Lavabit

Servicio de correo web cifrado de código abierto, fundado en 2004

Lavabit es un servicio de correo web cifrado de código abierto , fundado en 2004. El servicio suspendió sus operaciones el 8 de agosto de 2013, después de que el Gobierno Federal de los Estados Unidos le ordenara entregar sus claves privadas de Secure Sockets Layer (SSL) , con el fin de permitir al gobierno espiar el correo electrónico de Edward Snowden . ^{[1] [2] [3] [4]}

El propietario y operador de Lavabit, Ladar Levison, anunció el 20 de enero de 2017 que Lavabit comenzaría a operar nuevamente, utilizando el nuevo Dark Internet Mail Environment (DIME), que es una plataforma de cifrado de correo electrónico de extremo a extremo diseñada para ser más resistente a la vigilancia. Sin embargo, a partir de junio de 2017, mientras se completaba la transición a DIME, el servicio solo se ofrecía a los clientes anteriores y a aquellos que aprovecharon la oferta de registro anticipado. ^{[5] [6] [7] [8]} A partir de octubre de 2017, a los nuevos clientes se les volvió a ofrecer la oportunidad de comprar el servicio. ^[9]

Historia

Lavabit fue fundada por programadores con sede en Texas que formaron Nerdshack LLC (rebautizada como Lavabit LLC el año siguiente), citando preocupaciones de privacidad sobre Gmail , el servicio de correo electrónico gratuito y ampliamente utilizado de Google , y su uso del contenido del correo electrónico de los usuarios para generar anuncios y datos de marketing. ^[10] Lavabit ofrecía una importante protección de la privacidad para el correo electrónico de sus usuarios, incluido el cifrado asimétrico . La solidez de los métodos criptográficos utilizados era de un nivel que se presume imposible de descifrar incluso para las agencias de inteligencia. En agosto de 2013, Lavabit tenía alrededor de 410.000 usuarios y ofrecía cuentas gratuitas y de pago con niveles de almacenamiento que iban desde 128 megabytes hasta 8 gigabytes . ^{[11] [12]} En enero de 2011, ^[13] Lavabit había lanzado un servicio de alojamiento web compartido . ^[14]

Antes del incidente de Snowden, Lavabit había cumplido con órdenes de registro anteriores. Por ejemplo, en junio de 2013 se ejecutó una orden de registro contra una cuenta de Lavabit por presunta posesión de pornografía infantil. ^[15]

Conexión con Edward Snowden

Documentos judiciales (PDF)

Lavabit recibió atención de los medios en julio de 2013 cuando se reveló que Edward Snowden estaba usando la dirección de correo electrónico de Lavabit [email protected] para invitar a abogados y activistas de derechos humanos a una conferencia de prensa durante su confinamiento en el Aeropuerto Internacional Sheremetyevo en Moscú . ^[16] El día después de que Snowden revelara su identidad, el gobierno federal de los Estados Unidos entregó una orden judicial, con fecha del 10 de junio de 2013, y emitida bajo 18 USC 2703(d), una enmienda de 1994 de la Ley de Comunicaciones Almacenadas , solicitando metadatos sobre un cliente que no fue identificado. Kevin Poulsen de Wired escribió que "el momento y las circunstancias sugieren" que Snowden era este cliente. ^[17] En julio de 2013, el gobierno federal obtuvo una orden de allanamiento exigiendo que Lavabit entregara las claves SSL privadas de su servicio, lo que afectaba a todos los usuarios de Lavabit. ^[18] Un error de redacción de 2016 confirmó que Edward Snowden era el objetivo. ^[2]

Orden de suspensión y secreto de sumario

El 8 de agosto de 2013, Lavabit suspendió sus operaciones y la página de inicio de sesión del servicio de correo electrónico fue reemplazada por un mensaje del propietario y operador Ladar Levison. ^[1] The New Yorker sugirió que la suspensión podría estar relacionada con las "prácticas de vigilancia doméstica" de la Agencia de Seguridad Nacional (NSA) de los EE. UU. ^[19] Wired especuló que Levison estaba luchando contra una orden judicial o una carta de seguridad nacional que solicitaba información de clientes en circunstancias extraordinarias, ya que Lavabit había cumplido con al menos una orden de registro de rutina en el pasado. ^{[16] [20]} Levison declaró en una entrevista que respondió a "al menos dos docenas de citaciones" durante la vida útil del servicio. ^[21] Insinuó que la solicitud objetable era para "información sobre todos los usuarios" de Lavabit. ^[22]

Levison explicó que estaba bajo una orden de silencio y que legalmente no podía explicar al público por qué puso fin al servicio. ^[21] En cambio, pidió donaciones para "luchar por la Constitución " en el Tribunal de Apelaciones de los Estados Unidos para el Cuarto Circuito . Levison también afirmó que incluso se le ha prohibido compartir cierta información con su abogado . ^[21] Mientras tanto, la Electronic Frontier Foundation pidió al Buró Federal de Investigaciones (FBI) que brinde mayor transparencia al público, en parte para ayudar a los observadores a "entender qué llevó a una empresa de diez años a cerrar sus puertas y a una nueva empresa a abandonar una oportunidad comercial". ^[23]

Levison dijo que podría ser arrestado por cerrar el sitio en lugar de divulgar la información, y se informó que la fiscalía federal había enviado un correo electrónico al abogado de Levison en ese sentido. ^{[22] [24]}

Se cree que Lavabit es la primera empresa de tecnología que ha optado por suspender o cerrar sus operaciones en lugar de cumplir con una orden del gobierno de los Estados Unidos de revelar información o conceder acceso a la información. ^[3] Silent Circle , un proveedor de correo electrónico cifrado, vídeo móvil y servicios de voz, siguió el ejemplo de Lavabit al discontinuar sus servicios de correo electrónico cifrado. ^[25] Citando la imposibilidad de poder mantener la confidencialidad de los correos electrónicos de sus clientes en caso de que se le notificara con órdenes del gobierno, Silent Circle borró permanentemente las claves de cifrado que permitían el acceso a los correos electrónicos almacenados o transmitidos por su servicio. ^[26]

Levison en septiembre de 2013 en la Conferencia de Acción Política de Liberty

En septiembre de 2013, Levison apeló la orden que resultó en el cierre de su sitio web. ^[27]

Levison y su abogado hicieron dos solicitudes al juez Claude M. Hilton para que abriera los registros, ambas fueron denegadas. También presentaron un caso de apelación sobre la legalidad de la orden original. El tribunal de apelaciones solicitó entonces que se abrieran los registros, y el juez Hilton concedió la solicitud. El 2 de octubre de 2013, el Tribunal de Distrito Federal de Alexandria, Virginia, abrió los registros en este caso, pero solo censuró el nombre y los detalles del objetivo de la orden de búsqueda. Wired sugirió que el objetivo probablemente era Snowden. ^[4] Los registros del tribunal muestran que el FBI solicitó la clave privada de seguridad de la capa de transporte (TLS/SSL) de Lavabit. Levison se opuso, diciendo que la clave permitiría al gobierno acceder a las comunicaciones de los 400.000 clientes de Lavabit. También ofreció agregar un código a sus servidores que proporcionaría la información requerida solo para el objetivo de la orden. El tribunal rechazó esta oferta porque requeriría que el gobierno confiara en Levison y declaró que el hecho de que el gobierno pudiera acceder a las comunicaciones de todos los clientes no significaba que se les permitiera legalmente hacerlo. Se ordenó a Lavabit proporcionar la clave SSL en formato legible por máquina antes del mediodía del 5 de agosto o enfrentar una multa de $5000 por día. ^[28] Levison cerró Lavabit tres días después.

El 14 de octubre de 2013, Levison anunció que permitiría a los usuarios de Lavabit cambiar sus contraseñas hasta el 18 de octubre de 2013, después de lo cual podrían descargar un archivo de sus correos electrónicos y datos personales. ^{[29] [30]}

Los documentos judiciales indicaron que el 13 de julio Levison envió una carta abierta al fiscal adjunto de los EE. UU., ofreciendo entregar metadatos de correo electrónico (sin contenido de correo electrónico, nombres de usuario o contraseñas) al FBI si le pagaba $ 2,000 "para cubrir el costo del tiempo de desarrollo y el equipo necesario para implementar mi solución" y $ 1,500 para entregar datos "de manera intermitente durante el período de recopilación". ^[31]

Posteriormente, Levison escribió que, tras ser contactado por el FBI, fue citado a comparecer ante un tribunal federal y se vio obligado a comparecer sin representación legal porque se le notificó con muy poca antelación; además, como tercero, no tenía derecho a representación legal y no se le permitió pedirle a nadie que no fuera un abogado que lo ayudara a encontrar uno. También escribió que, además de que se le negó una audiencia sobre la orden judicial para obtener la información de los usuarios de Lavabit, se le declaró en desacato al tribunal . El tribunal de apelación denegó su apelación debido a que no hubo objeciones; sin embargo, escribió que debido a que no había habido una audiencia, no se podría haber planteado ninguna objeción. Su cargo de desacato al tribunal también fue confirmado sobre la base de que no se discutía; de manera similar, no pudo disputar el cargo porque no había habido una audiencia para hacerlo. También escribió que "el gobierno argumentó que, dado que la 'inspección' de los datos debía ser realizada por una máquina, estaba exenta de las protecciones normales de búsqueda y confiscación de la Cuarta Enmienda". ^[32]

Legado

Un año después de la suspensión de Lavabit, su fundador Ladar Levison anunció una especificación para el Dark Internet Mail Environment (DIME) en DEF CON 22. Está siendo desarrollado por la Dark Mail Alliance . ^[33]

En abril de 2014, después de que un tribunal de apelaciones confirmara una condena por desacato judicial por proporcionar la clave en forma de impresión, describió la iniciativa a Ars Technica como "una solución tecnológica que alejaría la decisión de la voluntad del hombre". ^[34]

El desacato al tribunal fue causado por Levison proporcionando las claves impresas en una fuente diminuta (4 puntos), que fue considerada "en gran parte ilegible" por una moción del FBI, que continuó quejándose de que "Para hacer uso de estas claves, el FBI tendría que ingresar manualmente los 2560 caracteres, y una pulsación incorrecta de una tecla en este laborioso proceso haría que el sistema de recopilación del FBI fuera incapaz de recopilar datos descifrados". ^[35]

En noviembre de 2015, Levison dijo que el trabajo en DIME todavía estaba progresando, aunque más lento de lo que le hubiera gustado. ^[36] En julio de 2016, las publicaciones en el foro de Dark Mail Alliance sugieren que todos los colaboradores han abandonado el proyecto y Ladar ha estado trabajando en DIME solo. ^{[37] [ ¿Investigación original? ]}

Relanzar

El 20 de enero de 2017, el propietario de Lavabit, Ladar Levison, relanzó el servicio. Según el texto del anuncio, esta fecha aparentemente coincidió con la investidura de Donald Trump (aunque no se lo mencionó por su nombre). El servicio se ha renovado para utilizar los protocolos y el software del Dark Internet Mail Environment en el que Ladar había estado trabajando durante los últimos años. Esta plataforma DIME y el servidor de correo electrónico de código abierto Magma asociado están diseñados para utilizar el cifrado de correo electrónico de extremo a extremo de tal manera que, cuando se opera con la configuración de seguridad más alta, las citaciones judiciales no pueden obligar a los proveedores de servicios a dar acceso a los gobiernos al correo electrónico de los clientes (o verse obligados a cerrar para evitarlo). Cuando se utilizan las configuraciones de seguridad máximas, incluso un atacante que irrumpiera en los servidores DIME no tendría forma factible de acceder a los correos electrónicos de los clientes, lo que deja a los ataques del lado del cliente como los únicos puntos potenciales de vulnerabilidad.

Véase también

• Portal de Internet

• Comparación de servidores de correo
• Comparación de proveedores de correo web

Referencias

1. "Lavabit". Lavabit. Archivado desde el original el 9 de agosto de 2013. Consultado el 6 de abril de 2016 .
2. "Un error del gobierno acaba de revelar que Snowden era el objetivo del caso Lavabit". WIRED . 17 de marzo de 2016.
3. Ackerman, Spencer (9 de agosto de 2013). "El servicio de correo electrónico Lavabit cerró abruptamente alegando interferencia del gobierno: el fundador del servicio supuestamente utilizado por Edward Snowden dijo que no sería cómplice de 'crímenes contra el pueblo estadounidense'". The Guardian . Consultado el 9 de agosto de 2013 .
4. El proveedor de correo electrónico de Edward Snowden desafió las exigencias del FBI de entregar claves criptográficas, según muestran los documentos. Wired
5. "Lavabit Reloaded". lavabit.com . 20 de enero de 2017. Archivado desde el original el 31 de marzo de 2017 . Consultado el 23 de abril de 2017 .
6. "Explica Lavabit". lavabit.com . 28 de enero de 2017. Archivado desde el original el 23 de junio de 2017 . Consultado el 23 de abril de 2017 .
7. "Want Lavabit". lavabit.com . 2017. Archivado desde el original el 25 de abril de 2017 . Consultado el 23 de abril de 2017 .
8. "Lavabit Haves". lavabit.com . 28 de enero de 2017. Archivado desde el original el 25 de abril de 2017 . Consultado el 23 de abril de 2017 .
9. "Lavabit: Selecciona tu plan". lavabit.com . Archivado desde el original el 2 de mayo de 2018. Consultado el 17 de marzo de 2019 .
10. "Descripción de Lavabit High Scalability". Archivado desde el original el 3 de octubre de 2013. Consultado el 9 de agosto de 2013 .
11. El jefe de Lavabit predice una 'larga lucha' con los federales CNET, 9 de agosto de 2013. Consultado el 13 de agosto de 2013.
12. Ingersoll, Geoffrey (12 de julio de 2013). «Cómo Edward Snowden envía sus correos electrónicos ultrasensibles». Business Insider . Archivado desde el original el 8 de agosto de 2013. Consultado el 8 de agosto de 2013 .
13. "Lavabit ..::.. Inicio". Archivado desde el original el 23 de abril de 2011 . Consultado el 10 de septiembre de 2013 .
14. "Hosting Lavabit". Archivado desde el original el 10 de septiembre de 2013. Consultado el 10 de septiembre de 2013 .
15. "En relación con la búsqueda de: Cuenta de correo electrónico de Lavabit LLC para [email protected]". Docket Alarm, Inc. Consultado el 10 de agosto de 2013 .
16. Poulsen, Kevin (8 de agosto de 2013). «El proveedor de correo electrónico de Edward Snowden cierra tras una batalla judicial secreta». Wired . Archivado desde el original el 8 de agosto de 2013. Consultado el 8 de agosto de 2013 .
17. Poulsen, Kevin. "Los federales atacaron al proveedor de correo electrónico de Snowden el día después de que el denunciante de la NSA se hiciera público". Wired . 27 de septiembre de 2013. Recuperado el 2 de octubre de 2013.
18. Poulsen, Kevin. "El proveedor de correo electrónico de Edward Snowden desafió las exigencias del FBI de entregar claves criptográficas, según muestran los documentos". Wired . 2 de octubre de 2013. Recuperado el 2 de octubre de 2013.
19. Davidson, Amy. "La NSA y sus objetivos: Lavabit cierra". The New Yorker . Consultado el 8 de agosto de 2013 .
20. Jardin, Xeni (8 de agosto de 2013). «Lavabit, el servicio de correo electrónico que Snowden supuestamente utilizaba, se cierra abruptamente». Boing Boing . Archivado desde el original el 8 de agosto de 2013. Consultado el 8 de agosto de 2013 .
21. Mullin, Joe (14 de agosto de 2013). "El fundador de Lavabit, bajo orden de silencio, habla sobre la decisión de cerrar". Ars Technica . Consultado el 16 de agosto de 2013 .
