Ein Mensch namens "DEranged" hat Ende August 100 Mailaccounts von Regierungsstellen und diplomatischen Vertretungen samt Passwort
ins Netz gestellt, um die Verantwortlichen auf Sicherheitsprobleme bei ihren Mailservern hinzuweisen. Natürlich hat ihm keiner geglaubt und ein Skandal wurde erst daraus, als ein indischer Journalist mal mit den
Mails seiner Botschaft in China gespielt hat.
Jetzt scheinen die Passwörter geändert worden zu sein und er
erzählt uns jetzt, wie man an die Daten rankommt: Man stellt einfach fünf Tor-exit-nodes ins Netz und lässt ein Programm die Daten der Mailprotokolle pop3 und imap nach Passwörtern durchsuchen. Damit das nicht zu viele werden, beschränkt man die Suche auf amtliche Server. Bei 1000 hat er wohl aufgehört und dann die 100 schönsten veröffentlicht.
Zwei Dinge finde ich dabei interessant: Zum einen dass diese ganzen Botschaften unverschlüsselte Protokolle verwenden, zum anderen, dass sie dabei
Tor verwenden.
Fehlende Verschlüsselung finde ich dabei die schlimmere Sünde. Die verschlüsselten Protokolle
pop3s und
imaps sind ja wirklich kein Hexenwerk, teuer ist das auch nicht und die betroffenen Staaten sind nicht alle Entwicklungsländer. Kirgisien und Kasachstan mag man noch eine gewisse Unbedarftheit unterstellen, aber Iran, Indien, Hongkong und Russland sind technisch recht fortschrittliche Länder. Man kann drüber streiten ob eine Verschlüsselung durch einen dazwischengeschalteten Server vielleicht doch ausgehebelt werden kann. Aber so wie es aussieht, wurde es nichtmal versucht, sondern die Diplomaten kommunizieren völlig offen.
Dass man dafür Tor verwendet hat vielleicht wieder Sinn. Man legt die Sicherheit seiner Kommunikation dabei zwar in die Hände völlig unbekannter Leute, vielleicht in die Hände feindlicher Geheimdienste oder Krimineller. Aber wenn man bedenkt dass man sonst in die Hände einer bekanntermassen feindlichen Umgebung fällt und ganz sicher vom feindlichen Geheimdienst belauscht wird, nimmt man halt das kleinere Übel. Man sieht auch an der Liste der 100 Adressen schön, wer wem nicht traut, sofern die Auswahl representativ ist:
- Usbekistan traut niemandem, auch den Deutschen nicht
- Kasachsten traut den Russen nicht
- Der Iran traut auch niemandem
- Oppositionelle Chinesen haben Angst vor China
Schade dass das Tor-Netzwerk nicht mehr Anerkennung für seine Verdienste um die Völkerverständigung bekommt. Es sind ja nicht nur die Schurkenstaaten, die ihre Mails geheimhalten wollen. Auch die Vertreter des 14. Dalai Lama mailen gerne über Tor, genauso wie liberale Parteien in China und Hongkong. Über die Politik in Usbekistan und Tadschikistan weiss ich zwar nichts, aber die müssen eigentlich bei den Guten sein, schliesslich nutzt die Bundeswehr dort Flugplätze in Termes und in Duschanbe um Nachschub nach Afghanistan zu liefern.
Weitere Diskussionen um diese Geschichte und die Möglichkeiten einer Attacke auf verschlüsselte Protokolle gibts gerade in der Mailingliste or-talk, auf der ich auch die Links hier gefunden habe.Inzwischen berichtet auch Heise drüber, die fassen das vielleicht besser zusammen als ich...