Απαλλαγείτε από Google, Yahoo και Microsoft στην αλληλογραφία σας.

Μια παραβίαση των δεδομένων μας εξακολουθεί να είναι παραβίαση ασχέτως από πού προέρχεται, έτσι δεν είναι; Άραγε σε πόσους από εμάς πέρασε από το μυαλό, όταν φτιάχναμε έναν λογαριασμό mail για παράδειγμα, πως τα δεδομένα μας, όλα όσα λέγαμε, θα τύγχαναν συνακρόασης, θα αποτελούσαν προϊόντα προς
πώληση ή ακόμα περισσότερο πως θα εμπλέκονταν σε «παιχνίδια» κυβερνοπολέμου; Πόσοι από εμάς γνωρίζαμε την μυστική υπηρεσία πληροφοριών (NSA) των ΗΠΑ και το σχέδιο Echellon (μετέπειτα Prism), όταν δημιουργούσαμε έναν Outlook, Gmail, YahooMail λογαριασμό;
Kαι δεν είναι πως θα το προσπεράσουμε λέγοντας πως «η NSA και η ΔΗΕ ξέρουν τι λέει η θεία Μαίρη με την γιαγιά», στο φινάλε, αν δεν σε νοιάζει, γιατί βάζεις κουρτίνες στο σπίτι σου; Το ίδιο ακριβώς είναι.

Έχουμε κάνει τόσο εκτενείς αναφορές και αναλύσεις στο θέμα των προσωπικών δεδομένων στο οsarena, που κάθε τι παραπάνω θα ήταν απλά κουραστικό για όλους (εδώ είναι μια καλή αρχή: #privacy-data).
Μεταφέρω κάτι χαρακτηριστικό από προηγούμενο άρθρο:

Έχουμε αναφέρει και άλλη φορά, πως η Microsoft, το Facebook, η Apple, η Google χεστήκανε αν ο Μπάμπης ο Σουγιάς βλέπει τσόντες με ειδίκευση στο αναποδοκαρεκλάτο με τσαγιέρα στον σβέρκο. Απλά, ξέρουν και αυτό. Όπως και πού μένει ο Μπάμπης ο Σουγιάς, το τηλέφωνό του, αν είναι παντρεμένος, αν έχει παιδιά, πού πάει διακοπές, την οικονομική του κατάσταση, τι του αρέσει, το ΑΦΜ του, τον αριθμό ταυτότητας / διπλώματος, χρεωστικής / πιστωτικής κάρτας, τον τύπο του αίματός του, ιατρικά δεδομένα και πολλά άλλα (τα τελευταία, τα επόμενα χρόνια θα είναι σε ευρεία «κατανάλωση» λόγω βιομετρίας που φυσικά συνεπάγεται και βιοπολιτική).
Βασικά, χεσμένη θα είχαν και την πειρατεία, αν έμμεσα ή άμεσα δεν είχαν οικονομικά συμφέροντα και στην βιομηχανία θεάματος / ψυχαγωγίας.

Αυτή όμως η εσκεμμένη άγνοια και αδιαφορία, είναι αντίστοιχη που δείχνουμε και στην κοινωνική μας στάση σαν πολίτες. Η ψευδαίσθηση της εκλογικής διαδικασίας και η αίσθηση πως κάνουμε «format» το σύστημα και αυτό θα καθαρίσει τις βρομιές του προηγούμενου, είναι το ίδιο με το format που γίνεται στα Windows. Ακόμα και αν αλλάξει η έκδοση, το σύστημα θα παραμένει το ίδιο και με κάθε update του θα γίνεται όλο και πιο σκληρό / απαιτητικό απέναντί μας με «όρους χρήσης» ή νομοθετήματα για να κάνουμε και τον παραλληλισμό.

Το «backdoor» ή «κενό ασφαλείας», ονομάζεται έτσι, όχι μόνο για την ιδιωτικότητα:

