Amerikaanse openbaar aanklager eist dat Facebook encryptie Messenger verwijdert

De Amerikaanse openbaar aanklager probeert Facebook zover te krijgen dat het de versleuteling op zijn Messenger-app verwijdert zodat autoriteiten de voip-gesprekken van een verdachte kunnen afluisteren. De kwestie is uitgemond in een rechtszaak en Facebook biedt weerstand.

De details van de federale zaak zijn niet openbaar, aangezien de zaak under seal, ofwel achter gesloten deuren, plaatsvindt. Drie anonieme bronnen van Reuters doen een boekje open over de eisen van de openbaar aanklager. De aanklager wil dat de rechter oordeelt dat Facebook met zijn weerstand contempt of court vertoont.

De openbaar aanklager doet onderzoek naar een lid van een zogenaamde MS-13-bende, een gewelddadige criminele groep die zich ook met drugshandel bezighoudt. Een van de leden zou de optionele e2e-encryptie van Messenger aan hebben gezet en de voice-functie van de app gebruiken om te communiceren met andere bendeleden.

De zaak doet denken aan de San Bernadino-rechtszaak. De FBI wilde kijken in de iPhone 5c van de overleden schutter Rizwan Farook, die samen met een handlanger 14 mensen doodschoot in 2015. De iPhone was versleuteld en de FBI wilde Apple's hulp in de vorm van aangepaste firmware die de versleuteling ongedaan zou maken. Apple weigerde, omdat dergelijke firmware de veiligheid van al zijn toestellen in het geding zou brengen en niet alleen die van Farook. De FBI liet de zaak vallen nadat deze dankzij de hulp van een onbekend bedrijf, vermoedelijk Cellebrite, toch toegang wist te krijgen tot de inhoud van de telefoon.

Door Mark Hendrikman

Redacteur

Feedback • 18-08-2018 14:28224

18-08-2018 • 14:28

224 Linkedin

Lees meer

Hackingsoftware van spionagebedrijf verschijnt op internet Nieuws van 18 januari 2023
Facebook test standaard ingeschakelde end-to-endencryptie 'bij sommigen' Nieuws van 11 augustus 2022
Facebook test gezamenlijk kijken naar gesynchroniseerde video's in Messenger Nieuws van 16 november 2018
'Amerikaanse regering krijgt geen toegang tot belgegevens Facebook Messenger' Nieuws van 29 september 2018
Five Eyes-landen roepen bedrijven op versleutelde data toegankelijk te maken Nieuws van 3 september 2018
Facebook gebruikt scoresysteem om betrouwbaarheid gebruikers te beoordelen Nieuws van 21 augustus 2018
FBI: er waren veel minder versleutelde smartphones die onderzoeken belemmerden Nieuws van 23 mei 2018
FBI: combinatie van sterke encryptie en ons toegang geven is mogelijk Nieuws van 9 maart 2018
FBI claimt dat 6900 versleutelde smartphones dit jaar onderzoeken belemmerden Nieuws van 23 oktober 2017
Topman OM: Openbaar Ministerie is nog niet klaar voor cybercriminaliteit Nieuws van 16 september 2017
FBI kan helft van gevorderde smartphones niet inzien door versleuteling Nieuws van 3 mei 2017
Amerikaan zit zestien maanden in cel om weigeren decryptie harde schijf Nieuws van 13 februari 2017
Techbedrijven VS vragen Trump spionagewetten te herzien en encryptie te steunen Nieuws van 15 november 2016
FBI heeft opnieuw versleutelde iPhone van terrorist in handen Nieuws van 8 oktober 2016
FBI kraakt iPhone van San Bernardino-schutter en laat zaak tegen Apple vallen Nieuws van 29 maart 2016
Meer producten en artikelen
Politiek en recht Privacy Encryptie Facebook Facebook Messenger Verenigde staten

Reacties (224)

-Moderatie-faq
224
209
150
12
1
24
Wijzig sortering
Trommelrem
18 augustus 2018 19:55
Die end to end encryptie is toch gemakkelijk te hacken? Zolang je het eerste bericht maar hebt, waarbij de handshake wordt uitgevoerd. De eerste sleutel kan alleen maar unencrypted worden verstuurd. De iPhone 5C heeft toch geen TPM? Die is dus ook makkelijk te hacken.
WhatsappHack
@Trommelrem18 augustus 2018 20:49
Dat probleem is jaaaaaaren geleden al opgelost. Waarom denk je dat je publieke sleutel voor iedereen publiek mag zijn en je privésleutel, normaal gesproken, nooit je apparaat verlaat en die wél geheim gehouden moet worden?

Als enkel het eerste pakketje onderscheppen zou helpen dan kan je ook net zo goed overal SSL achterwege laten :P

[Reactie gewijzigd door WhatsappHack op 18 augustus 2018 20:56]

Trommelrem
@WhatsappHack18 augustus 2018 21:39
Het eerste pakketje zal toch altijd unencrypted moeten zijn. Dat er ergens een trusted autoriteit de andere sleutel heeft, betekent dat die ook ooit moest zijn gehandshakt.
WhatsappHack
@Trommelrem19 augustus 2018 00:25
"Het eerste pakketje" (ik ga er maar even vanuit dat je de data in de zin van sleutel bedoelt.) hoeft niet eens perse encrypted te zijn als dat een publieke sleutel is. Dus sure, “het eerste pakketje” zal in zo’n geval unencrypted zijn: maar wat maakt dat uit voor de encryptie zelf...? Zelfs dat mag in principe gewoon. (En het hoeft niet trouwens, ik kan ook best jou publieke sleutel ergens anders downloaden, of desnoods stuur je hem per post. Zal mij een rotzorg zijn. Dan kunnen we meteen beginnen met encrypten; is "het eerste pakketje" ook geen sleutel.) Heb je een boek over cryptografie gelezen van voor de oorlog o.i.d.? :P

IEDEREEN mag in principe meeluisteren met die pakketjes, dat maakt niets uit - zelfs niet voor de key-exchange als je dat plain wilt doen. (Als ze het bij meeluisteren houden. Maar dat is weer een ander verhaal en het combineren van verschillende technieken beschermt daar weer tegen)
Een voorbeeldje waarbij het niet uitmaakt dat de key-exchange publiek was:
Alice en Bob willen onderling veilig communiceren. Ze hebben nog geen sleutels van elkaar, dus ze genereren beiden een keypair: publiek en privé - de publieke sleutel sturen ze naar elkaar. Dat is volledig unencrypted. De privésleutel houden ze zelf en wordt naar niemand verzonden, die blijft enkel lokaal staan. Eve zit mee te luisteren (niets meer dan dat, enkel “eavesdropping”) op de verbinding en krijgt dus een kopie van alle pakketjes inclusief "het eerste pakketje". Eve heeft nu de publieke sleutel van zowel Alice als Bob. Nu versleutelt Alice haar berichtje met Bob's publieke sleutel. Bob decrypt het berichtje met zijn privésleutel. Bob reageert daar meteen op door een bericht te encrypten met Alice's publieke sleutel, Alice decrypt dat met haar privé sleutel en geeft nog een reactie op dezelfde wijze. Er zijn nu meerdere berichten uitgewisseld.

