miércoles, 8 de enero de 2014

Seguridad en los Servicios de Correo electrónico. 


En esta ocasión vengo a presentar algunas alternativas adicionales con respecto al servicio de correo electrónico. Se presenta este post debido a los ultimos acontencimientos acerca del espionaje a nivel mundial ejecutada por la Agencia de Seguridad Nacional de EEUU (NSA). Como es de saber el servicio de correo electronico ha sido y sera muy vigilado por instituciones gubernamentales o agencias de inteligencia.


Estos proveedores de correo elecetronico suelen ser muy útiles por personas cuya información a tratar es de caracter sensible y es debido a esto que dichas plataformas deben ofrecer la  maxima integridad y seguridad de la información.



Es un sistema de correo que incluye servicio de cifrado online por PGP. Dispone de webmail y en caso de pagar por el servicio premium se puede disfrutar de servicio IMAP y más espacio de almacenamiento.

Dice ofrecer correo electrónico seguro tanto a particulares como a empresas. En su versión gratuita ofrece una cuota de 25 MB de almacenamiento y el compromiso por nuestra parte de mantener actividad en el servicio (accediendo al servicio, como mínimo, una vez cada tres semanas) aunque también ofrece opciones de pago. El servicio lleva bastante tiempo funcionando aunque, eso sí, es importante tener presente que dentro de los términos del servicio se indica, explícitamente, que colaboran ante mandatos judiciales de las autoridades de Canadá.


Hushmail : https://www.hushmail.com/




Lema de Hushmail :  Ningun empleado de Hushmail va a poder leer su correo cifrado, porque cada mensaje es cifrado de forma única antes de abandonar su ordenador.




Importante : Después de un requerimiento del tribunal canadiense, hushmail envio 12 CD's lleno de correos en texto claro. Tras esta accion he perdido la confiando en dicho servicio.




PGP es un criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica. Esta combinación permite aprovechar lo mejor de cada uno: El cifrado simétrico es más rápido que el asimétrico o de clave pública, mientras que éste, a su vez, proporciona una solución al problema de la distribución de claves en forma segura y garantiza el no repudio de los datos y la no suplantación.


Cuando un usuario emplea PGP para cifrar un texto en claro, dicho texto es comprimido. La compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún, fortalece la seguridad criptográfica ya que la mayoría de las técnicas de criptoanálisis buscan patrones presentes en el texto claro para romper el cifrado. La compresión reduce esos patrones en el texto claro, aumentando enormemente la resistencia al criptoanálisis.


Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas que se pulsen durante unos segundos con el propósito específico de generar esta clave (el programa nos pedirá que los realicemos cuando sea necesario). Esta clave de sesión se usa con un algoritmo simétrico (IDEA, Triple DES) para cifrar el texto claro.


Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave pública del receptor (criptografía asimétrica) y se adjunta al texto cifrado, y el conjunto es enviado al receptor.
El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la clave de sesión, simétrica, que PGP luego usa para descifrar los datos.


Las claves empleadas en el cifrado asimétrica se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.


 Otra alternativa : 


GnuPG: GnuPG es una implementación libre de OpenPGP muy popular. El usuario puede utilizar GPG con una de una variedad de interfaces, como un plugin para codificar sus mensajes de correo electrónico a través de su elección de programas de correo electrónico, desde Apple Mail a Outlook a Gmail. Pero requieren algún tipo de configuración, y hay servicios de pago que se encargan de todo esas cuestiones para el usuario y al mismo tiempo ofrecen características avanzadas como las direcciones IP ocultas, la destrucción de los archivos después de un período y el almacenamiento fuera de las instalaciones en los países más amigables. Y esta es una opción muy popular para aquellos que pueden encontrar la manera de utilizarlos.

 

Gpg4win  : http://gpg4win.org/



Suponiendo que el usuario no esté listo para configurar su propio cifrado de correo electrónico, existen servicios de correo electrónico que utilizan OpenPGP. A continuación se mencionaran algunas opciones.

Bitmessage es un protocolo de comunicaciones P2P utilizado para enviar mensajes cifrados a otra persona o para muchos suscriptores. Es descentralizado y utiliza una autenticación fuerte que significa que el remitente de un mensaje no puede ser falsificado

A diferencia de los programas de PGP y similares que esconden sólo el contenido de los mensajes, Bitmessage también oculta los metadatos, como el emisor y el receptor de los mensajes. Otra diferencia resaltante es que Bitmessage no requiere que los usuarios administren las claves públicas o privadas (PGP) que utiliza el sistema, pues Bitmessage utiliza una fuerte autenticación para que el remitente de un mensaje no pueda ser suplantado (en la acepción basada en el spoofing). 


Bitmessage : https://bitmessage.org/wiki/Main_Page




Importante : Bitmessage nos ofrece una lógica trustless, es decir que la divulgación de tu información cifrada no está supeditada a que una autoridad legal así lo determine, como sucede con otros programas de cifrado de mensajes.


Register : https://bitmessage.ch/register/




 Crear el Alias : https://bitmessage.ch/alias/



Bitmessage - Login :  https://bitmessage.ch/squirrelmail/src/login.php



Importante : Debemos guardar nuestro alias en el campo Repaly que se encuentra en la opciones Información Personal.


 Bitmessage - Interfaz.




Bitmessage - Intergaz - Nueva Identidad de usuario.




Importante  : Proteger la indentidad de su alias.





Su servicio de correo utiliza el cifrado OpenPGP, protege la dirección IP del usuario (haciendo que, virtualmente, sea anónimo) y admite la migración de un dominio al servicio (y portar el correo corporativo de nuestra empresa para dotarlo de seguridad),también tiene algunas características interesantes, como la opción de elegir su propio dominio o utilizar un número ilimitado de direcciones de correo electrónico desechables.


También podría ser el más fácil de usar, se conecta a un montón de servicios de correo existentes, como Thunderbird, Outlook, e incluso tiene una aplicación para Android.
   

Neomailbox : https://www.neomailbox.com/services/secure-email



Su uso no es gratuito y por un buzón de 1 GB de espacio de almacenamiento, NeoMailBox cobrará al usuario 49,95 dólares al año y, evidentemente, por algo más de coste es posible subir el buzón a 5 GB y 10 GB.




CounterMail es un servicio de correo electrónico en línea seguro y es muy fácil de usar. Su diseño proporciona la máxima seguridad y privacidad, sin complejidades innecesarias.

Es, quizás, uno de los mejores servicios de correo electrónico seguro que podemos encontrar en la red (o al menos eso muestran sus especificaciones). Según el servicio, sus servidores usan LiveCDs y mucha memoria RAM para funcionar y se cifran los mensajes enviados usando OpenPGP(con claves de codificación de 4096 bits para proteger sus datos). El servicio es de pago (aunque tiene un período de prueba gratuito) y, entre las cosas que podemos encontrar, se ofrece al usuario la posibilidad de comprar "una llave USB" para almacenar su clave y poder usar el servicio desde cualquier sitio.




Countermail : https://countermail.com/

 
El usuario puede acceder a su cuenta de correo electrónico en cualquier momento, desde cualquier lugar del mundo. Tu cuenta siempre será encriptada y anónima.



Registro :  https://countermail.com/index.php?p=signup3


Nota : Tener instalado Java.



A continuación vamos a reenviarnos un pequeño correo electrónico. (New mail).




Nuevo mensaje - Imbox : Hackeando automoviles - antisec-security.




Option USB 



Esta opción  convertira su correo eletrónico aun mas seguro, ya que será imposible iniciar sesión sin su llave USB insertado en el puerto USB. La verdadera seguridad de extremo a extremo.




Lavabit era un servicio de correo electrónico especializado en la privacidad de sus usuarios. Fue fundado 2004 y suspendió sus actividades en agosto de 2013 por causas aún desconocidas, aunque se sospecha que la suspensión podría estar relacionada con las "prácticas de vigilancia doméstica" de la NSA y que el revelador de secretos Edward Snowden tenía su cuenta de correo electrónico principal en sus servidores.


Lavabit comenzó a ofrecer un servicio con fuertes mecanismos de cifrado y protección de privacidad para sus usuarios entre los que incluían criptografía asimétrica, cuyo nivel de fortaleza eran difíciles de romper incluso para agencias de inteligencia. El un determinado momento fue considerado el servicio de correo electrónico privado más seguro del planeta.


La gran excusa. 


El 10 de junio de 2013, un juez dictó una orden de registro para obtener todos los datos que Lavabit almacenaba de la cuenta de correo Joey006@lavabit.com, por supuesta posesión de pornografía infantil. No está claro si esta orden judicial tuvo alguna relación con la posterior suspensión de los servicios de Lavabit.


Causa del cierre de Lavabit.


Lavabit recibió una gran atención mediática en julio de 2013 cuando se conoció que el ex-trabajador de la NSA, Edward Snowden, usó una dirección de correo electrónico de Lavabit, concretamente edsnowden@lavabit.com, para convocar a activistas y abogados defensores de los derechos humanos a una rueda de prensa durante su reclusión en el Aeropuerto Internacional de Moscú-Sheremétievo, en Rusia.


El 8 de agosto de 2013, Lavabit suspendió sus actividades.Se piensa que Lavabit fue la primera empresa de tecnología que eligió suspender y acabar con sus actividades antes que cumplir una orden judicial del gobierno de los Estados Unidos que le obligaba a revelar o dar acceso a información.


Mensaje del CEO Lavabit.



Actualmente se especula que Lavabit esta luchando contra una orden judicial o una carta de seguridad nacional que le pedía información de un cliente suyo bajo circunstancias extraordinarias.



Silent Circle es una empresa de comunicaciones cifrado que proporciona servicios de comunicación multiplataforma seguras para dispositivos móviles, de escritorio y de correo electrónico, se lanzo oficialmente el 16 de octubre 2012.


Silent Circle : https://silentcircle.com/?lang=es



Lamentablmente Silent Circle siguió con el ejemplo de Lavabit y suspendió sus servicios de correo electrónico cifrado el mismo día, poco después de conocerse el cierre de Lavabit.



Despues del duro golpe que han sufrido estas dos empresas, cuyo objetivo era brindar una seguridad al mas alto nivel en el ambito de correo electrónico. Dichas compañías han anunciado una alianza con el fin de "cambiar el mundo de email completamente poniendo la privacidad y la seguridad en su núcleo." El proyecto lleva como nombre Dark Mail.



Dark Mail tiene como objetivo proveer correo electrónico garantizando el cifrado de datos gracias a su propio protocolo de correo, que sustituiría al habitual SMTP. En vez de eso, estará basado en XMPP (antes conocido como Jabber), el protocolo de mensajería instantánea ya usado por muchos programas.

Su objetivo es de proveer correo electrónico garantizando el cifrado de datos gracias a su propio protocolo de correo, que sustituiría al habitual SMTP. En vez de eso, estará basado en XMPP (antes conocido como Jabber), el protocolo de mensajería instantánea ya usado por muchos programas. 





La idea también es que este producto sea un protocolo abierto, esperando así que otros servicios de correo electrónico decidan incorporar esta protección a sus productos.


Bueno, creo que hemos llegado al final de post, espero que la información que he presentado les sea útil. Sin mas que decir, me despido y será hasta la próxima.








1 comentario: