pošto lahko pošljete iz najvarnejšega digitalnega bunkerja, a ko je enkrat prišla naslovniku v Gmail, jo Google prebere. In kolikor gre verjeti Snowndu, lahko tudi NSA.
Predvsem pa, še tako varna e-pošta ni zares varna. Razlog tiči v njeni naravi. Temeljne protokole so postavili v časih, ko je bil splet obskurna zadeva in varnost pred vohljanjem ni bila ravno prvi cilj. Tako je vedno vidna glava sporočila, t. i. metapodatki, ki razkrijejo tako naslovnika kot pošiljatelja, časovnico in še marsikaj, podobno kot lahko poštar prebere vse na ovojnici. Ali pa NSA-jev vohljaški program XKeyscore. Dobro je imeti naprednega ponudnika, a kdor hoče resnično zasebno in varno komunikacijo, bo moral uporabiti druge kanale in se priučiti dobrih praks elektronske komunikacije.
Ob vsej latovščini in naprednih tehnoloških rešitvah pa se je treba zavedati skorajda ključnega elementa spletne varnosti, povzetega v tem stripu. Še ultravisokomeganapreden e-poštnik ni varen, če so lastniki predmet fizičnega izsiljevanja (morebiti v Rusiji) ali pa če ste nevešč, morebiti celo nemaren lastnik računalnika, polnega virusov, ki dokumentirajo vaše tipkanje, snemajo zaslon in zbrano pošiljajo zlikovcem. Varnost je obzidje, zato luknja na enem koncu lahko pomeni nepomembnost zidu nasploh.
POVZETEK BISTVENIH MERIL
Pod črto: ponudnik e-pošte ne sme temeljiti na ekonomiji osebnih podatkov, delovati mora v varni državi, uporabljati visoko raven šifriranja podatkov, ne sme biti kompromitiran (vpleten v sumljivo delovanje ali incident), uporaben brez naprednega računalniškega znanja. Spodaj smo našteli ponudnike, ki ustrezajo vsem ali večini meril. Dodali smo tudi nekaj ponudnikov, ki jih je mogoče najti na številnih drugih priporočilnih seznamih po vsem spletu, toda meril ne izpolnjujejo. Predstavili smo jih, ker je treba ločiti zrnje od plev. |
- ENKRIPCIJA: Pri spletni pošti je predpogoj vsega uporaba šifriranih HTTPS-povezav. Brez tega je enaka poštni razglednici, prebere jo lahko vsak poštar ali kdor koli drug, ki jo dobi v roke. In ne le, da ponudnik HTTPS podpira, v uporabi mora biti ves čas. V naslovu strani (URL) mora pisati https, in ne http. Ponudniki brez tega so bili s seznama izključeni. Pošta z namenskim programjem potrebuje standard TLS.
- ENKRIPCIJA NA OBEH KONCIH: Pošta naj ima dodaten sloj enkripcije (t. i. E2EE), da jo lahko bereta le pošiljatelj in naslovnik, ponudnik e-pošte pa načeloma ne; čeprav lahko ima t. i. glavni ključ za izjemne primere, kar kaže znani primer Lavabita (več o tem spodaj). Ali pa vdelana stranska vrata za agencije. A kljub temu gre za zelo koristno varnostno nadgradnjo. Opozorilo: ne glede na enkripcijo bodo metapodatki nezaščiteni. Izjeme so redke in dvoma vredne. Če želite to bolje skriti, se je treba podati na temni splet skozi Tor. Pa še tam ni 100-odstotne zaščite ...
- Koristna je tudi enkripcija v mirujočem stanju (t. i. zero-access), kar v celoti preprečuje ponudniku, da bi dostopal do vaše vsebine.
- VEČSTOPENJSKO PREVERJANJE IDENTITETE: Zgodovina medmrežja je pokazala, da eno samo geslo ni dovolj. Lahko je preveč očitno ali preprosto, lahko se zlorabi mehanizem osebnega vprašanja, včasih nepridiprav kliče k ponudniku in se predstavi kot vi in še kup je načinov, s katerimi so nepridipravi vdirali v račune prav prek geselnega mehanizma. Dobro je torej, če je identifikacija večstopenjska (MFA). Dve gesli, dodatno potrjevanje prek certifikata, RSA-ja ali zasebnega ključa ... Geslo mora biti napredno, zapleteno, za to je odgovoren uporabnik sam. Več o problematiki bomo predstavili v enem izmed prihajajočih člankov.
- UPORABNOST: Gmail in podobni so postavili visoke standarde gladkosti uporabe in vdelanih izbir. Alternativa ne sme biti vsega dobrega okleščena različica. Ali drugače, uporabnik ne sme osiveti.
- PROTOKOLI – Protokol je neke vrste temeljni dogovor za delovanje določene storitve. Če je ponudnik zasnovan na obskurnem formatu, potem je manj združljiv z drugimi, kar oteži ali onemogoči migracijo starega predalnika k novemu. Nihče si najbrž ne želi ročno posredovati 20.000 sporočil iz Gmaila, vsako posebej. Podpora standardom IMAP, POP3 ali SMTP je pomembna, če gremo v podrobnosti, tudi naprednejšim različicam (POP3S, IMAPS ...).
- LETO USTANOVITVE: Leta 2016 splavljena rešitev utegne kmalu ugasniti. Nihče najbrž noče ponoviti izkušnje ponudnika email.si, ki je leta 2009 čez noč izginil z vso vsebino vred. Če pa ponudnik uspešno deluje že od leta 1999, nekaj je na njem in je za odtenek bolj zaupanja vreden. A vseeno se je treba vprašati, koliko arhitekture iz tistega (za računalništvo prazgodovinskega) časa je ohranil. Prav tako starost nič ne pove o vseh drugih varnostnih praksah, zato se je nikakor ne sme obravnavati izolirano. Pove le, da ponudnik ni muha enodnevnica.
