プロトンメールからの暗号化されたメッセージは、データ要求者にどのように役立ちますか?
私はこのニュースビデオの一部を参照しています: Hak5ニュースビデオは5:33に始まります
プロトンメールは暗号化されたメッセージをリクエスターにしか配信できないことがわかりました( 参照 ):
ProtonMailは、ユーザーメッセージを復号化する機能がないため、暗号化されたメッセージのみを渡すことができます。
暗号化されたメッセージは、FBIまたは他の要求者が攻撃者に有罪を認めるのにどのように役立ちますか?
暗号化された電子メールについて忘れてはならないのは、メッセージ本文は適切に暗号化されていますが、件名、送信者、受信者などの一部のメタデータは暗号化されていないということです。
電子メールの件名は、送信者と受信者をリンクするメタデータとともに、非常に価値があります。
テロ事件の例では、攻撃を計画している疑いがあり、テロリストグループのリンクを知っている多くのユーザーにメールを送っている人は、少なくとも彼らに関与していると推測するのに十分な証拠になります。
これは、私たちの容疑者が実際に私たちが彼であると思うものであるというポインターである可能性があります!
最も可能性の高いシナリオは、ProtonMailがコマンドおよび制御サーバーとして使用されており、ボットが特定のユーザー名との間のメッセージをリッスンし、その中で見つかったコマンドを実行するように構成されていることです。ここで、あるユーザーから1,000人のユーザー(または1,000個のログIPアドレスを持つ別のユーザー)に送信されたメッセージが表示され、数秒以内にそれらの1,000個のIPアドレスが何らかのDDoS攻撃(リフレクション、ジャンボパケットなど)で点灯した場合、あなたは犯人が誰であるかをかなり確信することができます。
話の教訓は次のとおりです。捕らえられたくない場合を除いて、DDoSターゲットをC&Cサーバーとして使用しないでください。メッセージが暗号化されたという事実は重要ではありません。ユーザー名、IPアドレス、および攻撃のタイミングの間に明らかに明確な相関関係があったためです。暗号化を使用しても、IPログなどの他の形式の証拠から自動的に保護されるわけではありません。
ニュースキャストが述べたように、彼らは適切なOpSec(Operational Security)を使用していなかったか、捕らえられなかった可能性があります。たとえば、メッセージの受信にはVPNを使用するが直接攻撃するように各ボットを構成する、メッセージと攻撃の間の時間をランダム化する、VPNを介して個別のユーザー名を使用して攻撃を命令するなどです。