Guia rápido para recuperação de desastres na nuvem
O fundador da Lavabit reivindicou outros provedores de webmail seguro que ameaçaram fechar-se para baixo na esteira da NSA espionagem revelações tinham recebido ordens judiciais forçando-os a ficar.
Ladar Levison fez a afirmação durante uma recente Reddit AMA (pergunte-me-nada) Q & A de bate-papo, sem entrar em detalhes sobre as supostas táticas violentas.
Quando eu estava decidindo se a desligar a decisão realmente se resumia a saber se os usuários preferem ter os seus e-mails bisbilhotou secretamente, ou simplesmente perder o seu serviço completo. Uma vez que o tribunal me impediu de dizer a ninguém a situação, eu tive que fazer essa escolha para todos. Eu tinha que decidir em nome de todos, sem o benefício de seu feedback. No final, eu escolhi para encerrar.Por que eu não avisar ninguém? Porque se o FBI sabia que eu estava planejando para encerrar eles teriam obtido uma ordem judicial exigindo-me para continuar operando o serviço. Se eu desligar o serviço depois de receber tal ordem que eu teria certamente sido acusado de obstrução da justiça. Eu tenho dito que outros prestadores de serviços têm ameaçado a encerrar e recebido tais ordens.
Pediu para entrar em detalhes, Levison respondeu: "Eu não pedi e minha fonte, que deve permanecer anônimo, não disse."
A troca ocorreu no meio de um apelo constante para reverter a decisão desprezo do tribunal contra Lavabit e sua Levison proprietário para resistir a uma intimação do governo e mandado de busca que teria colocado as comunicações privadas dos 410 mil clientes da Lavabit em risco direto de espionagem do governo .
Levison derrubou as persianas no serviço de e-mail encriptado de Lavabit em agosto, em vez de jogar bola com as ordens judiciais que inicialmente exigidos metadados sobre um usuário desconhecido. Denúncias Edward Snowden estava entre os integralizado usuários de Lavabit e é amplamente assumido as ações judiciais foram o resultado de tentativas por parte da Agência de Segurança Nacional (NSA) para obter a Snowden através Lavabit.
Edward Snowden teria usado o e-mail address edsnowden@lavabit.com Lavabit para enviar convites para advogados de direitos humanos e ativistas para uma conferência de imprensa durante o seu confinamento no Aeroporto Internacional de Sheremetyevo, em Moscou em julho.
Os federais direcionados provedor de e-mail do Snowden mais de um mês antes deste, em uma ação judicial que começou um dia após o denunciante NSA veio a público, com fios relatórios .
A chave PGP supostamente ligado à conta Lavabit sugere que ele estava usando o serviço desde 2010, embora especialistas em segurança acho que ele deve ter usado um método mais seguro para qualquer coisa sensível.
A ação do governo contra Lavabit foi resistiram tenazmente por Levison. Depois de muita disputa, Levison finalmente entregou a chave criptográfica de Lavabit em formato digital, após mais cedo tentando satisfazer uma ordem judicial, imprimindo e entregando uma cópia da chave no tipo de 4 pontos, uma medida que irritou o juiz encarregado do caso.
Depois Lavabit resistiu cumprir exigências do governo, foi preso por desacato ao tribunal e multado em US $ 5.000 por dia, até que virou uma versão legível por máquina da chave over.
Dias depois de entregar a chave de criptografia, um movimento que teria sido muito mais fácil para a NSA e outras agências federais para executar man-in-the-middle ataques contra Lavabit, Levison puxou para baixo as persianas sobre o serviço, que tinha sido execução por 10 anos antes de seu encerramento.
O desprezo da ordem judicial tornar-se objecto de recurso, que argumenta que Lavabit obrigando a entregar suas chaves de criptografia violado Quarta Emenda da Constituição dos EUA, que proíbe buscas e apreensões. No decorrer das últimas trocas legais, os advogados do governo disputado argumentos dos advogados de Lavabit ( PDF ), que entrega a chave de criptografia permitiria ao governo para espionar todos os usuários do serviço, e não apenas aqueles que tinham obtido um mandado contra.
