OSÄKERHETEN BAKOM E-POST

Av Betsy Alva

pexels-photo-30814

Abstract

E-post är idag den största elektroniska kommunikationstjänsten som finns och statistik visar på att det kommer fortsätta vara på detta viset. Trots att tjänsten är så stor finns det en hel del integritetsrisker som de flesta av oss inte är medvetna om. Ett mejl som du skickar iväg kan läsas av flera andra personer och fungerar snarare som ett vykort än ett slutet brev. Det finns programvaror för att lösa detta men kunskapen är inte tillräcklig. Hur ska användarna gå tillväga för att säkra deras integritet?

Ämnesord

E-mail privacy, privacy, integritet, kryptering, PGP, encryption, säkerhet, kommunikation, electronic communication

Inledning

”E-post håller på att dö ut” sägs det, knappast tycker jag, det lever vidare och som det ser ut just nu kommer tjänsten inte att dö ut. För varje år som gått har internet vuxit sig större och nya kommunikationsverktyg utvecklas med jämna mellanrum. Vi har gått från det första e-postmeddelandet, skickat av Roy Tomlinson år 1971 (Athanasios, 2012), till att idag kunna skriva direktmeddelanden till varandra med diverse sociala medier så som Facebook, Twitter och Snapchat. Vi har även tillgång till våra mobiltelefoner där vi kan skicka sms. Trots alla dessa varierade kommunikationsmedel är det ingen som kan konkurrera ut vår hederliga e-post. I alla fall inte om man ser över statistiken för användandet av kommunikationsmedel som jag kommer skriva om i nästa stycke.

När vi började använda internet var ett e-postkonto bland det första vi skaffade oss. Förr i tiden fungerade det som ens ID-kort på nätet (Madrigal, 2014), då du behövde en mejladress för att kunna bli medlem på diverse hemsidor. Än idag fungerar det på samma sätt, däremot har det sociala nätverket Facebook blivit så pass stort under åren att denna också funkar som ett digitalt ID. Alltså är e-posten inte längre ett ensamt alternativ. Dock var även Facebook tvunget till att skaffas med en e-postadress under tidigare år. Enligt en undersökning som the Pew Internet (Purcell, 2011) utförde med vuxna från 18 år och uppåt, visade det sig att 65 procent av de undersökta använde sig av sociala nätverk. Detta är inget i jämförelse med hur många som använder sig av e-posttjänster, som låg på hela 92 procent. I världen idag finns det ca 3,3 miljarder användare på internet (Internet live stats, 2016) varav 2,9 miljarder av dessa äger minst ett e-postkonto och detta enligt en rapport som gjordes år 2015 (Radicati, 2015).

Vi förstår alltså hur stort e-post egentligen är och hur det expanderar i takt med internets tillväxt. Internetstiftelsen (Goldberg & Larsson, 2013) skriver flera broschyrer om hur vi ska hantera säkerhet, speciellt när det kommer till elektronisk kommunikation. I fallet för e-post skriver de hur en e-post snarare liknar att sända ett öppet vykort för alla att läsa än vad det liknar ett förseglat brev. Det får mig att undra hur detta kan vara möjligt? I det omfånget som det används är det så osäkert det bara kan bli. När du skickar ett mejl går det via flera olika servrar innan den hamnar i din mottagares inkorg (Athanasios, 2012), på den vägen skulle vem som helst kunna läsa ditt mejl. Är användarna medvetna om detta och vad kan vi göra för att säkra oss om vår personliga integritet? Ska vi verkligen behöva gå igenom flera olika tillägg och programvaror för att nå den högsta graden av integritet? Detta är några frågor som jag tänker  gå igenom och diskutera i denna artikel. Jag har valt att hålla mig främst till ett av de största krypteringsprogrammen, då denna artikel inte är i den omfattning att flera krypteringsmetoder kan tas upp.2000px-Email.svg

Teori

Hur används e-post och varför är det viktigt att hålla krypterat?

Som kommunikationsmedel används e-post främst i olika verksamheter som skolor, företag och andra arbetsplatser. I dessa mejl framkommer det mer eller mindre privat innehåll som är relaterade till samtliga verksamheter. En privatperson kan använda sin mejl till att prenumerera på nyhetsbrev från olika företag, förmedla privata ärenden till företagen och till att bli medlem på olika sajter. Privatpersonen kan till och med få arbetsrelaterad information om denne inte har en specifik e-postadress exklusivt för arbetsplatsen. Denna information kan vara allt ifrån lönespecifikationer, scheman och kommunikation med chefen. Privatpersoner kan också använda sin e-post till att få fakturor, orderbeställningar, reseinformation och dylikt från olika företag. Skulle en person förlora sitt lösenord till ett av alla sina medlemskap brukar man kunna lösa detta genom att få ett mejl med ett nytt lösenord till sin inkorg. Allt detta är i sin helhet mycket privat information om en själv som i fel händer skulle kunna utge en hel del om personen i fråga.

Att förstå hur e-post fullständigt fungerar kan vara rätt besvärligt för de som inte är insatta i området. Det finns ett virrvarr av olika termer att förstå sig på eftersom det finns flera olika e-postleverantörer som hanterar e-posten på skilda sätt. Det du som läsare måste ha förståelse för är vad kryptering och protokoll innebär. Protokoll är en överenskommelse mellan berörda parter över hur de ska kommunicera (Wikipedia, 2016). Kryptering är i enkla drag ett sätt att hålla din information hemlig, alltså med hjälp av en kod kastar du om alla tecken i ditt mejl som gör det oläsligt. Därefter behövs det någon form dekryptering för att kunna läsa det igen. För att kunna kryptera ett mejl behövs det oftast ännu en programvara utöver din e-posttjänst (Edström & Kleberg, 2015).

Det finns olika protokoll vad gäller kryptering och att säkra trafiken, där vissa har och andra inte alls har. Hos en del leverantörer kan man använda programvaror som tillägg för att kunna kryptera dina meddelanden medan resterande inte har något stöd alls för dessa. Detta är anledningen till varför det behövs installeras programvaror för kryptering som jag tidigare nämnde. Skillnaden mellan e-postleverantörerna skapar problem och har lett till att det inte blir lika säkert som man skulle vilja (Durumeric m.fl. 2015). På senare år har dock utvecklingen för säkerhet ökats. Särskilt efter att Edward Snowden avslöjade hur amerikanska NSA (National Security Agency) övervakade flera av de stora internetföretagens servrar bland annat Google, Microsoft och Facebook (Greenwald & MacAskill, 2013).

Hur fungerar krypteringen?

Med tanke på vad all e-post innehåller borde åtminstone användarna få ha rätten till att bestämma ifall e-posten ska vara krypterad eller inte. I dagsläget finns det som ovan nämnt flera olika sätt att kryptera ditt innehåll. Flera av dessa har emellertid sina nackdelar som på sitt sätt gör krypteringen lönlös. Hur du krypterar dina mejl är helt upp till dig själv, du kan använda dig av olika programvaror och protokoll. Hos e-postleverantörer så som Gmail och Hotmail finns det nu protokoll som säkrar trafiken med följden att att andra inte kan se vad du gör, enbart att du surfar just där, och detta sker genom något som kallas HTTPS (Edström & Kleberg, 2015). HTTPS är ett protokoll vilket fungerar som ett skydd mellan anslutningen från din dator till den besökta sidan, alltså krypteras din trafik där emellan (ibid.).  Detta finns numera hos de flesta stora företagen. Trots att detta protokollet krypterar din information är det du skickar fortfarande öppet i trafiken, använder du exempelvis Gmail kan fortfarande de som jobbar där se det du skriver. Även de som hackar sig in i deras trafik kan se ditt mejl, därav krävs ännu ett skydd och det är här andra krypteringsprogramvaror kommer in i bilden. Dessutom, skulle du skicka e-post till någon som inte har liknande anslutning blir således både din trafik och mejlinnehållet öppen för andra att avlyssna.

En av de stora programvarorna som kom redan år 1993 var PGP som står för Pretty Good Privacy (Fry m.fl. 2012). PGP fungerar på det sättet att du har två nycklar, en som är publik och en som enbart du har tillgång till. Enkelt förklarat fungerar det på det sättet att du skickar ditt mejl i samband med att du låser det med din mottagares publika nyckel. Mottagaren i sin tur kan endast öppna och läsa det med hjälp av deras privata nyckel (ibid.). För att detta ska kunna fungera fullt ut behövs det att båda parter har samma typ av PGP. Ungefär på detta viset fungerar resterande krypteringsmetoder av mejl, det som skiljer dem åt är att vissa kräver fler installationssteg eller har annorlunda sätt att distribuera sina nycklar (Durumeric m.fl. 2015).

Public_key_encryption_email.svg

Användandet och kunskapen om kryptering

I en undersökning utförde de ett test där de skickade ett öppet och ett krypterat mejl med samma innehåll via Google (Anthanasios, 2012). I detta upptäckte de att det fanns nackdelar med deras krypteringsmetod. När du skickar ett mejl består det av en header och innehåll. I headern kan du se metadatan på mejlet alltså rubriken, avsändaren, mottagaren och när det skickades. I innehållet står det texten som du skrivit i ditt mejl. I den öppna versionen hade de skrivit om böcker i innehållet och fick genast reklam om samma ämne. Detta innebar att Google faktiskt läser av det du skriver och säljer sedan vidare informationen till tredjeparter, i detta fallet till de företag som gör reklam för böcker. Till det krypterade mejlet använde de en krypteringsform som kallas GnuPG (en variant av PGP). Detta gjorde att innehållet blev krypterat men inte metadatan. Om du nu inte vill att någon ska kunna se att du ens haft en kommunikation med mottagaren hjälper det antagligen inte att bara kryptera innehållet. Trots detta finns det andra rapporter som menar att PGP än idag är den säkraste metoden för krypteringen vad gäller innehållet. Främst eftersom resterande programvaror och protokoll blir felaktigt installerade. Med hjälp av ett tillägg som fokuserar på att ge bättre användarvänlighet för användandet av kryptering, kallad Private Webmail 2.0, hade det kunna bli ännu säkrare och installerat med mindre risk för felinstallationer. Men detta är fortfarande i utvecklingsstadiet (Routi m.fl. 2016a).

Alla krypteringsmetoder som finns ute just nu har en sak gemensamt, att de oftast är svårare att installera. Det finns sällan inbyggt hos din e-posttjänst utan måste installeras med programvaror utöver, vilket har lett till att de inte är särskilt användarvänliga. En studie som Fry, Chiasson och Somayaji (2012) gjorde på användare visade att det främst är tekniskt lagda personer som tar sig tiden till att installera programvaror för kryptering. Deras fokus låg på S/MIME som också är en liknande krypteringsmetod PGP använder. Vissa av undersökningspersonerna orkade inte ens ta sig igenom hela processen. Flera av dem gjorde också fel inställningar och lyckades inte genomföra proceduren korrekt.

Lagring av e-posten är ännu ett problem

Även om krypteringen i trafiken är ett stort problem så är det inte det enda du behöver tänka på. Lagringen av din e-post är också en del som kan behövas för att maximera din integritet. Idag finns det två olika sätt att hantera din e-post på och dessa är antingen e-postklienter eller datormoln för e-post.

Den förstnämnda, e-postklienten, är bra för integriteten. Den funkar på det sättet att den levererar din e-post till din inkorg och lagrar den i din hårddisk, därefter raderas mejlen från deras servrar (Turkanovic & Polancic, 2013). Nackdelen med detta är att försvinner e-posten från din mejl har du ingen möjlighet för back-up och återställning av dessa. Denna metod används exempelvis av Thunderbolt och Apple mail.

Datormoln används av gratistjänster så som Gmail och Outlook som du kan nå via webbläsare. Dina mejl sparas inte hos dig utan hos deras servrar men medför mindre sannolikhet till att helt förlora dina mejl. Däremot låter du företagen ha komplett tillgång till din post. Detta kan vara ett jobbigt val särskilt i USA där staten kan få tag på dina mejl som är över 180 dagar gamla utan problem genom en stämning (ibid.).

laptop-958239_960_720

Diskussion

Den första studien som handlade om e-post och kryptering skrevs för ungefär femton år sedan (Whitten & Tygar, 1999) och vi har fortfarande inte kommit fram till en bra lösning vad gäller integritet. Flera studier har skrivits efter detta, däribland de jag använt till denna artikel, men också flera av dessa är överens om att det inte finns tillräckligt med forskning som krävs för att lyckas (Routi m.fl. 2016b). Många av de studier jag använt mig av tyder på att informationen till användarna inte nått ut som den borde och detta är ett problem. Jag kan säga att jag själv inte var speciellt medveten om vilka risker som egentligen fanns när jag skickar ett mejl och hädanefter kommer mitt risktänkande att öka.

Insight Intelligence (2016) utförde en undersökning på 1000 svenskar där det enbart var 11 procent som svarade att de använde sig av krypteringstjänster. Det påvisar att det antagligen inte är särskilt känt bland de svenska hushållen att denna tjänst finns. Även i USA gjordes det en undersökning av Pew Internet där det visade sig att hela 46 procent inte hade övervägt att använda krypteringsprogram för att skydda sin mejl. Ytterligare 31 procent av de undersökta visste inte ens om att det fanns krypteringsmetoder (Rainie & Madden, 2015). Detta är för mig oroväckande siffror och någon åtgärd måste ske. Som jag skrev tidigare finns det alldeles för lite forskning för att kunna göra framsteg. Personligen tycker jag att vi skulle behöva införa någon form av ämne redan i skolan som berör IT-säkerhet eller att e-posttjänsterna helt enkelt hittar ett bra sätt att framföra riskerna med deras tjänster i en tydligare form när man väl använder dem.