Zgodba o propadli pošti in svarilu nekega Američana
Mladi ameriški podjetnik Ladar Levison je deset let gradil svojo elektronsko pošto, Lavabit. V tem času je prilezel do oprijemljivih 400.000 uporabnikov, ki so cenili napredne varnostne rešitve. Nekega avgustovskega dne jih je presenetilo skopo, a vseeno povedno sporočilo ustanovitelja: "Prisiljen sem bil v težko odločitev: ali postati sokriv zločinov proti ameriškemu ljudstvu ali pa odkorakati od desetih let težkega dela in zapreti Lavabit." Pošto je čez noč ugasnil.
Kaj se je zgodilo?
Korenine zgodbe segajo v leto 2001, ko so ZDA doživele največji napad na lastnih tleh v sodobni zgodovini. Politika je skoraj čez noč sprejela zakon o domovinski varnosti (Patriot Act), ki je obveščevalno-varnostnim službam podelil obširne pristojnosti. Ladar Levison je s študentskimi kolegi kot odgovor začel snovati elektronsko pošto Lavabit, varno pred državnim vohljanjem, med razlogi pa je naštel tudi nezadovoljstvo z zasebnostjo v vse bolj priljubljenem Gmailu.
Varnostna naravnanost je privabila pozornost nekega Edwarda Snowdna, ki je registriral svoj račun. In kalvarija Lavabita se je začela.
Snowden je junija 2013 pobegnil iz ZDA in takratnemu novinarju Guardiana predal številne dokumente o ameriških programih množičnega zbiranja podatkov. Objava je v tamkajšnjem pravosodju in medijih sprožila vihar. Mesec dni pozneje je Snowden poslal vabilo na tiskovno konferenco v Moskvi z elektronskega naslova Ed_Snowden@lavabit.com. Naenkrat so bile vse oči uprte v dotlej minornega ponudnika elektronske pošte.
Ko potrkajo predstavniki oblasti ...
Ni trajalo dolgo, ko so se na vratih Lavabita pojavili agentje FBI-ja z zahtevki in za nameček Levisonu prepovedali kakršno koli govorjenje o zadevi. (Podrobnosti je Levison razkril šele leto dni pozneje z javno objavo v Guardianu.)
Poudaril je, da ni neke vrste zasebnostni absolutist, verjame v pravno državo in je zato dotlej več ducatkrat ugodil sodiščem, ki so zahtevala podatke za kazenske zadeve. A tokrat se je zataknilo.
"Sledilo je 38 dni vrtinca pravnih postopov. Na koncu ni ugasnilo samo moje zagonsko podjetje, temveč tudi temeljno načelo, na katerem sem ga osnoval – da imamo vsi pravico do zasebnosti."
... in hočejo podatke o vseh, ne le o osumljenem
Že od začetka je bil po lastnih navedbah prisiljen vgraditi prisluškovalno napravo, namenjeno prestrezanju prometa med naslovniki in infrastrukturo Lavabita. "A to še ni bilo dovolj. Zvezni agentje so zatrdili, da sodišče od mene zahteva zasebne enkripcijske ključe. Uprl sem se."
Natančneje, oblast je zahtevala zasebne SSL-ključe, ki s šifriranjem ščitijo promet med strankami in poštnim strežnikom. Vse. Levison bi po lastnih besedah s tem izpostavil celotno bazo podatkov, ne glede na to, ali gre za osumljence kaznivih dejanj ali povsem nedolžne uporabnike, vse od prvega do zadnjega. Oblast je široko zahtevo utemeljila rekoč, da gre za strojno branje in iskanje dokaznega gradiva, zato morajo dobiti v roke celotno bazo. Pa tudi če bi Levison sam izoliral Snowdnov račun, bi mu oblast bila prisiljena verjeti na besedo, to pa ni bila pripravljena storiti.
Levison je poskušal z nekaj zvijačami. Po poročanju medija Wired je oblastem dejansko poslal, kar so zahtevale: enkripcijske SSL-ključe. Toda natisnjene na desetinah strani s pisavo velikosti 4, kar agentom seveda ni dišalo. Še manj sodnici, ki ga je obtožila nespoštovanja sodišča, mu zagrozila z zaporom in naložila nekaj pravnih zank. Dala mu je tri dni, da odpre celoten Lavabitov arhiv, sicer ...
Tri dni pozneje je Levison zaprl svoje življenjsko delo.
Po polomiji vzniknila nova generacija
Sodni postopki so se vlekli še leta. Da je oblast iskala prav Snowdnove podatke, je pravosodje po nesreči razkrilo leta 2017.
Lavabit je bil za svoje čase tehnično napredna e-pošta, a kaj hitro je postalo jasno, kje so ranljivosti. Nekaj dni po Levisonovem sporočilu je svoje enkripcijske ključe pobrisal Silent Cirlce, še en ponudnik zasebne elektronske pošte, in storitev ugasnil. Dokler lahko ponudnik bere pošto, jo lahko tudi država.
Primer Lavabit je sprožil razvoj druge generacije varnih pošt, ki temeljijo na šifriranju od pošiljatelja do naslovnika, medtem ko jih vmesnik, poštar, ne more prebrati. (Načeloma, saj ima tudi sisitem E2EE svoje pomanjkljivosti, predvsem pa ne more nadomestiti splošne pazljivosti uporabnika. A o tem več drugič.)
Številne sodobnejše ponudnike predstavljamo v spodnjem seznamu, med drugim tudi prenovljeni Lavabit.