... Op welk punt na de sleuteluitwisseling heeft Eve ook maar iets van het gesprek mee kunnen krijgen?
En hoe kan ze de encryptie nu kraken door die "onveilige" uitwisseling van sleutels? (Ja met bruteforce, maar dat is volstrekt onrealistisch met de huidige encryptievormen. Misschien als ze een quantum computer weten te bouwen, maar goed; ik ga niet teveel door met "what if's".)
En dan gaan we er natuurlijk voor dit voorbeeld even vanuit dat er geen MitM-aanval heeft plaatsgevonden, anders had ik wel Mallory gezegd in plaats van Eve.
Als bonus kunnen Alice en Bob ook nog gaan "signen" ed, maar dat laat ik maar ff schieten nu.

Als je met trusted autoriteit doelt op een CA zoals wij het toepassen bij SSL: die krijgt ook je private key niet... ;) Zo’n CA helpt overigens te beschermen tegen MitM-aanvallen, en biedt dus bescherming tegen voornoemde Mallory.

Hier heb je ook een leuk filmpje met nog een voorbeeld van een methode om een key-exchange/een sleutel afspreken veilig te doen: https://www.dumpert.nl/me...lic_key_cryptography.html
Dit is trouwens allemaal super back to basic... Het Signal Protocol, wat ook door Facebook wordt gebruikt, is nog vele malen complexer en geavanceerd dan de simpele voorbeelden die ik nu benoem en zijn nog veel moeilijker te kraken.

Je kan dus ook nog eens verschillende technieken stapelen om het nog veiliger te maken, maar het is misschien handiger om ipv met nog complexere/uitgebreidere voorbeelden te komen eerst ergens meer te lezen over de basis, zoals op de link van NaliXL.

[Reactie gewijzigd door WhatsappHack op 19 augustus 2018 01:33]

Elefant
@WhatsappHack19 augustus 2018 11:27
Een klucht: When Harry Meets Sally.
  • Sally: Door Snowdon staan we nu wel mooi met onze broek omlaag en de nieuwe wetten maken het ons moeilijk.
  • Harry: Moeilijk, hoezo? De minister van justitie heeft indertijd de president en zijn entourage op de hoogte gesteld dat het illegaal was en is afgetreden omdat hij er geen deel van wilde zijn. Is er ook maar iemand gearresteerd voor het systematisch en grootschalig schenden van de grondwet en de rechten van onze eigen burgers?
  • Sally: Dat niet, maar zouden we niet liever de nieuwe situatie accepteren als een nette organisatie (uche, uche, uche) en hopen dat quantum computers ooit de versleuteling kunnen doorbreken
  • Harry: Hoe hebben ze zo een dom nepblondje ooit kunnen aannemen? Sinds wanneer heeft de wet ooit ons kunnen tegenhouden? En quantum computing? Je denkt toch niet dat wij petabytes aan informatie brute force gaan lopen hacken.
  • Sally: Ja maar iedereen weet nu wat we doen en gaat zijn communicatie versleutelen, daartegen zijn we machteloos. Asymetrische encryptie is niet te kraken, dat heb ik op school geleerd
  • Harry: O Sally, wat ben je toch nog heerlijk naief. We doen gewoon wat we al tijden doen. We bieden onze eigen veilige programma's met end-to-end-encryptie aan.
  • Sally: Maar dan schieten we onszelf in de voet
  • Harry: Hoezo, wij maken het programma en het doet wat wij willen
  • Sally: Maar het versleutelt wel alles onkraakbaar
  • Harry. Zeker maar het stuurt ook de prive sleutels op zodat deze bij de servers onderschept kunnen worden. Vanaf dat moment is alles voor ons leesbaar.
  • Sally: O Harry wat ben jij slim, maar kunnen ze daar niet achterkomen?
  • Harry: Hoezo wij kennen toch alleen de code. Zelfs als we het open source maken, kunnen we nog een andere code gebruiken om te compileren. Of we geven ze een eerste versie die clean is, en voegen later onze speciale code toe met een update of gebruiken een tijdelijke extensie. Ach het aantal mogelijkheden is eindeloos. Daar hebben we onze technische jongens voor. Weet je wat het leuke is van encrypie? Niemand kan precies zien wat je zit te vogelen. Het maakt het alleen maar gemakkelijker voor ons als alle communicatie tussen partijen versleuteld is. We kunnen zo hopen andere verzamelde informatie wegsluizen zonder dat iemand het weet.
  • Sally: Ha, ha, en zij maar klagen dat het programma zoveel resources gebruikt. Maar we hebben ook een vertrouwensprobleem. Zou iemand nog zoiets als Facebook vertrouwen nu ze weten dat wij al jarenlang Amerikaanse bedrijven dwingen en betalen om hun informatie met ons te delen, en ze we ze gerechtelijk dwingen om dat te ontkennen?
  • Harry: Nou praat je verstandig, dat is inderdaad een probleem! We moeten het vertrouwen herstellen. Hoe krijgen we het publiek en buitenland weer zo ver te geloven dat ze veilig Amerikaans spul kunnen gebruiken. Want we willen de gegevensverzameling wel grootschalig en goedkoop houden
  • Sally: Hmmm ... Nou we zouden bijvoorbeeld iemand een rechtzaak kunnen laten aanspannen om gegevens vrij te geven en dat Facebook laten weigeren. Dat geeft vertrouwen
  • Harry: Okay, maar dat overtuigt niet dat Facebook die informatie zelf niet kan lezen en delen met anderen.
  • Sally: Ik krijg nog een beter idee. We laten onze eigen FBI een proces aanspannen om de informatie vrij te geven. Als die het niet krijgt, moet het wel veilig zijn.
  • Harry: Jawel maar dat overtuigt nog steeds niet dat geheime diensten de data niet kunnen verkrijgen en doorspelen.
  • Sally: Ja maar de mensen voelen zich dan wel veilig voor rechtsvervolging en dat kan ze stimuleren om vertrouwelijke informatie te delen. Maar we kunnen het nog beter doen: We laten Facebook verkondigen dat ze de informatie niet KUNNEN delen, en we laten de FBI eisen dat Facebook de versleuteling afschaft!
  • Harry: Tja dat betekent wel dat we er gewone misdadigers niet langer mee kunnen aanpakken, maar dat is bijzaak tenslotte zijn wij zelf ook staatsmisdadigers die prive en bedrijfsgegevens stelen. Als de boeven zich veilig kunnen voelen, voelen de nette mensen zich ook veilig. Ja, ik vind dat een goed idee. We maken er een hele mediashow van. FBI eist dat Facebook versleuteling opheft! Vervolgens laten we ze bakzeil halen
  • Sally: O Harry, wat ben je toch een heerlijke vent.
  • Harry: O Sally, ik ben verliefd op je

[Reactie gewijzigd door Elefant op 19 augustus 2018 12:55]

WhatsappHack
@Elefant19 augustus 2018 22:11
Ja dat is zeker een optie. Redelijk onwaarschijnlijk in deze kwestie, maar even goed een mogelijkheid. Want dat is de pest: het is altijd een mogelijkheid. Wie het ook is. Er bestaat namelijk geen 100% veilig. Impossible. Misschien dat het in een verre toekomst ooit kan, maar nu nog niet. We hebben wel "zeer veilig", maar ook dat biedt geen 100% garantie om meerdere redenen.

Als je leven er vanaf hangt moet je daarom ook altijd meerdere technieken gebruiken en niet van één ontwikkelaar/bedrijf afhankelijk zijn. En dan maar hopen dat ze niet gewoon je hardware gehackt hebben door een mooie CPU-vulnerability o.i.d. en ze gewoon doodleuk het spul van je telefoon/laptop/whatever downloaden ;) Of je chats back-uppen naar de cloud en dat ze het daar gewoon vandaan plukken. :P

Het probleem is met alle vormen van encryptie dat je op een gegeven moment ergens je vertrouwen in moet steken; in iets of iemand of zelfs een collectief. Of dat nou een CA is, een bedrijf, een ontwikkelaar, "de (opensource) community", de wetenschappelijke onderzoeken van cryptografen, de oob-verificatie met "elkaar" - doesn't matter... Je moet altijd ook op anderen vertrouwen. Of jezelf als je het helemaal zelf programmeert. (Maar het wiel zelf opnieuw uitvinden is over het algemeen een slecht idee. Zie bijv. MTProto.)

Wil je echt geen enkel risico lopen, dan moet je gewoon niet communiceren via het internet. En dan maar hopen dat je gesprekspartner in real life geen bugs heeft of dat jullie op afstand worden gevolgd met een richtmicrofoon. Et cetera en zo kan je eindeloos verder alufoliën :P
Wees bedachtzaam bij communicatie via internet, zelfs als deze versleuteld is, maar pas ook goed op dat bedachtzaamheid niet omslaat in nodeloze paranoia; want dat gevaar loert ook. :)
Balans houden, realistisch zijn en de juiste techniek kiezen voor wat je doet en je komt een heel groot eind om zeer veilig te kunnen communiceren via het internet. (Doch nog altijd niet 100% gegarandeerd. ;))


Overigens om te reageren op het specifieke voorbeeld (FB) in plaats van de globale reactie op hetgeen je uitbeeld; er is er op dit moment geen aanwijzing dat suggereert dat dit het geval is bij de end-to-end encrypted variant van Facebook. Ook op Signal Protocol zijn geen aanvallen bekend.
De cloud-variant van Facebook (standaard modus.): daar zullen ze gewoon alles van moeten delen met de autoriteiten zodra hier om verzocht wordt en/of moeten tappen als dit verzocht wordt. Voor E2EE zijn ze dat vooralsnog niet verplicht. (En er is een reden dat sommige overheden dat liever wél verplichten en backdoors eisen, want bedrijven als Google en Facebook bieden wel degelijk weerstand tegen dit soort verzoeken.) :)

[Reactie gewijzigd door WhatsappHack op 20 augustus 2018 03:54]

Stoney3K
@WhatsappHack20 augustus 2018 17:55
Ik denk dat op het moment dat je zodanig gericht op de radar van overheidsdiensten komt dat ze mannetjes inzetten om jouw berichten te willen ontcijferen, dat we al voorbij het stadium zijn van "willen ontsleutelen".

https://xkcd.com/538/

Op het moment dat ze dan wat van je willen weten lichten ze je gewoon van je bed. Die ontsleutelplicht is vooral handig om grootschalig en geautomatiseerd berichten te kunnen flaggen zonder dat iemand het in de gaten heeft.

[Reactie gewijzigd door Stoney3K op 20 augustus 2018 17:56]

WhatsappHack
@Stoney3K20 augustus 2018 22:17
Uiteraard ligt daar uiteindelijk de zwakste schakel ja: de mens. :)
En als jij het niet bent die gelicht wordt, dan is het je gesprekspartner wel. :P
Elefant
@WhatsappHack20 augustus 2018 20:28
Trust Facebook? Anders ben je paranoide? Waarom ga je de Amerikanen niet vertellen dat Huawei en Kasperski te vertrouwen zijn? Ben benieuwd of je veel indruk zult maken met je pleidooi dat je altijd iemand moet vertrouwen. Ik denk dat ze je vreemd zullen aankijken. Is this guy for real?

Neem de Amerikanen eens serieus. Ze hebben ons volledig kaal gestolen. Schept dat bij jou vertrouwen? Waar haal jij je beeldvorming vandaan? Hollywood-films waarin Amerikanen de eeuwige helden zijn? Yeah, we are the good guys.

Amerikanen willen graag delen maar wel als het in hun voordeel is. Denk jij dat zij zullen toestaan dat een Europese social site en zoekmachine een monopolie krijgt in de VS? De VS beschouwt de EU als een gevaarlijke concurrent die ze er kost wat kost onder moet houden. Don't go kiddin yourself.

[beetje aangepast aan jouw schrijfstijl]
WhatsappHack
@Elefant20 augustus 2018 22:17
Trust Facebook? Anders ben je paranoide?
Misschien even wat beter lezen, scheelt een hoop heen en weer getik. :)
Ik heb dat namelijk niet gezegd.
Waarom ga je de Amerikanen niet vertellen dat Huawei en Kasperski te vertrouwen zijn? Ben benieuwd of je veel indruk zult maken met je pleidooi dat je altijd iemand moet vertrouwen. Ik denk dat ze je vreemd zullen aankijken. Is this guy for real?
Waarom zou ik ze dat moeten gaan vertellen...? Ik zie geen reden waarom ik ze dat moet gaan vertellen en zie niet helemaal in welk doel ik daarmee precies voor ogen zou moeten hebben. Weet ook niet wat het hier mee te maken heeft want het gaat nu echt opeens om een compleet ander onderwerp... o0

Dat terzijde blijft het punt ook daar gewoon staan: je moet altijd iemand vertrouwen. Dat de Amerikanen er nou voor kiezen om liever Ericsson en Symantec te vertrouwen dan Huawei en Kaspersky maakt totaal geen verschil in dat gegeven en is uiteraard hun goed recht.
Neem de Amerikanen eens serieus. Ze hebben ons volledig kaal gestolen. Schept dat bij jou vertrouwen? Waar haal jij je beeldvorming vandaan? Hollywood-films waarin Amerikanen de eeuwige helden zijn? Yeah, we are the good guys.
Ik weet niet welk punt je wilt maken noch welke "beeldvorming" je denkt dat ik heb... Kan je ook helemaal niet opmaken uit mijn neutrale en algemene tekst, hoe je opeens tot de conclusie bent gekomen dat ik een Hollywood beeldvorming over de VS hebt is mij echt een raadsel. Volgens mij trek je zomaar conclusies uit de lucht. En het vervelende is dat ik nu ook moet gokken wat je precies bedoelt, want de context is zoek en je lichts niets toe... Dus waag ik maar een gok in de hoop dat ik snap wat je bedoelt: Wil je soms beweren dat ik zaken automatisch niet moet vertrouwen als het uit de VS komt...?

