Articles

A viagem de um e-mail não cifrado

assim, quando enviar um e-mail não cifrado, quão vulnerável é você, de qualquer forma? Já escrevemos sobre a viagem que um e-mail encriptado atravessa, desde compor um rascunho no seu cliente de E-mail até aterrar na caixa de entrada do seu destinatário. Enquanto o caminho parece um pouco diferente dependendo do tipo de criptografia que você está usando, uma coisa é certa: usar a criptografia de email do lado do cliente ajuda a bloquear todas as várias oportunidades que um hacker tem para acessar seus dados.

O número de paragens que o seu E — Mail faz depois de sair da sua caixa de entrada pode surpreendê-lo, então vamos descascar as camadas e ver o que acontece quando você envia um e-mail não encriptado-e, do ponto de vista de um hacker ou cyberspy, quantos lugares você pode interceptar esse e-mail e roubar o conteúdo.

E-mail não cifrado: o que pode correr mal

“a viagem de um e-mail não cifrado é realmente o inverso da viagem de um e-mail cifrado. Cada pequeno passo do caminho, você tem vetores de ataque que podem simplesmente não ser um problema se você tivesse enviado um e-mail criptografado,” diz que Vai Ackerly, Co-Fundador e Diretor de Tecnologia da Virtru.

é fácil pensar no e-mail como uma viagem direta do ponto a (o computador do remetente) para o ponto B (os computadores do destinatário ou destinatário). Mas mesmo antes de um e — mail não criptografado deixar sua caixa de entrada, ele representa uma ameaça à sua segurança de dados e Privacidade-e uma vez que ele sai, ele passa por algumas paragens antes de chegar ao seu destino final.

“há três saltos cada e-mail passa em seu caminho para um destinatário”, diz Ackerly. “Com cada hop pode haver ou não uma conexão criptografada, e o único que você pode ter certeza é que o primeiro hop (se você está usando o cliente webmail como o Gmail, que usa SSL/TLS para criptografar o e-mail.) “

1. Parar um: o seu servidor de E-mail. “Se estou enviando um e-mail com o Gmail, há uma conexão minha para o Google”, diz Ackerly. “Esse é o primeiro salto, e você pode dizer se essa conexão está criptografada. Tudo o que tens de fazer é procurar a fechadura verde na tua barra de endereços.”

2. Parar dois: o servidor de E-mail do seu destinatário. Em seguida, o Google se comunica com, digamos, o Yahoo (se eu estou enviando e-mail para um usuário do Yahoo)”, diz Ackerly. “É o segundo salto.”E esse é o segundo lugar onde o seu email pode ser interceptado, se o cliente de E-mail do seu destinatário não USAR criptografia de E-mail.

“Este segundo hop é onde os usuários finais não têm visibilidade no processo”, diz Ackerly. “É quase impossível dizer se a ligação entre o seu provedor de E-mail e o provedor de E-mail do seu destinatário está criptografada ou não. O Google pode fazer tudo o que quiser para criptografar o Gmail, mas se o Provedor do seu destinatário não suportar uma conexão criptografada, o Google não tem escolha a não ser divulgá-la no cleartext. E esse é o estado padrão do E-mail, na verdade. É desprotegido e legível para qualquer um que tenha acesso a essa mensagem.”

3. Parar três: o computador do seu destinatário. “Finalmente, o e-mail vai do Yahoo próprio para o seu destinatário, e esse é o terceiro salto”, diz Ackerly, “e é outro lugar onde o seu e-mail pode ser comprometido.”Uma vez que seu destinatário abre o e-mail, eles podem enviá-lo para quem quiserem, criando uma cadeia de pontos vulneráveis.

“That’s the life of an unencrypted email,” says Ackerly. “Ele pode, como com o Gmail, ser criptografado de um hop para outro, mas no outro lúpulo ele pode existir em um estado desprotegido. E se alguma dessas quatro entidades ligadas por esses três saltos cometer um erro, os seus dados podem ser comprometidos.”

com tantos lugares potenciais o seu e-mail não encriptado pode ser impedido, quer por hackers que querem roubar os seus dados, cyberthies após a sua propriedade intelectual ou simplesmente alguém bisbilhotando, a perspectiva de não proteger as suas mensagens de E-mail e anexos parece bastante assustadora.

E para cada negócio que correspondia com a Sony Pictures na época de seu hack 2014, esse medo tornou-se um pouco real demais.

o Seu e-Mail de Destino Poderia Ser o Seu Principal Ponto de Fraqueza

“, Algo que eu acho que foi realmente intuitivos até que a Sony hack é que a maior ameaça à empresa de segurança de e-mail é o que acontece com o e-mail do destinatário final”, diz Ackerly. “Isso inclui tanto o computador do destinatário e a empresa do destinatário, se você está enviando um e-mail para outro sistema da empresa.”

a privacidade laxista da Sony e os hábitos de segurança que levaram ao infame hack não apenas colocou a Sony em perigo-Snapchat também acabou na mira dos hackers, em virtude de ter trocado e-mail não criptografado com a Sony.

“O Hack Sony realmente colocou um foco na vulnerabilidade do destino do seu e-mail. O CEO da Snapchat estava enviando e-mail para um conselheiro da Sony, e quando os servidores de E-mail da Sony foram hackeados, isso colocou todos os que eles haviam trocado e-mails não criptografados em risco”, diz Ackerly. “E isso incluiu SnapChat.alguns desses e-mails incluíam conversas privadas entre o Snapchat e o CEO da Sony Entertainment Michael Lynton, que também serve como membro do Conselho Snapchat, detalhando as ambições comerciais do Snapchat. Planos para expandir em novos mercados, aquisições secretas e ideias para novos recursos e funcionalidades vazaram como resultado da Invasão da Sony.”esta falha massiva não aconteceu porque ninguém no SnapChat não estava fazendo um bom trabalho”, diz Ackerly. “É porque com e-mail não encriptado, há um grande risco inerente. Há várias partes que têm custodianship do email que você envia. Estás a contar com eles para fazerem a devida diligência para proteger o seu conteúdo. Se eles fizerem asneira, ficas preso na rede.”

a vulnerabilidade do computador do seu destinatário, bem como o seu servidor de E — mail (se hospedado nas instalações, na nuvem ou como parte de um serviço como Gmail ou Yahoo) pode ser a queda da sua segurança de E-mail-mas o seu próprio dispositivo também não é imune.

Como o seu próprio computador é uma ameaça para a segurança do seu e-mail

uma das principais preocupações das empresas expressa ao migrar a sua solução de E-mail nas instalações (troca, por exemplo) para a nuvem é segurança. E Outlook, Apple Mail e outros clientes desktop ainda são soluções muito populares para as empresas. Não há algo inerentemente menos seguro em hospedar o seu e-mail na nuvem?não necessariamente. Por um lado, migrar para o Gmail (através do Google Apps for Work — agora conhecido como Suite G) como a sua solução de E-mail empresarial significa que está a obter, pelo menos, um pouco de protecção através de encriptação de E-mail, à medida que a encriptação SSL/TLS é introduzida no seu produto de E-mail. Pode ser uma solução incompleta em comparação com a criptografia do lado do cliente-e não vai voar no contexto de certos regimes regulatórios e de Conformidade, como HIPAA ou CJIS — mas é certamente melhor do que nada em tudo.há também a questão do seu computador. Se você está usando um cliente de E-mail desktop, o que acontece se, digamos, o seu laptop for roubado?

“Se você está usando webmail, particularmente Gmail, você tem uma pequena quantidade de proteção. Você é realmente muito seguro em relação à criação de dados sensíveis em seu computador”, diz Ackerly. “Se seu computador for roubado, e você usar um cliente de E — mail desktop como a Apple Mail, então todas essas mensagens de E — mail-não apenas as que Você enviou, mas também as que você recebeu-são vulneráveis ao roubo. Não estão protegidos nem encriptados de forma alguma.”

a este respeito, usar um serviço de webmail como o Gmail, que armazena os seus dados remotamente em servidores de alta segurança, na verdade faz muito sentido. “Além disso, os programas de E-mail desktop muitas vezes descarregam toda a sua caixa de entrada, o que pode constituir um grande pedaço da sua vida privada ou empresarial/profissional, para o seu dispositivo.”

A menos que o seu computador esteja encriptado, isso pode resultar em falhas dispendiosas. “Tem havido exemplos de onde um único médico publica os dados de um computador na Internet, geralmente por engano, e resulta em milhões e milhões de dólares em penalidades de violação HIPAA e outros custos. Isso também pode acontecer com o desktop email”, diz Ackerly. “Mas com clientes webmail como o Gmail, quando você cria um rascunho ou envia um e-mail, você não está criando uma cópia em seu computador que pode então ser perdido ou Vazado. Ainda existem muitas cópias que podem ser quebradas-uma vez que você cria um rascunho, que o conteúdo agora persiste em um servidor de infra — estrutura-mas você não terá necessariamente uma cópia em seu dispositivo que pode ser vazado ou ‘perdido.'”

a ameaça de erro do Usuário (e a importância da proteção de perda de dados)

mas hacking, vigilância/espionagem e roubo de laptop não são as únicas razões pelas quais não é seguro Enviar E-mail não criptografado. Muitas vezes, o maior inimigo da privacidade e segurança do email da sua organização é a sua própria organização.

“uma das maiores ameaças reais na segurança de email empresarial é simplesmente erro do usuário”, diz Ackerly. “Falamos muito sobre o ‘ator consciente’, seja um intruso malicioso ou um hacker externo, que representa uma ameaça, mas uma tonelada de incidentes de segurança são devidos a erros.”

esse erro pode ser estar escrevendo o endereço da pessoa errada na linha” para”. Ele poderia estar encaminhando um e-mail sem perceber que há dados sensíveis enterrados na parte inferior da cadeia, abaixo do E-mail relevante que você queria enviar. A capacidade de detectar e reagir a isso é crucial para prevenir grandes incidentes de segurança por e-mail na empresa.

“isso fala sobre a importância da proteção de perda de dados (DLP), e por que Virtru inclui DLP em sua solução de criptografia de E-mail”, diz Ackerly. “O administrador do E-mail pode dizer antes do tempo, ‘estas são as palavras que nos causarão uma questão de segurança se as incluirmos no e-mail.’Além do óbvio, como as palavras’ top secret ‘ou’ apenas para seus olhos, ‘ também existem padrões que o software procura em seu e-mail antes de enviá-lo.”

Por exemplo, se o e-mail contém um número digitado no Número de Segurança Social padrão (xxx-xx-xxxx), ou um número com 16 dígitos que se parece com um número de cartão de crédito, Virtru realmente irá realçá-lo quando você clicar em “Enviar” e, em seguida, perguntará se você deseja enviar a mensagem como e-mail criptografado.

” isto constitui a extensão Virtru inteligentemente digitalizando o seu conteúdo para estes potenciais riscos de segurança, mas tudo isso acontece em seu plugin — nenhum terceiro realmente tem acesso ao seu conteúdo., “explica Ackerly. “O recurso é uma espécie de função de verificação ortográfica, mas para a perda de dados. O conceito de procurar dados muito sensíveis, e depois aplicar a política, é uma capacidade que muito poucas empresas têm agora, porque os dados estão sendo armazenados em um servidor em algum lugar. Mas a capacidade de aplicar estas protecções DLP é algo que vimos muitas empresas começarem a pedir.”

com DLP, você não está mais confiando no usuário para saber se deve ou não criptografar, e prevenir muitos dos momentos ‘oops’ que podem levar a falhas de dados.

O que acontece ao E-mail encriptado enviado com sistemas de Portal

enquanto o e-mail não cifrado passa pelos três saltos da viagem de um e-mail desprotegido, e se estiver a usar um sistema de portal para enviar e-mail cifrado? Ainda tens um tipo limitado de protecção, explica o Ackerly. “O portal armazena uma versão não encriptada do E-mail. Muitas empresas chamam a estes sistemas de portal “e-mail criptografado”, mas a realidade é que não é realmente mais criptografado do que um e-mail criptografado com SSL/TLS (como o Gmail).”

O que significa que o seu e-mail não é seguro em cada salto. “Esse provedor de E-mail irá manter o e-mail e só permitir que o conteúdo não cifrado para passar por uma conexão ponto-a-ponto criptografado para o destinatário. Realmente o que você está comprando lá é uma garantia de que o último salto é sobre uma conexão criptografada ponto-a-ponto.”

também, as empresas deixam de ter alguma propriedade do seu próprio conteúdo de E-mail quando escolhem uma solução de portal. “Aqui está o tradeoff: você está entregando outra versão não criptografada do seu e-mail para outro provedor. Em vez de o Google receber o e-mail e enviá-lo, você está dando-o para o Provedor do portal”, diz Ackerly. “A desvantagem é que eles podem ver o conteúdo-ao contrário da criptografia de email do lado do cliente, esses provedores de portal têm acesso aos dados subjacentes.”

para uma verdadeira protecção em todas as paragens através das quais o seu e-mail passa, bem como a plena propriedade da privacidade do conteúdo da sua organização, necessita de um serviço de encriptação de E-mail do lado do cliente, como o Virtru.

Virtru: Encriptação do Lado do cliente & DLP para Proteger o Seu e-Mail a Cada Passo do Caminho

É claro que a viagem de um e-mail passa, a partir de rascunho para sua caixa de entrada do destinatário (e além), parece muito diferente dependendo de se você não utilizar criptografia, limitado a encriptação (como SSL/TLS ou portais) ou do lado do cliente de e-mail de criptografia.

Virtru Pro não só fornece encriptação de E-mail do lado do cliente e protecção de perda de dados para manter o seu e-mail encriptado seguro e privado do início ao fim, como lhe dá o controlo granular sobre a sua caixa de entrada. Com o controle de encaminhamento, você pode se certificar de que seu destinatário pretendido é o único destinatário do E-mail que você envia. Com o e-mail recall, você pode levar de volta uma mensagem que você pode ter enviado por engano. Você também pode definir datas de validade em seu e-mail.

Virtru funciona perfeitamente com o provedor de webmail que você já usa para proteger as suas mensagens e anexos, tudo com o simples toque de um interruptor. Tome posse dos seus dados hoje e faça o download do Virtru para enviar e-mail encriptado.