Svarilo nekega Američana
Še vedno odzvanja Levisonovo sporočilo, ki ga je svetu razposlal 8. avgusta 2013, ko je bil prisiljen v zaprtje. "Iz te izkušnje sem izvlekel eno zelo pomembno spoznanje. Dokler ne bo zakonodajnih sprememb ali trdnega sodnega precedensa, vsem močno odsvetujem posredovanje in zaupanje svojih podatkov podjetju, ki je z ZDA fizično povezano."
10 izbranih ponudnikov zasebnostno naravnane pošte
POMEMBEN POUDAREK: MMC ne zagotavlja, da so spodaj navedeni ponudniki 100-odstotno varni. Prvič zato, ker tega NIHČE ne more zagotoviti, tudi oni sami ne, pa naj bodo še tako dobronamerni. Drugič, ker za nikogar ne bomo dali roke v ogenj, da je dobrih namenov ali nezmotljiv. Končna izbira je in mora biti vedno na strani uporabnika samega. MMC navaja seznam, ki je iz zbranih podatkov videti kot potencialno dobra izbira, vsak sam pa naj stvari še dodatno preveri, saj bo posledice morebitnih nevšečnosti čutil sam. Popolna varnost na medmrežju pač ne obstaja. Vsaka rešitev ima hibe, in če se skupina znalcev spravi na tarčo, bo luknjo prej ali slej našla. Obenem to ne pomeni, da se je treba od spleta zato popolnoma izolirati in se vrniti v bakreno dobo. Na neki točki je pač treba sešteti vse znane dejavnike in nekomu zaupati, sicer posameznik pač ostane puščavnik. Vsa nadaljnja dejanja pa naj bodo ustrezno previdna.
ProtonMail je švicarski ponudnik elektronske pošte. Leta 2014 so ga ustanovili trije takratni raziskovalci v CERN-u, zagon so finančno podprli s kampanjo množičnega financiranja. Danes se pohvali, da je "največji ponudnik varne elektronske pošte na svetu" s petimi milijoni uporabnikov. Število daje upanje, da gre za dolgoročno stabilno rešitev. Trdijo, da je podjetje danes financirano skoraj izključno iz naročnin, zato ni ranljivo od oglaševalcev. Od začetka je Protonmail zasnovan z varnostjo kot osrednjo vrednoto: vsebina je kriptirana pri uporabniku in ProtonMail je (po lastnih trditvah) ne more prebrati. Gre torej za kombinacijo šifriranja end-end in zero access. Strežniki so v Švici, glavni med njimi v podzemnem in strogo varovanem bunkerju (kar naj bi pričalo v korist varnostni naravnanosti), in do njih lahko državni akterji dostopajo le prek švicarskega pravosodja, kar ne more biti prikrito. Je aktivno vzdrževan in ves čas dodaja nove funkcionalnosti, zato prehod z Gmaila ni tako boleč, kot bi bilo pričakovati.
Dobrodošel je opcijski dodatek navideznega zasebnega omrežja (VPN), storitve, ki dodatno zaščiti vašo medmrežno povezavo. Seveda, če Protonu dovolj zaupate. Z varnostnega in zasebnostnega vidika ni dobro vsega staviti na enega ponudnika, ali kot rečejo Angleži, položiti vseh jajc v eno košaro. Če bi Protonmail utrpel varnostni incident in bi uporabili tako njegovo pošto kot VPN, bi se zlikovci lahko polastili obojega, zato je priporočljivo najti drugega VPN-ponudnika.
Protonmail je plačljiv začenši s petimi evri na mesec, kar so tri kave v Ljubljani. Ponuja tudi zastonjski osnovni račun, kar je dobro za vnaprejšnje testiranje, a s premajhnim osnovnim prostorom za dolgoročno delovanje. Še posebej pomembno: njihova filozofija vključuje zavedanje, da so ranljivi in da je le vprašanje časa, kdaj jim bo nekdo izvrtal luknjo. Realnost stališča je dobra popotnica, zato MMC ProtonMail priporoča na prvem mestu. Rešitev daje vtis, da je trenutno na trgu najboljša. Toda pozor: manjka integracija s širšimi storitvami, kot je koledar, kar je za marsikoga nujnost. Ima tudi številne pomanjkljivosti, kot npr. iskanje po predalniku, ki je resnično zanič. Nesmiselno je, da plačevanje z bitcoini, kar je temelj anonimnosti, omogočajo le za že obstoječe plačljive račune, torej je uporabnik številko kartice že predal. Vredno je prisluhniti tudi kritikom ProtonMaila in vedeti, da se npr. naslovna vrstica ne šifrira. Kritiki še izpostavljajo, da je ProtonMail v delni ameriški lasti, kar je potencialna ranljivost.
Podobno kot ProtonMail je tudi Kolab Now švicarska družba, kar je plus z vidika zakonske zaščite. Ustanovljena je bila že leta 2003, z e-pošto pa se je začela ukvarjati pozneje, sprva z znanim projektom RoundCube, lasten poštni privesek pa je dobila desetletje pozneje, vzporedno s Snowdnovimi razkritji. Osnovani so izključno na odprtokodnih rešitvah, kar je dobro z vidika transparentnosti. Toda: ne uporabljajo enkripcije z obeh koncev in lahko vsebino pošte sami prebirajo. Da je ne, jim je treba zaupati. V podjetju odsotnost dvostranske enkripcije zagovarjajo z besedami, da gre pri tovrstnem zakodiranju za zavajanje potrošnikov, saj lahko ponudnik nadzoruje programsko opremo, iz katere vaš enkripcijski ključ izhaja, poleg tega gre ključ skozi brskalnik, kjer ga lahko ponudnik e-pošte prebere. Namesto tega uporabnike spodbuja, naj si enkripcijo z obeh koncev zagotovijo prek zunanjih ponudnikov. V modelu groženj ignorirajo celo vrsto morebitnih nevarnosti, na primer notranje grožnje, možnost kraje podatkov ...
Ima pa v primerjavi s Protonom precej več funkcionalnosti, saj gre pravzaprav za široko delovno okolje v oblaku, katerega e-pošta je le delček in je vanj brezšivno integrirana. Ponuja koledar (za marsikoga je to nuja), opomnike, oblačno hrambo, dokumente in urejevalnike širokega nabora, pa še prgišče orodij za lažje koordiniranje, kar je namenjeno poslovnim ekipam. A zavedati se je treba, da višja funkcionalnost terja svojo ceno: zmanjšano varnost. Veriga je namreč močna toliko kot njen najšibkejši člen. Ko ena aplikacija popusti, je lahko kompromitirano tudi vse drugo.
Zastonjske izbire ni, je pa mogoče naročnino plačati z bitnimi kovanci, kar gre v korist anonimnosti. Prav tako ni aplikacij za mobilnike, a ker podpira IMAP-protokol, to ni posebna ovira za integracijo po plejadi različnih naprav. Torej, deklarirano manj varen kot ProtonMail, tipičen primer varnosti na podlagi načel; a obenem precej uporabnejši in cenovno primerljivejši.
Mailfence je hibrid prvih dveh na seznamu. Komur se gabi odsotnost koledarskih opomnikov pri Protonu in obenem ne mara nižje stopnje varnosti Kolaba, lahko pri Mailfenceu najde nekaj zase. Kot e-pošta ponuja večino Protonovih storitev, je pa v uporabniški izkušnji za odtenek nerodnejši in tudi vizualno prej spominja na predalnike prejšnjega desetletja. Lahko se pa pohvali z obojestranskim kriptiranjem, kar manjka Kolabu. V paketu pride še razširjeno delovno okolje z oblačno hrambo dokumentov in možnostjo deljenja po skupini, kar je primerno za poslovno sodelovanje, toda nabor orodij je v primerjavi s Kolabom špartanski. Če ne drugega, omogoča vsaj hitri klepet, kar je na pričujočem seznamu redkost. Belgijsko podjetje daje vtis, da varnost jemlje resno, med drugim z rednim objavljanjem zahtevkov njihovega pravosodja in vsebino modela varnosti. Je mešanica ProtoKolab pravšnja? Vsekakor vredno preverbe pred uporabo, ki jo osnovni zastonjski paket omogoča, prvi plačljivi pa šteje pol manj kot ProtonMail: 2,5 evra na mesec.
Okleščena, varnostno paranoična različica e-pošte. Za naprednejše uporabnike, ki jim višja stopnja zahtevnosti ne gre toliko v nos in ki so se v zameno pripravljeni odpovedati vsakršnemu udobju. Kot pravijo na SICEH-u: "Dizajn je izlet v leto 2000." Countermail dodaja vmesnika med vami in njihovim strežnikom za e-pošto: še en strežnik, ki nima trdih diskov. Poganja se prek CD-ROM-a in ne zapisuje IP-številk. Ponašajo se kar s štirimi, medsebojno neodvisnimi sloji šifriranja. Zatrjujejo, da edini na svetu nudijo zaščito pred t. i. napadi man-in-the-middle. Večstopenjsko prepoznavanje identitete ponujajo tudi prek USB-ključa, prav tako lahko prek USB-ja poganjate samega klienta. Za visoko ceno. 500 MB stane 4,3 evra na mesec, s tem, da je treba vsak dodaten gigabajt kupiti (z enkratnim plačilom) 70 evrov. CounterMail je nastanjen na Švedskem, kar je načeloma dobro, čeprav primer Juliana Assangea meče senco dvoma glede sodelovanja obveščevalcev Švedske in Združenih držav Amerike. Njihov lastnik se sicer zaklinja, da kaj takega ne bi dopustil. Še več, komur koli, ki bi pri drugem ponudniku našel takšen nabor varnostnih in zasebnostnih zaščit, kot jih ima CounterMail, ponuja 10.000 dolarjev.
Stvarniki znanega iskalnika StartPage, ki je pravzaprav anonimni obvod Googla, so se po uspehu namenili lovorike pobirati tudi na področju e-pošte. V postsnowdnovskem obdobju so lansirali StartMail in pri tem naleteli tudi na pozitiven sprejem v tehnoloških medijih, saj se produkt pojavlja v skoraj vseh spletnih priporočilih za zasebno in varno pošto. No, na prvi pogled ima vse potrebne dobrote enkripcije. Za isto ceno kot ProtonMail se dobi dvakrat več prostora, podporo starim protokolom za lažji prehod, neomejeno naslovov za odmet, kar je velik plus ...
Ampak. Ampak! Uporaba ne ravno blesti. Občutek je podoben rokovanju z Outlookom leta 2001 na Oknih 98. StartMail je počasen, stvari se zatikajo, manjkajo oznake in še marsikaj. Prehod z Yahoo maila bo za večino prevelik šok.
Nadaljnja analiza razkrije še marsikatero pomanjkljivost. Njihova bela knjiga je polna izgovorov, zakaj se izogibati dobrim praksam večslojne zaščite, podobno kot Kolab Now. Spletna stran uporablja Googlov sledilnik in posledično so lahko podatki, kot so IP-naslovi, tip brskalnika, na voljo marsikomu, ne le StartMailu. Ob teh pomanjkljivostih ga ne moremo priporočiti niti kot sekundarni e-mail naslov. Če človek plača za zasebnost, mora dobiti kaj več.
Morda se bodo s prihodom znanega imena, stvaritelja PGP-ja Phila Zimmermanna, stvari v prihodnosti spremenile na bolje.
Kot plus lahko navedemo danski pravni okvir. A tudi v tem se počasi kažejo luknje, lani je namreč vlada sprejela sporen zakon o množičnem nadzoru, ki je letos na referendumu padel, a težnje in naklonjenost znotraj politike razgalja.
