Nov. 8, 2007

Hushmail als Honeypot enttarnt

Offenes SchlossAnders kann man das wohl nicht mehr nennen: gulli: Hushmail petzt - Verschlüsselnder Mailprovider liefert Userdaten ans FBI:
Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.
Wie man sieht sollte man keiner Webseite und keiner Java-Anwendung trauen die beim Verschlüsseln helfen wollen.

Hushmail ist ein Dienst, der dem Nutzer ermöglicht mitteln Java-Applett PGP-verschlüsselte E-Mails zu versenden. In der Theorie eine gute Sache:

  • Das Applet lädt verschlüsselten Schlüssel.
  • User gibt das Passwort ein.
  • User gibt die Nachricht ein.
  • Das Applet verschlüsselt die Nachricht
  • Das Applet versendet die verschlüsselte Nachricht
In der Praxis sieht es aber so aus:
Weniger ernüchternd wäre der Vorfall, ginge es um Kommunikation zwischen einem Hushmail- und einem Nicht-Hushmail-Account - da in dem Fall nicht zwingend verschlüsselt wird. Dass sogar die interne Kommunikation offen gelegt werden konnte, wirft ein extrem schlechtes Licht auf Hush und ihr Krypto-Mailangebot.
Tatsächlich heißt das, dass entweder die E-Mails doch unverschlüsselt gesendet werden, oder aber der Key im Klartext auf dem Server verfügbar war. Das kann der Fall sein, wenn der Key beim anmelden auf dem Server generiert wurde, oder wenn statt der Nachricht das Passwort als Klartext der Seite verfügbar war.

Fazit: Finger weg von Hushmail!

Die sichere Alternative ist ein vertrauenswürdiges GnuPG Binary auf dem eigenem PC. Dessen Integriertät kann man wiederum mit einem vertrauenswürdigen GPG Programm (z.B. von einer LiveCD) überprüfen.

[UPDATE] Phil Zimmermann (PGP Erfinder) verteidigt den Dienst und meint, dass solche Aktionen für einen kommerziell arbeitenden Dienst nötig sind. Also gilt nur sich selber kann man trauen, des Rest sollte man überprüfen.

Kategorien: Verschlüsslung Anonymität Sicherheit
Tagged: Hushmail FBI Verrat

1 Kommentar

Kommentare
Dez. 19, 2007 20:56 - laxu » Blog Archive » Honeypot²: Hushm

[...] Ich riet schon von Hushmail ab, als bekannt wurde, dass sie wie auch immer an die E-Mails eines Nutzers kamen um Drogenermittlungen durchzuführen. Da schien es, als hätten sie auf den akuten Verdacht hin das Javaapplett gegen eines das mitliest ausgetauscht. [...]


Kommentar schreiben