Разработчики: | Proton Technologies AG |
Дата премьеры системы: | 2013/06/12 |
Дата последнего релиза: | 2020/01/29 |
Отрасли: | Интернет-сервисы |
Технологии: | SaaS - Программное обеспечение как услуга, ИБ - Средства шифрования, Офисные приложения, Почтовый сервер |
ProtonMail - сервис электронной почты, защищенный шифрованием.
Сообщения, отправляемые между пользователями ProtonMail, автоматически шифруются. Письма, отправленные с ProtonMail на другие почтовые сервисы, шифруются по желанию отправителя. При кодировке применяются открытые технологии AES, RSA и OpenPGP, а также пароль, который должны знать и отправитель, и получатель письма.
Почта использует дополнительный пароль, при утрате которого все содержимое ящика уничтожается. При отправке сообщения пользователь может установить для него таймер самоуничтожения – минимум один час, максимум четыре недели.
За столь продвинутые меры безопасности ProtonMail прозвали «почтой для параноиков».
2024: Proton передает данные полиции
В середине мая 2024 года стало известно о том, что защищенный почтовый сервис Proton передает конфиденциальную информацию о пользователях в правоохранительные органы. Таким образом, платформа фактически лишь создает иллюзию безопасности.
На сайте проекта говорится, что сервис Proton использует сквозное шифрование и шифрование с нулевым доступом, поэтому никто, кроме самих пользователей, не имеет доступа к содержимому электронных писем и вложений. Бесплатный тариф обеспечивается благодаря платным подпискам, которые предоставляют дополнительные функции и увеличенный объем хранилища. Все сервисы Proton, как утверждается, имеют открытый исходный код и проверены независимыми экспертами по безопасности.
Как сообщает The Register, платформа Proton передала испанской полиции информацию об адресе электронной почты одного из своих пользователей. Получив сведения от Proton, полицейские направили компании Apple запрос на предоставление данных о владельце ее устройств, зарегистрированных в Apple ID с указанным почтовым адресом. В результате, сотрудники правоохранительных органов смогли идентифицировать человека. Предположительно, расследование связано с терроризмом. В компании Proton, в свою очередь, заявляют, что ее руки связаны законами о борьбе с терроризмом.
Proton располагает минимальной пользовательской информацией, о чем свидетельствует тот факт, что в данном случае для идентификации подозреваемого в терроризме использовались сведения, полученные от Apple. Proton по умолчанию обеспечивает конфиденциальность, а не анонимность, — говорится в заявлении почтовой платформы. |
Это не первый подобный случай. В 2021 году сервис Proton раскрыл IP-адреса сразу нескольких своих французских пользователей — один из них впоследствии был арестован.[1]
2021: ProtonMail раскрыл IP-адреса ряда своих французских пользователей
ProtonMail раскрыл IP-адреса ряда своих французских пользователей, связанных с «зеленым» движением Youth for Climate. Об этом стало известно 6 сентября 2021 года. Данные были предоставлены по запросу властей Франции, после чего эти пользователи оказались под арестом. При этом ранее разработчики утверждали, что ProtonMail не ведет сбор IP-адресов.
ProtonMail принадлежит компании Proton Technologies, главный офис и серверы находятся в Швейцарии.
Выдать персональные данные некоторых своих пользователей создатели ProtonMail были вынуждены под давлением властей Швейцарии. Они предоставили информацию о нескольких активистах «зеленого» движения Youth for Climate, которое борется с изменениями климата, в том числе с глобальным потеплением. Подробной информации об этой организации в открытых источниках исчезающее мало.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Как пишет SlashGear, этим активистам было поручено организовать во Франции некие «климатические лагеря» (climate camp) в 2020 и 2021 гг. По неизвестным причинам деятельность этих людей привлекла внимание властей Франции. Они инициировали расследование, в ходе которого выяснилось, что члены Youth for Climate пользовались ProtonMail для общения между собой и координации своих действий.
После выявления факта использования ProtonMail активистами движения французские власти направили официальный запрос на предоставление им персональных данных этих людей непосредственно властям Швейцарии. Те со своей стороны приказали Proton Technologies раскрыть французской стороне их IP-адреса.
Известно, что по итогу всех мероприятий пользовавшиеся «почтой для параноиков» участники Youth for Climate оказались под арестом. Данных о том, что именно послужило поводом для их задержания, и насколько высоки их шансы оказаться в тюрьме, на момент публикации материала не было.
