EFF start nieuw project om veiligheid van e-mail te vergroten
De Amerikaanse burgerrechtenbeweging EFF is een nieuw project gestart om de veiligheid van e-mail te vergroten. STARTTLS Everywhere moet het eenvoudiger voor mensen maken om ervoor te zorgen dat hun communicatie niet kwetsbaar is voor massasurveillance.
STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het moet door de beheerder van de mailserver worden ingeschakeld. Via de website starttls-everywhere.org kunnen gebruikers controleren of hun e-mailprovider STARTTLS heeft ingeschakeld, of er van een geldig certificaat gebruik wordt gemaakt en of die op de STARTTLS "preload list" staat.
"Net als http, is smtp niet ontwikkeld met encryptie en authenticatie in het achterhoofd, aangezien het vertrouwensmodel van het internet erg verschilt van wat het in de jaren 70 was", aldus de EFF. Mailservers communiceren standaard via smtp. Aangezien smtp geen gebruik van versleuteling maakt kan het eenvoudig worden afgeluisterd. STARTTLS gaat dit tegen door een beveiligde verbinding op te zetten.
De EFF merkt op dat de e-mailprovider in dit geval de e-mails nog wel steeds kan lezen. STARTTLS biedt namelijk geen end-to-end-encryptie van de e-mails. Volgens de burgerrechtenbeweging moet het dan ook vooral als een basale beveiligingsmaatregel tegen buitenstaanders worden gezien. Veel e-mailproviders bieden inmiddels STARTTLS aan, maar in veel gevallen wordt het gebruikte certificaat voor het opzetten van de beveiligde verbinding niet gecontroleerd. Zo kan een aanvaller nog steeds e-mails onderscheppen.
Daarnaast zijn mailservers kwetsbaar voor "downgrade-aanvallen". Bij het opzetten van de beveiligde verbinding stuurt de mailserver eerst een onversleuteld bericht met het verzoek tot het gebruik van STARTTLS. Een aanvaller op het netwerk kan dit bericht blokkeren, zodat de ontvangende mailserver het niet ziet en beide servers denken dat de ander geen STARTTLS ondersteunt.
STARTTLS Everywhere moet ook deze problemen oplossen. Het project biedt namelijk software waarmee serverbeheerders de mogelijkheid hebben om een geldig certificaat via Let's Encrypt te verkrijgen. De software kan de mailserver zo configureren dat het STARTTLS gebruikt en een geldig certificaat aan andere mailservers laat zien. Verder bevat STARTTLS Everywhere een "preload list" van e-mailservers die STARTTLS ondersteunen, wat downgrade-aanvallen tegen kan gaan. "Dit moet uiteindelijk voor veiligere e-mail en minder massasurveillance zorgen", aldus de EFF.
SPF
DKIM
DMARC
CAA record
TSLA records
[Nog iets?]
Dit geeft een breed pallet aan controlemogelijkheden.
Onversleutelde verbindingen kunnen aan de serverzijde worden geweigerd vóór MAIL FROM. Als op den duur iedereen en zijn oma eindelijk encryptie op de goede manier gebruikt kunnen we dat gaan afdwingen. Tot die tijd kan het nodig bij specieke situaties i.v.m. AVG.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
