इस रहस्योद्घाटन से कि अमेरिकी खुफिया एजेंसियां और जीसीएचक्यू ईमेल संचार पर जासूसी कर रही हैं, सूचना सुरक्षा समुदाय के भीतर काफी चर्चा हुई है, जैसा कि आप उम्मीद कर सकते हैं।
सबसे दिलचस्प बहसों में से एक हमारे अपने रियल वर्ल्ड कंप्यूटिंग संपादक डिक पाउंटेन और के बीच हुई उसका एक पुराना दोस्त, जो अपराध विज्ञान का प्रोफेसर है और वर्तमान में साइबर अपराध में शामिल है अध्ययन। एक चुटकी से अधिक, प्रोफेसर ने सोचा कि क्या एडवर्ड स्नोडेन द्वारा हाइलाइट किए गए प्रकार की इंटरनेट जासूसी हो सकती है थ्रोअवे वेबमेल खातों को नियोजित करके, विशेष रूप से "सेव एज़ ड्राफ्ट" सुविधा का उपयोग करके इसे विफल किया गया प्रस्ताव।
आप अपना डेटा पेस्टबिन पर पोस्ट करते हैं और केवल पासवर्ड के साथ प्रतिबंधित पहुंच की अनुमति देते हैं
यह सिद्धांत है: या तो यूके में क्रिमिनल ए या यूएस में क्रिमिनल बी एक जीमेल खाता स्थापित करता है, जिस तक दोनों की पहुंच एक ही लॉगिन के माध्यम से होती है। क्रिमिनल ए एक संदेश बनाता है जिसमें प्रस्तावित अपराध का नापाक विवरण होता है, जो कि क्रिमिनल बी की नज़र में होता है, लेकिन सेंड को हिट करने के बजाय, वह इसे ड्राफ्ट के रूप में सहेजता है। भविष्य में किसी पूर्व निर्धारित समय पर, क्रिमिनल बी उसी खाते में लॉग इन करता है और सीधे ड्राफ्ट फ़ोल्डर में जाता है, जहां वह संदेश पढ़ता है। फिर वह संदेश के किसी भी सबूत को हटाते हुए ड्राफ्ट को हटा देता है।
इस प्रकार, दोनों अपराधी सादे पाठ में सुरक्षित और गोपनीय रूप से संवाद करने में सक्षम हैं, क्योंकि उनके संदेश वास्तव में खुले इंटरनेट पर सामान्य ईमेल प्रोटोकॉल का उपयोग करके कभी नहीं भेजे जाते हैं। इसलिए, वे निगरानी एजेंटों के लिए अदृश्य रहते हैं।
क्या यह युक्ति वास्तव में व्यवहार में काम करेगी? ऐसा लगता है कि यह काफी सुरक्षित है - जब तक कि आप पर पहले से ही द पॉवर्स द्वारा सीधे नजर नहीं रखी जा रही हो कि हो। सीआईए के पूर्व महानिदेशक डेविड पेट्रियस और उनके "गुप्त" विवाहेतर संबंध का मामला लीजिए मामला।
यह व्यापक रूप से रिपोर्ट किया गया है कि एफबीआई ने पेट्रियस और उसकी प्रेमिका, पाउला ब्रॉडवेल द्वारा संचार पथ छोड़ने से बचने के लिए जीमेल ड्राफ्ट का उपयोग करके आदान-प्रदान किए गए संदेशों का खुलासा किया। हालाँकि दोनों पार्टियों ने झूठे नामों के तहत डिस्पोजेबल जीमेल खातों का इस्तेमाल किया, लेकिन खेल तब बिगड़ गया जब ब्रॉडवेल ने अपने खाते का इस्तेमाल पेट्रियस की सोशलाइट और पारिवारिक मित्र जिल केली को "गुमनाम" ईमेल करने के लिए किया।
केली ने शिकायत की कि उसे परेशान किया जा रहा है, और उसने अपने ईमेल एफबीआई को सौंप दिए, जिसने अमेरिकी कानूनों का इस्तेमाल किया - कानूनों के समान यूके - उन संचारों की जांच से संबंधित है जो किसी अपराध को अंजाम देने में शामिल हो सकते हैं खाता।
चूंकि ब्रॉडवेल ने अपने ट्रैक को कवर करने के लिए टोर जैसे प्रॉक्सी सर्वर का उपयोग नहीं किया था, वह केवल सार्वजनिक वाई-फाई हॉटस्पॉट का उपयोग कर रही थी, वह आसानी से होटल के मेहमानों के नाम और व्यक्तिगत गतिविधियों के साथ स्थानों, तिथियों और समय का मिलान करके अज्ञात खाताधारक के रूप में पहचान की गई।
