Configuração de email para impedir o roubo de identidade

Navegue suas respostas
5

Meu sogro me pediu ideias para melhorar sua segurança de e-mail. Ele leu um artigo sobre como alguns hackers, tendo obtido acesso a uma conta do Gmail, foram capazes de redefinir as senhas do titular da conta para outros serviços, como a Amazon.

Isso é o que eu tenho feito até agora, mas mais poder intelectual realmente ajudaria, já que eu nunca pensei nisso antes, então todas as críticas e sugestões serão muito bem vindas.

Ponto de partida: Ele tem um site hospedado em um sistema LAMP / cPanel, e seu e-mail atual passa pelo domínio do site. A conta de e-mail está configurada no cPanel. Ele recupera seu e-mail via pop3, excluindo-o do servidor. Eu estou pensando que isso pode ser um ponto de partida decente? Não há necessidade do iMap, pois ele tem apenas um computador (sem iPhone) e ele o exclui à medida que vai?

Próximos passos:

  1. Estou pensando em fazer com que ele configure vários encaminhadores de endereços em seu cPanel: um para seu banco, um para a Amazon --- basicamente um para cada uma das poucas contas vinculadas a um banco ou a um crédito cartão. Esses encaminhadores iriam todos encaminhar para um endereço central, também configurado no cPanel, que seria "privado", no sentido de que ele não o usaria para enviar e-mails. Ele só usaria para recuperar e-mails via pop3.

  2. Também está pensando em fazê-lo armazenar seu email em seu computador em uma unidade virtual criptografada usando o TrueCrypt.

Com essa configuração, parece-me que as mensagens são vulneráveis em alguns lugares:

  • em trânsito da Amazon para o servidor, do servidor para o computador. Não há muito que possamos fazer sobre isso, pois o banco dele ou a Amazon não enviarão emails criptografados.
  • enquanto armazenado em sua configuração do cPanel LAMP. Eu me pergunto o quão seguro (inseguro) isso é. Se fosse um host compartilhado, ficaria muito preocupado. Sendo um VPS, pode ser um pouco mais seguro. Mas ainda assim ... Alguém poderia invadir ... Qual a probabilidade disso?
  • no computador, se alguém obtiver acesso enquanto estiver conectado e a unidade virtual estiver montada.

Muito obrigado antecipadamente, aguardando seus pensamentos.

ATUALIZAÇÃO: RESUMO DAS RESPOSTAS ATÉ ATÉ

Que sorte, várias respostas pensadas e detalhadas vieram até agora. Resumindo as respostas até agora.

Usando a Web

  • Seu roteador deve ser endurecido, por exemplo, não permitindo o console de gerenciamento remoto da Internet. Esteja ciente do fato de que um hacker pode revelar seu endereço IP e a senha de login do provedor.
  • Use senhas longas e complexas exclusivas de cada conta on-line que ele usa. Senhas strongs (16 caracteres ou mais)
  • Criando diferentes contas de e-mail em um domínio para diferentes serviços: Prós: evita a "invasão Epic Wired". Contras: aumenta o número de nós vulneráveis Use um navegador seguro. Para o Firefox, consulte As 10 melhores seguranças do Firefox -ons , esp. noscript

Recuperando mensagens (Thunderbird)

  • Usar SSL
  • Criptografia PGP para correspondência confidencial (exige que a contraparte tenha uma chave)

Máquina local

  • Firewall
  • Um bom conjunto de antivírus também é obrigatório.
  • Desativar serviços de rede não utilizados
  • Criptografia = > Os aplicativos vazam uma quantidade inacreditável de dados em todo o sistema em caches e logs, tornando uma caixa de correio local unicamente criptografada irrelevante. Se você criptografar, Truecrypt a unidade inteira.

Protegendo o servidor

  • Desinstale todos os serviços ou produtos não essenciais que possam ouvir ou acessar a Internet e muito mais.
  • Grsecurity ou um sistema semelhante para evitar ataques de estouro de buffer
  • Ele deve acessar seu servidor usando seu endereço IP e não o nome de domínio que pode redirecioná-lo para outro lugar: se um servidor DNS for invadido, ele poderá se deparar com uma página de login em qualquer site ou até mesmo em seu site. próprio servidor que é uma cópia exata da página real.

Configuração de Fischer

(Categoria especial como fluxo de trabalho de Fischer é sistema diferente das outras respostas)

  • Se você não sabe qual é a segurança do seu servidor de lâmpadas, hospede-o no outlook.com em vez disso (grátis)
  • Encaminhar todas as contas de e-mail para o GmailAC nº 1 e excluir do servidor
  • Após a leitura, PGP criptografa mensagens e encaminha para o GmailAC # 2
  • Recuperar via Thunderbird
por zx81 19.09.2013 / 22:50

3 respostas

3

Esta é uma questão complexa, mas montar um sistema simples para proteger as informações confidenciais do seu sogro não deve ser tão difícil.

Sua primeira sugestão de usar endereços separados para serviços separados provavelmente não fará muita diferença. Se alguém (por exemplo, Mallory) estiver interceptando e-mail na rede, provavelmente poderá interceptar qualquer encaminhamento feito por você; portanto, todos os serviços são vulneráveis a ataques se você estiver usando apenas um domínio para todas as contas. Mallory pode simplesmente procurar por e-mails contendo *@example.com no campo Para e assumir que eles estão sendo encaminhados para o endereço oculto. Apenas saber qual o endereço de e-mail de uma determinada conta em um determinado serviço é uma vantagem para Mallory, já que é isso que é autenticado para o serviço e é isso que ela usará para comprometê-lo. Até mesmo criar contas de e-mail fora do seu domínio simplesmente aumenta o número de nós vulneráveis.

Uma maneira de melhorar consideravelmente a segurança é ativar o SSL para todos os protocolos no cliente de email usado para buscar do servidor. Dessa forma, você elimina pelo menos um salto vulnerável, onde Mallory pode interceptar o texto simples dos e-mails. Além disso, ao contrário do que você declarou, é muito provável que serviços confidenciais estejam usando SSL para enviar e-mails via SMTP, ou que você possa habilitar isso de alguma forma.

Isso é o máximo que você pode fazer no final da rede. Se o serviço se recusar a usar SSL-SMTP, provavelmente não será muito seguro. Há muito que você pode fazer para melhorar a segurança no lado local, no entanto. Você deve tomar precauções padrão, como criar um firewall e desabilitar os serviços de rede não utilizados, bem como certificar-se de que todas as suas senhas são strongs (16 caracteres ou mais). O servidor LAMP pode ser reforçado com o Grsecurity ou um sistema semelhante para evitar ataques de estouro de buffer. Criar uma unidade criptografada virtual é um utilitário duvidoso, já que, a menos que você queira que seu email não seja entregue em 90% do tempo, a unidade deve estar desbloqueada para que você a receba. Imagine uma caixa de correio física com um cadeado!

O sistema local presumivelmente sendo usado para recuperar e-mails do servidor usando (SSL-) POP3 também pode ser fortalecido se for Linux. Se você levar a sério a segurança local, a unidade inteira deve ser TrueCrypted (não está realmente aguardando por e-mail o tempo todo) porque os aplicativos perdem uma quantidade inacreditável de dados em todo o sistema em caches e logs, processando um arquivo local criptografado caixa de correio um pouco irrelevante.

Portanto, há um pouco que você pode fazer pela rede, muito que você pode fazer pelo servidor e muito mais que você pode fazer pelo sistema local. Lembre-se de que a parte mais fraca de todo o seu sistema de segurança são as senhas.

    
por 22.09.2013 / 02:54
1

Eu não sou um especialista em segurança, nem um caçador de recompensas, mas esta questão está aberta por 2 dias e sem resposta, eu verei se posso ajudar.

Vamos começar com o básico, a primeira coisa que vem à mente ao proteger uma conta de e-mail é usar gpg . Antes de começar, suponho que o servidor da sua lâmpada esteja seguro e você tenha o ssh e tudo, você só precisa de uma arquitetura para manter seus e-mails seguros. Eu recomendo strongmente usar o outlook de hospedagem gratuita de e-mail se você não souber como proteger o seu servidor da lâmpada é.

Então, essa é minha ideia:

  1. você cria uma conta de e-mail diferente para cada serviço: [email protected], [email protected]

  2. você cria uma conta do Gmail, vamos chamá-lo [email protected], vamos usá-lo depois (você realmente tem que usar o Gmail e não outro serviço).

