Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Submitter: mincedmeat

De Canadese politie had in ieder geval vanaf 2010 een master-key van BlackBerry in handen waarmee alle pin-to-pin-berichten tussen de toestellen ingezien konden worden. De politie gebruikte de sleutel in een zaak tegen georganiseerde misdaad om een miljoen berichten te ontsleutelen.

De bevindingen staan in een gerechtelijk document bij een zaak over een moord uit 2011, door leden van een misdaadbende uit Montreal, schrijft Vice. Een politieman beschrijft dat de code de 'sleutel vormt tot miljoenen deuren'. Niet bekend is hoe de Royal Canadian Mounted Police aan de master-key kwam, maar het openbaar ministerie van Canada erkent dat de politie er toegang toe had. Juristen van zowel de politie als van BlackBerry probeerden twee jaar lang te voorkomen dat de informatie in de openbaarheid kwam.

Dat de beveiliging van BlackBerry's pin-to-pin-messaging allesbehalve optimaal is, was al langer bekend. De Canadese overheid stuurde in 2013 zelf een interne memo naar medewerkers om de dienst niet te gebruiken omdat deze de zwakste beveiliging had van alle BlackBerry-diensten. "Elk BlackBerry-apparaat kan potentieel alle pin-naar-pin-berichten die verzonden zijn naar andere BlackBerry-apparaten ontsleutelen", zei de overheid toen over het systeem met master-key.

Berichten worden via triple-des versleuteld en komen via het netwerk van de mobiele provider bij de relay van, destijds, Research in Motion, terecht. Het bedrijf achter de BlackBerry-apparaten en -diensten kon al tegemoetkomen aan gerechtelijke bevelen om de klare tekst van berichten te overhandigen. In het verleden lag BlackBerry regelmatig in de clinch met overheden die de versleutelde communicatie van diensten wilden kunnen monitoren, zoals India en Pakistan. De beveiliging was lange tijd een van de eigenschappen waarmee BlackBerry zich probeerde te onderscheiden. Ook de veel sterker beveiligde pgp-mails van BlackBerry's bleken echter door het Nederlandse NFI ingezien te kunnen worden, bleek onlangs.

BlackBerry pin-to-pin

Moderatie-faq Wijzig weergave

Reacties (49)

OK, dus niet de zakelijke toestellen. Het zal vast wel weer ergens in de kleine lettertjes voorwaarden van de Consumenten toestellen gestaan hebben. Dus vanaf het QNX tijdperk.

Edit: Met Zakelijke toestellen bedoel ik de Enterprise Server connected toestellen.

[Reactie gewijzigd door mdcoo op 14 april 2016 18:05]

OK, dus niet de zakelijke toestellen

Precies, ik ben geen Blackberry fan, maar dit is non-nieuws. Blackberry zelf sprak dan ook niet van ecrcyptie, maar scrambling of gewoon 'communicatie' zonder toevoegingen betreft security.

Het achterliggende systeem verstuutde altijd encrypted, en dus was er een noodzaak tot een default key. Dus als een toestel niet geprovisioned was voor gebruik met een zakelijke dienst werd die default key gebruikt, Dat was al jaren bekend. En het was ook al jaren bekend dat deze sleutel bekend moest zijn bij elke veiligheidsdienst van enig caliber.

Bij zakelijke provisioning wordt die default key vervangen door een unieke bedrijfskey en is de communcatie wel veilig.
Ondanks dat het alsdus jou dus gaat om een scramble in plaats van encryptie (wat opzich al grappig is want wat is concreet het verschil?) geeft het toch wel een zekere intentiekoers bloot. Ik vind deze kennis een vrij solide reden bij ze uit de buurt te blijven.
Zo heel simpel zal die scramble wel niet geweest zijn anders hadden de autoriteiten geen hulp van BB nodig.

Mag algemene kennis geweest zijn, ik wist het niet.

[Reactie gewijzigd door Alpha Bootis op 14 april 2016 18:45]

Ondanks dat het alsdus jou dus gaat om een scramble in plaats van encryptie (wat opzich al grappig is want wat is concreet het verschil?)

Scramble is minder strak/niet gedefinieerd. O-)

Waar je gelijk in hebt gehad, is dat Blackberry de sfeer van veiligheid die men terrecht had bij zakelijke implementatie, gebruikte om consumententoestellen aan de man te brengen. Er wordt uiteraard nooit actief gepromoot met veiligheid, maar er werd ook nooit eerlijk gesteld dat de beveiliging efectief gewoon afwezig was.

Maar in de security wereld was dit wel al bekend, dat is waar ik op doelde. Maar je hebt wel een punt, want ook bepaalde Arabische landen hebben ooit aangeklopt bij Blackberry en op hoge toon een backdoor geeist voor BIS. Blackberry heeft ze toen uitgelegd dat die er effectief al lang inzat. Kennelijk waren de security experts van die landen ook niet echt op de hoogte.

Maar nu slaat deze misinformatie dus keihard terug, wat gaat het gewone publiek denken dat ook de zakelijke implementaties onveilig zijn/waren. _/-\o_
Scramble is minder strak/niet gedefinieerd. O-)
Volgens mij zijn de principes exact hetzelfde en verschillen ze inderdaad alleen op daadwerkelijke beveiliging.
Een factor die ik persoonlijk irrelevant vind als je het gaat hebben over hoe BB handelt als een overheid komt piepen om toegang. Meehelpen is meehelpen, ook als je implementatie überhaupt rammelt.

Er zou zelfs een case gemaakt kunnen worden van wanbeleid tegen beveiliging in zijn algemeenheid. Als je versleuteling gebruikt impliceert dat een een mate van veiligheid. Als je in de security business moet zitten om te weten dat ze eigenlijk gewoon zitten te falen is dat feit alleen al een (in mijn ogen zeer kwalijk) probleem.
Maar nu slaat deze misinformatie dus keihard terug, wat gaat het gewone publiek denken dat ook de zakelijke implementaties onveilig zijn/waren. _/-\o_
Lijkt me dus volstrekt terecht. :)
Maar nu slaat deze misinformatie dus keihard terug, wat gaat het gewone publiek denken dat ook de zakelijke implementaties onveilig zijn/waren. _/-\o_
Alsof in dat soort aanbestedingen geen advies wordt gevraagd van mensen die exact de in's en out's weten van BES...
Uiteraard, maar dat ontken ik dan ook niet.

Het gewone publiek - de BIS gebruikers - echter weten hier niets van. Waar onder die mensen Blackberry eerst - onterrecht - een status van "zeer veilig voor consumenten gebruik" had, slaat dat nu wlelichtd oor in "geheel onveilig in zijn algemeen" En dan mag je hopen dat dat geen invloed heeft.

Niet dat dat anno 2016 nog wat uitmaakt, want geen hond die nu nog vers Blackberry gaat uitrollen in zijn bedrijf.
Tja, het zal wel. Ik ga er rustig vanuit dat elke 'beveiliging' die door de overheid aanbevolen wordt, of die door een groot bedrijf geleverd wordt, kaputt is. Verder is het niet gek moeilijk om zelf iets in elkaar te sleutelen, dus het verbaast me meer dat kwaadwillenden vertrouwen op kant-en-klare meuk.
Bij deze criminelen (waarschijnlijk belastingontwijkers, illegale downloaders en te-hard-rijders enzo) is het in elk geval duidelijk: gepakt.
Tja, het zal wel. Ik ga er rustig vanuit dat elke 'beveiliging' die door de overheid aanbevolen wordt, of die door een groot bedrijf geleverd wordt, kaputt is.
En ik ga ervan uit dat elke keer dat een overheid piept over dat ze een encryptie methode niet kunnen kraken, deze juist te decrypten is en ze een vals gevoel van veiligheid aan de gebruikers willen geven.
Je kunt ook te paranoïde zijn (maar dat is moeilijk als het om de overheid gaat).
Of te weinig. Sommige mensen gooien de privacy van hun kinderen wel erg makkelijk te grabbel tegenwoordig ;)
Beetje para zijn lijkt een mooie middenweg.
"Met een gezonde dosis paranoïa wordt je oud." En toen ik dat eens tegen een bevriende psychiater zei, vertelde hij me dat ik niet paranoïde was, maar dat ze echt achter me aan zaten.

offtopic:
Die foto van mijn kinderen is al ruim een jaar oud, ze lijken er echt niet meer op.
Tja, het zal wel. Ik ga er rustig vanuit dat elke 'beveiliging' die door de overheid aanbevolen wordt, of die door een groot bedrijf geleverd wordt, kaputt is. Verder is het niet gek moeilijk om zelf iets in elkaar te sleutelen,
Om eerlijk te zijn vertrouw ik 3DES (door groot bedrijf, IBM, in elkaar gesleuteld) en AES (door NIST, overheid VS, aanbevolen) meer dan wat jij in elkaar sleutelt.
Het algoritme zal ook wel prima zijn (hoewel 3DES met 56bit inmiddels niet echt lekker meer is), maar de implementatie kan nog altijd lek zijn. Daarnaast is het ook prima dat je mijn versie wantrouwt, dan check je em voor je em gebruikt, en daar wordt de wereld veiliger van :)
Daarnaast is het ook prima dat je mijn versie wantrouwt, dan check je em voor je em gebruikt, en daar wordt de wereld veiliger van :)
Het standaard probleem hiermee is dat encryptie moeilijk is om goed te doen, maar makkelijk om verkeerd te doen.

En laat ik nou net geen verstand hebben om hem te kunnen checken, dus nee dank je jouw versie in ieder geval niet.
Verder is het niet gek moeilijk om zelf iets in elkaar te sleutelen

Niet gek moeilijk om te doen. Wel 'gek moeilijk' om goed te doen. Eigen crypto 'rolen' is een cadeautje aan veiligeidsdiensten, criminelen, etc

Beter is je te verdiepen in de encryptie-technieken, zodat je weet wat wel en niet veilig is. Veel encryptie-technieken van grote bedrijven en zoals aangeraden door overheden (want ook gebruikt door henzelf) is gewoon veilig. Veel van de zelfgemaakte 'meuk' juist niet.

Meeste problemen zitten hem namelijk niet inbackdoors en gelekte keys, maar nog atijd in software implementatie en algorithme fouten.
En hopla de laatste klap voor het blackberry imperium is een feit.
Jammer want ik heb niks tegen blackberry, maar ik betwijfel of ze de negatieve publiciteit die ze hiermee krijgen zullen overleven gezien hun precaire bedrijfs situatie.
Blackberry zou alleen al kunnen overleven op hun patenten en zeer omvangrijke kennis wat betreft mobile security en policies hiervoor. Al vanaf de Curve hadden ze mogelijkheid tot enrollment binnen een onkraakbare berichtendienst. Artikel wat in het nieuwsbericht genoemd wordt over dat deze setup met PGP al gekraakt kan worden is enkel van toepassing als je je policy in de BES server te losjes afsteld. Je kan deze berichten na 30sec uit Flash verwijderen dmv policy bijvoorbeeld. Dus de security van de Curve (2009) icm goed afgestelde enterprise omgeving is wat dat betreft dus veiliger dan de iPhone van het FBI drama (2016).
Tot op de dag van vandaag is hun enterprise security kennis jaren voor op de concurrenten. Zie Blackberry niet snel verdwijnen van de markt, mogelijk slechts hun fysieke toestellen.
Voorbeeld is Samsung, die hun zakelijke afgeschermde omgeving binnen Android toestellen met hulp van Blackberry hebben gemaakt.
Dit is waarom ik geen enkele applicatie vertrouw die voor z'n veiligheid afhankelijk is van een centrale server of gedeelde sleutel. Encryptie doe je end-to-end met software die jezelf hebt geinstalleerd en sleutels die je zelf hebt aangemaakt.
Alles wat centraal wordt beveiligd kan ook centraal worden gekraakt.

Nu eenmaal bekend is dat die sleutel in handen is van de politie zullen een hoop krakers wel een weekendje doorwerken om te proberen die sleutel te pakken te krijgen. Hoe meer partijen zo'n sleutel hebben hoe groter de kans is dat er eentje bij zit die z'n zaakjes niet op orde heeft. Als de IT van Canadese politie maar een beetje op IT van de Nederlandse politie lijkt dan kan het niet heel lang gaan duren voor het mis gaat.
Waarschijnlijk is het allang misgegaan, maar is dat nog niet in de openbaarheid gekomen.
Dit kon wel eens de nagel aan de doodskist van de BlackBerry worden.
[qoute] De politie gebruikte de sleutel in een zaak tegen georganiseerde misdaad om een miljoen berichten te ontsleutelen.[/qoute]

Voor 1 moord 1 miljoen berichten bekijken... vraag me af in hoeverre ze in Canada privacy nog in het oog houden. Vindt het nog al een forse bij vangst voor een vis uit de vijver.
Privacy heeft niet zo veel te maken met politietoegang. Het heeft meer met gegevensverzameling voor commerciële doeleinden te maken. Als je denkt dat je overheden kan omzeilen met een gratis dienst als WhatsApp of iMessage zul je bedrogen uitkomen, en ben je daarnaast gewoon ontzettend naïef.

Canada kent een van de meest strenge privacywetten ter wereld. Maar het spionnenapparaat is tegelijkertijd een van de meest uitgebreide. En daar zijn ze overigens ook gewoon ontzettend open over. Het hoofdgebouw van de geheime dienst kent ook wel de bijnaam 'spy palace' omdat het uitgerust is met zaken als gracieuze trappen en gefilterde waterfonteintjes.
Als een agent denkt van ik ga maar even kijken wat iemand online uitspookt omdat hij of zij dat leuk vindt kan dat niet. Privacy is privacy. Ook de politie moet zich daar aanhouden. Ze heb een goede reden nodig omdat recht te door breken. Dus ja ook overheidsdiensten hebben ook met privacy te maken.
Ik vroeg me af waar houdt recht op privacy op. Een miljoen berichten afluisteren van tig personen klinkt mij als heel veel.
Geen idee waar jij het vandaan haalt dat ik zou denken dat je overheden kan omzeilen met messaging diensten. Hek ik het niet over gehad...
Maar dat eerste is ook niet hoe het werkt. Er gaan bepaalde constructen overheen voordat ze dit mogen inzien. Vergeet niet dat ook in Nederland we in Driebergen sinds begin 2000-er jaren een faciliteit hebben staan dat bel en sms-verkeer logt en monitort. Destijds ging het om 1,5 of 2,5 jaar dat ze deze info behielden. Daar kon men ook niet zomaar bij als politie zijnde.

Interessant genoeg zijn de discussies de laatste jaren alleen over meta-data gegaan. Ik weet niet in hoeverre het loggen van gesprekken en tekst nog gebeurt, maar men deed het wel en pas bij ernstige vergrijpen werd er wat mee gedaan.

Het afluisteren van een miljoen berichten is niets. Ik ben vergeten wat het aantal was dat de NSA deed, maar in Citzenfour (Snowden documentaire) werd aangegeven dat alleen op de terreurlijst van de NSA alleen al 1,2 miljoen mensen staan die dus live gemonitord worden.

Dat van die berichtdiensten las ik bij iemand anders en betrok ik inderdaad onterecht op jou.
Over een aantal jaar een soortgelijk nieuwsbericht over het zogenaamd veilige Whatsapp.

Ze kunnen beweren wat ze willen, en experts zoals Moxie Marlinspike of wie dan ook inhuren, zolang ze zelf nog ergens een kanaal hebben waarin ze ongezien met hun app kunnen rommelen (en dat kan per definitie met closed source) kun je nooit controleren of het veilig is.

Zo'n bericht als dit geeft wel aan dat ze hier desnoods jarenlang mee wegkomen en ver gaan om dit onder de pet te houden.

[Reactie gewijzigd door kumquat op 14 april 2016 21:51]

Nee, WhatsApp gebruikt sterke end-to-end encryptie met FPS (perfect forward secrecy), waardoor je niet met één enkele sleutel alles kunt ontcijferen.

WhatsApp KAN simpelweg niet jouw berichten bekijken, zelfs al loopt alles over hun servers/netwerken.
WhatsApp KAN simpelweg niet jouw berichten bekijken, zelfs al loopt alles over hun servers/netwerken.
Die discussie is hier al vaker gevoerd, en ondanks dat dit topic niet over whatsapp gaat wilde ik het toch even aanstippen, want dit is een systematisch veiligheidsprobleem, zeker niet beperkt tot alleen blackberry.

Zoals ik net al zei:
zolang ze zelf nog ergens een kanaal hebben waarin ze ongezien met hun app kunnen rommelen (en dat kan per definitie met closed source) kun je nooit controleren of het veilig is.
Facebook beweert dat whatsapp sterke end-to-end encryptie met FPS gebruikt. En ze kunnen sources laten auditten tot ze een ons wegen, zolang er extern niet met 100% zekerheid kan worden nagegaan of de sources die zij aan een audit team laten zien ook echt exact zo zijn gebruikt om de apps in de App en Play Store mee te bouwen, kan niemand uitsluiten dat ze voor de daadwerkelijke binary nog even iets hebben toegevoegd.

Één regeltje code dat slechts voor een paar bytes verandering in de binaries zorgt, kan voor facebook al voldoende zijn om de hele veiligheid te ondermijnen, en een ondetecteerbaar lek in te bouwen.
Labeltjes zijn niet zo veel waard in deze industrie. iMessage was ook zgn. end-to-end, maar daar bleek toch een masterkey voor te bestaan (wat betekent dat het dus geen end-to-end oplossing betrof). Als je er echter over nadenkt; je gebruikt geen eigen server en de dienst is gratis, had je kunnen weten dat het geen echte end-to-end -oplossing is.
Een aantal arabische landen had toch ook al inzage meen ik ?
Zie hier de definitieve doodsteek van Blackberry.
Dat is het punt niet. Punt is dat het enige wat blackberry nog heeft is hun security en dat is nu dus weg.
Punt is dat dit (clickbait) nieuwsbericht alleen over de pin-to-pin dienst van Blackberry gaat. Blackberry is echter veel meer dan dit. Er wordt gedaan alsof het complete Blackberry OS opeens open ligt.
Je hebt over het volgende heen gelezen:
Ook de veel sterker beveiligde pgp-mails van BlackBerry's bleken echter door het Nederlandse NFI ingezien te kunnen worden, bleek onlangs.
Dus nog een foutieve implementatie in PGP op de kerfstok erbij.
Nee hoor, niks mis met de implementatie.
nieuws: NFI ontsleutelt BlackBerry PGP-mails in het kader van gerechtelijk onderzoek
PGP beveiligt de communicatie, niet de opslag. Je kunt de berichten niet onderscheppen om ze daarna te ontsleutelen. Maar als je het toestel van de verzender of ontvanger hebt waar het bericht op staat, dan kan dat wel.
Ik denk dat je het bericht even moet lezen plus de reacties. Met de implementatie was niets mis, en het is onduidelijk wat ze nu precies gedaan hebben om het te kraken. Waarschijnlijk ging het om een makkelijk wachtwoord.
Punt is dat dit (clickbait) nieuwsbericht alleen over de pin-to-pin dienst van Blackberry gaat. Blackberry is echter veel meer dan dit. Er wordt gedaan alsof het complete Blackberry OS opeens open ligt.
Blijf maar rustig slapen met het veilige gevoel.
Maar omdat iets niet bekend gemaakt is, wil niet zeggen dat het niet bestaat ...

Waarom zou een opsporingsdienst een methode open en bloot willen prijsgeven, als er geen reden toe is.
Nu weer blijkt dat er dus al SINDS 2011 een mogelijkheid is om het mee te lezen, maar pas in 2016 komt het boven tafel.
( waarschijnlijk omdat er een veroordeling aan te pas komt, en de gebruikte manier moet worden aangetoond )

Als de opsporingsdiensten een open wiki bij zoudn moeten houden over HOE ze iets aanpakken, dan is het wel heel makkelijk allemaal.
Als er een actieve tap op jouw data/spraak zit, zul je daar ook pas achteraf over worden geïnformeerd, daar is niets mis mee.

Ik geloof best dat de encryptie van een BBdevice sterk is ( zaak van G.Martha, die telefoon, die met een pincode is beveiligd, en dus ontoegankelijk )
Maar waarom zou je volharden in het geloof dat ze actieve data die verzonden wordt niet kunnen uitlezen ?
Omdat BB het zegt ?
Volgens mij hebben we vaker dit soort uitspraken gehoord van bedrijven, waar achteraf eenhele beerput opengetrokken werd ...

Privacy is een breed gegeven, maar het is zó eenvoudig .... wees bewust WAT je deelt, en met wie, maar vooral WAAROM ..
Er wordt toch al duidelijk in de titel over de messagingdienst gesproken en niet over het OS.
hoezo, heb jij wat te verbergen dan?
Mensen die maar blijven roepen dat ze niets te verbergen hebben, zouden gewoon stil moeten blijven.
Die hebben ook niet te spreken, omdat ze niets zinnigs te zeggen hebben ...
Ik gooi 'm nog een keertje in de groep:)
Aardig leesvoer over waarom je WEL iets te verbergen hebt.


Je hebt wél iets te verbergen

https://decorrespondent.n...erbergen/6428004-ab2d5fc2
Dat is onzin en ik hoop dat je een grapje maakt.
Ieder heeft recht op een eigen mening. Dat ie afwijkt van de jouwe maakt hem niet per definitie minder valide.
Met niets te verbergen hebben zeggen we dat we ons bezig houden met normale zaken.
Criminelen hebben van alles te verbergen. Goed dat er middelen zijn om misdaad op te sporen. Ook preventief.
Het is een beperkte opvatting dat onze privacy in het geding is.
Want de wereld is nu eenmaal zo dat onze veiligheid ook erg in het geding is.
Je zult dus naar het hele plaatje moeten kijken.
/sarcasm ....
Maar technisch gezien is dat net zo'n waarheid als zijn uitspraak.

Mijn probleem met "privacy" is dat het een doos met snoepjes is, waar iedereen zijn smaakje uit kan trekken.
Er is niet zo iets als 'absolute privacy'
Wat voor jou belangrijk is, kan mij misschien geen bal interesseren ( no offence )

Kijk naar Facebook en Twitter,
Tante Annie post dagelijks haar hele hebben en houden online, inclusief de babyfoto's.
Geeft ze niet om haar privacy ?
Geen idee, vraag ( zoals al eerder aangegeven ) naar haar banksaldo, en ze zal die niet afgeven.
Waar je neefje vrijwillig kopieën van zijn bankafschriften mailt naar die leasemaatschappij, omdat ze die nodig hebben voor het contract.
Geeft HIJ dan niet om zijn privacy ?
Wederom, geen idee, maar soms zijn dingen meer noodzakelijk dan andere, het hangt allemaal van de situatie af.

Privacy is een dekzeil, en daar komen nu eenmaal gaten in, maar het blijft nog steeds een manier om dingen af te schermen.
Met niets te verbergen hebben zeggen we dat we ons bezig houden met normale zaken.
Schijnbaar niet, want standaard heeft iedereen wel iets te verbergen...
Criminelen hebben van alles te verbergen.
Niet-criminelen ook, al is het alleen maar verbergen voor de criminelen.
Want de wereld is nu eenmaal zo dat onze veiligheid ook erg in het geding is.
Je zult dus naar het hele plaatje moeten kijken.
In het gehele plaatje bekeken is die schijnveiligheid die ze claimen niets in vergelijking tot huishoudtrapjes.
Die zouden er goed aan doen te verbergen dat ze een gebrek aan gezond verstand hebben.
waar woon je? eens kijken of jij altijd je gordijnen open hebt. Welk salaris heb je?
Hoeveel spaargeld/schulden?
Juist... ieder mens heeft wel iets te verbergen, Vergeet niet dat bij de politie jouw buurman kan werken.
"Welk salaris heb je? Hoeveel spaargeld/schulden?"

Ach ja en ondertussen loopt bijna heel journalistiek en half burgelijk Nederland een beetje moeilijk te doen over panama papers en interesseert het menigeen heen fluit hoe het ook al weer zat met die "privacy".
Haha, ga toch naar huis met je waardeloze argument, dat is beter.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True