Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politie ontsleutelt 3,6 miljoen BlackBerry PGP-berichten - update 2

Door , 175 reacties

De Nederlandse politie heeft met behulp van het NFI toegang gekregen tot een grote hoeveelheid data op servers die in Canada stonden. De servers werden gebruikt door Ennetcom voor versleutelde communicatie van BlackBerry PGP-gebruikers.

Onderdeel van de in totaal 7TB aan data zijn 3,6 miljoen versleutelde berichten, verstuurd via zo'n 40.000 smartphones die op het Ennetcom-netwerk geregistreerd stonden. De politie en het OM kunnen die berichten inzien omdat ze ook over de encryptiesleutels beschikken. Hierdoor is volgens de politie bewijs verkregen dat kan helpen om tientallen zaken op te lossen, waaronder onderzoeken naar liquidaties en gewapende overvallen.

De politie en het OM haalden op 19 april de servers offline en kregen in september een kopie van de Canadese politie, zo werd vorig jaar bekend. Het netwerk van het Nederlandse bedrijf Ennetcom kwam in beeld nadat meerdere keren BlackBerry-toestellen van opgepakte criminelen in beslag werden genomen. Ennetcom verkocht de beveiligde BlackBerry PGP-smartphones voor ongeveer 1500 euro. Met de toestellen konden gebruikers versleuteld communiceren via servers in Nederland en Canada.

Ook zonder de ontsleuteling was informatie van de servers al bruikbaar. Zo kon volgens het OM van duizenden gebruikers achterhaald worden wie naar wie berichten verstuurde, welke bijnamen werden gebruikt en op welke tijdstippen berichten werden verstuurd. Om de ontsleutelde 7TB te doorzoeken kon de politie gebruikmaken van de forensische Hansken-zoekmachine van het Nederlands Forensisch Instituut.

Update 15.30: De advocate van Ennetcom, Inez Weski, claimt tegenover ANP dat slechts enkele van de 40.000 toestellen te relateren waren tot criminele activiteiten. Ook claimt ze dat berichten na 48 uur onherstelbaar vernietigd werden en dat de servers onrechtmatig in beslag genomen zijn. Verder beweert ze in een verklaring, waar Volkskrant-journalist Huib Modderkolk over beschikt, dat Ennetcom de encryptiesleutels niet in zijn bezit had, maar dat deze in beheer van Symantec waren. Volgens Weski lijkt het 'in handen hebben' van de sleutels door het OM en de politie het resultaat 'van het hedendaagse wilde gehack'. Daarnaast betitelt ze dit als een 'zeer schimmig gebied van onrechtmatigheden'.

Update 2, 16.40: In het besluit van de Canadese rechter over overhandiging van de serverdata, staat dat de Nederlandse autoriteiten ontdekten dat de pgp-sleutels door de server in plaats van door de Blackberry-toestellen werden gegenereerd. De gedachte was dat daarom de sleutels ook op de Ennetcom-servers stonden en deze te gebruiken zouden zijn om toegang te krijgen tot de data.

Olaf van Miltenburg

Nieuwscoördinator

Reacties (175)

Wijzig sortering
Hmm, een Canadese rechter had politie in NL toegang gegeven maar wel met een aantal restricties. Als ik het artikel lees heeft Nederlandse politie die instructies genegeerd.

http://news.nationalpost....sers-to-dutch-crime-probe
EDIT: Geninja'd door Sizzlorr. Maar goed om te zien dat we onafhankelijk tot dezelfde conclusies kwamen :).

Als ik de uitspraak van de Canadese rechter lees, dan denk ik dat dit wel meevalt. Ik heb het artikel waar je naar verwijst naast de uitspraak gehouden en ik kan niet anders dan concluderen dat het artikel niet volledig is waardoor een verkeerde indruk ontstaat. Ik vermoed dat jij verwijst naar deze passage:

"But rather than simply hand over the messages, from 20,000 different users, an Ontario judge this week imposed restrictions designed to prevent a “fishing expedition” by police in the Netherlands or any other country. The ruling ensures the data will remain under Canadian control, and not be shared further without a court’s approval.

The fear is that unfettered disclosure would expose innocent people to the unjustified attention of police, just because they used an encrypted BlackBerry.

“Canada remains the home of this data,” Judge Ian Nordheimer wrote."


Dit artikel suggereert dat de data niet gebruikt mag worden door Nederland of door een ander land zonder toestemming van de Canadese rechter. Dit is half juist. De rechter heeft gesteld dat de Nederlandse politie de data niet mag gebruiken zonder nadere toestemming van een Nederlandse rechter, en dat Nederland de data niet met het buitenland mag delen maar dat dit voorbehouden blijft aan de Canadese rechter. Ik zal de paragrafen waar dit in staat nader toelichten.

In het betreffende vonnis, paragraaf 21, staat dat de rechter de data overdraagt voor gebruik in vier specifieke Nederlandse opsporingsonderzoeken. Tevens stelt de rechter in deze paragraaf vast dat andere Nederlandse opsporingsonderzoeksteams, die menen dat er bewijsstukken voor hun onderzoek in de data rusten, voor het gebruik van de data in theorie ook een rechtshulpverzoek zouden kunnen richten aan Canada. Echter, de rechter voelt de bui al hangen: er ligt in Nederland waarschijnlijk een aardige stapel dossiers in de kast waarin de verdachte een PGP Blackberry had. Daarom gaat hij in paragraaf 22 verder:

Mochten andere Nederlandse opsporingsonderzoekteams toegang willen tot (delen van) de data omdat zij menen dat hier gegevens in staan die relevant zijn voor de waarheidsvinding, dan kunnen deze teams toegang krijgen tot deze data met een machtiging van een Nederlandse rechter. "Once the data is actually in the Netherlands, and if a court there is satisfied that there are proper grounds to permit investigators to have access to the data to pursue a legitimate police investigation, then I do not see any reason to deny those investigators the right to do so, by requiring them to get authority from a court in this country." Een fraai staaltje outsourcing, want de Canadese rechtbank zou anders een aardige stroom rechtshulpverzoeken kunnen verwachten nu het gaat om een bedrijf dat vooral de Nederlandse onderwereld bediende.

Met betrekking tot de zinssnede "Canada remains the home of this data" in het artikel waar je naar verwijst: dit zegt niets over wat Nederland voor binnenlands gebruik kan doen met de data. In paragraaf 23 stelt de rechter dat wanneer een ander land een rechtshulpverzoek zou indienen bij Nederland om de data te verkrijgen, Nederland niet het recht heeft deze data te verstrekken. "For lack of a better expression, Canada remains the home of this data. If investigators in another country want to have access to that data, then they ought to have to follow the same procedure that the Dutch authorities utilized here." Met andere woorden: Nederland heeft de data gekregen en een Nederlandse rechter mag rechercheurs toestemming geven om (delen van) de data te onderzoeken. Nederland heeft echter niet het recht om de data aan het buitenland te geven.

Heeft de Nederlandse politie dus iets gedaan dat niet mag? Dat betwijfel ik. Willen Nederlandse rechercheurs bij een rechter kunnen vragen om een machtiging tot het onderzoeken van bepaalde delen van de data, dan moet die data wel ontsloten zijn. Dit is nu gebeurd. In het artikel hier op tweakers staat niet dat de Nederlandse politie likkebaardend de bestanden in is gedoken: er staat dat er nu bewijs is verkregen voor tientallen zaken. Dat zal bekend zijn doordat men precies weet in welke zaken de verdachte zo'n PGP blackberry had. Wil men in de data kijken of er inderdaad berichten tussen staan van 'hun' verdachte, dan zal er nog altijd een rechterlijke machtiging verkregen moeten worden.

Kortom, ik begrijp waarom je denkt dat de politie zich niet aan de voorwaarden heeft gehouden kijkende naar het artikel waar je naar verwijst. Het vonnis geeft echter geen aanleiding om tot deze conclusie te komen.

[Reactie gewijzigd door BoozBunny op 9 maart 2017 21:56]

https://www.canlii.org/en...jb20AAAAAAQ&resultIndex=1

In summary, the appropriate way, in my view, to protect the rights of third persons in this situation is to include, in the sending order, terms and conditions that:

(i) require that the Kingdom of the Netherlands restrict access to the data to the Dutch investigators involved in the four investigations that formed the basis for the search warrant, and such other Dutch investigators who can satisfy a court in the Netherlands that they should have the right to also access that data, and;

(ii) require that the Kingdom of the Netherlands prohibit access to the data by any persons, including investigators, from any other country.

Bovenstaande staat in de officiële uitspraak (zie link). Data mag dus gebruikt worden voor de vier oorspronkelijke onderzoeken.

3.6 miljoen berichten decoderen voor maar vier onderzoeken is wel erg veel.
Als je het bericht van het OM leest (link in artikel) dan staat er:
De Nederlandse politie en het Openbaar Ministerie (OM) hebben toegang gekregen tot 3,6 miljoen versleutelde berichten binnen de georganiseerde misdaad.
Duidelijk dat ze toegang hebben gekregen tot de VERSLEUTELDE berichten, dat wil niet zeggen dat ze ze meteen allemaal hebben gedecodeerd.

