Недавно компания Google представила новый дизайн Gmail. При желании каждый пользователь может перейти на него, а скоро всех пользователей G Suite переведут принудительно.
В этом дизайне реализовано несколько новых функций безопасности, в том числе так называемый конфиденциальный режим. Здесь отправитель устанавливает срок действия письма, после которого оно «исчезает». По крайней мере, так должно работать. На самом деле есть несколько способов обойти эту защиту, сохранить полученное сообщение, скопировать или распечатать.
Создание конфиденциального письма Gmail: указывается дата исчезновения письма и активация кода из SMS, который нужно ввести для получения доступа к нему
Компания Google называет эту систему Information Rights Management — этот термин более десяти лет назад изобрела компания Microsoft для похожей функции в Microsoft Office. В реальности это своеобразный аналог DRM, только для электронной почты.
Специалисты из Фонда электронных рубежей видят несколько проблем в том, что как реализован режим конфиденциальности Gmail.
Несерьёзная защита
Во-первых, это простые методы обхода данной «защиты». Очевидно, что можно сделать скриншот полученного письма. Можно просто сохранить его в исходном виде. Хотя в Gmail нет кнопки «Сохранить» или «Скачать письмо», но в браузере такая кнопка есть и она нормально работает на конфиденциальных письмах.
Во-вторых, письмо на самом деле не удаляется полностью — оно продолжает храниться в папке «Отправленные» у отправителя, то есть на серверах Google. Даже если и отправитель, и получатель нажали кнопки «Удалить навсегда» и очистили корзины, письма всё равно продолжают храниться на серверах Google до 60 дней.
Наконец, Google запрещает распечатывать конфиденциальные письма из веб-интерфейса. Но такая защита реализована с помощью CSS-правил
@media print
, которые скрывают основной контент во время печати. Снять запрет на печать очень легко. Например, в браузере Firefox открываем редактор стилей (Style Editor) в веб-консоли — и удаляем ненужные правила. Как вариант, можно просто нажать слева значок в форме глаза — и отключить все стили CSS на странице. В других браузерах со встроенными инструментами разработчика тоже можно найти @media print
в коде, закомментировать его или удалить. Но в Firefox это делается, пожалуй, проще всего.Вообще, правила
@media print
реализованы в стандарте для того, чтобы помочь пользователю напечатать страницу без лишнего «мусора». То есть Google использует это правило не по назначению и злоупотребляет им, считают специалисты.Google также применила несколько трюков для блокировки копипаста, но их тоже можно обойти.
Во-первых, этой CSS свойство
user-select
, которое не даёт выделить текст. Оно дезактивируется из того же редактора стилей в Firefox: достаточно просто отключить все стили или написать своё правило, которое возвращает нормальное поведение (auto) при выделении текста.Во-вторых, Google внедрила JavaScript, который блокирует контекстное меню, позволяющее скопировать текст. Данное ограничение в Firefox снимается в конфигурации
about:config
, где настройку dom.event.contextmenu.enabled
следует перевести в состояние false
(false значит, что JavaScript не имеет возможности блокировать контекстное меню).Иллюзия безопасности
Можно предположить, что даже такая ненадёжная защита писем лучше, чем вообще никакой. К сожалению, это не так. Эксперты по информационной безопасности неоднократно предупреждали, что а таких условиях у пользователей возникает иллюзия безопасности. Из-за этого они более беспечно относятся к передаче конфиденциальной информации, излишне полагаясь на безопасность и приватность писем Gmail. Другими словами, такая защита может даже ухудшить реальную защиту информации и увеличить число утечек конфиденциальных документов.
«Если деньги, если рынок определяет меры безопасности и если люди принимают решения основываясь на чувстве защищённости, то самое умное, что может сделать компания, исходя из экономических соображений, — это дать людям чувство защищённости. И всегда есть два способа этого добиться. Первый — можно реально защитить людей и надеяться, что они обратят внимание. Или второй — можно создать чувство защищённости и надеяться, что они не обратят внимания», — так говорил Брюс Шнайер в своей лекции TED, которая называется «Иллюзия безопасности».
DRM в почте
Специалисты Фонда электронных рубежей (EFF) обращают внимание, что в конфиденциальном режиме не применяется шифрование end-to-end, то есть письмо по-прежнему проходит в открытом виде через серверы Google, и компания имеет техническую возможность хранить копии писем неограниченное время, независимо от установленной «даты удаления».
Кроме того, для активации защиты SMS-кодом отправитель должен раскрыть Google номер мобильного телефона получателя письма — потенциально без согласия получателя.
По мнению EFF, реализованная в Gmail система IRM (DRM) полагается не на технологии, а на закон Digital Millennium Copyright Act (DMCA) 1998 года, который прямо запрещает сторонним лицам обходить эту защиту. За первое подобное нарушение грозит до пяти лет тюремного заключения и штраф до $500 тыс. Теоретически, отключение защиты в редакторе стилей веб-консоли Firefox тоже можно считать нарушением DMCA. Опять же, теоретически, Google имеет право надавить на разработчиков Firefox, чтобы они дезактивировали эту функцию для Gmail, и начать преследование разработчиков сторонних расширений, которые попытаются вернуть в Firefox данную функциональность.
«Мы считаем, что продукты для информационной безопасности не должны полагаться на суды для обеспечения своих предполагаемых гарантий, а должны полагаться на такие технологии, как сквозное шифрование, которые обеспечивают фактические математические гарантии конфиденциальности, — сказано в заявлении EFF. — Мы считаем, что использование термина „конфиденциальный режим” для функции, которая не обеспечивает конфиденциальность, как этот термин понимается в ИБ, вводит в заблуждение».
EFF считает, что в незашифрованной почте не может быть никакой конфиденциальности, это касается и «конфиденциального режима» Gmail. Может быть, эта функция имеет смысл в узкой корпоративной среде, но для большинства пользователей в ней нет гарантий приватности и необходимых функций, присущих защищённым коммуникациям. В первую очередь, отсутствует надёжное end-to-end шифрование почты с цифровой подписью.