I samband med att jag igår skrev om att vi uppdaterat certifikaten på våra e-postservrar så skulle jag vilja skriva lite om vikten att faktiskt använda krypterade anslutningar för e-post.

Jag skriver en längre förklaring nedan, men kontentan är att om du är ansluten till ett publikt nätverk så kan alla andra som är anslutna potentiellt komma åt dina inloggningsuppgifter och/eller e-post kommunikation.

Det som ni behöver göra för era anslutningar skall vara krypterade är att ställa om era anslutningar mot följande portar och aktivera SSL.

SMTP port 465*
POP port 995
IMAP port 993

*) Gällande SMTP kan man även aktivera kryptering via “TLS” och då använda port 25 eller 1025 om detta passar bättre för ert behov. (1025 är en för oss lokal inställning som bara gäller kunder som använder våra e-postservrar)

Nedan är väsentliga inställningar från min Outlook

1. Under meny ”Verktyg -> Kontoinställningar”
2. Välj konto och öppna (Ändra…) det.
3. Tryck på knappen ”Fler inställningar…”
4. Gå till fliken ”Avancerat”

Med detta är din anslutning krypterad och både e-post och konto upplysningar skickas nu på ett sätt som är betydligt svårare* att titta på för en annan person på nätverket.

*) ”Betydligt svårare” är ett politiker svar, dels för att man aldrig kan säga aldrig och dels för att det finns i skrivande stund en bugg i SSL som teoretiskt under vissa förhållanden kan öppna krypteringen för en hacker.

Djupare förklaring

I ett öppet nät är man alltid öppen för att en hacker tittar (sniffar) ens trafik, normalt är man inte särskilt orolig för detta och internet är byggt i stort på att all information även nätverkstrafik från och till en enskild användare är helt öppen. Detta innebär att någon med rätt verktyg kan se allt du gör, vilka sidor du tittar på och vad du skriver på dessa, dina e-post meddelanden etc.

Mycket av detta har inte varit ett problem under en lång period även om man förr var mer brydd med detta. Anledningen till detta är nätverksteknik och sättet vi använder internet på. Förr anslöt man alla datorer till varandra med hjälp av något som kallades HUB och dessa fungerade på ett sätt som gjorde att varje utrustning ansluten till den kunde se alla andra utrustningars nätverkstrafik. Detta sätt som en HUB fungerade på var ej särskilt effektivt samt att det innebar en säkerhetsrisk. (HUB:ar säljs fortfarande och är ofta något som erbjuds dem som vill ha det billigaste) Dock är det inte enkelt att ansluta sig till någons hub utan att de vet det då det är en fysisk anslutning.

HUB:ar ersattes senare av switchar, dessa fungerade på ett sätt som på ett intelligentare sätt såg vilken utrustning som skulle förmedlas vilken trafik. På detta sätt kunde man inte längre få en sammanhängande bild av andra utrustningars trafik utan endast ens egen.

För att man som hacker skulle kunna lura switchar så kom man på en teknik som heter ARP spoofing, detta fungerar så att man lurar switchen att man har rätt till trafiken och att den skall skickas till mig istället för den andra utrustningen som egentligen var menad som mottagare. Detta fungerar olika bra beroende på switchens intelligens.

Då vi som internet användare kopplat upp till våra internet leverantörer direkt så har det inte varit ett problem då dessa skyddat oss mot detta på flera sätt som egentligen ger sig av hur man bygger nätverk. Det går visserligen fortfarande här att titta in på andras trafik, men då endast om man hackat sig in på internetleverantörens utrustning (och hittat rätt utrustning) eller att internet leverantören själv gör det och de har ju redan tillgång till dina konton.

Nu har vi dock en helt ny värld, nu har vi hotspots och radiolan som är både helt öppna eller så ofta osäkra att man inte kan lita på dem. I ett radiolan på t.ex. ett hotell eller en flygplats kan vilken användare som helst lystna in på din trafik på samma sätt som om ni var anslutna till en HUB. Det skrämmande här är att du vet inte om dem, och de behöver inte ens vara anslutna till radiolan:et för att lystna på din trafik och se vad du skickar d.v.s ingen ser eller vet att de lystnar.

Då all trafik även dina lösenord skickas på ett öppet och okrypterat sätt om du skriver in dem via http, SMTP, POP eller IMAP så kan man nu enkelt få alla dina inloggningsuppgifter väldigt snabbt.

Detta är anledningen till att du när du sitter i öppna nät skall vara extra försiktig och använda SSL eller kryptering på andra sätt på alla tjänster som innebär att du skriver in eller skickar lösenord.

Detta problemet kan även undvikas genom att alltid ansluta via VPN mot ett nät man litar på, t.ex. om ni har en Cefit brandvägg hemma eller på kontoret så kan man ansluta till den om man aktiverat VPN. På det viset hade all trafik man genererar varit krypterad men det är en annan diskussion.