Som udgangspunkt tænker du måske at dine e-mails er sikre, da de er beskyttet bagved en kode som er super svær at gætte. Den del har du sikkert også ret i, men i dette indlæg vil jeg ikke bruge tid på at skrive om sikkerheden på din webmail eller lignende klient.
For hvem kan læse dine mails udover dig?
Udover afsenderen og modtageren af en e-mail, kommer beskeden nemlig i hænderne på flere forskellige undervejs. Hvis du ikke har gjort dig nogle tanker om det, får du lidt at tænke over lige om lidt.
Lad os starte fra en ende af.
Du skal logge ind på din webmail for at skrive en e-mail til din mor:
Har du her muligheden for at trykke på "Glemt adgangskode" og få en ny kode? Hvis det er tilfældet, ligger alle dine mails ukrypteret på din udbyders servere (eller din udbyder har i hvertfald en 'ekstra nøgle'). Det kan eksempelvis være ved Google, Yahoo eller Microsoft. Dette er meget normalt, men du skal være opmærksom på at din udbyder i sådanne tilfælde også vil kunne læse dine mails (og nogle gør det også, det er sådan at Google kan målrette reklamer til dig).
Det er derfor vigtigt at du enten vælger en e-mail-udbyder som du har tillid til eller en udbyder som lagrer alle dine mails krypteret, uden selv at have nøglen til at dekryptere (Se eksempelvis protonmail.com).
Udover at du skal have tillid til at din udbyder ikke læser dine e-mails, så skal du også have tillid til at de har styr på sikkerheden. For i det tilfælde at din udbyder bliver hacket, vil hackeren også have adgang til dine e-mails. Ved en udbyder der kryptere alt, vil en hacker ikke kunne læse dine e-mails.
Hvorfor kryptere alle udbydere så ikke alle deres e-mails? Der er to ganske simple årsager. Den første er at teknologien er relativt ny og det er derfor ganske få udbydere som har udviklet systemer til det. Den anden grund er at hvis du glemmer din egen kode, så vil alle dine e-mails gå tabt (udbyderen har jo ikke længere en 'ekstra nøgle').
Lad os komme videre. Du har nu logget ind på din webmail og er opmærksom på om din udbyder kan læse dine e-mails.
Du sender nu en e-mail til din mor. E-mailen kommer nu fra din udbyder over til din mors udbyder, men er du opmærksom på om den kommer direkte derover eller om den tager nogle stop undervejs?
Når man modtager en e-mail, kan man i noget der hedder 'headeren' (det er en slags konvolut) se hvilken vej e-mailen har taget.
Her er et eksempel hvor jeg har sendt fra protonmail.ch til &Rasmussen ApS's ene mailserver:
Received: from mail2.protonmail.ch (mail2.protonmail.ch [185.70.40.22]) (using
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client
certificate requested) by gw.ogr.dk (Postfix) with ESMTPS id 41KDRl6DlYzNkZ5
for ; Mon, 2 Jul 2018 19:15:56 +0200 (CEST)
Som man kan se hvis man har forstand på det (det er svært at læse for de fleste, så jeg har simplificeret den), har denne e-mail eksempelvist være en tur forbi en mellemliggende server (typisk for at tjekke om det er en spam-e-mail).
I dette tilfælde skal man være opmærksom på om de mellemliggende servere også er under din- eller modtagerens udbyders kontrol. For hvis ikke, skal du jo også have tillid til endnu en udbyder. Da alle de mellemliggende servere, reelt kan lave en kopi hvis de ønsker det.
Noget andet som du også skal være opmærksom på, dette er også selvom der ikke er nogle mellemliggende servere. Det er om selve transporten af e-mailen er krypteret. For hvis den ikke er det, kan der være rigtig mange personer som kan lave en kopi af e-mailen og du har ingen chance for at se hvem eller hvor mange.
Du ser det ved at der skal stå TLS, TLSv1.2 eller lignende besked (se evt. mit indlæg om https, det er nemlig samme princip).
Nu er e-mailen fremme og hvem der så kan læse den - udover den tiltænkte modtager - afhænger af hvem modtageren benytter som udbyder. Præcis som det jeg skrev om i starten om din egen udbyder.
Hvordan beskytter jeg så mine e-mail fuldstændigt ?
Udover at have en rigtig god kode, som du sikkert allerede har, skal du altså vælge din udbyder med omhu.
Men der er en ting mere som du kan gøre, der er utroligt effektivt. Men det kræver at både du og modtageren har denne mulighed.
Hvis du kryptere selve indholdet af en e-mail, vil indholdet blot ligne volapyk for en tredjepart, som skulle komme i besidelse af den.
Hvordan gør man så det? Det er ikke altid nemt, selvom det måske kommer til at lyde som det.
I dette indlæg vil jeg skrive om en metode der hedder PGP (Pretty Good Privacy).
Når man har noget krypteret indhold, er der som udgangspunkt to 'nøgler' til indholdet. En nøgle (offentlig nøgle) som udlukkende kan låse og en som udelukkende kan låse op (privat nøgle).
Den første nøgle (den offentlige, som kun kan låse), deler man gerne kopier af ud til andre (se eksempelvis min her) og den anden holder du meget tæt.
Så når du gerne vil sende en krypteret e-mail til din mor, skal du altså bruge hendes offentlige nøgle, så du kan 'låse' den inden afsendelse. Ligesom at hun skal bruge din, hvis hun vil svare krypteret tilbage til dig. På den måde ved du, at det kun er hende som kan læse e-mailen, hvis hun da ellers ikke har delt sin private nøgle med andre.
Dette er som sagt lidt besværligt, da både afsender og modtager skal understøtte PGP, men også fordi at man skal have kontakt på forhånd, for at udveksle offentlige nøgler.
Men tilgengæld giver det en utrolig god beskyttelse!
- Jeg håber at du blev lidt klogere på hvor sikker din e-mail-løsning er og at du har valgt din udbyder med omhu. Men husk på at intet er 100% sikkert.
Eller dvs. du skal ikke stoppe med at bruge wifi, du skal blot deaktivere det på din computer og telefon når du ikke er hjemme.
Det er nemlig alt for nemt for en hacker at stjæle dine informationer, hvis du ikke er opmærksom.
Nu skal du høre hvordan
Som du sikkert ved er din computer/telefon så smart, at den selv kobler sig på et wifi-punkt, når den er i nærheden af et du tidligere har været på.
Det er uanset om du er hjemme, på arbejdspladsen eller nede på den lokale cafe.
Men hvordan gør den det? Den ved jo ikke at du sidder en lungo i hånden, nede ved Starbucks?
Det forgår på den måde, at eksempelvis din telefon, har en liste over alle de wifi-punkter den tidligere har været på. Telefonen starter så med listen fra en ende af og 'kalder op' til dem enkeltvis, indtil at der er et punkt der svarer og som den kan koble sig på.
Det er her det bliver farligt!
Når din telefon kalder på et wifi-punkt, kan den nemlig ikke verificere hvem der svarer igen. Så alle kan derfor svare din telefon og få den til at koble sig på.
Hvis din telefon på den måde er blevet koblet på et 'falsk' wifi-punkt, som er kontrolleret af en hacker, vil alt dens internettrafik også være styret af hackeren.
Jeg har tidligere lavet en lille demonstrationsvideo, som viser mere konkret hvad der sker.
Men hvad skal man så gøre, for at være sikker?
Som tidligere skrevet, bør du slå wifi fra på din computer/telefon når du ikke er på dit eget wifi. Så risikere du ikke at den automatisk kobler sig på et wifi-punkt, uden at du opdager det.
Ligeledes skal du undgå at bruge offentlige wifi-punkter. Du ved ikke hvem der kontrollere dem og alle der har koden til at komme på, kan i teorien se hvad du laver på internettet (jeg skal nok vise hvordan, i et senere indlæg).
Hvad så hvis jeg skal bruge et wifi-punkt, når jeg er på ferie?
Du kan naturligvis komme ud for at du er nødsaget til at bruge wifi, på eksempelvis et hotel i udlandet.
Det kan du naturligvis også, hvis du blot tager nogle små forholdsregler.
Hvis du besøger en hjemmeside, skal du kikke efter om den bruger https inden du indtaster brugernavne og koder (se tidligere indlæg).
Derudover er det en rigtig god ide at bruge en VPN, når du er på internettet. En VPN (Virtuel Private Network) laver en krypteret 'tunnel' til et sikkert sted, hvorfra du så kommer videre ud på internettet. På den måde flytter du altså en hel del af sikkerhedsrisikoen væk fra wifi-punktet og ind til VPN-udbyderen.
Men det kræver naturligvis at du kan stole på VPN-udbyderen!
Personligt bruger jeg altid den VPN jeg har ind til min arbejdsplads, men hvis det ikke er en mulighed, vil jeg anbefale ProtonVPN.
Når du er færdig med at bruge wifi-punktet, skal du huske at koble dig af det igen ved slut. På den måde vil din computer/telefon ikke automatisk kalde på det i fremtiden.
Skal jeg være bange for at bruge Wifi?
Nej, du skal bare bruge din sunde fornuft, når du bruger det offentlige steder.
https er forkortelsen for Hypertext Transfer Protocol Secure og er betegnelsen man bruger når en hjemmeside er "sikker". Reelt betyder det at trafikken mellem dig og en hjemmeside er krypteret.
Du kan se at en hjemmeside bruger https, ved at kikke efter "hængelåsen" i adresselinjen.
Hvad nu hvis hængelåsen ikke er der?
Hvis en hjemmeside ikke bruger https (bare kaldet http -uden s), betyder det at trafikken ikke er krypteret.
Det er i sig selv ikke farligt, men det betyder at hvis du indtaster noget på hjemmesiden - for eksempel brugernavn og kode -, så er der en risiko for at der sidder en som kan "lytte med" og se det du har indtastet.
Så når du bare skal se om den lokale købmand har åbent, er det lidt ligegyldt, men når du besøger din netbank er det ret kritisk.
Er hjemmesiden så sikker når hængelåsen er der?
Reelt har hængelåsen ikke noget med en hjemmesides egen sikkerhed at gøre, det betyder hverken at indoldet er krypteret eller at den er beskyttet mod hackere. Det betyder blot at trafikken mellem dig og hjemmesiden er krypteret, således at de informationer du indtaster og ser på hjemmesiden, ikke kan aflæses af andre end dig. (Dog kan man som udgangspunkt godt se at du er inde på hjemmesiden).
Men selvom trafikken er krypteret og den grønne hængelås er der, siger det ikke nødvendigvis noget om hvor godt den er krypteret.
Er den ikke krypteret særligt godt, kan trafikken nemlig dekrypteres. Således at den ingen effekt har.
Hvordan kan du så tjekke det?
Hvis du klikker på hængelåsen, kan du læse de tekniske detaljer. De er dog tæt på umulige at forstå, hvis man ikke er meget it-kyndig (og derfor ikke har brug for at læse dette indlæg). Men der er en meget nemmere måde at se det og flere detaljer på.
Hvis du besøger https://www.ssllabs.com/ssltest/ kan du indtaste navnet på den hjemmeside du vil teste. Herefter får siden en karakter fra F til A+.
Lynguide:
Alt under B betyder at krypteringen er dårlig og derfor ikke har ret meget effekt.
En god side bør få A eller A+.
A+ er ikke altid nødvendig frem for A, men din bank og andre sider der indeholder personlige informationer, bør altid være på A+.
Prøv at teste lidt forskellige hjemmesider, du vil blive chokeret over hvor dårlige mange hjemmesider desværre er.
Hvorfor er mange hjemmesider så dårligt sikret?
Ganske simpelt fordi at deres it-folk ikke er dygtige nok. Højere sikkerhed er ikke en ekstra udgift, men blot et spørgsmål om at konfigurere en server korrekt.
Tak fordi du læste med. Jeg håber at du blev lidt klogere.
- Husk, intet er 100% sikkert
