jueves, 24 de enero de 2013

Todo sobre el correo electronico. Parte 1

Actualmente enviamos cientos de mails pero rara vez nos preguntamos cuales son los canales (seguros o inseguros) por los cuales circulan los mismos desde que salen desde nuestro cliente de mail hasta que son leidos por el destinatario del mismo. Tampoco nos preguntamos que pudo suceder con el mismo en esos canales ni que paso con aquellos mails "que nunca llegaron".

Asi mismo cuando recibimos un mail rara vez (¿nunca?) ponemos en duda que el mismo haya sido escrito por quien dice en el remitente.



Algunas preguntas y respuestas sobre las que deberiamos pensar:

P: ¿Que recorrido siguen nuestros correos?

R: El siguiente "diagrama" intenta mostrar el camino que sigue un mail enviando de Juan a María:

Juan escribe un correo  ------>  Servidor de juan
Servidor 1
Servidor 2
Servidor n
Servidor Maria   -----> Maria lee el correo.

P: ¿Como viaja nuestro nombre de usuario y contraseña desde el cliente de correo al servidor?

R: Viajan en texto plano... si, texto plano. Es decir que si me nombre de usuario es "cristian" y mi clave es "segura_123"; al servidor viaja justamente eso: "cristian" y "segura_123"

En nuestro diagrama:

Juan escribe un correo  " usuario + Clave" ------>  Servidor de juan
Servidor 1
Servidor 2
Servidor n
Servidor Maria  "usuario + clave" -----> Maria lee el correo.

P: ¿Este texto plano que se envia puede interceptase en el camino?

R: Si se puede. El proceso se llama sniffing y es relativamente sencillo hacerlo y lo peor de todo, generalmente esta accion es difícil de detectar.

En nuestro diagrama:

Juan escribe un correo  " usuario + Clave" ------>  Servidor de juan
   "Curioso escuchando la red"
Servidor 1
Servidor 2
Servidor n
   "Curioso escuchando la red"
Servidor Maria  "usuario + clave" -----> Maria lee el correo.

P: ¿Puede alguien hacerse pasar por otra persona y enviarme un mail?

R: Si puede. El proceso se llama e-mail spoofing. Otra alternativa es robarle el usuario y password al usuario origen y despues enviar un mail "verdadero" al destinatario con texto ofensivo por ejemplo.

P: ¿Para que alguien enviaria un mail falso en mi nombre?

R: Los fines pueden ser muy variados pero generalmente puede basarse en hacer algun tipo de daño a la imagen del dueño original del mail. Son comunes los mails difamatorios. Supongamos que alguien le envia a Ud. un mail insultandolo y en el remitente aparece mi mail webmaster(arroba)cfbsoft.com.ar; ¿ dudaria Ud. que fui yo e intentaria verificar el origen del mail o, por el contrario, se daria de baja de la presente lista (minimamente) porque cree feacientemente que fui yo quien envio el mail?

P: ¿Pueden alguien enviar un mail y luego decir que no lo hizo?

R: Si puede. Intentelo, no es dificil ;) y generalmente le creeran. Ahora me pregunto: si supuestamente tenemos la creencia que solo nosotros podemos enviar un mail con nuestro nombre ¿Por qué nos creen cuando decimos que un mail que tiene nuestro nombre no lo enviamos nosotros?

P: ¿Existen alternativas mas seguras?

R: Si existen y no son dificiles de implementar. Estos nos abre la puerta a la criptografia, los certificados, PGP y GNUPG.


Bibliografia: "Segu-Info".

1 comentarios: