¿Existe algún beneficio de seguridad al no usar los servicios de correo electrónico recientemente asociados con PRISM?

Las fugas y pruebas más recientes sugieren que los proveedores de correo electrónico en sí mismos, en general, no están cooperando con la NSA. Más bien, las empresas de telecomunicaciones como AT & T son. La venta al por mayor de NSA captura y analiza todo el tráfico en sentido ascendente de compañías como Google y Yahoo, y a través de eso obtiene acceso implícito a cualquier cosa que no esté encriptada. Entonces, el detalle crítico es este: ¿Qué compañías cifran su tráfico?

Hice algunas pruebas, y esto es lo que encontré:

Disponibilidad de cifrado de correo electrónico

Forced:         +++   
On by default:  ++  
Off by default: +  
Not available:  -  
Outbound Only:  +*

                  Gmail     Microsoft   Yahoo      AOL
Web Interface     +++       +++         +          -
POP3/IMAP         +++       +++         ++         ++
SMTP              ++        -           +*         +*

Así que Gmail hace el cifrado en todas partes, es posible, y ni siquiera te permitirá conectarte sin cifrar si estás obteniendo tu correo electrónico.

Microsoft (Live / Hotmail / Outlook.com, etc.) lo obliga a cifrar para recuperar su correo, pero no admite STARTTLS en el puerto 25, ni entrante ni saliente, por lo que todo el correo desde y hacia ellos no está cifrado .

Yahoo admite SSL en todos los ámbitos, pero está desactivado de forma predeterminada en la interfaz web.

AOL ni siquiera admite SSL en su interfaz web, pero sí lo admite en el backend.

No hay un estado activado / desactivado "predeterminado" para SSL en POP3 / IMAP, por lo que les di a todos el beneficio de la duda allí.

Posiblemente lo más interesante: GMail cifrará todo si lo permites, incluido el servidor al servidor. Microsoft no cifrará de servidor a servidor, mientras que Yahoo y AOL harán algo extraño: ambos cifrarán el correo electrónico saliente de servidor a servidor, pero no admiten STARTTLS en correo entrante . Por lo tanto, el correo que va desde Yahoo o AOL se cifrará si el destino lo admite (por ejemplo, Gmail), pero el correo que va a Yahoo o AOL no se puede cifrar.

Pero con respecto al cifrado de servidor a servidor, hay un problema: las conexiones no cifradas siempre son compatibles, lo que hace que un ataque de hombre en el medio sea trivial. Simplemente MITM la conexión en el PUERTO 25, y filtre la línea donde el servidor de destino anuncia la disponibilidad de STARTTLS. Además, como los servidores de correo rara vez comprueban la validez de los certificados, también puede MITM la sesión TLS con un certificado autofirmado.

Email de advertencia
Recuerde que el correo electrónico es intrínsecamente inseguro en su diseño. Usar el servicio de correo electrónico de su ISP o configurar uno propio puede no ser mejor. Recuerde que es la red troncal de la red la que se está girando, no los proveedores de servicios de correo. Así que todos somos igualmente vulnerables. Use S / MIME o PGP / GPG si necesita seguridad de correo electrónico.

El uso de casi todos los métodos de comunicación a través de Internet es posiblemente monitoreado. Ese no es el problema. El problema es por qué no cifras tus mensajes.

Enviar correos electrónicos es como escribir tarjetas postales, peor que escribir una carta, esta última tiene al menos un sobre. Pero puede usar el cifrado, en lugar de escribir letras simples en los correos electrónicos. PGP es uno de esos softwares que ayudan a cifrar correos electrónicos o mensajes que se publican en Internet públicamente. El cifrado se realiza en su propia computadora, y el descifrado en la computadora de su amigo, que es seguro a menos que su computadora o la de su amigo también sea monitoreada por agencias (software malicioso de agencias instaladas, CPU con informes de circuitos secretos, etc.). Afortunadamente, los cifrados como AES y RSA son hasta ahora suficientemente seguros, incluso para la NSA.

