Veroordeelde hacker werkt aan nieuw versleuteld e-mailprotocol
Een software-ingenieur die in 2009 werd veroordeeld voor zijn aandeel in één van de grootste creditcarddiefstallen in de geschiedenis werkt nu samen met Ladar Levison, oprichter van de inmiddels gesloten e-maildienst Lavabit, aan een nieuw versleuteld e-mailprotocol genaamd DarkMail.
DarkMail werd vorig jaar aangekondigd en moet niet alleen de inhoud van e-mailberichten beschermen, maar ook de metadata. Aangezien het huidige e-mailprotocol niet voldoende bescherming biedt besloot de DarkMail Alliantie een nieuw protocol te ontwikkelen. Op dit moment lekken ook versleutelde e-mails metadata, zoals onderwerp, afzender en ontvanger, waardoor het alsnog mogelijk is om verbanden tussen mensen te leggen. DarkMail probeert om ook deze informatie te verbergen en tegelijkertijd met bestaande e-mailclients compatibel te zijn.
Lavabit
Het idee voor de dienst is afkomstig van Ladar Levison, die zijn versleutelde e-maildienst Lavabit sloot omdat hij niet aan een opsporingsverzoek van de Amerikaanse overheid wilde meewerken. Voor de ontwikkeling van de code werkt Levison onder andere samen met Stephen Watt, alias "Jim Jones" en "Unix Terrorist." Watt was betrokken bij de aanval op retailer TJX, waar uiteindelijk 94 miljoen creditcardgegevens werden gestolen. De aanval werd uitgevoerd door Albert Gonzalez. Watt, die eerder een programmeur bij Morgan Stanley was geweest, ontwikkelde voor zijn vriend Gonzalez een netwerksniffer.
Met deze sniffer wist Gonzalez de creditcardgegevens van het gecompromitteerde netwerk te stelen. Watt, die weigerde om de Amerikaanse overheid met hun zaak tegen Gonzalez te helpen, werd uiteindelijk veroordeeld tot een gevangenisstraf van 2 jaar en moest een schadevergoeding van 120 miljoen dollar betalen. In 2011 kwam hij vrij en ging als webprogrammeur aan de slag, totdat een Facebookvriend hem met Levison kennis liet maken.
Geen misdrijf
Levison keek naar de zaak van Watt, maar stelde dat hij niets verkeerds kon ontdekken. "Toen ik naar de details keek, heb ik de zaak in z'n geheel links laten liggen, aangezien hij geen misdrijf had begaan", aldus Levison tegenover Wired. "En als hij geen misdrijf heeft begaan, waarom zou ik dan het feit dat de overheid dacht dat hij wel een misdrijf had begaan tegen hem houden?"
Levison is zelf ook geen onbekende met het Amerikaanse opsporingsapparaat, aangezien hij vorig jaar juni het verzoek kreeg om informatie over de e-mails van Edward Snowden te overhandigen. De klokkenluider gebruikte de versleutelde e-maildienst Lavabit. Levison weigerde om met het verzoek van de autoriteiten mee te helpen en trok uiteindelijk de stekker uit zijn dienst.
Via een Kickstartcampagne wist Levison 200.000 dollar op te halen om het DarkMail-project te financieren. Mede door de onthullingen van Edward Snowden en de manier waarop Lavabit door de autoriteiten werd aangepakt zijn meer mensen zich bewust geworden van het risico van metadata. "Door het nu te doen en mensen de weg te wijzen, hoop ik dat het aanslaat en fundamenteel de manier verandert waarop we e-mail over het internet uitwisselen", aldus Levison.
Belangrijker dan het gesmijt met bangmaaktermen is dat we het hebben over Amerikanen in de Verenigde Staten van Amerika, land van de National Security Letter. Het maakt dan weinig uit hoe slim je nieuwe ding gaat zijn, niemand kan je dienst echt vertrouwen. Daarvoor moet je toch echt bij bedrijven en mensen uit een ander land zijn.
Volgens het bericht wordt het opgezet als een protocol en niet als een dienst
Vooropgesteld dat alle techniek openbaar gereviewd kan worden dan zie ik geen reden om het vertrouwen nu al op te zeggen
Een dienst met het resulterende protocol kan je uiteindelijk op elke gewenste geografische locatie opzetten.
Lastig om daar wat zinnigs over te zeggen, zonder inhoudelijke kennis van het dossier.
Wil het feit dat hij de sniffer maakte, ook zeggen dat hij wist waarvoor deze sniffer uiteindelijk in de TJX zaak gebruikt zou worden ? Het ontwikkelen van een tool is iets anders dan het plegen van criminele handelingen met zo'n tool.
Gezien de strafmaat in de VS, en de geringe straf die hij kreeg, lijkt het erop dat zijn rol verwaarloosbaar was. Anders had hij nog heel wat jaren in de cel mogen vertoeven.
Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.
Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.
Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Het zwakke punt zit in het "met een selfsigned certificaat". Dat biedt dus alleen maar bescherming tegen afluisteren,
niet tegen man-in-the-middle. En aangezien er zoveel systemen met seifsigned of anderszins niet trusted certificaten
werken voor SMTP STARTTLS, is de praktijk dat verzendende servers het niet controleren of in ieder geval de verbinding
niet afbreken als het certificaat brak blijkt te zijn. Ook het feit dat een mailserver voor meerdere domeinen kan werken
maakt het niet gemakkelijker.
Gevolg is dat STARTTLS niet erg veilig is, een stuk minder veilig dan browsen met https in ieder geval.
(waar je browser je keurig waarschuwt als het certificaat niet ok is)
En als dit allemaal op orde was dan nog konden de geheime diensten makkelijk meelezen want die kunnen heel
simpel een certificaat voor jouw domein laten signen. Dus dan moet je nog verder gaan in je controles als je dat
wilt ondervangen.
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
