Güvenli Eposta ve İstemci Kullanımı

Malum sebeplerden yazılımsal/donanımsal güvenlik önlemleri alıyorken epostalarda erişimin ve güvenliğinin sağlanmaması olmazdı.

Sosyal mecralar ve mobil chat aplikasyonları haricinde ne büyük iletişim yöntemlerinden biri de e-posta göndermek. Günümüzde iletişimden çok önemli yazışmalar için kullanılan eposta, internet’i İnternet yapan Amerikalıların tabiriyle “killer application” konumunda. Bu kadar revaçta olan sistemin, ilginin (?) merkezinde olmasını da yadırgamamak lazım.

Güvenliği Eposta kullanmak gerçekten gerekli mi?

E-posta, bireysel ve genel kullanımın yanında gerek akademik gerek de ticari ortamlarındaki süreçlerinin merkezindedir. Resmi yazışmalardan, duyurulara kadar haberleşme gerektiren bir çok kurum içi uygulamada, sistemin herhangi bir yerinde e-posta kullanıldığı görülür. Hal böyleyken gönderdilen ve alınan e-postaların güvenliği de tehdit altındadır.

Paylaşım konusunun irdelenmesi gereken günümüzde, E-posta güvenliği deyince ne anlaşılıyor? detaylı düşünmek lazım.

391100-the-end-of-the-end-of-privacyÖncelikle e-postanın adresine ulaşıncaya kadar geçtiği ağ’da yetkisiz kişilerce okunup okunmadığı, ikinci ve bazı durumlarda ilkinden daha önemli olan nokta olan, gönderenin gerçekten gönderen olduğunu iddia ettiği kişi olup olmadığıdır; yani e-postanın başlık (header) kısmında ismi ve e-posta adresi yazan kişi, gerçekten söz konusu e-postayı gönderen kişi midir? Yoksa ortada bir tür kimlik hırsızlığı ile e-posta gönderilmiştir. Bunun yanında sunucuda saklanan epostaların güvenliği ne durumdadır?

Genellikle internet üzerinden, popüler sistemler üzerinden kullanılan e-posta servislerinde, epostaların yanında kişisel bilgiler ve iletişim çevremiz de sistem üzerinde tutulmaktadır. Bu durumda bilgiler içeriden ve dışarıdan erişilmesi, talep edilmesi halinde verilmesi (?) gibi tehlikeler de var olmaya devam edecektir.

Eposta sistemlerine ulaşılmada var olan tehlikelerli sınıflandırırsak;

  • Dışarıdan kimlik bilgileri ile epostaya erişilebilmesi

Tehdit: Kullanıcı adı ve şifrenin ele geçirilmesi için farklı yöntemler kullanılabilir. Bu bilgiler bir şekilde ele geçirildiğinde, eposta kutusuna erişilmesi ile birçok bilgi elde edilebilir. Burdaki bilgilerin sadece eposta kutsunda tutulan bilgiler olduğunu düşünmek hatalı olur. Farklı bir sistemde açtığınız hesap için de bu eposta adresini vermiş olabilirsiniz; Bu durumdadiğer sistemde şifremi unuttum yapılarak iki hesap da ele geçilmiş olur.

Önlemler:

    • Eposta giriş ekranını doğru olduğuna emin olun. IOS cihazlar için giriş ekranlarını taklit edildiğine dair güvenlik raporları bulunmakta.
    • Farklı eposta hesaplarını ilişkilendirmeyin. (örn: Gmail ana hesabınızdan ilişkilendirdiğiniz diğer hesaplarınıza direkt geçiş yapabilirsiniz.)
    • Tanımadığınız adreslerden gelen epostaları gömülü olabilecek kötü niyetli kodlar sebebiyle açmayın.
      • İstemci kullanıyorsanız önizleme kullanmayın.
    • Şifrenizi karmaşık şekilde kurgulayın (Doğru Şifre Oluşturma ve Saklama)
    • İki adımlı doğrulama kullanın. (Hatırlatma: Gmail  girişi ekranında doğrulama kodu kullanıyorsanız, istemci entegrasyonu için istemciye özel şifre oluşturmanız gerekmekte. Bilgi için tıklayınız.)
    • İstemci güvenlik ayarlarını yapılandırın.
    • Donanımsal anahtar kullanarak güvenli eposta erişiminizi sağlayın.

digitalthief

  • İçeriden verilere erişilebilmesi

Tehdit: Eposta servisinizin mailleri ne şekilde sakladığını detaylı bilmiyorsanız her daim sunucuya sızılması ya da bir çalışan tarafından bilgilere erişilmesi olasılığı bulunmaktadır.
Önlem: Bu adıma müdehale için aşağıda bahsedeceğim -encrypted- güvenli eposta servisleri kullanmayı tercih edebilirisiniz.

  • Verilerin talep ile teslim edilmesi

Tehdit: 3. parti anlaşmalarla belirli bilgiler firmalara verilebilir ya da hükümet tarafından verilere erişim talep edilebilir.

Önlem: Bu adıma müdehale için aşağıda bahsedeceğim -encrypted- güvenli eposta servisleri kullanmayı tercih edebilirisiniz. Burada kritik olan nokta şifreli eposta alışverişinin şu an için aynı servis içerisinde yapılabildiğidir. Yani ProtonMail kullanıyorsanız bir uzantısı ProtonMail olan bir başka eposta ile şifreli iletişim kurabilirsiniz.

ya da ;

Güvenli bir istemci kurarak istemci sürüme ek olarak Enigmail gibi bir PGP destek eklentisi de kurup, OpenPGP desteğini aktif ederek karşılıklı şifreleme ile güvenli eposta alışverişi yapabilirsiniz, tabii karşılıklı şifreleme için karşı tarafın da PGP kullanması şart.

Çevrimiçi güvenli eposta kullanım araçlarından bazıları:

  • Protonmaildestrccting-messages-pic
    Proton mail farklı güvenlik özellikleri kullanarak gönderilen ve sunucuda tutulan mailleri şifreleyerek koruyor. CERN ve MIT bilim adamlarının desteğiyle geliştirilen servisin ABD ve AB yasalarına tabi olmayıp İsviçre kanunlarına tabi olması da bir diğer avantajı. (Why Switzerland?)

ProtonMail’in bir diğer avantajı da login şifreniz ile posta kutunuza ait bir diğer şifrenizin ayrı olmasıdır. Bu durumda sisteme login olunsa bile mailerin gösterilmesi (decrypt) edilebilmesi için mailbox şifrenizin de bilinmesi gereklidir. Bu sayede güvenlik 2 katına çıkartılmış olur.

 

Videoda, kuruculardan Andy YEN, Neden? ve Nasıl? sorularına TED Talks günlerinde cevap veriyor, PGP’yi kullanım için ne şekilde uyarladıklarını kısaca anlatıyor.

ProtonMail’in Indiegogo da ilk bağış toplamaya başlarken yayınladığı tanıtım videosu:

Birçok güvenli sistem sunan ya da güvenliğe ihtiyacı olan servis gibi Protonmail de sunucularını İsviçrede tutuyor.

Malum (TPB AFK: The Pirate Bay Away from Keyboard) tarafsızlığı ve güvenilirliği ile tanınan İsviçre sunucu odaları da bilinenlerden biraz farklı; Data protonmail-protectedCenter’lar 2.dünya savaşı banker’ları kullanılarak inşa edilmiş bu da demek oluyor ki fiziksel olarak sunucu odalarının erişim çoğu yer altında veya dağ’ların içerisinde ve nüklüer bombaya dayanıklı olduğundan zor. Ek olarak verilere erişim için yapılan yasal talepler de İsviçre kanunlarına göre değerlendirilerek erişim veriliyor.
Örnek vermek gerekirse bu data centerlardan en bilinen, ; Mount10 (görseller). Protonmail de burada bulunan sunucularıyla donanım erişlebilirliği açısından en güvenli eposta servislerinden biri ve “Mount10 Data Center” ayrı bir yazının konusu
olmaya aday. 🙂

 

  • Ghostmail
    Yine İsviçre menşeiili bir firma olan ghostmail de güvenlik kısmında iddaalı. (Protonmaili daha kullanışlı ve güvenli bulduğumu söylemeliyim.)
Her iki servisin de (protonMail & Ghostmail) geliştirilmeye devam ettiğini ve versiyonlarla iyileştirme ve bug updatelerinin geldiğini unutmamak gerekli.

Hatta; özellikle ProtonMail’e çok yoğun olarak DDOS ve farklı saldırılar gerçekleştirilerek servis dışı kalması için büyük çabalar sarf edilmekte!!!

Önemli Notlar
  • ProtonMail ve Ghostmail gibi verilerinizi şifreli tutan servisler kullanıyorsanız bu servisleri bilgisayarınız üzerinde eşleştirmek bilgisayarınza alacağınız verilerin şifresiz olacağı ve güvenlik seviyenizi düşüreceğini unutmayınız.
    Eğer eşleştirme ihtiyacınız var ise bilgisyaranızdaki eposta verilerini erişimi denetleyin ve ayrıca şifreleyin.
  • Şifreleme sadece kullanılan servisler içindeki yazışmalarda geçerlidir. Örn, protonmail den ghostmaile ya da farklı bir servise göndereceğiniz epostalar karşı tarafta çözülemeyeceğinden şifrelenmez.
  • Ghostmail şifrenizi iyi saklayın, şifrenizi unuttuğunuzda geri erişiminiz -şifremi unuttum seçeneğiniz- bulunmuyor.
Güvenli eposta konusunda tüm kullanım alışkanlıklarımızı değiştirmemiz gerekliliği bulunmakta bu sebeple yazım umarım faydalı olmuş ve soru işaretlerinizin artmasının yanında, bazılarına cevap da olmuştur.

Güvenli Eposta ve İstemci Kullanımı” için bir yorum

Bir Cevap Yazın