Še ena samooklicana švicarska trdnjava, ki obljublja varno hrambo, med drugim s kriptiranimi strežniki in odstranjevanjem IP-ja pošiljatelja iz posredovanega sporočila. Na prizorišču so že od leta 2003 in so na videz privlačna rešitev, ki jo kot alternativo Gmailu ponuja precej spletnih vodnikov. Toda pozor: na spletu mrgolijo tudi komentarji uporabnikov, ki se pritožujejo nad neodzivnostjo. Podpora strankam je po njihovih besedah skoraj neobstoječa in je na zunaj videti, kot da se platforma počasi opušča. Ali pa da ne dobiva rednih nadgradenj, kar je z vidika varnosti neodgovorno, vzbuja pa tudi sume, da utegne ponudnik z vsebino vred nekega dne izginiti. Ob razmeroma visoki ceni, še posebej ob dodajanju gigabajtov hrambe, ne obetajo.
Slavni Lavabit, katerega zgodbo povzemamo na dnu članka, se je z letom 2017 vrnil. Gre za edinega znanega e-poštarja, ki se je javno in dejansko uprl ameriškemu pravosodju. Še več, raje je zaprl podjetje, kot da bi očetnjavi predal zasebnost uporabnikov. To viša zaupanje, čeprav gre za ponudnika iz ZDA, tem pa se je načeloma bolje izogniti. Inkarnacija se pohvali z nekaj izrednimi varnostnimi dragulji. Na vrh uvrščajo kar kriptiranje metapodatkov, kar je za e-pošto izjemen dosežek, zahvala gre novemu protokolu Dark Mail TP. Ustanovitelj in upornik oblastem Ladar Levison ga je razvijal v vmesnem času od zaprtja prejšnje različice do danes in ga ponudil javnosti – zastonj.
Projekt je zasnoval odprtokodno, kar je pohvalno. Vsakdo lahko preveri kodo, ki jo bo poganjal na svojem računalniku. Stopnja transparentnosti je torej za celo stopnjo višja od ProtonMaila, zgrajenega na zaprtem sistemu. Zelo pozitivno je tudi, da je produkt zgrajen na načelu vgrajene zasebnosti (t. i. privacy by design), dobro dokumentiran in predvsem, da inovativno naslavlja pomanjkljivosti zastarelih protokolov.
Lavabitova pošta ni brezplačna, a pri borih dveh evrih na mesec za pet gigabajtov med najcenejšimi. Kot nadgradnje ponujajo tudi oblačno shrambo in programje za postavitev lastnega e-poštnega strežnika, kar je celostno videti kot napredna ponudba.
Toda: novi Lavabit ni objavil svojega modela groženj in se na spletni strani hvali, da je neprebojen. Takšnih izjav si kibervarnostni strokovnjaki ne bi smeli privoščiti in pustijo okus po pelinu. Poleg tega ne omeni pomembnega podatka: obljuba o zakrivanju metapodatkov drži le, če tudi prejemnik uporablja protokol Dark Mail TP. Poleg tega spletna stran vsebuje Googlov sledilnik in očitne pomanjkljivosti.
Zmoti tudi bistvena razlika med optimističnimi napovedmi iz preteklosti in dejansko razširjenostjo tehnologije danes. Novi Lavabit tako ima svoje kritike. Če dodamo hendikep izvorne države, sicer zvenečega imena in obetajoče storitve ne moremo uvrstiti na vrh seznama. A tudi odsvetujemo ga ne. Veljata dodatna previdnost in osebno preverjanje. Morebiti se bodo dolgoročno izkazali.
SCRYPTmail je čez palec podoben ProtonMailu, prav tako ustanovljen leta 2014, marsikje se prekriva tudi po zmogljivostih. Ponuja enkripcijo med obema koncema, dvofaktorsko ugotavljanje identitete, ne shranjuje metapodatkov in jih poskuša prikrivati tudi v pošti, poleg tega ima generator e-naslovov za enkratno uporabo. Kar pride prav. Njihova filozofija je tudi primerna: obljubljajo iskrenost o lastnih šibkostih in omogočajo dostop do celotne kode, kar zagotavlja transparentnost. Pa še poceni so. In nič manj pomembno: kot eni redkih zagotavljajo Tor kanal za tiste bolj paranoične. Sami so transparentno (in pohvalno) razkrili, da so jih oblasti doslej osemkrat zaprosile za razkritje IP-naslovov, kar so vsakič odobrili. Toda podrobnejši pregled razkrije, da gre pravzaprav za slabšo različico ProtonMaila. Kot bi namesto domačega, hladno stiskanega olivnega olja kupili ceneno olje trgovske blagovne znamke. SCRYPTmail je ProtonMail z manj uporabnimi bombončki in tako rekoč nima primerjalnih prednosti. Minus so tudi strežniki v ZDA, čeprav ustanovitelj in programer Sergei Krutov argumentira, da to ni nič bistveno slabše od Nemčije, Islandije ali Švice. Presodite sami. Še en negativen dejavnik: kot je videti, so lansko poletje zašli v finančno stisko in prihodnost SCRYPTmaila je vprašljiva. Morda tudi zato, ker si je Krutov zadal prevelik zalogaj kot edini zaposleni.
Samosvoj projekt s samosvoje Islandije. Mailpile je odprtokodni program, ki se namesti na računalnik in se pretvarja, da je domačespletni e-poštni strežnik. Uporablja pa se za že obstoječe poštne naslove, tudi za Gmail. Tamkajšnjo pošto izvozi in jo kriptirano shranjuje na trdi disk računalnika ali mobilnika, da je vedno dostopna (tudi brez medmrežja) in da ni neposredno v rokah tehnovelikanov. Integriran ima tudi lasten spletni iskalnik. Mailpile ni zaresna alternativa prej omenjenim, a ker je tako samosvoja, nenavadna in visokoleteča, si zasluži omembo na seznamu. Njihov namen ni nič manj kot "rešiti naša življenja iz internetnega oblaka" in "vrniti internet v decentralizirano stanje". Rešitev je popolnoma zastonj in v razvoju. Znalce vabijo, naj jim pri tem pomagajo. Očitno je, da je zadeva še v razvoju, a na splošno gredo ideje v pravo smer, podobno kot v projektu Solid. Očiten minus je le Googlov analitični sledilnik na spletni strani.
Norvežani se radi pohvalijo, da so strežnike namestili v strogo varovano poslopje, obkroženo z žičnato ograjo; kar naj bi izkazovalo njihovo varnostno zavzetost, okoljevarstvenikom pa pihajo na dušo s podatkom, da je večina električne energije na Norveškem pridobljena iz hidroelektrarn. Vsekakor je norveška lokacija pozitiven dejavnik. Kakšna pa je kaj poštarija? V praksi gre za malo bolj do uporabnika prijazen Countermail. Veliko pozornosti namenjajo kiberzaščiti, a ne toliko kot švedski konkurent, za uporabo ni treba ravno doktorirati iz informatike. Pri uporabi spominja na stari spletni Outlook: minimalističen, hiter, odziven, prav tako kot njihova podpora uporabnikom. (V nasprotju z raznimi Neomalboxi in Scryptmaili). Nekateri bodo tudi leta 2019 zadovoljni zgolj z SMS-i in klici na Nokii 3310; in kdor ne res potrebuje naprednih e-poštnih funkcij, utegne biti z RunBoxom zadovoljen, anonimno plačevati z bitnimi kovanci in zadovoljno žareti pod dežnikom norveške zakonodaje. A dvomim, da je takšnih ljudi veliko.
Še dva minusa: za enkripcijo z obeh koncev je treba namestiti ločen program za e-pošto ali pa v brskalnik vključiti PGP-orodje. Verjetno zgledno podjetje, a videti je kot še en primer zasebnosti na podlagi načel. Poleg tega vzdrževanje opravljajo zunanji izvajalci, kar odpira novo vrsto varnostnih vprašanj.
S seznama smo izključili naslednje storitve, ki so ponekod navajane kot varne, a imajo po našem mnenju resne pomanjkljivosti. - Salusafe, Peerio, thexyz, dekkosecure, TorGuard, Fastmail izključeni, ker so iz držav Petero oči. - Tutanota, Posteo.de, GMX smo izključili zaradi nemškega izvora. BND in BfV sta namreč dejavno sodelovala z NSA-jem in uporabljala vohljaške aplikacije, kot je XKeyscore. Iz istega razloga je izkjučen Hushmail. - SAFE-mail izključen, ker je iz Izraela, ki tudi dejavno obveščevalno sodeluje z ZDA. - RiseUp in Autistici sta storitvi izpod prstov politično motiviranih aktivistov in sta primarno namenjena podobno mislečim. Za tiste, ki mislijo drugače, velja povečana previdnost. - Unseen.is izključen zato. |
ZAKLJUČEK
Ko potegnemo črto: ponudnikov t. i. varne pošte v postsnowdnovskem svetu mrgoli. Pojavila se je realna potreba po zaščiti komunikacije pred varnostnimi agencijami in podjetji, katerih poslovanje je odvisno od zbiranja osebnih podatkov. Potrebo so zaznali tako akterji, ki jih razvoj dogodkov skrbi, kot tisti, ki vidijo v tem samo poslovno priložnost. In vse vmes. Med ponudniki danes ne manjka inovativnosti in čisto zadovoljivih izkušenj, pa tudi smetja, neuporabnosti in nezanesljivosti.
Z gotovostjo ugotovimo eno: čisto noben ponudnik po funkcionalnosti ne dosega Gmaila in podobnih sredotočnih znamk. Žal jim preprosto sledjo. Večinoma so kot navadni, "nepametni" telefoni v letu 2018 – kličejo dobro, SMS-e dostavljajo brez pripomb, kalkulirajo, zaznavajo in kažejo uro. Ampak to je nekako vse. "Varni" poštarji so v povprečju dokaj okleščeni, včasih nerodni. Na prestopno leto se najde kak bombonček, ki ga nimajo navadni e-poštarji (razen varnostnih in zasebnostnih rešitev, seveda). Med kronično manjkajočimi je predvsem koledar, saj je e-pošta danes za marsikoga pomožno orodje za strukturiranje časa, na opravke pa je vezanih še kup drugih dobrot, ki jih gmailovci že dobro poznajo. Korak nazaj bi bil najbrž boleč. Navadno manjka povezanost v širši ekosistem, kot Google všije svoje Dokumente, Drive in podobno.
Google ima pač prednost: ogromen bazen visoko talentiranih ljudi, ki neutrudno razvijajo nove koristnosti. In pri tem jih ne omejujejo take sitnosti, kot je skrb za posameznikovo zasebnost (pred njimi), medtem ko je "varna" konkurenca kadrovsko siromašnejša in tudi omejena pri dodajanju sladkarij. Omejena je še pri funkcionalnosti: vsaka dodatna linija kode je lahko priložnost za zlonamerne krte, ki se hočejo pririniti v predalnik. In brez profiliranja posameznika se mu težko prilagodi izkušnjo. Zato je treba ob prehodu na zasebno pošto vzeti v zakup, da ta (najbrž) nikoli ne bo presegla sredotočnih ponudnikov. Takšna je cena povečane varnosti. A obenem ne drži, da gre za selitev v kameno dobo. Vse več ljudi se odloča za zasebnostno naravnane rešitve, več denarja se kanalizira vanje, večje so razvojne ekipe in storitve so skozi čas vse bogatejše. Nekaj najboljših na seznamu veliko obeta.
