|||
1、引言
互联网上仍有一半以上的人在使用Email[1],科学网的老师同学使用Email的比例则更高。由于大众使用的Email传输协议(SMTP、POP3、IMAP等)过于陈旧,导致存在诸多安全隐患;但Email的不安全性,并未得到大众的重视。下面说说Email可能存在的安全问题。
2、Email安全风险的类型及防范策略
2.1 Email病毒
Email病毒是早期最为流行的一种破坏行为,一般是Email附件携带病毒,引导用户打开或者利用系统漏洞自动执行。比较知名的Email蠕虫病毒如Melissa、I Love You;当然也有针对性的Email病毒木马,诱导用户执行。
防范策略:由于杀毒软件以及Email客户端的不断完善,目前Email蠕虫病毒已经得到了较好的控制;但Email病毒木马,特别是针对性比较强的木马,任然不好控制——唯一能做的,就是不要随便执行邮件附件中的程序。
2.2 Email诈骗
Email诈骗的种类繁多,和传统诈骗类似,都是提供虚假的信息,通过某些手段来欺骗邮件接受者。最为臭名昭著的,是尼日利亚邮件骗局;有财产继承转移、贸易询盘等诈骗模式。这一邮件骗局历经二十余年,至今不衰;科学网也有博主曾收到这种邮件骗局。
防范策略:和对付其他诈骗一样,不容易,一个系统工程;但可能有一个防骗的核心:不贪、不腐。
2.3 Email伪造
Email伪造指的是,由于邮件发送协议SMTP缺乏验证能力,因此导致任何人可以以任何Email地址给目标发送邮件;比如:
<?php
$to = "target@163.com";
$subject = "Test mail";
$message = "This is a fake email message.";
$from = "billgates@microsoft.com";
$headers = "From: $from";
mail($to,$subject,$message,$headers);
?>
这段脚本让我们以billgates@microsoft.com的名义,给target@163.com发送一封题为“Test mail”的Email。这是一个严重的安全风险,特别是结合2.1与2.2提到的病毒与诈骗,可能引起诸多信息安全问题。但据我所知,目前国内免费Email系统中,只有QQ Mail对此有所关注和改善。
防范策略:即使是专业人士,也不一定能有效的防范Email伪造;普通用户则更难防范。在国内免费邮件提供商中,QQ Mail系统对同为QQ用户的邮件,做了一个验证。
2.4 Email嗅探
Email嗅探指的是,在局域网等可能导致比特流被嗅探的环境中,Email内容泄露的问题。由于Email传输协议(POP3、SMTP等)一般以明文传输,因此一旦攻击者嗅探到邮件发送或者接受的数据,就可以还原为明文邮件——这种危险发生在用户使用邮件客户端(如Foxmail等)的时候。如果用户使用的是Web方式的Email,只要不是HTTPS协议(目前163、QQ等登录可选择HTTPS协议,邮件内容浏览还是HTTP协议),邮件内容有被嗅探的危险。
防范策略:涉及到Email嗅探,信息安全问题已经比较严重,比如局域网被渗透、Email被监视等。比较简单的应对是采用pgp等加密的方式传输邮件;使用Web Email登录时,尽量选择安全的登录方式(HTTPS协议)——数据加密是最后一道防线。
3、结束语
《互联网上无隐私》,只要使用网络,就很难有绝对的信息安全;因此还是需要提高信息安全意识,时时注意机密信息的处理方式,不要过分依赖电脑以及互联网。
下篇博文将整理下个人数据安全相关的资料:内容可能包括数据的加密、隐藏、恢复与删除等,欢迎有空关注我的博客(http://blog.sciencenet.cn/u/outcrop),或者加入QQ群:72575661交流。
[1]CNNIC第28次中国互联网络发展状况统计报告,2011年7月。
全文PDF下载:不安全的Email.pdf (WPS个人版生成)
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-5-22 06:23
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社