Cuando el correo electrónico seguro no es realmente seguro

Dado que los correos electrónicos sin procesar no están encriptados, lo que puede leer en un correo electrónico podría haber sido leído (conceptualmente) por cualquiera . Sin embargo, para leer el correo electrónico, el atacante todavía tendría que conectarse al servidor HTTPS, que deja pistas (la IP desde la cual se conecta el atacante será conocida por ese servidor; por supuesto, esa IP probablemente será la de un < a href="https://www.torproject.org/"> Tor exit node ). El sistema de enlace en correo electrónico evita ataques pasivos solo : el atacante tiene que enviar algunos paquetes de IP propios en algún momento. Esto no es un gran aumento en la seguridad ...

Por lo general, los promotores de soluciones como la que usted describe lo hacen por seguridad, pero no por la seguridad de su . Quieren saber cuándo se leyó el correo electrónico. Esta es una medida preventiva contra las personas que leen correos electrónicos embarazosos y luego afirman que nunca los recibieron. No será una gran prueba, pero puede ser suficiente para contrarrestar las maniobras evasivas de algunos colaboradores poco cooperativos.

Si desea un sistema que garantice que solo una persona específica podrá leer el correo electrónico, debe definir qué individuo específico está pensando. En el mundo de las computadoras, todo el mundo tiene una computadora, y no son inmediatamente indistinguibles entre sí. Las personas tienen identidades físicas que no forman parte del mundo informático, por lo que es necesario establecer un enlace en algún momento. Las soluciones estándar de correo electrónico seguro como S / MIME lo hacen a través de infraestructura de clave pública : un destinatario se define como" el individuo que controla la clave privada correspondiente a la clave pública que se encuentra en el certificado que ". Esto traslada el problema de la identificación física a un solo paso preparatorio durante el cual se emite el certificado.

Un posible modelo es que conociste al destinatario en persona una vez, y él te dio su tarjeta de presentación; en la tarjeta está impresa la huella digital de su clave pública OpenPGP - luego, encuentra la clave en un servidor de clave pública y verifica la huella digital . Hay muchas variantes en este concepto, pero un contacto físico no informático está necesariamente involucrado.

Me gustaría agregar esto a lo que The Bear ya ha dicho

Este método casi no agrega seguridad. ¿Por qué?

Exponer el correo electrónico con el enlace = Exponer el mensaje real

Esto es casi lo mismo que enviar el texto en el mismo correo electrónico utilizado para enviar el enlace. Entonces, ¿por qué están haciendo esto? Usted podría preguntar Aquí hay algunas razones posibles:

• Confirmación de entrega y lectura: hacer clic en el enlace y ver la página demuestra que has leído el mensaje.

• Deniability plausible : después de la primera visita, el mensaje en el servidor se puede eliminar y no se puede compartir. Más tarde con cualquier otra persona sin duda alguna sobre la fuente del mensaje. (Incluso si toma una captura de pantalla del mensaje, guarde la página, mantenga el correo electrónico con el enlace. El remitente siempre puede negar y reclamar que puede falsificar fácilmente todo lo anterior)

• Control de acceso : el servidor que aloja el mensaje podría configurarse para permitir la visualización de las direcciones IP en la lista blanca el mensaje. (Incluso si su cuenta de correo electrónico fue secuestrada, el atacante debe estar en el rango de la lista blanca para ver el mensaje real)

Uno que aún no se ha mencionado es que este enfoque puede mejorar la seguridad desde un ángulo diferente: en lugar de abordar las preocupaciones de privacidad (lo que claramente no lo hace), definitivamente ayuda a establecer verificabilidad .

Cualquier persona puede enviar un correo electrónico y falsificar los encabezados para que parezca que proviene de su proveedor, pero se puede confiar en que el contenido alojado en su sitio sea genuino (suponiendo que sus sistemas estén bien protegidos).

Esto es especialmente importante cuando se considera el phishing. Es mucho más fácil capacitar a las personas para que solo confíen en el contenido al que acceden a través del "Portal seguro" en lugar de hacerlo directamente en el mensaje de correo electrónico para intentar diferenciar los correos electrónicos legítimos y falsos.

Un truco que he visto antes es un enlace de descarga de un solo uso. Si visita el enlace, no podrá descargar el archivo después del primer intento. Si llega allí y el archivo ya se ha descargado antes de intentarlo, entonces ha detectado un compromiso. Es de esperar que este sitio registre la dirección y el tiempo de los descargadores como mínimo.

El problema que el remitente del correo electrónico está tratando de resolver es los datos en tránsito y los datos en reposo, específicamente, una copia de su correo electrónico y la ruta que toma para llegar a su destino. Cuando inicia sesión en una de estas soluciones "seguras", Tumbleweed es un ejemplo, simplemente está iniciando sesión en un servidor en la red de remitente . Los datos nunca salieron de la red del remitente y, por lo tanto, no estaban desprotegidos en tránsito, ni están desprotegidos en reposo, como cuando se encuentra en su bandeja de entrada en su cuenta de correo web.

Además, el enlace que le proporcionó el remitente solo se envió a su dirección de correo electrónico, por lo que, presumiblemente, solo una persona con acceso a su correo electrónico tendrá acceso a ese enlace. Con suerte, el algoritmo de generación de enlaces está diseñado correctamente y está a salvo de un atacante que tiene la capacidad de forzar de forma predecible la fuerza de los enlaces y la búsqueda de mensajes conocidos. Además, este servicio supone que utilizas una contraseña segura en tu cuenta de correo electrónico.

Algunas de estas soluciones de correo electrónico "seguras" sí tienen la capacidad de crear una combinación de nombre de usuario y contraseña para proteger el correo electrónico.

Sugeriría que, sin conocer todo el flujo, no se debe asumir que se trata de un teatro de seguridad; Sin embargo, también es totalmente posible que lo sea. Si desea confirmar que estos son realmente seguros en la forma en que su compañía lo pretende, pregunte a su equipo de infraestructura si algo sucede entre bambalinas.

El término "seguro" podría ser utilizado en términos de no repudio; se garantiza que el "correo electrónico" al que se accede a través del enlace no se modificará entre su servidor y su navegador. También es posible que se proporcione una garantía de que el correo electrónico nunca cambie, por ejemplo, al hacer que un tercero de confianza almacene el "correo electrónico" original que enviaron. Esto sería para el beneficio de ambas compañías, suponiendo que la única seguridad necesaria es que ambas partes tengan exactamente la misma información. Claramente, esto no es suficiente si la seguridad era proteger información privilegiada.

Es posible que su empresa tenga un conjunto de direcciones IP estáticas asignadas y que la otra compañía tenga una lista blanca de esas direcciones IP, ya que se les permite el acceso a las solicitudes. Internamente, su empresa podría lograr una separación de preocupaciones con este sistema.

Por último, podría ser que su empresa realice el inicio de sesión / handshake automáticamente en su nombre si su conexión pasa por un proxy al salir de la red interna. Esto podría ser cualquier cosa, desde cualquier empleado de la empresa puede ver los correos electrónicos seguros (como el ejemplo de IP anterior) hasta el proxy que realiza una búsqueda de su dirección de correo electrónico en función de su ID de usuario y la envía al servidor de la otra compañía como parte del protocolo de enlace para determinar si Usted, en particular, tiene derecho a ver ese correo electrónico.

Espero que un enfoque de inicio de sesión único (el último ejemplo) sea la razón por la que parece que solo se necesita un enlace para acceder a esta información segura. Su pregunta me hace considerar si deberíamos transmitir de alguna manera a los usuarios si su capacidad para acceder a una aplicación interna sin inicio de sesión se debió al inicio de sesión único o si la información está destinada a ser pública dentro de la organización. ¿O tal vez lo esperan internamente, pero querrían alguna indicación de terceros solamente? Supongo que es un problema de UX.