Que outras informações não estão sujeitos ao mandado foi criptografada usando o mesmo conjunto de chaves é irrelevante, os únicos dados do usuário o tribunal permitiu que o governo era obter os dados descritos no pen / armadilha ordem eo mandado de busca. Todos os outros dados seriam filtrados eletronicamente, sem atingir nenhum olho humano.
Os advogados do governo argumentam que "assim como uma empresa não pode impedir a execução de um mandado de busca, bloqueando sua porta da frente, um provedor de serviços de comunicações electrónicas não podem frustrar-ordenada tribunal vigilância eletrônica por se recusar a fornecer as informações necessárias sobre os seus sistemas".
DoJ advogados também rejeitou o argumento de que a divulgação Lavabit suas chaves de criptografia era incompatível com a oferta de um serviço de e-mail seguro. Marketing de uma empresa como um serviço "seguro" para os consumidores oferece nenhum obstáculo legal às ordens judiciais, os advogados do governo dos EUA Estado na conclusão de seu argumento ( PDF ).
Lavabit reivindica o direito de ignorar esses tribunais e impedir tais investigações simplesmente por colocar à venda, para o público em geral, e-mail criptografado. Porque não há nenhuma razão para tratar de uma empresa que oferece serviços de e-mail criptografadas de forma diferente de qualquer outro negócio, este tribunal deve afirmar ordem do tribunal do distrito de sanções.
Uma discussão informada sobre os últimos bordos legais neste caso os direitos de privacidade marco pode ser encontrado em um posto no blog de Segurança Nu Sophos.
Na esteira do Lavabit shut-down, Silent Circle fechou suas Correio silenciosas e-mail dias depois do serviço. A empresa de segurança, que se orgulha de Phil Zimmermann como co-fundador, fez a jogada com um olho em potenciais problemas com antecedência e não em resposta a qualquer "intimações, mandados, cartas de segurança, ou qualquer outra coisa por qualquer governo".
Silent Circle, desde então, aliada Levison do Lavabit para criar a Aliança Correio Escuro, que visa construir um sistema de e-mail que fornece criptografia end-to-end. Jon Callas, CTO de Silent Circle e co-fundador do Correio Dark Alliance, um colaborador de longa data com Zimmerman que remonta aos seus dias de PGP, delineou o projeto em uma entrevista com El Reg aqui .
Foi Lavabit uma casa construída de palha?
Criptógrafo Moxie Marlinspike montar uma crítica condenatória das alegações de Lavabit que concluiu que a segurança era pouco mais que uma "promessa de não espreitar". Marlinspike lançado no Reddit AMA com Levison para levá-lo para a tarefa para os créditos pré-takedown que Lavabit foi "tão seguro ainda não podemos ler seu e-mail." As trocas são registrados lá e valem bem a pena rever para qualquer pessoa com um interesse nos desafios técnicos à frente para qualquer um que espera desenvolver uma "NSA prova" serviço de e-mail realmente seguro.
Marlinspike levantou a questão, porque ele continua preocupado sobre como confiável qualquer futuro reivindicações Levison pode fazer sobre o oferecimento de segurança à prova de balas e-mail pode ser, como ele explica em seu discurso de abertura.
Sim, é completamente verdade que não havia nada Lavabit poderia ter feito na configuração de um servidor SMTP / POP / IMAP padrão para ser seguro no caminho que anunciado, sem suporte ao cliente dedicado.Não é culpa do Ladar que a infra-estrutura de e-mail não suporta nativamente a segurança end-to-end, mas eu acho que nós devemos responsabilizá-lo para anunciar que o seu sistema, desde um falso nível de segurança.
Quando as pessoas conscientemente vender banha da cobra, eu acho que nós devemos hesitar em apoiar os seus esforços de segurança no futuro, especialmente se esforça com praticamente nenhuma informação técnica disponível com antecedência. O que se coloca usuários em risco mais uma vez?
Um independente assumir os grandes desafios que vêm com a construção de um sistema de e-mail seguro pode ser encontrada no artigo convidado por Matthew Green, um criptógrafo e professor pesquisador da Universidade Johns Hopkins, no New Yorker aqui . ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário