Willkommen im User-Forum von mailbox.org
 

Sophos abschaffen oder Opt-Out!

9122289 hat dies geteilt, 4 Jahren her
vorgeschlagen

Sophos gehört einer britischen Firma und unterliegt damit den

Five-Eyes. Das ist

in etwa als würde man sagen "Absofort schützt ein NSA-Agent unsere

deutsche Post, indem er alle Briefe öffnet und auf Briefbomben

untersucht".


Ich finde es aus sicherheits-bedingter Sicht völlig unverantwortlich, dass Sophos eingeführt wurde. Ich kenne Sophos bereits und halte den dadurch erworbenen Schutz in keinerweise mit den dazugehörigen Risiken vertretbar.


Wenn man der breiten Masse der Kunden nicht die notwendige Intelligenz zutraut selbst Schutzvorkehrungen getroffen zu haben, würde ich mir wenigstens ein Opt-Out wünschen, sodass Benutzer wie ich, die nicht wollen das Software einer der Five-Eyes-Länder, die dem Datenschutz abgeschworen haben, die privaten Emails scant wenigstens die Möglichkeit haben das zu unterbinden.

Kommentare (3)

Foto
1

mailbox.org wird von einer deutschen Firma betrieben und Deutschland gehört zu dem "erweiterten Kreis" der sogenannten 14-Eyes (Second Leve Friends der Fife Eyes).


Ich finde es es aus sicherheits-bedingter Sicht völlig unverantwortlich, einen Provider aus dem Kreis der 14-Eyes zu nutzen - oder?


Eine Frage: Gibt es irgendwo belastbares Material, das der Sophos Virenscanner nach Hause telefoniert? Von Windows 10 ist das ja hinreichend bekannt und dokumentiert, von Sophos habe ich derartigen noch nie gelesen. Würde mich interessieren.


Falls Deine Befürchtung ist, dass Sophos einen bestimmten Trojaner mit Absicht nicht erkennen möchte, dann läuft dafür eine zweite Scanengine bei mailbox.org


Die Möglichkeit des Opt-Out gibt es schon: Man kann den Mail Provider wechseln. ;-)

Foto
3

Es geht nicht um die Frage ob Sophos "nach Hause telefoniert", sondern wie sichergestellt wird das es das nicht tut. Amerikanische Produkte können z.B. durch den Patriot Act dazu gezwungen werden Hintertüren zu besitzen. So etwas gibt es bei uns nicht und ist strafbar (deshalb spielt es keine Rolle ob wir zum erweiterten Kreis gehören oder nicht). Ich fühle mich einfach unwohl bei dem Gedanken wenn ein Mailbox Anbieter, der auf Sicherheit und Datensparsamkeit wert legt, plötzlich ausländische closed-sourced Software einsetzt die SÄMTLICHE Emails (inklusive dem INHALT) scant und das auch noch aus einem Land, welches für seinen geringen Datenschutzwert bekannt ist.

Foto
Foto
1

Ein Opt-Out fände ich auch o.k.


Ich würde gerne wissen, an welcher Stelle Sophos scannt - im "vordersten" Eingang würde Sophos ja nichts in den verschlüsselten Mails finden können dürfen.


Wenn es aber "im letzten EIngang" scannt, sprich wenn die Mails ggf. entschlüsselt worden sind, sieht das doch wohl schon anders aus.


Wie wird sichergestellt, dass Sophos nichts von den Private-Keys mitbekommt?


Gibt / gab / ist ein Audit von Sophos geplant?

Foto
1

Danke, sehr interessante Aspekte die auch geklärt werden sollten. All das hätte im Vorfeld bereits kommuniziert werden müssen.

Foto
1

Unsere Virescanner scannen bei Einlieferung der Mail auf dem MX-Server ("vorderster Eingang").


Wenn die Mails auf dem MX für gut befunden wurden, werden sie an den IMAP Server übergeben. Ab diesem Zeitpunkt hat Sophos keinen Zugriff mehr auf die Mails.


Sophos hat keinen Zugriff auf entschlüsselte Inhalte von verschlüsselten Daten und Sophos hat keinen Zugriff auf irgendwelche Nutzerdaten, insbesondere keinen Zugriff auf private Schlüssel.


Audit: Wir haben Sophos vor dem produktiven Einsatz umfangreich getestet.

Foto
1

o.k.


Dann sehe ich das entspannt, denn ich kann verstehen, dass ein Provider seinen MX-Eingang scannt.


Trotzdem könnte ein opt-out interessant sein für "leicht paranoide" User.


Ich hielte ein Opt-out auch deswegen für vertretbar, weil der verschlüsselte Teil der Mails ja sowieso nicht erwischt wird - es geht also nicht um einen 100%-Ansatz, sondern um zusätzliche Sicherheit.

Foto
Foto
1

Ich dachte erst: was für ein paranoider Quatsch.


Dass Support allerdings nicht bestätigt hat, dass beim Sophos-Scanner jede ausgehende Datenverbindung technisch verhindert wird, finde ich durchaus bedenklich. Dass er "nur" den äußeren MX Verkehr sieht ist kein Argument. Sonst könnte man sich ja auch TLS und DANE sparen. Sophos sieht das innere des Tunnels. Es darf keinen Rückkanal geben.

Foto
4

Ich bitte um Verzeihung -- auch wir haben Wochenende und können nicht alles innerhalb von 24 Stunden beantworten.


Ich bestätige Dir hiermit gerne, daß es keinerlei Anhaltapunkte dafür gibt, daß der Sophos-Scanner nach Hause telefoniert. Die Sophos-Engine kann zwar Viren-Pattern-Updates nachzuladen, auch hier gibt es keinerlei Anhaltspunkte für einen Rückkanal. Natürlich sind unsere Systeme auch sonst hermetisch abgeschottet. Es gibt hier keinen entsprechenden ausgehenden Datenverkehr.


Diese Vermutungen entbehren jeder Grundlage.


Die Idee, wir würden hier entsprechende Systeme installieren bei denen diese Eingriffsmöglichkeiten naheliegend oder gar offensichtlich sind, sind ebenfalls abwegig und ich sehe hier in dieser Diskussion auch keinerlei Anlaß für diese Vermutungen.

Foto
1

>Ich bestätige Dir hiermit gerne, daß es keinerlei Anhaltapunkte dafür gibt, daß der Sophos-Scanner nach Hause telefoniert.

Dass es keine akuten Anhaltspunkte gibt glaube ich gern, sonst hätten Sie den sicherlich nicht eingesetzt. Aber die Frage ist doch, ob man erst abwarten sollte bis man Beweise findet, dass tatsächlich aktiv manipuliert wurde. Mir persönlich reicht der Fakt, dass Sophos laut US-Gesetzgebung und aktueller Interpretation seitens der US-Regierung (siehe Iphone-Affäre) gezwungen werden kann eine Backdoor in seine Software einzubauen ohne darüber Auskunft geben zu dürfen um jegliche IT-Produkte und Dienstleistungen aus solchen Unrechtsstaaten abzulehnen.

Im Rahmen der NSA-Affäre hat man ja schön gesehen wie diverse deutsche ISPs zwar eindeutig als unterwandert in den NSA-Folien dargestellt wurden, sich daraufhin genötigt sahen direkt eine Pressemitteilung rauszuhauen, dass man keinerlei Kompromittierung der eigenen Systeme feststellen konnte. Klar kann es sein, dass die Backdoors im Rahmen des Leaks schnell vom Verursacher entfernt wurden, eventuell wurden die Beweise aber auch nur tief genug in der Firmware/Hardware versteckt, oder der ISP hat (mit Absicht oder aus Inkompetenz) nicht genau genug hingeschaut.

Trotzdem darf man ja davon ausgehen, dass eine Kompromittierung stattgefunden hat. Weshalb sollte man also auf konkrete Hin-/Beweise warten, wenn juristisch klar ist, dass der Hersteller gezwungen werden kann seine eigenen Produkte zu manipulieren?

Liegt Mailbox.org wenigstens der vollständige Quelltext der Engine vor und ist auch sichergestellt, dass das Kompilat dieses Sourcecodes ausgeführt wird? Und wie wird bei Updates der Engine vorgegangen um Manipulationen zu verhindern?

Foto
1

Ich finde die Antwort von Peer Heinlein zufriedenstellend. Man kann auch mal die Kirche im Dorf lassen. Wenn die NSA es auf ein System abgesehen hat, dann bringt Dir auch das Opt-Out vom Virenscanner nichts.


(Sourcecodelesen + eigenes Kompilat Vergleichen) wird immer wieder zitiert, macht aber faktisch niemand kontinuierlich. Ist total weltfremd. Das wären hunderte Mann-/Frautage pro Jahr. Und den 10-fachen Preis würden hier sicher die wenigsten bezahlen wollen.


Da bleibt Dir leider nur:


  1. Eigener Mailserver.
  2. Selber kompilieren, selber kompletten Source Code lesen.
  3. Dann mit dem popeligen Open Source ClamAV auf Viren scannen, der nur einen Bruchteil der aktuellen Signaturen kennt.
  4. Von Ransomware infiziert werden, weil der Scanner so schlecht ist.
  5. Lösegeld per Bitcoin überweisen.
  6. Tränen abwischen und zu Mailbox.org zurückkehren


;)

Foto
1

  1. Wenn die NSA es auf ein System abgesehen hat, dann bringt Dir auch das Opt-Out vom Virenscanner nichts.

Korrekt, aber man muss auch keine Software kaufen, von der man weiß, dass ein 0day erzwungen werden kann. Abgesehen davon ist bei diesem (in den USA) legalen Vorgehen eben nicht nur die NSA sondern auch das FBI in der Lage, solche Vorgaben zu machen. Und das ist garantiert viel eher daran interessiert, beim Provider an die Mails von besonders vorsichtigen Nutzern zu kommen. Die NSA kann nämlich im Gegensatz zum FBI das Risiko einer Entdeckung durch die Profis bei Mailbox.org recht einfach umgehen indem sie das Endgerät übernehmen.


  1. (Sourcecodelesen + eigenes Kompilat Vergleichen) wird immer wieder

    zitiert, macht aber faktisch niemand kontinuierlich. Ist total

    weltfremd. Das wären hunderte Mann-/Frautage pro Jahr. Und den 10-fachen

    Preis würden hier sicher die wenigsten bezahlen wollen.

Man könnte natürlich auch einfach ein Produkt aus einer Jurisdiktion einsetzen, in der der Staat den Hersteller eben nicht zum Betrug an seinen Kunden zwingen kann. Nennt sich dann in der Vermarktung wohl Standortvorteil. Abgesehen vom manuellen Lesen und Vergleichen von Sourcecode wären natürlich auch reproducible builds denkbar. Dann braucht man nur einmal den Code und dann die Patches im gut lesbaren Quelltext durchsehen, anstatt Quellcode und Dekompilat zu vergleichen.

Foto
1

Man könnte einfach ein Produkt aus einer anderen Jurisdiktion einsetzen, ja klar, z.B. Kaspersky aus Russland? Tolle Alternative, wenn man die Gesetze vergleicht und mit dem Begriff SORM etwas anfangen kann. ;-)


Heinlein ist bekannt als Vertreter von Open Source Software (war ein Autoren bei Open Source Press). Jahrelang wurde ClamAV bei mailbox eingesetzt, gewährleistet aber keinen ausreichen Schutz mehr, Vortrag von Heinlein dazu siehe hier. (Soviel zum Thema Open Source.)


Analyse des Quellcodes und sogar reproducible builds werden hier gewünscht, von einem Mailprovider, der unter hartem Konkurrenz steht. Wollt ihr das wirklich? Zusätzlich zu den Wünschen, die man hier im Forum sammeln kann? Billig-OTP wird zum Beispiel ganz dringend gefordert


Ihr müsst es dann entweder bezahlen oder der Dienst geht kaputt an euren Wünschen. Ich kenne genug Diskussionen über "Was - 1 Euro pro Monat für E-Mail???". Der Druck durch die Nutzer hier im Forum um Billig-OTP einzuführen, ist ein weiteres Zeichen dafür, was die Mehrheit der Nutzer hier will: es muss billig bleiben, für ein mehr an Sicherheit (z.B. OTP Hardware Token) ist kaum einer bereit zu bezahlen. Daher: wahrscheinlich würde mailbox kaputt gehen, wenn die Kunden den 10x Preis zahlen müssten. Das Mehr an Sicherheit würden die wenigsten Kunden honorieren wollen. (Ich habe genügend Leading Edge Projekte gesehen, denen es in den letzten Jahren so ging.)


Und ich kenne nur ein Projekt, das reproducible builds baut und dieses Projekt wird knapp 1 Mio. Euro pro Jahr von der US-Regierung fiananziert, weil es u.a. von den Geheimdiensten für schmutzige Operationen genutzt wird. (Vielleicht sollte man mailbox so umbauen, dass es für die "Dienste" interessant wird? Würde die Finanzierung verbessern. <IRONIE>)

Foto