22. Michael Isikoff (15 de agosto de 2013). "Dueño de Lavabit.com: 'Podría ser arrestado' por resistirse a una orden de vigilancia". Investigaciones de NBC News . Consultado el 15 de septiembre de 2013. Pero una fuente familiarizada con el asunto le dijo a NBC News que James Trump, un abogado litigante de alto rango en la oficina del fiscal de los EE. UU. en Alexandria, Virginia, envió un correo electrónico al abogado de Levison el jueves pasado, el día en que se cerró Lavabit, indicando que Levison podría haber "violado la orden judicial", una declaración que se interpretó como una posible amenaza de acusar a Levison de desacato al tribunal.
23. Samson, Ted (9 de agosto de 2013). "El cierre de Lavabit marca otro costoso revés para las empresas tecnológicas estadounidenses". InfoWorld . Consultado el 16 de agosto de 2013 .
24. Nicole Perlroth y Scott Shane (2 de octubre de 2013). "Mientras el FBI perseguía a Snowden, un servicio de correo electrónico se mantuvo firme". New York Times . Consultado el 2 de octubre de 2013 .
25. Ribeiro, John. «Después de Lavabit, Silent Circle también cierra su servicio de correo electrónico cifrado». PC World . Consultado el 9 de agosto de 2013 .
26. Sengupta, Somini (8 de agosto de 2013). "2 servicios de correo electrónico cierran y destruyen datos en lugar de revelar archivos" (Bits blog) . The New York Times . Consultado el 10 de agosto de 2013 .
27. Poulsen, Kevin. "El propietario de Lavabit apela la orden de vigilancia secreta que lo llevó a cerrar el sitio". Wired . 11 de septiembre de 2013. Recuperado el 2 de octubre de 2013.
28. "Se revelan detalles de Lavabit: se negó a entregar la clave SSL privada a pesar de la orden judicial y las multas diarias". Techdirt . 2 de octubre de 2013.
29. "Lavabit restablecerá brevemente los servicios de recuperación de datos". PR Newswire . 14 de octubre de 2013 . Consultado el 14 de octubre de 2013 .
30. "Lavabit ..::.. Libertad". Archivado desde el original el 15 de octubre de 2013 . Consultado el 14 de octubre de 2013 .
31. Hern, Alex (9 de octubre de 2013). "El fundador de Lavabit ofreció registrar los metadatos de los usuarios si el FBI le pagaba 3.500 dólares". The Guardian . Consultado el 5 de febrero de 2014 .
32. Levison, Ladar (20 de mayo de 2014). "Secretos, mentiras y el correo electrónico de Snowden: por qué me vi obligado a cerrar Lavabit". The Guardian .
33. "DEF CON 22 - Ladar Levison y Stephen Watt - Correo oscuro". Youtube .
34. Joe Silver (16 de abril de 2014). "Lavabit fue declarado culpable de desacato por imprimir una clave criptográfica en letra minúscula [Actualizado]: Fiscal de EE. UU.: Lavabit "trató las órdenes judiciales como negociaciones contractuales"". Ars Technica.
35. Joseph Cox (17 de marzo de 2016). "Aquí están las diminutas claves criptográficas impresas del servicio de correo electrónico de Snowden". Vice.
36. Zack Whittaker (2 de noviembre de 2015). "El debut de 'Dark mail' abrirá la puerta al regreso de Lavabit, dice Ladar Levison". ZDnet.
37. "foros darkmail.info". 22 de enero de 2016. Archivado desde el original el 20 de enero de 2017.

Enlaces externos

• Sitio web oficial
• Ladar Levison de Lavabit: «Si supieras lo que yo sé sobre el correo electrónico, quizá no lo utilizarías» Forbes, 8 de agosto de 2013.
• Entrevista a Ladar Levison en el programa de televisión Triangulation de la cadena TWiT.tv , el 23 de octubre de 2013
• Entrevista con Ladar Levison BBC News, 31 de enero de 2014.
• Fundador de Lavabit: Las "mentiras descaradas" del gobierno y la vigilancia masiva me obligaron a cerrar mi empresa | Democracy Now! 22/5/2014