Sähköpostin Tietoturva

Esitys aiheesta: "Sähköpostin Tietoturva"— Esityksen transkriptio:

1 Sähköpostin Tietoturva
Saku Chydenius & Asko Ikävalko 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

2 © Saku Chydenius & Asko Ikävalko 2005
Sisältö Historia Toiminta Turvallisuusongelmat / uhat Turvallisuusratkaisuja Sähköpostiohjelmien ratkaisuja Webmail-ohjelmat 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

3 © Saku Chydenius & Asko Ikävalko 2005
Historia Syntynyt 1965 1966 AUTODIN-verkkon sisäinen viestintä 1969 reikäkortit 1971 ensimmäinen spam-viesti 1980  X.400 & SMTP 1982 IBM:n Professional Office System 1985 Pro Office tuotantokunnossa 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

4 Sahköpostin formaatti
Otsakkeet (header) Viestin otsikko Lähettäjä Vastaanottaja Lähetysaika Muita otsakkeita (CC, MIME type, Received) Runko (body) Viesti Joskus perässä allekirjoitus 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

5 © Saku Chydenius & Asko Ikävalko 2005
SMTP Sähköpostin lähetysprotokolla Client muodostaa eri yhteyden lähetystä / vastaanottoa varten SMTP palvelimena käytetään oman operaattorin palvelinta Ehdotettu korvattavaksi "Internet Mail 2000" arkkitehtuurilla, jossa tallennusvastuu lähettäjällä 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

6 © Saku Chydenius & Asko Ikävalko 2005
POP3 Lataa postit palvelimelta paikalliselle koneelle Hyvä vaihtoehto dialup-yhteyksillä Autentikointi  APOP (MD5 estää mm. replay hyökkäyksiä) Salaus  SSL 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

7 © Saku Chydenius & Asko Ikävalko 2005
IMAP4 Ei lataa kaikkea postia kerralla  nopeampi jos laatikossa liitetiedostoja Voidaan kytkeytyä usealla clientillä samanaikaisesti Viestin tila (read, replied, deleted) liput serverillä Käyttäjä voi luoda kansioita (mailbox) palvelimelle Hakutoiminnot palvelimella Standardi tukee suoraan salattua kirjautumista Microsoft-ohjelmissa kuitenkin plain-text kirjautuminen Liikenteen salaus  SSL 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

8 © Saku Chydenius & Asko Ikävalko 2005
Termistöä MUA – Mail User Agent MTA – Mail Transfer Agent MDA – Mail Delivery Agent DNS – Domain Name System ISP – Internet Service Provider SMTP – Simple Mail Transfer Protocol IMAP – Internet Message Access Protocol POP3 – Post Office Protocol 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

9 © Saku Chydenius & Asko Ikävalko 2005
9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

10 Sähköpostin nykyiset uhat
Spam Madot Phishing Salaamattomuus ISP:n varmuuskopiot Troijalaiset ja virukset Huonosti suojatut sähköpostiserverit 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

11 Roskapostilta vältyminen
Ei selkokielisiä osoitteita webiin Weblomakkeet (haavoittuvia) Kertakäyttöosoitteet (suljettavissa manuaalisesti / ajan perusteella) Älä vastaa viesteihin, äläkä seuraa www-linkkejä viesteissä Spam-filtterit (sisältö, tilasto, hash) ISP:n massapostifiltteröinti 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

12 Madoilta suojautuminen
Liitetiedostojen esikatselu pois päältä HTML & JavaScript pois päältä Älä avaa .exe liitteitä Osta Mac tai asenna Linux Antivirus-ohjelmat 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

13 Yksityisyyden suojaaminen
PGP (Pretty Good Privacy) GPG (GNU Privacy Guard) VPN (Virtual Private Network) TLS/SSL (Transport Layer Security / Secure Sockets Layer) 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

14 PGP (Pretty Good Privacy)
Alkaen 1991 Poiki myöhemmin avoimen standardin OpenPGP Heikoimmillaankin oikein käytettynä sotilastason salaus Kryptaa postin, ei pelkästään sen välitystä (SSL) 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

15 © Saku Chydenius & Asko Ikävalko 2005
PGP - Algoritmit 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

16 GPG (GNU Privacy Guard)
Avoin lähdekoodi Versio vuonna 1999 Sisältyy useimpiin GNU/Linux –distribuutioihin mm. Mozilla Thunderbird:lle plugin Webmail Horden käyttämä 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

17 © Saku Chydenius & Asko Ikävalko 2005
SSL / TSL Salasana kryptattuna Liikenne kryptattua Myös subject-rivi kryptattu (vrt. PGP) SSL-sertifikaatit (vrt. https) 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

18 © Saku Chydenius & Asko Ikävalko 2005
Sähköpostiohjelmat Outlook 2002 Outlook 2003 Mozilla Thunderbird Eudora 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

19 © Saku Chydenius & Asko Ikävalko 2005
Outlook 2002 Poistaa liitetiedostoja tiedostopäätteen perusteella (OE) Ilmoittaa, jos joku muu ohjelma yrittää käyttää osoitekirjaa Ylläpitäjän hallittavissa Group Policyilla Internet security zone -> Restricted, estää skriptien ajon "View as plain text" asetus syvällä piilossa 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

20 © Saku Chydenius & Asko Ikävalko 2005
Outlook 2003 Roskapostin suodatus viestin sisällön ja rakenteen perusteella (vs. lähettäjäosoite) Roskapostisuodatin päivittyy automaattisesti Jaetut kalenterit, kaikki eivät tiedä mitä tarkoittaa (+ synkronointi) Rights Management (estää tulostuksen & forwardoinnin) 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

21 © Saku Chydenius & Asko Ikävalko 2005
Mozilla Thunderbird Plain text asetus Tilastollinen roskapostin suodatus Ilmainen & lähdekoodi avointa Firefox tyyliset Extensionit 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

22 © Saku Chydenius & Asko Ikävalko 2005
Eudora Vuoden 2000 jälkeen 5 haavoittuvuutta Monipuolinen, tilastollinen roskapostin suodati 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

23 © Saku Chydenius & Asko Ikävalko 2005
Webmail Gmail Hotmail Yahoo! Mail 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

24 © Saku Chydenius & Asko Ikävalko 2005
Gmail Konfiguroitava suodatus Automaattinen SPAMmin suodatus DomainKeys POP3, IMAP ja SMTP WAP-access 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

25 © Saku Chydenius & Asko Ikävalko 2005
Hotmail ei POP3 WebDAV Suosii IE:tä Suodattaa Gmail-invitet 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

26 © Saku Chydenius & Asko Ikävalko 2005
Yahoo! Mail Virus- ja SPAM-suoja POP3 ilmainen SMTP maksullinen DomainKeys 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

27 © Saku Chydenius & Asko Ikävalko 2005
DomainKeys Domainin todentaminen Viestin aitouden tarkistus DKIM – DomainKeys Identified Mail (IETF) Perustuu SPF:ään Ei estä sähköpostin väärinkäyttöä 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

28 © Saku Chydenius & Asko Ikävalko 2005
DomainKeys (…jatkuu) EDUT Tehokkaammat black- ja white-listat Väärennettyjen viestien poisto automaattisesti Helpdesk voi suunnata resurssinsa muualle Rikollisten domainien omistajien jäljittäminen helpompaa OpenPGP-tuki HAITAT Allekirjoitus voi muuttua matkalla esim listapalvelimen toimesta Viestin muuttamisen jälkeen allekirjoitus täytyy tehdä uudestaan Vaatii paljon laskentatehoa palvelimelta Implementoiminen vaatii muutoksia DNS:ään 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

29 DomainKeys – viestin lähetys
Sähköposti SUM Secure Hash (oletus SHA-1) Private Key VIESTI DomainKey- Signature Kryptaus (oletus RSA) Koodaus [BASE64] 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

30 DomainKeys – viestin vastaanotto
Signature Dekoodaus [BASE64] Public Key Dekryptaus SMTP Uudelleen- laskettu HASH Dekryptattu HASH Public key _domainkey DNS lookup DNS onko Samat? KYLLÄ EI 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005

31 © Saku Chydenius & Asko Ikävalko 2005
Lähteet 9/18/2018 © Saku Chydenius & Asko Ikävalko 2005