image

Veroordeelde hacker werkt aan nieuw versleuteld e-mailprotocol

maandag 21 juli 2014, 10:49 door Redactie, 9 reacties

Een software-ingenieur die in 2009 werd veroordeeld voor zijn aandeel in één van de grootste creditcarddiefstallen in de geschiedenis werkt nu samen met Ladar Levison, oprichter van de inmiddels gesloten e-maildienst Lavabit, aan een nieuw versleuteld e-mailprotocol genaamd DarkMail.

DarkMail werd vorig jaar aangekondigd en moet niet alleen de inhoud van e-mailberichten beschermen, maar ook de metadata. Aangezien het huidige e-mailprotocol niet voldoende bescherming biedt besloot de DarkMail Alliantie een nieuw protocol te ontwikkelen. Op dit moment lekken ook versleutelde e-mails metadata, zoals onderwerp, afzender en ontvanger, waardoor het alsnog mogelijk is om verbanden tussen mensen te leggen. DarkMail probeert om ook deze informatie te verbergen en tegelijkertijd met bestaande e-mailclients compatibel te zijn.

Lavabit

Het idee voor de dienst is afkomstig van Ladar Levison, die zijn versleutelde e-maildienst Lavabit sloot omdat hij niet aan een opsporingsverzoek van de Amerikaanse overheid wilde meewerken. Voor de ontwikkeling van de code werkt Levison onder andere samen met Stephen Watt, alias "Jim Jones" en "Unix Terrorist." Watt was betrokken bij de aanval op retailer TJX, waar uiteindelijk 94 miljoen creditcardgegevens werden gestolen. De aanval werd uitgevoerd door Albert Gonzalez. Watt, die eerder een programmeur bij Morgan Stanley was geweest, ontwikkelde voor zijn vriend Gonzalez een netwerksniffer.

Met deze sniffer wist Gonzalez de creditcardgegevens van het gecompromitteerde netwerk te stelen. Watt, die weigerde om de Amerikaanse overheid met hun zaak tegen Gonzalez te helpen, werd uiteindelijk veroordeeld tot een gevangenisstraf van 2 jaar en moest een schadevergoeding van 120 miljoen dollar betalen. In 2011 kwam hij vrij en ging als webprogrammeur aan de slag, totdat een Facebookvriend hem met Levison kennis liet maken.

Geen misdrijf

Levison keek naar de zaak van Watt, maar stelde dat hij niets verkeerds kon ontdekken. "Toen ik naar de details keek, heb ik de zaak in z'n geheel links laten liggen, aangezien hij geen misdrijf had begaan", aldus Levison tegenover Wired. "En als hij geen misdrijf heeft begaan, waarom zou ik dan het feit dat de overheid dacht dat hij wel een misdrijf had begaan tegen hem houden?"

Levison is zelf ook geen onbekende met het Amerikaanse opsporingsapparaat, aangezien hij vorig jaar juni het verzoek kreeg om informatie over de e-mails van Edward Snowden te overhandigen. De klokkenluider gebruikte de versleutelde e-maildienst Lavabit. Levison weigerde om met het verzoek van de autoriteiten mee te helpen en trok uiteindelijk de stekker uit zijn dienst.

Via een Kickstartcampagne wist Levison 200.000 dollar op te halen om het DarkMail-project te financieren. Mede door de onthullingen van Edward Snowden en de manier waarop Lavabit door de autoriteiten werd aangepakt zijn meer mensen zich bewust geworden van het risico van metadata. "Door het nu te doen en mensen de weg te wijzen, hoop ik dat het aanslaat en fundamenteel de manier verandert waarop we e-mail over het internet uitwisselen", aldus Levison.

Reacties (9)
21-07-2014, 11:13 door Anoniem
Heel geloofwaardig. Zijn hoedje was dus achteraf toch van de juiste kleur?

Belangrijker dan het gesmijt met bangmaaktermen is dat we het hebben over Amerikanen in de Verenigde Staten van Amerika, land van de National Security Letter. Het maakt dan weinig uit hoe slim je nieuwe ding gaat zijn, niemand kan je dienst echt vertrouwen. Daarvoor moet je toch echt bij bedrijven en mensen uit een ander land zijn.
21-07-2014, 14:51 door Anoniem
Door Anoniem: Het maakt dan weinig uit hoe slim je nieuwe ding gaat zijn, niemand kan je dienst echt vertrouwen. Daarvoor moet je toch echt bij bedrijven en mensen uit een ander land zijn.

Volgens het bericht wordt het opgezet als een protocol en niet als een dienst

Vooropgesteld dat alle techniek openbaar gereviewd kan worden dan zie ik geen reden om het vertrouwen nu al op te zeggen

Een dienst met het resulterende protocol kan je uiteindelijk op elke gewenste geografische locatie opzetten.
21-07-2014, 16:40 door Anoniem
Door Anoniem: Een dienst met het resulterende protocol kan je uiteindelijk op elke gewenste geografische locatie opzetten.
Vergelijk truecrypt. Protocol, implementatie, Amerikaans bedrijf, NSL, boem.
21-07-2014, 16:44 door Anoniem
"Heel geloofwaardig. Zijn hoedje was dus achteraf toch van de juiste kleur?"

Lastig om daar wat zinnigs over te zeggen, zonder inhoudelijke kennis van het dossier.

Wil het feit dat hij de sniffer maakte, ook zeggen dat hij wist waarvoor deze sniffer uiteindelijk in de TJX zaak gebruikt zou worden ? Het ontwikkelen van een tool is iets anders dan het plegen van criminele handelingen met zo'n tool.

Gezien de strafmaat in de VS, en de geringe straf die hij kreeg, lijkt het erop dat zijn rol verwaarloosbaar was. Anders had hij nog heel wat jaren in de cel mogen vertoeven.
21-07-2014, 17:33 door mcb
But a new project called Dark Mail plans to go further: to hide your metadata.

Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Een dergelijke implementatie bestaat al.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.

Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
21-07-2014, 18:55 door Anoniem
Door mcb:
But a new project called Dark Mail plans to go further: to hide your metadata.

Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Een dergelijke implementatie bestaat al.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.

Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
22-07-2014, 14:32 door mcb - Bijgewerkt: 22-07-2014, 14:32
Door Anoniem 18:55
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Ik ga het heel erg knap vinden als ze toegang tot mijn exchangeserver kunnen krijgen.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.

Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
22-07-2014, 21:17 door Anoniem
Door mcb:
Door Anoniem 18:55
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Ik ga het heel erg knap vinden als ze toegang tot mijn exchangeserver kunnen krijgen.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.

Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.

Het zwakke punt zit in het "met een selfsigned certificaat". Dat biedt dus alleen maar bescherming tegen afluisteren,
niet tegen man-in-the-middle. En aangezien er zoveel systemen met seifsigned of anderszins niet trusted certificaten
werken voor SMTP STARTTLS, is de praktijk dat verzendende servers het niet controleren of in ieder geval de verbinding
niet afbreken als het certificaat brak blijkt te zijn. Ook het feit dat een mailserver voor meerdere domeinen kan werken
maakt het niet gemakkelijker.

Gevolg is dat STARTTLS niet erg veilig is, een stuk minder veilig dan browsen met https in ieder geval.
(waar je browser je keurig waarschuwt als het certificaat niet ok is)

En als dit allemaal op orde was dan nog konden de geheime diensten makkelijk meelezen want die kunnen heel
simpel een certificaat voor jouw domein laten signen. Dus dan moet je nog verder gaan in je controles als je dat
wilt ondervangen.
23-07-2014, 12:44 door Anoniem
Door mcb:
Door Anoniem 18:55
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Ik ga het heel erg knap vinden als ze toegang tot mijn exchangeserver kunnen krijgen.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.

Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Naast de punten die Anoniem 21:17 benoemt, lijkt het me sterk dat het grootste deel van je contacten ook een eigen mailserver heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.