Pri prehodu na "varne" ponudnike ne bodite naivni. Vsak sistem ima luknje. Z resnim glasom povejte hekerju, da je neki produkt neprebojen, in obenem pazite, da se v krčevitem smehu ne bo poškodoval. Takšna zagotovila so navadno znak za previdnost. Ali nekdo obljublja preveč ali ne ve, kaj dela. Vsako podjetje je lahko tudi žrtev odpadnika ali vrinjenca, ki ga pošlje konkurenca ali kakšna vlada. A obenem je varnim e-poštarjem treba priznati, da resnično so varnostno naprednejši. Večina ponudnikov kot osrednjo prednost izpostavlja enkripcijo med naslovnikom in prejemnikom (E2EE), kar je odlična in danes nujna rešitev. Preprečuje prestrezanje. Po Snowdnu vemo, da promet po evropskih kablih lovijo številni ameriški strežniki, zajemali naj bi ga tudi neposredno iz čezoceanskih povezav. Kar ni šifrirano, preberejo kot poštar razglednico. Pa vendar tudi E2EE ni vsemogočen, našli so ranljivosti. In ponudniku je treba verjeti da nima superključa, ki odklene vse uporabniške. Spet smo pri zaupanju ...
Nobena trdnjava ni neosvojljiva. Le izbrati je treba tisto z visokim obzidjem, naprednimi obrambnimi napravami in budnimi, sitimi stražarji. Če vojske ne hranite sami (plačate ponudnika), potem bo morda lojalna tistemu, ki dejansko daje kruh na krožnik.
In vse bo zaman, če ste malomarni pri vsakodnevni rabi računalnika. Ena sama luknja je dovolj, da se sod izprazni: če se vam na disk zaredi trojanec, morebiti tak, ki dokumentira tipkanje. Varnost in zasebnost prideta s spremembami dnevnih navad in zavestnim ravnanjem, ne pa z inercijo in brezbrižnostjo.
Čeprav se marsikdo vpraša: zakaj? Zakaj se sploh truditi, če bodo tako ali tako iz vsake luknje vohunili za nami? Zakaj presedlati na varnejšo e-pošto, če vsi okoli mene uporabljajo Gmail in Yahoo mail, torej ti dve podjetji na koncu vse prebereta? Najprej zato, ker se s tem manjša digitalna sled. Tistih nekaj sporočil, ki jih pošlješ na prijateljev Gmail, bo Google že prebral. Toda ne bo bral vseh sporočil, prav tako ne bo ves čas pobiral tudi vseh drugih podatkov, od lokacije do prstnega odtisa vaše naprave ... Podatki se ne bodo nenehno, iz dneva v dan, nalagali, temveč jih bo le prgišče, iz katerega bo težko sestavil celovit profil. Na koncu je razlika v dejansko pobranih podatkih ogromna. Več ljudi presedla na rešitve z integriteto, več integritete je v okolici in večja je možnost, da naslednjega sporočila ne bo treba pošiljati prav sesalcem informacij. Da o o vseh drugih morebitnih nevarnostih, ki jih prinašata družba in ekonomija nadzora, niti ne govorimo.
In "zmagovalec" je ...
MMC najbolj priporoča ProtonMail. Zakaj? Pridobil je največ uporabnikov in ustvarja dobiček. To obeta dolgoročno delovanje. Številni ponudniki na zgornjem popisu imajo precej manj uporabnikov, manj zaposlenih in nič ne zagotavlja, da leta 2020 ne bodo izginili z vsebino vred, uporabniki pa bi kot izgubljeni golobi v puščavi iskali naslednjo oazo, mukotrpno postavljajoč spletno prisotnost na novo. To je zamudno opravilo. Denar in kader tudi pomenita neutrudno krpanje varnostnih lukenj in dodajanje novih funkcionalnosti. ProtonMail jih redno niza in ponuja dolg seznam novih, med drugim koledar, hitri klepet, (omejeno) oblačno hrambo, sinhronizacijo stikov s telefonom ... Njihov prvi mož pa pravi, da je njihov dolgoročni cilj imeti vse funkcionalnosti, kot jih ima Gmail. Tudi varnostno je dobro opremljen, čeprav ne toliko kot nekatere druge rešitve, katerih uporabniška izkušnja je pač špartanska. Je hiter in odziven, mesečni strošek pet evrov – dve pivi – pa ni prehud. Dober je tudi dodatek VPN-ja, sicer z doplačilom. Zares moti le delno ameriško lastništvo družbe. Pod črto prehod z Gmaila ni boleč, s primernim razvojnim ritmom utegne postati dolgoročno udoben.
Kaj pa lasten strežnik?
Alternativa vsemu temu je še postavitev lastnega e-poštnega strežnika (npr. Mailinabox). A to zahteva veliko časa, še več pa znanja in nenehne pozornosti. Vse, proti čemur se borijo visoko izobraženi strokovnjaki, bi morali premagati sami. Obstaja tudi kup ponudnikov zavržne pošte, ki vam dajo e-naslov za nekaj minut ali kakšen dan. V iskalnik vtipkajte "disposable mail", ogromno jih je. A tudi pri njih velja načelo zaupanja, zato je dobro do njih dostopati vsaj prek enega strežnika proxy. (Več o proxystrežnikih v drugem članku).
HIGIENA IN PRGIŠČE NASVETOV:
- VSELEJ previdno pri odpiranju priponk ali klikanju na povezave. Če je sporočilo prišlo od neznanca, povezave in pripetke popolnoma ignorirajte. Vsaka prejeta datoteka je potencialna okužba in to je pravzaprav eden najpogostejšiih (uspešnih) načinov virusov in drugega zlonamernega programja.