Ситуация вокруг ProtonMail связана с внутренними законами Швейцарии, повышающими уровень контроля властей над различными организациями, базирующимися на территории страны. Кроме того, Швейцарии нередко приходится вести дела с другими суверенными странами. И, хотя швейцарские суды зачастую стремятся отклонить запросы иностранных правительств о выдаче персональных данных, случившееся с ProtonMail является одним из таких случаев, когда они согласились с требованиями Европола.
Энди Йен, глава ProtonMail заявил, что его сервис в действительности регистрирует IP-адреса пользователей, но не всех, а лишь «некоторых». Какие пользователи относятся к категории «некоторых», Энди Йен уточнять не стал. Он добавил лишь, что сбор этих данных ведется по требованию властей Швейцарии, не сообщив, когда все началось, и сколько IP-адресов за это время накопилось в базе.
Пользователи, высказавшие свое недовольство в адрес ProtonMail, отметили, что в условиях пользования сервисом не сказано, какие данные он собирает о них. Источник отметил, что у ProtonMail есть возможность получения дополнительных функций в обмен на несколько долларов в месяц – от $4 (292 руб. по курсу ЦБ на 6 сентября 2021 г.) и до $24 (1750 руб.). Другими словами, у сервиса есть платная подписка, но даже тем пользователям, кто платит ему деньги, ProtonMail не разъясняет мельчайшие детали условий конфиденциальности.
Если ProtonMail начал передавать властям данные своих французских пользователей, то не исключено, что в той же ситуации могут оказаться и россияне. Более того, подобный прецедент уже создан[2].
2020: Блокировка почтового сервиса на территории России
29 января 2020 года стало известно о том, что Роскомнадзор начал блокировать защищенный почтовый сервис ProtonMail на территории России. Решение о блокировке приняла Генеральная прокуратура России, сказано на сайте ведомства, на основании статьи 15.3 закона «Об информации».
Как сообщалось, домены www.protonmail.com и protonmail.com, по информации реестра запрещенных сайтов, заблокированы по домену и по URL. Блокировке также подверглись 33 IP-адреса из подсети 185.70.40.0/24, содержащей 256 адресов, а вместе с ними – и вся эта подсеть по одному адресу. Дополнительно заблокированы IP-адреса 37.35.106.36 и 37.35.106.40, записанные как доверенные адреса для отправки почты.
Поводом для блокировки стало использование ProtonMail злоумышленниками для рассылки ложных сообщений о массовых минированиях объектов на территории России в 2019 и 2020 гг. При этом, утверждает Роскомнадзор, сервис неоднократно «категорически отказывался» предоставлять регулятору сведения, необходимые для включения его в реестр организаторов распространения информации (ОРИ) в интернете. В дополнение к этому ProtonMail не стал раскрывать информацию о владельцах почтовых адресов, с которых осуществлялась рассылка сообщений с угрозами.
Сервис ProtonMail, по данным Федеральной службы безопасности (ФСБ) России, использовался злоумышленниками для рассылки сообщений об угрозах взрывов с 24 января 2020 г. До этого они эксплуатировали сервис StartMail, заблокированный в России с 23 января 2020 г.
Письма с информацией о минировании поступили на электронные почтовые ящики судов в четырех субъектах России. В них говорилось о заложенных бомбах в общей сложности в 830 объектах – больницах, транспорте, торговых центрах, детсадах, школах и т.д. По информации ФСБ, все угрозы носили ложный характер.
Как сообщили в ведомстве, злоумышленники использовали ProtonMail для аналогичных целей и в 2019 г. В их рассылках говорилось об угрозах теракта в аналогичных объектах социально-транспортной инфраструктуры.
Блокировка ProtonMail в январе 2020 г. стала второй по счету за последние 12 месяцев. В первый раз это произошло в марте 2019 г. – ФСБ заблокировала доступ к этой почте по той же причине, за распространение ложных сообщений о минировании общественных объектов. Дополнительной причиной была названа необходимость обеспечения безопасности Зимней универсиады, проходившей на 2019 г. в Краснодаре.[3]
2019
ProtonMail обвинили в слежке за пользователями и помощи правоохранительным органам
В середине мая с докладом на конференции по безопасности выступал руководитель швейцарского Центра по вопросам киберпреступности, прокурор Стефан Уолдер (Stephan Walder). Его выступление в реальном времени транслировал в Twitter[4] швейцарский адвокат Мартин Штайгер (Martin Steiger)[5].
