科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道你是否注意过网络邮箱的阴暗面

你是否注意过网络邮箱的阴暗面

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

很少有人考虑到这个事实:网络邮件天生就与POP3电子邮件不同。无论是管理方、管理方式、容易遭到黑客攻击的途径,还是用户遇到问题后可以获得的帮助类型,都有所不同。

作者:潘春燕 来源:IT168 2008年10月9日

关键字: 网络邮箱 Email安全

  • 评论
  • 分享微博
  • 分享邮件

  目前,基于万维网的电子邮件领域如火如荼。Gmail、雅虎邮箱和微软Hotmail等服务使用简单、便捷;最吸引人的是,它们还是免费的。我们许多人已逐渐养成了不假思索就依赖它们的习惯。

  不过据安全专家、隐私权倡导者以及一些网络邮箱的用户声称,我们也许应三思而行。很少有人考虑到这个事实:网络邮件天生就与POP3电子邮件不同。无论是管理方、管理方式、容易遭到黑客攻击的途径,还是用户遇到问题后可以获得的帮助类型,都有所不同。

  你可能认为这些区别并不重要。只有这些区别在背后捅你一刀,你才会认识到它们的重要性。比方说,几种最流行的网络邮箱服务是恶意黑客的首要目标。有些网络邮箱用户遇到了莫名其妙的技术问题,这些问题从来没有得到解释或者解决。大多数网络邮箱用户其实从来不知道自己的数据存放在何处、保存多久,或者说在得到多么有效的保护。

  网络邮箱的隐私性果真很强?

  虽然网络邮箱经常被誉为是一项免费服务,但“你不能不劳而获”这句老话绝对适用于这里。虽然你没有付一分钱给网络邮箱提供商,但还是在进行交易:你用个人信息来换取这项服务。如果你点击了许可协议上的那个文本框――谁都知道没人会看其中的内容,其实同意对方使用你在注册时输入的个人信息。比方说,谷歌公司的“隐私政策”明确规定:它可采集用户姓名和电子邮件地址等个人信息;它还可采集通过用户浏览器采集而来的信息(比如你平时访问哪些网站)以及通过电子邮件文本采集的信息,提供商可利用这些信息来定制广告、开展调研。

  编辑身份失窃新闻网站InsideIDTheft.info的隐私与安全顾问Rob Douglas强调:“这完全是为了积累有关用户的信息。当然,这些服务是‘免费的’,但相应的条件是提供商可以获得用户信息,而这些信息在广告和营销领域很宝贵。”(诚然,大多数时候这些信息是集中采集起来,所以其实没有哪个人会被辨认出来)。

  是否对此并不过于担心?也许你应该要担心了。Douglas说:“我认为,许多人往往忘了这一点:他们在网上的举动基本上被记录在案。采集信息的这种活动全部在后台进行;许多人在使用电脑时,这种活动不会直观显示出来。”

  大家可能会惊讶地发现:自己在网上泄露了很多个人信息,如果提供商把来自你网络邮箱帐户的信息与其他Web 2.0网站(如在线社交网络网站)结合起来,更是如此。SANS Technology Institute的负责人Stephen Northcutt说:“你开始在网上留下有关个人信息的痕迹。难道就因为你经常喝酒、抽烟、进行没有保护措施的性爱活动,就表明你确实希望看到有关葬地的广告呢?”

  电子邮件可能一览无遗

  Jeremiah Grossman是测试网站查找安全漏洞的白帽安全公司(WhiteHat Security)司的创办人兼首席技术官,他强调:如果你知道了怎么做,在未经许可的前提下进入别人的网络邮箱并阅读邮件其实相当容易,无论这行为合不合法。他说:“根本不能认为网络邮箱具有隐私性。好多好多的办法可以用来阅读网络邮件,”包括电子邮件提供商里面不怀好意的客户服务代表、手持传票或者国家安全信件的执法人员,或者是好奇地探测网上数据包的黑客。

  Northcutt说,SANS Technology Institute注意到有个Gmail用户窃取了自己的考试题目,并发布到网上后,它轻而易举从法院领到了传票。有人以为,正因为在电子邮件注册时没有使用真实姓名或者身份信息――而是使用一堆含意隐晦的随机数字和字母,谁也查不出自己的真实身份。Northcutt说:“当然,我们有能力查出来。”比方说,互联网服务提供商(ISP)有可能被命令交出某人在注册帐户时使用的联系信息。