Αν, ο Μήτσος ο Έλληνας, facebooker specialist, δεν ανησυχεί – επειδή η πηχτή του αμάθεια δεν το επιτρέπει, δεν σημαίνει πως οι υπόλοιποι άνθρωποι στον πλανήτη είναι σαν αυτόν, και συν τα άλλα υπάρχουν και άλλα πράγματα πέρα από τον μικρόκοσμο του καθενός. Άλλωστε, η άγνοια προέρχεται από ανθρώπους οι οποίοι κυριολεκτικά καταστέλλουν την αλήθεια ή την καταπνίγουν ή προσπαθούν να την κάνουν τόσο συγκεχυμένη, που οι άνθρωποι να σταματήσουν να νοιάζονται για το τι είναι αληθινό και τι όχι.
Η πρόσφατη περίπτωση του Υahoo-leak, με την παραβίαση περισσότερων από 500 εκατομμύρια λογαριασμών (που πολύ φοβάμαι πως σύντομα θα ξεχαστεί όπως και τόσα άλλα στο παρελθόν), δημιούργησε ένα τεράστιο θέμα. Παραβίαση μισού εκατομμυρίου λογαριασμών από τους servers μιας πολυεθνικής και ενός brand προϊόντος της, δεν είναι μικρό πράγμα [H επικινδυνότητα των δεδομένων μας στους servers των πολυεθνικών -περίπτωση Yahoo].

Όμως, αυτό είναι μόνο η κορυφή του παγόβουνου. Και να είστε βέβαιοι πως ασχέτως αν η περίπτωση Yahoo (κατ’ ανάγκη και με καθυστέρηση) μαθεύτηκε, δεν είναι η μόνη. Όλα αυτά έχουν συμβεί και αλλού, σε πασίγνωστα και μαζικά χρησιμοποιούμενα brands προϊόντα. Είναι κάτι που δύσκολα θα το μάθουμε και θα υπάρχουν μόνο οι φήμες ή και περιπτώσεις αποποίησης ευθυνών και μετάβασής τους αλλού (κάτι που είχε κάνει πρόσφατα η Google).

Και εκτός αυτού, είναι θέμα απλής λογικής (οκ, όχι για τον Μήτσο τον Έλληνα) πως αν κάτι δεν παρέχει στεγανότητα και αφήνει εσκεμμένα περιθώρια παραβίασης για αλίευση προσωπικών δεδομένων, κατά συνέπεια δεν είναι ασφαλές. Και αν το σκεπτικό σας περιορίζεται μόνο στα «σπασίματα» από την NSA, αναλογιστείτε πώς θα μπορούσε να τα εκμεταλλευτεί και ο οιοσδήποτε άλλος. Μικρός ή μεγάλος.
Όπως και να έχει, ασχέτως των ηλιθιοτήτων που αραδιάζουν ασύστολα οι «δεν εχω τίποτα να κρύψω», σε κανέναν δεν αρέσει να στήνουν αυτί τρίτοι – ακόμα και παντελώς άγνωστοι – στις συζητήσεις του με άλλους ανθρώπους, να παρακολουθούν τις συνομιλίες του ή να ανοίγουν την αλληλογραφία του. Απορώ λοιπόν, πώς οι ίδιοι άνθρωποι λένε εμμέσως πλην σαφώς, πως δεν τους νοιάζει αν τρίτοι (και περισσότεροι), διαβάζουν την ηλεκτρονική τους αλληλογραφία και δεδομένα.

Ασφαλέστερη εναλλακτική, μα και τόσο φιλική σαν τα Yahoo και Google mail;

Μια συνήθης δικαιολογία και υπαρκτή σε ορισμένες περιπτώσεις, είναι το όμορφο γραφικό περιβάλλον και η απλότητα χρήσης που έχουν αυτά τα brands προϊόντα. Στην περίπτωση που αναφερόμαστε, οι web υπηρεσίες των Gmail και YahooMail ή της MS, για παράδειγμα. Το θέμα είναι πως δεν υπάρχει ούτε ασφάλεια ούτε ιδιωτικότητα σε αυτά τα καλαίσθητα προϊόντα.
Είναι επίσης γεγονός πως οι άνθρωποι είτε δεν γνωρίζουν, είτε θεωρούν δύσκολη την κρυπτογράφηση. Κάτι που ίσχυε πριν ορισμένα χρόνια, όμως πλέον, έστω τα βασικά της επίπεδα είναι εύκολα και προσιτά. Ίσως χρειάζονται κάποια κλικ περισσότερα, μα μόνο αυτό. Ακόμα και αν δεχτούμε πως μερικά επίπεδα κρυπτογράφησης μπορούν να σπάσουν, αυτό είναι δύσκολο, χρονοβόρο και οικονομικά ασύμφορο (τουλάχιστον μέχρι την καθιέρωση των κβαντικών υπολογιστών), άρα σε αυτήν την περίπτωση, δυσκολεύοντας την όποια προσπάθεια απόσπασης δεδομένων, διασφαλιζόσαστε σε μεγάλο βαθμό.