Als dat het punt is wat je wilde maken: Sorry, ik ben niet zo anti-VS. Noch anti-Rusland. Noch anti-China. Als iets uit de VS komt en het is goed/werkt goed: dan gebruik ik het gewoon. Ik ga geen halfbakken slap aftreksel uit Europa gebruiken puur omdat dat "Made in Europe" is. Zal misschien ook komen omdat ik absoluut geen warm gevoel krijg bij het Verenigde Staten van Europa idee; Europatriotisme is niet aan mij besteed. Ik gebruik gewoon wat goed werkt en/of bewezen is, waar het vandaan komt zal me verder een rotzorg zijn... Komt het uit de VS? Ok. Komt het uit Rusland? Ok. Komt het uit Nederland? Ok.
Is het exact gelijkwaardig? *Dan* zal ik zeker voor het product uit Nederland kiezen om de lokale economie te steunen. (En omdat de garantieafhandeling hier gewoon veel beter is dan in de VS. :+)

Nee, ik zie de VS niet als de Hollywood-helden die de met propagandageld betaalde films, die overigens best vermakelijk kunnen zijn om te zien - daar niet van, tentoonstellen.
Nee, ik zie de VS niet als de grote boeman die alleen maar heel erg evil is en waarbij ik alles VS links zou moeten laten liggen. Als ik dat zou willen, dan zou ik wel gewoon even in Turkije gaan wonen waar alles Amerikaans op het moment gesloopt wordt. :+

Dus als je me mee wilt krijgen naar een anti-VS beeld: sorry, not playing. ;)
Amerikanen willen graag delen maar wel als het in hun voordeel is. Denk jij dat zij zullen toestaan dat een Europese social site en zoekmachine een monopolie krijgt in de VS?
Sure, waarom niet? Er zijn wel vaker bedrijven uit de EU geweest die een monopolie positie hebben/hadden op een bepaald gebied in de VS. Bij social media en zoekmachines is dat niet zo, de Amerikaanse techbedrijven zijn in die sector zeer duidelijk superieur. (Waarschijnlijk ook omdat aardig wat talent vanuit EU-landen naar de VS vertrekt omdat er 1.) Betere lonen zijn, 2.) Er een stuk minder gezeik is qua regelgeving en belastingen. De EU houdt zichzelf op sommige gebieden klein door bizarre overregulering, vergeet dat niet. De EU zou best een inhaalslag kunnen maken om te proberen op gelijk niveau te komen met de VS, maar dan moeten er aardig wat zaken veranderen; en die zijn niet allemaal in het directe voordeel van de burger.)

Mochten wij eerder zijn geweest met een goed systeem dat veel mensen aanspreekt, en de juiste toepassing van de technologie, dan had het zeker wel dezelfde status als Facebook en Google nu hebben kunnen behalen. Probleem is: dat hebben wij niet in die sector. Dus kan je wel gaan nadenken "of dat had gekund" (ja, zeker.), maar eigenlijk boeit het niet: want nu is het aardig te laat. Dan kan je ambiëren om ze alsnog te verslaan en de grootste te worden, je kan ook gewoon verder kijken in velden die niet al compleet verzadigd zijn en nieuwe technologieën maken.

Overigens is dat ook een stukje mentaliteit hoor. Amerikanen houden vaak wel van "Made in USA" producten en denken ook alles beter ("bigger and better) te kunnen zelfs in de gevallen dat dat absoluut niet zo is. Moeten ze vooral zelf weten, ik hoop niet dat wij dezelfde fout gaan maken en ongeacht de kwaliteit "EU"-producten gaan gebruiken puur omdat het uit een van onze buurlandjes komt, maar die suggestie wek je wel bij me... Ik hoop oprecht dat ik dat verkeerd heb begrepen. :)

[Reactie gewijzigd door WhatsappHack op 20 augustus 2018 22:19]

Elefant
@WhatsappHack21 augustus 2018 03:10
Jij suggereert dat veiligheid een kwestie van technische oplossingen is. Maar veiligheid van de burger begint met distributie van macht. Alle macht bij een handvol multinationals uit een ander land leggen en dan nog overtuigd verklaren dat daar geen misbruik van zal worden gemaakt nadat Snowdon al lang heeft aangetoond dat er grootschalig misbruik van is gemaakt? Sorry, ik ben niet onder de indruk.

[Reactie gewijzigd door Elefant op 21 augustus 2018 06:51]

tvtech
@Elefant19 augustus 2018 16:59
10+ voor deze reactie. Schrijf zo een boek en ik ben koper!
ericst
@WhatsappHack19 augustus 2018 02:28
Het idee van een shared secret :) Publieke sleutels die gegenereerd worden met privé sleutels, uitgewisseld worden, door elkaar husselen en daar is de gedeelde sleutel. Tadaaa, onbekend voor rest, bekend voor alleen deze twee.
Inderdaad is dit asymmetrisch nalixl.
NaliXL
@Trommelrem18 augustus 2018 23:32
Ga jij je eens even inlezen in asymetrische cryptografie! Heeft niets met een trusted authoriteit te maken, als het goed is hebben alleen verzender en ontvanger een eigen privesleutel en de rest van de wereld hun publieke sleutels. Geen authoriteit voor nodig.
Trommelrem
@NaliXL19 augustus 2018 02:00
Maar de hele PGP hack is er op gebaseerd dat de encryptiesleutel een kant op wordt gestuurd, die je manipuleert zodat de ontvanger doet wat je wilt. Dan kun je nog zo veel encrypten, de decryptiesleutel krijg je vanzelf wel.
sluurvogel
@Trommelrem19 augustus 2018 10:38
Beste Trommelrem, no offence, maar ik zou je voor je eigen bestwil nu willen adviseren om je eerst te verdiepen in de materie voordat je een volgende post over dit onderwerp doet. Met elke post zet je jezelf verder voor schut.
freaxje
@sluurvogel19 augustus 2018 11:12
Het enige waarmee hij zichzelf voor schut zet is dat hij beweringen maakt in plaats van vragen stelt. Dat kennis over hoe encryptie werkt weinig gekend is onder de bevolking is bij de techneuten niet onbekend. Het is vooral spijtig dat men dit niet uitlegt in het basisonderwijs. Hierdoor moeten techneuten dit op zich nemen.

Nu dat encryptie belangrijker wordt en er overheden zijn die denken het te kunnen verbieden, doen we er als techneuten goed aan om de kennis zo breed als mogelijk onder de bevolking te verspreiden.

Dat doen we hier door het uit te leggen (dus wat @WhatsappHack zoal gedaan heeft). Niet door dingen als ongewenst te modereren. Het is hier geen moddergevecht. De moderatie 0 is prima. De uitleg die kwam is ook prima. Dat de discussie er voor zorgt dat nu weer wat meer mensen begrijpen hoe encryptie werkt is goed.
sluurvogel
@freaxje20 augustus 2018 10:23
Het was zeker niet bedoeld als moddergevecht, maar een serieuze tip aan Trommelrem om hem/haar tegen zichzelf/haarzelf te beschemen. Misschien had ik het beter moeten verwoorden zoals jij het nu doet. Dank voor je reply.
freaxje
@sluurvogel20 augustus 2018 12:17
Het zou goed zijn moest onze samenleving haar kinderen in het onderwijs de basisprincipes van assymetrische en symetrische encryptie uitleggen. Zo zouden ze als volwassen een betere keuze kunnen maken bij de aankoop van zaken die veilig horen te zijn.