Согласно твитам Штайгера, во время выступления Уолдер прямо заявил о том, что компания ProtonMail добровольно предлагает свою помощь властям и добровольно следит за своими пользователями едва ли не в реальном времени, не требуя при этом ордер из федерального суда. В итоге Штайгер опубликовал пост[6] в своем блоге, где детально рассказал о том, как именно должны действовать ИТ-компании (в соответствии со швейцарским законодательством) в вопросах сотрудничества с органами власти.
И хотя ProtonMail – это защищенный сервис со сквозным шифрованием и фактическое содержание электронных писем клиентов администрация знать не может, разработчики все же имеют доступ к метаданным. Ссылаясь на практику Агентства национальной безопасности США, Штайгер отметил, что метаданные тоже могут быть крайне ценны для правоохранительных органов и спецслужб.
Штайгер подчеркивает, что ProtonMail базируется в Швейцарии и использует это в качестве маркетингового преимущества, ссылаясь на строгие швейцарские законы о конфиденциальности. Но фактически при этом сервис подчиняется местным законам, а по словам Уолдера, якобы и вовсе добровольно помогает правоохранительным органам.
Выпуск криптографической библиотеки GopenPGP
16 мая 2019 года стало известно, что разработчики защищенной почты ProtonMail объявили о выпуске криптографической библиотеки GopenPGP[7].
Ранее ProtonMail взяли на себя поддержку популярной библиотеки шифрования электронной почты на базе JavaScript OpenPGP.js; компания привнесла много интересного в проект, а также обеспечила проведение независимого аудита безопасности библиотеки.
GopenPGP представляет собой очередной проект ProtonMail: комбинацию высокоуровневой библиотеки OpenPGP и форка криптографической библиотеки golang с поддержкой эллиптической криптографии.
Мы запустили этот проект, чтобы упростить задачу разработчикам мобильных и декстопных приложений, желающих использовать OpenPGP в своих приложениях, - указывается в сообщении ProtonMail. |
Библиотека уже используется в собственных мобильных приложениях ProtonMail под iOS и Android, а также в нескольких их платных решениях (Bridge, Import-Export).
Кроме того, GopenPGP открывает дорогу к открытию исходников мобильных и десктоп-приложений ProtonMail. Исходники веб-приложения были опубликованы еще в 2015 году.
Аудитом безопасности GopenPGP занималась компания SEC Consult. Аудит прокомментировал Олег Галушкин:
Задачей экспертов было удостовериться, что библиотека шифрования лишена уязвимостей, которые позволили бы скомпрометировать защищенную переписку. GopenPGP предназначается для мобильных приложений и не предполагает использования сложных и ресурсоемких инструментов шифрования. Тем важнее было, чтобы надежность библиотеки не вызывала сомнений, сказал Олег Галушкин, директор по информационной безопасности компании SEC Consult Services, российского дочернего предприятия SEC Consult
|
В ходе проверки, однако, были выявлены две уязвимости с высокой и средней степенями угрозы.
Первая позволяла подменять технический заголовок, что давало злоумышленнику возможность заставить жертву поверить, что подпись была сгенерирована с использованием алгоритма сообщений, отличного от того, который был фактически использован. Т.е., фактически создавала возможность подмены содержимого письма.
Вторая уязвимость допускала возможность использования слишком коротких (т.е. слабых) ключей шифрования RSA, что снижало надежность шифрования.
Обе проблемы были устранены разработчиками ProtonMail.
Техническое описание аудита безопасности доступно по этой ссылке[8].
В России заблокирован Protonmail
Российские пользователи испытывают проблемы с доступом к системе зашифрованной электронной почты Protonmail. Сообщение об этом появилось в блоге компании Techmedia, на платформе Habr.com. При этом в списке ресурсов, доступ к которым блокирует Роскомнадзор, серверов Protonmail нет[9].
Protonmail предназначен для обмена сообщениям без возможности перехвата сторонними лицами. При отправке сообщений внутри Protonmail сервис обеспечивает шифрование сообщений путем обмена ключами между самими пользователями, в результате чего сам сервис не видит содержимого сообщений.
