Me refiero a una parte de este video de noticias: El video de noticias Hak5 comienza a las 5:33
Descubrí que el correo de protones solo puede dar mensajes cifrados a los solicitantes ( referencia ):
ProtonMail solo puede entregar mensajes cifrados ya que no tenemos la capacidad de descifrar mensajes de usuario.
¿Cómo puede el mensaje cifrado ayudar al FBI u otros solicitantes a declararse culpable al atacante?
Lo que no debe olvidar sobre el correo electrónico cifrado, es que mientras el cuerpo del mensaje está correctamente cifrado, algunos metadatos como el asunto, el remitente o el destinatario no lo están.
El asunto de los correos electrónicos, junto con los metadatos para vincular a la persona remitente con la persona receptora, puede ser muy valioso.
En un ejemplo de un caso terrorista, alguien que ha sido sospechoso de planear un ataque, que está enviando correos con muchos usuarios que han conocido vínculos con grupos terroristas, puede ser una prueba suficiente para asumir que al menos estuvo involucrado con ellos.
¡Esto podría ser un indicador de que nuestro sospechoso es en realidad lo que creemos que es!
El escenario más probable es que ProtonMail se estaba utilizando como el Servidor de Comando y Control, y los bots estaban configurados para escuchar mensajes de / a ciertos nombres de usuarios y ejecutar cualquier comando encontrado. Ahora, si ve un mensaje de un usuario enviado a 1,000 usuarios (o tal vez otro usuario con 1,000 direcciones IP registradas), y en segundos esas 1000 direcciones IP se iluminan con algún tipo de ataque DDoS (reflexión, paquetes jumbo, lo que sea), puedes estar bastante seguro de quién es el culpable.
La moraleja de la historia es: no uses tus objetivos DDoS como servidor C & C a menos que quieras que te atrapen. El hecho de que los mensajes estuvieran cifrados no importa, porque aparentemente había una clara correlación entre los nombres de usuario, las direcciones IP y el momento de los ataques. El uso del cifrado no lo protege automáticamente de otras formas de evidencia, como los registros de IP.
Como mencionó el noticiero, no usaron el OpSec (Seguridad operacional) adecuado, o podrían no haber sido capturados. Por ejemplo, configurar cada bot para usar una VPN para recibir los mensajes pero atacar directamente, aleatorizar el tiempo entre el mensaje y el ataque, usar un nombre de usuario separado sobre VPN para comandar el ataque, etc.
Lea otras preguntas en las etiquetas encryption protonmail