Firefox evita fácilmente la protección en la nueva interfaz de Gmail

Google introdujo recientemente un nuevo diseño de Gmail. Si lo desea, cada usuario puede cambiar a él, y pronto todos los usuarios de G Suite se verán obligados a transferir .

Este diseño implementa varias características de seguridad nuevas, incluido el llamado modo confidencial . Aquí, el remitente establece el período de validez de la carta, después del cual "desaparece". Al menos eso debería funcionar. De hecho, hay varias formas de evitar esta protección, guardar el mensaje recibido, copiarlo o imprimirlo.




Creación de una carta confidencial de Gmail: la fecha en que desapareció el mensaje y se ingresó el código de activación del SMS, que debe ingresarse para obtener acceso a él

Google llama a este sistema Information Rights Management, un término que Microsoft inventó hace más de una década para una característica similar en Microsoft Office. En realidad, este es un tipo de DRM analógico, solo para correo electrónico.

Los especialistas de la Electronic Frontier Foundation ven varios problemas en cómo se implementa el modo de privacidad de Gmail.

Protección frívola

En primer lugar, estos son métodos simples para eludir esta "protección". Obviamente, puede tomar una captura de pantalla de la carta recibida. Puede guardarlo en su forma original. Aunque Gmail no tiene un botón Guardar o descargar correo electrónico, existe dicho botón en el navegador y funciona normalmente en mensajes confidenciales.

En segundo lugar, la carta no se elimina por completo, sino que se sigue almacenando en la carpeta Elementos enviados del remitente, es decir, en los servidores de Google. Incluso si tanto el remitente como el destinatario hicieron clic en el botón Eliminar permanentemente y vaciaron la papelera, los correos electrónicos continúan almacenados en los servidores de Google por hasta 60 días .

Finalmente, Google prohíbe la impresión de correos electrónicos confidenciales desde la interfaz web. Pero dicha protección se implementa utilizando @media print reglas de CSS de @media print , que ocultan el contenido principal durante la impresión. Eliminar la prohibición de imprimir es muy fácil. Por ejemplo, en el navegador Firefox, abra el Editor de estilo en la consola web y elimine las reglas innecesarias. Alternativamente, puede simplemente hacer clic en el icono con forma de ojo a la izquierda y deshabilitar todos los estilos CSS en la página. En otros navegadores con herramientas de desarrollador incorporadas, también puede encontrar @media print en el código, comentarlo o eliminarlo. Pero en Firefox esto probablemente se hace de la manera más fácil.

En general, las reglas de @media print se implementan en el estándar para ayudar al usuario a imprimir una página sin "basura" innecesaria. Es decir, Google usa esta regla para otros fines y la abusa, dicen los expertos .

Google también usó algunos trucos para bloquear copiar y pegar, pero también se pueden eludir.

En primer lugar, este CSS tiene una propiedad de user-select que evita que se seleccione texto . Está desactivado desde el mismo editor de estilos en Firefox: simplemente apague todos los estilos o escriba su propia regla, que devuelve el comportamiento normal (automático) al seleccionar texto.



En segundo lugar, Google ha implementado JavaScript, que bloquea el menú contextual que le permite copiar texto. Esta restricción se elimina en Firefox en la configuración about:config , donde la configuración dom.event.contextmenu.enabled debe establecerse en false (falso significa que JavaScript no tiene la capacidad de bloquear el menú contextual).

La ilusión de seguridad

Se puede suponer que incluso una protección de letras tan poco confiable es mejor que ninguna. Lamentablemente, esto no es así. Los expertos en seguridad de la información han advertido reiteradamente que, en tales condiciones, los usuarios tienen la ilusión de seguridad. Debido a esto, son más imprudentes con la transferencia de información confidencial, confiando innecesariamente en la seguridad y privacidad de las cartas de Gmail. En otras palabras, dicha protección puede incluso empeorar la protección real de la información y aumentar el número de fugas de documentos confidenciales.

“Si el dinero, si el mercado determina medidas de seguridad y si las personas toman decisiones basadas en un sentido de seguridad, lo más inteligente que una empresa puede hacer en base a consideraciones económicas es darle a las personas un sentido de seguridad. Y siempre hay dos formas de lograr esto. Primero, realmente puedes proteger a las personas y esperar que presten atención. O el segundo: puede crear una sensación de seguridad y esperar que no le presten atención ", dijo Bruce Schneier en su conferencia TED , titulada" La ilusión de la seguridad ".

DRM en el correo

Los especialistas de la Electronic Frontier Foundation (EFF) llaman la atención sobre el hecho de que el cifrado de extremo a extremo no se usa en modo confidencial, es decir, la carta aún pasa de forma clara a través de los servidores de Google, y la compañía tiene la capacidad técnica de almacenar copias de cartas por un tiempo ilimitado, independientemente "fecha de expulsión" establecida.

Además, para activar la protección por SMS, el remitente debe revelar el número de teléfono móvil de Google del destinatario, potencialmente sin el consentimiento del destinatario.



Según EFF, el sistema IRM (DRM) implementado en Gmail no se basa en la tecnología, sino en la Ley de Derechos de Autor del Milenio Digital (DMCA) de 1998, que prohíbe explícitamente a terceros eludir esta protección. Para la primera violación de este tipo, enfrenta hasta cinco años de prisión y una multa de hasta $ 500 mil. Teóricamente, deshabilitar la protección en el editor de estilo de la consola web de Firefox también puede considerarse una violación de la DMCA. Nuevamente, en teoría, Google tiene el derecho de presionar a los desarrolladores de Firefox para que desactiven esta función para Gmail, y comenzar a procesar a los desarrolladores de extensiones de terceros que intentarán devolver esta funcionalidad a Firefox.

"Creemos que los productos para la seguridad de la información no deberían depender de los tribunales para proporcionar sus supuestas garantías, sino que deberían basarse en tecnologías como el cifrado de extremo a extremo que brindan garantías matemáticas reales de confidencialidad ", dijo la declaración de EFF. "Creemos que el uso del término" modo confidencial "para una función que no garantiza la confidencialidad, como se entiende en IS, es engañoso".

EFF cree que no puede haber confidencialidad en el correo no cifrado, esto también se aplica al "modo confidencial" de Gmail. Quizás esta función tenga sentido en un entorno corporativo estrecho, pero para la mayoría de los usuarios no tiene garantías de privacidad y las funciones necesarias inherentes a las comunicaciones seguras. En primer lugar, no existe un cifrado confiable de extremo a extremo del correo con firma digital.

---