"Celebrating our 15th anniversary with our new feature: Two-Step Verification" jelentette be a legendás Hushmail májusban a Twitteren, amit - kéretik figyelni! - mindössze egyetlen felhasználó favolt és retwittelt, én meg konkrétan nem vettem észre, pedig jópár éve hardcore hushmailes vagyok. Értem én, hogy a jó munkához idő kell, de ha egy olyan levelezőrendszernél, aminek a születésénél maga Zimmermann, a PGP titkosítóalgoritmus atyja bábáskodott, IMHO máig az egyik legbiztonságosabb levelezőrendszer a világon, gyakorlatilag le vannak maradva az end-user szemében a többiekhez képest, na, az nem jó. Nem jó, mert 2FA téren megelőzte őket az összes nagy, látszólag ingyenes, a felhasználók adataiból élő kommersz mailszolgáltató Google Mail - Yahoo - Outlook.com sorrendben, ahogy az egy-egy újításnál lenni szokott. Szóval Hushmailék túl kevéssé kommunikálták a történetet.
Az, hogy beelőzték őket, még a kisebb probléma: a PRISM-parát meglovagolva ugyanis egy rakás "überbiztonságos", semmiből előtűnő freemium modellel működő vagy előfizetéses levelezőszolgáltatás jelent meg a piacon, amik jó esetben nem zárják be a boltot maholnap és tipliznek a Bahamákra az ügyfelek pénzével ill. jó esetben ezeket a szolgáltatókat nem valamilyen szépnevű hárombetűs szervezet fedőcége vagy nehézsúlyú adathalászok hoztak létre pont azoknak a megfigyelésére, akik éppen azért fizetnek, hogy a levelezésük ne legyen látható.
Fejtegethetném, hogy nem, nem csak akkor van szükséged elfogadhatóan biztonságos levelezésre, ha egy jó nagy cég vagy hírportál vezetője vagy (egyébként is, 5-10-15 év múlva még lehetsz és igen, 5-10-15 év múlva is valakinél meglesz levelezésed), az meg sokkal cirkalmatosabb téma, hogy mikor is tekinthetünk egy levelezőrendszert biztonságosnak, ugyan egy részét itt már érintettem korábban.
Az átlag felhasználótól nem várható el, hogy megállapítsa egy levelezőszolgáltatásról, hogy mennyire biztonságos, elég csak rákeresni a neten, hogy melyik is a legbiztonságosabb levelezőrendszer a világon és belenézni az első néhány találatként talált fórumba. Ezt a tudatlanságot kihasználva szedte meg magát egy rakás, elvben biztonságosnak tűnő levelezést kínáló startup olyan jól hangzó, ámbár szakmai szempontból még debilebb érvekkel, minthogy a szervertermük be van fúrva egy hegy gyomrában, skandináv országban/Svájcban van, amire kevésbé lát rá az NSA vagy éppen azzal érvelt a szolgáltató, hogy saját titkosító algoritmust fejlesztett ki, de hogy mi az, na, azt nem árulja el. Ha nem vagy terrorista, a levelezést amúgy nem az NSA-tól kell félteni, hanem mondjuk egy üzleti versenytárstól, aki alighanem meg tud fizetni olyan szakit, aki technikai tudással és/vagy kapcsolati tőkével szinte bármelyik szerverbe bele tud nézni, ha eleget fizetnek neki. Eloszlatnám azt a közhelyet, hogy "minek foglalkozni vele, mert úgyis feltörhető", tökéletes biztonság nincs, viszont elfogadható biztonság igenis van. És általában nem a legdrágább megoldásokkal.
Ha egyéni felhasználóként vagy cégvezetőként arról szeretnél informálódni, hogy mi az, ami tényleg biztonságosnak tekinthető, ne a zöldségest, hentest vagy a szomszéd neandervölgyi kinézetű, informatikus végzettségű photoshop-artistát kérdezd, hanem olyat, aki ért is hozzá, mondjuk mert ez a hivatása. Ha a netről informálódnál, az csalóka lehet, ugyanis az ezzel kapcsolatos netes keresésnek csak akkor van értelme, ha pontosabb képed van róla, hogy mit is keresel, azaz az értékes információhoz nem meglepő módon eleve jól kell feltenni a kérdést.
A Securityreactions tumbliról schmittelt képpel zárnám soraimat:
"Why aren’t you worried about the NSA spying on your internet use or emails?"