Witamy na PZD!

Welcome to PZD!

Register Zaloguj

Dlaczego GMail jest najbezpieczniejszy i bezkonkurencyjny?

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
25320
Polubienia
4087
Autor tematu #1
Czuję, że żyłka niektórym pękła po przeczytaniu tego tytułu ;) Ale już spieszę z wyjaśnieniami, dlaczego moim zdaniem warto korzystać z GMaila, jeśli chce się mieć najbezpieczniejszą skrzynkę e-mail w internecie. I dlaczego nawet osoby, które cenią sobie prywatność, powinny poważnie rozważyć wybór GMaila jako mniejsze zło.
Wielu jest dostawców poczty, ale który jest najlepszy?
Do napisania tego artykułu skłoniła mnie dyskusja, która wywiązała się pod naszym wczorajszym tekstem dotyczącym przekrętu na dowód osobisty i BLIK-a (Na marginesie, Pani Weronika odzyskała już wszystkie pieniądze, które wyblikowała przestępcy). Otóż w tamtym artykule poradziliśmy, żeby zadbać o bezpieczeństwo skrzynki pocztowej, bo od przejęcia skrzynki pocztowej zaczęła się kradzież przez BLIK-a. W tekście padły słowa, że GMail pod kątem bezpieczeństwa jest bezkonkurencyjny — oto dokładny cytat:





No i się zaczęło… W komentarzu pod artykułem, Czytelnik Kenjiro napisał, że:
(…) przeceniasz zabezpieczenia Google, bo taki sam poziom zabezpieczeń możesz osiągnąć na własnym Linuksie z Roundcube (również 2FA).
Na szczęście, ten sam Kenjiro potem szybko zauważył, że “to żadna opcja dla Kowalskiego“. No właśnie. Starzał w dziesiątkę! W tym problem, że większość internautów to Kowalscy, a nie nieposiadający prywatnego życia administratorzy, którzy mają czas, aby stale doglądać swój własny serwer pocztowy i dbać o to by regularnie wymieniać w nim psujący się sprzęt, usuwać inne usterki, a przede wszystkim na czas łatać dziury (abstrahując już od tego, że jeden administrator nigdy sam wiedzą i możliwościami nie dorówna firmie Google).
Na marginesie — “łatać na czas” dziś oznacza w ciągu 5 minut od ogłoszenia informacji o podatności, bo tyle czasu zajmuje przeskanowanie 0.0.0.0/0 specjalistycznym
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
pod kątem jednego portu, np. serwera pocztowego. A to oznacza, że w 5 minut od wypuszczenia exploita, czyjś serwer pocztowy może już nie być czyimś serwerem pocztowym. Regularnie pokazuję to na naszym szkoleniu z
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
i zawsze robi to na uczestnikach niemałe wrażenie. BTW: wpadnijcie na styczniową ową edycję tego szkolenia do Warszawy!
Kenjiro dalej w swoim komentarzu sugeruje, że dla GMaila są alternatywy i przytacza często przywoływanego w tej sytuacji Proton Maila. Żeby było jasne. Proton to bardzo dobra usługa, ale… pod katem bezpieczeństwa z GMailem przegrywa i żeby na poważnie z niej korzystać, trzeba kupić konto premium. Szczerze mówiąc, jak ktoś chce już płacić za e-maila, to lepiej niech płaci
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
. On, podobnie jak GMail, wygrywa z Protonem pod kątem bezpieczeństwa, a nie jest GMailem, co oznacza, że można liczyć na większą prywatność.
Do (braku) prywatności GMaila jeszcze wrócimy — teraz jednak skupmy się na tym, co jest dla większości Kowalskich ważniejsze — na bezpieczeństwie. Bezpieczeństwie rozumianym jako “źli hakerzy nie ukradną mi tożsamości, ani danych, ani pieniędzy“.
No dobra, ale dlaczego ten GMail jest bezpieczniejszy?
No to po kolei:

  1. GMail ma dedykowany, pracujący 24 godziny na dobę zespół naprawdę doskonałych inżynierów i specjalistów do spraw bezpieczeństwa, którzy profesjonalnie dbają o tę usługę. Twój prywatny serwer pocztowy może o takiej opiece tylko pomarzyć (kiedyś chyba śpisz, prawda?). Dodatkowo, Google, przez to że jest dużym graczem, o błędach i dziurach dowiaduje się wcześniej niż inni (por. Hartbleed), a czasem wie o nich od razu, bo wiele z błędów zagrażających internetowi samodzielnie znajdują pracownicy tej firmy (por. Meltdown i Spectre). Niewiele firm może sobie pozwolić także na prowadzenie takiego
    Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
    jak Google, które także ma ogromny wpływ na bezpieczeństwo GMaila. W skrócie, z zasobami, kadrą, wiedzą, kontaktami i możliwościami Google równać może się tylko Microsoft (nawet niezła poczta, ale brak działajacego wsparcia dla U2F) lub Apple (słaba poczta).
  2. GMail wie. Wie dużo, bo widzi większość e-maili krążących po internecie. Obecnie aktywnych jest półtora miliarda kont na GMailu. To ok. 20% ludzi na świecie (nie internautów, ludzi!). Wgląd w ich e-maile powoduje, że Google szybko jest w stanie zauważyć ataki i kampanie spamowe. I dlatego w tej społeczności tak dobrze działa antyspam. Oflagowanie e-maila jako “złego” przez pewną liczbę użytkowników, automatycznie blokuje go wszystkim użytkownikom, czyli momentalnie chroni półtora miliarda ludzi. Dzięki temu właśnie, a także dzięki pomocy heurystyki i wbudowanych silników antywirusowych, GMail świetnie wykrywa podejrzane e-maile i załączniki. I jako jedyny tak wyraźnie ostrzega użytkowników przed zagrożeniami. Oto kilka konkretnych przykładów, dlaczego GMail rządzi:

    A. Oznaczenie podejrzanej wiadomości, która ma cechy uznawane przez innych jako “atak”



B. Uwaga na szyfrowany załącznik (możliwa próba obejścia antywirusów)


C. Ostrzeżenie użycia innego niż zazwyczaj e-maila przez znanego nadawcę



D. Ostrzeżenie, kiedy wiadomość pochodzi z zespoofowanego adresu e-mail



E. Ostrzeżenie przy “awarii” skanera antywirusowego dla załączników


F. Oznaczenie spamu, nawet jeśli został przekierowany do inboksa przez reguły sortowania




G. Ostrzeżenie, że odpowiedź do adresata nie zostanie przesłana szyfrowanymi łączami (jest możliwa do podsłuchania w internecie, na trasie od serwerów GMaila do serwerów pocztowych odbiorcy)



  • GMail wspiera dwuetapowe uwierzytelnienie poprzez tokeny U2F. To szalenie ważna, jeśli nie najważniejsza funkcja. Jeśli kupisz i podepniesz token U2F do swojego konta Google, to nikt — ani rosyjscy hakerzy, ani przestępcy — nie będzie Cię w stanie zaatakować najskuteczniejszym, najtańszym i najpowszechniejszym obecnie atakiem w internecie: phishingiem. Nawet jeśli w chwili tymczasowego ogłupienia czy upojenia alkoholowego ujawnisz swoje hasło (albo ktoś je pozna na skutek wycieku z innego miejsca), to nikt, kto nie posiada w ręku Twojego tokena U2F nie zaloguje się na Twoje konto.


  • I nie, dwuetapowe uwierzytelnienie realizowane przez SMS lub aplikacje Google Authenticator albo Prompt nie chroni przed phishigiem — tak skonfigurowany drugi krok da się obejść — jakie to proste, pokazuję na wykładzie Jak nie dać się zhackować? — warto wpaść i zobaczyć, bo oprócz tego przez 3h przekazuje też inne przydatne każdemu internaucie informacje. W tym roku będę z tym wykładem w wielu miastach — zapraszam!).
    Osobiście uważam, że U2F to najważniejsze i obowiązkowe ustawienie mające wpływ na bezpieczeństwo, które każdy z użytkowników GMaila powinien natychmiast włączyć — przeczytajcie ten artykuł aby dowiedzieć się dlaczego. Protonmail zaś nie ma wsparcia dla U2F, w Outlooku wsparcie nie działa u wszystkich, a w Fastmailu wsparcie jest, ale trzeba za nie zapłacić.
  • GMail ma Advanced Protection. Jeśli go włączysz to będziesz chroniony przed “spersonalizowanymi atakami” i wtedy Twojego konta na GMailu zabezpieczonego tokenami U2F nie będzie się dało obejść socjotechniką “helpdesku” (por. Jak Amazon pomógł zhackować Apple ) ani formularzem “zapomniałem mojego hasła” i odpowiedziami na pytanie jaki jest nasz ulubiony kolor. Polecam włączyć wszystkim “ważniejszym” celom, czyli dziennikarzom, celebrytom — generalnie VIP-om. Potrzeba co najmniej 2 różnych tokenów U2F.
Po włączeniu “Advanced Protection” warto usunąć z konfiguracji swojego konta numer telefonu. To uniemożliwi “wymuszenie” logowania przez kod SMS. Jeśli nie odepniesz numeru, ktoś kto jest w stanie odczytywać Twoje SMS-y, bo ma dostęp do Twojego komputera (z którym synchronizujesz SMS-y) lub uzyskał duplikat Twojej karty SIM, może być w stanie ominąć okno proszące o klucz U2F podczas logowania i uzyska dostęp do Twojej skrzynki e-mail.



  1. W zależności od stopnia Twojej paranoi, możesz też usunąć alternatywny adres e-mail — ale jeśli chcesz go zostawić, to sugeruję, aby był to adres równie mocno zabezpieczonej innej skrzynki na GMailu.
Google ma jeszcze wiele innych podnoszących bezpieczeństwo funkcji, jak choćby “Confidencital Mode” (czyli zaszyfrowane i autokasujące się wiadomości — choć nie warto ufać, że odbiorca rzeczywiście taką wiadomość skasuje, a Google nie pozna jej treści):



Są też “Application Passwords” i granularny model uprawnień/dostępów do konta Google, logi dostępu, podejrzenie aktywnych sesji z różnych urządzeń, ale nie będę się już na nich skupiał. Aby przez nie wszystkie wygodnie przejść i odpowiednio skonfigurować pod siebie najlepiej kliknąć na tzw. Security Checkup.



No ale przecież Google czyta moje e-maile!
Zawsze kiedy polecam komuś GMaila, zwracam uwagę na to, że o ile miażdży on konkurencję pod kątem bezpieczeństwa (rozumianego jako ochrona użytkownika przed atakami i ochrona użytkownika przed samym sobą) to podejście firmy Google do prywatności może nie wszystkim przypaść do gustu. I to jest smutna prawda związana z większością darmowych usług.

Jeśli coś jest za darmo, to zazwyczaj płacimy za to swoimi danymi
Nie inaczej jest w przypadku GMaila. Google jest firmą zarabiającą na reklamach. Potrzebuje dobrze znać swoich użytkowników, bo dzięki temu może opracowywać lepsze metody ich profilowania, dzięki czemu może lepiej trafiać reklamami w ich gusta. A im więcej dopasowanych reklam, tym większy zarobek dla Google i szczęśliwsi reklamodawcy i większe budżety reklamowe czyli znów większy zarobek Google.
Przykład: Tak, to prawda, że Google wyczyta z e-maila z podsumowaniem zamówienia, jaki trafił na Twojego GMaila, że właśnie kupiłeś wszystkie płyty Comy. Ale bez obaw, nie będzie Cię tą informacją szantażować i nie ujawni tego wstydliwego faktu Twoim znajomym. Zacznie Ci jednak wyświetlać reklamy innych kiepskich zespołów pop-rockowych ;)


Jeśli chcesz sprawdzić, o jakich Twoich zakupach wie Google, przejdź na tę stronę, a zobaczysz listę podobną do tej:



i po kliknięciu na dany zakup informację “skąd Google o nim wie”.



Google zależy na tym, abyś widział dopasowane reklamy. I — co może być niespodzianką dla niektórych naszych Czytelników — niektórzy ludzie lubią widzieć dopasowane reklamy. Nie mają nic przeciwko temu, że Google “zbiera” na ich temat informacje i wykorzystuje je do dopasowywania reklam! Wolą dopasowane reklamy bardziej niż kolejny banner z tabletkami na mocny konar albo suchość pochwy. Dla nich GMail na pewno będzie wyborem typu Win-Win.
Mimo to, uważam że ważne jest, żeby Ci “akceptujący GMaila” ludzie wiedzieli ile i jakie informacje są na ich temat zbierane przez Google i żeby byli świadomi konsekwencji profilowania. Dlatego dla tych, którzy są zadowoleni z GMaila i będą z niego korzystać dalej, ale nie wiedzą jakie dane na ich temat Google posiada przygotowałem następny rozdział. Rozdział ten będzie także użyteczny dla tych, którzy chcą z GMaila korzystać, ale nie chcą aby “Google ich szpiegowało“.
Co Google zbiera na mój temat i jak wyłączyć profilowanie?
Niezależnie od tego czy przejmujesz się tym, co Google zbiera na Twój temat, czy nie, to warto przynajmniej raz w życiu przejrzeć jak zaszufladkowała Cię ta firma na podstawie danych, które jej przekazujesz. Zrobić to możesz wchodząc w te ustawienia. Najlepiej od razu przejrzyj ten widok zbiorczy i przeklikaj się przez tzw. “Privacy Checkup“. Dzięki temu dowiesz się, czy Google:

  • Nagrywa to co wpisujesz w wyszukiwarkę
    Zapisuje Twoją pozycję (z telefonu)
    Przechowuje to, czego szukasz głosowo
    Zbiera informacje o Twoich urządzeniach
    Zapamiętuje to czego szukasz na YouTube
    Zapamiętuje to co oglądasz na YouTube


Wszystkie z tych źródeł danych, które pozwalają Googlowi Cię profilować możesz wyłączyć, a samym profilowaniem reklam możesz sterować na tej stronie. Tam też zobaczysz też jakie kategorie odnośnie wieku, płci i zainteresowań przypisało Ci Google:



Warto też popatrzeć na to co wiedzą o Tobie inne firmy reklamowe, nie tylko Google. Sprawdzisz to tutaj.
Ustawieniem “profilowania reklam” możesz też sterować za pomocą tych dwóch rozszerzeń do przeglądarek (Opt-out, Protect my choices). A to czy Twoje ustawienia prywatności działają tak jak chcesz, sprawdzisz w tej wygodnej
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
, która pokazuje wszystko co Google nagrało danego dnia na Twój temat:


Jeśli nie wierzysz, że to już wszystko, co Google wie na Twój temat (podoba mi się jak myślisz!), to możesz ściągnąć całość danych udostępnionych Google przez Ciebie i Twoje urządzenia i przejrzeć je ręcznie w poszukiwaniu innych informacji, do których firma ma dostęp. Załóż że z każdej z nich może zrobić jakiś użytek i że każda z nich może kiedyś wyciec (por. Google “zataiło” dziurę, która umożliwiała dostęp do prywatnych danych 500 000 użytkowników) ). Ale pamiętaj, że jeśli te dane powierzysz komuś innemu, z jego serwerów też mogą wyciec…
Brutalna prawda
Teraz już wiesz, ile informacji Google zbiera na Twój temat. Potrafisz też Googlowi zamknąć oczy (wyłączając dostęp do informacji, które zostawiasz w jego serwisach). Pora odpowiedzieć sobie na ważne pytanie:

