Hoe de e-mail van John Podesta is gehackt en hoe u dit niet kunt laten gebeuren

Hillary Clinton en Donald Trump nemen het tegen elkaar op in eerste presidentieel debat op Hofstra University Foto door Drew Angerer/Getty Images

Er was een dorp voor nodig om de e-mail van Hillary Clintons campagnevoorzitter John Podesta te hacken.

Het was niet technisch; er was geen grote inbreuk op de beveiliging op de servers van Google. Kortom, iemand heeft Podesta misleid om hun zijn wachtwoord te geven, hij had geen tweefactorauthenticatie ingesteld als extra controle, en het IT-team van de campagne leidde hem op een dwaalspoor. Dankzij Wiki DE eaks , we weten nu hoe het gebeurde:

Op 19 maart ontving Podesta een e-mail van no-reply@accounts.googlemail.com – een gebruiker die zich valselijk voordeed als Google, en Podesta liet weten dat zijn wachtwoord was gehackt door iemand in Oekraïne. De e-mail bevatte een bit.ly-link om het wachtwoord te wijzigen.



Schijnbaar sceptisch (en terecht), stuurde Podesta de e-mail door naar zijn stafchef, die de e-mail vervolgens doorgaf aan het IT-team van de campagne. Dit is waar het zo pijnlijk mis gaat: het IT-team van de campagne identificeerde de e-mailphishing voor Podesta's wachtwoord ten onrechte als legitiem en gaf hem de opdracht zijn wachtwoord te wijzigen.

Tot eer van het IT-team stuurden ze een legitieme Google-link mee - niet de bit.ly-link van de originele phishing-e-mail - om Podesta's wachtwoord te wijzigen en gaven ze hem de opdracht om twee-factor-authenticatie toe te voegen aan zijn account voor een extra niveau van wachtwoordbeveiliging. Maar de legitieme Google-link leek Podesta niet te bereiken, en in plaats daarvan moet hij de vergiftigde link hebben gebruikt, zijn wachtwoord aan hackers geven en zijn persoonlijke e-mail openstellen voor ongewenste ogen.

Dit was geen uitgebreide technische hack. Integendeel, dit soort hacking is ongelooflijk gebruikelijk en ongelooflijk eenvoudig, vertelde Herb Lin, een cyberbeveiligingsexpert aan de Stanford University, me toen de e-mails van Colin Powell eerder deze zomer lekten.

Hackers proberen vaak e-mailgebruikers te misleiden met schijnbaar bekende adressen - bijvoorbeeld een vertrouwd e-mailadres met één ander teken - en vergiftigde links verzenden. Als u op de link klikt, kunt u naar een pagina gaan die meer informatie kan stelen en waarop schadelijke software wordt uitgevoerd.

En, zoals Zinaida Benenson, een onderzoeker van de Universiteit van Erlangen Neurenberg, ontdekte, mensen laten zich gemakkelijk voor de gek houden door dit soort e-mailphishing. pc m tijdschrift meldde Benensons bevindingen:

Op basis van deze resultaten concludeerde Benenson dat zowat iedereen ertoe kan worden gebracht om op een gevaarlijke link te klikken met behulp van een van de verschillende technieken. Het slachtoffer bij naam aanspreken, het bericht opstellen om nieuwsgierigheid op te wekken, een bekende afzender vervalsen, de inhoud van het bericht afstemmen op de recente ervaring van het slachtoffer - dit zijn de beproefde technieken.

hoeveel krijg je per kind voor stimulus

De afhaalmaaltijd hier is eenvoudig: er zijn veel eenvoudige, niet-technische manieren om uw e-mailinloggegevens te hacken. Uiteindelijk is e-mailtechnologie oud en gecompliceerd, waardoor deze kwetsbaar wordt.

Er zijn een aantal gezond verstand maatregelen om jezelf te beschermen tegen dit soort hacking

Dit verkiezingsjaar is het jaar van gehackte e-mails gebleken.

Van de e-mails van Colin Powell tot de privéserver van Hillary Clinton tot het e-maillek van het Democratisch Nationaal Comité naar Donald Trump die Russische hackers openlijk aanmoedigt, het is gemakkelijk in te zien dat zelfs degenen met de strengste veiligheidsmaatregelen en het grootste scepticisme nog steeds het slachtoffer zijn van inbraken.

Natuurlijk varieert uw kwetsbaarheid op e-mail als individu. Het zou onjuist zijn om te zeggen dat e-mail minder veilig is dan telefoneren. Het hangt er gewoon van af wie je bent.

Maar voor gemiddelde e-mailgebruikers zijn er bepaalde toegankelijke en verstandige manieren om communicatie veiliger te maken.

Als ik mijn kredietnummer verzend, gebruik ik twee verschillende kanalen, zei Lin. Hij verzendt bijvoorbeeld de eerste 12 cijfers via e-mail en de telefoon de laatste vier.

Het is hetzelfde idee als het gebruik van tweefactorauthenticatie bij uw aanmeldingen - waarbij u niet alleen een gebruikersnaam en wachtwoord hebt, maar ook een sms ontvangt met een toevoegingscode om in te pluggen bij het inloggen. Hier is een video over hoe te werken:

E-mailservers zijn erg ingewikkeld en gevoelig voor beveiligingsfouten

Achter elk e-mailadres zit een e-mailserver. Dat is een computer die ergens in een datacenter staat en die namens u e-mail ontvangt en deze vasthoudt totdat u klaar bent om deze te lezen. Het gedecentraliseerde karakter van e-mail betekent dat iedereen, van grote bedrijven zoals Google tot hobbyisten in hun kelder, een e-mailserver kan opzetten en uitvoeren.

Dit is wat Hillary Clinton deed - ze zette een server op in haar huis in Chappaqua, New York. Door haar eigen server te gebruiken, heeft Clinton het haar misschien gemakkelijker gemaakt om haar geliefde BlackBerry te gebruiken, en misschien heeft ze geprobeerd het voor derden moeilijker te maken om toegang te krijgen tot haar e-mails door middel van dagvaardingen of Freedom of Information Act-verzoeken.

Maar door ervoor te kiezen haar eigen server te runnen, stelde ze zichzelf bloot aan een aantal serieuze veiligheidsrisico's.

Van nature zijn mailservers echt gecompliceerde technologie - ze zijn vatbaar voor fouten die kunnen worden misbruikt, zei Justin Cappos, een professor computerwetenschappen aan de Tandon School of Engineering van NYU.

Ze zijn ook ongelooflijk moeilijk in te stellen. Ars Technica legt uit hoe een privéserver in te stellen, met een waarschuwing:

Als je het verprutst en je server wordt gecompromitteerd of wordt gebruikt als spam-relay, zal je domein vrijwel zeker op zwarte lijsten terechtkomen. Uw vermogen om e-mail te verzenden en te ontvangen zal worden verminderd of misschien zelfs helemaal worden geëlimineerd. En jezelf volledig schrappen van de veelheid aan zwarte lijsten voor e-mail is ongeveer net zo moeilijk als proberen om van de TSA's No Fly-lijst af te komen.

Je bent gewaarschuwd.

Voor gemiddelde Amerikanen is het meestal veiliger om gewoon met de grote e-mailproviders zoals Gmail of Apple te gaan, zeiden zowel Cappos als Lin. Sommige mailservers zijn erg slecht opgezet [en] omdat ze ingewikkeld zijn, zijn er veel problemen, zei Cappos.

Gmail is redelijk veilig. Zijn ze onkwetsbaar? Nee, zei Lin. Dat is een grote afhaalmaaltijd - niets is onkwetsbaar. Zoals het artikel van Ars Technica opmerkt, betekent het werken met Google of Apple dat u geen controle heeft over wie toezicht houdt op de overdracht van uw e-mails tussen verschillende e-mailservers of dat uw gegevens zijn aangetast.

E-mail is ook een zeer oude technologie

E-mailtechnologie is oud.

Het is het oudste nog steeds herkenbare onderdeel van internet, met zijn moderne incarnatie die is samengesmolten uit verschillende decennia-oude berichtentechnologieën, waaronder ARPANET node-to-node messaging in de vroege jaren 1970, Ars Technica senior editor Lee Hutchinson schrijft: .

En omdat het oud is, hebben bepaalde beveiligingsontwikkelingen het nog niet ingehaald - met name codering. Bij correct gebruik versleutelt codering - die we zien in iMessages of teksten via apps zoals WhatsApp - berichten op een manier die voorkomt dat iemand anders dan de beoogde ontvanger ze kan ontcijferen. Maar als het op e-mail aankomt, werken bijna alle mailservers in platte tekst.

Het is alsof de postbode alleen ansichtkaarten bezorgde in plaats van enveloppen, zei Cappos. Je zou kunnen zien hoe dit een probleem kan zijn als je een corrupte postbode hebt of iemand die zich voordoet als postbode die in werkelijkheid een kwaadaardige identiteitsdief is.

Hier zijn enkele oplossingen voor, zoals het gebruik van a GPG , die uw e-mail zou coderen voordat deze wordt verzonden, waardoor de ontvanger het bericht moet kunnen decoderen. Maar tools als deze zijn nauwelijks toegankelijk, zei Cappos.

Het goede nieuws is dat er een grote druk is geweest in de richting van encryptie, zei Cappos. Voor nu is de software echter gewoon oud en verankerd, zei hij.

Voor nu, wees voorzichtig. Gebruik tweefactorauthenticatie.