Hushmail

Sept. 21, 2013

Links (98)

Prism:

Kategorien: Links
Tagged: Polizei Helfer ahnungslos Impressum Hushmail linux cmdline cheat sheet Netzneutralität alternativlos Anne Will beamen Apps sicher SPD Wildschweine twitter Feministen Toleranz Zensur Grundrechte Onlineshop Bewertungen Kernel Codename Bradley Manning Nobelpreis Busfahrer iPad Tablet Merkel Raute Strichmännchen Comic AES NSA GCHQ Psychologie Affäre Spähtechnik Export Rüstungskontrolle Snowden CCC Laura Poitras

1 Kommentar

Dez. 19, 2007

Honeypot²: Hushmail von der NSA betrieben?

Offenes SchlossIch riet schon von Hushmail ab, als bekannt wurde, dass sie wie auch immer an die E-Mails eines Nutzers kamen um Drogenermittlungen durchzuführen. Bei dem Fall schien es, als hätte Hushmail auf den akuten Verdacht hin das Javaapplett gegen ausgetauscht gegen eine neue Version die mitliest.

Jetzt sind auf Cryptome Informationen aufgetaucht, die nahelegen dass Hushmail schon länger von der NSA betrieben wurde. Liegt für die NSA ja auch Nahe dem Nutzer einen Service gegen Überwachung zu bieten, bei dem man dann alle Leute die was zu verbergen haben findet.

Weiter schreibt gulli:

Was noch bedenklicher klingt: Zone Alarm, Symantec und McAfee wird vorgeworfen, bei Anwendern ihrer Security-Programmen den Remote-Zugriff der NSA über die IP/TCP-Ports 1024 bis 1030 zu erlauben, eine Sicherheitswarnung gäbe es dabei nicht.
Von "personal Firewalls" halte ich persönlich sowieso nicht viel. Diese helfen meiner Meinung nach vor allem wenn man Programme einsetzt denen man nicht traut. Dann helfen sie tatsächlich, aber ich versuche lieber solche Programme zu vermeiden. Und ein guter Paketfilter läuft idealerweise auf dem nächsten Router, und filtert dort auf Paketebene statt auf Programmebene.

Die Quelle beschuldigt weiterhin Safe-Mail und Guardster, dass sie mit der NSA kooperieren. Eine Bestätigung für die Gerüchte stehen noch aus, allerdings sollten Personen die etwas Geheim halten müssen bis zu einer Klärung vermutlich lieber "zu paranoid" sein und die genannten Dienste meiden.

Alternative wie gehabt: Vertrauenswürdige Software nutzen (signierte Pakete sind ein Segen), und selber verschlüsseln z.B. mit GnuPG

Kategorien: Überwachung
Tagged: Hushmail NSA Firewall Paketfilter

0 Kommentare

Nov. 8, 2007

Hushmail als Honeypot enttarnt

Offenes SchlossAnders kann man das wohl nicht mehr nennen: gulli: Hushmail petzt - Verschlüsselnder Mailprovider liefert Userdaten ans FBI:
Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.
Wie man sieht sollte man keiner Webseite und keiner Java-Anwendung trauen die beim Verschlüsseln helfen wollen.

Hushmail ist ein Dienst, der dem Nutzer ermöglicht mitteln Java-Applett PGP-verschlüsselte E-Mails zu versenden. In der Theorie eine gute Sache:

  • Das Applet lädt verschlüsselten Schlüssel.
  • User gibt das Passwort ein.
  • User gibt die Nachricht ein.
  • Das Applet verschlüsselt die Nachricht
  • Das Applet versendet die verschlüsselte Nachricht
In der Praxis sieht es aber so aus:
Weniger ernüchternd wäre der Vorfall, ginge es um Kommunikation zwischen einem Hushmail- und einem Nicht-Hushmail-Account - da in dem Fall nicht zwingend verschlüsselt wird. Dass sogar die interne Kommunikation offen gelegt werden konnte, wirft ein extrem schlechtes Licht auf Hush und ihr Krypto-Mailangebot.
Tatsächlich heißt das, dass entweder die E-Mails doch unverschlüsselt gesendet werden, oder aber der Key im Klartext auf dem Server verfügbar war. Das kann der Fall sein, wenn der Key beim anmelden auf dem Server generiert wurde, oder wenn statt der Nachricht das Passwort als Klartext der Seite verfügbar war.

Fazit: Finger weg von Hushmail!

Die sichere Alternative ist ein vertrauenswürdiges GnuPG Binary auf dem eigenem PC. Dessen Integriertät kann man wiederum mit einem vertrauenswürdigen GPG Programm (z.B. von einer LiveCD) überprüfen.

[UPDATE] Phil Zimmermann (PGP Erfinder) verteidigt den Dienst und meint, dass solche Aktionen für einen kommerziell arbeitenden Dienst nötig sind. Also gilt nur sich selber kann man trauen, des Rest sollte man überprüfen.

Kategorien: Verschlüsslung Anonymität Sicherheit
Tagged: Hushmail FBI Verrat

1 Kommentar