Skocz do zawartości

ProtonMail - (nie)bezpieczna poczta – przeczytaj przed używaniem!


Harry

Rekomendowane odpowiedzi

ProtonMail – co to jest?

ProtonMail, to szwajcarska usługa poczty elektronicznej (e-mail) z szyfrowaniem end-to-end*. Ponoć nikt nie ma dostępu do przesyłanych e-maili, bo szyfrowanie odbywa się po stronie klienta. Chwali się też podejście zlecania audytów bezpieczeństwa (link), jako ciekawostkę mogę również napisać, że audyt bezpieczeństwa zrobiła polska firma securitum.pl ;)

Dlaczego o tym piszę?

Kilka dni temu w pewnych mediach obiegła informacja, że ProtonMail przekazał dane organom ścigania w USA. Z e-maila założonego za pośrednictwem ProtonMail były wysyłane groźby karalne (zabójstwo ku ścisłości). Wysyłający te e-maile popełnił szereg błędów powodujących jego namierzenie. Zanim do tego dojdę, chcę jedynie zaznaczyć, że zgodnie z tym co pisał na twitterze CEO ProtonMail'a – Andy Yen – przekazana została tylko i wyłącznie data założenia konta i nic poza tym. W takim razie faktycznie(?) wychodzi, iż żaden adres IP czy korespondencja nie jest rejestrowana i zapisywana, więc duży plus ;) Mimo wszystko jakkolwiek by nie wyglądało, przekazanie nawet daty jest równoznaczne ze współpracą? Teoretyczne tak. Z drugiej strony chcę zwrócić uwagę, że jakby nie było, to ProtonMail jest zmuszony do współpracy ze szwajcarskimi organami bezpieczeństwa i mówi o tym ustawa o nadzorze BÜPF (Art. 7 lit. d BÜPF i Art. 8 lit. d u. e BÜPF) oraz ustawa o służbie wywiadowczej (NDG) gdzie m.in ta ustawa umożliwia służbom penetrować komputery i sieci (za granicą także). Mało tego, bo Szwajcaria udziela USA wzajemnej pomocy prawnej na podstawie Traktatu o Pomocy Prawnej (link). Nie mam pojęcia jaki do ustawy ma stosunek konstytucja Szwajcarska, a dokładniej artykuł 13 (link), który mówi wprost

 

Cytat

 

Art. 13 Right to privacy

1 Every person has the right to privacy in their private and family life and in their home, and in relation to their mail and telecommunications.

2 Every person has the right to be protected against the misuse of their personal data.

___________________

Art. 13 Prawo do prywatności

1 Każda osoba ma prawo do prywatności w życiu prywatnym i rodzinnym, w swoim domu, w odniesieniu do poczty i telekomunikacji.

2 Każda osoba ma prawo do ochrony przed niewłaściwym wykorzystaniem jej danych osobowych.

 

Nie będę się jednak nad tym rozwodził, warto zwrócić uwagę jeszcze na jedną (moim zdaniem) ważną rzecz. Szwajcarski prawnik - Martin Steiger już w 2019 roku oskarżał ProtonMail o współpracę ze służbami. Obecnie wpis z jego bloga zniknął ale w internecie nic nie ginie, więc bardzo łatwo można przeczytać usunięty post przy pomocy WaybackMachine (link do archive.org).

Mając na uwadze powyższe, grubo zastanawiałbym się nad ich produktem -> ProtonVPN <- nie oni pierwsi zapewniają o bezpieczeństwie infrastruktury. Polecam również poczytać o tym jak międzynarodowa akcja policji zamknęła DoubleVPN.

Nikogo nie namawiam do używania, lub zaprzestania z używania. Bazując na przedstawionych tu argumentach niech każdy wyciągnie sam wnioski ;)

Jak został namierzony wysyłający groźby?

Popełnił szereg błędów, więc sam sobie jest winny.

  1. Z adresu naturtheateralhena@protonmail.com były wysyłane groźby karalne.
  2. Mając nazwę można już łatwo szukać powiązań w google i social media.
  3. Okazało się, że taka nazwa konta jest również na instagramie (https://www.instagram.com/naturtheateralhena).
  4. Mając dostęp do tych danych namierzenie adresu IP nie było problemem.
  5. Pod adresem IP było wynajmowane mieszkanie, a podczas przedłużenia umowy najmu nadawca podał swój numer telefonu oraz e-mail założony w domenie mail.com.
  6. Po uzyskaniu dostępu do konta w mail.com okazało się na tym adresie znaleźli CV oraz loginy i hasła do kont na protonmail(!!!) :facepalm: bo tych kont miał kilka. Ponoć również w e-mailu wysłanego z mail.com potwierdził do innego odbiorcy wysłanie gróźb karalnych :facepalm:

Na podobnej zasadzie - po nitce do kłębka - został namierzony właściciel przestępczego marketu SilkRoad w sieci TOR - Ross Ulbricht, który bardzo nieudolnie ukrywał swoją osobę w internecie. Wszystko zaczęło się od promowania SilkRoad w clearnecie od startu i prywatnego adresu e-mail ale to opowieść na inny dzień :popcorn:

*Szyfrowanie end-to-end (E2EE) charakteryzuje się tym, że tylko osoby komunikujące się ze sobą są w stanie odszyfrować korespondencję.

__________________________________

Zaciekawiłem cię? a może lubisz temat bezpieczeństwa, prywatności i anonimowość i chcesz dowiedzieć się więcej, to zapraszam do mojego mentoringu "BEZPIECZEŃSTWO I ANONIMOWOŚĆ" :ok:

Bezpieczeństwo i anonimowość - Harry

Pozdrawiam serdecznie

  • Super 5
Odnośnik do komentarza

Dołącz do nas za darmo i naucz się zarabiać!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut i wiele więcej!

 

 

  • 1 miesiąc temu...

Witajcie ponownie,

Postanowiłem lekko odświeżyć temat, bo jakiś czas temu wyszła nowa "afera" w związku z ProtonMail. Zbierałem się do tego postu od dłuższego czasu ale też czekałem na gorące nagłówki i się nie zawiodłem :D

O to niektóre z (clickbaitowych) tytułów z Polski:

  • "ProtonMail zdradził dane użytkowników służbom – doszło do aresztowania aktywistów"
  • "ProtonMail nie taki anonimowy. Przekazał policji dane aktywistów"
  • "ProtonMail chroni prywatność, ale jednak nie zawsze"
  • "ProtonMail przekazał dane użytkownika policji"
  • "Proton Mail we Francji przekazuje policji dane aktywistów"

Ale o co chodzi?

Wszystko się zaczęło się od tego newsa: https://secoursrouge.org/france-suisse-securite-it-protonmail-a-communique-a-la-police-ladresse-ip-de-militant·es-anti-gentrification

Cytat

Les policiers ont également remarqué que le collectif communiquait via une adresse mail protonmail. Ils ont donc adressé une réquisition (via EUROPOL) à l’entreprise suisse gestionnaire de la messagerie afin de connaître l’identité du créateur de l’adresse. Protonmail a répondu à cette réquisition en communiquant l’adresse IP ainsi que l’empreinte du navigateur utilisé par le collectif.

Tłumaczenie

Cytat

Policja zauważyła również, że kolektyw komunikował się za pośrednictwem adresu e-mail protonmail. W związku z tym wysłali zapytanie (za pośrednictwem EUROPOL) do szwajcarskiej firmy zarządzającej systemem przesyłania wiadomości w celu ustalenia tożsamości twórcy adresu. Protonmail odpowiedział na to żądanie, podając adres IP i odcisk palca przeglądarki używanej przez kolektyw.

Faktycznie na pierwszy rzut oka wydaje się, że ProtonMail zdradził informacje gdyby nie jeden konkretny fakt! W poście wyżej napisałem, że ProtonMail jest zmuszony do współpracy ze szwajcarskimi organami bezpieczeństwa i mówi o tym ustawa o nadzorze BÜPF (Art. 7 lit. d BÜPF i Art. 8 lit. d u. e BÜPF) oraz ustawa o służbie wywiadowczej (NDG) gdzie m.in ta ustawa umożliwia służbom penetrować komputery i sieci (za granicą także).

Nie byłoby aferki i clickbaitowych tytułów gdyby ci wspaniali aktywiści przeczytali politykę prywatności (https://protonmail.com/privacy-policy) i raport przejrzystości (https://protonmail.com/blog/transparency-report/), w której wszystko jest napisane wyraźnie bez oszukiwania.

Zacznę od raportu przejrzystości (kolor czerwony, to moje dopowiedzenie)

Cytat

Od czasu do czasu ProtonMail może otrzymywać prośby o pomoc od organów ścigania. Zgodnie z ogólną zasadą, ProtonMail przestrzega tylko prawnie wiążących zamówień, które zostały zatwierdzone przez władze szwajcarskie. Ponadto, zgodnie z artykułem 271 szwajcarskiego kodeksu karnego, przestępstwem jest podporządkowanie się wnioskom zagranicznym, które nie zostały zatwierdzone przez władze szwajcarskie (więc ProtonMail z miejsca ignoruje wszelkie prośby o dane swoich użytkowników). Dlatego ProtonMail spełnia tylko dwa rodzaje nakazów: (1) nakazy władz szwajcarskich i (2) wnioski zagraniczne, które zostały należycie poinstruowane i zatwierdzone przez władze szwajcarskie w ramach międzynarodowej procedury pomocy prawnej i uznane za zgodne z prawem szwajcarskim .

Polityka prywatności i rejestrowanie adresów IP (kolor czerwony, to moje dopowiedzenie)

Cytat

Rejestrowanie IP: Domyślnie nie prowadzimy stałych logów IP w związku z korzystaniem przez Ciebie z Usług. Dzienniki IP mogą być jednak przechowywane tymczasowo w celu zwalczania nadużyć i oszustw, a Twój adres IP może zostać zachowany na stałe, jeśli jesteś zaangażowany w działania naruszające nasze warunki (spamowanie, ataki DDoS na naszą infrastrukturę, ataki typu brute force itp.). Podstawą prawną tego przetwarzania jest nasz prawnie uzasadniony interes polegający na ochronie naszych Usług przed nikczemnymi działaniami. Jeśli łamiesz szwajcarskie prawo, ProtonMail może być prawnie zmuszony do zarejestrowania twojego adresu IP w ramach szwajcarskiego śledztwa kryminalnego (tutaj zalicza się również pomoc międzynarodowa ale tylko gdy zostanie zaakceptowana przez rząd szwajcarski!). Obowiązek ten nie obejmuje jednak ProtonVPN (patrz polityka prywatności VPN tutaj). Dodatkowe szczegóły można znaleźć w naszym raporcie przejrzystości.

Reasumując

ProtonMail:

  1. Domyślnie nie rejestruje adresów IP, jednak na wezwanie (tylko) władz szwajcarskich może wybranym kontom włączyć rejestrowanie IP i nic poza tym ;)
  2. Nie ma dostępu do szyfrowanej poczty swoich użytkowników. Wyjątkiem jest tutaj wysyłanie e-maila z poza systemu ProtonMail na @protonmail.com
  3. Ignoruje wezwania i prośby do udostępnienia danych z zagranicy

Tak to jest gdy ktoś nie jest zbytnio inteligentny i topiąc się chce pociągnąć innych na dno. Kierując się zasadą: lepiej zapobiegać niż leczyć. Recepta jest banalna, wystarczy używać VPN albo sieci TOR.

ProtonMail udostępnia swoje usługi także za pośrednictwem sieci TOR. Adres w wersji 3 jest następujący:

Wtedy mogą robić cuda na kiju ci aktywiści, a dane jakie by ProtonMail przekazał, to jedynie adres exitnode'a sieci TOR. Aktywista bezpieczny, ProtonMail spełnił swój obowiązek.

Kurtyna w dół, dziękuję.

__________________________________

O tym jak skonfigurować przeglądarkę Tor i ogólnie o darknecie opisuję w swoim mentoringu. Znajdziesz tez informacje o tym dlaczego warto korzystać z VPN i jaki jest najlepszy. Ogólnie tematykę bezpieczeństwa, prywatności i anonimowości opisuję w spoooorej pigułce mojego mentoringu "BEZPIECZEŃSTWO I ANONIMOWOŚĆ" :ok:

Bezpieczeństwo i anonimowość - Harry

Pozdrawiam

  • Super 4
Odnośnik do komentarza
  • 11 miesięcy temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .