Názory k článku Slovenský GOVNET: jak je to v něm s bezpečností emailu?

Dakujem za tuto analyzu.
Toto je velmi nelichootiva vizitka statnych IT spravcov a IT dodavatelov. Beru za to statisice €€ rocne a ani take elementarne veci ako SPF/DKIM nemaju funkcne. Nerobim si iluzie o statnom IT, ale ze to je az taketo zle ma sokuje.

Kedze nevieme o ake krabicky sa jednalo a pre koho boli urcene je tato analyza uzitocna ako mentalne cvicenie ale mozno to boli rovno remote konzoly pre ludi co tam maju hesla priamo do systemov takze zaoberat sa 'tymto' je smiesne pokial neviete detailne o co tam ide.

Tahle analýza ukazuje, že ty systémy mají v každém případě mnoho mezer. Vychází z toho, co je běžně vidět z venčí a může to vidět i útočník.

Těžko lze analyzovat něco, o čem nemáme informace. Ale už tenhle pohled zvenčí je zajímavý, protože ledacos napovídá o stavu uvnitř.

Súhlas. Výsledok je že by to odpočúvanie e-mailov zvonku do Govnetu fungovalo aj bez tých krabičiek.

nebudem komentovať= je taká katastrofa, že by som musel použiť pejoratíva

Text v článku pripúšťal

1. Certifikát od obskúrnej autority = veľký problém

2. Self signed certifikát = extrémne veľký problém

A do mŕtvoly dá nesluší kopať. Takže článok je Len miernejší.

v statnom IT sa nam tu rozmohol taky nesvar - selfsigned certifikaty. A je jedno ci je to selfsigned statnou organizaciou alebo lokalnou statom certifikovanou certifikacnou autoritou.

Ty „lokální státem certifikované“ certifikační autority jsou certifikované v rámci celé EU. Znáte něco důvěryhodnějšího než tyto autority?

Hmmm... tady proběhlo několik diskusí o skutečnosti, že nastavit a provozovat eMail není úplná legrace. A opravdu si nemyslím, že nějaká servisní organizace ve státní správě je schopna motivovat člověka, který umí nejenom technologie, ale i přesvědčit např. že cca 50 USD za certifikát na rok je rozumná investice...

No momentálny stav je taký, že síce stále nevieme ako to presne bolo, ale podľa priebehu tlačovej konferencie nášho nepodareného premiéra a pani Remišovej ako hlavnej odborníčky na informatizáciu to vyzerá, že to vôbec nebolo tak, ako to prezentovali na začiatku. Nič nové u nás na Slovensku.
Odporúčam pozrieť a myslím, že táto diskusia bude veľmi stručná.

Prosim jak souvisi SPF/DKIM/DMARC s odposlouchavanim emailu? Doted jsem byl v domeni, ze tyto technologie jsou urceny proti podvrhnuti adresy odesilatele, ale nijak neomezuji odposlech... Nebo jsem nekde neco prehledl?

Z meho pohledu, pokud ma byt email duverny (a tedy bezpecnejsi nez pohlednice), je nutnosti end-to-end sifrovani, tedy PGP nebo S/MIME. Bez nej nemate jistotu kdy a kam to poleti v plaintextu. Notabene u vladnich instituci, kde je zadouci aby to nemohl cist ani admin.

Jak sami pisete - uvnitr firmy to jeste muzete mit pod kontrolou (TLS), ale jakmile jde ten mail ven tak je konecna. Oportunisiticke TLS na SMTP, bez overeni duveryhodnosti certifikatu na druhe strane je prakticky vsude, s fallbackem do plaintextu kdyz se neco nepovede...

Nepřehlédl jste nic. Berte to jako oslí můstek, jak přejít od aktuálního tématu (možné odposlouchávání v GOVNETu) k SPF/DKIM/DMARC. Obojí to to souvisí s e-maily a pro obojí se používá slovo bezpečnost. Případně to můžete brát jako: „Mluvilo se o bezpečnosti e-mailů v GOVNETu. Tu z venku nemůžeme snadno posoudit, ale podívejme se alespoň na jiný aspekt bezpečnosti – SPF, DKIM a DMARC.“