Momenteel is er een bijna totale onwetendheid, en verkopen fabrikanten aan de hand van geheimzinnigheid en spokerige angstbeelden hun totaal rotzooi oplossingen. Het is zelfs zo erg dat een grote meerderheid van de programmeurs totaal niets snappen van encryptie. Maar dan ook echt helemaal totaal en in het extreme totaal niets. Nochtans doen ze zich voor als experten. Wat problematisch is, want gewone mensen hebben geen enkele kans zich te verweren tegen zo'n programmeur die zich voordoet als expert ter zaken. Terwijl die programmeur dus in de overgrote meerderheid van de gevallen totaal, maar dan ook echt totaal, onbekwaam is in encryptie en er helemaal, maar dan ook echt helemaal, niets van kent.

En dat terwijl het in de basis eigenlijk helemaal niet gecompliceerd is. Het komt er uiteindelijk op neer (wiskundige) operaties te gebruiken die in één richting eenvoudig zijn maar in de andere richting zeer moeilijk. Daar zijn priemgetallen bv. nuttig voor. Encryptie is m.a.w. wiskunde. Niet echt programmeren. Wij programmeurs voorzien een implementatie rondom de wiskunde waar encryptie echt over gaat. Maar in de basis is het eigenlijk heel eenvoudig. Zie ook wat @WhatsappHack zoal verwoordde (dat is de basis).
terror538
@Trommelrem19 augustus 2018 02:08
Onzin, de pgp exploit is gebaseerd op het niet respecteren van een check die een decenium geleden is ingebracht en mail clients die html code uitvoeren.

Dat is een exploit op software, niet op de encryptie zelf!

Daarnaast heeft PGP ook geheel niets te maken met facebook messenger, behalve dat beide assymetrische encryptie doen voor het uitwisselen van berichten
Jasper Janssen
@Trommelrem19 augustus 2018 18:49
Als je het eerste pakketje (de eerste communicatie tussen twee clients) niet afluistert, maar onderschept en vervangt, kun je een klassieke man in the middle aanval doen. Je moet daarna wel altijd die man in the middle blijven zijn want zodra je wegvalt valt de communicatie ook weg en weten de clients theoretisch dat er Iets gebeurd is.
deadlock2k
@Trommelrem19 augustus 2018 22:22
Je denkt volgens mij precies verkeerd om! Dat deed m'n pa ook.
De publieke sleutel is de encryptiesleutel. Het enige wat je daarmee kan doen is berichten versleuteld naar de eigenaar sturen. Met de encryptiesleutel is het niet mogelijk om de versleuteling te verwijderen, daarvoor heb je de private key nodig. En mensen die professioneel moeilijk doen over security en beveiliging zoals ik, die adviseren dan ook dat die private key nooit op een andere manier verstuurd mag worden dan door een goedgekeurde koerier, op een versleutelde USB-stick maar ja, dat is in de praktijk niet echt haalbaar dus daar hebben de geniale computerwetenschappers en engineers weer andere oplossingen voor bedacht en geïmplementeerd.
tweaknico
@deadlock2k20 augustus 2018 18:40
Bij asymetrische encryptie kunnen zowel de publieke als de private key gebruikt worden voor encryptie.

Als de publickey voor encryptie gebruikt is, is de private key nodig voor decryptie en het omgekeerde,
als de private key gebruikt is voor encryptie, heb je de public key nodig voor decryptie.

Meestal wordt via Public/Private key encryptie een sessie sleutel gemaakt en wordt deze sessie sleutel in met een symmetrische encrytie gebruikt.
WhatsappHack
@tweaknico20 augustus 2018 22:49
Zou er wel bij vermelden dat het gebruiken van de private key voor encryptie op een bericht dat je geheim wilt houden natuurlijk niet zo'n strak plan is. Immers kan iedereen met je publieke sleutel dat dan decrypten, en gezien het niet voor niets een publieke sleutel is... Afijn. ;)

De private key gebruiken we meestal om data te signeren (authenticatie), niet voor de daadwerkelijke encryptie van de inhoud. :)

[Reactie gewijzigd door WhatsappHack op 20 augustus 2018 22:49]

tweaknico
@WhatsappHack21 augustus 2018 18:47
Ehm. Voor een Bericht van Alice aan Bob:
Alice: Encrypt Public Bob (Encrypt Private Alice( Message)) -->
Bob: Decrypt Public Alice ( Decrypt Private Bob ( Encrypted Message) )

En deze vorm van encryptie primair bedoeld voor transmissie van Symetriche Encryptie sleutels.
Voor Signing wordt de boodschap zelf niet ge-encrypt, maar voorzien van een Secure hash van de boodschap waarbij de Secure hash met de Private Key van de verzender ge-encrypt wordt.

Aanvulling met een practische invulling:
Genereer een symmetrische Key ( random string van X bits). laten we deze SymKey noemen
SymmetrischeEncrypt(Message, SymKey);
(bv. AES ) Asymmetrische Encryptie is vrijwel altijd RSA.
Alice:
Encrypt Public Bob (Encrypt Private Alice( SymKey))
SymmetrischeEncrypt(Message, SymKey)

Bob:
Decrypt Public Alice ( Decrypt Private Bob ( Encrypted SymKey) )
SymmetrischeDecrypt(EncryptedMessage, SymKey)

[Reactie gewijzigd door tweaknico op 21 augustus 2018 18:55]

deadlock2k
@tweaknico21 augustus 2018 11:20
Klopt helemaal maar ik wilde het niet moeilijker maken voor iemand die er zichtbaar issues mee heeft om te begrijpen hoe het werkt. Beetje zoals eerst het atoommodel van Rutherford en daarna dat van Bohr leren op de middelbare school. Goede toevoeging (y)
varkenspester
@Trommelrem19 augustus 2018 08:09
Het principe van symmetrische sleutels even kort voor je uitgelegd:
Enkel sleutel 1 kan code versletueld met sleutel 2 ontcijferen. Je zend sleutel 2 over de lijn. Sleutel 1 gaat nooit over de lijn. Iedereen met sleutel 2 die inderdaad zichtbaar is kan jouw iets sturen en encrytpteren met sleutel 2. Echter, gezien enkel sleutel 1 het kan ontcijferen (zelfs sleutel 2 kan dit niet) kan enkel jij het lezen. Jouw sleutel is namelijk nooit verstuurd over de lijn.
Zowat alle security op het net maakt hier gebruik van.
RobbieB
@varkenspester19 augustus 2018 15:44
Je bedoelt natuurlijk A-symmetrische encryptie ;)
varkenspester
@RobbieB19 augustus 2018 21:51
Uiteraard. Has been a while :)
Aganim
@WhatsappHack19 augustus 2018 08:49
Als enkel het eerste pakketje onderscheppen zou helpen dan kan je ook net zo goed overal SSL achterwege laten :P
Even iets gechargeerd: je kan SSL ook net zo goed achterwege laten. :+