Av det jag har läst känner jag inte att jag fått känslan av att e-post någonsin kommer lyckas bli lika säkert som man skulle vilja. Det verkar vara på detta vis vi måste tänka när det gäller internet i allmänhet. Integritet finns inte längre på samma sätt. När jag jämför och läser de artiklar jag har valt kan jag ändå inte förstå varför det ska vara så svårt att kryptera sina mejl. Jag hade hellre velat att de stora molnlagrade e-posttjänsterna skulle finna ett sätt att gemensamt hitta en krypteringslösning. Det är enbart för att de inte använder sig av samma protokoll som det blir fel. Varför inte implementera ett sätt att genom en enkel klickning kunna välja om du vill ha kryptering eller inte som också fungerar oberoende på vilken tjänst du använder dig av. Undersökningarna jag använt mig av i min artikel visar på att det helt enkelt inte fungerar med dessa svårinstallerade programvaror. Du ska inte behöva vara ett IT-proffs för att kunna få skydda dig själv. Men att hitta en hundraprocentig lösning verkar dock vara enklare sagt än gjort.

Något bra är att e-posttjänsterna tagit till sig att det här är en viktig fråga och trots allt gjort framsteg då det i början av det hela inte var ett enda mejl som var krypterat. Gmail (Google, 2016) för årligen statistik om förbättringen för krypterade mejl. År 2014 menade Google (2014) att enbart hälften av alla mejl som skickades var krypterade, men idag, två år senare, har siffran sjunkit ner till bara 30 procent (Google, 2016). Detta visar på att e-posttjänsterna är på väg mot rätt håll eftersom det visar en positiv trend.

Slutsats

Apple_iPad_Event03

E-post fortsätter att växa och det kan all statistik bekräfta. I dagsläget verkar det inte finnas något lätt sätt för oss att skydda oss från att våra mejl ska hamna i fel händer. E-posttjänsterna har tagit till metoder för att säkra trafiken men underlättar det inte då de använder sig av olika protokoll. Detta betyder dock inte att det inte finns några sätt alls eftersom vi har ett flertal krypteringsprogram som kan användas men som det däremot saknas kunskap om. Ännu ett problem är att det inte finns särskilt mycket kunnighet om ämnet e-post överlag då folk egentligen bara antar att det är säkert. I framtiden skulle det behövas än mer forskning för att finna den bästa lösningen. Det har trots allt gått femton år sen den första studien gjordes om e-post och resultatet är kanske inte optimalt men det är i varje fall en god bit på vägen.

Referenslista

Athanasios, G. (2012). An analysis of privacy threats and tools in Internet-Based Communications. [Elektronisk]. London: Kingston University. (Dissertation submitted for the Degree of Master of Science in Networking and Data Communications) Tillgänglig: http://okeanis.lib.teipir.gr/xmlui/bitstream/handle/123456789/1300/dcom_00200.pdf?sequence=1 [2016-05-24].

Durumeric, Z, Adrian, D, Mirian, A, Kasten, J, Bursztein, E, Lidzborski, N, Thomas, K, Erant, V, Bailey, M. & Halderman, A.J. (2015). Neither Snow Nor Rain Nor MITM…: An Empirical Analysis of Email Delivery Security. [Elektronisk]. IMC ’15 Proceedings of the 2015 ACM Conference on Internet Measurement Conference, 27-39. Tillgänglig: ACM Digital Library [2016-05-25].

Edström, M. & Kleberg, F. C. (2015). Digitalt självförsvar – en introduktion. [Elektronisk]. .SE Internetguider, Tillgänglig: https://www.iis.se/docs/Digitalt-sjalvforsvar.pdf [2016-05-25].

Fry, A, Chiasson, S. & Somayaji, A. (2012). Not Sealed But Delievered: The (Un)Usability of S/MIME Today. [Elektronisk]. Annual Symposium on Information Assurance & Secure Knowledge Management, 48-61. Tillgänglig: Hotsoft [2016-05-25].

Google. (2016-05-27). Insynsrapport. [Elektronisk]. Tillgänglig: https://www.google.com/transparencyreport/saferemail/?hl=sv [2016-05-31].

Google. (2014). Transparency report: Protecting emails as they travel across the web. [Blogg] 3 juni. https://googleblog.blogspot.se/2014/06/transparency-report-protecting-emails.html [2016-05-31].

Goldberg, D. & Larsson, L. (2013). IT-säkerhet för privatpersoner – en introduktion. [Elektronisk]. .SE Internetguider. Tillgänglig: https://www.iis.se/docs/IT-sakerhet_for-privatpersoner.pdf [2016-05-24].

Greenwald, G. & MacAskill, E. (2013). NSA Prism program taps in to user data of Apple, Google and others. [Elektronisk]. The Guardian, 7 juni. Tillgänglig: http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data [2016-05-25].

Insight Intelligence. (2016). Delade meningar: Svenska folkets syn på digital integritet 2016. [Elektronisk]. Stockolm: Insight Intelligence. Tillgänglig: https://www.iis.se/docs/Delade-Meningar-2016.pdf [2016-05-31].

Internet Live Stats. (2016-05-24). Internet users. [Elektronisk]. Tillgänglig: http://www.internetlivestats.com/internet-users/ [2016-05-24].

Madrigal, A. (2014). Email Is Still the Best Thing on the Internet. [Elektronisk]. The Atlantic. Tillgänglig: http://www.theatlantic.com/technology/archive/2014/08/why-email-will-never-die/375973/?single_page=true [2016-05-24].

Purcell, K. (2011). Search and email still top the list of most popular online activities. [Elektronisk]. PewResearchCenter. Tillgänglig: http://www.pewinternet.org/2011/08/09/search-and-email-still-top-the-list-of-most-popular-online-activities/ [2016-05-24].

Rainie, L. & Madden, M. (2015). Americans’ Privacy Strategies Post-Snowden. [Elektronisk]. PewResearchCenter. Tillgänglig: http://www.pewinternet.org/2015/03/16/americans-privacy-strategies-post-snowden/ [2016-05-31].

Routi, S, Andersen, J, Hendershot, T, Zappala, D. & Seamons, K. (2016). Private Webmail 2.0: Simple and Easy-to-Use Secure Email. [Elektronisk]. Tillgänglig: Cornell University Library. [2016-05-25].

Routi, S. Andersen, J. Heidbrink, S. O’Neill, M. Vaziripour, E. Wu, J. Zappala, D & Seamons, K. (2016). “We’re on the Same Page”: A Usability Study of Secure Email Using Pairs of Novice Users. [Elektronisk]. Tillgänglig: Cornell University Library. [2016-05-30].

The Radicati Group, Inc. (2015-03). Email Statistics Report, 2015-2019 – Executive Summary. [Elektronisk], Tillgänglig: http://www.radicati.com/wp/wp-content/uploads/2015/02/Email-Statistics-Report-2015-2019-Executive-Summary.pdf [2016-05-24].

Turkanovic, M & Polancic, G. (2013). On the security of certain e-communication types: Risks, user awareness and recommendations. [Elektronisk]. Journal of Information Security and Applications, volym 18 (4), 193-205. Tillgänglig: Science Direct [2016-05-25].

Whitten, A. & Tygar. D. J. (1999). Why Johnny can’t encrypt: a usability evaluation of PGP 5.0. [Elektronisk]. SSYM’99 Proceedings of the 8th conference on USENIX Security Symposium, volym 8, 160-184. Tillgänglig: https://people.eecs.berkeley.edu/~tygar/papers/Why_Johnny_Cant_Encrypt/OReilly.pdf [2016-05-26].

Wikipedia. (2016-04-21). Kommunikationsprotokolll.[Elektronisk]. Tillgänglig: https://sv.wikipedia.org/wiki/Kommunikationsprotokoll [2016-05-31].

Bilder

Pixabay (2014). – [Fotografi]. https://pixabay.com/sv/b%C3%A4rbar-dator-mannen-facebook-dator-958239/ [2016-06-02].

Unsplash (2014). Laptop Computer Turned on While in Dark Area. [Fotografi]. https://www.pexels.com/photo/laptop-computer-turned-on-while-in-dark-area-30814/  [2016-06-02].

Wikimedia (2011). Public key encryption diagram: email example [Fotografi].
https://commons.wikimedia.org/wiki/File:Public_key_encryption_email.svg [2016-06-02].

Wikipedia (2010). A virtual keyboard on an iPad [Fotografi]. https://en.wikipedia.org/wiki/Pointing_device#/media/File:Apple_iPad_Event03.jpg [2016-06-02].

Wikipedia (2007). Email Operation. [Fotografi]. https://en.wikipedia.org/wiki/Email#/media/File:Email.svg [2016-06-02].