- Zadržani morate biti tudi do sporočil ljudi, ki jim zaupate. Tudi če prihaja od najboljšega prijatelja ali tesnega sodelavca! Razloga sta dva. Prvič, tudi oni imajo lahko okužen računalnik in nevede širijo nesnago. Drugič, morda gre za t. i. socialni inženiring. Danes so zlikovci napredni, se o tarčah informirajo in pripravijo premetene kampanje. Denimo, podjetju pošljejo sporočilo s pripetim elektronskim računom prav takrat, ko bi moralo plačati neko drugo, dejansko naročilo. Sporočilo pa pride ali z ukradenega računa znotraj socialnega kroga ali pa imitira legitimnega. Zato je treba pred odpiranjem priponk, ki so (na videz ali resnično) prišle iz vašega kroga poznanih, vedno zadevo osebno preveriti. Najbolje po telefonu, nikakor pa ne prek istega naslova, od koder je sporočilo prišlo. Da gre za resne zadeve, priča to, da so samo slovenska podjetja na ta račun lani imela desetine milijonov evrov škode!
- Zlikovci lahko imitirajo elektronski naslov znanca, torej tudi identiteti pošiljatelja ne morete verjeti na pogled.
- Vsebina lahko vohlja. V sporočilo marsikdo vdela podobo, ki je dejansko na njihovem strežniku. Ko si jo ogledate v e-predalu, pošiljatelj izve vaš IP-naslov in nekaj drugih podatkov. Samodejno prikazovanje zunanjih podob je treba izključiti v nastavitvah in nalaganje dovoliti le, če pošiljatelju zaupate.
- Če vam ponudnik pošte omogoča več naslovov na istem računu oz. psevdonime, jih lahko izkoristite za dodaten sloj anonimnosti. Ni se vam treba povsod prijaviti z ime.priimek@ponudnik.si. In če bodo nekoč vdrli v, recimo, PornHub in pobrali naslove registrirancev, v tem primeru vašega imena ne bo vmes, le alternativa.
- Če uporabljate spletno pošto (jo berete v brskalniku, in ne v posebnem poštnem programu), to prinese dodatne ranljivosti. Enkripcija z obeh koncev se izvaja znotraj brskalnika, navadno z Javascriptom. Tudi PGP-enkripcija ni neranljiva.
- E2EE-šifriranje ima svoje pomanjkljivosti, ki so predvsem pri uporabniku samem (bralne naprave, odjemalci pošte), hranjenje na disku, v oblaku, upoštevati pa je treba tudi morebitne ranljivosti ponudnika in enkripcije kot take. Nanjo se ne gre 100-odstotno zanašati.
- Nikoli ne pozabite, e-pošta že v osnovi ni najvarnejša metoda komunikacije, saj so metapodatki odprta knjiga. Za visoko občutljive informacije uporabite druge, varnejše kanale.
- En sam poštni naslov in v njem zgodovina zadnjega desetletja? Preprosto in udobno. A tudi boleče, če gre kaj narobe. Kot pravijo Angleži: ni dobro vseh jajc položiti v eno košaro. Naprednejši uporabniki zato vzpostavijo več naslovov. Vsak bo zase vedel, koliko je to še praktično in v katere namene jih bo uporabljal.
- Predalniki terjajo redno vzdrževanje. Zakaj puščati dve desetletji zgodovine ponudniku? Dobro je izbrisati staro pošto, oziroma še bolje, jo pred brisanjem lepo arhivirati nekam na varno, denimo na domači zunanji trdi disk. Ali dva. Nepovezana v medmrežje.
- Stare poštne račune, ki jih ne uporabljate več, je dobro dezaktivirati. Ne nujno izbrisati, saj jih lahko nekdo zaskvota in se pretvarja, da je vi.
- Če je le mogoče, se v elektronsko pošto NE vpisujte prek javno dostopnih brezžičnih omrežij (WiFi).
- Zunaj doma se po uporabi redno izpisujte iz svojih računov.
- V e-slami (spam) nikoli ne klikajte povezav za "odjavo" oziroma unsubscribe. Pogosto gre za prevaro oz. morebitno okužbo ali pa zgolj znak slamarju, da je račun aktiven, zato ga bo še bolj veselo zasipaval. Dovolj je, če sporočilo le označite kot slamo, in sistem bi jih moral v prihodnje filtrirati.
- Še tako varen elektronski predal je zaman, če ga odpirate na mobilnem telefonu, na katerem so nameščene sumljive aplikacije. Številne so zasebnostno katastrofalne, spet druge povsem brezsramno kopirajo vsebino, delajo posnetke zaslona in podobno, zbrano pa pošiljajo na sumljive naslove, npr. na Kitajskem, morda kar v rokah obveščevalno-varnostnih agencij. Na videz legitimne aplikacije v trgovini Google Play so lahko trojanski konj in androidni ekosistem je zaradi svoje odprtosti še posebej ranljiv. "Spyware je bistveno bolj prisoten, kot je pričakovano," komentirajo na SICEH-u. Na tak način se lahko nepovabljeni dokopljejo tudi do vaših gesel za varne storitve.
- Kdor hoče biti povsem anonimen, pač ne more plačevati storitev s kreditnimi karticami. Anonimnost in hkraten vpis imena s kopico drugih osebnih podatkov vred je nesmisel. V te namene je treba uporabljati kriptovalute.
- Pri izbiri varne/zasebne pošte je dobro preveriti, ali se za zasebnost le načeloma in besedno zavzemajo; ali pa je namen varovanja zasebnosti utemeljen v sami zgradbi sistema in njihova tehnologija to jasno kaže.