Um provedor de e-mail tem acesso às mensagens trocadas por seus usuários?

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Tira-dúvidas explica medidas de segurança aplicadas para a proteção do sigilo das mensagens de e-mail.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====

Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
26/11/2020 07h00 Atualizado há 11 horas
Postado em 26 de novembro de 2020 às 18h05m

  *.- Post.N. -\- 3.889 -.*  

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Nem toda criptografia impede um provedor de serviços de ter acesso às comunicações, mas políticas de privacidade não permitem que suas conversas sejam 'bisbilhotadas' por qualquer pessoa. — Foto: Albarus/Pixabay

Adorei as matérias de vocês sobre segurança digital. Então me surgiu uma dúvida. Os provedores de e-mail podem ler nossos e-mails pessoais ou são criptografados? – Joseph

Sua pergunta é curiosa, Joseph, porque você elencou duas possibilidades: o provedor ter acesso ao e-mail ou ele ser criptografado.

Mas a criptografia não impede por si só que o provedor de serviço tenha acesso aos dados. Isso vai depender de como a criptografia é usada.

Seria incorreto dizer que os e-mails não são criptografados. Hoje em dia, muitas mensagens são criptografadas durante a transmissão de um provedor para outro.

Dessa forma, um hacker não poderá interceptar os e-mails apenas invadindo a estrutura de rede desses provedores ou de intermediários da conexão.

Também é muito provável que os provedores de e-mail utilizem criptografia de armazenamento.

Essa criptografia serve para proteger o banco de dados caso os servidores sofram uma violação da integridade física – por exemplo, caso um disco rígido apresente defeito e precise ser substituído, a criptografia de armazenamento garante que nada fique exposto nos dados ainda legíveis do disco defeituoso.

Mesmo com esses mecanismos de proteção, a maioria dos provedores de e-mail possui acesso às suas mensagens.

Porém, não se assuste: funcionários do provedor não possuem permissão para bisbilhotar suas conversas.

Por regra, seus e-mails só serão revelados a terceiros caso haja uma ordem judicial para isso.

O acesso dos provedores é também uma necessidade técnica para alguns dos recursos que eles oferecem.

Comparando o e-mail com o WhatsApp – que utiliza criptografia de ponta a ponta para esconder as mensagens de todos os intermediários, inclusive do prestador de serviço –, é possível algumas diferenças importantes:

• Você pode acessar seu e-mail via web ou em vários dispositivos, sem precisar autorizá-los em um dispositivo principal (no WhatsApp, isso precisa ser feito na configuração do WhatsApp Web);
• Os serviços de e-mail possuem filtros de spam, que analisam o conteúdo das mensagens e identificam o que pode ser malicioso. O WhatsApp não possui esse tipo de filtro e, mesmo que tivesse, ele teria de ser construído no próprio dispositivo da pessoa, o que reduziria sua eficácia;
• Caso você perca sua senha do e-mail, você pode redefini-la e continuar tendo acesso às suas mensagens antigas. No WhatsApp, se você mesmo não realizar o backup das suas conversas, tudo será perdido quando você trocar de celular ou tiver de redefinir seu aparelho, e é impossível acessar uma conta sem acesso à linha (por regra, soluções criptográficas completas não permitem que você redefina sua senha em caso de esquecimento).

Para que um provedor de serviços (seja e-mail ou armazenamento em nuvem) não tenha acesso aos dados, é preciso que toda a decifragem seja realizada diretamente no seu dispositivo e que a senha de acesso não esteja totalmente vinculada à chave de decifragem.

Do contrário, o provedor ainda poderá calcular a chave de decifragem registrando sua senha no momento do login.

Como é o envio de e-mails criptografados

Existe uma tecnologia bastante difundida para o envio de mensagens criptografadas, caso você precise: o PGP.

O GPG (GNU Privacy Guard) é o software de código aberto mais popular entre os compatíveis com essa modalidade de comunicação.

Ele é distribuído gratuitamente, o que vai ajudar bastante, porque o destinatário da mensagem também terá de instalar e usar um software de decifragem.

A extensão de navegador Mailvelope permite utilizar funções criptográficas nos próprios serviços de webmail. O leitor de e-mails gratuito Thunderbird também possui a extensão Enigmail para a mesma finalidade. Ambos podem funcionar usando o GPG "nos bastidores".

Geração de chaves no Mailvelope exige apenas nome, e-mail e senha. — Foto: Reprodução

Para estabelecer uma comunicação criptografada por e-mail, são necessários os seguintes passos:

1. Você precisa gerar um par de chaves criptográficas (chave privada e pública);
2. Você precisa receber a chave pública do destinatário (após ele gerar o par de chaves próprio) e enviar a sua chave pública para ele;
3. Você precisa configurar o software para utilizar suas chaves e adicionar a chave pública do destinatário;

Ao enviar a mensagem, você poderá criptografá-la com a chave pública do destinatário, que é atrelada ao endereço de e-mail dele. Após o envio, a mensagem ficará criptografada e apenas o destinatário poderá abri-la.

Esse processo não é simples, mas a comunicação criptografada em e-mail é largamente utilizada para a transmissão de informações sensíveis (seja para evitar represálias políticas em países autoritários ou resguardar detalhes técnicos de falhas de segurança).

E-mail criptografado precisa ser redigido em janela segura e separada para evitar que o provedor de e-mail salve a mensagem como rascunho, sem criptografia. Destinatário só poderá ser escolhido entre as chaves publicadas cadastradas. — Foto: Reprodução

Lembre-se que, se você perder a senha da sua chave privada, você não poderá mais decifrar as mensagens que receber.

Inclusive, você não poderá nem mesmo decifrar a mensagem após ela ter sido enviada ao destinatário – se você precisar consultar a mensagem enviada, terá de salvá-la em separado.

Para a maioria das pessoas, as proteções normais do e-mail, a conveniência do acesso na nuvem, a possibilidade de trocar de senha e a criptografia de transmissão e armazenamento dos provedores são suficientes para resguardar o sigilo das comunicações.

As principais causas de violação do sigilo do e-mail não têm relação com o provedor, mas sim com programas de espionagem instalados no dispositivo das vítimas – uma situação que a criptografia não resolve, pois o programa espião também poderá ver o conteúdo após a decifragem – e o acesso indevido após a obtenção da senha (seja por programa de espionagem ou enganando usuários com sites falsos).

Por essa razão, a autenticação multifatorial é sua principal defesa contra a violação do e-mail. Não faz qualquer sentido criptografar suas mensagens antes de adotar essa tecnologia e cuidar bem da segurança do seu dispositivo.

Dúvidas sobre segurança digital? Envie um e-mail para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

Índia proíbe mais 43 aplicativos chineses App de comércio eletrônico Aliexpress está entre os banidos.

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Total de restrições chega a 220, incluindo TikTok, WeChat e PUGB.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====
Por G1  
26/11/2020 13h58 Atualizado há 2 horas
Postado em 28 de novembro de 2020 às 16h00m

  *.- Post.N. -\- 3.888 -.*  


Aplicativos serão removidos das lojas de iPhone e Android — Foto: Altieres Rohr/G1

A Índia proibiu na última terça-feira (24) mais 43 aplicativos chineses, alegando preocupações com a segurança digital e com a soberania do país.

Essa é a terceira leva de apps desenvolvidos por empresas da China que são banidos no país, elevando o total para 220 proibições.

Na decisão dessa semana foram restritos aplicativos da empresa Alibaba, dona do comércio eletrônico Aliexpress.

Serviços que vinham ganhando popularidade na Índia como uma rede social de vídeos curtos chamada Snack Video, desenvolvido pela gigante chinesa Tencent, e um aplicativo de compras chamado Taobao Live também foram banidos.

A embaixada chinesa na Índia disse na última quarta-feira que se opõe às proibições, de acordo com a agência de notícias Reuters.

Em outras ocasiões os apps TikTok, WeChat e Baidu, e o popular jogo PUBG, tinham sido proibidos.

As restrições impostas pelas autoridades indianas começaram depois de um conflito na fronteira entre os dois países em junho, no qual 20 militares da Índia morreram.

• China x Índia: o que é a Linha de Controle Real, pela qual as duas potências asiáticas brigam há décadas

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------