Электронная почта в интернете пересылается по протоколу SMTP. Для того, чтобы понимать, на какой именно сервер нужно отправлять письмо, в системе DNS (отвечает за соответствие доменов и IP-адресов) создаются специальные MX-записи.
2018: Таинственный хакер заявил о взломе сверхзащищенной «почты для параноиков»
Неизвестный хакер опубликовал в ноябре 2018 года на ресурсе Pastebin заявление, что ему удалось взломать защищенную почту ProtonMail и похитить значительное количество писем и данных о пользователях. Он потребовал от компании «небольшое вознаграждение», пригрозив в противном случае опубликовать или продать данные. Выкуп должен быть передан злоумышленнику до 23 ноября 2018 г[10].
ProtonMail заявила в ответ, что сервис не подвергался взлому и утверждения неизвестного не имеют под собой оснований. Компания пишет, что проверила свои системы, но следов атаки не обнаружила.
Состав данных
Свое сообщение хакер разместил под псевдонимом AmFearLiathMor. По его словам, ему удалось внедрить бэкдор в систему ProtonMail, что позволило в течение нескольких месяцев заниматься кражей переписки пользователей, а также добыть такие данные как их имена, IP-адреса, книги адресатов и т.д.
По словам хакера, в его руках оказались сведения невероятной важности, вроде переписки подрядчиков военных ведомств, которая содержит доказательства нарушения ими Женевской конвенции. Также AmFearLiathMor упоминает данные о действиях подводных дронов в Тихом океане, сведения о возможном нарушении международных договоренностей по Антарктике и т.д. Все это он относит к так называемой первой группе данных.
Ко второй группе относится переписка, доказывающая склонность некоторых высокопоставленных лиц в бизнесе и госсекторе к педофилии. По словам хакера, у него есть полные имена этих людей и описание их преступлений от первого лица. Гипертрофированная важность якобы похищенных сведений стала еще одной причиной, по которой в ProtonMail посчитали взлом выдумкой.
2017: Возможность входить в почту через анонимную сеть Tor
В январе 2017 г. CNews писал, что ProtonMail разрешил пользователям входить в почту через анонимную сеть Tor. Специально для этого был запущен сайт protonirockerxow.onion, куда можно попасть через браузер Tor.
По словам сооснователя ProtonMail Энди Йена (Andy Yen), данная возможность должна помочь пользователям ProtonMail обходить государственную веб-цензуру и блокировки интернета спецслужбами различных стран на уровне провайдеров.
2016: Запуск полноценной версии и мобильного приложения ProtonMail
Полноценная версия почты и мобильное приложение запущены в марте 2016 года[11].
2013: Создание сервиса ProtonMail
Сервис создан в 2013 году сотрудниками Европейской организации по ядерным исследованиям (ЦЕРН). Серверы ProtonMail размещены в Швейцарии, где действуют жесткие законы о защите приватности.
Примечания
- ↑ Encrypted mail service Proton hands suspect's personal info to cops again
- ↑ Сверхзащищенная «почта для параноиков» ProtonMail начала сдавать своих пользователей силовикам. Их арестовывают
- ↑ В России заблокировали сверхзащищенную «почту для параноиков»
- ↑ Gelernt: @ProtonMail unterstützt Echtzeit-Überwachungsmassnahmen, auch ohne BGE … Wird von Cybercrime-Staatsanwalt Walder ausdrücklich als positives Beispiel erwähnt!
- ↑ ProtonMail обвинили в слежке за пользователями и помощи правоохранительным органам
- ↑ ProtonMail voluntarily offers Assistance for Real-Time Surveillance
- ↑ GopenPGP
- ↑ Техническое описание аудита
- ↑ ФСБ заблокировала в России сверхзащищенную почту Protonmail
- ↑ Таинственный хакер заявил о взломе сверхзащищенной «почты для параноиков»
- ↑ «Почта для параноиков» ProtonMail запустила VPN-сервис
Подрядчики-лидеры по количеству проектов
ВидеоМост (VideoMost) (1767)
Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
TrueConf (Труконф) (1593)
Террасофт (Terrasoft, ТС-Консалтинг) (1147)
Directum (Директум) (606)
Другие (8596)
Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
Террасофт (Terrasoft, ТС-Консалтинг) (186)
ВидеоМост (VideoMost) (181)
Directum (Директум) (110)
QuickBPM (83)
Другие (759)
Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
ВидеоМост (VideoMost) (101)
Directum (Директум) (80)
1С-Рарус (30)
Projecto (Проджекто) (26)
Другие (561)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2813)
ВидеоМост (VideoMost) (3, 1818)
Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
TrueConf (Труконф) (3, 1609)
Creatio (12, 1238)
Другие (1932, 7342)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
Directum (Директум) (2, 233)
Creatio (1, 200)
ВидеоМост (VideoMost) (2, 183)
1С Акционерное общество (13, 145)
Другие (154, 503)
Directum (Директум) (2, 236)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
ВидеоМост (VideoMost) (1, 102)
1С Акционерное общество (9, 98)
Projecto (Проджекто) (1, 26)
Другие (95, 340)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
Directum (Директум) (1, 147)
1С Акционерное общество (12, 86)
Naumen (Наумен консалтинг) (5, 22)
1С-Битрикс (1, 21)
Другие (80, 260)
Directum (Директум) (1, 119)
1С Акционерное общество (7, 47)
1С-Битрикс (1, 17)
Naumen (Наумен консалтинг) (3, 14)
БизнесАвтоматика НПЦ (5, 12)
Другие (60, 138)
Распределение систем по количеству проектов, не включая партнерские решения
ВидеоМост (VideoMost) ВКС - 1817
TrueConf Server - 1593
ELMA BPM Suite - 1431
Directum RX - 987
Creatio (ранее bpm’online) - 944
Другие 8461
ELMA BPM Suite - 241
Directum RX - 233
Creatio (ранее bpm’online) - 200
ВидеоМост (VideoMost) ВКС - 182
1С:ERP Управление предприятием 2 - 113
Другие 571
Directum RX - 236
ELMA BPM Suite - 151
ВидеоМост (VideoMost) ВКС - 102
ELMA365 - 83
1С:ERP Управление предприятием 2 - 68
Другие 361
ELMA365 - 161
Directum RX - 147
1С:ERP Управление предприятием 2 - 52
ELMA BPM Suite - 22
1С-Битрикс24 - 21
Другие 295
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (176)
МойОфис (ООО Новые облачные технологии) (79)
Синтеллект (Syntellect) (76)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (52)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (36)
Другие (908)
Синтеллект (Syntellect) (52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
Softline (Софтлайн) (9)
Almi Partner, Алми партнер (ГК Алми) (9)
МойОфис (ООО Новые облачные технологии) (5)
Другие (82)
Датапакс (11)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
CommuniGate Systems (СталкерСофт) (5)
Qsoft (Кьюсофт) (4)
МойОфис (ООО Новые облачные технологии) (4)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (61, 476)
МойОфис (ООО Новые облачные технологии) (12, 89)
Синтеллект (Syntellect) (2, 77)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (2, 64)
СБК (Система безопасных коммуникаций) (2, 41)
Другие (620, 476)
Синтеллект (Syntellect) (2, 52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
Microsoft (6, 15)
СБК (Система безопасных коммуникаций) (1, 11)
The Document Foundation (2, 10)
Другие (32, 48)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
СБК (Система безопасных коммуникаций) (1, 9)
МойОфис (ООО Новые облачные технологии) (2, 5)
Qsoft (Кьюсофт) (1, 4)
Тест АйТи (Test IT) (1, 3)
Другие (17, 19)
МойОфис (ООО Новые облачные технологии) (1, 8)
Корус Консалтинг (1, 8)
Яндекс (Yandex) (1, 7)
Cloud4Y (ООО Флекс) (1, 7)
Qsoft (Кьюсофт) (1, 7)
Другие (21, 40)
СКБ Контур (1, 4)
РуПост (3, 3)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 3)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
Другие (15, 18)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft 365 (ранее Office 365) - 127
Microsoft Exchange Server - 110
Новые облачные технологии: МойОфис - 73
Skype for Business (ранее Microsoft Lync) - 67
Р7-Офис - 64
Другие 773
Syntellect Tessa Мобильное согласование - 30
Syntellect Tessa Графический визуализатор процессов - 28
Р7-Офис - 18
CommuniGate Pro - 11
AlterOffice - 9
Другие 58
Р7-Офис - 9
CommuniGate Pro - 9
Новые облачные технологии: МойОфис - 5
Qsoft Teamly Система управления знаниями - 4
Test IT TMS (Test Management System) - 3
Другие 20