arezoo_66
یک شنبه 07 فروردین 1390, 09:21 صبح
كامپيوترهاي شخصي بيش از هر زمان ديگري در تاريخ بشريت، امكانات لازم را براي برقراري ارتباط با سايرين در اختيار ما قرار دادهاند، اما يكي از خدمات ارتباطي به نام «ايميل» همواره به عنوان پركاربردترين سرويس باقي ميماند. ايميل از زمان ظهور نخستين كامپيوترهاي شخصي و اينترنت در اختيار ما بوده است، بنابراين، عجيب نيست كه بخواهيم دركنار تهديدهاي كامپيوتري و اينترنتي به نقاط ضعف امنيتي ايميل نيز بپردازيم. در حقيقت، خطراتي كه از طريق ايميل ما را تهديد ميكنند، با مهندسي اجتماعي رابطه نزديكي دارند و در آنها از ترفند آشناي حملههاي فيشينگ به منظور ترغيب كاربران خوشخيال براي بازكردن آدرسهاي اينترنتي و ضميمههاي حاوي فايلهاي آلوده استفاده ميشود.
ايميل مبتني بر وب در مقابل ايميل مبتني بر كلاينت
بهطور كلي دونوع ايميل وجود دارد: نخست، ايميل مبتني بر وب يا به گفته اغلب كاربران، webmail. اين خدمات با استفاده از فناوري مبتني بر كلاود امكان دسترسي كاربران را به صندوق پستي آنها از طريق كامپيوترهاي شخصي و دستگاههاي سيار در تمام نقاط جهان فراهم ميكند. بهعنوان نمونهاي از يك تأمينكننده webmail ميتوان به Yahoo! يا Gmail اشاره كرد. مزيت اصلي اين نوع ايميل در اين است كه به پيكربندي نيازي ندارد؛ البته، اغلب فراهم كنندگان خدمات ايميل، امكان پيكربندي يا سفارشيسازي را در اختيار كاربران قرار ميدهند. برخي نيز امكان برقراري اتصالات SSL (سرنام Secure Socket Layer) و TLS (سرنام Transport Layer Security) را فراهم ميكنند. ايميلهاي مبتني بر وب محدوديتهايي شامل اندازه فايل و همچنين ظرفيت ذخيرهسازي پيغامها و فايلهاي ضميمه دارند. كمبود آشكار اين نوع ايميل عدم امكان دريافت پيغامهاي ايميل بهمنظور كار بهصورت آفلاين است.نوع دوم، ايميل مبتني بر كلاينت نام دارد. اين خدمات تاكنون محبوبترين خدمات ايميل براي مراكز تجاري بوده است. در اين شيوه يك نرمافزار مبتنيبر كلاينت مانند Microsoft Outlook يا Mozilla Thunderbird به عنوان عامل انتقال نامه يا MTA (سرنام Mail Transfer Agent) عمل ميكند. نتيجه استفاده از MTA اين است كه ميتوانيد نامههاي خود را از اينترنت دريافت كرده و بهصورت آفلاين روي آنها كار كنيد. فايل ايميل (كه در نرمافزار آوتلوك داراي پسوند PST است) امكان ذخيره محلي و تهيه نسخه پشتيبان را براي كاربر فراهم ميكند
ارسال و دريافت ايميل
براي ارسال ايميلهاي كاربران از روالها يا پروتكلهاي مختلفي استفاده ميشود. ايميل مبتني بر كلاينت از پروتكل SMTP (سرنامSimple Mail Transfer Protocol ) استفاده ميكند كه در آن امكان ارسال نامه در اختيار كامپيوتر شخصي قرارميگيرد. همه ايميلها بهمنظور ارسال ايميل از روال SMTP بهره ميگيرد. پروتكل SMTP به عنوان يك زبان قراردادي كامپيوتر شناخته شده است كه امكان برقراري ارتباط با يك سرور ايميل را (از طريق ISP يا فرضاً تامينكننده خدمات ايميل شركتي) فراهم ميكند. چنانكه گفته شد، در اين رويكرد تنها از يك پروتكل استفاده ميشود. در مقابل، ايميل مبتني بر وب به منظور برقراريارتباط با سرور وب از يك مرورگر مانند فايرفاكس يا اينترنتاكسپلورر و يك اتصال اينترنت بهره ميگيرد. پروتكل مورد استفاده در اين رويكرد با عنوان HTTP (سرنام Hypertext Transfer Protocol) شناخته ميشود. هنگامي كه يك كاربر ايميلي را ارسال ميكند، اين پيغام (با استفاده از پروتكل HTTP) براي سرور وب فرستاده ميشود و سرور وب با سرور SMTP ارتباط برقرار ميكند. واضح است كه در اين شيوه برخلاف ايميل مبتني بر كلاينت، از دو پروتكل HTTP و SMTP استفاده ميشود.سرورهاي SMTP پيغامهاي ايميل را براساس نام حوزهدريافتكننده (به طور فرضي id-theftprotect.co.uk) مخابره ميكنند. پيكربندي DNS شامل فهرستي از سرورهاي SMTP است كه ايميل را از آدرس id-theftprotect.co.uk دريافت ميكنند. در فهرست مذكور سرور SMTP سايت ID Theft Protect بالاترين اولويت را دارد و سرورهايي كه به عنوان پشتيبان آن معرفي شدهاند، در رديفهاي بعدي قرار دارند (ممكن است بيش از دو سرور به عنوان پشتيبان معرفي شوند). سرور SMTP پشتيبان ايميلها را در يك صف قرار ميدهد تا بعدها به سرور SMTP سايت ID Theft Protect تحويل شوند. سرور SMTP لزوماً ايميلها را از طريق يك مسير مشخص و اختصاصي براي سرور SMTP دريافتكننده، ارسال نميكند؛ در واقع در طول اين فرآيند، مسير انتقال پيغام بارها تغيير ميكند. به عنوان مثال، ميتوان به زماني اشاره كرد كه سرور SMTP ارسال كننده به دليل نقص، اشغالي يا اجراي حملههاي DDoS روي سرور SMTP دريافتكننده نميتواند با آن ارتباط برقرار كند. سرورهاي پشتيبان نيز تمام پيغامهايي را كه با تأخير دريافت ميشوند، درون يك صف قرار داده و بعدها براي ارسال آنها اقدام ميكنند. همه ما پس از ارسال بعضي از ايميلها با پيغامي مواجه شدهايم كه اعلام ميدارد امكان دسترسي به سرور وجود ندارد، اما پيغام براي يك بازه زماني مشخص (كه به طور معمول چند روز است) ارسال خواهد شد. روي تمام ايميلهاي دريافتي برچسب Received زده ميشود. اين برچسب سرور دريافت كننده پيغام، سرور ارسالكننده و زمان تحويل را مشخص ميكند. با مشاهده هدر يك ايميل ميتوانيد مسير انتقال ايميل را ببينيد. در ادامه مثالي از هدر يك ايميل را مشاهده ميكنيد:
Received: from tom.bath.dc.uk ([138.38.32.21]
ident=yalr
la9a1j69szla2ydr)
by steve.wrath.dc.uk with esmtp (Exim 3.36 #2)id
19OjC3-00064B-00
for example_to@imaps.bath.dc.uk; Sat, 07 Jun
2005 20:17:35 +0100
Received: from write.example.com ([205.206.231.26])
by tom.wrath.dc.uk with esmtp id 19OjBy-0001lb-3V
for example_to@bath.ac.uk; Sat, 07 Jun 2005 20:
17:30 +0100
Received: from master.example.com (lists.example.com[205.206.231.19])
by write.example.com (Postfix) with QMQP
id F11418F2C1; Sat, 7 Jun 2005 12:34:34 -0600 (MDT)
در مثالهاي فوق، سه برچسب Recieved وجود دارد؛ بهواسطه خواندن محتواي اين برچسبها از پايين به بالا به ترتيب اولين، دومين و سومين ارسالكننده را شناسايي ميكنيد و زمان اتمام فرآيند ارسال را ميبينيد. علت اين است كه هر عامل انتقال ايميل، سطري را كه با Received: آغاز ميشود، به هدر اضافه كرده است. اين سطرها اطلاعاتي را درباره مبداء پيغام و كامپيوترهايي كه در مسير آن بودهاند، در اختيار كاربر ميگذارند. همانطور كه در اين مثال ميبينيد اين سطرها آدرس IP و آدرس ايميل هريك از فرستندگان و دريافتكنندگان را نمايش ميدهند. همچنين تاريخ و زمان هر انتقال را نيز در اختيار كاربر ميگذارند. همچنين گوياي اين واقعيت هستند كه آدرس ايميل بخشي از يك فهرست ايميل بوده است. برنامهنويسان و متخصصان بخش IT سازمانها براي ردگيري و مسدودكردن هرزنامهها از همين اطلاعات بهره ميگيرند و همين اطلاعات است كه هدر ايميلها را به مهمترين بخش آنها تبديلميكند. براي كسب اطلاعات بيشتر به آدرس whatismyipaddress.com مراجعه كنيد.
آيا ميدانستيد؟
دريافتكنندگان ميتوانند آدرس اينترنتي و نام كامپيوتري را كه ايميل با استفاده از آن ارسال شده است، ببينند، حتي در مواردي كه يك ايميل توسط يك هرزنامهنويس و براي تعداد زيادي از كاربران ارسال شده باشد، اغلب متخصصان امنيتي از اين نكته آگاهي دارند
امنيت و حريم خصوصي در ايميلهاي مبتني بر وب
چنانكه پيش از اين گفته شد، ايميل مبتني بر وب براي برقراري ارتباط با سرور وب از يك مرورگر استفاده ميكند؛ اگر سرور وب از پروتكل HTTP استفاده ميكند مطمئن باشيد كه امن نيست و براي تأمين امنيت ايميلها بايد از پروتكل HTTPS (حرف S سرنام Secure معناي امن است) استفاده شود. به اين معني كه هنگام درج گذرواژه و نام كاربري، اين اطلاعات بين كامپيوتر كاربر و سرور وب بهصورت رمزگذاري شده ارسال نميشود. خدمات ايميل مبتني بر وب معمولاً اطلاعات شخصي كاربران شامل نام، آدرسهاي ايميل و اطلاعات مربوط به گشتوگذار در وب را از طريق مرورگر آنها گردآوريميكنند. به همين دليل توصيه ميكنيم، پيش از ثبتنام براي دريافت چنين خدماتي سياست حفظ حريم شخصي آنها را به دقت مطالعه كنيد.
اسكن پيغامهاي ايميلمبتني بر وب و نمايش تبليغات بر اساس محتوا
گوگل از ساير سرويسدهندگان يك گام جلوتر رفته و به منظور سفارشيسازي تبليغات و انجام تحقيقات، متن پيغام كاربران نهايي را اسكن ميكند. البته، استفاده از Gmail به انتخاب كاربران بستگي دارد. شكي نيست كه ساير سرويس دهندگان ايميل رايگان نيز به دليل درآمدزايي اين شيوه را در آينده نزديك بهكار ميگيرند. اگر كاربران نهايي نگران رعايت حريم خصوصي خود باشند، ميتوانند از خدمات يك تأمينكننده ديگر بهره بگيرند.
امنيت و حريم خصوصي در پروتكلهايSMTP، POP و IMAP
پروتكل SMTP امن نيست. اين پروتكل پيغامها را كدگذاري نميكند، مگر اين كه يك سرور از سيستم كدگذاري TLS (سرنام Transport Layer Security) پشتيباني كند. همچنين اين پروتكل ميتواند پيغامها را در قالب متن ساده ارسال كند و سايرين ميتوانند محتواي اين پيغامها را به روش غيرقانوني ببينند. اگر در پروتكل مذكور، درج نام كاربري و كلمه عبور لازم باشد، اين اطلاعات به هيچوجه رمزگذاري نميشوند. اگر درخواست موردقبول واقع شود، محتواي پيغام در قالب متن ساده ارسالميشود كه براي هكرها و دزدان اطلاعات شكار خوبي محسوب ميشود. پيغامهاي ارسال شده با استفاده از پروتكل SMTP شامل اطلاعات هدر در رابطه با كامپيوتر ارسال كننده پيغام و عامل MTA مورد استفاده است.
آيا ميدانيد؟
با مراجعه به آدرس http://digicert.com ميتوانيد مجوز SSL را بررسي كنيد.
سيستمهاي رمزگذاري PGP و S/MIME
سيستمهاي رمزگذاري S/MIME و PGP دو نوع بسيار متداول رمزگذاري نامتقارن براي ايميلها هستند. آيا ميدانيد كه سيستمهاي S/MIME و PGP با يكديگر سازگار نيستند؟ اگر يك كاربر ايميلي را از شخصي دريافت كند كه از سيستم S/MIME براي رمزگذاري آن بهرهگرفته، نميتواند اطلاعات آن را بازيابي كند. در حالي كه PGP از سال 1997 تاكنون استاندارد متداول اينترنت براي رمزگذاري ايميل بوده است و به همين دليل، بخش اعظم ايميلها با استفاده از استاندارد PGP رمزگذاري ميشوند.
آيا ميدانيد؟
ميتوان برنامه مايكروسافت آوتلوك را بهگونهاي پيكربندي كرد كه از هر دو سيستم S/MIME و PGP استفاده كند. در حال حاضر، هيچ راه شناختهشدهاي براي شكستن رمزهاي PGP وجود ندارد و به همين دليل بهترين استاندارد رمزگذاري موجود محسوب ميشود. با وجود اين در ظاهر نسخه دوم PGP (هنگام استفاده از IDEA، DES يا RSA) يك نقطهضعف نظري دارد. يك مهاجم با استفاده از تحليل خطاها ميتواند موتور رمزگذاري و رمزگشايي را وادار به نمايش پيغام خطا كند تا با تحليل اطلاعات خروجي براساس اطلاعات ورودي معلوم بتواند سيستم را در جريان عمليات وادار به ارتكاب خطا كند و به اين ترتيب غالب سيستمهاي رمزگذاري را بشكند.همچنين همواره ثبت غيرمجاز كليدهاي فشرده شده توسط كاربر، امنيت اطلاعات را تهديد ميكند. اين شيوه جاسوسي ميتواند حتي توانمندترين سيستمهاي رمزگذاري را نيز با شكست مواجه كند. در اين شيوه مهاجم يك نرمافزار ثبت كليد را روي سيستم نصب ميكند تا بتواند گذرواژههاي كاربر هدف را بيابد. از آنجا كه مهاجم كليد خصوصي RSA را در اختيار داشته و امكان دسترسي به سيستم موردتهاجم را نيز دارد، در اين شيوه به تحليل رمز نيازي نيست. حال اجازه دهيد كمي درباره OpenPGP بحث كنيم. گفته ميشود اگر اين سيستم بهطور عمومي بهكارگرفته شود، موجب افزايش امنيت ايميل خواهد شد
استاندارد OpenPGP
سيستم OpenPGP استانداردي براي امنسازي ايميل است. واژه Open در اين استاندارد به دليل آزاد بودن استفاده از آن براي تمام كاربران است و هر فردي ميتواند براي سايرين ايميل ارسال كند. پيغامهاي OpenPGP امكان اعتبارسنجي فرستنده را با استفاده از امضاهاي ديجيتالي فراهم ميكنند و براي امنيت بيشتر ميتوان آنها را با استفاده ازسيستم رمزگذاري كليد عمومي رمزگذاري كرد. از آنجا كه OpenPGP براساس يك سيستم گسترش يافته MIME ساخته شده پيغامهاي OpenPGP حتي اگر كلاينت استاندارد ايميل بهطور بومي از OpenPGP پشتيباني نكند، بهخوبي با آن تعامل ميكنند. همچنين پيغامهاي OpenPGP با قالبها و ضميمههاي HTML سازگاري دارند؛ در حالي كه پيغامهاي قديمي PGP كه مبتني بر ASCII هستند، با آنها سازگار نيستند. مزيت اصلي OpenPGP سادگي يكپارچهسازي آن با كلاينتهاي ايميل از طريق پروكسيها و برنامههاي ضميمه است. كافي است درباره سادگي اين كار به درستي اطلاعرساني شود تا اغلب كاربران نهايي از آن استفاده كنند.