Σαν osarena έχουμε δώσει έμφαση και λύσεις και σε αυτό, παρουσιάζοντας μια σειρά από λογισμικά ηλεκτρονικής αλληλογραφίας, έχοντας πρωτίστως κατά νου ανθρώπους χωρίς γνώσεις και αρχάριους: #privacyMails.
Αν και όλα είναι σχετικά αφού κάθε άνθρωπος είναι διαφορετικός, είναι άτοπο να πούμε τι θεωρούμε καλύτερο από αυτά, όμως αν προσπαθούσαμε να κάνουμε μια διαλογή με παραμέτρους την ευκολία χρήσης, σε συνδυασμό με τα χαρακτηριστικά τους σε ασφάλεια και ιδιωτικότητα, μα και την διαθεσιμότητα του κώδικά τους, θα αναφέραμε το Confidant Mail, το Penango, κάποιες από αυτές και το Tutanota. Και αυτό χωρίς να σημαίνει πως δεν υπάρχουν ακόμα «καλύτερες» και με πιο ισχυρά χαρακτηριστικά.
Ιδιαίτερα το τελευταίο (Tutanota), το θεωρούμε σαν μια από τις καλύτερες υπηρεσίες με τον συνδυασμό των πιο πάνω.
Και όπως φαίνεται, και άλλοι που ξέρουν ακόμα περισσότερα, θεώρησαν ακριβώς το ίδιο και έτσι προέκυψε το Protonmail.

Τι είναι το Protonmail:

Το Protonmail δημιουργήθηκε από ομάδα επιστημόνων που εργάζονται στο CERN και στο MIT μετά τις αποκαλύψεις του Edward Snowden (που μετείχε στην ομάδα ανάπτυξης). Προσφέρει end to end encryption από protonmail σε protonmail (διατηρούν στους servers τους το public κλειδί και μόνο το κρυπτογραφημένο private key του χρήστη) ενώ προσφέρει και μια αντίστοιχη λειτουργία για τις άλλες εταιρείες (yahoo, gmail κλπ), δηλαδή αποστολή link αντί για το σώμα του mail και μετά από απαίτηση κωδικού γίνεται αποκρυπτογράφηση του mail. Στα συν του και η δυνατότητα που δίνει να αυτοκαταστρέφονται τα mail μετά από ορισμένο χρόνο τον οποίο ορίζει ο αποστολέας (εφόσον όμως είναι από protonmail σε protonmail). Η υπηρεσία έχει έδρα την Ελβετία (που είναι εκτός της δικαιοδοσίας ΗΠΑ και ΕΕ).
Μάλιστα, ήταν και ένα από τα εργαλεία που χρησιμοποιήθηκαν στην σειρά Mr. Robot.

Από τον αποστολέα, τίτλο, παραλήπτη, κείμενο, τα πάντα κρυπτογραφούνται χρησιμοποιώντας Javascript με συνδυασμό RSA 2048-bit κρυπτογράφησης και AES-128 bit πριν την αποστολή δεδομένων στους servers του Protonmail. Τα κλειδιά κρυπτογράφησης παραμένουν στον χρήστη, η εταιρεία δεν μπορεί να δει τίποτα σε απλό κείμενο, ενώ ακόμα δεν μπορούν να αποκαταστήσουν τον κωδικό πρόσβασής σας ή να επαναφέρουν λογαριασμούς, κάτι που σημαίνει πως αν κάποιος ξεχάσει τον κωδικό του χάνει την πρόσβαση στα μηνύματά του. Έτσι, ακόμα και αν οι αρχές ζητήσουν από την Protonmail, με δικαστική εντολή, να παραδώσει το inbox email περιεχόμενο κάποιου/ων, η εταιρεία θα συμμορφωθεί βεβαίως με το ένταλμα, αλλά όλα αυτά που θα είναι σε θέση να παραδώσει θα είναι κρυπτογραφημένα αρχεία χωρίς κλειδί αποκρυπτογράφησης.

Επιπλέον, δεν καταγράφονται οι ηλεκτρονικές διευθύνσεις IP, παραμένοντας απλά οι χρονικές σφραγίδες (time-stamps) με τα στοιχεία να αποθηκεύονται ανώνυμα, χωρίς καμία αναφορά (reference) στον λογαριασμό χρήστη. Κάθε μήνυμα στο inbox που περιέχει επίσης και τις διευθύνσεις των παραληπτών σε μορφή απλού κειμένου, διατηρούνται μέχρι να διαγράψετε το email. H αποστολή ενός κρυπτογραφημένου μηνύματος ηλεκτρονικού ταχυδρομείου στο Protonmail είναι εύκολη, δεν απαιτεί από τους χρήστες να διαχειρίζονται κλειδιά κρυπτογράφησης ή να γνωρίζουν πολλά σχετικά με την ασφάλεια. Το σύστημα, είναι συμβατό με επισφαλείς υπηρεσίες ηλεκτρονικού ταχυδρομείου όπως το Gmail ή το YahooMail.

Υπάρχει η δυνατότητα όταν γίνεται αποστολή ενός ασφαλούς μηνύματος σε κάποιον που δεν είναι στο Protonmail, αντί να λαμβάνει το πλήρες κείμενο, θα λάβει ένα μήνυμα με έναν σύνδεσμο καλώντας το εν λόγω πρόσωπο να επισκεφθεί τους servers του Protonmail για να διαβάσει το κρυπτογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου, που θα είναι αναγνώσιμο μόνο με τον σωστό κωδικό πρόσβασης και την αποκρυπτογράφηση να γίνεται τοπικά στο πρόγραμμα περιήγησης. Με την μη αποστολή του βασικού κειμένου του mail (email message body), κανείς οργανισμός παρακολούθησης της κυκλοφορίας στο διαδίκτυο δεν θα είναι σε θέση να υποκλέψει ένα αντίγραφο των κρυπτογραφημένων δεδομένων. Aν το σκεφτείτε, ο πιο καταπληκτικά απλός τρόπος για να σταματήσει η μαζική παρακολούθηση στο διαδίκτυο, είναι να μην να μην κυκλοφορούν ελεύθερα προσωπικά data στο wild web [το ίδιο σύστημα ασφαλείας που ο διευθυντής της CIA, ο στρατηγός Petraeus, χρησιμοποιούσε για να επικοινωνεί με μια εξωσυζυγική του σχέση, χρησιμοποιώντας έναν νεκρό λογαριασμό email (dead-drop email account) και έτσι δεν μπόρεσαν ποτέ αυτά τα μηνύματα να διαρρεύσουν στο web].

Η διαδικασία κρυπτογράφησης χρησιμοποιεί δημόσια και ιδιωτικά κλειδιά. Το δημόσιο κλειδί χρησιμοποιείται από τον αποστολέα για κάνει scramble (κρυπτογράφηση) το μήνυμα και τότε ο παραλήπτης χρησιμοποιεί το ιδιωτικό κλειδί του για να κάνει un-scramble (αποκρυπτογράφηση) του μηνύματος όταν το παραλάβει. Η βασική μέθοδος παρουσιάζεται στο παρακάτω διάγραμμα:

Η υπηρεσία έχει ελεγχθεί διεξοδικά και γραμμή προς γραμμή ο κώδικας του λογισμικού από εμπειρογνώμονες ασφαλείας και άλλους ενδιαφερόμενους, χαρακτηριζόμενη ως «all clear certificate», κάτι που σημαίνει πως πρακτικά είναι σχεδόν αδύνατο να παραβιαστούν τα προσωπικά δεδομένα.
Όπως βλέπουμε δηλαδή, τα χαρακτηριστικά του είναι ακριβώς τα ίδια με του Tutanοta.

Και από χρηστικότητα τι γίνεται;

Απολύτως εύχρηστο, ακόμα και για ανθρώπους που δεν έχουν χρησιμοποιήσει ποτέ ξανά mailing υπηρεσία. Βασικά, αν εξαιρέσεις τα χρώματα, το Protonmail, δεν διαφέρει και πολύ σε εμφάνιση και χρηστικότητα από το Gmail, ενώ φυσικά είναι πολύ πιο ελαφρύ σαν υπηρεσία:

Οι Ρυθμίσεις του είναι λίγες και απλές. Μπορείτε να διαχειριστείτε τους κωδικούς σας, να αλλάξετε το όνομα χρήστη και να δημιουργήσετε υπογραφή που θα μπαίνει αυτόματα κάτω από κάθε μήνυμα. Μπορείτε ακόμα, αν θέλετε, να ορίσετε μια άλλη διεύθυνση (e-mail), ώστε να λαμβάνετε ειδοποιήσεις για εισερχόμενα.