#1 8. November 2007 Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext. Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt. Wegen Handel mit Anabolika und Steroiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen. Weniger ernüchternd wäre der Vorfall, ginge es um Kommunikation zwischen einem Hushmail- und einem Nicht-Hushmail-Account - da in dem Fall nicht zwingend verschlüsselt wird. Dass sogar die interne Kommunikation offen gelegt werden konnte, wirft ein extrem schlechtes Licht auf Hush und ihr Krypto-Mailangebot. Denn auf irgend eine Weise müssen die Schlüssel oder die Klartexte der Mails seitens von Hushmail ermittelt worden sein - vermutet wird beispielsweise ein Zugriff auf das clientseitige Java-Applet, welches für die Verschlüsselung zuständig ist. Auf eine Datenanforderung durch Strafermittler kann Hushmail unterschiedlich reagieren - konsequent wäre es gewesen, die verschlüsselten Botschaften herauszugeben, falls überhaupt noch vorhanden, und dem DEA das Problem zu überlassen, PGP zu knacken (was nach gängigem Wissensstand unmöglich ist). Stattdessen hatte man offenbar die eigenen Kunden abgehört. Der Mailwechsel zwischen osocabro@hushmail.com und glpinternational@hushmail.com wurde so im Klartext für die Ermittler zugänglich. Noch schlimmer: Hushmail gab auch IP-Logs an die Ermittler weiter, mit denen über die Provider anschließend die Identität der Postfachinhaber aufgeklärt werden konnte. Ein Anbieter wie Hushmail sollte diese eigentlich nicht lange speichern, bzw. dürfte sie dem eigenen Anspruch nach nicht einmal aufzeichnen. Und wenn man schon beim Aufdecken von Identitäten ist: Bakersfield.com veröffentlichte die externer Link in neuem Fenster folgtPDFs zum Ermittlungsverfahren und hielt es nach all der erschnüffelten Information nicht mehr für nötig, Realnamen, Adressen oder Telefonnummern zu schwärzen. Aber darauf kommt es nun vermutlich auch nicht mehr wirklich an. So gilt weiterhin: Sichere Verschlüsselung findet auf dem heimischen Rechner statt: mit einer interner Link folgtPGP/GPG-Lösung, die als Open Source verfügbar ist. Allen anderen Methoden sollte man misstrauen. Quelle:gulli.com + Multi-Zitat Zitieren
#2 8. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI uha DER scene mailprovider ist wohl gestorben...ich als grp leader würd mir ne neue zulegen... naja am besten ich benutzte meine hushaxx auch nimmer + Multi-Zitat Zitieren
#3 9. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI Wer hätte das gedacht. Ist aber schon blöd von hushmail, die Daten rauszugeben. Jetzt ist doch deren Image weg und sie sind nur noch ein normaler Mail Dienst, der mit dem FBI koperiert + Multi-Zitat Zitieren
#4 9. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI Naja, Hushmail war ja sowiseo NIE sicher. Wer traut schon freiwillig einem US Unternehmen mit Servern die z.T. in Groß Britanien stehen? Gruß Heimatærde + Multi-Zitat Zitieren
#5 9. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI hmz na super und ich hab mir erst vor ner woche wieder nen hushmail-acc zugelegt Was mich wundert iss dass sau viele Crews bzw Rel-Groups bei hushmail sind (bzw. waren)...und da iss doch auch nie was geschehen zwecks Strafverfolgung....naja aber thx für die news btw: Kann mir einer denn nen guten und vorallem secured Mailprovider empfehlen? hab noch nen acc bei inbox.lv -- was ist den mit denen, sind die einigermaßen sicher? greetZ r4d30nG + Multi-Zitat Zitieren
#6 9. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI hab auch einen da^^ weiß nicht ob die sicher sind hab auch einen bei eng.mail.ru! ja denke mal die crews haben selber nochmal die mails gecryptet oder nur nonsense was nicht so wichtig is darüber beredet + Multi-Zitat Zitieren
#7 9. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI Ich habe dir mal eine PN dazu geschrieben. @All: Bevor mich jetz x-Leute anschreiben guckt euch meine Signatur an... Use your brain and think about it! Heimatærde + Multi-Zitat Zitieren
#8 21. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI Hushmail: PGP-Erfinder Zimmermann verteidigt Datenherausgabe des Krypto-Mailproviders an die DEA Letzten Endes ist es Sache der User, sich um die Sicherheit ihrer Mails zu kümmern, so der PGP-Erfinder Phil Zimmermann über die Datenherausgabe des Mailproviders Hushmail an US-Ermittler. Man dürfe Hushmail wegen der Aktion nicht verdammen, es sei selbstmörderisch, in so einem Fall anders zu handeln. Hushmail bietet Maildienste an, die per default PGP-verschlüsselt zwischen Hushmail-Nutzern abgewickelt werden und warb damit, nicht einmal die eigenen Mitarbeiter könnten die Mails entschlüsseln. Dennoch gaben sie mehrere CDs mit Mailwechseln an die Drogenermittlungsbehörde DEA weiter. Das Problem: nutzt ein User die Verschlüsselung per Java-Applet, kann er prinzipiell von Hushmail ein modifiziertes Applet mit Backdoor untergeschoben bekommen. Dafür musste Hushmail erheblich Prügel einstecken. Mit Phil Zimmermann, Erfinder der PGP-Verschlüsselung, bekommt der Provider nun einen gewichtigen Fürsprecher. "Wenn ein Bedrohungsmodell mit einschließt, dass Regierungsinstitutionen mit aller Kraft und allen Mitteln einen Provider zur Kooperation zwingen, gibt es Wege, an den Plaintext heranzukommen. Nur weil Verschlüsselung im Spiel ist, heißt das nicht, dass man einen Talisman gegen Ermittler besitzt. Die können einen Provider zur Kooperation verpflichten." Was in dem Fall offenbar geschehen ist und woraufhin Hushmail keine Wahl gelassen wurde. Die Betreiber hätten "das Herz am rechten Fleck", so Zimmermann, aber in manchen Situationen helfe das schlicht nicht weiter. "Es wäre selbstmörderisch für ihr Geschäftsmodell, wenn sie das nicht getan hätten ... Es gibt gewisse Angriffe, die jenseits ihrer Abwehrmöglichkeiten sind. Sie (Hushmail) sind kein souveräner Staat." Stattdessen hätten die Anwender beispielsweise das Applet per Checksum auf Veränderungen prüfen müssen, so Zimmermann. Hushmail gab zu, auf richterliche Anordnung gezwungen zu sein, mit den Ermittlern zu kooperieren, so weit es in ihren Möglichkeiten stehe. Dazu gehört offenbar auch das gezielte Einspielen manipulierter Applets auf die Rechner bestimmter User. Inzwischen empfiehlt Hushmail, dass niemand den Dienst nutzen sollte, der in Aktivitäten verwickelt ist, die zu richterlichen Anordnungen zur Datenherausgabe in British Columbia führen könnte. quelle: gulli untergrund news + Multi-Zitat Zitieren
#9 23. November 2007 AW: Verschlüsselnder Mailprovider liefert Userdaten ans FBI Naja sicherer als gmx oder web.de wirds sicher sein Ich werds noch weiter benützen, vpn ist sowieso fast immer an.... Aber bin auch überrascht, dachte die sind sicherer! + Multi-Zitat Zitieren