从“电邮门”谈email的安全使用 —— 电邮安全须知
从“电邮门”谈email的安全使用 —— 电邮安全须知
解滨
希拉里虽然躲过了“电邮门”,但这件事远没有完。从政治上,不但共和党会继续咬住不放,就连民主党里稍微严肃一点的党员都会对她鄙视。她“过关”实在太顺利了,简直让人们难以置信。 怎么会这么巧,不早不晚,刚好在民主党全国大会召开前夕让她过关? 这让美国司法部以及FBI有口难辩啊。 FBI让如此重大的事情都蒙混过关了,以后还怎么去办理那些比这轻得多的案子?
从专业的角度上,希拉里的“邮件门”会被写入教科书,给那些学习信息安全的专业人士以及学生们提供一个极其典型的反面教材,lessonsto learn……。
在美国,从总统到小学生,人人使用电邮。不知道您在这方面知多少。本文从电邮安全的角度上来谈这个问题,尽量少谈政治。
电邮,全名电子邮件。电邮是传统邮递的电子方式,和传统邮件相比有着快捷、省钱、使用方便等优越性。要理解电邮的工作原理,我们可以参回顾一下传统邮件的发展历程。
邮政简史
人类的传统邮件有几千年的历史了。最早的邮件要追朔到公元前2400年埃及的法老们使用邮递这种手段向各统治区发布法令。最早的邮件是不保密的,“邮递员”们都可以看到邮件的内容。 那可不是一件好事,邮差们既可以阅读也有调包的可能性。 于是在公元前2000年左右,巴比伦人开始使用信封。最早的信封不是纸做的而是泥巴做的,巴比伦人采用泥版信装在泥制的外套内,这泥制的外套就是世界上最早的信封。
信封的作用有两个:保护信件不被损坏以及不让邮递员阅读和涂改信件内容。这是因为每一封信都要经过不同的“邮局”和邮差的手中。
世界各国早年间只有“官邮”而没有真正的“人民邮政”。 古时候只有官衙是可以使用官方邮递(在中国叫“驿站”)来传递信息的。 诗人杜甫写的“烽火连三月,家书抵万金”中的“家书”并非家人的信件,而是家属托人传递的一纸文字。 驿站只为官方服务。
电邮的问世
电子邮件(electronic mail, email)是一个名叫“Ray Tomlinson”的美国佬在1972年发明的。
Email的传输过程与传统信件类似,都是要经过许多“邮差”或“邮局”的手中。 Email的“邮局”叫“Email server”,而中间经手的各个“邮差”叫“routers”:
看见没有,你我的email在传输过程中都是要经过 Internet 的。 电子邮件也经历了和传统邮件类似的发展过程。 早期的email,在经过每个router的时候,如果管理每个router的家伙或坏蛋在那里监视一下,是可以偷看其内容的,所以早期的email没有什么秘密可言。 但这还不算是最糟糕的情况。 最糟糕的情况是,如果有个家伙使坏,是完全可以改写两个人的email通信内容的。 例如,老张写了一个email请柬给老王,说他儿子在7月1日那天结婚,请老王来喝喜酒。 但有个坏蛋跟老张有仇,设法把喝喜酒的日期偷偷改成了8月1日。 老王于是买了一堆彩礼兴冲冲地于8月1日期去喝喜酒。 两家人从此结下梁子。 这种狸猫换太子的鬼把戏,在老美话中就叫“man in the middle attack”:
早期的Email基本上都是这样不安全的。 后来大家都发现了这个问题,于是就对email进行"加密",安装“digital certificates"。 本世纪初,这个问题就基本上解决了。 美国联邦政府以及美国各大公司的email相对来说是安全的。
我们使用的gmail, yahoo mail, 还有hotmail等免费电邮也是相对安全的,因为在传输的过程中进行了加密。
希拉里的“电邮门”究竟恶劣到什么程度?