Czy wierzysz, że Google respektuje Twoje ustawienia prywatności i faktycznie “ignoruje” strumienie danych, które wyłączyłeś?
Jeśli wierzysz, to super! Możesz już być szczęśliwym użytkownikiem najbezpieczniejszej poczty, GMaila. Jeśli masz powody, aby Googlowi nie ufać i uważasz że spośród półtora miliarda użytkowników GMaila, ktoś z pracowników firmy będzie się dokładnie przyglądał właśnie Twoim danym, to …nie korzystaj z usług Google. Rozumiem taki wybór, szanuję go i pochwalam daleko posuniętą ostrożność stawianą wyżej niż wygodę.
Odpowiedź na to pytanie powinna być wynikiem tzw. Analizy Ryzyka. Nie jest to proces łatwy i większość ludzi, niestety, go nie stosuje. A powinno… W skrócie, nie ma uniwersalnie dobrych decyzji. Coś co pasuje i odpowiada jednej osobie, niekoniecznie musi być idealne dla drugiej. Dlatego — w kontekście bezpieczeństwa — warto sobie zawsze odpowiedzieć na co najmniej dwa pytania.


1. CO dla mnie jest najważniejsze (jakie dane? Ich poufność, a może szybkość i wygoda w dostępie do nich?)
2. PRZED KIM muszę chronić wartości ustalone w pkt. 1?
Jeśli na pierwsze pytanie nie odpowiedziałeś “Prywatność! Poufność! Prywatność!” a na drugie “Google lub służby specjalne, które mają dostęp do serwerów Google przez pracowników-agentów”, to GMail powinien być dla Ciebie dobrym wyborem.
Pamiętaj też, że…

nawet jeśli przestaniesz korzystać z GMaila, to GMail nie przestanie korzystać z Ciebie
Możesz założyć skrzynkę pocztową na Protonie, Fastmailu, albo Onecie. Możesz ją trzymać na RaspberryPi schowanym pod łóżkiem. Ale przed GMailem nie uciekniesz. Jak pokazują statystyki budowane na podstawie wycieków baz danych z polskich serwisów, ok. 40% użytkowników polskiego internetu ma GMaila. To oznacza, że prędzej czy później będziesz z nimi korespondował …a zatem Google będzie znało treść Twoich e-maili, choć Ty przecież nie masz u nich konta!
Brutalna prawda jest więc taka, że jeśli nie chcesz płacić za skrzynkę e-mail, np. FastMaila i zamierzasz wymieniać e-maile z kimś więcej niż Twoim kolegą poznanym na kursie Assemblera, to prędzej czy później trafisz na kogoś, kto ma GMaila lub telefon z Androidem i mimo wszystko będziesz skazany na profilowanie. Google będzie przetwarzało Twoje dane.





Jak widać, ucieczka przed Googlem jest w obecnym internecie dla większości osób z góry skazana na niepowodzenie. Możesz oczywiście próbować korzystać z innych skrzynek e-mail (szacunek za postawę i wytrwałość!). Zastanów się tylko czy warto, bo (co w sumie jest bardzo smutne) żaden inny dostawca poczty póki co mechanizmami bezpieczeństwa i szybkością reagowania na ataki nie dorasta GMailowi do pięt. GMail, pod kątem bezpieczeństwa, jest najbezpieczniejszy i bezkonkurencyjny.
info:niebezpiecznik.pl
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
 

spamtrash

Bardzo aktywny
Dołączył
11 Styczeń 2014
Posty
1658
Polubienia
2064
#2
Bardzo fajny artykul, ale pomija jeden aspekt.... lub podchodzi do niego w sposob nieprofesjonalny.

Wrecz dyskryminujacy, napastliwy i posiadajacy cechy dyskryminacji. Juz wyjasniam, zacznijmy od cytatu: "Wolą dopasowane reklamy bardziej niż kolejny banner z tabletkami na mocny konar albo suchość pochwy."

A co jezeli ja na przyklad zeby w firmie podniesc parytety wczoraj zadeklarowalem sie jako kobieta BAME, do tego lesbijka, i zaczalem dzis dostawac reklamy zeli na suchosc pochwy jako reklame spersonalizowana od Google?
Zeby podkreslic moja nowa, kobieca nature wale focha. A w ramach mojego nowego koloru skory to ich pozwe bo z czarnej kobiety sie nabijac to oj, Panie.... ;)
 
Dołączył
18 Listopad 2015
Posty
29
Polubienia
5
#3
Pod warunkiem, że uda się zalogować do tego GMaila. Najbezpieczniejszy jest dom, do którego sam właściciel nie może się dostać. :sarkazm

W pewnym momencie Google zaczęło prosić mnie podczas logowania we wszystkich moich kontach o umieszczenie jakiejś formy kontaktu (numer telefonu lub e-mail), rzekomo "dla bezpieczeństwa konta". Lekceważyłem te komunikaty. Po jakimś czasie pojawiły się problemy. Google notorycznie uniemożliwiało mi zalogowanie się do kont, wyświetlając komunikat, że "nie można rozpoznać tego urządzenia", pomimo że zawsze loguję się z tego samego miejsca, z tego samego komputera, zazwyczaj z tej samej przeglądarki, nie mam żadnych wirusów itd. Mam tylko zmienne IP. W żaden sposób nie pomagała odpowiedź na pytanie o datę założenia konta (prawidłowa!), podanie maila do przesłania kodu bezpieczeństwa ani żadne inne rozwiązanie automatycznej pomocy Google. Po prostu nic z tego nie działało.

Problem skończył się jak nożem uciął, gdy do wszystkich moich kont dodałem alternatywny e-mail jako formę kontaktu. Teraz bez problemu loguję się do tych kont, mimo że okoliczności logowania w żaden sposób nie zmieniły się w stosunku do poprzednich. Ani razu nie przydał się, żeby z jego pomocą zalogować się do konta, jestem tylko bombardowany spamem od Googla z alertami, że ktoś właśnie zalogował się na moje konto i żeby to sprawdzić. Nawet już nie zaglądam do tych maili.

Wnioski z tego porównania są chyba oczywiste.

Teraz Google w podobny sposób jak wcześniej zaczyna prosić mnie o numer telefonu przy każdym logowaniu "dla bezpieczeństwa konta". Aż strach pomyśleć, co będzie w dalszej kolejności, jeśli tego nie zrobię...
 
Ostatnia edycja:

FrantiQ

Bardzo aktywny
Dołączył
18 Luty 2012
Posty
204
Polubienia
69
#4
@spamtrash jak się ma ten nowy regulamin googla do Gmaila, bo w sumie jest tam wymienione "usług" a gmail to usługa Googla? Podobne pytanie w kwestii andka?
"Przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami). Użytkownik w ramach tej licencji przyznaje prawa w ograniczonym celu obejmującym utrzymywanie, promocję i udoskonalanie Usług oraz tworzenie nowych. Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (dotyczy to na przykład wpisu o firmie dodanego w serwisie Mapy Google)."
 

spamtrash

Bardzo aktywny
Dołączył
11 Styczeń 2014
Posty
1658
Polubienia
2064
#5
@spamtrash jak się ma ten nowy regulamin googla do Gmaila, bo w sumie jest tam wymienione "usług" a gmail to usługa Googla? Podobne pytanie w kwestii andka?
Alez oczywiscie ze odnosi sie to rowniez do emaila. Przeciez np. otwarcie mowia ze jako zabezpieczenie przed spamem czesza nie naglowki, a tresc maili. Mieli tego zaprzestac, ale to takie kuszace... (
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
)
Prawda rowniez jest to, ze zgodnie z ta licencja Google moze sobie z maili zrobic sciane postow np. na FB i co im kto zrobi?