[Reactie gewijzigd door SizzLorr op 9 maart 2017 22:54]

Nee dat hoeft niet, maar zonder decoderen blijft het gissen of je echt toegang hebt tot 3.6 miljoen berichten. Of de 3.6 miljoen berichten allemaal verstuurd zijn door leden van georganiseerde misdaad is een boude uitspraak waarvan het afwachten is of die wordt waargemaakt.

In de uitspraak staat "restrict access". Toegang hebben tot 3.6 miljoen van 40.000 gebruikers is geen "restrict access" voor vier onderzoeken zoals Canadese rechter heeft bevolen. Alleen al het hebben van toegang zonder decoderen zoals jij veronderstelt is in tegenspraak met de instructie.

Ik ben benieuwd wat het oordeel zal zijn van Nederlandse rechters als het tenminste tot strafzaken komt.

Justitie en politie in Nederland doen wel vaker uitspraken die achteraf onjuist blijken te zijn. Al jaren worden een aantal motor clubs er van beschuldigd dat het criminele organisaties zijn. Tot nu toe heeft justitie in geen enkele strafzaak voldoende bewijs geleverd om rechters daarvan te kunnen overtuigen.
Zoals dat artikel vergeet je de helft van de zin. Na restrict access staat er: "and such other Dutch investigators who can satisfy a court in the Netherlands that they should have the right to also access that data".

Het stukje wat jij leest gaat over de plichten van de Nederlandse overheid als ze de data hebben ontvangen, de rechter verplicht de Nederlandse overheid om toegang alleen te verlenen aan de 4 rechercheurs die dit verzoek hebben ingediend en eventuele toekomstige verzoeken die via een Nederlandse rechter zijn getoetst.

Dat jij er meteen van uit gaat dat ze a) alles hebben gedecodeerd en b) de Canadese rechter ooit iets heeft gezegd over hoeveel en welke berichten ze mogen decoderen snap ik niet. Dat is nergens expliciet gezegd.

Waarom je begint over motorclubs snap k al helemaal niet want dat heeft volgens mij geen relevantie tot dit verhaal.

[Reactie gewijzigd door SizzLorr op 10 maart 2017 01:02]

nitpicking misschien, maar "restrict access to the data to the Dutch investigators involved in the four investigations that..." betekent m.i. dat rechercheurs die zich bezig houden met één van de 4 onderzoeken, toegang tot de data mogen krijgen. Maar er staat niet dat die rechercheurs die data niet voor andere doeleinden mogen gebruiken
Nou in de uitspraak van de rechter (link in het artikel) staat toch iets heel anders:
[20] It is clear that, under s. 15(1)(b)(iii), I have the authority to include any terms and conditions in the sending order that I view as desirable to protect the interests of third parties such as those persons here, whose information may be included in the data, but who are not involved in the four investigations. As was pointed out in Mutual Legal Assistance in Criminal Matters Act (Re), at para. 20, in crafting the appropriate order, I must balance both “the legitimate state and individual interests at stake”.

[21] To address the concern that I have mentioned, I could include a term that the Dutch authorities are not to allow access to the data by any other investigators other than the investigators involved in the four investigations. In other words, I could include a term that would have the effect of requiring any other investigators, who wish to access the data, to bring a separate application in Canada to obtain access to the data.[2] However, at least in the case of other Dutch investigations, to impose such a requirement strikes me as promoting process over substance. It would also require the expenditure of time and money that is unnecessary to address the true concern. The point is to protect third parties from having their information accessed without proper judicial authorization.

[22] That protection can be afforded by including a term in the sending order that would require any other Dutch investigators, who wish to access the data, to obtain judicial authorization for that access from a court in the Netherlands. Once the data is actually in the Netherlands, and if a court there is satisfied that there are proper grounds to permit investigators to have access to the data to pursue a legitimate police investigation, then I do not see any reason to deny those investigators the right to do so, by requiring them to get authority from a court in this country. The process underlying mutual legal assistance is country to country. Once Canada has concluded that evidence should be sent from this country to another, it does not strike me as inconsistent with the spirit of the Mutual Legal Assistance in Criminal Matters Act to then permit the courts of that country to decide on any additional use to which that evidence may be put within their own country. I reiterate that, in order to properly protect the interests of third parties, permission to access the data by other investigators should come from a court in the Netherlands and not through any administrative processes that may be available in that country to obtain evidence.

[23] However, I view any request, that might emanate from investigators in a country other than the Kingdom of the Netherlands, in an entirely different way. For lack of a better expression, Canada remains the home of this data. If investigators in another country want to have access to that data, then they ought to have to follow the same procedure that the Dutch authorities utilized here. For one reason, only countries, who have a Mutual Legal Assistance Treaty with Canada, should be able to seek access to what is, effectively, Canadian-based data. That requirement ought not to change simply because a copy of the data happens to now be located in the Kingdom of the Netherlands as a result of a MLAT request by that country. Canada has an ongoing obligation to protect the data, and to ensure that it is not accessed without proper procedures being followed. Canada’s international obligations to permit access to that data only extend to those countries with which we have a Mutual Legal Assistance Treaty. Only those countries should be able to seek access to the data, and then only after having obtained the requisite approvals of the Minister of Justice, and the requisite orders from the appropriate Canadian
De rechter zegt dus dat hij/zij het onnodig vindt om extra restricties op te leggen omdat het alleen maar belemmerend zou werken. Als rechercheurs via rechtbanken in Nederland een machtiging kunnen krijgen dan vind hij/zij dat er genoeg toetsing is geweest om belangen van derde te beschermen. Als laatste zegt hij dat Canada altijd eigenaar van de data zal blijven EN als een ander land toegang wil tot de data dat ze dezelfde procedure moeten volgen als Nederland.

In andere woorden, Nederland mag de data niet delen met andere landen en rechercheurs krijgen alleen toegang tot delen of gehele data nadat ze een machtiging hebben van een rechtbank. De reden waarom hij/zij zegt dat Nederlandse rechercheurs alleen na een toetsing in de Nederlandse rechtbanken toegang krijgen is omdat deze data nog betrekking kan hebben tot nog veel meer andere lopende zaken, om voor elke zaak een voor een toestemming te vragen aan Canada is alleen maar onnodig gedoe (zegt de rechter). Tevens kunnen er conflicten ontstaan tussen de Canadese wetgeving en de Nederlandse, dan kom je weer uit op de al oude soevereiniteit vraagstuk welke elke rechter zal vermeiden want het brengt meer problemen met zich mee an dat het oplost.

Volgens de verdragen die wij hebben ondertekend delen wij deze data met jullie, maar zorg er wel voor dat het gebruik rechtmatig is volgens je eigen wetten en regels. Daar komt het op neer.

/EDIT:

Ik vind de verwoording van het artikel waar jij naar links nogal incompleet en verwarrend.
But rather than simply hand over the messages, from 20,000 different users, an Ontario judge this week imposed restrictions designed to prevent a “fishing expedition” by police in the Netherlands or any other country. The ruling ensures the data will remain under Canadian control, and not be shared further without a court’s approval.

The fear is that unfettered disclosure would expose innocent people to the unjustified attention of police, just because they used an encrypted BlackBerry.

“Canada remains the home of this data,” Judge Ian Nordheimer wrote.
Ten eerste citeren ze een deel van een zin uit de gehele uitspraak, wat nogal verwarrend is. De gehele verwoording klopt technisch gezien wel maar is in mijn mening helemaal niet in lijn met de essentie van de uitspraak en als laatste is het mij helemaal niet duidelijk in welke context zou moeten lezen. Zeer verwarrend allemaal, slecht stukje journalistiek.

[Reactie gewijzigd door SizzLorr op 9 maart 2017 21:42]

Ik ben vorig jaar benaderd om voor 'n idioot groot bedrag een alternatief voor Ennetcom te ontwikkelen (omdat er al geruchten gingen over deze actie).

Op basis van een Android telefoon met een custom ROM, communicatie via TOR en enkel contact leggen na een eerste uitwisseling van keys IRL (d.m.v. QR codes van elkaars scherm te scannen, keys gegenereerd lokaal op het toestel).

Ik ben er een poosje mee bezig geweest en heb een werkende demo gegeven, echter begon de doelgroep meer en meer wazig te worden, bleven de contracten uit en kwamen er meer en meer voorstellen over schimmige financiële constructies.

Ik heb het contact vervolgens afgekapt, want het begon meer en meer te voelen alsof ik vooral werd gebruikt voor het beschermen van mensen die meer te verbergen hadden dan mij lief was om nog een fijne nachtrust te kunnen hebben.

Kijk dus uit voor opdrachten als deze ;)

[Reactie gewijzigd door JapyDooge op 9 maart 2017 14:22]

Ik snap alleen niet dat als berichten echt waardevol zouden zijn, mensen zouden kiezen voor een os gebasseerd op selinux. Android is (zoals ook recent uit de CIA leaks is gebleken) een grote backdoor parade.
Als iemand een alternatief wil voor Ennetcom dan weet je toch meteen dat het criminelen zijn? Of lees jij de kranten nooit?