Geen enkele SSL versie wordt meer als veilig beschouwd en hebben allemaal status 'deprecated' bereikt (https://tools.ietf.org/html/rfc7568). Zo ook TLS 1.1 per 30 juni overigens. Alle HTTPS verbindingen dienen via TLS 1.2 of 1.3 te verlopen. :)

[Reactie gewijzigd door Aganim op 19 augustus 2018 09:38]

WhatsappHack
@Aganim19 augustus 2018 15:02
Klopt, alleen in de volksmond gebruikt iedereen nog de naam SSL en SSL Certificaten ed; in gesprekken met mensen die er nog niet zo heel veel van weten is het dan makkelijker om daar op terug te vallen zodat je zeker(der) weet dat ze snappen wat je bedoelt. :P Al kan je het natuurlijk ook simpelweg “https” noemen.
Professor_Botje
@WhatsappHack19 augustus 2018 15:25
Daarom heeft mijn tesla een v8 lambo motor anders snappen mensen niet dat hij snel is haha leg ze dan gewoon uit de tsl gewoon nieuwer en beter is 😎
tweaknico
@WhatsappHack20 augustus 2018 18:48
Eh nee... HTTPS is HTTP over een TLS (voorheen SSL) verbinding.
net als POP3S een POP3 over TLS .. en FTPS een FTP over TLS etc. etc.
HTTP/FTP/POP3 etc zijn IP services die optioneel gebruikt kunnen worden over een encrypted (TLS/SSL) verbinding in plaats van een raw verbinding.

TLS is overigens niet transparant, services moeten het actief zelf managen, icm. X.509 certificate (Niet SSL certificaten). Voor een transparante oplossing moet IPSEC gebruikt worden.
WhatsappHack
@tweaknico20 augustus 2018 22:40
Dus waar in mijn post heb ik nou eigenlijk iets gezegd dat niet klopt? :+

Dat terzijde was mijn punt juist dat als je iets wilt uitleggen aan leken, dat het dan weinig zin heeft om meteen te gaan zitten mierenneuken over terminologie m.b.t. closely related business. :P (Met alle respect trouwens he, komt misschien wat bot over als je 't zo leest - maar dat is niet de bedoeling :)) De basis kan je beter uitleggen door in eerste instantie te refereren naar termen/zaken die ze wél snappen of eerder van gehoord hebben. Druk maken om de details is dan pas de volgende stap. ;)
tweaknico
@WhatsappHack21 augustus 2018 18:40
Klopt, alleen in de volksmond gebruikt iedereen nog de naam SSL en SSL Certificaten ....... Al kan je het natuurlijk ook simpelweg “https” noemen.
SSL != HTTPS.
SSL Certificaten zijn eigenlijk X.509 Certificaten.
EvilItSelf
@Trommelrem19 augustus 2018 09:55
Bij encryptie maken beide zijn een sleutelpaar bestaande uit een private en een public key. De private key verlaat het apparaat nooit en de public key wordt uitgewisseld. Samen met de private key die jezelf hebt en de public key van de ander krijg je een unieke sleutel met behulp van een van de twee private keys en de ander zijn public key ontsleutelt kan worden.

Dus de eerste berichten bevatten een publieke sleutel en zonder de private key ben je nergens.

[Reactie gewijzigd door EvilItSelf op 19 augustus 2018 09:56]

leuk_he
@Trommelrem20 augustus 2018 10:27
Ja, dat kan... Maar het kost je 50 jaar om de berekening te doen als je afluisterd zonder backdoor.
Radiant
@Trommelrem20 augustus 2018 14:34
Al genoeg reacties, maar nog meer leesvoer: https://nl.wikipedia.org/...uteluitwisselingsprotocol
Superstoned
@Trommelrem21 augustus 2018 00:48
https://www.youtube.com/watch?v=YEBfamv-_do - dat is hoe het werkt ;-)

enjoy ;-)
Cebby
18 augustus 2018 14:33
Misschien is het handig om ook in het artikel te vermelden dat Facebook (terecht) aangeeft dat het gaat om end-to-end encryption en dat ze dus in principe niet zoveel kunnen doen behalve de hele app herschrijven.
CAPSLOCK2000
@Cebby18 augustus 2018 14:55
dat ze dus in principe niet zoveel kunnen doen behalve de hele app herschrijven.
Dat lijkt me niet de juiste aanpak. Het is technisch gezien een kleine moeite om de encryptie uit te schakelen. Als het een kleine moeite is om de politie te helpen dan hoor je dat te doen.

De betere aanpak lijkt me om uit te leggen dat de negatieve gevolgen voor de rest van de samenleving zwaarder wegen dan het belang om criminelen af te luisteren.
bbob
@CAPSLOCK200018 augustus 2018 15:03
Als het een kleine moeite is om de politie te helpen dan hoor je dat te doen.
Dat klinkt mooi maar wat als de politie in een land kritische gebruikers in de gaten wil houden. Die gebruikers noemt men dan terroristen en volgens de wetten van dat land kan het dan. Als de wet in dat land zegt politie mag afluisteren moet facebook dan meewerken ?

Waar trek je de grens ?
Of wil je encryptie helemaal verbieden ?

Nog een leuke, wikileaks daar zijn ze in de usa ook niet blij mee. Wat als de politie cq. overheid gebruikers, medewerkers van wikileaks wil afluisteren want tja ze publiceren vaak gestolen informatie die meestal misstanden aan de kaak stelt maar toch onder staatsgeheim vallen. Moeten we daar encryptie ook maar uitzetten ?

Wat betreft de negatieve gevolgen voor de samenleving, dat is natuurlijk bedenkelijk als argument. Privacy is wat mij betreft even en misschien wel belangrijker als argument.
Ramoncito
@bbob18 augustus 2018 15:46
Als de wet in dat land zegt politie mag afluisteren moet facebook dan meewerken ?

In de VS bestaat die wet al volgens mij: The Patriot Act (en die gaat héél ver). Zonder tussenkomst van een rechter mag de FBI bedrijven verplichten mee te werken.
MSalters
@Ramoncito19 augustus 2018 00:54
Het gaat hier om telefonie (VOIP); volgens mij valt dat onder CALEA (
Communications Assistance for Law Enforcement Act). En als dat klopt, dan heeft Facebook geen schijn van kans. Het recht van de FBI om telefoons af te tappen is tientallen jaren oud. VOIP valt daar ook onder.

Wat betreft de Patriot Act, dat was een tijdelijke wet. Letterlijk: in de wet zelf stond dat die in 2005 verliep. Er zijn wel vervolg-wetten gemaakt, maar die gaan niet zo ver.
WhatsappHack
@MSalters19 augustus 2018 05:30
VoIP-diensten zoals dit vallen volgens mij nog altijd niet onder CALEA *tenzij* het ook daadwerkelijk een "echt" nummer kan bereiken. (Eg: PSTN) In 2006 zijn providers dat al verplicht. Echter, blijkbaar valt het er niet onder als het een dienst is voor onderlinge communicatie; zoals WhatsApp, Facebook, Skype (behalve als je naar een "real world"-nummer belt denk ik), et cetera.

Citaat vanaf the internets:
The Electronic Frontier Foundation believes that CALEA will be the basis for expanding law enforcement access to all VoIP services, not just those connected to the PSTN. Software-based systems such as Skype and WhatsApp would be required to provide a place for law enforcement agencies to simply “plug in” upon presenting a warrant, with access to voice, instant messaging, and video communication.
Daar spreken ze over "expanding" (uitbreiding van de wet) en "would be" (ALS dat gebeurt *dan* zouden ze ...). Dat klinkt dus alsof het er op dit moment nog niet onder valt voor dit type diensten.
Zie o.a. ook: https://www.eff.org/issues/calea waar meerdere voorstellen voor het uitbreiden van die wet zijn benoemd. (Bleh, kennelijk hebben ze ook geprobeerd om een backdoor verplicht te stellen in encryptie en dat het witte huis in 2014 "dichtbij" was om dat nog te accepteren ook. Dat zou heel eng zijn.)

[Reactie gewijzigd door WhatsappHack op 19 augustus 2018 05:36]

Omega Supreme
@WhatsappHack19 augustus 2018 16:11
En dan nog, je mag end to end encryptie over POTS aanbieden.
MSalters
@WhatsappHack19 augustus 2018 21:41
Er is hier zeker sprake van een voortdurende strijd. Instant Messaging is een duidelijke winst voor de ISP's. Dat is ook wel begrijpelijk, historisch. Je had de evolutie van briefgeheim naar email naar andere soorten elektronische berichten. Het onderscheppen c.q. tappen daarvan kán wel, maar de lat ligt relatief hoog.

Analoge telefonie was een volkomen ander systeem, zonder equivalente bescherming. Telefoontaps waren relatief makkelijk te krijgen. dat bleef ook zo toen dat digitaal ging (SS7), en daarna naar IP (VOIP).

Op een gegeven ogenblik krijg je dus crossover. SMS was de eerste berichtendienst die eenvoudig getapt werd, omdat het meeging met telefoontaps. En dan kom je dus in het soort problemen waar je nu tegenaan loopt. Welke lijn uit de geschiedenis volg je? Je komt inderdaad uit bij theoretische discussies over het "soort VOIP". Skype Out is een duidelijk interconnect, maar voor SIP in het algemeen kan je niet aantonen of en waar de interconnects zijn.
Omega Supreme
@MSalters20 augustus 2018 12:26
https://www.cryptophone.de/en/products/landline/cp-pstn1i/

Deze zijn volkomen legaal te gebruiken op een normale telefoon lijn. Die normale telefoon lijn is wettelij aftapbaar. Maar je hebt niets aan wat je hoort. Ik zie niet waarom het internet anders moet zijn. ISPs maken de verbindingen aftapbaar, maar wat erover heen gaat hoeft niet afluisterbaar te zijn.

Facebook bied geen communicatie verbindingen aan en zou in deze dus met rust moeten worden gelaten, net als de fabrikant van de boven gelinkte telefoon.

Het zou toch zot zijn als je straks encryptie over facebook messenger met third party software moet gaan doen, omdat degene die de verbinding opbouwt gedwongen wordt deze leesbaar te maken. Maar dat is wel wat ik dan zie gebeuren, de encryptie komt in plugins die buiten de core business worden gehouden, waardoor de platform aanbieders naar volle waarheid kunnen zeggen dat ze er niets aan kunnen doen.
SSDtje
@Ramoncito18 augustus 2018 16:25
Als aanvulling op je reactie de complete USA Patriot Act zoals deze in 2001 is opgesteld er nog even bij gepakt: dus voor de liefhebbers: klik = USA Patriot Act.pdf
latka
@SSDtje18 augustus 2018 17:09
De patriot act uit 2001 geld niet meer in die vorm in zijn geheel: delen zijn verlopen en/of vervangen met nieuwe wetgeving. De andere opmerking (de zaak die afgeblazen is) geeft niet aan hoeveer de wet gaat maar wel dat de FBI zijn bevoegheden niet wilde laten toetsen door een rechter (hoefde ook niet meer dankzij, waarschijnlijk, celebrite). Dat laatste is volgens mij ook het belangrijkste: zover ik weet is de patriot act in een van zijn gedaanten nooit aangevochten en er is dus geen jurispredentie. Dat is jammer, want de rechtsspraak in de USA leunt vooral op voorgaande uitspraken (sterker nog dan in NL).
SSDtje
@latka18 augustus 2018 18:00
Klopt, ik kwam er dan ook al meer stukken over tegen. Maar aangezien ik daar nu niet precies uit kon halen welke nu precies waar voor stond, leek mij het wel zo verstandig om het dan maar bij het originele stuk uit 2001 te houden.

Edit: Typo

[Reactie gewijzigd door SSDtje op 18 augustus 2018 18:34]

bbob
@Ramoncito18 augustus 2018 15:51
Schijnbaar ging die toch niet zo ver, in het geval van apple tijdje terug is de zaak afgeblazen. We zullen dus zien hoe ver het hier gaan komen in deze zaak.
Pim0377
@bbob18 augustus 2018 19:25
Die was alleen maar afgeblazen omdat ze mbv een bedrijf de telefoon toch hebben weten te unlocken / kraken.

Als dat niet zo was, denk ik niet dat ze het hadden laten vallen.
JDVB
@Pim037718 augustus 2018 21:37
Want men wil geen precedent hebben dat dergelijke bedrijven mee zullen moeten blijven werken in de toekomst? Nu vast de verplichting regelen voor een volgende zaak die ongetwijfeld zal volgen. Wanneer die niet in de media volgt weet ik dus genoeg. Dan is die backdoor er dus gewoon, marketing technisch niet zo handig om dat zo in de media te krijgen, dus dan maar zo.

De overheid zal ook wel meewerken, want als in de media komt dat die backdoor er gewoon is heb je een vergrote kans dat men overstapt op andere software waar die backdoor niet in zit (met allerlei schadeclaims e.d. tot gevolg). Maar dat zullen we pas te horen krijgen van een volgende Snowden over een X aantal jaar. Dat, of de voorraad 0-days is dusdanig gegroeid dat men de medewerking niet meer nodig heeft.

Maar zelfs met redelijke voorraad 0-days is het voor de overheid fijn om medewerking van het bedrijfsleven te krijgen en deze alvast af te dwingen.

Ik kan me in ieder geval niet voorstellen dat de overheid zomaar stopt met het proberen medewerking van bedrijven af te dwingen. En zolang die opinie als aluhoedje bestempeld wordt vindt diezelfde overheid dat meer dan prima lijkt me.
Iblies
@bbob18 augustus 2018 19:45
Schijnbaar ging die toch niet zo ver, in het geval van apple tijdje terug is de zaak afgeblazen. We zullen dus zien hoe ver het hier gaan komen in deze zaak.
Dit kan vrij snel escaleren.


