Опасная правда о бесплатных почтовых сервисах

Отслеживать электронную переписку большинства пользователей сегодня очень просто, причём не только в соцсетях, но и на почтовых серверах. Круг заинтересованных в вашей информации лиц включает рекламщиков (и они-то как раз самые безобидные шпионы), а также работодателей (если вы работаете в офисе), киберпреступников и, в редких случаях, сотрудников спецслужб. Давайте разберёмся, как нас защищают от этих угроз сервисы электронной почты и защищают ли вообще. И для этого мы проанализируем самые популярные и интересные из них, но перед этим небольшой ликбез для тех, кто не очень представляет, как устроены почтовики.

Как работают почтовые серверы

После написания и отправки письмо проходит множество электронных «инстанций»: с ним работают боты сервера-отправителя и сервера-получателя, рекламные боты на стороне отправителя и получателя (вы же понимаете, что владелец вашей почты отнюдь не вы сами, а Google, Microsoft, Яндекс, Yahoo и Mail.ru?), а также многочисленные спам-фильтры, отсеивающие рекламные и вредоносные письма, которые отправляются получателям без их согласия. Если письмо не зашифровано надёжными криптографическими методами, любой бот сможет прочитать его содержимое, а что доступно ботам, так же легко может быть доступно их создателям и владельцам. Таким образом, не зашифрованная или плохо (не полностью) зашифрованная переписка оказывается уязвимой, и, если она представляет для кого-то интерес, без труда может быть расшифрована после перехвата.

Особенности и механизмы шифрования писем

Массовые e-mail сервисы вообще не шифруют отправляемые сообщения. Это касается самых популярных у нас Mail.ru, Yandex, Gmail и Rambler. Поэтому, если вы не хотите, чтобы ваши письма мог читать кто угодно, есть два варианта: перейти на сервис, где есть шифрование по умолчанию (этот вариант самый надёжный), или же воспользоваться одной из программ шифрования электронной почты. Среди последних есть такие, которые работают как подключаемые плагины на почтовых сервисах (например, Comodo Free Email Certificate), полноценные программы (Gpg4win), онлайн-сервисы (Hushmail) или браузерные плагины (Mailvelope, Infoencrypt). Большинство из этих программ бесплатны, однако и здесь пользователей также могут подстерегать опасности. Но чтобы оценить степень угрозы и понять преимущества сервисов с собственными ключами шифрования, познакомимся с тем, как, собственно, выполняется это самое шифрование данных в электронных письмах.

Сам по себе механизм шифрования довольно прост: сообщение шифруется, а затем дешифруется при помощи ключа, который есть только у отправителя и получателя (это называется «сквозное шифрование», подробнее читайте об этом в нашей предыдущей статье про шифрование). Таким образом, все остальные «участники переписки» (читай, боты, работающие с письмом на промежуточных этапах между отправкой и получением, и другое ПО, например, от вашего работодателя, если вы работаете в какой-то фирме) не смогут выудить из письма ни одного слова, поскольку ключа шифрования у них нет, и что посылается по e-mail, им непонятно. Тут, правда, возникает одна проблема: если зашифрованное письмо отправляется на ящик другого почтовика, необходимо как-то сделать так, чтобы получатель смог прочитать его.

Как получатель зашифрованного письма может прочитать его, если пользуется другим сервисом?

Иными словами, как быть в случае, если вы пользователь Gmail или Яндекс.Почты, а получили письмо, например, от пользователя ProtonMail или Tutanota? (об этих почтовиках подробнее поговорим ниже) То же самое касается тех случаев, когда пользователь «Протона» отправляет письмо пользователю «Тутаноты» и наоборот — ключи шифрования ведь у всех разные. Это решается довольно простым способом.

В случае, если пользователь одного из сервисов с шифрованием отправляет письмо пользователю другого сервиса, получателю приходит письмо с уведомлением о том, что с такого-то адреса ему было отправлено зашифрованное письмо. В этом письме-уведомлении содержится ссылка на сервер отправителя, перейдя по которой получатель затем должен будет ввести специальный пароль, который необходимо заранее согласовать между отправителем и получателем любым безопасным способом (лучше всего офлайн и не по телефону для большей безопасности). После ввода пароля на вкладке браузера получателю будет доступен текст письма и вложение, если оно есть. Добавим, что доступ к письму по ссылке может быть ограничен по времени, и, если отправитель установил такое ограничение, через некоторое время письмо будет удалено навсегда. Дело в том, что надёжные сервисы с поддержкой сквозного шифрования механизмов восстановления email не имеют, поскольку не хранят никаких данных о пользователях и даже не располагают ключами шифрования, которые автоматически создаются для каждой новой переписки.

Как работают Gmail.com и другие почтовые сервисы без шифрования

Почта от Google нравится многим за то, что эффективно борется со спамом и предлагает пользователям удобную группировку входящих сообщений, а также простой и понятный интерфейс. Однако на этом для людей сведущих её достоинства и заканчиваются. Что же не так с Gmail?

Оказывается, вашу переписку в гугловской почте может читать фактически кто угодно, ведь она не зашифрована. С сотрудниками самого Google понятно, и вряд ли мы удивим вас, если скажем, что сотрудники любого популярного почтового сервиса, будь то Gmail, Outlook (Hotmail), Yahoo! Mail, Яндекс.Почта или Почта@Mail.Ru, могут легко читать любые письма своих пользователей. Но доступ к вашей почте работников Гугла — это ещё полбеды, на деле всё обстоит куда хуже: Google также предоставляет доступ к своей незашифрованной почте разработчикам приложений, если пользователь согласится установить приложение, задействовав аккаунт Google.

В статье прямо указано, что, цитируем: «В письме американским законодателям… представители Google объяснили, что сторонние разработчики могут получать доступ и обмениваться данными из учетных записей Gmail, хотя в компании заявили, что тщательно проверяют любые третьи стороны, которым предоставлен доступ и кроме того, разрешение на это должно быть предоставлено пользователем». Работает это так: вы ставите себе на смартфон какой-нибудь ежедневник, редактор, игру или любую другую программу (например, «родительского контроля», как в примере с приложением MonitorMinor ниже), а при установке приложение уведомляет вас о том, что получит доступ определённого уровня к вашей почте Gmail. Люди, желая побыстрее установить приложение, часто даже не задумываются о том, какие доступы предоставляют владельцам этих приложений. И, несмотря на то, что в Google заявляют, что предоставляют доступ к почте пользователей только разработчикам проверенных приложений, контролировать утечки всё равно сложно, тем более, что количество приложений с полным доступом растёт: уже к концу 2017 года полный доступ к Gmail имели 379 приложений.

Об уровнях доступа и сохранении конфиденциальности переписки в Gmail

Уровни доступа чётко прописаны в разделе «Доступ к аккаунту» от службы поддержки Google. Самое интересное здесь, конечно, полный доступ: приложение, получающее такой доступ, может делать всё, кроме трёх вещей (снова цитата): «приложения с полным доступом не могут менять пароль, удалять аккаунт и использовать Google Pay для того, чтобы отправлять, запрашивать и получать средства». Всё остальное, получается, могут (и это указывается в условиях при установке приложения — смотрите скриншоты), а это значит, что ваша переписка под серьёзной угрозой со стороны третьих лиц, ведь разработчик конкретного приложения сможет при желании изучать ваши письма, да ещё и на законном основании. Как говорил герой одного известного фильма: «Хорошенькое дело!»

Выхода тут два: не устанавливать такие приложения или завести специальную почту только для регистраций. Но и во втором случае пользователя подстерегает ловушка — владелец приложения, которому вы предоставили доступ к своей почте, будет видеть ваши регистрационные данные, присланные другими сервисами, и даже может получить доступ к вашему устройству (смотрите тот же самый пример с MonitorMinor ниже).

Конечно, сбор данных сейчас почти всегда осуществляется ботами в автоматическом режиме, но никто не запрещает просматривать интересующую почту и вручную. Да, конечно, представители Google утверждают, что сбор данных из писем ведётся таким образом, что информация о личных данных пользователей нигде не должна публиковаться, и это регулируется договором, который Гугл заключает с разработчиками приложений. Однако, всё в той же статье с британского портала Independent, руководитель отдела по защите данных Google Сьюзан Фрей (Suzanne Frey), обращается к пользователям Gmail так: «Мы настоятельно рекомендуем вам внимательно просматривать экран разрешений, прежде чем предоставлять доступ к любому приложению, не принадлежащему Google».

Пользователи Gmail, к слову, уже неоднократно подавали в суд на Google за то, что службы компании читают их переписку в целях отображения контекстной рекламы и указывали, что это является нарушением законов о перехвате данных. Однако компания прикрывалась лицензионным соглашением о политике конфиденциальности, которое принимают пользователи, а представители Google заявляли следующее: «Людям, пользующимся веб-сервисами, не стоит удивляться тому, что их сообщения обрабатываются провайдером до того, как они попадают в ящик адресата. У пользователя вообще нет каких-либо разумных оснований полагать, что информация, которую он добровольно передаёт через третьи руки, остаётся конфиденциальной».

Но давайте представим, что вы нигде не регистрируетесь, и доступ к вашей почте имеют только сотрудники и сервисы самого Гугла, которые, вроде как, не должны использовать вашу переписку против вас, кроме случаев, когда она представляет угрозу для общества или отдельных граждан. Правильно, явно и не будут использовать, а неявно? Не забывайте, что Google живёт главным образом за счёт рекламы. А это значит, что всю вашу переписку шерстят рекламные боты компании, которые затем подсовывают вам подходящие объявления на сервисах Гугла и других сайтов, сотрудничающих с сервисом таргетированной рекламы Google Ads. Конечно, такая реклама на раз-два отключается адблокерами (а количество юзеров с блокировщиками рекламы уже приближается к 50%, а точнее — 47% по данным на конец 2019 года), к тому же в Google ещё в 2017 году пообещали перестать просматривать почту с целью показа таргетированной рекламы пользователям. Но даже это не делает Gmail безопасным — хотя бы потому, что сторонние разработчики вряд ли откажутся от доступа к вашей незашифрованной почте. А вот и конкретный пример, как работают доступы в Gmail.

Пример уязвимости Gmail

То, что доступность почты для разработчиков приложений — зло, буквально на днях доказали в «Лаборатории Касперского». Специалисты выявили шпионское ПО, выдающее себя за программу родительского контроля MonitorMinor. Работает эта штука в операционных системах на базе Android, а читать может не только гугловскую почту Gmail, но также сообщения в WhatsApp и Viber и в соцсетях Facebook и Instagram. Формально приложение MonitorMinor предназначено для мониторинга интернет активности детей и подростков, однако его практические возможности гораздо шире. Стоит только дать ему разрешение на полный доступ к своей почте и другим перечисленным выше сервисам (а без этого приложение установить невозможно), этот вредитель будет перехватывать всю переписку с устройства. Если же у вас установлена ещё и программа, обеспечивающая рут-доступ к ОС, злоумышленник-разработчик может программировать ваше устройство на определённые действия и получит полный контроль над ним. А удалить затем эту хитрую программку отнюдь не родительского контроля со своего смартфона или планшета будет очень непросто.

Относительно root-доступа (то есть прав суперпользователя или администратора, обладающего неограниченной властью над смартфоном, планшетом или другим мобильным девайсом) поговорим отдельно. Если такое устройство под управлением ОС Android имеет рут-доступ, то злоумышленник может получить полный доступ к нему, воспользовавшись уязвимостью операционной системы смартфона. Как писал портал Banki.ru в 2016 году, «уязвимость связана с работой подсистемы keyring, которая занимается хранением ключей шифрования, сертификатов и других конфиденциальных данных». Далее всё просто: пользуясь неограниченными правами, злоумышленники отдавали команды мобильному банку на перевод средств на нужные им счета. В 2016 году в российские суды поступило 194 иска к Сбербанку с жалобами на такой вид мошенничества, по которым истцы требовали от банка более 350 миллионов рублей (общая сумма), однако суд в полном объёме удовлетворил требования только 15 истцов, и ещё 21 юридических и физических лица получили частичные компенсации. Тем не менее меры Сбербанк принял, и сегодня пользователи устройств с рут-доступом могут переводить деньги только между своими счетами.

