Hur säker är e-posten?

Jag har nu ett par gånger på jobbet råkat ut för att man inte skickar viktig information med e-post. Ena gången var ett kreditkortsföretag som inte skickade sina provisioner (sammanlagda summor för hela året) med e-post, med fax gick det nog bra eller med snigelpost.

Andra gången var det nån statistik som Finlands Bank ville ha, dom skrev att "skicka inte konfidentiell information med e-post", man skulle i stället logga in på deras hemsida och skriva in informationen där. Men användarnamn och lösenord skickade dom nog med e-post till mig, visserligen i två skilda mail.

Är det osäkert att skicka viktig information med e-post? Och framför allt: Är det i så fall säkrare att skicka snigelpost eller skicka fax? Kreditkortsföretaget frågade inte om andra än jag har tillgång till faxen, inte frågade dom heller om vi hämtar posten själva eller om den levereras till en olåst låda. Kanske hade dom skickat rekommenderat men det betvivlar jag?

Mr Guje,

Please step forward. Your presence is being required!

I princip är eposten osäker om den inte krypteras (och det gör inte många). Så skicka INTE lösenord och viktiga koder med epost !

Med snigelpost och fax är det färre som kan norpa koderna - med epost kan i princip hela världen knycka dem.

Allt är fråga om risker. Lösenord som skickas med epost borde användas genast och sedan dö. Då minskar riskerna för att någon HINNER missbruka dem.

Då jag får engångskoder via SMS till bankerna så är de i kraft bara fem minuter.

Men allmänt taget ÄR epost ungefär som att ropa från kullens topp ...

Men hur stor är risken att någon kan få tag på just min e-post? Om Nisse eller Guje är nyfikna på just min e-post, är det då möjligt för er att snappa upp den på nätet? Eller är det så att intressant information plockas ut från miljontals adresser = den som ropar högst från kullen hörs bäst.

Skurkarna använder sökmotorer så ordet "bank" kan vara ytterst intressant ... Och så försöker de komma in på bankers epost.

För hand plockar ingen ut nånting från nätet.

Mycket intressant ämne!

Ber att få återkomma med bättre tid då jag skall visa hur e-post trafikens paket ser ut då de går genom nätet.

Men bara om ni vill se det förstås!
Här gäller ju den gamla regeln att det man inte känner till mår man inte dåligt av heller.

Jo, i alla fall jag är intresserad. Men det som intresserar mest är om du har möjlighet att snoka fram någonting från just min e-post. Du vet min e-postadress, kan du snappa upp den med innehåll på nätet när jag skickar och tar emot (okrypterat)? Inte för hand men om du sniffar under några dagar.

Nisse sa att skurkarna efter ord och annat som kan vara intressant. Det är väl förklaringen varför t.ex just det kreditkortsföretag jag nämnde undviker att skicka e-post överhuvudtaget, de måste ju i alla fall skriva vem som är avsändare och då framkommer deras firmanamn som kan vara intressant?

Det finns tre ställen där man kan komma åt information då A och B skickar mail åt varandra.

1. I A:s nät
2. I näten mellan A och B
3. I B:s nät

Finns i huvudsak även tre sätt att knycka information:

a) Avlyssna trafik
b) Avläsa lagringsenheter
c) Sofistikerade metoder

a) Att avlyssna trafik

Att sniffa trafiken (avläsa) är möjlig endast i ändstationerna A och B:s omedelbara närhet. Det beror på att det är endast där alla datapaketen finns tillgängliga. På sträckningen mellan A och B är det inte alls sagt att man har möjlighet att avlyssna en sådan punkt där alla e-post paket passerar. Det är sannolikt så, men absolut inte alls nåt att lita på. Det är lätt hänt att nån router på vägen skickar halva e-postmeddelandet ena vägen runt jorden och den andra halvan, andra vägen runt jorden. På vägen kan där ytterligare finnas routrar som splittar upp de båda halvorna och skickar paketen än hit och än dit. Av den anledningen kan man inte ställa sig vid en "kabel" och tro att man kan avlyssna ett meddelande i sin helhet. Av samma anledning kan man inte heller kapa en kabel nånstans mellan A och B och tro att förbindelsen är bruten med det.
(Ok, klipper man kabeln till A så tystnar trafiken till A, men inte slocknar Internet för det)


b) Att avläsa lagringsenheter

Att komma åt filer och databaser går att göra även på sträckningen mellan A och B. I regel behövs det ett lämpligt användarnamn och lösenord för att öppna informationen tex. en e-post server. Rör man sig inom A:s eller B:s dator behöver man inte ens det. Mycket välkända grejer i hackers- och virusar kretsar.


c) Sofistikierad metoder

Till de mer sofistikierade metoderna räknar jag kombinationer av att sniffa och att öppna filsystem. Man sniffar ett lösenord för att kunna öppna en e-post-server. Men varför anstränga sig när man kan googla fram lösenords-listor.
Det är väl ett känt faktum att folk håller reda på sina lösenord i Excel-filer. Det är ju så "behändigt".


Som denhär lösenordslistan (Glöm inte att klicka upp Excel-filens alla flikar)

Det är enkelt att ta fram fler lösenordslistor med Google:s specialkommandon. Sök tex. på detta i Google:

filetype:xls username password

.... dethär är bara början. Och då har vi inte ens hunnit bli sofistikierade ännu.



------------------




Det gäller alltså att försöka få tag på användarnman och lösenord. Får man det kommer man åt tex. Bengts e-post lika lätt som han själv.
Frågan är: Hur kommer jag åt Bengts lösenord? Har du dom inlåsta i skrivbordslådan eller fasttejpade på skärmen? Eventullt med en web-kamera i bakgrunden - bara för nån att zooma in.
(Jo - folk är faktiskt så dumma! )

Här lite mer på temat Web-kameror. Kunde även gå under rubriken: "Visa för Internet när det går bäst att ostörd ta sig in i skrivbordslådan som är fylld med lösenord."
http://www.mydigitallife.info/2006/11/27/hack-to-s earch-and-view-free-live-webcam-with-google-search /


------------------

Kanske det är såna här saker som nån i någon organisation fått höra om. Men absolut inte alla. Annars tror jag ju nog att många fler hade låtit bli att skicka känslig information över nätet.
Det handlar alltså inte enbart om luckor i datasystemen. Det handlar minst lika mycket om luckor mellan öronen på folk.


Next step: Hur man avläser ett e-post lösenord hos A eller B.
Stay tuned!