M E D I X • p r o s I n a c 2 0 1 1 • G o D . X V I I • b r o j 9 7212

Pregledni članakReview article

Iako nema značajne razlike između liječnika i inže-njera što se tiče osnovnog razumijevanja sigurno-snih aspekata, kao što su programska (softverska)

zaštita računala te redovno „backupiranje“ važnijih podataka,1 postoji značajna razlika pri korištenju be-splatnih svjetskih e-mail servisa koji su u prosjeku lo-šijih sigurnosnih karakteristika od institucijskih e-mail adresa. Iz provedenih istraživanja proizlazi kako liječnici u značajno većem postotku koriste nesigurne svjetske e-mail servise u usporedbi s inženjerima te ekonomistima,2 te kako bi to mogao biti rastući trend.3

Više je razloga koji upućuju na sigurnosne nedo-statke besplatnih svjetskih e-mail servisa u usporedbi sa institucijskim e-mail adresama:4-13

a) Navedene su studije pronašle neke nedostatke pri-likom spajanja na sustav putem web-pretraživača;

b) Javni web servisi su poznati diljem svijeta te su interesantniji za napade hakera;

c) Mailovi su fizički u rukama nepoznatih djelat-nika na, za korisnika, nepoznatim lokacijama;

d) Moguće je lažno predstavljanje zbog mogućnosti otvaranja e-mail adrese na tuđe ime (korisničko ime se odabire po želji, bez kontrole, jedini uvjet je da nije već iskorišteno);

e) Neki od ovih servisa prosljeđuju podatke o ko-risnicima te sadržaj mailova trećim stranama, često je to navedeno i u uvjetima korištenja (koji, čini se, korisnici rijetko detaljno pročitaju);

f) Izgleda neprofesionalno koristiti besplatni e-mail servis umjesto službene institucijske e-mail adrese;

g) Značajno više neželjene pošte (spam: reklame, virusi, crvi, osobni napadi) pristiže na ove servi-se, što povećava sigurnosni rizik te može smetati pri korištenju.

Nekad e-mail sustav u institucijama može biti lošije kvalitete, (zbog neorganiziranosti tehničke podrške, ne-dostatka tehničke opreme ili drugo) te se neki od nave-denih ili drugih razloga mogu odnositi i na takvu e-mail adresu, no takvi slučajevi su više izuzetak nego pravilo.

moDeL 3 e-maiL aDRe Se

Zbog navedenih razloga mišljenje autora je kako su be-splatni svjetski e-mail servisi lošijih sigurnosnih svoj-stava od institucijskih e-mail adresa, te stoga savjetuju stručnjake i znanstvenike biomedicinskog polja neka preferiraju institucijske e-mail adrese za elektroničko dopisivanje, posebno kad je u pitanju službena komu-nikacija.

Također treba koristiti takozvani „model 3 e-mail adrese“ gdje korisnik za prvu e-mail adresu, koja služi za profesionalnu komunikaciju, odabire isključivo in-stitucijsku adresu. Drugu e-mail adresu korisnik koristi za privatno dopisivanje s prijateljima, poznanicima i rodbinom (neophodno je striktno razdvojiti poslovnu od privatne elektroničke komunikacije), a ova e-mail adresa u hrvatskim uvjetima može biti adresa nekog od dostupnih davatelja internetskih usluga, ili besplatni svjetski e-mail servis, ali s oprezom. Treća e-mail adresa je privremena – otvorena je na nekom od besplatnih

Slabosti svjetski poznatih besplatnih e-mail servisa – analiza i preporuke

Krešimir šolić,1 ivan horvat21Sveučilište „J. J. Strossmayer“, Medicinski fakultet Osijek2OTIS (Officium tehnologije i sigurnost), CNZD (Centar za nestalu i zlostavljanu djecu) u odjelu informacijskih sigurnosti, Osijek

SaŽeTaK Besplatni svjetski e-mail servisi su u prosjeku lošijih sigurnosnih karakteristika u usporedbi sa institucijskim e-mail adresama. Međutim liječnici ih, u usporedbi s ekonomistima i inženjerima, koriste u značajno većem postotku. Uz striktno razdvajanje službene od privatne elektroničke pošte, korisnicima se savjetuje koristiti „model tri e-mail adrese“: prva adresa (po mogućnosti institucijska) koristi se isključivo za službenu komunikaciju mailom; druga adresa (npr. otvorena kod nekog od dostupnih pružatelja internetskih usluga) koristi se privatno; a treća adresa (otvorena na nekom od besplatnih servisa) koristi se kao privremena za povremenu upotrebu. Detaljnija pojašnjenja o si-gurnosnim karakteristikama e-mail sustava (i ostalih internetskih sustava) te aktualne opasnosti na internetu i upute kako se obraniti, mogu se naći na web-stranicama CARNet-ove organizacije CERT.

KL juČne RIjeČI : elektronička pošta; internet; komunikacija; sigurnost kompjutora

medicinska informatikaMedical informatics

Slabosti svjetski poznatih besplatnih e-mail servisa – analiza i preporuke medicinska informatika

M E D I X • S P E C I J A L I Z I R A N I M E D I C I N S K I D V O M J E S E č N I K • W W W . M E D I X . C O M . H R 213

svjetskih servisa, koristi se na primjer za registriranje na nove (nesigurne, korisniku sumnjive) internetske servise, te nakon što je „zatrpa“ velika količina neželje-ne pošte korisnik otvara novu, a postojeću zanemaruje ili ugasi, ako takva mogućnost postoji kod konkretnog sustava. Ovu adresu nije „šteta“ odbaciti jer se ne koristi za bitnu komunikaciju (niti je znaju bitni kontakti).

SL aBoSt i eLeK tRoničK ih KomuniK aCij SK ih SuStaVa

Elektronički komunikacijski sustav (e-mail) je općenito slabih sigurnosnih karakteristika. Sadržaj maila prenosi se kao čisti tekst, odnosno rijetko korisnik upotrebljava kriptiranje sadržaja ili elektronički potpis (PKI). Tako-đer je relativno jednostavno maskirati/lažirati adresu pošiljatelja kako bi stvarni pošiljatelj ostao skriven ili se lažno predstavio. Komunikacijski protokol (POP3) dizajniran je tako da se prilikom uspostave veze/sesije a e-mail serverom korisničko ime i lozinka razmjenjuju u nekriptiranom obliku, što znači da je isti vidljiv i osjetljiv na presretanje internetom. Sigurna veza (HTTPS) koju su razvili i prvenstveno koriste besplatni svjetski e-mail servisi, pokazala se kao rupa (backdoor) u sigurnosnom sustavu institucije, jer se IDS/IPS (Intrusion detection/prevention system) i antivirusni sustavi na gatewayu odnosno tzv. vatrozidu (firewall), zaobilaze. Još jedan problem su „prejaki“ spam-filtri koji ponekad greškom i željeni e-mail potpuno blokiraju ili nesretno sortiraju u spam-mapu te je primatelj primi, ali ne uoči.

Neka od važnijih i češćih mogućih sigurnosnih pitanja vezanih uz ponašanje korisnika e-mail sustava su sljedeća:5,14,15

a) Pristupanje sustavu putem potencijalno zara-ženog računala (javno računalo, nepostojanje antivirusne zaštite na računalu);

b) Pristupanje sustavu koristeći web-preglednik lošijih sigurnosnih karakteristika i/ili starije verzije softvera;

c) Slanje osobnih podataka (kao što su OIB ili broj kreditne kartice, telefonski broj, adresa) bez do-datne zaštite (enkripcija, šifriranje paketa);

d) Nekritično komuniciranje s nepoznatim koris-nicima, otvaranje priloga, automatsko odgova-ranje na „čudne“ mailove (npr. upit za suradnju iz Kine);

e) Prosljeđivanje cirkularnih (lančanih) pisama;f) Registriranje na razne web-servise, te postav-

ljanje e-mail adrese vidljivom na internetu u izvornome obliku;

g) Nepažljivo ponašanje prema podacima za pri-stup, korisničkom imenu i lozinci (posuđivanje, zapisivanje);

h) Slaba kvaliteta lozinke (kvalitetna lozinka je kombinacija velikih i malih slova te brojeva, koja nije kraća od šest znakova).

Detaljnije upute i pojašnjenja mogu se naći na web-stranicama raznih specijaliziranih stručnih orga-nizacija, specijaliziranih časopisa te antivirusnih kompa-nija.6,8,12-17 Posebno treba istaknuti organizaciju CERT koja djeluje u sklopu CARNet-a, a misija joj je „promi-canje i očuvanje informacijske sigurnosti u Republici Hrvatskoj“.18

Također, stručnjaci za sigurnost ICT-sustava (In-formation and Communication Technology), preporuču-ju institucijama održavanje stručnih skupova za svoje djelatnike jednom do dva puta godišnje, na kojima bi se korisnici sustava upoznavali s procedurama i postup-cima sigurnog korištenja interneta.

z aKLjuč aK

Niti jedan komunikacijski sustav nije idealan te svi imaju, između ostalog, i sigurnosne nedostatke. E-mail sustav karakterizira niska cijena usluge, jednostavnost upotrebe, iznimna praktičnost i mogućnost vremen-skog planiranja, te je stoga široko prihvaćen među ko-risnicima, no sa sigurnosnog aspekta može biti izra-zito problematičan. Zadnjih godina upravo je e-mail komunikacijski sustav bio najviše zloupotrebljavan za širenje raznovrsnog malicioznog softvera, dok se danas sve više koristi za direktne osobne napade na korisnike (takozvani phishing).16

Međutim, problem nije toliko u sustavu već u ne-upućenosti njegovih korisnika (primjeri lakovjernih

„dobitnika“ inozemnih lutrija mogu se naći i među po-znanicima čitatelja ovoga članka), stoga je želja autora pokušati upozoriti te uputiti korisnike u način korištenja ovog, u svakodnevnom radu neophodnog, komunika-cijskog sustava.

Danas postoje različita tehnička rješenja za poveća-nje sigurnosti ICT-sustava, međutim ona se baziraju na ograničavanju i blokiranju, što bi moglo dodatno ogra-ničavati korisnike, no ona se nameću kao „nužno zlo“ ukoliko edukacija korisnika ne donese željene rezultate.

medicinska informatika Slabosti svjetski poznatih besplatnih e-mail servisa – analiza i preporuke

M E D I X • p r o s I n a c 2 0 1 1 • G o D . X V I I • b r o j 9 7214

Weaknesses of global free-of-charge email services – analysis and recommendationsSummaRy Global free-of-charge email services have, on average, lower security level in comparison with institutional email services. Nevertheless, they are significantly more used by medical doctors than economists and engineers. Email users are highly recommended to keep their professional email communication strictly separate from personal one and to use “the model of three email addresses”. In this model, the first email address is institutional and used only for profes-sional communication, the second one is used for personal communication only and the third one is temporary and used only occasionally. Also, it is advisable to use the website of CERT security organisation (under CARNet) for information on actual security threats to email and Internet itself and for the recommendations on protection.

Key woRdS communication; computer security; electronic mail; Internet

1. Solic K, ilakovac V. Security perception of a por-table PC User (The difference between medical doctors and engineers): a pilot study. Med Glas Ljek komore Zenicko-doboj kantona 2009;6(2):261-4.2. Solic K, grgic K, ilakovac V, zagar D. Usage of insecure E-mail services among researchers with different scientific background. Med Glas Ljek komore Zenicko-doboj kantona 2011;8(2):273-6.3. Solic K, ilakovac V, marusic a, marusic m. Trends in using insecure e-mail services in communication with journal editors. Proc PRC (Rennie D, Flanagin A, Godlee F, Smith J.) 2009:50.4. noiumkar P, Chomsiri t. Top 10 Free Web-Mail Security Test Using Session Hijacking. Proc IEEE CS ICCIT (Wang PP, Sohn S, Dhillon G, Lee J, Ko FIS, Nquyen NT, Bi J, Sakurai K, et al.) 2008;2:486-90.5. Solic K, grgic K, galic D. A comparative study of the security level among different kind of e-mail services – pilot study. Teh Vjesn – Stroj fak 2010; 17(4):489-92.6. arrington m. Gmail Disaster: Reports of Mass Email Deletions. TechChrunch [Online] http://www.techcrunch.com/2006/12/28/gmail-disaster-reports-

of-mass-email-deletions/ Pristupljeno: 02.11.2011.7. Sullivan F. I wandered lonely as a cloud. Comput Sci Eng. IEEE 2008;10(3):88.8. Stewart j. Private Email Accounts Go Public Watch. Death By Email [Online] http://www.deathbyemail.com/2007/08/private-email-a.html Pristupljeno: 02.11.2011.9. Demer L. Governor‘s two e-mail accounts questi-oned. Anchorage Daily New [Online] http://www.adn.com/2008/09/14/526281/governors-two-e-mail-accounts.html Pristupljeno: 02.11.2011.10. min-hua Shao, guilin Wang, jianying zhou. Some common attacks against certified email proto-cols and the countermeasures. Computer Communi-cations 2006;29(15):2759-69.11. Silic m, Krolo j, Delac g. Security Vulnerabilities in Modern Web Browser Architecture. Proc IEEE MIPRO (V. Mornar, P. Biljanović, J. Kljajić, I. Škunca) 2010:33.12. mello jP jr. Web Mail in the Workplace: Another Security Treat. TechNewsWorld [Online] http://www.technewsworld.com/story/53926.html Pristupljeno: 02.11.2011.13. Schwartz mj. Gmail, Hotmail Pose Government

Security Risk. InformationWeek – The Business Value of Technology [Online] http://www.informationweek.com/news/security/vulnerabilities/229400231 Pri-stupljeno: 02.11.2011.14. the 25 most Common mistakes in email Se-curity. ITSecurity. [Online] http://www.itsecurity.com/features/25-common-email-security-mista-kes-022807/ Pristupljeno: 02.11.2011.15. top 5 Ways to protect your email. ITSecurity. [Online] http://www.itsecurity.com/whitepaper/five-essential-steps-to-safer-email-ironport/index.php Pristupljeno: 02.11.2011.16. 2010 annual Security Report. MessageLabs Intelligence [Online] http://www.messagelabs.com/download.get?filename=MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf Pristupljeno: 02.11.2011.17. threat intelligence. McAfree Labs [Online] http://www.mcafee.com/uk/mcafee-labs.aspx Pristupljeno: 02.11.2011.18. CeRt – Croatian national Computer emergency Response team [online] http://www.cert.hr/prepo-ruke Pristupljeno: 02.11.2011.

LITeR aTuR a

adReSa za doPISIvanjeKrešimir Šolić, dipl. ing.Katedra za biofiziku, medicinsku statistiku i medicinsku informatiku, Medicinski fakultet Osijek, Sveučilište „J.J. Strossmayer“ u OsijekuJosipa Huttlera 4, 31000, OsijekTelefon: +385 31 512 809; +385 91 7550 631E mail: kresimir@mefos.hr

Ivan Horvat, prokurist, IT security specialist, OTIS d.o.o., Centar za nestalu i zlostavljanu djecu OsijekDunavska 53/19, 31000 OsijekTelefon: +385 31 272 943; +385 91 1118 008E mail: ivan@otis-os.hr