جمعبندي
با مطالعه اين مقاله بايد متوجه اين نكته شده باشيد كه اسكن ايميلها بههيچوجه كار سادهاي نيست، مگر اينكه به عنوان مثال ابزار OpenPGP روي سيستم تمام كاربران نصب شده باشد. بدون استفاده از PGP، SSL، TLSو ساير پروتكلها كسب اطلاع از باز شدن ايميلها توسط سايرين و دسترسي غيرمجاز افراد متفرقه به محتواي آنها بسيار دشوار خواهد بود. در اينباره فكر كنيد: «هزينه خواندن محتواي يك ايميل توسط افراد غيرمجاز چقدر است؟ در واقع اين هزينهاي است كه برآورد ميزان آن غيرممكن بهنظر ميرسد.»
منبع: parseek.com
ايميل مبتني بر وب در مقابل ايميل مبتني بر كلاينت
بهطور كلي دونوع ايميل وجود دارد: نخست، ايميل مبتني بر وب يا به گفته اغلب كاربران، webmail. اين خدمات با استفاده از فناوري مبتني بر كلاود امكان دسترسي كاربران را به صندوق پستي آنها از طريق كامپيوترهاي شخصي و دستگاههاي سيار در تمام نقاط جهان فراهم ميكند. بهعنوان نمونهاي از يك تأمينكننده webmail ميتوان به Yahoo! يا Gmail اشاره كرد. مزيت اصلي اين نوع ايميل در اين است كه به پيكربندي نيازي ندارد؛ البته، اغلب فراهم كنندگان خدمات ايميل، امكان پيكربندي يا سفارشيسازي را در اختيار كاربران قرار ميدهند. برخي نيز امكان برقراري اتصالات SSL (سرنام Secure Socket Layer) و TLS (سرنام Transport Layer Security) را فراهم ميكنند. ايميلهاي مبتني بر وب محدوديتهايي شامل اندازه فايل و همچنين ظرفيت ذخيرهسازي پيغامها و فايلهاي ضميمه دارند. كمبود آشكار اين نوع ايميل عدم امكان دريافت پيغامهاي ايميل بهمنظور كار بهصورت آفلاين است.نوع دوم، ايميل مبتني بر كلاينت نام دارد. اين خدمات تاكنون محبوبترين خدمات ايميل براي مراكز تجاري بوده است. در اين شيوه يك نرمافزار مبتنيبر كلاينت مانند Microsoft Outlook يا Mozilla Thunderbird به عنوان عامل انتقال نامه يا MTA (سرنام Mail Transfer Agent) عمل ميكند. نتيجه استفاده از MTA اين است كه ميتوانيد نامههاي خود را از اينترنت دريافت كرده و بهصورت آفلاين روي آنها كار كنيد. فايل ايميل (كه در نرمافزار آوتلوك داراي پسوند PST است) امكان ذخيره محلي و تهيه نسخه پشتيبان را براي كاربر فراهم ميكند
ارسال و دريافت ايميل
براي ارسال ايميلهاي كاربران از روالها يا پروتكلهاي مختلفي استفاده ميشود. ايميل مبتني بر كلاينت از پروتكل SMTP (سرنامSimple Mail Transfer Protocol ) استفاده ميكند كه در آن امكان ارسال نامه در اختيار كامپيوتر شخصي قرارميگيرد. همه ايميلها بهمنظور ارسال ايميل از روال SMTP بهره ميگيرد. پروتكل SMTP به عنوان يك زبان قراردادي كامپيوتر شناخته شده است كه امكان برقراري ارتباط با يك سرور ايميل را (از طريق ISP يا فرضاً تامينكننده خدمات ايميل شركتي) فراهم ميكند. چنانكه گفته شد، در اين رويكرد تنها از يك پروتكل استفاده ميشود. در مقابل، ايميل مبتني بر وب به منظور برقراريارتباط با سرور وب از يك مرورگر مانند فايرفاكس يا اينترنتاكسپلورر و يك اتصال اينترنت بهره ميگيرد. پروتكل مورد استفاده در اين رويكرد با عنوان HTTP (سرنام Hypertext Transfer Protocol) شناخته ميشود. هنگامي كه يك كاربر ايميلي را ارسال ميكند، اين پيغام (با استفاده از پروتكل HTTP) براي سرور وب فرستاده ميشود و سرور وب با سرور SMTP ارتباط برقرار ميكند. واضح است كه در اين شيوه برخلاف ايميل مبتني بر كلاينت، از دو پروتكل HTTP و SMTP استفاده ميشود.