Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept

Ostif, de organisatie die de audit van de VeraCrypt-encryptiesoftware organiseert, vermoedt dat e-mails over de audit worden onderschept. De berichten komen niet aan en zijn niet terug te vinden in de 'verzonden berichten'-folder.

VeraCrypt fpa Ostif schrijft dat het met QuarksLab, de partij die de audit gaat uitvoeren, en de hoofdontwikkelaar van VeraCrypt een e-mailuitwisseling op basis van pgp heeft opgezet. In de over en weer verstuurde e-mails zouden de partijen details van de audit hebben besproken, waaronder kwetsbaarheden, processen en procedures voor het melden van bevindingen. Tot nu toe zouden vier berichten volledig zijn verdwenen die afkomstig waren van verschillende verzenders. Ostif meldt dat het gebruikmaakt van de Google Apps-versie van Gmail voor bedrijven.

De partijen gaan ervan uit dat dit het gevolg is van inmenging door derden. Daarom zouden zij nu overgaan naar een andere manier voor het uitwisselen van versleutelde berichten. Ostif gaat niet in op de manier waarop het bij de conclusie is uitgekomen dat de verdwenen berichten het gevolg zijn van onderschepping.

Op 1 augustus maakte Ostif bekend dat er een audit van de broncode van VeraCrypt zou plaatsvinden. De nodige financiële middelen zijn beschikbaar gesteld door zoekmachine DuckDuckGo en vpn-dienstverlener VikingVPN. Het is de bedoeling dat de resultaten van het onderzoek halverwege september gepresenteerd worden door QuarksLab. Het bedrijf heeft afgesproken om gevonden lekken eerst met de ontwikkelaars van VeraCrypt te delen, zodat deze met een oplossing kunnen komen.

VeraCrypt is software waarmee gebruikers hun harde schijf volledig of gedeeltelijk kunnen versleutelen. Ook biedt de software de mogelijkheid om versleutelde containers aan te maken, die alleen met een wachtwoord toegankelijk zijn en verborgen kunnen worden. VeraCrypt is een fork van TrueCrypt, dat niet meer wordt ontwikkeld. Tweakers besteedde uitgebreid aandacht aan VeraCrypt in de achtergrond over privacytools.

IT-banen

Reacties (81)

Tukkertje-RaH 15 augustus 2016 12:02

Van de website van OSTIF:

We have now had a total of four email messages disappear without a trace, stemming from multiple independent senders. Not only have the emails not arrived, but there is no trace of the emails in our “sent” folders. In the case of OSTIF, this is the Google Apps business version of Gmail where these sent emails have disappeared.

Daarmee zou OSTIF kunnen suggereren dan Google of heeft meegewerkt, of zodanig gehackt is dat derden toegang hebben tot Gmail of Google Apps...

https://ostif.org/ostif-q...ls-are-being-intercepted/

[Reactie gewijzigd door Tukkertje-RaH op 25 juli 2024 00:26]

GeoBeo @Tukkertje-RaH • 15 augustus 2016 13:22

Van de website van OSTIF:

We have now had a total of four email messages disappear without a trace, stemming from multiple independent senders. Not only have the emails not arrived, but there is no trace of the emails in our “sent” folders. In the case of OSTIF, this is the Google Apps business version of Gmail where these sent emails have disappeared.

Daarmee zou OSTIF kunnen suggereren dan Google of heeft meegewerkt, of zodanig gehackt is dat derden toegang hebben tot Gmail of Google Apps...

https://ostif.org/ostif-q...ls-are-being-intercepted/

Dat Google meewerkt (in het geval van de NSA) is inmiddels toch wel algemeen bekend mag ik hopen? Ze hebben voor wat betreft servers in de V.S. geen keuze. De NSA mag en moet volgens de wet overal bij kunnen en Google mag dit volgens de wet niet publiekelijk toegeven.

Als je nu nog niet doorhebt dat al je communicatie die via een Amerikaans bedrijf loopt 100% zeker weten afgeluisterd kan worden (als er interesse voor is) dan heb je tijdens Snowden liggen slapen...

Hoe werkt het:
1. NSA heeft een "warrant" nodig om via de FBI op een legale manier data van een gebruiker van Google op te kunnen vragen. Hiervoor hoeft niet gehacked te worden. Die warrants worden heel gemakkelijk gegeven: https://www.washingtonpos...6-f2c941cf35f1_story.html Alleen al hiermee is gegarandeerd dat de NSA bij alle data kan waar ze bij willen kunnen. Die warrant heeft in de praktijk dus amper betekenis.
2. Als bovenstaande niet werkt kan de NSA op technische manieren iedereen afluisteren/hacken. Dit zijn de welbekende Snowden revelaties, waaruit bleek dat ze o.a. in de servers van Google zitten/zaten. Als je je bedenkt dat bij de NSA de slimste koppen te wereld zitten met een bijna ongelimiteerd budget en dan snap je ook dat dit niet ver gezocht is en prima mogelijk is.

[Reactie gewijzigd door GeoBeo op 25 juli 2024 00:26]

tERRiON @GeoBeo • 15 augustus 2016 14:43

Maar dit wat hierboven gesuggereerd wordt, gaat nog wel even een hele flinke stap verder. Het opvragen van gegevens is in mijn ogen zoiets als: Maak een kopie van de originele gegevens.

Wat hier gedaan lijkt te zijn komt eerder neer op: Verhinder en/of vernietig preventief de communicatie tussen de partijen X en Y.

mbb @tERRiON • 15 augustus 2016 21:19

Daar hoef je geen NSA/FBI voor te zijn,dat mag de Nederlandse politie en AIVD ook hoor
nieuws: Wetsvoorstel hackbevoegdheid politie gaat naar Raad van State

reviews: Wat mogen de geheime diensten straks?

bogy @tERRiON • 15 augustus 2016 16:38

al mijn mail verkeer loopt via een eigen server, er zitten nog andere mensen op ook hoor (die mij dus meer vertrouwen dan een ander, want je krijgt alleen maar een acount als je er zelf om vraagt en onder voorwaarden)...

het is wel zo dat alle verkeer verplicht met ssl moet naar de server; zodoende dat niemand per ongeluk dat heen en weer verstuurd dat unencrypted is en wachtwoorden bevat...
ondertussen is server2server ook al meer en meer encrypted, al hebben nog steeds niet alle partijen smtp met ssl ingeschakeld of beschikbaar (ik heb het al een jaar of 5-6 op m'n server, in 't begin kon ik echt quasi nergens beveiligd verbinden voor het afleveren van uitgaande mails, tegenwoordig is dat dus veel beter en worden de meeste mails met ssl afgeleverd..)

en de server zelf? die staat lekker fris in mijn kelder te draaien, op een dsl-verbinding uiteraard (kabel valt uit als de electriciteit in de buurt uitvalt, dsl niet); uiteraard is alle nodige apparatuur (server + dsl modem + switch) op een ups aangesloten zodat hij echt 24/7 kan draaien (en bij uitval van stroom toch nog een uurtje verder kan; wat meestal ruim voldoende is om kleine calamiteiten opgelost te krijgen; al heb ik noiot langer dan 2seconden de ups weten aanspringen (iemand die kortsluiting veroorzaakt ofzo, (bij illegaal aftappen ofzo?))

maar ik vind het vooral vreemd dat die mails ook echt weg zijn uit de verzonden map... Moest ik mails willen onderscheppen, dan zou ik ze kopieren en zorgen dat de ontvanger en verzender er niets van merken; zo kan ik namelijk langer doorgaan met het smerige werk van privacyschenden... door dingen te deleten (of een move te doen ipv een copy) verraad je toch alleen maar dat je daar bent geweest? Alsof een dief een kopie pakt van je sleutels om later in te breken, maar de originele ook maar bijhoudt... dan weet je toch dat er iets aan de hand is, moest hij de originele terugleggen, wist je van niets en was achteraf je huis leeg (de data die ze onderscheppen is wellicht met de bedoeling om in veracrypt-datasets binnen te geraken dmv exploits)

mbarie @Tukkertje-RaH • 15 augustus 2016 12:07

Nou kan je in Gmail gewoon berichten verwijderen uit je verzonden items. Maar het feit dat er zichtbare sporen lijken van een onbekende entititeit baart zeer zeker zorgen. Ik ben benieuwd of Google hier officieel op zal reageren gezien de potentiële ernst/gevolgen van het persbericht van Ostif.

Madden @mbarie • 15 augustus 2016 12:26

Maar het feit dat er zichtbare sporen lijken van een onbekende entititeit baart zeer zeker zorgen.

Hoe bedoel je 'zichtbare sporen'? Heel sec zijn er juist geen sporen want de mails lijken niet eens verzonden. Maar het feit dat ze niet in de Verzonden items staan lijkt mij meer te duiden op een probleem aan de verzendende kant (virus? gehacked? PGP plugin die niet correct werkt?) dan aan de kant van Google.

Het zou wel goed zijn als Google hier inderdaad officieel op reageert. Met logs waarin te zien is (of juist niet) dat de betreffende berichten wel/niet aangeboden zijn ter verzending.

mbarie @Madden • 15 augustus 2016 12:29

Het ontbreken/missen van informatie is ook een spoor. Verder ben ik het eens met je observatie dat het zomaar aan de kant van de zender zou kunnen liggen. Al is dat moeilijk op te maken met de beperkte informatie die we hier hebben.

Als er echt geen zichtbare sporen waren geweest hadden we dit nieuwsbericht nu in ieder geval niet gelezen

[Reactie gewijzigd door mbarie op 25 juli 2024 00:26]

Zer0 @Madden • 15 augustus 2016 12:36

Maar het feit dat ze niet in de Verzonden items staan lijkt mij meer te duiden op een probleem aan de verzendende kant (virus? gehacked? PGP plugin die niet correct werkt?)

Of simpelweg nooit verzonden...

Madden @Zer0 • 15 augustus 2016 12:38

Of simpelweg nooit verzonden...

Tja, dat kan natuurlijk ook nog. Maar ik ben er maar van uit gegaan dat ze niet een dergelijk bericht uitsturen op basis van zo'n klungelige actie.

