Google baru-
baru ini memperkenalkan
desain Gmail
baru . Jika diinginkan, setiap pengguna dapat beralih ke sana, dan segera semua pengguna G Suite akan
dipaksa untuk mentransfer .
Desain ini mengimplementasikan beberapa fitur keamanan baru, termasuk apa yang disebut
mode rahasia . Di sini, pengirim menetapkan periode validitas surat, setelah itu "menghilang". Setidaknya itu akan berhasil. Bahkan,
ada beberapa cara untuk menyiasati perlindungan ini, menyimpan pesan yang diterima, menyalin atau mencetak.
Membuat surat Gmail rahasia: tanggal pesan hilang dan kode aktivasi dari SMS dimasukkan, yang harus dimasukkan untuk mendapatkan akses ke sanaGoogle menyebut sistem ini Manajemen Hak Informasi - istilah yang
diciptakan Microsoft lebih dari satu dekade yang lalu untuk fitur serupa di Microsoft Office. Pada kenyataannya, ini adalah semacam analog DRM, hanya untuk email.
Spesialis dari Electronic Frontier Foundation melihat
beberapa masalah dalam cara mode privasi Gmail diterapkan.
Perlindungan berbahaya
Pertama, ini adalah metode sederhana untuk menghindari "perlindungan" ini. Jelas, Anda dapat mengambil tangkapan layar dari surat yang diterima. Anda bisa menyimpannya dalam bentuk aslinya. Meskipun Gmail tidak memiliki tombol Simpan atau Unduh Email, ada tombol seperti itu di browser dan berfungsi normal pada pesan rahasia.
Kedua, surat itu sebenarnya tidak sepenuhnya dihapus - surat itu terus disimpan di folder Item Terkirim pengirim, yaitu di server Google. Meskipun pengirim dan penerima mengklik tombol Hapus secara permanen dan mengosongkan sampah, email masih terus disimpan di server Google
hingga 60 hari .
Akhirnya, Google melarang pencetakan email rahasia dari antarmuka web. Tetapi perlindungan tersebut diimplementasikan menggunakan
@media print aturan
@media print CSS, yang menyembunyikan konten utama selama pencetakan. Menghapus larangan mencetak sangat mudah. Misalnya, di browser Firefox, buka Style Editor di konsol web - dan hapus aturan yang tidak perlu. Atau, Anda cukup mengklik ikon berbentuk mata di sebelah kiri - dan menonaktifkan semua gaya CSS pada halaman. Di peramban lain dengan alat pengembang
@media print , Anda juga dapat menemukan
@media print dalam kode, berkomentar atau menghapusnya. Tetapi di Firefox ini mungkin dilakukan dengan cara termudah.
Secara umum, aturan
@media print diimplementasikan dalam standar untuk membantu pengguna mencetak halaman tanpa “sampah” yang tidak perlu. Artinya, Google menggunakan aturan ini untuk tujuan lain dan menyalahgunakannya,
kata para ahli .
Google juga menggunakan beberapa trik untuk memblokir copy-paste, tetapi mereka juga dapat dielakkan.
Pertama-tama, CSS ini memiliki properti
user-select yang
mencegah teks untuk dipilih . Ini dinonaktifkan dari editor gaya yang sama di Firefox: matikan semua gaya atau tulis aturan Anda sendiri, yang mengembalikan perilaku normal (otomatis) ketika memilih teks.
Kedua, Google telah menerapkan JavaScript, yang
memblokir menu konteks yang memungkinkan Anda untuk menyalin teks. Pembatasan ini dihapus di Firefox dalam konfigurasi
about:config , di mana pengaturan
dom.event.contextmenu.enabled harus disetel ke
false (false berarti bahwa JavaScript tidak memiliki kemampuan untuk memblokir menu konteks).
Ilusi keamanan
Dapat diasumsikan bahwa bahkan perlindungan surat yang tidak dapat diandalkan seperti itu lebih baik daripada tidak sama sekali. Sayangnya, ini tidak benar. Ahli keamanan informasi telah berulang kali memperingatkan bahwa dalam kondisi seperti itu, pengguna memiliki ilusi keamanan. Karena itu, mereka lebih ceroboh dengan transfer informasi rahasia, yang tidak perlu bergantung pada keamanan dan privasi surat-surat Gmail. Dengan kata lain, perlindungan semacam itu bahkan dapat
memperburuk perlindungan informasi yang sebenarnya dan meningkatkan jumlah kebocoran dokumen rahasia.
“Jika uang, jika pasar menentukan langkah-langkah keamanan dan jika orang membuat keputusan berdasarkan rasa aman, maka hal paling cerdas yang dapat dilakukan perusahaan berdasarkan pertimbangan ekonomi adalah memberi orang rasa aman. Dan selalu ada dua cara untuk mencapai ini. Pertama, Anda benar-benar dapat melindungi orang dan berharap mereka memperhatikan. Atau yang kedua - Anda dapat
menciptakan rasa aman dan berharap mereka tidak memperhatikan, "kata Bruce Schneier dalam kuliahnya di
TED , yang berjudul" The Illusion of Security ".
DRM dalam surat
Spesialis dari Electronic Frontier Foundation (EFF) menarik perhatian pada kenyataan bahwa enkripsi ujung ke ujung tidak digunakan dalam mode rahasia, yaitu, surat itu masih lewat dalam bentuk yang jelas melalui server Google, dan perusahaan memiliki kemampuan teknis untuk menyimpan salinan surat untuk waktu yang tidak terbatas, terlepas dari ditetapkan "tanggal penghapusan".
Selain itu, untuk mengaktifkan perlindungan SMS, pengirim harus mengungkapkan nomor ponsel Google penerima, berpotensi tanpa persetujuan penerima.
Menurut EFF, sistem IRM (DRM) yang diterapkan di Gmail tidak bergantung pada teknologi, tetapi pada
Digital Millennium Copyright Act (DMCA) 1998, yang secara eksplisit melarang pihak ketiga menghindari perlindungan ini. Untuk pelanggaran pertama seperti itu, ia menghadapi hukuman lima tahun penjara dan denda hingga $ 500 ribu. Secara teoritis, menonaktifkan perlindungan di editor gaya konsol web Firefox juga dapat dianggap sebagai pelanggaran DMCA. Sekali lagi, secara teoritis, Google memiliki hak untuk menekan pengembang Firefox untuk menonaktifkan fitur ini untuk Gmail, dan mulai menuntut para pengembang ekstensi pihak ketiga yang akan mencoba mengembalikan fungsionalitas ini ke Firefox.
"Kami percaya bahwa produk untuk keamanan informasi tidak boleh bergantung pada pengadilan untuk memberikan dugaan jaminan mereka, tetapi harus bergantung pada teknologi seperti
enkripsi ujung-ke-ujung yang memberikan jaminan matematika
kerahasiaan yang sebenarnya ," kata
pernyataan EFF. "Kami percaya bahwa penggunaan istilah" mode rahasia "untuk fungsi yang tidak menjamin kerahasiaan, karena istilah ini dipahami dalam IS, menyesatkan."
EFF percaya bahwa tidak ada kerahasiaan dalam surat yang tidak terenkripsi, ini juga berlaku untuk "mode rahasia" Gmail. Mungkin fungsi ini masuk akal dalam lingkungan perusahaan yang sempit, tetapi bagi sebagian besar pengguna itu tidak memiliki jaminan privasi dan fungsi yang diperlukan yang melekat dalam komunikasi yang aman. Pertama-tama, tidak ada
enkripsi ujung ke ujung yang dapat diandalkan dengan tanda tangan digital.