سرورهاي SMTP پيغامهاي ايميل را براساس نام حوزهدريافتكننده (به طور فرضي id-theftprotect.co.uk) مخابره ميكنند. پيكربندي DNS شامل فهرستي از سرورهاي SMTP است كه ايميل را از آدرس id-theftprotect.co.uk دريافت ميكنند. در فهرست مذكور سرور SMTP سايت ID Theft Protect بالاترين اولويت را دارد و سرورهايي كه به عنوان پشتيبان آن معرفي شدهاند، در رديفهاي بعدي قرار دارند (ممكن است بيش از دو سرور به عنوان پشتيبان معرفي شوند). سرور SMTP پشتيبان ايميلها را در يك صف قرار ميدهد تا بعدها به سرور SMTP سايت ID Theft Protect تحويل شوند. سرور SMTP لزوماً ايميلها را از طريق يك مسير مشخص و اختصاصي براي سرور SMTP دريافتكننده، ارسال نميكند؛ در واقع در طول اين فرآيند، مسير انتقال پيغام بارها تغيير ميكند. به عنوان مثال، ميتوان به زماني اشاره كرد كه سرور SMTP ارسال كننده به دليل نقص، اشغالي يا اجراي حملههاي DDoS روي سرور SMTP دريافتكننده نميتواند با آن ارتباط برقرار كند. سرورهاي پشتيبان نيز تمام پيغامهايي را كه با تأخير دريافت ميشوند، درون يك صف قرار داده و بعدها براي ارسال آنها اقدام ميكنند. همه ما پس از ارسال بعضي از ايميلها با پيغامي مواجه شدهايم كه اعلام ميدارد امكان دسترسي به سرور وجود ندارد، اما پيغام براي يك بازه زماني مشخص (كه به طور معمول چند روز است) ارسال خواهد شد. روي تمام ايميلهاي دريافتي برچسب Received زده ميشود. اين برچسب سرور دريافت كننده پيغام، سرور ارسالكننده و زمان تحويل را مشخص ميكند. با مشاهده هدر يك ايميل ميتوانيد مسير انتقال ايميل را ببينيد. در ادامه مثالي از هدر يك ايميل را مشاهده ميكنيد:
Received: from tom.bath.dc.uk ([138.38.32.21]
ident=yalr
la9a1j69szla2ydr)
by steve.wrath.dc.uk with esmtp (Exim 3.36 #2)id
19OjC3-00064B-00
for example_to@imaps.bath.dc.uk; Sat, 07 Jun
2005 20:17:35 +0100
Received: from write.example.com ([205.206.231.26])
by tom.wrath.dc.uk with esmtp id 19OjBy-0001lb-3V
for example_to@bath.ac.uk; Sat, 07 Jun 2005 20:
17:30 +0100
Received: from master.example.com (lists.example.com[205.206.231.19])
by write.example.com (Postfix) with QMQP
id F11418F2C1; Sat, 7 Jun 2005 12:34:34 -0600 (MDT)
در مثالهاي فوق، سه برچسب Recieved وجود دارد؛ بهواسطه خواندن محتواي اين برچسبها از پايين به بالا به ترتيب اولين، دومين و سومين ارسالكننده را شناسايي ميكنيد و زمان اتمام فرآيند ارسال را ميبينيد. علت اين است كه هر عامل انتقال ايميل، سطري را كه با Received: آغاز ميشود، به هدر اضافه كرده است. اين سطرها اطلاعاتي را درباره مبداء پيغام و كامپيوترهايي كه در مسير آن بودهاند، در اختيار كاربر ميگذارند. همانطور كه در اين مثال ميبينيد اين سطرها آدرس IP و آدرس ايميل هريك از فرستندگان و دريافتكنندگان را نمايش ميدهند. همچنين تاريخ و زمان هر انتقال را نيز در اختيار كاربر ميگذارند. همچنين گوياي اين واقعيت هستند كه آدرس ايميل بخشي از يك فهرست ايميل بوده است. برنامهنويسان و متخصصان بخش IT سازمانها براي ردگيري و مسدودكردن هرزنامهها از همين اطلاعات بهره ميگيرند و همين اطلاعات است كه هدر ايميلها را به مهمترين بخش آنها تبديلميكند. براي كسب اطلاعات بيشتر به آدرس whatismyipaddress.com مراجعه كنيد.
آيا ميدانستيد؟
دريافتكنندگان ميتوانند آدرس اينترنتي و نام كامپيوتري را كه ايميل با استفاده از آن ارسال شده است، ببينند، حتي در مواردي كه يك ايميل توسط يك هرزنامهنويس و براي تعداد زيادي از كاربران ارسال شده باشد، اغلب متخصصان امنيتي از اين نكته آگاهي دارند
امنيت و حريم خصوصي در ايميلهاي مبتني بر وب
چنانكه پيش از اين گفته شد، ايميل مبتني بر وب براي برقراري ارتباط با سرور وب از يك مرورگر استفاده ميكند؛ اگر سرور وب از پروتكل HTTP استفاده ميكند مطمئن باشيد كه امن نيست و براي تأمين امنيت ايميلها بايد از پروتكل HTTPS (حرف S سرنام Secure معناي امن است) استفاده شود. به اين معني كه هنگام درج گذرواژه و نام كاربري، اين اطلاعات بين كامپيوتر كاربر و سرور وب بهصورت رمزگذاري شده ارسال نميشود. خدمات ايميل مبتني بر وب معمولاً اطلاعات شخصي كاربران شامل نام، آدرسهاي ايميل و اطلاعات مربوط به گشتوگذار در وب را از طريق مرورگر آنها گردآوريميكنند. به همين دليل توصيه ميكنيم، پيش از ثبتنام براي دريافت چنين خدماتي سياست حفظ حريم شخصي آنها را به دقت مطالعه كنيد.
اسكن پيغامهاي ايميلمبتني بر وب و نمايش تبليغات بر اساس محتوا
گوگل از ساير سرويسدهندگان يك گام جلوتر رفته و به منظور سفارشيسازي تبليغات و انجام تحقيقات، متن پيغام كاربران نهايي را اسكن ميكند. البته، استفاده از Gmail به انتخاب كاربران بستگي دارد. شكي نيست كه ساير سرويس دهندگان ايميل رايگان نيز به دليل درآمدزايي اين شيوه را در آينده نزديك بهكار ميگيرند. اگر كاربران نهايي نگران رعايت حريم خصوصي خود باشند، ميتوانند از خدمات يك تأمينكننده ديگر بهره بگيرند.
امنيت و حريم خصوصي در پروتكلهايSMTP، POP و IMAP
پروتكل SMTP امن نيست. اين پروتكل پيغامها را كدگذاري نميكند، مگر اين كه يك سرور از سيستم كدگذاري TLS (سرنام Transport Layer Security) پشتيباني كند. همچنين اين پروتكل ميتواند پيغامها را در قالب متن ساده ارسال كند و سايرين ميتوانند محتواي اين پيغامها را به روش غيرقانوني ببينند. اگر در پروتكل مذكور، درج نام كاربري و كلمه عبور لازم باشد، اين اطلاعات به هيچوجه رمزگذاري نميشوند. اگر درخواست موردقبول واقع شود، محتواي پيغام در قالب متن ساده ارسالميشود كه براي هكرها و دزدان اطلاعات شكار خوبي محسوب ميشود. پيغامهاي ارسال شده با استفاده از پروتكل SMTP شامل اطلاعات هدر در رابطه با كامپيوتر ارسال كننده پيغام و عامل MTA مورد استفاده است.
آيا ميدانيد؟
با مراجعه به آدرس http://digicert.com ميتوانيد مجوز SSL را بررسي كنيد.
سيستمهاي رمزگذاري PGP و S/MIME
سيستمهاي رمزگذاري S/MIME و PGP دو نوع بسيار متداول رمزگذاري نامتقارن براي ايميلها هستند. آيا ميدانيد كه سيستمهاي S/MIME و PGP با يكديگر سازگار نيستند؟ اگر يك كاربر ايميلي را از شخصي دريافت كند كه از سيستم S/MIME براي رمزگذاري آن بهرهگرفته، نميتواند اطلاعات آن را بازيابي كند. در حالي كه PGP از سال 1997 تاكنون استاندارد متداول اينترنت براي رمزگذاري ايميل بوده است و به همين دليل، بخش اعظم ايميلها با استفاده از استاندارد PGP رمزگذاري ميشوند.
