Как Gmail (и не только он) хочет просмотреть ваши данные

Интересный момент наблюдается, когда почтовый сервис хочет внимательно просмотреть ваши файлы-вложения, а у него не получается…

Вы же наверняка осознаёте (после прочтения этой заметки теперь уж точно!), что всё содержимое вашего почтового ящика — тексты входящих, исходящих писем, картинки, документы — совершенно свободно доступно компании, где зарегистрирован ваш e-mail — Google Gmail, Яндекс, Мейл.ру и прочим. Да, это прописано в вашем пользовательском соглашении с почтовым сервисом. И да, эти данные будут переданы в компетентные органы по их первому запросу…

Ведь с точки зрения провайдера почты ваш ящик — та же самая папка на жёстком диске, где структурно разложено всё содержимое писем. И всё это содержимое запросто видно любому сотруднику почтового сервиса, имеющему санкционированный или несанкционированный доступ к этой «папке». Даже когда вы удаляете письмо из «входящих», «отправленных» и потом из «корзины» — ничто не мешает внутренним скриптам почтового провайдера сохранять «удалённое» сколь угодно долго.

Регистрация собственного домена и создание «корпоративной почты» решит эти проблемы? Нет, ведь виртуальный сервер стоит у хостера, и для него ваша «корпоративная почта» — та же, совершенно открытая папка. Купить свой сервер? Ха-ха, он тоже стоит в стойке у провайдера, какая тому разница, с какого жёсткого диска читать!

В мыслях обывателя формируется «метод противодействия» — шифроваться! Но и это не так просто. Вы помните свои основные пароли? От Фейсбука, Вконтакте, Госуслуг, почтовых ящиков? Как, сложные? Есть ли совпадающие — когда одним и тем же паролем, чтоб не забивать голову, вы авторизуетесь в куче мест? У меня для вас плохие новости. Полагаю, что даже архивируя отправляемые вложения (а может, заодно и текст) «бытовыми» архиваторами, вы вряд ли будете выдумывать что-то сверхсложное. Длинный пароль? С цифрами? Со спецсимволами? А вы поинтересуйтесь производительностью нынешних суперкомпьютеров — они готовы «сбрутить» ваш пароль за вполне земное количество времени!

Но это касается уже следственных или мошеннических мероприятий, направленных на обнажение ваших заархивированных данных. А вот второй, неочевидный вопрос: где предел заинтересованности и возможностей «взлома» у почтовой системы? Проведём несложный эксперимент:

Возьмём, к примеру, 4 файла, в сумме «весящих» 10-15 мегабайт: документ Word, файл PDF, фотографию JPEG и видеофайл AVI. Упакуем без пароля в архивы .zip и .rar, соответственно. Без пароля.

И Gmail, и Яндекс-почта и Mail.ru без проблем позволят добавить такой архив вложением к письму.

Усложним задачу. Те же 4 файла запакуем в те же форматы архивов, но с паролем из 8-10 латинских букв (прописных и строчных) и цифр — как рекомендуют при создании паролей те же почтовые системы и соцсети.

Ничего не изменилось — вся «популярная тройка» добавила эти архивы как вложения.

Ещё усложним: помимо прописных и строчных латинских букв, цифр, добавим спецсимволы, доступные на клавиатуре — скобки, значки доллара, процента и т. п. С точки зрения тех же почтовых систем и соцсетей, которые допускают в пароле спецсимволы, это уже суперсильный пароль!

Да без проблем! Вложения легко «приаттачились» к письму и теперь-то мы точно защитили пересылаемое!

Мы даже перестрахуемся! Чтобы «брутить» стало сложнее, мы увеличиваем длину пароля, например, до 64 символов! Теперь-то точно всё спрятано надёжно и секреты атомных бомб можно невозбранно переслать доверенному адресату.

Прилинковываем файлы и расслабляемся? А вот нет! Даже, казалось бы, такой длинный и сложный несловарный пароль не защищает ваши данные нисколько. Это лишь вопрос лишнего часа или дня машинного перебора, в то время как «забывший пароль» хозяин архива будет находиться в изоляторе…

Добавим при архивировании несложную опцию — архивирование имён вложений: теперь при входе в архив никому не будет показан список файлов, находящихся внутри — а ведь это значительная ценность для вскрывающего! Правда, такая опция есть только у rar-архиватора, zip так не умеет. И вот результат: мейл и яндекс без проблем приняли оба архива, а gmail не даёт присоединить архив .rar:

rejected

 

«Справка» Gmail сообщает нам, что почтовая система опасается вирусов в вашем непонятном вложении. А вы всего-то не показали почте, что за файлы собираетесь пересылать…

rejectedhelp

В нашем эксперименте не было ни «исполняемых файлов», ни «подозрительных ссылок», тут всего лишь чуть более сильно зашифрованный архив. И Гуглу это очень не нравится. Вы, с его точки зрения, слишком сильно печётесь о приватности. Зачем же так?

Как гласит политика Gmail в отношении вложений к письмам, «…Чтобы предотвратить распространение вирусов, в Gmail запрещено пересылать файлы определенного типа, а именно: файлы из списка запрещенных, включая сжатые (например, GZ или BZ2) и помещенные в архив (например, ZIP или TGZ); документы с вредоносными макросами; архивы, содержащие архивы и защищенные паролем…»

Наше вложение не подпадает под эти определения, в частности, в архиве нет архива, просто не обладая частью важной информации, полезной в дешифровке, корпорации проще совсем не дать вам возможности «закрыться» от неё, чем устраивать себе же сложности в аннулировании вашей приватности.

Обмануть систему, переименовав «спорный» файл, например, во что-то с расширением .pdf, не получится. Gmail настойчиво хочет ознакомиться с содержимым, анализирует сигнатуру вложения, видит, что это не PDF и всё равно отказывает:

rejectedpdf

Хотя, на самом деле, обмануть почтовую систему похожим образом всё-таки можно, хотя и несколько сложнее. Но это не рассматривается в рамках этой заметки. Кстати, если кто-то думает, что написав «самодельный» архиватор, он решит все проблемы — нет. Наоборот, такая деятельность идёт в конфликт с законодательством, как минимум, России: создание и использование средств шифрования, не сертифицированных госслужбами (вы же не рассказали им, как взламывать такие ваши архивы, и принципы работы архиватора), преследуется по закону. КоАП РФ Статья 13.12. Нарушение правил защиты информации. Ну и, по-видимому, паяльник в одном месте создателя/эксплуатанта таковых средств, до полного раскрытия принципов действия и выдачи паролей органам…

Напоследок, говоря о легальных средствах шифрования и методах усиления архива, можно отметить, что словарь парольной базы, сформированный из символов Unicode (а их там 65535…), длинное парольное слово и шифрование имён файлов в RAR могут свести усилия подборщиков пароля (и корпорации Google) по перебору практически к нулю. Что, в прочем, не исключает пресловутого «фактора паяльника».

Берегите себя, свои данные и свои нервы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>