Бесплатные почтовые сервисы со сквозным шифрованием

Перейдём к обзору бесплатных почтовых систем иного уровня, то есть тех, которые шифруют отправляемые сообщения без использования сторонних плагинов или программ и пользуются технологией сквозного шифрования.

ProtonMail

Этот швейцарский проект с открытым исходным кодом запущен в 2013 году в статусе бета-теста, а с 2016 года функционирует как полноценный почтовый сервис. ProtonMail предлагает бесплатные аккаунты с лимитом до 150 зашифрованных сообщений в день, чего вполне хватит большинству пользователей. Бесплатный объём почтового ящика составляет 500 Мб, а по платной подписке его можно увеличить до 20 Гб. Расположение серверов «Протона» в Швейцарии обеспечивает надёжную защиту конфиденциальности пользователей, поскольку эта страна известна своей жёсткой политикой относительно охраны частной жизни кого бы то ни было.

Ещё один неожиданный для непосвящённых плюс — открытый исходный код. Но знание того, как устроена программа, гарантирует пользователю, что сервис не будет использовать какие-либо хитрости, чтобы получить доступ к вашей переписке. Также «Протон» не запоминает ваш IP-адрес, что является большим плюсом для безопасности, ведь так пользователя невозможно отследить по IP и понять, с какого адреса было отправлено сообщение. Удалённые сообщения тоже не остаются на серверах и действительно удаляются. Ещё одна поддерживаемая технология: Ephemeral messaging, подразумевающая удаление сообщений сразу после прочтения. Вишенка на торте: никаких личных данных при регистрации предоставлять не надо — полная анонимность.

И ещё один момент: 29 января 2020 года ProtonMail по решению Роскомнадзора был заблокирован на территории России, что является едва ли не главным доказательством его надёжности. К тому же в настоящее время разработчики «Протона» активно работают над обходом блокировок надзорными органами различных стран и ищут пути альтернативной маршрутизации. ProtonMail, возможно, будет пользоваться сетями Google, Amazon или Cloudflare для маршрутизации, чтобы поддерживать свои сервисы доступными даже в странах с активной интернет-цензурой, к которым относится и Россия. При этом разработчики обещают, что качество шифрования при использовании чужих сетей не пострадает.

Учитывая их опыт и серьёзность намерений, думаем, верить им можно, ведь Proton Technologies — это не только почта со сквозным шифрованием, но также первоклассный VPN с возможностью бесплатного использования. А недавно команда Proton Technologies объявила о запуске нового проекта ProtonCalendar — зашифрованного календаря, куда можно вносить различные данные, а доступ к нему есть только у членов группы, и даже сами разработчики не смогут получить доступ к этим данным.

Tutanota

Почтовый сервис из Германии, появившийся в 2011 году. Он вполне сопоставим с ProtonMail по уровню защиты и качеству предоставляемых услуг, а кое в чём даже выгоднее для пользователей. Например, TutaNota (в переводе с латыни, кстати, это «безопасное сообщение») не ограничивает бесплатных пользователей по количеству отправляемых шифрованных сообщений, а размер бесплатного почтового ящика у «Тутаноты» в два раза больше и составляет целый гигабайт. Однако ряд составителей рейтингов почтовых систем со сквозным шифрованием ставят Tunanota ниже «Протона». Дело в том, что разработчики сервиса в своё время сотрудничали с германской разведкой и АНБ, консультируя разведчиков по вопросам безопасности. Впрочем, разработчики этого не скрывают, и к тому же Tunanota тоже является проектом с открытым исходным кодом, а значит, находится вне подозрений.

Услуги Tutanota также были заблокированы в России: Роскомнадзор добавил бонус к репутации сервиса аккурат на День святого Валентина — 14 февраля 2020 года. Может, сотрудники надзорного органа являются тайными поклонниками «Тутаноты»? Кто знает… Ну, а обойти эту блокировку, как и все другие у нас, не так уж и сложно.