  还有一种可能是:联邦调查局(FBI)在搜寻恐怖活动。根据《美国爱国者法》,FBI有权利用国家安全信件来获取通讯记录,包括电子邮件记录。美国司法部检察长办公室最近一份名为《FIB使用全国安全信件评述》的报告发现,在某些情况下,FBI滥用了这些监视权。报告还发现,有些电子邮件提供商明明只要提交账单记录,却把电子邮件的完整邮件正文和标题栏都一股脑儿地交了上去。

  隐私与信息管理研究公司波耐蒙研究所(Ponemon Institute)的创办人兼所长Larry Ponemon说:“如果你阅读了最终用户许可证协议里面的附属细则,总会发现政府可能有权介入的内容。”比方说,谷歌的政策是,政府下令谷歌交出记录时,它会通知电子邮件用户;“除了在有些情况下,按照法律我们无法及时通知,因为通知的话有可能阻碍执法人员的调查,”谷歌的发言人说。

  这不是仅在理论上存在的问题。早在2006年,谷歌就接到了司法部下达的传票:司法部需要众多用户在两个月里面的搜索查询记录,以及多达100万个网址,以证实其在一桩宾夕法尼亚州色情案中的论点。经过一番法律交涉后,法院最终在2007年3月裁定:谷歌必须向司法部提供5万个网址,但不用提供任何用户搜索查询记录。

  谷歌不是惟一发现自己上法院的网络邮箱提供商。比如在2006年4月,雅虎公司拿到了法院的传票,下令一名前员工交出雅虎帐户里面的电子邮件。新闻媒体纷纷报道雅虎曾把个人电子邮件帐户的内容移交给中国政府后,这家公司登上了头版头条,导致几名持不同意见的中国人被捕、锒铛入狱。

  公司安全成问题

  日益流行的第三方网络邮箱也为公司的IT部门带来了新的、有时缺乏了解的安全问题。

  大多数公司的电子邮件通过SMTP服务器传送,SMTP服务器通常扫描进来的电子邮件和附件,查找有无恶意软件;并检查发出的邮件,查找有无违反公司政策的任何情况。弗雷斯特研究公司的分析师Chenxi Wang强调,网络邮箱却不是这样:它通过公司的HTTP服务器传送,在进入到网络的过程中通常不受检查。这意味着,网络邮箱可能会带来安全威胁、导致公司的敏感数据外泄。

  趋势科技公司网络安全服务部门的总经理John Maddison说:“除非你落实了扫描机制,否则这对公司来说是个巨大漏洞。”

  有些公司由于忽视了政策或者制订的政策有误导性,结果害了自己。公司可能会禁止使用公司电子邮件用于办私事,这样员工除了使用网络邮箱帐户,基本上别无选择。即便没有正规的政策,“人们也可能认为,使用Gmail帐户、而不是使用公司电子邮件用于办私事没什么不妥,”Ponemon说。

  赛门铁克公司安全响应部门的高级业务经理David Cowings表示,在另一些情况下,公司可能要求员工经过繁杂的安全步骤才能远程访问电子邮件,以至他们改而使用网络邮箱。比方说,员工可能把收到的公司电子邮件副本转发到网络邮箱帐户,而不是经过复杂过程,比如使用轮换的访问密钥(rotating access key),通过VPN从家里或者外面拨号进入公司邮箱。FaceTime Communications是一家专门保护不是由公司批准的应用如网络邮箱的安全厂商,该公司的营销与产品管理副总裁Frank Cabri说,也有可能是公司的IT部门限制了附件大小,所以如果员工要发送2M大小的文件,他们只好求助于网络邮箱。

  的确,当公司开始查看什么信息通过HTTP通道传输时,“通常IT人员对这些未经批准的流量之大会感到很吃惊。”Cabri强调。

  谷歌公司的集团产品营销经理Jen Grant表示,另一方面,网络邮箱的动态性是安全方面的有利条件。Grant说:“网络邮箱和云计算的优点在于,我们几乎能够迅即地灵活应变;所以一旦出现了某种新的恶意软件,我们就能随机应变,更新我们的系统,从而保护我们的用户。”她表示,而相比之下,公司桌面环境上的系统却是静态的。“它们若要应变,就得下载及安装补丁。所以动作就要慢一拍。”

  为企业客户执行渗透测试的Gnucitizen公司的创办人兼高级安全顾问Petko D. Petkov表示,如今网络邮箱的安全性未必不如公司邮箱。虽然直接攻击公司的电子邮件系统比较困难,但另外有些办法还是可以闯入系统,比如通过社会工程学伎俩,或者探测咖啡店里公司笔记本电脑中未受保护的无线连接。他说:“有好多种手法,只需要一点创意和创新。”

  网络邮箱的不同之处

  不过,不能否认网络邮箱很容易受到伺机寻找易受攻击目标的黑帽黑客的攻击,这是因为它是一种网络应用。Ponemon说:“树大招风。非常危险的犯罪分子(如东国国家的一些计算机迷)寻找的是知名公司,因为这样他们从事的犯罪活动才会引起最大程度的注意。”据称,如今最普遍的两种漏洞就是跨站脚本(corss-site scripting)与跨站请求伪造(cross-site request forgery)。Grossman强调,实际上,跨站脚本是网上最显眼的漏洞。“它最常被人用来专门闯入网络邮箱帐户。”

  在针对网络邮箱的跨站脚本攻击中,网络犯罪分子会发送电子邮件,里面含有一些恶意的HTML和JavaScript代码。受害者打开这封网络邮件后,代码会自动执行,并且把受害者的cookie发回给不法分子,cookie里面有进入该网络邮箱帐户所需的信息。一旦出现这种情况,犯罪分子“就有了以你的身份登录进去所需的各种信息,”Grossman说。“对此,你基本上毫无办法。”

  Petkov说,跨站请求伪造攻击利用跨站脚本作为第一步,不过它更进一步:使用该信息来冒充受害者,进入其他帐户。去年秋天,Petrov报告了Gmail的一处漏洞,这漏洞可能会让黑客利用跨站请求伪造登录到别人的电子邮件帐户,并且对帐户进行配置,把别人的所有电子邮件副本转发到攻击者的邮件地址。黑客还可能配置帐户,单单发送含有“帐号”或者“密码”等字眼的所有电子邮件的副本,这样可能会提供登录到受害者银行账户所需的信息。大多数用户甚至从来不会认识到会出现这种情况――也就是说,除非他们登录到银行账户、发现资金已被淘空,否则仍蒙在鼓里。

  后来,谷歌修补了这个漏洞(不过据Petkov声称,问题并没有得到完全解决,部分用户受到了危及)。Petkov并没有专门批评谷歌的意思。他说,所有网络邮箱提供商都在致力于不断对付诸如此类的漏洞。他强调:“我确信谷歌投入了大量的精力来确保其软件的安全,但错误还是难免。尤其是在网上,一切都在不断变化,人们总是竭力在添加新的特性。每当添加一项新特性,就有可能带来问题。”

  服务器上就是这样

  最后,万一你的网络邮箱出了问题,该如何是好呢?比方说,你的电子邮件不见了。

  亚特兰大的作家兼顾问Jeneane D. Sessum就摊上过这种事,她使用Gmail及谷歌公司另外几个基于互联网的应用。去年11月,她保存在谷歌服务器上的大批电子邮件内容消失得一干二净。她联系上了谷歌支持部门,之后被转到了网上帮助论坛。她在论坛上找不到解决办法。然后她填了一份联系表格,反映技术问题。她收到了回信,声称谷歌已查明没有出现过服务停用或者数据问题导致她的电子邮件消失。Sessum说:“就是这样。对方没有给出如何处理的建议。”她通过自己的个人网络,好歹联系上了谷歌公司技术支持部门的人员。“但还是没有人能告诉我任何原因,只说他们那头没有问题。”

  Sessum希望谷歌的响应能更积极些,尤其是像她这样把自己的小公司建立在谷歌平台上的用户。 她说:“我才不信这种骗人的鬼话:这是免费服务,所以得到的支持也就这样。它们也从我身上赚钱,因为每当我发送一封电子邮件,就会有广告出现在我面前。”她说,她会乐意向谷歌支付某种额外费用,以换来更出色的支持服务以及得到保障的电子邮件备份。

  谷歌的Grant不愿讨论像Sessum这样的个别问题,声称是为了保护用户隐私。她说,谷歌有时可以恢复被删除的电子邮件,这要看删除后过去了多少时间。最终,谷歌会永久删除被用户删除的邮件,不过她不愿具体说明谷歌在等多久后永久删除。她说:“我们一方面要保存电子邮件以免出现这样的情况,以便我们能够为某个用户恢复电子邮件;另一方面又要在用户要求我们删除电子邮件时,按对方的要求来删除,我们必须在两者之间求得这种平衡。”

  有意思的是,Sessum仍在使用Gmail及谷歌的其他应用。的确,大多数用户为了换取这些服务的特性、可用性以及可访问性,似乎愿意接受交易条件。举例说,Sessum承认自己应当更加小心地自行把Gmail里面的内容备份起来。出人意料的是,她对Gmail帐户进行了配置,把所有内容的副本转发到雅虎邮箱。她承认:“我把基于互联网的电子邮件备份到另一个基于互联网的电子邮件帐户。”

  网络邮箱有什么样的隐私政策?

  面对像用户手册、最终用户许可证协议和隐私政策这样繁琐的资料时,大量时间用于使用线上与线下技术的那些人往往是不以为然。不过,如果你抽几分钟时间认真读一下,会发现网络邮箱服务提供商的隐私政策可能包括你至少需要认识到的几项条款。以下是三大网络邮箱提供商:谷歌、雅虎和微软的隐私政策链接,并给出了政策内容的样本。凡事预则立嘛。

  谷歌隐私政策样本条款:“在您登记注册谷歌帐户或者使用或参加其他需要注册的其他谷歌服务或推广活动时,我们会要求您提供个人信息(如您的姓名、电子邮件地址以及帐户密码)。对于某些服务,比如我们的广告服务,我们还会要求用户提供信用卡及其他支付账户信息。这些信息会以加密方式保存在安全的服务器上。我们会将从您的帐户中采集的个人信息与从其他谷歌服务或第三方获得的信息进行整合,以向您提供更好的用户体验,并改善我们的服务质量。对于某些服务,我们会让您决定是否参与这种信息的整合。”

  链接:http://www.google.com/privacypolicy.html

  雅虎隐私政策样本条款:“在您登记注册雅虎帐户、使用雅虎产品或服务、访问雅虎网页或某些合作伙伴的网页、以及参加推广或抽奖活动时,雅虎会采集您的个人信息。雅虎会将采集的有关您的信息与从商业合作伙伴或其他公司获得的信息进行整合。”

  微软在线隐私声明样本条款:“微软会采集及使用您的个人信息,以便运行及改进微软网站、提供服务,或者执行您所要求的交易。这些使用可能包括为您提供更有效的客户服务;您不需要重复输入同样信息,从而让网站或服务更容易使用;进行研究与分析,旨在改善我们的产品、服务与技术;以及显示针对您的兴趣与偏爱而定制的内容和广告。”

  链接:http://privacy.microsoft.com/en-us/fullnotice.aspx

  如何保护自己?

  应使用你的电子邮件帐户所特有的强密码,并经常更改。你可以使用SecurityStats Com网站的密码安全Web小应用程序(http://www.securitystats.com/tools/password.php)等服务来检查密码的有效性。

  如果你怀疑自己的帐户被黑客攻击或被劫持,要立即更改密码,并与网络邮箱提供商取得联系。

  应另外备份网络邮箱里面的内容。一个办法就是配置网络邮箱,以便把所有内容的副本都转发到另一个电子邮件帐户。另外谷歌提供了操作说明,教你如何把电子邮件备份到POP3电子邮件客户软件(http://mail.google.com/support/bin/answer.py?hl=en&answer=34030)。

  应弄清楚服务提供商如何保护你的传输中数据和存储数据。比如,提供商是否提供发送电子邮件时使用SSL加密的选项?提供商是否对服务器上的数据进行加密?万一这些服务器出现故障,有没有备份?

  不要通过网络邮箱的地址登录到其他帐户。如果你这么做,网络邮箱又遭到了黑客攻击,那么黑客就能自动进入其他这些帐户。

  不要使用网络邮箱来存储旧的电子邮件,除非你完全习惯于这么做。最好把电子邮件备份到本地硬盘上,然后从网络邮箱中删除。

  你在机场和图书馆等公共场所的公用终端上收阅网络邮箱时,一定要小心。确保你没有留下任何cookie,并清空私人数据(如缓存信息和浏览历史)。还要记住你的办公电脑不要用来办私事。

  尽量随时使用安全的HTTPS连接。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章