Altfor mange gjør altfor lite for å hindre avlytting. Halvparten av all e-post blir sendt som klartekst, noe flere undersøkelser har vist.
Det enkleste grepet som kan tas, som heller ikke krever noen brukermedvirkning, blir etablert som anbefalt standard av norske myndigheter.
StartTLS (RFC 3207) skal tas inn i statens referansekatalog for transportsikring av e-post i offentlig sektor.
– Jeg tror Norge er det første landet i verden som gjør dette, sier sikkerhetsrådgiver Per Thorsheim til digi.no.
Dette har han jobbet og lobbet for siden 2003. Thorsheim har ikke tall på hvor mange bedrifter, enkeltpersoner og organisasjoner han har involvert i et titalls land.
Facebook og Google er blant selskapene som har lyttet til ham. Nå vil også den norske staten gjøre det.
–Hvor mye sikrere blir e-posten med støtte for StartTLS?
– Dette er et første og jeg vil si et lite, men ekstremt viktig grep å ta. Krypteringen forhindrer uautorisert avlytting av innholdet når trafikken går over en kabel. Det er riktignok fortsatt enkelt å gjennomføre man-in-the-middle-angrep, men det blir også enklere å avdekke slike angrep, sier Thorsheim.
God økning av sikkerheten
Formelt skjer det etter en fortsatt pågående høring, men IT-direktoratet Difi forventer ingen sterke motforestillinger. RFC 3207 kommer til å bli en anbefaling når Difi legger fram revidert utgave av statens referansekatalog på nyåret.
– Dette er et enkelt tiltak og er verken vanskelig eller ressurskrevende å implementere. StartTLS gir en ganske god økning av sikkerheten, sier Lillian Røstad som leder Difis avdeling for informasjonssikkerhet, til digi.no.
StartTLS er et tillegg til SMTP (simple mail transport protocol) og gir såkalt opportunistisk kryptering av e-post mellom e-posttjeneren som sender og e-posttjeneren som mottar meldingene. Kun dersom begge støtter StartTLS blir meldingene kryptert. Hvis bare én gjør dette, så går meldingen som klartekst på vanlig måte.
– Det er ingen perfekt løsning, og derfor er det heller ikke aktuelt å gjøre dette til en obligatorisk standard, sier Røstad.
Difis anbefalinger gjelder offentlig sektor, men privat næringsliv kan med fordel også innføre StartTLS, mener hun.
– Uten at jeg har mandat til det, så vil jeg si at dette er en god anbefaling for alle.
Snowden-effekten
Difi har vurdert StartTLS også for fire år siden. Den gangen ble det konkludert med at utbredelsen ikke var god nok.
– Finnes det egentlig noe reelt alternativ til StartTLS, som er like enkelt å implementere?
– Nei. Det gjør ikke det. Alternativene er langt mer omfattende og de fleste andre løsninger krever dessuten brukerinvolvering, noe dette ikke gjør, sier Lillian Røstad.
– Hva er da årsaken til at dere først nå gjør dette til en anbefalt standard?
– Verden har gått videre siden vi konkluderte annerledes for fire år siden. StartTLS har fått mye større utbredelse, og dermed øker også effekten vi kan forvente. Også det vi vet om Snowden-saken og det oppdaterte trusselbildet er en del av vurderingen, sier Røstad.
Seksjonssjefen i Difi viser da til den amerikanske varsleren, den nå spionsiktede Edward Snowden, som avslørte den massive overvåkingen som de hemmelige tjenestene i USA og Storbritannia bedriver på internett.
Difi gjennomførte for øvrig i fjor en uformell undersøkelse om utbredelsen. De sjekket mange, men ikke alle offentlige etaters e-posttjenere. Fasiten var at rundt 50 prosent allerede har tatt i bruk StartTLS.
Norske ildsjeler
Nasjonal sikkerhetsmyndighet (NSM) ga ut en veileder i 2013 hvor de anbefalte innføring av StartTLS for sikring av e-post mellom ugraderte systemer.
Flere nordmenn skal ha honnør for å ha påvirket interessen for StartTLS både nasjonalt og internasjonalt. Per Thorsheim er ikke den eneste, men han er nok den mest sentrale etter å ha framsnakket dette sikringstiltaket siden 2003.
I fjor fikk han bistand av «white hat»-hackeren Einar Otto Stangvik, som på Thorsviks oppfordring laget nettstedet starttls.info der man kan sjekke om e-postserveren har slik støtte.
– Veldig bra at man har ildsjeler i Norge som brenner for sikkerhetsfaget, disse to er eksempler på det, sier Lillian Røstad i Difi.
Sponset av Google
Einars tjeneste ble senere brukt av både EFF-stiftelsen (Electronic Frontier Foundation) og borgerrettsbevegelsen ACLU (Amercian Civil Liberties Union) til å overtale størrelser som Apple og Facebook om å implementere støtte for SMTP StartTLS.
– Det er mange som har dyttet tjenesten fram, men Per har vært den sterkeste røsten. Facebook og Google er blant de som har vært på banen. Google har også sponset utviklingen. Mesteparten er betalt av egen lomme, men Google skjøt inn deler av kostnadene, samt også reiseutgifter for Per, sier Einar Otto Stangvik som nå jobber som VGs sikkerhetsanalytiker.
Stangvik mener Difis kommende anbefaling er et steg i riktig retning. Han tror også at dette kan føre til mer utbredelse av SMTP-tillegget.
– Alle som ønsker å ha et godt omdømme innen sikkerhet kommer til å strekke seg etter kravene til dette som en anbefalt standard. Det kan også tenkes at det blir tydelig hvem som ikke velger å følge anbefalingen, sier han til digi.no.
HTTPS er ikke på blokka
Norge er etter det digi.no forstår et av de første land i verden, kanskje det aller første, der myndighetene velger å gjøre StartTLS til en anbefalt standard for offentlig sektor. Verken Røstad i Difi eller Per Thorheim kjenner til andre land som har gjort dette.
I USA har Obama-regjeringen derimot gjort sikring av webtrafikk til et obligatorisk krav. Senest ved utgangen av neste år må alle offentlige etaters nettsider kjøre på HTTPS.
HTTPS for kryptering av webtrafikk kan sammenlignes med det StartTLS er for e-post.
– I hvilken grad er det aktuelt å pålegge også norske etater å kryptere webtrafikken med HTTPS, eller i det minste anbefale det?
– Det er ikke noe vi har på blokka nå. Det jeg kan si er at vi har planer om å gjøre en utredning om hvilke standarder på sikkerhetsområdet som gir mening, for det er det en stund siden vi sist gjorde. Difi har også en tjeneste kalt «Kvalitet på nett» hvor vi undersøker kvaliteten på offentlige nettsider. Der er HTTPS et av kriteriene, inkludert også oppsettet – at det er riktig konfigurert, sier seksjonssjef Lillian Røstad i IT-direktoratet.