Mailfence

Швейцария была, Германия была, на очереди ещё одна европейская страна, где достаточно трепетно относятся к конфиденциальности — Бельгия, а Mailfence родом как раз оттуда. Из явных минусов для российских пользователей можно назвать сложность регистрации через российские IP-адреса, поэтому рекомендуется заходить на сайт Mailfence через расширения для обхода блокировок в браузерах или через сервисы VPN.

Сервис «Мейлфенс» был запущен в 2013 году, однако разработчики трудятся над проектами по защите данных с 1999 года, а значит, имеют немало наработок и солидный опыт. Из минусов, не позволяющих поставить Mailfence в рейтинге выше «Протона» и «Тутаноты», отметим прежде всего то, что разработчики не выложили код проекта в открытый доступ, что, конечно, снижает доверие к сервису. Но при этом никаких утечек данных с «Мейлфенса» пока не было. Mailfence предлагает бесплатным пользователям по 250 Мб для хранения писем и вложений.

Временные почтовые сервисы

Такие сервисы предоставляют пользователям временные адреса электронной почты, которые действуют ровно до тех пор, пока вкладка браузера не будет закрыта или страница не обновится. При этом ряд сервисов, предоставляющих временные e-mail, дают возможность вновь использовать последние удалённые почтовые ящики, которые восстанавливаются из хранилища. Для чего нужны такие ящики? Для двух вещей. Во-первых, для временных регистраций, когда вам что-то нужно на каком-то сайте, что без регистрации недоступно, но вы не планируете затем посещать его и скачивать там что-либо ещё. А кроме того, временный e-mail подойдёт для отправки анонимного сообщения на какой-либо адрес.

Стоит добавить, что ряд сайтов (форумов, интернет-магазинов, социальных сетей) блокирует возможность регистрации аккаунтов через сервисы временной почты, однако таких сервисов довольно много, а кроме того, они используют множество доменных имён, поэтому часто выручает смена почтового домена на том же сервисе.

3 популярных сервисов временной почты

DropMail — через эту почту можно регистрировать аккаунты на других сайтах, но нельзя отправлять письма. Адрес доступен неограниченное количество времени, но лишь до первого обновления страницы. Ощутимый плюс DropMail в том, что он позволяет создавать неограниченное количество почтовых ящиков совершенно бесплатно

Crazy Mailing — имя ящика здесь генерируется случайно. Сервис позволяет отправлять письма, однако требует регистрации для того, чтобы создавать до 10 почтовых ящиков и продлевать время действия почтового ящика хотя бы на полчаса за одно нажатие: без регистрации email-адрес удаляется уже через 10 минут после создания. Есть расширения для работы с Chrome и Firefox

Mohmal — есть возможность выбрать имя почтового ящика, однако нельзя создавать дополнительные имейлы и продлевать время действия.

Другие сервисы подобные сервисы:

Minuteinbox, TrashMail, Guerilla Mail, Nada и т.п.

Уязвимости почтовиков с неполным шифрованием

Только полное сквозное шифрование даст вам 100% гарантию, что письмо не будет прочитано злоумышленниками, даже если они его каким-то образом перехватят. Чтобы доказать это, разберём ситуацию, случившуюся пару лет назад с теми протоколами шифрования, которые не использовали функцию сквозного шифрования вложений, зашифровывая только «тело» письма. Уязвимость заключалась в том, что хакеры, не обладая ключом шифрования, получали доступ к телу письма через незашифрованные вложения.

Если подробнее, то файл вложения (например, графический) при перехватывании такого полузашифрованного письма изменяется таким образом, что туда добавляется ссылка на зашифрованную часть письма. В результате программа-дешифратор на стороне получателя сначала расшифровывает само письмо по ссылке и отправляет запрос с уже расшифрованным текстом на сервер, который находится под контролем злоумышленника. Таким образом хакеру становится доступна информация, содержавшаяся в зашифрованной части письма. Подобные уязвимости были отмечены в почтовых клиентах Mozilla Thunderbird, iOS Mail и Apple Mail.