Veroordeelde hacker werkt aan nieuw versleuteld e-mailprotocol
Een software-ingenieur die in 2009 werd veroordeeld voor zijn aandeel in één van de grootste creditcarddiefstallen in de geschiedenis werkt nu samen met Ladar Levison, oprichter van de inmiddels gesloten e-maildienst Lavabit, aan een nieuw versleuteld e-mailprotocol genaamd DarkMail.
DarkMail werd vorig jaar aangekondigd en moet niet alleen de inhoud van e-mailberichten beschermen, maar ook de metadata. Aangezien het huidige e-mailprotocol niet voldoende bescherming biedt besloot de DarkMail Alliantie een nieuw protocol te ontwikkelen. Op dit moment lekken ook versleutelde e-mails metadata, zoals onderwerp, afzender en ontvanger, waardoor het alsnog mogelijk is om verbanden tussen mensen te leggen. DarkMail probeert om ook deze informatie te verbergen en tegelijkertijd met bestaande e-mailclients compatibel te zijn.
Lavabit
Het idee voor de dienst is afkomstig van Ladar Levison, die zijn versleutelde e-maildienst Lavabit sloot omdat hij niet aan een opsporingsverzoek van de Amerikaanse overheid wilde meewerken. Voor de ontwikkeling van de code werkt Levison onder andere samen met Stephen Watt, alias "Jim Jones" en "Unix Terrorist." Watt was betrokken bij de aanval op retailer TJX, waar uiteindelijk 94 miljoen creditcardgegevens werden gestolen. De aanval werd uitgevoerd door Albert Gonzalez. Watt, die eerder een programmeur bij Morgan Stanley was geweest, ontwikkelde voor zijn vriend Gonzalez een netwerksniffer.
Met deze sniffer wist Gonzalez de creditcardgegevens van het gecompromitteerde netwerk te stelen. Watt, die weigerde om de Amerikaanse overheid met hun zaak tegen Gonzalez te helpen, werd uiteindelijk veroordeeld tot een gevangenisstraf van 2 jaar en moest een schadevergoeding van 120 miljoen dollar betalen. In 2011 kwam hij vrij en ging als webprogrammeur aan de slag, totdat een Facebookvriend hem met Levison kennis liet maken.
Geen misdrijf
Levison keek naar de zaak van Watt, maar stelde dat hij niets verkeerds kon ontdekken. "Toen ik naar de details keek, heb ik de zaak in z'n geheel links laten liggen, aangezien hij geen misdrijf had begaan", aldus Levison tegenover Wired. "En als hij geen misdrijf heeft begaan, waarom zou ik dan het feit dat de overheid dacht dat hij wel een misdrijf had begaan tegen hem houden?"
Levison is zelf ook geen onbekende met het Amerikaanse opsporingsapparaat, aangezien hij vorig jaar juni het verzoek kreeg om informatie over de e-mails van Edward Snowden te overhandigen. De klokkenluider gebruikte de versleutelde e-maildienst Lavabit. Levison weigerde om met het verzoek van de autoriteiten mee te helpen en trok uiteindelijk de stekker uit zijn dienst.
Via een Kickstartcampagne wist Levison 200.000 dollar op te halen om het DarkMail-project te financieren. Mede door de onthullingen van Edward Snowden en de manier waarop Lavabit door de autoriteiten werd aangepakt zijn meer mensen zich bewust geworden van het risico van metadata. "Door het nu te doen en mensen de weg te wijzen, hoop ik dat het aanslaat en fundamenteel de manier verandert waarop we e-mail over het internet uitwisselen", aldus Levison.
Belangrijker dan het gesmijt met bangmaaktermen is dat we het hebben over Amerikanen in de Verenigde Staten van Amerika, land van de National Security Letter. Het maakt dan weinig uit hoe slim je nieuwe ding gaat zijn, niemand kan je dienst echt vertrouwen. Daarvoor moet je toch echt bij bedrijven en mensen uit een ander land zijn.
Volgens het bericht wordt het opgezet als een protocol en niet als een dienst
Vooropgesteld dat alle techniek openbaar gereviewd kan worden dan zie ik geen reden om het vertrouwen nu al op te zeggen
Een dienst met het resulterende protocol kan je uiteindelijk op elke gewenste geografische locatie opzetten.
Lastig om daar wat zinnigs over te zeggen, zonder inhoudelijke kennis van het dossier.
Wil het feit dat hij de sniffer maakte, ook zeggen dat hij wist waarvoor deze sniffer uiteindelijk in de TJX zaak gebruikt zou worden ? Het ontwikkelen van een tool is iets anders dan het plegen van criminele handelingen met zo'n tool.
Gezien de strafmaat in de VS, en de geringe straf die hij kreeg, lijkt het erop dat zijn rol verwaarloosbaar was. Anders had hij nog heel wat jaren in de cel mogen vertoeven.
Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.
Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
Metadata is the pernicious transaction data involving the “To”, “From” and subject fields of email that the NSA finds so valuable for tracking communications and drawing connections between people. Generally, even when email is encrypted, metadata is not.
Te weten Starttls. (https://en.wikipedia.org/wiki/STARTTLS)
Dit encrypt onder andere mailverkeer tussen 2 mailservers.
Als test heb ik een mail vanuit yahoo naar een account op mijn eigen exchange server gestuurd.
Wireshark op deze server gerund. Het enige wat werd gezien is dat er verkeer is van de ene mailserver naar de andere.
Geen info over zender,ontvanger, subject.
Het verkeer is encrypted met het selfsigned of anders via CA uitgegeven certificated geinstalleerd op de (in mijn geval) exchange server.
Aangezien steeds meer mail providers Starttls gaan gebruiken, verdwijnt dit probleem vanzelf (hoewel het iets sneller mag).
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Het zwakke punt zit in het "met een selfsigned certificaat". Dat biedt dus alleen maar bescherming tegen afluisteren,
niet tegen man-in-the-middle. En aangezien er zoveel systemen met seifsigned of anderszins niet trusted certificaten
werken voor SMTP STARTTLS, is de praktijk dat verzendende servers het niet controleren of in ieder geval de verbinding
niet afbreken als het certificaat brak blijkt te zijn. Ook het feit dat een mailserver voor meerdere domeinen kan werken
maakt het niet gemakkelijker.
Gevolg is dat STARTTLS niet erg veilig is, een stuk minder veilig dan browsen met https in ieder geval.
(waar je browser je keurig waarschuwt als het certificaat niet ok is)
En als dit allemaal op orde was dan nog konden de geheime diensten makkelijk meelezen want die kunnen heel
simpel een certificaat voor jouw domein laten signen. Dus dan moet je nog verder gaan in je controles als je dat
wilt ondervangen.
Aan starttls heb je weinig, want de NSA kan gewoon eromheen werken met toegang tot de servers.
Alleen poort 25 op mijn server staat open voor verkeer van buiten het lokale netwerk.
Op mijn router staan slechts enkele poorten open.
Zolang ze niet bij het certificate van de ontvangende mailserver kunnen komen, wens ik ze veel succes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.