hushmail nicht sicher!!!

  • hallo,
    habe auf einem anderem Forum ( Ironmuscle-Forum )folgendes gelesen, es sollte hier auf veröffentlicht werden!!!!




    Hushmail nicht sicher :
    Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails
    mit PGP verschlüsselt.


    In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.


    Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt.


    Wegen Handel mit Anabolika und Steroiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen. Weniger ernüchternd wäre der Vorfall, ginge es um Kommunikation zwischen einem Hushmail- und einem Nicht-Hushmail-Account - da in dem Fall nicht zwingend verschlüsselt wird. Dass sogar die interne Kommunikation offen gelegt werden konnte, wirft ein extrem schlechtes Licht auf Hush und ihr Krypto-Mailangebot.


    Denn auf irgend eine Weise müssen die Schlüssel oder die Klartexte der Mails seitens von Hushmail ermittelt worden sein - vermutet wird beispielsweise ein Zugriff auf das clientseitige Java-Applet, welches für die Verschlüsselung zuständig ist.


    Auf eine Datenanforderung durch Strafermittler kann Hushmail unterschiedlich reagieren - konsequent wäre es gewesen, die verschlüsselten Botschaften herauszugeben, falls überhaupt noch vorhanden, und dem DEA das Problem zu überlassen, PGP zu knacken (was nach gängigem Wissensstand unmöglich ist). Stattdessen hatte man offenbar die eigenen Kunden abgehört.


    Der Mailwechsel zwischen <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> und <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> wurde so im Klartext für die Ermittler zugänglich. Noch schlimmer: Hushmail gab auch IP-Logs an die Ermittler weiter, mit denen über die Provider anschließend die Identität der Postfachinhaber aufgeklärt werden konnte. Ein Anbieter wie Hushmail sollte diese eigentlich nicht lange speichern, bzw. dürfte sie dem eigenen Anspruch nach nicht einmal aufzeichnen.


    So gilt weiterhin: Sichere Verschlüsselung findet auf dem heimischen Rechner statt: mit einer PGP/GPG-Lösung, die als Open Source verfügbar ist. Allen anderen Methoden sollte man misstrauen.



    Nur zur Info,


    Gruß,
    Kamikaze :w

    Ich will FLEISCH!!!

  • Werbung
  • Hi!


    Na ganz toll.....weißt du zufällig woher dieser Bericht stammt aus welcher Quelle? Ich dachte immer der hushmail-Server wäre in einem sogenannten "sicheren" Land gehostet.......hmm...


    Gruß, svw.

    Blut, Schweiss und Tränen....

  • Werbung
    • Offizieller Beitrag

    heise hatte den am donnerstag

    mit freundlichen Gruessen


    Flipper


    -----------------------------------------
    Das gesamte Team von extrem-bodybuilding distanziert sich klar von Verkauf und Handel mit illegalen Substanzen. Alles, was mit Handel oder Beschaffung zu tun hat, ist absolut tabu und wird entsprechend geahndet.


    Meine Computertastatur ist extra schwergängig, damit ich auch die Finger trainiere!

  • Werbung
  • Dann wirds wohl Zeit auf andere Verschlüsselungen umzusteigen.....wenn mir die nicht nur all so kompliziert wären :D Hushmail war/ist so schön einfach.....

    Blut, Schweiss und Tränen....

    • Offizieller Beitrag

    Hi :sq:
    Es wurde vermutlich absichichtlich das Gerücht verbreitet das hushmail 100% sicher ist. Damit sich diese Doping-Szene kompl. bei hushmail einfindet.
    Jetzt brauchen die Herrschaften nur ein paar Suchbegriffe eingeben um Dealer zu finden, z.B. Testo, Testosteron, Deca, Euro, EUR um fündig zu werden.
    Unter Profis ist das allerdings schon ende 2006 bekannt. Besser ist dezentral, ergo auf viele Server verteilen GMX, WEB, ARCOR usw. und noch wichtiger ist der ständige namenswechsel.
    Ich will jetzt keine Anleitung geben, aber scheinbar macht es sich die Szene gelegentlich sehr einfach, auch auf "Warnungen" reagierten sie überhaupt nicht.
    So finden Sie aber eher die kleinen Verteiler die Großen nutzen die emailfunktion anders!
    Somit gibts einen kl. wackeler in der Versorgung, aber das Grundübel wird damit nicht ausgerottet. Besser legal unter Aufsicht, dann passiert auch weniger! :gnd::w

  • Werbung
  • Oder noch besser gar nichts über Internet usw, viiiel zu unsicher der ganze Technikkram :D Wenn die wollten könnten die doch bestimmt alles auslesen, egal wieviel Mühe man sich gibt.

    Blut, Schweiss und Tränen....

  • Zitat von "svw"

    Oder noch besser gar nichts über Internet usw, viiiel zu unsicher der ganze Technikkram :D Wenn die wollten könnten die doch bestimmt alles auslesen, egal wieviel Mühe man sich gibt.


    joaaaaaaaaaaaaaaaaaa
    es gibt schon n paar nette möglichkeiten an denen auch die supersuperrechner n paar jahre rechnen müssen..



    aber so kleine testodealer da für die machen die doch eh kein aufwand..

  • Werbung
  • Hushmail ist nur dann unsicher wenn die Cop´s eure addy kennen!


    Daurch können sie bei Hush ein antrag stellen, und die stellen die mails zur verfügung die es im wechsel zwischen 2 addy´s gab! Beispiel wurde jetzt aufgedeckt! Gabe s ein grösseren bericht drüber!


    Was also wichtiger wäre.. nicht mit sein addy´s im internet um sich werfen! So wie es auch einige idioten in ihrer sig haben!


    So kann man sich alle kontaktdaten holen und man kann schön kontrolliert werden!

    MEIN SPONSOR: www.PHARMASPORTS.de

  • Werbung
  • Bodybuilder Shirt, Bodybuilder Kleidung, Klamotten für Bodybuilder, Kleidung für Bodybuilder
    Werbung
    • Offizieller Beitrag

    Hi :hh:


    Über die IP kann jeder identifiziert werden, egal ob du bei t-online registriert bist, oder per GMX annonym kommunizierst.
    Schutz ist lediglich die riesen Menge der Daten, aber sobald du in einer "Rasterfandung" hängen bleibst, gibt es Probleme.


    Dagegen sind Chats und Foren (persöhnliche Mitteilungen) noch relativ spionage-sicher.
    Sich min. täglich die Zähne putzen, min. wöchentlich ein Vollbad nehmen und min. wöchentlich Computer-Hygiene muss sein.
    Besonders PowerUser kommen nicht mehr mit den üblichen Software aus. :gnd::w

    • Offizieller Beitrag

    bouncer (bnc) oder Socksrouter im Ausland!

    mit freundlichen Gruessen


    Flipper


    -----------------------------------------
    Das gesamte Team von extrem-bodybuilding distanziert sich klar von Verkauf und Handel mit illegalen Substanzen. Alles, was mit Handel oder Beschaffung zu tun hat, ist absolut tabu und wird entsprechend geahndet.


    Meine Computertastatur ist extra schwergängig, damit ich auch die Finger trainiere!

  • Werbung
    • Offizieller Beitrag

    Hi :hh:


    Tools wie Jap schaden eventl. mehr als diese nutzen.
    Brauchen die Jungs doch nur anzapfen um zu gugge welche IP eine Verschleierung anwendet oder es möchte .... und schon bist Du verdächtig, zudem ist es langsam.


    Z.b. Firewall, AntiVir, CCleaner und <!-- m --><a class="postlink" href="http://www.hijackthis.de/">http://www.hijackthis.de/</a><!-- m --> braucht man min. wenn man im Cyber aktiv ist. Dazu min. 20 verschiedene Postfächer bzw. emailaddys.
    Aber bald werden wir vermutlich wie in China beobachtet, dort wird jeder klick im Internet überwacht ....wer dort auf eXtremBB.de klickt kommt ins Arbeitslager und muss Steine klopfen. :lol::w