मैंने जीमेल ड्राफ्ट तकनीक के बारे में यूके नेशनल हाई-टेक क्राइम यूनिट के पूर्व वरिष्ठ अन्वेषक एंडी क्रॉकर से बात की। शायद आश्चर्यजनक रूप से, उन्होंने स्वयं इस प्रकार के "डेड-लेटर ड्रॉपबॉक्स" का उपयोग करना स्वीकार किया। हालाँकि, उन्होंने चेतावनी दी कि ईमेल कभी नहीं भेजे जाने और स्पष्ट रूप से कोई रिकॉर्ड नहीं छोड़ने के बावजूद, "अधिकारियों को देखने के लिए सब कुछ मौजूद है"।
"यदि किसी व्यक्ति पर निगरानी रखी जा रही थी, तो वे उसके खाते की निगरानी कर रहे होंगे, और डेटा [अभी भी] वहां होगा और [देखा जा सकता है]," वे कहते हैं।
क्रॉकर ने बताया कि, ऐसे मामलों में, पारगमन में ईमेल को रोकने की कोई आवश्यकता नहीं होगी खाते की स्वयं निगरानी की जाएगी, और इसलिए ड्राफ्ट फ़ोल्डर ऐसा करने वाले लोगों को दिखाई देगा निगरानी. संक्षेप में, पहली बार में निगरानी को आकर्षित करने से बचने के लिए तरकीब काम कर सकती है, लेकिन निगरानी शुरू होने के बाद यह विफल हो जाएगी।
भेजें दबाएँ नहीं
पेट्रायस मामले में, ब्रॉडवेल को इसलिए पकड़ा गया क्योंकि उसने वास्तव में एक ईमेल भेजकर चाल तोड़ दी थी। इसके परिणामस्वरूप एफबीआई को खाते की निगरानी करनी पड़ी, जिससे ड्राफ्ट फ़ोल्डर में संदेशों की स्थिति अप्रासंगिक हो गई: Google के पास अपने सर्वर पर उनका रिकॉर्ड होगा, जहां उन्हें एक निर्धारित अवधि के लिए संग्रहीत किया जाएगा, और उचित वारंट या अदालत के साथ प्रस्तुत किए जाने पर एफबीआई की पसंद को विवरण सौंपने में कोई दिक्कत नहीं होगी। आदेश.
यहां तक कि इस विशेष जांच को शुरू करने वाले परेशान करने वाले ईमेल को अस्पष्ट करने के प्रयास में "मेरा आईपी छुपाएं" प्रकार की वीपीएन सेवा का उपयोग करना भी संभव होगा। थोड़ा अंतर: इनमें से कई को आईपी लॉग रखने की आवश्यकता होती है, जो जांचकर्ताओं के लिए भी पहुंच योग्य होगा और इसकी उत्पत्ति का खुलासा करेगा कनेक्शन.
पेट्रियस घोटाले से सीखने योग्य सबक यह है: यदि सीआईए के निदेशक अपने "गुप्त संचार" को खुलेआम तोड़ सकते हैं, तो एक सेकंड के लिए भी कल्पना न करें कि आपका भी नहीं हो सकता।
निगरानी से बचने के ऐसे ही तरीके उपलब्ध हैं, लेकिन ये कितने सुरक्षित हैं? पास्टबिन, प्रोग्रामिंग स्क्रैपबुक-कम-नोटपैड सेवा जो लोगों को कोड साझा करने देती है, का उपयोग जीमेल ड्राफ्ट तकनीक की तरह ही स्नूपर्स से बचने के लिए भी किया जा सकता है। क्रोकर बताते हैं, "आप अपना डेटा पेस्टबिन पर पोस्ट करते हैं और केवल पासवर्ड के साथ प्रतिबंधित पहुंच की अनुमति देते हैं।" "यह बिल्कुल जीमेल ड्राफ्ट के समान ही काम करता है, लेकिन क्योंकि यह ईमेल नहीं है, अगर वे सिर्फ ईमेल संचार की तलाश में हैं तो अधिकारियों से यह छूट सकता है।"
एक अन्य आईटी सुरक्षा विशेषज्ञ सैम गोल्डन ने ड्रग डीलरों द्वारा उपयोग किए जाने वाले डिस्पोजेबल "बर्नर" फोन के एक ईमेल संस्करण का सुझाव दिया है, जिसमें ईमेल खातों का उपयोग केवल एक बार किया जाता है और फिर छोड़ दिया जाता है।
विचार यह है कि आप प्राप्तकर्ता को एन्क्रिप्टेड संदेश के कुछ हिस्सों को समान रूप से असंख्य और डिस्पोजेबल मेलबॉक्स के माध्यम से भेजने के लिए कई डिस्पोजेबल ईमेल खातों का उपयोग कर सकते हैं। फिर पूरे संदेश को एक साथ जोड़कर ऑफ़लाइन और डिक्रिप्ट किया जा सकता है, जिसके बाद इसे टुकड़े-टुकड़े कर दिया जाएगा इरेज़र जैसे एप्लिकेशन का उपयोग करना, जो सुरक्षित रूप से प्राप्त करने के लिए 35-पास गुटमैन विधि लागू करता है हटाना.