آيا ميدانيد؟
ميتوان برنامه مايكروسافت آوتلوك را بهگونهاي پيكربندي كرد كه از هر دو سيستم S/MIME و PGP استفاده كند. در حال حاضر، هيچ راه شناختهشدهاي براي شكستن رمزهاي PGP وجود ندارد و به همين دليل بهترين استاندارد رمزگذاري موجود محسوب ميشود. با وجود اين در ظاهر نسخه دوم PGP (هنگام استفاده از IDEA، DES يا RSA) يك نقطهضعف نظري دارد. يك مهاجم با استفاده از تحليل خطاها ميتواند موتور رمزگذاري و رمزگشايي را وادار به نمايش پيغام خطا كند تا با تحليل اطلاعات خروجي براساس اطلاعات ورودي معلوم بتواند سيستم را در جريان عمليات وادار به ارتكاب خطا كند و به اين ترتيب غالب سيستمهاي رمزگذاري را بشكند.همچنين همواره ثبت غيرمجاز كليدهاي فشرده شده توسط كاربر، امنيت اطلاعات را تهديد ميكند. اين شيوه جاسوسي ميتواند حتي توانمندترين سيستمهاي رمزگذاري را نيز با شكست مواجه كند. در اين شيوه مهاجم يك نرمافزار ثبت كليد را روي سيستم نصب ميكند تا بتواند گذرواژههاي كاربر هدف را بيابد. از آنجا كه مهاجم كليد خصوصي RSA را در اختيار داشته و امكان دسترسي به سيستم موردتهاجم را نيز دارد، در اين شيوه به تحليل رمز نيازي نيست. حال اجازه دهيد كمي درباره OpenPGP بحث كنيم. گفته ميشود اگر اين سيستم بهطور عمومي بهكارگرفته شود، موجب افزايش امنيت ايميل خواهد شد
استاندارد OpenPGP
سيستم OpenPGP استانداردي براي امنسازي ايميل است. واژه Open در اين استاندارد به دليل آزاد بودن استفاده از آن براي تمام كاربران است و هر فردي ميتواند براي سايرين ايميل ارسال كند. پيغامهاي OpenPGP امكان اعتبارسنجي فرستنده را با استفاده از امضاهاي ديجيتالي فراهم ميكنند و براي امنيت بيشتر ميتوان آنها را با استفاده ازسيستم رمزگذاري كليد عمومي رمزگذاري كرد. از آنجا كه OpenPGP براساس يك سيستم گسترش يافته MIME ساخته شده پيغامهاي OpenPGP حتي اگر كلاينت استاندارد ايميل بهطور بومي از OpenPGP پشتيباني نكند، بهخوبي با آن تعامل ميكنند. همچنين پيغامهاي OpenPGP با قالبها و ضميمههاي HTML سازگاري دارند؛ در حالي كه پيغامهاي قديمي PGP كه مبتني بر ASCII هستند، با آنها سازگار نيستند. مزيت اصلي OpenPGP سادگي يكپارچهسازي آن با كلاينتهاي ايميل از طريق پروكسيها و برنامههاي ضميمه است. كافي است درباره سادگي اين كار به درستي اطلاعرساني شود تا اغلب كاربران نهايي از آن استفاده كنند.
جمعبندي
با مطالعه اين مقاله بايد متوجه اين نكته شده باشيد كه اسكن ايميلها بههيچوجه كار سادهاي نيست، مگر اينكه به عنوان مثال ابزار OpenPGP روي سيستم تمام كاربران نصب شده باشد. بدون استفاده از PGP، SSL، TLSو ساير پروتكلها كسب اطلاع از باز شدن ايميلها توسط سايرين و دسترسي غيرمجاز افراد متفرقه به محتواي آنها بسيار دشوار خواهد بود. در اينباره فكر كنيد: «هزينه خواندن محتواي يك ايميل توسط افراد غيرمجاز چقدر است؟ در واقع اين هزينهاي است كه برآورد ميزان آن غيرممكن بهنظر ميرسد.»
منبع: parseek.com