Personalmente, creo que no se está monitoreando ningún medio de comunicación. Pero la criptografía ayuda a comunicarse de manera segura a través de métodos de comunicación inseguros.

Puede proporcionar cierta protección, pero sin saber específicamente lo que está tratando de lograr en términos de "seguridad", es difícil decirlo.

Como han dicho otros, puedes cifrar todos tus mensajes para que no puedan ser leídos ya que están pasando por el cable. Por supuesto, eso significa que la gente a la que le escribes los correos electrónicos necesita una forma de descifrar todo lo que estás escribiendo, y puedes imaginarte que esto sería tedioso y poco viable a menos que solo envíes un correo electrónico a varias personas. Esto tiene la ventaja de hacerlo, de modo que, incluso si alguien más pudiera ver sus correos electrónicos, probablemente no podría leerlos.

La otra solución que publicaste, alojar un servidor de correo electrónico solo sería en parte útil, porque al final enviarás un correo electrónico a otras personas y probablemente no solo enviarás correos electrónicos a las personas que usan tu servidor de correo electrónico. Lo mismo puede decirse de los proveedores de correo electrónico locales.

Sin embargo, cuando realmente se reduce a ello, cuando se piensa en seguridad, debe pensar en los recursos, tanto monetarios como temporales, del adversario. Ahora, si te das cuenta de que el gobierno tiene recursos esencialmente infinitos (¡pueden REALMENTE imprimir dinero!) No hay nada que puedas hacer para evitar que te espíen si realmente lo desean.

Claro, puede tomar medidas para hacer que usen más recursos, pero, por otro lado, hacer cosas para proteger su privacidad supuestamente les hace más interesados en saber lo que está haciendo, posiblemente otorgándoles más derechos legales a Te espío por lo que he leído. Al final, simplemente no valgo la pena el esfuerzo.

Depende de su jurisdicción y de su negocio.

IANAL, pero como profesional de seguridad, aquí está mi comprensión:

PRISM es legal porque no se aplica a ciudadanos / residentes de EE. UU. ( enlace ). Si vive y trabaja en los EE. UU. Y hace negocios en los EE. UU., Entonces usted y sus contactos están protegidos y sujetos a la ley de los EE. UU. Perfectamente bien para usar los servicios. La aplicación de la ley siempre podía emitir órdenes judiciales y usted siempre lo sabía.

Si vive y trabaja fuera de los EE. UU., entonces la ley de EE. UU. no lo protege. Usted es un no ciudadano, no residente que ha exportado sus datos a suelo extranjero. Los datos pueden ser utilizados contra usted, sus amigos y familiares de manera arbitraria e indefinida en todas las relaciones con los Estados Unidos.

El precedente de este tipo de comportamiento de inteligencia gubernamental se puede ver en Irán, donde se arrestó a personas por las acciones de sus familiares en Facebook (por ejemplo, enlace ) o en China, donde se detectaron cuentas de disidentes en gmail que posiblemente llevaron a su ejecución enlace

Me cambié a un servicio de intercambio nacional (no de EE. UU.) para el calendario y el correo electrónico comercial después de PRISM. Si los EE. UU. Quieren mis datos, deben usar sus tratados de aplicación de la ley para obligar a mi ISP a divulgar los datos.

Sugiero que las empresas que manejan información confidencial de interés para los EE. UU. almacenen su información fuera de los EE. UU. (por ejemplo, embajadas, médicos, contratistas gubernamentales, abogados involucrados en casos federales de EE. UU., etc.) .

La principal diferencia que puedo ver es que le da una mejor idea de lo que realmente hace con los correos electrónicos que residen en el proveedor de servicios. Pueden saber si inmediatamente borró el mensaje o si lo leyó y lo movió a su carpeta "Cómo conquistar el mundo".

Sin embargo, en lo que respecta a los mensajes que se envían al servidor, tiene razón en que no hace ninguna diferencia y el cifrado mantendría el contenido seguro de cualquier manera. Lo único a lo que te estás rindiendo es qué información está disponible sobre lo que haces después de que llegue al servidor de tu proveedor de correo electrónico.