Email é seguro?

Email é seguro?

Slides da minha palestra, junto com o Túlio Casagrande, na CryptoRave 2016. Nessa oportunidade pudemos bater um papo sobre como funcionam os emails, porque não é seguro se comunicar com as soluções mais utilizadas e como se proteger utilizando a própria infraestrutura existente.

F6d5a605df582ab9ea419ebef9f400b7?s=128

Caio Carrara

May 07, 2016
Tweet

Transcript

  1. 4.

    Agenda • Relevância do email nos dias atuais • Como

    os emails funcionam ◦ Estrutura ◦ Transporte • Centralização de provedores ◦ Termos e condições de serviços ◦ O que diz o Marco Civil sobre emails • A falta de privacidade e suas consequências • Criptografia e descentralização • Conclusão
  2. 9.

    Delivered-To: tcasagra@thoughtworks.com Received: by 10.140.104.46 with SMTP id z43csp457046qge; Return-Path:

    <ccarrara@thoughtworks.com> for <tcasagra@thoughtworks.com> To: tcasagra@thoughtworks.com From: Caio Carrara <ccarrara@thoughtworks.com> Subject: This is an important message Organization: ThoughtWorks Date: Fri, 6 May 2016 17:37:04 -0300 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:45.0) Gecko/20100101 Thunderbird/45.0 Content-Type: text/plain; charset=utf-8 This is the email body and anyone can read this! Bye -- *Caio Carrara* 2EFF 0E5D 2AB0 C1D6 B066 4BF6 4662 42E2 41EA 14B7
  3. 16.

    • Único ponto de falha • Metadados concentrados • É

    fácil e barato vigiar massivamente Centralização dos provedores
  4. 18.

    Termos e condições de uso • Textos extensos e de

    linguagem complexa • Aparato legal para os provedores obterem e usarem nossos dados • Só usamos o serviço se aceitarmos seus termos
  5. 19.

    Marco Civil Estabelece princípios, garantias, direitos e deveres para o

    uso da Internet no Brasil. Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios: II - proteção da privacidade; Art. 8o A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet.
  6. 21.

    Alta centralização, baixa criptografia e termos assinados • Vigilância em

    massa ◦ Falta de privacidade ◦ Perseguição ◦ Afronta a liberdade de expressão ◦ Ataque aos direitos fundamentais ◦ Insegurança
  7. 25.

    Delivered-To: tcasagra@thoughtworks.com Received: by 10.140.104.46 with SMTP id z43csp457046qge; Return-Path:

    <ccarrara@thoughtworks.com> for <tcasagra@thoughtworks.com> To: tcasagra@thoughtworks.com From: Caio Carrara <ccarrara@thoughtworks.com> Subject: The subject is not encrypted Organization: ThoughtWorks Date: Fri, 6 May 2016 17:37:04 -0300 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:45.0) Gecko/20100101 Thunderbird/45. 0 Content-Type: application/pgp-encrypted -----BEGIN PGP MESSAGE----- hQIMA69AqycFw2RoARAAu5YJmundAqA034Y2mz2FiuQhxklza6lLyfO2zqqXvc/c qSRhpGTHnsR9G8dyEGmsItwSnWc7LtXd391glOlE1c83GRiLZPbEPNbFRNtMKz1Q ... u37JL4shTmiO9wpWe9UpF4H4jBwm0pGdqZnIaAbBI4pbLBxc+1AqqW3/ZwriwSWz rbehV1PCa8iDSMPNG9RJWQJic/QWJIof/+RQfShTLbU= =nNsn -----END PGP MESSAGE-----
  8. 26.

    Provedores descentralizados • Ataca um, não atinge todos • Metadados

    distribuídos • Mais difícil e caro vigiar massivamente
  9. 27.

    • Emails continuam relevantes, sobretudo no contexto corporativo • Emails

    não são seguros "nativamente" ◦ Dados expostos ◦ Provedores centralizados • Criptografia e descentralização são alternativas de aumentar a segurança Conclusão