那么,全世界最不安全的电邮是什么呢? 就是美国前国务卿希拉里使用的电邮。
希拉里虽说一辈子都在官衙里混,但她最不信任的就是官衙。 她不想让人家看见她Email的内容。 早在2008年她第一次参选总统前的那几年,她就在自己家里安装了电邮服务器,为她自己使用。
奥巴马其实也够呛。 他当参议员的那两年,一直在使用他自己的黑莓手机收发电子邮件。 按理说这也是不妥的,因为参议员的所有通信必须归档。 但他当上总统后还算规矩,把他的黑莓手机上缴给特勤局了。 可希拉里却把自己凌驾于国家安全之上。 她担任国务卿后的四年当中,却还一直在使用她的私人电邮服务器办公。
前天,FBI的头宣布不对希拉里电邮门进行起诉。那哥们其实在他的报告中故意隐瞒了一些最关键的事实,让希拉里的罪过看上去简直就是无意的过错了。
例如,FBI的头故意隐瞒了希拉里的私人电邮服务器的安全性是1975年的等级这一事实,因为那个服务器是没有加密的。 甚至在希拉里当上国务卿后的头三个月,希拉里的私人电邮服务器的安全性依然停留在1975年的水平,没有加密。 换句话说,那三个月中,只要任何一个黑客收到任何一个人转发过来的希拉里的email,就可以设法截取她别的email的内容,或者进行“狸猫换太子”的勾当。
即便后来希拉里的私人服务器进行了加密,黑客最起码可以从那上面看到她的私人服务器的IP,然后对服务器本身发动攻击。 那位罗马尼亚黑客就是这样入侵希拉里的服务器的。 希拉里的私人电邮服务器不具备入侵预防和监视的若干功能,即便被黑了,谁都无法知道。
那么,究竟希拉里的服务器有没有被黑客劫持呢? FBI的头说没有证据显示那样的事情发生过。 但他又说,那几年里,希拉里的私人电邮服务器换了好几次,最先的几个服务器早就找不到了,不知丢到哪里去了。 证据丢失了,根本没法去调查。 这是大实话。 所以, 希拉里的私人电邮服务器究竟有没有被黑掉,谁都没法打包票。 卧槽! 我不管她的服务器有没有被黑,国务卿的电邮服务器里面,毕竟保存了美国政府的最高机密。 这样的服务器居然被搞丢了。 丢到谁手中去了? 这TMD简直是拿国家最高机密当儿戏。 就这还不算犯罪? 我要是使用家里的电邮服务器处理我工作单位的电邮,又服务器搞丢,我早就在监狱里吃牢饭了。 李文和丢了什么? 他在监狱里住了900多天! 希拉里居然还在竞选总统!
另外一个全世界最大的笑话就是,希拉里按照FBI的要求,把她在使用私人服务器收发的所有电邮都上缴给FBI的。 但希拉里上缴的不是电子邮件本身,而是打印出来的电子邮件。 FBI局长说,希拉里上缴了5万多张纸的电子邮件。 打印的东西怎么能够显示出做手脚或修改后的蛛丝马迹呢? 为什么不把原始电子邮件上缴给FBI? 就连小学生都知道如何在打印前修改内容。 民主党领导下的FBI就是这个办案水平?
黑暗!
电邮安全须知
希拉里的电邮门将在今后成为教科书中一个最典型的案例,教授们将用这个案例告诉学生们如何不犯世界最最恶劣和最最简单的错误。
总结起来,我们使用电邮时,安全需要注意下面几点:
1. 这辈子不要使用私人电邮服务器。 使用gmail, yahoo mail 或hotmail,都远比私人电邮服务器安全。 在工作单位一定要使用工作单位提供的电邮办公。 您不是希拉里。 您要是一旦使用私人电邮办公,恐怕您离监狱的大门不会很远了。
2. 使用很强的密码,至少要8个字符,大写、小写、特殊字符混合,绝对不可使用字典中的任何字作密码。
3. 凡是Email中有提供任何链接的,千万不要点击。 直接删掉就行了。
4. 不要打开Email里面的任何附件,除非是你自己送给你自己的,或者你的老熟人送给你的。
5. 杀毒软件已经很便宜,如果您的电脑没有安装杀毒软件,那就不要使用那个电脑上网和阅读电邮。
6. 切莫占小便宜使用公共WIFI收发电邮。
7. 凡是天上掉下来的大饼或免费午餐,一律是钓鱼电邮,千万不要贪心点击其连链接或相信其内容。 直接删掉就是了。
8. 如果发现有人不厌其烦地使用垃圾邮件骚扰你,您可以使用电邮服务商的屏蔽功能将其屏蔽,千万不要回复垃圾邮件的发信人把他臭骂一顿。 你一回信,你的隐私就危险了。
9. 您的电子邮址还是复杂一点为好。 越是简单的越容易被骚扰,因为黑客使用垃圾软件自动寻找目标。
10. 不要相信任何要求您填写电子表格的Email。 这是因为那些表格可能是陷阱。
好了,就这些。 只要能够做到上面这些,您就比前任美国国务卿强1000倍了。 千万不要跟她学。