De criminelen realiseren zich niet dat PGP alleen maar zorgt voor beveiliging als de berichten over het internet gaan en niet op de telefoon zelf. Daarom moet de telefoon goed versleuteld zijn.

Tevens denk ik dat BlackBerry nooit echt veilig was. Het was ge-backdoored, zullen we maar zeggen. Het zou mij zelfs niet verbazen als het bedrijf Ennetcom door de politie was opgezet om de criminelen zo in de val te lokken.

Beste is om gewoon een Linux PC te gebruiken met TorChat om te communiceren. Voor real time communicatie is WhatsApp volgens mij beter dan PGP. Nieuwe versies van WhatsApp kunnen zelfs berichten intrekken en laten verdwijnen, dat lijkt me ook heel handig.

Maar je zal zien dat zelfs met deze enorme aanwinst de criminaliteit niet noemenswaardig wordt aangetast.

[Reactie gewijzigd door ArtGod op 9 maart 2017 16:44]

"Tevens denk ik dat BlackBerry nooit echt veilig was"
Alle signalen van het afgelopen jaar van gekraakte pgp berichten op BB's hebben allemaal verband met Ennetcom.

Daarvoor is er geen enkele zaak geweest, waarin informatie van pgp-blackberries beschikbaar, toegankelijk of bruikbaar is gebleken voor justitie. Zelfs in de zaak tegen de grootste drugscrimineel van de jaren '00 Gwenette Martha kon justitie niet in de telefoon. Dit simpelweg omdat Martha aangaf zijn toegangscode van de telefoon vergeten te zijn.

Moraal van het verhaal? Geef laat je pgp-beveiliging niet regelen door Danny.
Als je je private key door een derde partij laat genereren ben je gewoon niet goed bezig, je bent dan nooit zeker van of die niet ergens kan lekken. Ligt niet aan PGP dan maar gewoon aan dom gebruik van het mechanisme.
De criminelen realiseren zich niet dat PGP alleen maar zorgt voor beveiliging als de berichten over het internet gaan en niet op de telefoon zelf. Daarom moet de telefoon goed versleuteld zijn.
Uiteraard hangt een en ander af van je implementatie maar in principe versleutelt PGP ook gewoon in opslag. De beperking zit er meer in dat PGP enkel de body van de mail versleutelt, dus alle headers, verzender, ontvanger, verzenddatum, servers waar de mail langs is gekomen, zijn gewoon leesbaar.
Dus eigenlijk zou je per contact tussen twee mensen een uniek userID moeten genereren die alleen geld voor die ene contactpersoon zodat je niet vanuit een iemand kan vastleggen met wie een ander nog meer gesproken heeft
Onderweg heb je natuurlijk een betekenisvolle "To:"-header nodig maar niemand houdt je tegen om bij ontvangst alle onnodige headers te strippen en de rest alsnog te versleutelen.
Welk mobile OS zou jij dan gekozen hebben?
Welke oplossingen kiezen veiligheidsdiensten zelf?
veiligheidsdiensten zelf pakken veelal telefoons van bijvoorbeeld Sectra (mobiel), Cisco (landlijnen/locaal netwerk). Daarop draaien veelal zelf gefabriceerde OS'en, eventuele applicaties draaien in een sandbox/emulatie. Dit omdat de broncode (publiekelijk) closed-source dient te zijn om door de veiligheid instanties goedgekeurd te worden.

Zie:
nieuws: Leger gaat mogelijk versleutel-app voor Android-smartphones gebruiken
nieuws: Cisco kondigt encryptie-module voor ISR G2-routers aan

En bovenal, hier een lijst met alle devices die gebruikt/goedgekeurd zijn voor informatie beveiliging voor de veiligheidsdiensten. Er zullen er ongetwijfeld meer zijn, maar daarvan zal het bestaan waarschijnlijk geheim zijn ;)

Informatiebeveiliging Goedgekeurde producten

(edit: links toegevoegd ter verduidelijking)

[Reactie gewijzigd door un1ty op 9 maart 2017 16:38]

Tsja, het OS was mijn keuze niet en ik heb geen idee hoe veilig de aangeleverde custom ROM is/was, behalve dat mij verteld is dat het daarmee goed zat.

Sowieso was er bij de app geen serverside storage behalve een 'buffer' van nog niet opgehaalde berichten, en zodra gelezen op het toestel werden ze ook daar verwijderd.
backdoor inbouwen en licenties verhuren aan overheden? :)
Dat is een risico wat je echt niet wil lopen ;) van beide kanten niet.

Daarnaast zou ik aan het einde van de ontwikkeling alles inclusief code overdragen, voor code review door andere partijen.
nee lijkt me inderdaad een slecht plan.. kan eigenlijk alleen verkeerd aflopen, sowieso ook het ontwikkelen van een dergelijke applicatie voor een dergelijke partij kan slecht aflopen.
Dit heeft helemaal niks te maken met een lek OS. In het bericht staat dat de politie alle sleutels in handen heeft gekregen. Waarschijnlijk dus geen end to end encryptie met een unieke sleutel per device die nergens centraal is opgeslagen. Of je nou Linux, FreeBSD, Windows of OSX hebt, als je sleutels hebt kun je ontsleutelen.
De reden dat Android onveilig is, is het slechte update-beleid van alle fabrikanten afgezien van Google zelf dus, en een aantal security features die Android mist t.o.v. bijvoorbeeld iOS m.b.t. secure enclave en een beetje crappy full disk encryption in Android.

Als je een Google Pixel device neemt zit je redelijk veilig, en die gebruikt SELinux. Het al dan niet gebruiken van SELinux heeft niks te maken met de onveiligheid van Android.

Helaas heb je zelfs in Pixels en iOS security risico's in de BLOBs waar geen audits op gedaan (kunnen) worden, zoals biijvoorbeeld de baseband en device firmware... Dan ben je dus volledig afhankelijk van de fabrikant van die specifieke hardware voor (camera, GPS, WiFi, graphics firmware, bootoader etc) updates, en die partijen staan nu niet bepaald bekend voor hun actieve security beleid...
Er bestaat als 10 jaar een telefoon, cryptohpone die dit alles al kon ver voordat er sprake was van snowden.

Als crimineel moet je je dus nu ook afvragen hoe betrouwbaar is een dienst als schijnbaar nu een pgp sleutel achterhaald kan worden om de berichten te decoderen. Als dit zo is was het platform dus niet betrouwbaar en zal er een master key geweest zijn.

Uiteindelijk zullen ze voor het grote geld wel mensen kunnen vinden om dit te ontwikkelen. Daarvoor kunnen ze natuurlijk ook naar andere landen uitwijken
Ze zullen de sleutel ergens onder een deurmat hebben gevonden.
(Maar dat zal tzt uit de proces stukken moeten blijken)
Als PGP zelf gekraakt is is het probleem veel groter. Niet zozeer voor criminelen, maar voor de andere gebruikers van PGP.
Ze zullen de sleutel ergens onder een deurmat hebben gevonden.
Nee, de sleutels stonden ook gewoon op de server. Om in jouw analogie te blijven: de sleutel stak nog in het slot

[Reactie gewijzigd door Brahiewahiewa op 10 maart 2017 21:46]

Dat hoorde ik later. Inderdaad in het slot.
Dat betekent dus dat het geen End2End encryptie was Maar server -> client.
anders was elk toestel van een conversatie nodig geweest om de zaak te decoderen.
Denk niet dat pgp gekraakt is maar zoals ik in berichten hier lees er sprake is van een master key die ergens op een sever staat of in iemands bezit was
Waarom een custom messenger laten ontwikkelen als Signal gratis is? Als ze een versie willen die bijvoorbeeld standaard berichten na een bepaalde tijd weggooit (wat nu een optie is) dan is dat eenvoudig te patchen in de source code voor iemand die er een beetje mee bekend is. En zaken als altijd berichten sturen via domain fronting (zodat niemand die tapt ziet dat je verbinding maakt met de Signal server) zijn ook eenvoudig aan te passen.

Ik sta open voor cash betalingen in kleine coupures. O-)

[Reactie gewijzigd door Morgan4321 op 9 maart 2017 16:07]

Dit systeem dateert van voor Signal. Het lijkt een behoorlijk ondoorzichtig en onveilig concept te hebben. Geen forward secrecy, centraal opgeslagen sleutels en berichthistorie en waarschijnlijk dus ook geen end-to-end enryptie. Nee dan gebruik ik toch liever Signal (en ik ben geeneens crimineel).

[Reactie gewijzigd door Bigs op 9 maart 2017 18:34]

Euhm... Is het dan wel wijs om dit met ons te delen? :?
Euhm... Is het dan wel wijs om dit met ons te delen? :?
Als security expert zal hij waarschijnlijk ook zijn tweakers.net comments via Tor plaatsen zodat hij onmogelijk traceerbaar zal zijn. ;)

edit: Ironisch bedoeld hé

[Reactie gewijzigd door biglia op 9 maart 2017 17:11]

Dat betwijfel ik, aangezien hij gewoon in z'n profiel z'n email adres zichtbaar heeft met volledige naam, daar op googlen = werkgever.

Om nog maar niet te spreken van de vele V&A transacties, inclusief zelf ophalen bij mensen. Even iets ophalen bij hem 'om de hoek' met een fake advertentie zou dus niet zo'n probleem moeten zijn ;-)
De tijd zal het leren ;) maar het is geen nieuws dat veel partijen baat hebben bij bescherming en op zoek zijn naar technische oplossingen.
Zou me kunnen voorstellen de er mensen zijn, overheid die graag willen weten met wie jij contact gehad hebt. Maar grote kans dat je al afgeluisterd wordt als het contacten met criminelen waren of tussenpersonen daarvan.
Er zijn oplossingen te koop die 3x versleuteld zijn, 521bit ECC gebruiken. Autodestruct van berichten, kill of wipe pin code, OTR (berichten worden gerelayed maar nooit opgeslagen door een server), private key on device, international roaming etc etc
Ik ga er geen namen op plakken, je moet mij maar inhuren als consultant :)
Hmm nou dat heb ik dus ook gehad die aanbieding. Nouja, mijn bedrijf (TPG) dan. En eigenlijk met precies eendere voorwaarden. Of ze van Ennetcom afkwamen was mij niet duidelijk, maar ik had dus ook een werkende demo die nog iets verder ging. Een presentatiedag gehouden voor de mannen en er werd zonder pardon een flink smak geld op tafel gelegd voor testdevices in het wild.

Uiteraard was ik blij, dat snap je wel en ben meteen aan de slag gegaan om de toestellen aan te schaffen. Ze hebben ze opgehaald maar daarna nooit meer wat van gehoord.

Nu lees ik dit en jouw verhaal en denk dan.... ben maar wat blij nu dat het niet is doorgegaan. Voelde me flink in de zeik gezet omdat ik er niks meer van hoorde, maar sinds vanmorgen voel ik me wat happier. Had namelijk geen ruzie met ze willen hebben.

Mijn prototype heette de CryptMessage Phone trouwens :) dus mocht je zoiets tegenkomen dan zullen ze ze wel hebben gekloond (wat onwaarschijnlijk is, maar goed).
Zijn die encryptiesleutels dan niet random? Of is er een masterkey?
Zijn die encryptiesleutels dan niet random? Of is er een masterkey?
Van wat ik begrijp:

De encryptiesleutels werden niet (alleen) op de Blackberry apparaten opgeslagen. Er was dus geen sprake van end-to-end encryptie. Private keys (of mogelijk een master key, zie de andere reacties) werden dus ook op de betreffende servers opgeslagen, samen met de encrypted data.

Waarschijnlijk is dat gedaan voor gebruiksvriendelijkheid, omdat men geen toegang tot zijn data wil verliezen doordat bijvoorbeeld een toestel kwijtraakt (=sleutels weg). Natuurlijk kan je daarvoor iets zelf inrichten, maar dat is niet gemakkelijk. Nu betaalde ze iemand 1500 euro voor een 'veilige' telefoon en achterliggende dienst, en hoefde ze zelf niet meer na te denken over informatiebeveiliging.

Ik denk dat hieruit de les getrokken kan worden dat je niet het beheer van informatiebeveiliging (met name sleutelmateriaal) kan uitbesteden zonder risico's. Zeker als de betreffende partij een groot, sappig doelwit is voor justitie is de kans groot dat iedereen die daar iets afneemt automatisch een doelwit wordt.

[Reactie gewijzigd door The Zep Man op 9 maart 2017 14:38]

Private key buiten beeld (maar dat geldt ook voor bv. Webmail diensten die PGP of S/MIME aanbieden) betekent feitelijk dat je de Private key weggegeven hebt.
Dat kan ook beveiligd worden door De private key te versleutelen met het wachtwoord van de gebruiker, zoals Mega bijvoorbeeld doet.
Bij dit soort diensten kun je beter je data kwijt zijn dan dat iemand anders toegang heeft. En een bericht als "Vanavond oogsten bij Joop thuis" hoeft ook niet lang bewaard te blijven.
Ennetcom is/was compatibel met het normale BBM en had daarom te maken met een 'master key' die op de gebruikte Blackberry-servers opgeslagen is. Dit is er wat ik er in het verleden over geleerd heb toen ik voor een opdracht aan iets vergelijkbaars werkte.
Toevoeging:

https://medium.com/@fordn...g-96a782766fc3#.1bd1f1baj

quote

" As Motherboard previously reported, Dutch police have found a way to read encrypted messages on the devices using tools from forensics company Cellebrite. Court documents have shown that the Royal Canadian Mounted Police can also decrypt messages on PGP BlackBerrys once they have physical access to the device. "
Dass wel kort door de bocht...

In principe is uiteindelijk alle elektronica wel te kraken / hacken.. als iemand er genoeg belang in heeft en een bak met geld... Dat maakt BlackBerry niet per definitie onbetrouwbaar..

Tevens waren 't in dit geval geen standaard door BlackBerry verkochte telefoons, maar aangepaste versies.. die niet via de BlackBerry servers communiceerden. En zolang dat niemand weet... is dat een " safe haven " voor o.a. criminelen om berichten uit te wisselen..

Ze zijn er pas achter gekomen door het vaker vinden van zulke aangepaste telefoons bij huiszoekingen etc., toen is 't balletje ( internationaal) gaan rollen..

Het hele tech. verhaal m.b.t. de encryptie van PGP en backdoors... , ben ik iets minder van op de hoogte, maar ook de info die ik uit de commentaren haal, zou kunnen kloppen... who knows.
Aangepast betekende in dit verband dat de microfoon fysiek onklaar gemaakt was (ik ken mensen die zo'n geval hadden, en ja, die deden aan indoor landbouw). En met onbetrouwbaar bedrijf bedoel ik niet dat het iemand na veel moeite lukt de devices te hacken maar dat ze er stiekem zalf aan meewerken: http://www.theverge.com/2...-canada-rcmp-surveillance
Grote kans dat er een master key is ;)
Ben ik de enige die denkt dat ze dit soort onderzoek informatie niet zouden moet vrijgeven?

Zie liever dat boeven dezelfde fout opnieuw maken.
[Wijziging: Het gestelde hieronder is te boud. In sommige gevallen mag informatie achter gehouden worden, mits er zwaarwegende bezwaren zijn. http://njb.nl/Uploads/Magazine/PDF/NJB-1302.pdf geeft een goed overzicht]

De boeven maken altijd fouten. Maar de politie moet openheid geven hoe zij aan gegevens komen. Dat zij dit bekend maken, betekent dat de gegevens in strafzaken gebruikt gaan worden. In strafzaken moet je toch uitleggen hoe je aan de berichten komt en hoe je zo zeker weet dat dit de berichten zijn die de verdachte getypt heeft. "Dat weten wij gewoon" is geen antwoord waar de rechtbank genoegen mee neemt. Zeggen: "Die stonden op de server" werkt ook niet, want de advocaat van de verdachte zal weten dat ze versleuteld zijn. Blijft over om het helemaal uit te leggen. Dan kun je net zo goed een persbericht sturen, de roem claimen etc. Plus dat je er misschien nog wat uit haalt voor lopende onderzoeken, want zenuwachtige boeven zijn praatgrage boeven.

Het is niet voor niets dat afgetapte gesprekken tot voor kort geen bewijs waren in het Verenigd Koninkrijk. De inlichtingendiensten daar wilden niet dat booswichten wisten dat en hoe zij konden tappen. De inzet van IMSI-catchers (Stingray) was in de VS een groot geheim, zo geheim dat de FBI liever rechtszaken stopzette, dan dat ze uitlegden in de rechtbank hoe een IMSI-catcher werkt.

[Reactie gewijzigd door Raindeer op 10 maart 2017 16:59]

Je beschrijft nu een deel van de huidige werkwijze waarover ik juist mijn twijfels uitsprak.

onderzoeksmethodes openbaar maken stelt een boef in staat te leren van zijn fouten, dit lijkt mij niet in het voordeel van de gemeenschap, terwijl ik ook de keerzijde erken. Maar toch, we leven in een wereld met criminele organisaties, die leren van hun geraakte delen terwijl het geheel zich verder ontwikkeld (supercompensatie als we het als een organisme benaderen).
[verwijderd want te bot; en ook nog eens incorrect Inzagerecht mag beperkt worden onder http://njb.nl/Uploads/Magazine/PDF/NJB-1302.pdf, mits zwaarwegend belang]

In een rechtszaal accepteert de rechter alleen bewijs, waarvan aangetoond kan worden waar het vandaan komt, dat niemand er met zijn dikke vingers mee gerommeld heeft, dat het bewijs ook dat bewijst wat de Officier van Justitie zegt. Daarvoor is het nodig dat de OvJ precies uitlegd hoe hij het bewijs verkregen heeft, wat hij er mee gedaan heeft en wat dat bewijs volgens de OvJ zegt. Pas dan kan de advocaat van de verdachte uitleggen waarom de verdachte pleit zoals hij pleit en waarom het bewijs dat ondersteund en waarom dat anders is dan wat de OvJ zegt.

Als een OvJ het niet uit hoeft te leggen, dan zegt hij dus tegen de rechter: "Geloof me maar op mijn blauwe ogen". Dan kan de advocaat alleen nog maar zeggen: "Nietus! omdat mijn client dat zegt". En dan wordt de verdachte veroordeeld of vrijgesproken op basis van de luimen van de rechter.

Oftewel, hetgeen jij voorstelt is het einde van de rechtsstaat, het is de doodsteek van de procesgang, het is tegen elke vorm van grondrechten. Jij wilt dat mensen veroordeelt kunnen worden op basis van gegevens uit geheime methoden. Methoden waarvan de maatschappij dan maar moet accepteren dat deze kloppen, omdat naar jou mening het in het voordeel van de maatschappij is dat een boef niet leert van zijn fouten.

Dus ja, ik hoop hartgrondig dat jij de enige bent op dit forum, in dit land, werelddeel en op deze planeet die van mening is dat
Ben ik de enige die denkt dat ze dit soort onderzoek informatie niet zouden moet vrijgeven?

[Reactie gewijzigd door Raindeer op 10 maart 2017 17:00]

Hé joh, ik ben het met je mening eens. En je argument raakt kant en wal. Maar doe je intro nu eens aanpassen joh.. zo kom je nergens. En als het -1 staat leest niemand het :/
ok, dank.. soms ben ik te bot... blij dat je me er op wijst
En kijk, je staat plus twee. En niet enkel door mij, dus je doet het inderdaad goed :)

Los van de kwaliteit van je reactie; Dank voor je tijd en moeite!
Je suggereert nu ten onrechte dat er maar twee methoden zijn, óf het OM mag het geheim houden, óf de informatie moet voor de verdachten beschikbaar zijn.

Er is een tussenvorm. De OvJ moet aan de rechter-Commissaris het bewijs presenteren. De RC gaat vervolgens op de stoel van de advocaat zitten, en toetst of de rechten van de verdachte gewaarborgd zijn. Is dat het geval, dan mag het OM de claim zonder openbare onderbouwing inbrengen. Is het OM echter te ver gegaan, dan verwerpt de RC het bewijs.

Een rechter-commissaris dient het publieke belang, en dat is dat iedereen zich aan de regels houdt, burgers én overheid.
Je hebt gelijk... ik heb me op het inzagerecht ingelezen en er blijkt een mogelijkheid te zijn:

Artikel 149b 1. De officier van justitie is bevoegd, indien hij dit met het oog op de in artikel 187d, eerste lid, vermelde belangen noodzakelijk acht, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege te laten. Hij behoeft daartoe een schriftelijke machtiging, op diens vordering te verlenen door de rechter-commissaris. De vordering en de beschikking worden bij de processtukken gevoegd. 2. De officier van justitie doet van de toepassing van het eerste lid en, voor zover de in artikel 187d, eerste lid, vermelde belangen dat toelaten, de redenen waarom, proces-verbaal opmaken. Dit proces-verbaal wordt bij de processtukken gevoegd. 3. Zolang de zaak niet is geëindigd, bewaart de officier van justitie de in het eerste lid bedoelde stukken.
Ok, laat mij je dan vragen: Hoe stel jij voor dat we jou idee implementeren en tegelijkertijd de rechtsstaat bewaren. Dus hoe zorgen we ervoor dat boeven niet weten hoe de onderzoeksmethoden van de Staat zijn, terwijl we wel hun mensenrechten beschermen en hun veroordelen voor de misdaden die zij begaan hebben. Ik zie het namelijk niet. Ik zie het als fundamentele onmogelijkheid om en geheime onderzoeksmethoden te hebben en een democratische rechtsstaat
Het antwoord op die vraag staat al in diverse reacties van mij en anderen, ik stel enkel voor om dit verder te ontwikkelen.

Erg eenvoudig voorbeeld: middels een onderzoeksmethode kan men een criminele activiteit achterhalen, welke ze daarna kunnen bewijzen door getuigen verklaringen. Geen noodzaak om methode vrij te geven.

Er zijn veel meer mogelijkheden, zeker als de rechtstelsel bijgewerkt wordt. Helaas erg moeilijk mede omdat deze in elkaar zit met het nodige patchwerk, iets aanpassen laat vele andere dingen omvallen.

p.s. dit was mijn laatste reactie. ga even verder hier. We zijn oneens, prima.
Ben ik de enige die denkt dat ze dit soort onderzoek informatie niet zouden moet vrijgeven?

Zie liever dat boeven dezelfde fout opnieuw maken.
Inderdaad. Dit lijkt me eerder een actie als: "We weten dat er iets gebeurd is wat niet door de beugel kan in deze wijk en nu doorzoeken we alles om te dader te achterhalen en arresteren we ook nog eens anderen die in het vizier komen".

Anderzijds, als ik het artikel lees is de kans vrij groot dat het misdadigers betreft, maar hier wordt er in je "post" gekeken zonder zeker te weten of je iets verkeerd gedaan hebt.
De politie zal op gegeven moment toch hun onderzoeksmethoden moeten vrijgeven
Dat begrijp ik, zijn meerdere redenen voor. Maar ik vraag mij af op die regelgeving niet toe is aan een update.

We maken onze bescherming minder om o.a. onze privacy te waarborgen, terwijl we vandaag nog enkele van de mogelijkheden van de FBI en CIA in het buitenland konden meemaken op tweakers.

Nu we blijkbaar toch al geen privacy hebben, wordt het dan niet tijd om deze niet werkende aanpak eens goed te bekijken om te zien of alle verplichtingen die we onze overheid opleggen opwegen tegen de nadelen.

Vooral gezien we blijkbaar al lang niet meer die privacy hebben dat we dachten te hebben en buitenlandse overheden al helemaal niet hoeven openbaar te maken wat ze met onze informatie uitspoken (die notabene vaak ook nog in het buitenland opgeslagen wordt :z )
Ik begrijp je punten, maar je moet nooit je privacy opgeven in ruil voor veiligheid. Want er zijn altijd krachten aan het werk waar je geen zicht op hebt. Als de overheid namelijk meer en meer controle wil over de bevolking, maar ze stuitten op de barrière van privacy zullen ze "gevaar" en "onveiligheid" creëren om zodoende hun doelen te bereiken.

Die doelen omvatten altijd meer macht en met meer macht kan je er voor zorgen dat je die niet meer af kunt laten pakken. Privacy, of wat daar nog van over is zoals jij zegt is een barrière die zij willen slechten.

Het weerhoudt hun ervan een total regime op te zetten. Daarom is het zo gevaarlijk dat we privacy uit onze handen laten glippen. Maar het is niet te laat, het tij kan nog gekeerd worden. Nu nog wel..
Ben het met je eens dat je je privacy nooit moet opgeven, maar Ik heb er niet voor gekozen om mijn privacy op te geven, dit is gewoon een gegeven in deze tijd.

Geen privacy hebben is tegenwoordig niets anders dan accepteren dat iemand eigenaar is van een stuk grond omdat iemand voor je geboorte het al geclaimd had. Eigenlijk bizar dat de situatie niet even opnieuw bekeken wordt na je geboorte om het land te herverdelen. Waarom heb ik minder recht op dat grond? waarom moet ik leven zoals andere opdragen? waarom moet ik iemand anders zijn regels volgen? dit is nu eenmaal de gegeven situatie. Gewoon aanpassen en het beste van maken (meegaan of tegenwerken).

alleen de dingen in mijn hoofd hebben 100% privacy, alles alleen in mijn huis iets minder, alles daarbuiten vrijwel niet. Gewoon de feiten, maar zeker niet mijn keus.
Hoewel ik je standpunt begrijp ben ik van mening dat je veel te vroeg bent met je volledige acceptatie dat je privacy alleen nog maar een luchtspiegeling uit het verleden is.

Liefst heb ik dat je nog even doorzet. Opgeven kan later toch ook nog? ;)
Ik weet niet of daar nu per sé overheden achter zitten. De grote verdieners in het hele big data verhaal blijven toch de bedrijven. Bedrijven die volledig uit zichzelf spontaan allianties met overheden voorstellen om te helpen bij het afdwingen van niet-gecriminaliseerd gedrag.

Sterker nog, sommige bedrijven doen dat zelfs met als doel overheden te verplichten(!!) tot naleving van hun akkoorden met weer andere bedrijven over gezamenlijk opvoeren van druk op diens burgers. Als je de akkoorden en allianties met touwtjes aan elkaar knoopt :+ Echt niet dat overheden de privacyschendingen alleen uitdokterden hoor.. no way!
Alleen als het naar een rechter moet.
Alles wat daarbuiten blijft kan op andere manieren..., totdat de wetgeving aangepast wordt en een methode alsnog legaal verklaard wordt. ("Terug hack" wet).

Soort van bewijs witwassen.

Overigens kan de politie dat ook met andere zaken door bv. nog een melding op meldt misdaad anoniem te doen om alsnog een aanleiding te hebben...

[Reactie gewijzigd door tweaknico op 9 maart 2017 14:53]

" Alleen als het naar een rechter moet."

Dat bedoelde ik met: op gegeven moment, dank je !
Je kunt wetgeving niet met terugwerkende kracht aanpassen en dus geen bewijs witwassen...
Bewijs witwassen doen ze nu al vaak: ze bellen zelf naar een van de vele kliklijnen in Nederland en zetten dan in het PV "we kregen een anonieme tip".
"Anonieme tips" gelden in rechtzaken totaal niet als bewijs, laat staan als "wit" bewijs. Ze kunnen dus ook niet gebruikt worden om bewijs wit te wassen.

Het verhaal wat over kliklijnen gaat is dat de politie ze gebruikt om een huiszoekingsbevel te krijgen.
Ik denk dat het sowieso naïef is om te denken dat boeven die dit soort oplossingen gebruiken er niet achter komen dat de politie deze mogelijkheid heeft. Waarschijnlijk komt het tijdens het proces al aan het licht, gewoon als directe info ('we hebben dit en dit van je telefoon afgehaald') of in indirecte zin ('alleen opgeslagen op mijn telefoon, dus daar hebben ze het van --> 'collega's/organisatie' waarschuwen').

Ik denk dat het signaal om aan te geven dat dit soort oplossingen je niet veilig houden en dat je dus maar beter je kan gedragen omdat de politie op niveau is, dan meer waard is. Hetzelfde geldt voor het signaal naar het technisch onderlegde publiek dat hiermee ziet dat ook het politieapparaat groeit als het gaat om het besef van het belang van ontwikkeling op dit vlak, alsmede het aantonen van capaciteiten.
Dat is wel erg kortzichtig... Niet iedere boef of organisatie is even ver ontwikkeld, het is daarom aannemelijk om te denken dat je hiermee boeven informeerd. Het feit dat het in het nieuws komt zegt ook al dat niet iedereen dit weet anders zou het geen neiuws zijn.

Verder heeft iedere organisatie het probleem dat ze iets over het hoofd zien... zoals deze mogelijkheid en passen hun werkwijze opnieuw aan.

Simpel gezegd zit de informatie hem in de context en de details, die geven in dit geval erg goed weer hoe je hiermee weg zou kunnen komen terwijl je dezelfde techniek gebruikt.

Ik zie de meerwaarde van dit "signaal" niet boven het informeren van boeven. Als men dit al als een signaal ervaart, zal dat op zijn best bij beginnende boefjes zijn.
Een boef/organisatie die 1500 euro uitgeeft aan een op individueel niveau toegepast beveiligingsconstruct welke niet werkt. Jij denkt dat er dan niet gekeken wordt naar hoe geheimen uitgelekt zijn? Dat is, als ze dit tijdens het proces niet sowieso verteld wordt?

Verder neem ik aan dat een criminele organisatie hetzelfde werkt als andere organisatie, namelijk dat er gekeken wordt naar de haalbaarheid van zaken. Wanneer deze er niet is, wordt de betreffende zaak niet gebezigd. Aangezien deze in het geval van criminelen de maatschappij raakt, is een niet-gebezigde zaak iets waar de maatschappij bij gebaat is. Aangezien het om zaken gaat waarbij dit soort middelen gebruikt worden, gaat het ook niet om wat kruimeldieverij.

[Reactie gewijzigd door RaJitsu op 9 maart 2017 15:07]

Ik denk niet dat iedere boef daarna gaat kijken en als ze wel kijken dat niet iedere boef in staat is erachter te komen waar de lek zat, zeker niet bij de meeste voordelen die gebasseerd worden op losstaande feiten die enkel boven tafel komen door een lek, maar waarbij de lek niet vermeld hoeft te worden voor het strafrecht.

criminele organisatie zouden zo kunnen werken, maar dat hoeft niet altijd, net als reguliere organisaties dat niet altijd doen. Los van het feit dat geen enkele organisatie 100% profesioneel is, zeker niet die organisaties met afhankelijkheden, human resource change en vrijwel 100% geheime informatie, bijna onhaalbaar dit lekvrij te houden, techniek is maar een onderdeeltje lijkt me. maar ben ook geen expert.
Daar zijn we het dan over oneens. Ik denk dat een goed geleide organisatie deze kanalen wel in de gaten houdt en dat deze kennis vervolgens naar beneden druppelt naar minder goed geleide organisaties.

Verder geldt voor het geheimhouden van zaken natuurlijk ook het eea voor de politie-organisatie. Ook daar zal iets als deze mogelijkheden gewoon uitlekken.
Ik weet niet zeker of we het oneens zijn hier.

Ik zelf enkel dat men niet altijd in staat zal zijn om hun lek te herleiden tot de techniek, zeker niet als men ervan overtuigd is dat encryptie niet gekraakt kan worden en dat overtuigd zijn dat niemand bij de sleutel kan. Dan zie ik ze niet snel dit denksprongetje maken.

Ben het wel eens dat de meesten goed zullen nadenken over waar die lek zit en ook zeker de profesionals hun techniek zullen bekijken.
Wanneer je enkel en alleen op de betreffende apparaten specifieke informatie hebt opgeslagen, dan moet het lek daar toch zitten?
als het enkel daar zit wel ja, maar wie heeft informatie nu enkel op een apparaat? het zit meestal in meerdere hoofden, wordt besproken met mensen, wordt uitgevoerd op een plaats/lokatie, etc.
Je kan natuurlijk vanuit het oogpunt van veiligheid zaken alleen mobiel opslaan of op de server bewaren waar je alleen toegang toe hebt via je mobiel. Verder telefoonnummers, mails, kill-lists zijn zaken die ook prima via mobiel kunnen. En ook zaken als netwerken tussen verschillende personen, daarvoor zitten de relevante gegevens ook op je mobiel.
Het probleem voor hun is dat informatie dus nooit alleen elektronisch beschikbaar is. Mensen gebruiken het, mensen weten het, mensen praten erover. Zo lang mensen er iets mee doen kan het op verschillende plekken lekken, niet perse via hun ict oplossingen en valt dus ook niet altijd eenduidig te herleiden.

Dus aleen elektronisch opslaan is per definitie onmogelijk, het moet tenslotte door iemand ingevoerd worden en die weet het dan ook, etc.
Maar die mensen moeten wel gevonden worden plus toegeven. Dat kun je eveneens afdwingen met info die je van toestellen hebt.
Dat is nou net de techniek, middels deze middelen kun je die mensen vinden en die mensen afluisteren, dan hoeven ze alleen de afluisteropnames vrij te geven.

Of via deze middelen achterhalen waar iets opgeslagen is en dan alleen de opslag als bewijs opleveren, etc.

Je hoeft lang niet altijd mensen zover te krijgen dat ze iets toegeven, zeker niet als je hun telefoon of als dat niet kan hun huis afluisterd. Ook kunnen ze kiezen iemand te volgen, op afstand met richtmicrofonen werken, etc.

volgens mij zijn er een hoop middelen die ingezet kunnen worden zodat je je bron niet hoeft vrij te geven.

Maar mijn oorspronkelijke punt ging wat verder trouwens en die kan ik minder goed verdedigen, namelijk dat ik zeg dat er een wet / constructie moet komen dat men deze bronnen kan gebruiken in een rechtzaak zonder dat ze de boeven hoeven uit te leggen hoe dat werkt. Ik heb daar geen oplossing voor, maar zie wel een noodzaak in onze informatiegestuurde wereld.
dat doen ze ook keer op keer, zo heeft de politie die zaak in nijmegen opgedoekt. "men" statops over naar dienst x, waarbij ze hetzelfde kunstje opnieuw doen. :F
lolz inderdaad een |:( actie...

... uiteraard zijn er geen boeven op tweakers, die zouden anders te goed geinformeerd zijn om hierin te trappen.
Je kunt als tweaker wel weten hoe je je hiertegen moet beschermen, maar als je samenwerkt met wat minder ontwikkelde collega's wordt het nog een hele klus om die iets veiligers te laten gebruiken.
lijkt mij ook inderdaad.
Nou ja, die zijn weer voor andere dingen handig. Ik zie me al in m'n eentje die zware koolfilters de trap op zeulen. O-)
Niet alleen maar boeven maken gebruik van PGP he.
Ik weet het...

.. persoonlijk besef ik dat al mijn online data over standaard diensten toch al door diverse landen wordt bekeken. Dan ook graag wat voordelen hiervan in de vorm van minder criminaliteit.
Het gaat specifiek over pgp op blackberry via BES. Dat is alleen te ontcijferen als je fysiek de server in handen hebt omdat men geen wisselende encryptiesleutels gebruikt. Wel raar dat al die berichten na aflevering nog op de server stonden, ik denk dat de eigenaren van Ennetcom daar nog wel wat over uit te leggen hebben naar hun klanten toe.
Bedankt voor de info, maar ik kan niet helemaal plaatsen waarom dit wat uitmaakt?
Waarvoor uitmaakt? Ik denk niet dat ze de berichten onderschept hebben dus zullen ze ze of van de server of van een device af moeten halen. Aangezien ze de meeste devices niet zullen hebben halen ze de berichten nu massaal van de server af.
je reageert op mijn reactie: "Ik weet het...

.. persoonlijk besef ik dat al mijn online data over standaard diensten toch al door diverse landen wordt bekeken. Dan ook graag wat voordelen hiervan in de vorm van minder criminaliteit."

Hoe staat jou reactie in verhouding tot die reactie? lijkt kant noch wall te raken?
Ah zo. Mijnndata wordt niet standaard bekeken door opsporingsdiensten omdat ik vooral Signal en WhatsApp gebruik, die beide e2e versleuteld zijn. Via onbetrouwbare programma's als FB messenger, Skype en BBM bespreek ik geen vertrouwelijke dingen. En over "gewoon" bellen en onversleuteld smsen al helemaal niet.
Er hoeft niet altijd een paertrail te zijn hoor, zeker niet voor bronnen die strafbare feiten onthulden die opzichzelfstaand bewezen kunnen worden. Dit is de aanpak die vaak gekozen wordt als er speciale technieken zijn toegepast die men niet wil onthullen voor het oppakken van een enkele boef, etc. Vaak genoeg in het nieuws geweest in nl en buitenland.
"op zich zelf bewijsbaar zijn" betekent dat er dus een ander papertrail is.
Alleen als je het woordje papertrail tot in het absurde wilt doortrekken. bijvoorbeeld er wordt een getuige gehoord. Dan zou je nog steeds kunnen stellen dat er een papertrail is.
akkoord. Maar als het goed is heeft die getuige dat al o papier verklaard, maar moet evt. nog ingaan op vragen die de rechtbank, aanklager of advocaten nog hebben.
dat bedoelde ik met to in het absurde. Strikt gezien wordt uiteraard alles op papier gezet, zelfs iedere uitspraak in de rechtbank. Maar ik nam aan dat jij iets anders bedoelde met papertrail. Mogelijk vergiste ik mij daarin.
Mijn excuses aan jou. Het kan en er is een mogelijkheid onder zowel Nederlands als Europees recht.

Artikel 149b Strafvordering 1. De officier van justitie is bevoegd, indien hij dit met het oog op de in artikel 187d, eerste lid, vermelde belangen noodzakelijk acht, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege te laten. Hij behoeft daartoe een schriftelijke machtiging, op diens vordering te verlenen door de rechter-commissaris. De vordering en de beschikking worden bij de processtukken gevoegd. 2. De officier van justitie doet van de toepassing van het eerste lid en, voor zover de in artikel 187d, eerste lid, vermelde belangen dat toelaten, de redenen waarom, proces-verbaal opmaken. Dit proces-verbaal wordt bij de processtukken gevoegd. 3. Zolang de zaak niet is geëindigd, bewaart de officier van justitie de in het eerste lid bedoelde stukken.

Of leuker

http://njb.nl/Uploads/Magazine/PDF/NJB-1302.pdf
kan ik daaruit concluderen dat het niet handig is je encryptie uit te besteden?..

Als de mensen zelf de keys gegenereerd zouden hebben is het dan wel gewoon veilig?
Als de mensen zelf de keys gegenereerd zouden hebben is het dan wel gewoon veilig?

Bij asymetrisceh encryptie zoals PGP wel. Het kon ook bijna niet anders dan - zoals nu door update 2 bevestigd lijkt - dat de private keys (om te lezen) ook op de server stonden.

Uitbesteden kan dus best, maar je moet zorgen dat de prive sleutels niet op een centrale server staan, want dan ga je nat. Immers dan reduceer je de asymetrische encryptie tot gewone symetrische encryptie van klassieke mail-servers waar effectief alles in plain text op de servers staat.

De doelgroep van dit product was waarschijnlijk technisch niet goed onderlegd om te beseffen dat ze niet kochten wat ze dachten te kopen. Als echter berichten inderdaad na 48 uur vernietigd zijn, is de schade waarschijnlijk beperkt. Echter als dit vernietigen enkel 'deleten' was natuurlijk niet. Veel database en storage systemen laten immers sporen achter. Je moet de bits dan ook echt fysiek overschrijven. Vraag is nu dus hoeveel berichten daadwerkelijk in handen van justitie zijn.
tijdelijk op zijn best. Er wordt tegenwoordig ook encrypte data opgeslagen wachtende op betere techniek om het te ontsleutelen. Was ooit ook een artikel van op tweakers meen ik.
De vraag is hoe lang dat duurt en of feiten dan niet verjaard zijn.

als crimineel moet je dus een encryptie nemen waarvan je weet dat deze minimaal 20 liefst 30 jaar mee kan voordat deze gekraakt kan worden.
Grote kans dat mocht er na 30 jaar iets boven water komen de feiten verjaard zijn.
Er is geen verjaring op "ernstige misdrijven", tenminste niet volgens de definitie die onze overheid daaraan stelt.

Minder ernstige misdrijven hebben trouwens ook nog een redelijk lange verjaringstermijn en zelfs als ze verlopen geeft het weer handvatten voor nader onderzoek naar misdrijven die niet verjaard zijn.

Geen verjaring bij ernstige misdrijven
De volgende misdrijven kunnen niet verjaren:
misdrijven waarop een levenslange gevangenisstraf staat (zoals moord);
misdrijven met een gevangenisstraf van 12 jaar of meer (zoals verkrachting, mensensmokkel en doodslag);
zedenmisdrijven tegen kinderen met een straf van 8 jaar.

Bron
Buiten moord kan de rest dus verjaren.

Ongetwijfeld dat er in dat milieu ook moordzaken spelen. Voor de meeste criminelen en hun activiteiten is er dus verjaring
IMB stelt binnen enkele jaren een quantum computer te hebben, dus dat betekend dat geen enkele huidige encryptie het overleeft. Stond toevallig twee dagen terug op tweakers.

Tijd voor post quantum computer encrypties als je boeven emperium wilt opbouwen.
Tijd voor post quantum computer encrypties als je boeven emperium wilt opbouwen.
Alsof encryptie illegale praktijken impliceert. Ik encrypt mijn spul gewoon uit privacy voorzorg.
Dat is jouw interpretatie, ik zit hier zelfs op tweakers middels https, niets illegaals aan hoor.
nee, ook doodslag (dat is geen moord), mensensmokken, zedenmisdrijven en al het andere dat volgens de rechter een ernstige misdrijf betreft (rechtspraak is niet altijd letterlijk).
Tegen die tijd is de verzender waarschijnlijk al overleden van ouderdom, dan is het in strafzaken niet zo heel relevant meer.
Volgens IBM over enkel jaren al

Dus tenzij we nu praten over post quantum encryptie (en dat doen we niet), zullen de meeste boeven er straks toch echt aan moeten geloven.
De politie heeft in dit geval PGP zelf niet gekraakt maar de keys in handen gekregen. Dus dat zou je inderdaad kunnen stellen.
Ja. Schijnbaar heeft de eigenaar van Ennetcom in Nijmegen gekozen om de pgp sleutels af te geven aan justitie. Als je de sleutel hebt is het natuurlijk geen rocket science om toegang te krijgen tot de berichten.

Er zullen binnenkort wel een hele hoop brabanders het vliegtuig pakken naar Zuid Amerika om daar hun drugsgeld uit te geven, zonder last van justitie.
Dit kan dus niet, want de private key staat alleen op het device en wordt pas aangemaakt als de eindgebruiker het device voor het eerst aanzet. De public key gaat daarna naar een keyserver...
Oftewel: Je kunt de berichten wel ontsleutelen, je kunt alleen geen nieuwe berichten aanmaken die met dezelfde key versleuteld zijn als het orignele bericht. Maar dat was in dit geval ook niet het doel...
Neen, want de public key is alleen bedoelt om nieuwe berichten te versleutelen en daarna te verzenden naar de houder van die public key. Het ontsleutelen gebeurd met de private key die alleen op het device staat.

Gebruiker A stuurt een bericht naar gebruiker B, daarvoor heeft gebruiker A de public key van gebruiker B nodig (keyserver)
Gebruiker B wil bericht van gebruiker A lezen en gebruikt zijn private key om het bericht te ontsleutelen.

Als gebruiker B daarna een reply wenst te sturen, wordt gebruiker B -> gebruiker A.

Daarnaast had Ennet zogenaamde public infrastructuren die SMIME/PGP communicatie met andere PGP gebruikers buiten Ennetcom afdwong en mogelijk maakte. Verder hadden ze private networks waarbij alleen naar een set van devices verstuurd en ontvangen kon worden. Ennetcom liet ook alleen SMIME/PGP door, geen IM of PING. Microfoon, GPS en speakers waren uitgezet en niet in te schakelen door de gebruiker.

BB (RIM) heeft alleen de device deployment en het transport van berichten afgehandeld en beschikte niet over een masterker voor de inhoud van het PGP verkeer. BB had alleen de masterkey voor BB verkeer.

Dat er dus een database van 7TB was met daarin alle PGP email berichten is, is opvallend. Die berichten moeten haast wel met een dragnet verzameld zijn aangezien alle ennetcom mail servers geen logs hadden en standaard iedere 24 uur de mailservers leegmaakte (ook de inboxen, sent items en deleted items) De PGP private keys stonden alleen op de devices en kunnen alleen fysiek van het device gehaald worden door het device fysiek te ontdoen van de memory chips en daarna te brute forcen.

Nu weten we van Snowden dat de NSA standaard al het PGP verkeer opslaan en bewaren voor als het PGP gekraakt zou worden (als de NSA dat niet al gedaan heeft) en vermoed ik dat onze Nederlandse hulpdiensten hulp hebben gehad....

[Reactie gewijzigd door g0ldrush3d op 9 maart 2017 15:15]

In het bericht staat de politie de encryptiesleutels heeft en dat ze daarom de berichten kunnen inzien. Lijkt mij dat ze daarmee bedoelen dat de politie de private keys heeft?
Ja, en dat is opmerkelijk want die stonden niet op de servers.

[conspiracy mode]
de NSA heeft de PGP berichten ge-bruteforced en de sleutels doorgespeeld naar de Nederlandse politie?
[/conspiracy mode]
Laat je niks wijsmaken door verkooppraatjes.
Voor veel diensten zoals deze die zelf ook in "het wereldje" zitten is de data bijzonder waardevol. Een lokale kopie zou mij niets verbazen.

Daarnaast is er sprake van een master key voor de BBM compatibaliteit.
Leuk voor ze. Maar de Ennetcom telefoons zijn niet persoonsgebonden. Je kunt ze anoniem kopen zonder legitimatie en werden over de hele wereld verkocht.

De PGP keys zijn altijd zelfgegenereerde nadat de telefoon voor het eerst aan gaat en staan alleen op het device, niet op de server.

Dus als alle berichten inderdaad ontsleutelt zijn (7 TB aan ECP / mail totaal) dan is er geen sprake dat de keys zijn gevonden of in een garage zijn overhandigd, maar dat ze massaal gekraakt zijn. Ik vermoed dat hier wat hulp is geweest vanuit de US / Canada.

[Reactie gewijzigd door g0ldrush3d op 9 maart 2017 14:23]

Klopt maar probleem is dat ondanks dat de informatie versleuteld is, de positie van jou telefoon dat niet is. Ook niet met wie je kontakt hebt.

Als men jou thuisadres heeft en ziet daar een anonieme telefoon keer op keer dan is het heel eenvoudig om een telefoon aan een persoon te linken.

Sterker nog als je de verhalen leest van criminelen die meerdere telefoon hebben dan zijn er dus altijd meerdere die hetzelfde patroon van verplaatsing hebben. Ze zijn dan allemaal verdacht. Als jij met een andere telefoon belt die wordt afgeluisterd en men jou dus kan herkennen weet men ook dat jij die anonieme telefoon in bezit hebt. Die heet een imei numnmer en dat zit dan waarschijnlijk weer in de ennetcom database.

Ben je dus crimineel moet je heel goed nadenken tegenwoordig om echt anoniem te kunnen communiceren. via de telefoon is dat moeilijk.
Vandaar dat Ennetcom gebruikers geïnformeerd werden om alleen de telefoon aan te zetten op plekken in de openbare ruimte en niet continu te roamen met het device. Daarnaast was de rom aangepast om regelmatig van zendtoren te wisselen.
Tussen aanraden en doen maakt niet veel uit.
Zelfs als je wisselt van toren maakt deze nog steeds contact met andere torens en is een 3hoeksmeting mogelijk. In steden kunnen ze dan vrij nauwkeurig je positie bepalen.
Heb je een andere telefoon bij je die al verdacht is zien ze 2 telefoons op dezelfde locatie.

Probleem is dat je dus discipline moet hebben en laat ik nu denken dat de meeste dan niet hebben het ding altijd aan hebben staan en niet bijv afspreken met de andere vandaag om 3 uur ga ik naar het park je in het andere park zodat we berichten kunnen uitwisselen.

Theorie en praktijk liggen hier denk ik ver uit elkaar en de mens is dan de zwakste schakel.
Neem aan dat de individuele eindsleutels ook gedeeld zijn naar de centrale ennetcom server. Kan zaken wat gebruiksvriendelijker maken, maar zorgt ook voor het nadeel dat je je waard moet vertrouwen.

Dat is dus een fout geweest van de inrichting van Ennetcom en de keuze van de klanten voor Ennetcom.
Nee, de private key (voor ontsleutelen) stond alleen op het device. Ennetcom kon deze sleutels niet
Dus als alle berichten inderdaad ontsleutelt zijn (7 TB aan ECP / mail totaal) dan is er geen sprake dat de keys zijn gevonden of in een garage zijn overhandigd, maar dat ze massaal gekraakt zijn. Ik vermoed dat hier wat hulp is geweest vanuit de US / Canada.
Ik weet niet of ide Ennetcom telefoons automatisch updates installeren, maar als dat zo is dan kun je via dat mechanisme ook een module installeren die even alle keys naar de politie opstuurt.
Dat is een zwak punt in vrijwel ieder systeem dat (automatisch) updates installeert, met iedere update kan de werking van software totaal veranderen en kan dat stuk software alle data waar het bij kan door gaan sturen. Daarom is het verstandig om rechten zo veel mogelijk per applicatie te beperken, zelfs als een systeem maar één gebruiker heeft.
Nee, geen firmware updates waren mogelijk
Wat is eigenlijk de relatie van het plaatje bij dit bericht? Zijn dit de daadwerkelijke componenten die gebruikt zijn om deze berichten te ontsleutelen? Of gewoon random Cisco hardware omdat het kan? Een omschrijving wat het plaatje precies laat zien zou wel leuk zijn :) .
Het is in ieder geval een belabberde foto.
Ik denk dat hij is gemaakt van één van de servers van Tweakers, want op Google is hij in ieder geval niet geïndexeerd. Zie hier: https://www.google.nl/sea...lGo7kQ24bkGNmpcUDooeqqlOA of hier: https://www.google.nl/sea...gQsw4IKw&biw=1920&bih=950

En ook hier staat de foto niet: reviews: Tweakers 18 jaar: hostinggeschiedenis 2008-2016

Lijkt me dus dat hij net genomen is.

[Reactie gewijzigd door AnonymousWP op 9 maart 2017 15:12]

Gewoon als je iets wilt bespreken dat in vertrouwen moet blijven en dat hoeft lang niet altijd crimineel te zijn, gewoon ergens afspreken en mobiel in de auto laten liggen, beiden.
Er wordt op meer plaatsen meegeluisterd dan je denkt

2012 bericht op Tweakers dat in Rotterdam Trams voorzien zijn van microfoons:
https://tweakers.net/nieu...sprekken-in-trams-af.html
Wow!

Gewoon een park opzoeken, of zoals de big boys met stropdassen doen: op de golf baan
beetje raar.

als CIA/FBI het doet dan is de wereld in brand(tweakers ook), maar nu is het "ach... boeven pakken is oké"
Het verschil hier is dat er 'netjes' een gerechtelijk bevel is geweest waarop partijen bezwaar konden maken, met dit bevel heeft het OM blijkbaar voldoende grond gehad om bij Ennetcom beslag te leggen. Dat is uiteraard geen sleepnet actie zoals momenteel wel het geval is met de CIA/NSA/FBI en welke heimelijk gebeurd zonder medeweten van de personen in kwestie.

PS: Verder gewoon een enorme faal van Ennetcom, maar ik vermoed niet geheel onbewust. Men kon verwachten dat dit bevel er ooit zou kunnen komen en dan is het wel enorm 'handig' dat de keys gewoon op de master server staan.

EDIT: Waarom het handig is? Repeat van Lavabit? https://www.youtube.com/watch?v=HjqX3AiINJc

[Reactie gewijzigd door m4ikel op 9 maart 2017 21:52]

En hoe komt de politie dan aan de encryptiesleutels? Is het een Master Key? Uit de geraleteerde berichten is dit me ook niet helemaal duidelijk.
Als ik behoefte zou hebben aan volledig encrypted communicatie, dan zou ik namelijk ook echt zeker willen weten dat niemand simpelweg de keys heeft om de boel te ontsleutelen. Dan kun je bijna net zo goed gewoon in plaintext verder gaan.
https://medium.com/@fordn...g-96a782766fc3#.2rxc66q6d

Quote
" As Motherboard previously reported, Dutch police have found a way to read encrypted messages on the devices using tools from forensics company Cellebrite. Court documents have shown that the Royal Canadian Mounted Police can also decrypt messages on PGP BlackBerrys once they have physical access to the device. "

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*