Rob_03 @Madden • 15 augustus 2016 12:47

Tja je hebt er nogal wat "alu hoedjes" bij die al snel "vreemde zaken" ophangen aan een willekeurige overheid.

Ik vraag me eerder af waarom een organisatie als deze een dienst als Google Apps afneemt terwijl Google als mede USA nou niet echt bekend staan als "privacy friendly". Notabene ook nog eens de grote concurrent van je geldschieter. Ok das ook een beetje alu hoedje gedachten.

Voor de goede orde ik heb niks tegen Google in tegendeel.

Als ik het zo lees is het eerder een marketing 3.0 berichtje en het werkt.

himlims_ @Rob_03 • 15 augustus 2016 13:53

je hebt deze niet gezien? http://soros.dcleaks.com/

man man man als dit waar is .... dan neem ik terug wat gezegd heb over alu hoedjes .... en geen woord hierover in de MSM ...

[Reactie gewijzigd door himlims_ op 25 juli 2024 00:26]

unique-R @himlims_ • 15 augustus 2016 16:00

Ik heb een paar documenten gelezen van de link waarnaar je refereert. Eerlijk gezegd begrijp ik niet helemaal waar het omdraait. Wil je dat aan me uitleggen?

Benne @himlims_ • 15 augustus 2016 13:55

Wees maar gerust dat dit allemaal waar is.

Rob_03 @himlims_ • 15 augustus 2016 14:21

Die heb ik dan net weer niet gezien. De scheiding tussen wat is "alu hoedjes" en wat is dagelijkse praktijk is dun. Vanuit marketing perspectief is die vrij duidelijk.

Armin

Netwerk en systeembeheer
Security
Encryptie

@Madden • 17 augustus 2016 19:59

(virus? gehacked? PGP plugin die niet correct werkt?) dan aan de kant van Google.

En inderdaad, 2 dagen later ...

het probleem aan zijn kant waarschijnlijk zat tussen zijn mailapplicatie en GPGMail, waarmee pgp-e-mails verstuurd kunnen worden.

$_/-\o_$

downtime @Tukkertje-RaH • 15 augustus 2016 12:30

Het klinkt als een broodje aap. Als een agency toegang heeft tot die berichten dan zouden ze wel zorgen dat ze geen sporen achterlaten. Het is immers maar de vraag of deze mensen nu niet uitwijken naar een vorm van communicatie die die agency nog niet kan afluisteren.

Vermoed dat deze mensen zelf iets fout doen of last van een bug in hun software hebben.

SuperDre @downtime • 15 augustus 2016 13:32

Lijkt mij ook, want de informatie die in de mail verzonden zou zijn, is toch bekend bij de verzender, en als de ontvanger niet reageert of zegt niet te hebben ontvangen, dan zal de verzender de originele informatie gewoon opnieuw verzenden.. Lijkt mij dus ook om een bug of userfout te gaan.. Denk dat het anders ook wel om heel wat meer mailtjes als 4 (bij verschillende gebruikers blijkbaar).. Zal niet de eerste keer zijn dat mailtjes die verzonden zijn niet aankomen..

David Mulder @Tukkertje-RaH • 15 augustus 2016 12:29

Als Google hieraan zou meewerken dan zouden er natuurlijk geen merkbare sporen zijn. Veel waarschijnlijk is sowieso dat Gmail hier alleen word gebruikt als SMTP en POP server, want de extensies die je draait bovenop Gmail zijn relatief onveilig.

TheGhostInc @Tukkertje-RaH • 15 augustus 2016 12:35

Je zou ook kunnen suggereren dat er iemand in het team zit die er een bende van aan het maken is? Een systeembeheerder die iets stoms heeft gedaan en dat even onder het tapijt probeerde te vegen.

Overigens is het niet gek dat bij Google Apps for business mail verdwijnt uit de inbox & de sendbox tegelijkertijd. Je gaat een mailtje niet 10x kopieren als 10 mensen dat mailtje hebben, je slaat het 1x op en de rest zijn verwijzingen. Als er dan iets misgaat met de data, dan verdwijnt zo'n mailtje ineens uit alle folders. Een 'glitch' of bug bij Google is dus ook gewoon een van de mogelijkheden.

Maar het is natuurlijk veel spannender om een groot complot te verwachten, terwijl bij een dergelijke audit de bevindingen maar beperkt interessant zijn. Alle bevindingen uit de audit zullen waarschijnlijk binnen dagen/weken gefixed worden. Het enige interessante zou zijn is welke bevindingen een NSA/CIA/FBI/... wel heeft gevonden en die niet uit de audit komen.
Maar de bug fixes volgen en later het audit rapport bekijken is daarvoor ook al genoeg, om zoveel resources in te zetten om een paar weken eerder te weten of je exploit blijft werken is niet heel zinnig, veiligheidsdiensten hebben echt wel iets beters te doen.
En wil je weten hoe Quarkslab werkt? Dan huur je ze toch gewoon een keertje in. De overheid heeft genoeg software die tegen het licht gehouden kan worden.

Verwijderd @Tukkertje-RaH • 15 augustus 2016 13:44

Ze hebben de e-mails meerdere malen verstuurd? Dat stond er niet bij. Het is onwaarschijnlijk maar e-mail kan soms kwijtraken.

TWyk @Tukkertje-RaH • 15 augustus 2016 15:25

4 emails is erg weinig en van de Google apps OSTIF mail zelf zullen het dus maar hoogstens 2 mails geweest zijn. Dat kan ook best een ongelukje zijn. Ik heb ook wel eeens een foutje gemaakt met een toetscombinatie en vervolgens op ok klikken en gedacht dat ik een mail had verzonden terwijl ik eigenlijk het concept had verwijderd.

Ik vind het eigenlijk maar een raar verhaal.
Waarom zou iemand die heimelijk mails wil onderscheppen die mails weggooien uit de inbox. Dat is niet erg heimelijk.

Marty007 @Tukkertje-RaH • 15 augustus 2016 12:45

Of de pc van de gebruikers was al geïnfecteerd . ... lijkt me veel waarschijnlijker dan gelijk de suggestie opperen dat Gmail gehakt zou zijn

Verwijderd 15 augustus 2016 12:03

Heeft dit voor de gemiddelde gebruiker effect? omdat ik namelijk veracrypt gebruik om alles te versleutelen.

thomasmoors @Verwijderd • 15 augustus 2016 12:07

Als het goed is niet, de code is open source en het is dus de bedoeling dat iedereen de werking van de applicatie mag zien. Het is wel mogelijk dat foutjes in de code waar "het grote publiek" nog niet van op de hoogte was nu wel eerder in de onderscheppers handen is dan de rest en dus eerder kunnen proberen misbruik te maken van zulke fouten.

Jaahp @thomasmoors • 15 augustus 2016 12:23

TrueCrypt was ook open source, maar die zijn om geheime reden opeens gestopt. Het is zorgzaam dat <hoogst waarschijnlijk een Amerikaanse agency> zich hier nu mee bemoeit.

Mr777 @Jaahp • 15 augustus 2016 18:33

Truecrypt werkt nog steeds prima hoor. Dat het niet meer verder ontwikkeld wordt betekent niet dat het niet functioneel meer is. Op mijn Linux-bak gaat het nog wel wat jaartjes mee.

mbb @Jaahp • 15 augustus 2016 21:21

De Russen en de Chinesen hacken anders ook aardig hoor. En in Europa zijn we hard bezig om onze achterstand in te halen

WhatsappHack

Netwerk en systeembeheer
Encryptie
Security

@thomasmoors • 15 augustus 2016 15:27

Je moet er vanuit gaan dat het niet veilig is. Dat is een stuk slimmer. Altijd meerdere lagen encryptie gebruiken, nooit leunen op één oplossing. Opensource of niet, dat is ook niet de heilige graal namelijk.

Verwijderd @Verwijderd • 15 augustus 2016 12:08

Het bericht gaat dus om emailverkeer met gebruik van Google Apps (Business). Of er kritieke informatie omtrent zwakheden in de broncode is buitgemaakt, kunnen we helaas nog niet vaststellen lijkt me.

Rafe @Verwijderd • 15 augustus 2016 12:08

Waarschijnlijk niet zolang je niet op de watch list staat van een TLA (three-letter-agency

) die gebaat zijn bij een extra zero-day exploit in hun arsenaal. Zelfs dan is hier een relevante xkcd: https://xkcd.com/538/

Magic @Verwijderd • 15 augustus 2016 12:08

Mogelijk zijn er in de genoemde mails aanvalsvectoren besproken die eventueel tot een achterdeur kunnen leiden.

Wel allemaal speculatie natuurlijk.

SuperDre @Magic • 15 augustus 2016 13:34

tja, dan zou de mails zelf natuurlijk niet verdwijnen, want zeker de man-in-the-middle heeft er geen baat bij om de mails te laten verdwijnen (juist het tegenovergestelde, want je wilt niet ontdekt worden), omdat de zender sowieso de informatie opnieuw kan versturen..

Magic @SuperDre • 15 augustus 2016 13:52

Even verder speculeren:

Op het moment dat de mail verzonden is via een gespoofde site dan komt de verzonden mail natuurlijk niet aan bij de google servers. Ze zijn dus niet verdwenen, ze zijn nooit bij Google (en de ontvanger) aangekomen.

Wanneer hij wel bij de ontvanger of google aangekomen zou zijn dan had de hack mogelijk veel eerder gedetecteerd geweest door google zelf, of aan de ontvangende kant.

Firefly III 15 augustus 2016 12:59

Google Apps heeft standaard de Google Vault aan staan voor Apps domeinen. Tenzij ze die willens en wetens hebben uitgezet, zouden de mailtjes daar nog in te vinden moeten zijn.

Aangezien ik ze daar niet over hoor betwijfel ik of ze daar nog hebben gekeken.

De retention vault heeft geen delete-functie. Dat is het punt. Dan moet de onzichtbare vijand wel heel hoog in de boom zitten bij Google. Wat ik in twijfel durf te trekken.

Verder vraag ik me ernstig af wat het nut is van het verwijderen van verzonden mailtjes. Als je er toch bij kan, en lees- en schrijfrechten hebt, is het echt totaal zinloos om mailtjes weg te gooien. Daarmee verklap je alleen maar dat je er bij kan.

Nu gaan ze voorzichtig aan doen. Wat schiet je daar als aanvaller mee op?

[Reactie gewijzigd door Firefly III op 25 juli 2024 00:26]

Relief2009 @Firefly III • 15 augustus 2016 13:29

Dat is wel heel heilig geloven in de goedheid van Google.

Firefly III @Relief2009 • 15 augustus 2016 17:58

Ja of andersom, per se willen geloven dat ze evil zijn. Maar je bent het met me eens dat het verwijderen van die mailtjes maar een raar verhaal is?

[Reactie gewijzigd door Firefly III op 25 juli 2024 00:26]

Infor40 @Firefly III • 15 augustus 2016 13:42

Miischien download via pop waarbij binnengehaalde berichten gewist worden als instelling? Als het wissen makkelijk te voorkomen was geweest, was t vast gedaan. Dus dit suggereert dan eerder dat t niet zo'n 'hoge' hack is geweest. Als Google er zelf bij betrokken was hadden ze toch wel sporen voorkomen.

Firefly III @Infor40 • 15 augustus 2016 17:59

Dat helpt niet bij Google Vault.

Fluttershy @Firefly III • 15 augustus 2016 13:48

"Google Apps heeft standaard de Google Vault aan staan voor Apps domeinen"

Volgens mij is Vault een betaalde dienst bovenop Google Apps for Business; bij onze (betaalde) Google Apps omgeving staat deze uit onder de noemer "Additional Paid Services".

Firefly III @Fluttershy • 15 augustus 2016 17:59

Apart. Ik krijg het er gratis bij.

Fluttershy @Firefly III • 15 augustus 2016 18:08

Zoals ik het lees; voor Google Apps Unlimited (nieuwe naamgeving voor betaalde variant?) is Google Vault gratis. Het lijkt er echter op dat het een brokje nieuwe functionaliteit is wat niet standaard aanstaat voor oudere accounts. Hoewel onze Google Apps niet eens zo heel oud is... (+/- twee jaar)

Verwijderd @Firefly III • 15 augustus 2016 19:23

vault is zover ik weet alleen het geval bij google apps for work unlimited
en niet bij de standaard google for work

ultimate-tester 15 augustus 2016 12:18

Ik heb niet lang gezocht, maar volgens mij zit in Gmail geen native PGP ondersteuning? Kan het zijn dat ofwel de mailclient waarin de plugin voor PGP zit of de plugin zelf een bug bevat waardoor berichten nooit worden verzonden? Wellicht een virusscanner zelfs die lokaal het bericht al weghaald op het moment van verzenden omdat het denkt dat het spam is? Nog een mogelijkheid: de SMTP server van Google weigert het bericht omdat het denkt dat het spam is en omdat IMAP wordt gebruikt in de client ziet men het bericht dan ook niet meer terug in de verzonden berichten folder een tijd later (wegens de cache die nog moet verlopen). Ik lees de volgende zin namelijk anders:

De berichten komen niet aan en zijn niet terug te vinden in de de 'verzonden berichten'-folder.

Mijn interpretatie:
De berichten worden nooit verzonden.

Er zijn overigens nog meer folders waarin mails komen te staan, dus dat ze niet terug te vinden zijn in de verzonden berichten folder zegt niet veel. Wellicht staan ze in de Outbox folder of de SPAM folder?

Ik ben pas overtuigd van een onderschepping als men laat zien met wireshark of fiddler of iets dergelijks dat het bericht daadwerkelijk is weggegaan, en daarna verdwijnt.

[Reactie gewijzigd door ultimate-tester op 25 juli 2024 00:26]

goats @ultimate-tester • 15 augustus 2016 12:26

Wat ik al helemaal niet snap: het is van verschillende derden die dit melden, maar ik ga er van uit dat de meeste derden geen google mail gebruiken. En deze zouden dus op zijn minst een mail.log moeten hebben waarin de de acceptatie door de google mail servers moet staan.
Uit persoonlijk ervaring weet ik dat microsoft live/outlook/hotmail (ook voor bedrijven) mail accepteert en stil weg gooit zonder dat de ontvanger of de manager van het domain daar ooit over op de hoogte wordt gesteld.
Google daarentegen accepteert de mail en stopt het desnoods in de spambox van de ontvanger, of reject de mail.
Ik heb het eigenlijk nog nooit meegemaakt dat google geaccepteerde mail niet "bezorgd". Wel veel mail onterecht in de spam box.

gjmi @goats • 15 augustus 2016 13:17

"Ik heb eigenlijk nog nooit meegemaakt"

Dat is zegt natuurlijk niets. Voorbeeld: het kan een bug zijn, die maar in 1% van de gevallen bij 0.001% van de gebruikers voorkomt, dan is het feit dat jij het eigenlijk nooit hebt meegemaakt natuurlijk niet statistisch verantwoord om daar een conclusie aan te hangen.

goats @gjmi • 16 augustus 2016 10:34

Dat is ook het hele probleem met mail accepteren en weggooien 8-D.
Vooral hotmail/live/outlook gebruikers zeggen altijd "Ik krijg altijd de mail hoor, er is wat fout bij jou...", terwijl je gewoon naar de "mail accepted" regel staat te staren van de outlook mail servers.
Wat erger is: sommige beweren dus mail verstuurd te hebben, maar als je dan in de mail log kijkt zie je ook geen enkele tcp connectie binnenkomen.
En sommige systemen gooien geautomatiseerd mail weg, vooral als je IPv6 only MXjes in je DNS hebt staan.
Voor mijn bedrijf heb ik dan ook gewoon IPv6 mailhosts als primary MX staan, want als je niet kan mailen wil ik niet dat je mijn klant bent. En voor mijn klanten staan er als primary alleen IPv4 MXjes.
Maar mijn ervaring met google is eigenlijk alleen positief. Als ze het niet motten, dan krijg ik een 5xx error.
Maar je hebt gelijk, ik heb geen andere maatstaaf dan mijn eigen kennis en ervaring, en verschillende mailservers.
Waar je bij google wel op moet letten is root, abuse en postmaster mail, die wordt namelijk altijd gelezen, door google zelf. Als je dus wil dat google niet de mail kan lezen wat door de cron daemon wordt verstuurd naar root, dan heb je daar een niet door google beheerd mail domein voor nodig.

Vygotsky 15 augustus 2016 13:30

Vreemd verhaal hoor. Het maakt niet zoveel 'sense'.
Als er een derde partij in het spel is, wat is dan het motief?

1. Het jatten van info over zwakheden is onwaarschijnlijk. Dan lees je alleen mee en verwijder je niks. Tenzij je kat over je toetsenbord loopt terwijl je aan het lezen bent.

2. Het frustreren van het onderzoek kan een motief zijn. Maar als je dan toch schrijfrechten hebt, frituur dan meteen alles waar je bij kunt. Bovendien is dat nog steeds niet effectief want stel dat ze een lijst zwakheden mailden, dan staat die heus nog wel ergens anders.

3. Tot slot; ze noemen 'outside factors' als een mogelijkheid omdat men er (terecht) vanuit gaat dat alleen nation-states de resources hebben om pgp te breken. Maar pgp gaat toch alleen om de verzending? Als iets verdwijnt in je account heeft dat niet zoveel met pgp van doen. Dan zit er of iemand in je server te spoken, of ze hebben je wachtwoord simpelweg ergens opgevist.

TheBlackbird 15 augustus 2016 14:45

Als emails zomaar verdwijnen is het geen staatsgeorganiseerde hack. Dat is wel het allerlaatste wat je wil doen tijdens een afluisteroperatie.

Dus het is een bug of een groepje tienerhackers met streken.

Overigens: als de NSA in zo'n geval wil afluisteren schakelen ze de Tailored Access Operations (TAO) divisie in, die in staat is om om het even welke computer ter wereld over te nemen. PGP is dan een maat voor niks.

[Reactie gewijzigd door TheBlackbird op 25 juli 2024 00:26]

Probook8979 @TheBlackbird • 16 augustus 2016 07:51

Wat doet precies TAO?
Kunnen wij ervoor tegen bemiddelen? Of is het alleen via een backdoor? Wat als er geen backdoor is?

TheBlackbird @Probook8979 • 16 augustus 2016 11:20

Kort samengevat hackt TAO computers op vraag van NSA-afdelingen. Ze gebruiken hiervoor alle mogelijke digitale middelen, waaronder backdoors. Ik veronderstel dat er in veel gevallen geen backdoors zijn, dan maken ze gebruik van zwakheden in het systeem, al dan niet 0-day kwetsbaarheden.

Langere uitleg: https://en.wikipedia.org/wiki/Tailored_Access_Operations

[Reactie gewijzigd door TheBlackbird op 25 juli 2024 00:26]

Probook8979 @TheBlackbird • 17 augustus 2016 07:43

Als er geen backdoors zijn in het systeem, welke andere mogelijkheid zal er dan zijn om het computer systeem te " hacken " of te binnen treden? Ookal wordt er geen gebruik gemaakt van geen enkele software.

Jonathan-458 15 augustus 2016 12:11

Ik begrijp niet zo goed waarom ze Google for Business gebruiken voor gevoelige informatie.

Jaahp @Jonathan-458 • 15 augustus 2016 12:15

Daarom dus de laag PGP.

Jonathan-458 @Jaahp • 15 augustus 2016 12:20

Sorry, maar zelfs met PGP of wat voor een Encryptie dan ook zal ik Google services nooit vertrouwen.

i-chat @Jonathan-458 • 15 augustus 2016 12:55

wie dan wel, hotmail, apple mail, yahoo, ik gok dat zelfs bedrijven als transip snel zullen zwichten voor een of andere veiligheids dienst... en zelfs ziggo (of welke provider je ook hebt) zal data gaan loggen als de overheid het ze opdraagt.. ik geloof iig nooit dat bedrijven als ziggo geen dpi- hebben draaien,

om die regen heb je gelijk, je moet google alleen maar vertrouwen dat: A de data bewaard blijft, - B de data correct word verzonden.

over data veiligheid kan ik kort zijn, je kunt niemand echt vertrouwen, ook (of moet ik vooral zeggen), je eigen technische vaardigheden niet...

Verwijderd @i-chat • 15 augustus 2016 13:09

Je kan zelf je email hosten. Niet dat dit eenvoudig is om veilig te doen en veilig te houden, maar met een goed systeembeheer met audits heb je meer garanties dat het veilig is.

Natuurlijk moet je die hosting dan ook niet in een van de grote datacenters doen maar het liefst op eigen hardware waar jij alleen bij kan.

SuperDre @Verwijderd • 15 augustus 2016 13:37

En jij denkt dat zulke grote services zoals google apps for business geen audits hebben? fortune 500 bedrijven maken er gebruik van (net zoals bij microsoft office 365) en die hebben certificeringen waar ze aan moeten voldoen..

En eigen hardware maakt nog niets uit, je gebruikt software waarvan je ook niet 100% weet of die secure is (denken is iets anders als zeker weten)..

Verwijderd @SuperDre • 15 augustus 2016 14:26

Ik zeg niet dat ze geen audits doen.
Hun audits zijn gewoonweg niet veel waard, want ze zijn in opdracht van Google zelf en het is algemeen bekend dat veiligheidsdiensten toegang hebben tot data van Google en soortgelijke bedrijven.

Dat je je eigen software misschien niet 100% checked betekent niet automatisch dat je eigen hardware beheren niks uitmaakt. Dat zijn 2 losstaande dingen. Je kan aanvallen uitvoeren op hardware, de VM laag, het OS, de hosting software, etc.
Door zelf te hosten heb je de kans om zelf meer controle uit te oefenen en na te kijken wat er gebeurt op je systeem. Wanneer je bij Google host dan weet je sowieso al dat er overheden mee kunnen kijken en dat er daardoor ook bedrijfsspionage kan worden uitgevoerd door desbetreffende overheden.
Door zelf te hosten kan je zelfs extra beperkingen opleggen op je verkeer die je niet zou kunnen toepassen op een Google Apps dienst. (bijvoorbeeld bepaalde afschermingen op intern netwerkverkeer)

100% zekerheid krijg je nooit, maar je kan in ieder geval bepaalde aanvallen afslaan als je zelf gaat hosten. Zoals ik zei moet je dan wel je software en hardware zelf goed beheren.

SuperDre @Verwijderd • 15 augustus 2016 14:34

Nee het is helemaal niet 'algemeen bekend' dat veiligheidsdiensten zomaar toegang hebben tot data van Google etc, het is was mensen zoals jij zeggen, zonder daar ook maar echt goede bewijzen.. Dat de veiligheidsdiensten het willen is iets heel anders dan ook daadwerkelijk hebben..

Verwijderd @SuperDre • 15 augustus 2016 14:42

https://en.wikipedia.org/wiki/PRISM_(surveillance_program)

PRISM is a clandestine[1] surveillance program under which the United States National Security Agency (NSA) collects internet communications from at least nine major US internet companies.

The documents identified several technology companies as participants in the PRISM program, including Microsoft in 2007, Yahoo! in 2008, Google in 2009, Facebook in 2009, Paltalk in 2009, YouTube in 2010, AOL in 2011, Skype in 2011 and Apple in 2012.

Referenties naar bronnen staan in het artikel.

Vygotsky @i-chat • 15 augustus 2016 13:17

Het is encrypted, open-source, fantastisch en (deels) gratis en het heet... ProtonMail!
Ik gebruik het met plezier al een jaar en in mijn opinie the place to go in dit geval.

SuperDre @Vygotsky • 15 augustus 2016 13:41

En jij weet dat dat veilig is want? misschien dat ProtonMail wel gewoon de NSA achter zit (niets makkelijkers dan zelf een 'veilige' mailprovider opzetten en mensen daar gebruik van laten maken), zelfde geldt ook voor VPN services etc.. Dat ProtonMail in zwitserland zit maakt natuurlijk niets uit.. Hun promotie klinkt dat ze heel veilig zijn.....

Vygotsky @SuperDre • 15 augustus 2016 16:28

Weten of iets veilig is doe je nooit. Over relatieve veiligheid valt een stuk meer te zeggen en in dat opzicht ben ik van mening dat ProtonMail een stuk veiliger is dan het gros van de andere aanwezige mailproviders. Hierbij gelet op de oprichters, het feit dat het open source is, hun contact met de privacy community, en de ligging. Gebaseerd zijn in Zwitserland scheelt wel degelijk wat. (Patriot Act)

ChillinR

@Vygotsky • 15 augustus 2016 17:47

Ze hebben wel een vestiging in de VS. Dan vallen ze toch al onder de privacy act?

Ik gebruik ook protonmail, overigens, want t.o.v. m'n Gmail is het een grote stap vooruit, zonder er gigantisch op achteruit te gaan in gebruikservaring.

Vygotsky @ChillinR • 15 augustus 2016 20:34

Dat zou zomaar kunnen. Overigens lijken de VS een broertje dood te hebben aan landsgrenzen. Die eigenaar van KickAssTorrents werd op verzoek van de VS opgepakt door Polen terwijl de servers in Canada staan.

Jonathan-458 @i-chat • 15 augustus 2016 13:20

Neeh deze partijen ook niet, zelf zou ik Tutanota of Protonmail een kans geven of zelf prive server opzetten.

Tormbo

@Jonathan-458 • 15 augustus 2016 12:17

Ik vermoed dat daar een sponsorship-dealtje achter zit. Google wil natuurlijk graag een goede naam hebben en houden in de opensource markt.

raro007 @Verwijderd • 15 augustus 2016 12:34

Gmail/hotmail of andere Amerikaanse mail service kan je beter niet gebruiken.

Kaoh

15 augustus 2016 13:19

Het is een vreemd persbericht als ze niet iets van een bewijs hebben. Dus de vraag over of er dan log files zijn die bewijzen dat de mails wel echt verzonden zijn geweest lijkt me valide, maar geimpliceerd. Vreemd dat ze de bewijzen die ze hebben dat ze verzonden zijn niet kenbaar maken.
Vooral omdat ze inderdaad impliciet Google beschuldiging, dan lijkt het me toch op zijn minst netjes om een referentie te maken van de bewijzen. Het missen van dat mailtje welke niet verzonden was, dat gebuurd mij ook wel eens...

Verwijderd 15 augustus 2016 14:30

Als Veracrypt GMail gebruikt via de webinterface dan zijn ze mijns inziens gewoon onverantwoord bezig. Je weet dat allerlei inlichtings- en opsporingsdiensten je proberen te hacken. Waarom zou je dan een e-mail alleen maar op een server laten staan die niet van jou is maar van een Amerikaanse bedrijf? Waarom niet gewoon een e-mail client gebruiken met PGP?

Los hiervan is het allemaal moeilijk te bewijzen en het kan best zijn dat Veracrypt gewoon aandacht probeert te krijgen hiermee.

En Truecrypt is nog steeds verkrijgbaar en er is op dit moment geen reden om een andere fork te ondersteunen. Als ik mij goed herinner was het enige verschil tussen Veracrypt en Truecrypt dat ze het password in plaats van 100 keer, 10.000 keer hashen of zo. Big deal.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:26]

CAPSLOCK2000

Security
Netwerk en systeembeheer
Encryptie

15 augustus 2016 17:28

In mijn ervaring zijn alle problemen rond missende e-mail terug te voeren op de gebruikers.
Mijn onderbuik vindt het niet erg professioneel om gmail te gebruiken als je in de beveiliging zit. Al is het maar omdat je voldoende controle over je infrastructuur wil om dit soort incidenten te voorkomen. Foutjes worden overal gemaakt, dat is menselijk. Met de juiste logs zou je kunnen nagaan wat er met die mails is gebeurd maar dan moet je daar wel bij kunnen. Bij diensten als gmail weet je dat dit niet kan. Daarom vind ik het weinig professioneel om er gebruik van te maken als beveiliging een kerntaak van je bedrijf is.

Door dit oogenschijnlijke gebrek aan professionalisme ben ik geneigd om te denken dat de gebruikers in kwestie niet zo technisch zijn en zonder het te weten zelf de mails hebben verwijderd of de encryptie verprutst hebben zodat ze de mail niet meer terug kunnen vinden.

Van de andere kant verwacht ik van de Veracrypt mensen wel dat ze weten wat ze doen. Wellicht speelt er dus meer. Misshien werd die gmail alleen gebruikt door een paar managers en niet door de techneuten zelf.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 00:26]

Defspace @CAPSLOCK2000 • 15 augustus 2016 18:54

Juist het idee van veel "professionals" dat je "voldoende controle" over je infrastructuur moet houden zorgt bij veel bedrijven voor veiligheidsrisico's.
Security is een vak apart, meer dan een dagtaak en kan je, over het algemeen, beter niet aan een eigen (IT) afdeling over laten. Zakelijk gmail gebruiken is een stuk veiliger dan welk eigen mail platform. De enige waar je je dan druk om hoeft te maken zijn client-/social hackers en overheidsdiensten.

CAPSLOCK2000

Security
Netwerk en systeembeheer
Encryptie

@Defspace • 15 augustus 2016 21:22

Juist het idee van veel "professionals" dat je "voldoende controle" over je infrastructuur moet houden zorgt bij veel bedrijven voor veiligheidsrisico's.
Security is een vak apart, meer dan een dagtaak en kan je, over het algemeen, beter niet aan een eigen (IT) afdeling over laten. Zakelijk gmail gebruiken is een stuk veiliger dan welk eigen mail platform.

In het algemeen gesproken heb je misschien gelijk, maar we hebben het hier niet over een willekeurig bedrijf maar over een bedrijf dat gespecialiseerd is beveiliging.

Op dit item kan niet meer gereageerd worden.

Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept

Lees meer

Personal privacy deel I

IT-banen

Reacties (81)

Sorteer op:

Weergave: