ProtonMail

Продукт
Разработчики: Proton Technologies AG
Дата премьеры системы: 2013/06/12
Дата последнего релиза: 2020/01/29
Отрасли: Интернет-сервисы
Технологии: SaaS - Программное обеспечение как услуга,  ИБ - Средства шифрования,  Офисные приложения,  Почтовый сервер

Содержание

ProtonMail - сервис электронной почты, защищенный шифрованием.

Скриншот страницы сервиса, (2017)

Сообщения, отправляемые между пользователями ProtonMail, автоматически шифруются. Письма, отправленные с ProtonMail на другие почтовые сервисы, шифруются по желанию отправителя. При кодировке применяются открытые технологии AES, RSA и OpenPGP, а также пароль, который должны знать и отправитель, и получатель письма.

Почта использует дополнительный пароль, при утрате которого все содержимое ящика уничтожается. При отправке сообщения пользователь может установить для него таймер самоуничтожения – минимум один час, максимум четыре недели.

За столь продвинутые меры безопасности ProtonMail прозвали «почтой для параноиков».

2021: ProtonMail раскрыл IP-адреса ряда своих французских пользователей

ProtonMail раскрыл IP-адреса ряда своих французских пользователей, связанных с «зеленым» движением Youth for Climate. Об этом стало известно 6 сентября 2021 года. Данные были предоставлены по запросу властей Франции, после чего эти пользователи оказались под арестом. При этом ранее разработчики утверждали, что ProtonMail не ведет сбор IP-адресов.

ProtonMail принадлежит компании Proton Technologies, главный офис и серверы находятся в Швейцарии.

Выдать персональные данные некоторых своих пользователей создатели ProtonMail были вынуждены под давлением властей Швейцарии. Они предоставили информацию о нескольких активистах «зеленого» движения Youth for Climate, которое борется с изменениями климата, в том числе с глобальным потеплением. Подробной информации об этой организации в открытых источниках исчезающее мало.Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser 250 т

Как пишет SlashGear, этим активистам было поручено организовать во Франции некие «климатические лагеря» (climate camp) в 2020 и 2021 гг. По неизвестным причинам деятельность этих людей привлекла внимание властей Франции. Они инициировали расследование, в ходе которого выяснилось, что члены Youth for Climate пользовались ProtonMail для общения между собой и координации своих действий.

После выявления факта использования ProtonMail активистами движения французские власти направили официальный запрос на предоставление им персональных данных этих людей непосредственно властям Швейцарии. Те со своей стороны приказали Proton Technologies раскрыть французской стороне их IP-адреса.

Известно, что по итогу всех мероприятий пользовавшиеся «почтой для параноиков» участники Youth for Climate оказались под арестом. Данных о том, что именно послужило поводом для их задержания, и насколько высоки их шансы оказаться в тюрьме, на момент публикации материала не было.

Ситуация вокруг ProtonMail связана с внутренними законами Швейцарии, повышающими уровень контроля властей над различными организациями, базирующимися на территории страны. Кроме того, Швейцарии нередко приходится вести дела с другими суверенными странами. И, хотя швейцарские суды зачастую стремятся отклонить запросы иностранных правительств о выдаче персональных данных, случившееся с ProtonMail является одним из таких случаев, когда они согласились с требованиями Европола.

Энди Йен, глава ProtonMail заявил, что его сервис в действительности регистрирует IP-адреса пользователей, но не всех, а лишь «некоторых». Какие пользователи относятся к категории «некоторых», Энди Йен уточнять не стал. Он добавил лишь, что сбор этих данных ведется по требованию властей Швейцарии, не сообщив, когда все началось, и сколько IP-адресов за это время накопилось в базе.

Пользователи, высказавшие свое недовольство в адрес ProtonMail, отметили, что в условиях пользования сервисом не сказано, какие данные он собирает о них. Источник отметил, что у ProtonMail есть возможность получения дополнительных функций в обмен на несколько долларов в месяц – от $4 (292 руб. по курсу ЦБ на 6 сентября 2021 г.) и до $24 (1750 руб.). Другими словами, у сервиса есть платная подписка, но даже тем пользователям, кто платит ему деньги, ProtonMail не разъясняет мельчайшие детали условий конфиденциальности.

Если ProtonMail начал передавать властям данные своих французских пользователей, то не исключено, что в той же ситуации могут оказаться и россияне. Более того, подобный прецедент уже создан[1].

2020: Блокировка почтового сервиса на территории России

29 января 2020 года стало известно о том, что Роскомнадзор начал блокировать защищенный почтовый сервис ProtonMail на территории России. Решение о блокировке приняла Генеральная прокуратура России, сказано на сайте ведомства, на основании статьи 15.3 закона «Об информации».

ProtonMail

Как сообщалось, домены www.protonmail.com и protonmail.com, по информации реестра запрещенных сайтов, заблокированы по домену и по URL. Блокировке также подверглись 33 IP-адреса из подсети 185.70.40.0/24, содержащей 256 адресов, а вместе с ними – и вся эта подсеть по одному адресу. Дополнительно заблокированы IP-адреса 37.35.106.36 и 37.35.106.40, записанные как доверенные адреса для отправки почты.

Поводом для блокировки стало использование ProtonMail злоумышленниками для рассылки ложных сообщений о массовых минированиях объектов на территории России в 2019 и 2020 гг. При этом, утверждает Роскомнадзор, сервис неоднократно «категорически отказывался» предоставлять регулятору сведения, необходимые для включения его в реестр организаторов распространения информации (ОРИ) в интернете. В дополнение к этому ProtonMail не стал раскрывать информацию о владельцах почтовых адресов, с которых осуществлялась рассылка сообщений с угрозами.

Сервис ProtonMail, по данным Федеральной службы безопасности (ФСБ) России, использовался злоумышленниками для рассылки сообщений об угрозах взрывов с 24 января 2020 г. До этого они эксплуатировали сервис StartMail, заблокированный в России с 23 января 2020 г.

Письма с информацией о минировании поступили на электронные почтовые ящики судов в четырех субъектах России. В них говорилось о заложенных бомбах в общей сложности в 830 объектах – больницах, транспорте, торговых центрах, детсадах, школах и т.д. По информации ФСБ, все угрозы носили ложный характер.

Как сообщили в ведомстве, злоумышленники использовали ProtonMail для аналогичных целей и в 2019 г. В их рассылках говорилось об угрозах теракта в аналогичных объектах социально-транспортной инфраструктуры.

Блокировка ProtonMail в январе 2020 г. стала второй по счету за последние 12 месяцев. В первый раз это произошло в марте 2019 г. – ФСБ заблокировала доступ к этой почте по той же причине, за распространение ложных сообщений о минировании общественных объектов. Дополнительной причиной была названа необходимость обеспечения безопасности Зимней универсиады, проходившей на 2019 г. в Краснодаре.[2]

2019

ProtonMail обвинили в слежке за пользователями и помощи правоохранительным органам

В середине мая с докладом на конференции по безопасности выступал руководитель швейцарского Центра по вопросам киберпреступности, прокурор Стефан Уолдер (Stephan Walder). Его выступление в реальном времени транслировал в Twitter[3] швейцарский адвокат Мартин Штайгер (Martin Steiger)[4].

Согласно твитам Штайгера, во время выступления Уолдер прямо заявил о том, что компания ProtonMail добровольно предлагает свою помощь властям и добровольно следит за своими пользователями едва ли не в реальном времени, не требуя при этом ордер из федерального суда. В итоге Штайгер опубликовал пост[5] в своем блоге, где детально рассказал о том, как именно должны действовать ИТ-компании (в соответствии со швейцарским законодательством) в вопросах сотрудничества с органами власти.

И хотя ProtonMail – это защищенный сервис со сквозным шифрованием и фактическое содержание электронных писем клиентов администрация знать не может, разработчики все же имеют доступ к метаданным. Ссылаясь на практику Агентства национальной безопасности США, Штайгер отметил, что метаданные тоже могут быть крайне ценны для правоохранительных органов и спецслужб.

Штайгер подчеркивает, что ProtonMail базируется в Швейцарии и использует это в качестве маркетингового преимущества, ссылаясь на строгие швейцарские законы о конфиденциальности. Но фактически при этом сервис подчиняется местным законам, а по словам Уолдера, якобы и вовсе добровольно помогает правоохранительным органам.

Выпуск криптографической библиотеки GopenPGP

16 мая 2019 года стало известно, что разработчики защищенной почты ProtonMail объявили о выпуске криптографической библиотеки GopenPGP[6].

GopenPGP

Ранее ProtonMail взяли на себя поддержку популярной библиотеки шифрования электронной почты на базе JavaScript OpenPGP.js; компания привнесла много интересного в проект, а также обеспечила проведение независимого аудита безопасности библиотеки.

GopenPGP представляет собой очередной проект ProtonMail: комбинацию высокоуровневой библиотеки OpenPGP и форка криптографической библиотеки golang с поддержкой эллиптической криптографии.

«
Мы запустили этот проект, чтобы упростить задачу разработчикам мобильных и декстопных приложений, желающих использовать OpenPGP в своих приложениях, - указывается в сообщении ProtonMail.
»

Библиотека уже используется в собственных мобильных приложениях ProtonMail под iOS и Android, а также в нескольких их платных решениях (Bridge, Import-Export).

Кроме того, GopenPGP открывает дорогу к открытию исходников мобильных и десктоп-приложений ProtonMail. Исходники веб-приложения были опубликованы еще в 2015 году.

Аудитом безопасности GopenPGP занималась компания SEC Consult. Аудит прокомментировал Олег Галушкин:

«
Задачей экспертов было удостовериться, что библиотека шифрования лишена уязвимостей, которые позволили бы скомпрометировать защищенную переписку. GopenPGP предназначается для мобильных приложений и не предполагает использования сложных и ресурсоемких инструментов шифрования. Тем важнее было, чтобы надежность библиотеки не вызывала сомнений,
сказал Олег Галушкин, директор по информационной безопасности компании SEC Consult Services, российского дочернего предприятия SEC Consult
»

В ходе проверки, однако, были выявлены две уязвимости с высокой и средней степенями угрозы.

Первая позволяла подменять технический заголовок, что давало злоумышленнику возможность заставить жертву поверить, что подпись была сгенерирована с использованием алгоритма сообщений, отличного от того, который был фактически использован. Т.е., фактически создавала возможность подмены содержимого письма.

Вторая уязвимость допускала возможность использования слишком коротких (т.е. слабых) ключей шифрования RSA, что снижало надежность шифрования.

Обе проблемы были устранены разработчиками ProtonMail.

Техническое описание аудита безопасности доступно по этой ссылке[7].

В России заблокирован Protonmail

Российские пользователи испытывают проблемы с доступом к системе зашифрованной электронной почты Protonmail. Сообщение об этом появилось в блоге компании Techmedia, на платформе Habr.com. При этом в списке ресурсов, доступ к которым блокирует Роскомнадзор, серверов Protonmail нет[8].

Protonmail предназначен для обмена сообщениям без возможности перехвата сторонними лицами. При отправке сообщений внутри Protonmail сервис обеспечивает шифрование сообщений путем обмена ключами между самими пользователями, в результате чего сам сервис не видит содержимого сообщений.

Электронная почта в интернете пересылается по протоколу SMTP. Для того, чтобы понимать, на какой именно сервер нужно отправлять письмо, в системе DNS (отвечает за соответствие доменов и IP-адресов) создаются специальные MX-записи.

2018: Таинственный хакер заявил о взломе сверхзащищенной «почты для параноиков»

Неизвестный хакер опубликовал в ноябре 2018 года на ресурсе Pastebin заявление, что ему удалось взломать защищенную почту ProtonMail и похитить значительное количество писем и данных о пользователях. Он потребовал от компании «небольшое вознаграждение», пригрозив в противном случае опубликовать или продать данные. Выкуп должен быть передан злоумышленнику до 23 ноября 2018 г[9].

ProtonMail заявила в ответ, что сервис не подвергался взлому и утверждения неизвестного не имеют под собой оснований. Компания пишет, что проверила свои системы, но следов атаки не обнаружила.

Состав данных

Свое сообщение хакер разместил под псевдонимом AmFearLiathMor. По его словам, ему удалось внедрить бэкдор в систему ProtonMail, что позволило в течение нескольких месяцев заниматься кражей переписки пользователей, а также добыть такие данные как их имена, IP-адреса, книги адресатов и т.д.

По словам хакера, в его руках оказались сведения невероятной важности, вроде переписки подрядчиков военных ведомств, которая содержит доказательства нарушения ими Женевской конвенции. Также AmFearLiathMor упоминает данные о действиях подводных дронов в Тихом океане, сведения о возможном нарушении международных договоренностей по Антарктике и т.д. Все это он относит к так называемой первой группе данных.

Ко второй группе относится переписка, доказывающая склонность некоторых высокопоставленных лиц в бизнесе и госсекторе к педофилии. По словам хакера, у него есть полные имена этих людей и описание их преступлений от первого лица. Гипертрофированная важность якобы похищенных сведений стала еще одной причиной, по которой в ProtonMail посчитали взлом выдумкой.

2017: Возможность входить в почту через анонимную сеть Tor

В январе 2017 г. CNews писал, что ProtonMail разрешил пользователям входить в почту через анонимную сеть Tor. Специально для этого был запущен сайт protonirockerxow.onion, куда можно попасть через браузер Tor.

По словам сооснователя ProtonMail Энди Йена (Andy Yen), данная возможность должна помочь пользователям ProtonMail обходить государственную веб-цензуру и блокировки интернета спецслужбами различных стран на уровне провайдеров.

2016: Запуск полноценной версии и мобильного приложения ProtonMail

Полноценная версия почты и мобильное приложение запущены в марте 2016 года[10].

2013: Создание сервиса ProtonMail

Сервис создан в 2013 году сотрудниками Европейской организации по ядерным исследованиям (ЦЕРН). Серверы ProtonMail размещены в Швейцарии, где действуют жесткие законы о защите приватности.

Примечания



СМ. ТАКЖЕ (7)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год