  3. todos os e-mails que ele recebe serão encaminhados para o gmail que criamos e você definirá um cron job como outras contas de e-mail ([email protected] e outros) para excluir e-mails. Eu acredito que você não precisa de um cron job, ao adicionar [email protected] para contas do Gmail nas configurações, basta desmarcar "deixar uma cópia no servidor"

  4. o que temos até agora é amazon @ example envia para o gmail e a mensagem não é deixada no servidor, é armazenada apenas no gmail. Nesta etapa vamos às configurações do gmail e configuramos para enviar como [email protected], agora ele recebe da conta e envia também. Faça isso para todas as outras contas, queremos enviar e receber do Gmail para todas as outras contas.

  5. O passo 5 é fácil, crie outra conta do Gmail, vamos chamar [email protected]

  6. passo 6, configure o gpg entre [email protected] e [email protected], mas não os conecte, como fizemos no passo 4.

  7. link [email protected] com o thunderbird ou qualquer cliente de e-mail que você goste, conecte o outro gmail também.

  8. Agora todos os e-mails chegam em [email protected], depois de ler os e-mails e responder, criptografar a mensagem usando gpg e enviá-la para a fischer e excluí-la do gmail (esse não é um processo automatizado, porque você não pode criptografar uma mensagem e enviá-lo para a amazon).

  9. agora todas as suas mensagens são criptografadas e armazenadas na caixa de correio do fischer, baixá-las usando o thunderbird ou qualquer outra coisa e criptografar o disco rígido.

Etapas de bônus

Eu insisti em usar o Gmail, porque você pode proteja-o usando sms

Altere as senhas regularmente, se não conseguir se lembrar delas, use lastpass + yubikey

    
por 22.09.2013 / 02:22
1

As violações de segurança que seu pai leu usaram duas vulnerabilidades:

  1. Usando a mesma senha no Gmail e em outros serviços on-line menos seguros, então, depois de ter violado o outro serviço, o hacker também teve acesso ao gmail.
  2. Um ataque de phishing ou DNS conseguiu convencer o alvo a entregar sua senha ou instalar um vírus / trojan em seu computador.

No caso do seu pai, ele tem quatro pontos fracos:

  1. Ele mesmo
  2. Seu servidor da web
  3. Seu ISP (ou ISPs se o seu servidor web usa um diferente)
  4. Os servidores DNS usados por ele e por seu servidor da web

O primeiro ponto pode ser fortalecido usando senhas longas e complexas que são exclusivas para cada conta on-line que ele usa, bem como alterá-los periodicamente (algo como a cada poucos meses). O assunto de senhas seguras tem sido extensivamente tratados na Internet. Seu roteador também deve ser endurecido, por exemplo, não permitindo o console de gerenciamento remoto da Internet.

Seu pai também deve usar um navegador seguro (que não inclui o Internet Explorer) e instale nele várias extensões de segurança, tendo cuidado com o Java. Para o Firefox, consulte As 10 melhores seguranças do Firefox -ons dos quais eu absolutamente Recomende o NoScript (WOT não é tão bom quanto descrito). Um bom pacote anti-vírus também é uma obrigação.

O servidor dele também deve ser protegido quanto a senhas, desinstalando todos os arquivos não essenciais. serviço ou produto que pode escutar ou acessar a Internet e muito mais. Mais uma vez, o assunto do endurecimento de um servidor Linux foi amplamente tratado na Internet.

Para o seu ISP, ele deve estar ciente do fato de que um hacker poderia revelar seu endereço IP e senha de login, embora o dano só será mínimo já que ele não usa o servidor de e-mail do seu ISP.

Se um servidor DNS é invadido, então ao procurar ele pode se deparar com um login página para qualquer site ou até mesmo seu próprio servidor que é uma cópia exata da página real. Sua senha será registrada e o controle passará diretamente para a página real. Ele deve acessar seu servidor usando seu endereço IP e não o nome de domínio que pode redirecioná-lo para outro lugar e, em geral, estar alerta para quaisquer falhas que possam chegar.

Palavra final: A melhor proteção para o seu pai é ser pouco importante, de modo a não atrair a atenção dos verdadeiros hackers. Isso ocorre porque há muitos vetores de ataque e não há como proteger contra o Shopping. No entanto, tendo cuidado, pelo menos, ele pode se proteger contra script-kiddos e o ocasional ataque aleatório.

    
por 22.09.2013 / 10:05

Tags

Como quebrar a conexão do Windows Explorer entre o arquivo HTML e seu diretório? Instale o Windows 7 sem drive de DVD