Mara Salvatrucha is een doorn in het oog van justitie en de lokale regeringen krijgen dat niet onder controle.

Deels omdat die club vanuit met name El Salvador wordt gerund, wat je met recht een failed state kunt noemen en langzaamaan een vluchthaven aan het worden is voor de grotere criminelen vanuit de VS, Mexico, Colombia.

De laatste jaren zijn er steeds soortgelijke groeperingen aan een opmars bezig waar blijkbaar een ijzerensterke kadaverdiscipline heerst en iedereen vervangbaar lijkt te zijn.
De topmensen blijven consequent uit zicht.


Het zou mij helemaal niet verbazen als met deze casus er een omslag plaats zal vinden en industriebreed de encryptie wordt aangepast of zelfs misschien uit wordt uitgeschakeld en dat bedrijven zich niet aan willen branden. Encryptie per default verboden of je moet een vergunning hebben.
Free rider
@Ramoncito18 augustus 2018 19:16
Als de wet in dat land zegt politie mag afluisteren moet facebook dan meewerken ?
Dit is in ieder land het geval, de wet moet worden nageleefd. Mensen en bedrijven die de wet niet naleven noemen we criminelen.
Om Nederland als voorbeeld te nemen, als een rechter-commissaris oordeelt dat een Hell's Angel (en KPN-gebruiker) moet worden afgeluisterd, dan moet KPN meewerken.

De kern van deze zaak in het topic is dat Facebook wordt gedwongen om encryptie uit te schakelen, wat alleen maar kan door de encryptie van alle gebruikers uit te schakelen.
rob12424
@Free rider19 augustus 2018 01:39
Dit is niet waar. Als een bedrijf internationaal opereerd kan het zich beroepen op internationale verdragen. Zo kan de VS eisen hebben die strijdig zijn met Europees recht. In zo'n geval moet de rechter oordelen of meewerken echt noodzakelijk is. (Immers het ondermijnt de positie van zowel het bedrijf als het land)

Dit is nu ook het geval voor zeg maar de knooppunten waar internet van afstamt en waar alles nog langs gaat. Die worden nog steeds beheert door de VS. Zij willen er tegen internationale verdragen in inzage in hebben. Waardoor er nu stemmen op gaan om het ook in andere landen te gaan beheren. (Waardoor de VS uiteindelijk niets meer heeft.
Free rider
@rob1242419 augustus 2018 11:16
Als een land een overeenkomst met een ander land aangaat, dus een internationaal verdrag tekent, dan moet dit verdrag natuurlijk worden nagekomen in de nationale wetgeving. En dan kan een bedrijf zich beroepen die aangepaste wetgeving.

Als je denkt dat bedrijven boven de wet staan - dat is niet het geval. Ze moeten gewoon belastingen betalen, vergunningen aanvragen en ook uitspraken van de rechter naleven.
Littlemarc
@Free rider19 augustus 2018 18:18
Nein ! Internationale verdragen staat boven de Nederlandse wet.

Artikel 94 De Nederlandse Grondwet: Voorrang internationale rechtsorde boven nationale wet

Binnen het Koninkrijk geldende wettelijke voorschriften vinden geen toepassing, indien deze toepassing niet verenigbaar is met een ieder verbindende bepalingen van verdragen en van besluiten van volkenrechtelijke organisaties.

[Reactie gewijzigd door Littlemarc op 19 augustus 2018 18:18]

deadlock2k
@Free rider19 augustus 2018 22:32
Dit is in ieder land het geval, de wet moet worden nageleefd. Mensen en bedrijven die de wet niet naleven noemen we criminelen.
Er zijn ook nog overtreders. Daarnaast zijn er hele wetboeken die (gelukkig) niet of slechts ten dele worden nageleefd. Wetten die in de praktijk anders uitpakken dan ze in theorie bedoeld zijn zijn er ook nog.

Iemand die geen aangifte doet van iets wat in de Verenigde Staten gekocht is van €440,- terwijl de grens bij €435,- ligt bij de Douane, is officieel aan het frauderen. Het lijkt mij niet dat we deze mensen op willen sluiten of zelfs maar willen vervolgen. En daarom doet de Douane dus ook niet moeilijk als je naast een slof sigaretten nog een los pakje in je jas hebt.

Dan is er als laatste nog een berg aan wet- en regelgeving die er is om grenzen aan te geven. Bijvoorbeeld het recht van overpad is ergens in geregeld. Als je je niet houdt aan die wetgeving ben je géén crimineel, er zijn géén strafrechtelijke consequenties. En zo zijn er nog veel meer voorbeelden te bedenken.

Wetten en recht is ontzettend complexe materie voor leken zoals wij. Maar uit het hebben van een wet volgt zeer zeker niet direct dat er gehandhaafd wordt of dat mensen of dingen die zich niet aan de wet houden crimineel zijn.
HWliefhebber
@Free rider18 augustus 2018 23:37
Dus als ik 130kmpu rijd op een weg waar je 120kmpu mag ben ik een crimineel en moet dan afgeluisterd worden?

Er zit nogal een zeer groot gat tussen je niet aan de wet houden en crimineel zijn.
MartijnHavinga
@HWliefhebber19 augustus 2018 00:15
De maximum snelheid op de weg ligt niet vastgelegd in de wet maar in het verkeersregelement. Als je die breekt bega je een overtreding en geen misdaad. Zeer groot verschil m.b.t. wat justitie dan wel en niet doet.
MartijnHavinga
@Wickedmen03019 augustus 2018 15:03
De wet Mulder bepaald dat een groot gedeelte aan verkeersovertredingen volgens het bestuursrecht worden afgehandeld en niet volgens het strafrecht. Dit heeft niets te maken met of het breken van een van de regels een overtreding of een misdaad is.
En dan noem je mij kortzichtig...
Wickedmen030
@MartijnHavinga19 augustus 2018 16:32
Maar het is alsnog een wet of niet?
MartijnHavinga
@Wickedmen03019 augustus 2018 17:38
Wederom: De wet mulder gaat over de afhandeling van de overtreding, niet over de overtreding zelf. De wet mulder bevat zaken als betaal termijnen, waarschuwingen, beroeps procedures, etc.
Ik kan me indenken dat als je deze wet overtreed (het gros van de artikelen gaat trouwens over wat ambtenaren en rechters wel en niet kunnen en mogen) dat je een misdrijf pleegt. Maar dat is al langer zo m.b.t. het niet betalen van boetes. Daarvoor ga je dan ook de bak in.
Dit heeft zoals ik al zij niets te maken met het verschil tussen de wegen en verkeers wet en het wegen en verkeers regelement.
Als je het regelement breekt (b.v. door te hard rijden) ben je een overtreder en krijg je een boete. Naar mijn weten is er geen enkel verkeers regelement waarop bij het breken een gevangenisstraf staat.
Als je echter de verkeers wet breekt (b.v. doorijden na een ongeval) bega je een misdrijf en bestaat er de mogelijkheid dat je een paar nachtjes niet thuis slaapt.
stefan70
@Ramoncito18 augustus 2018 22:20
Patriot act gaat verder: iedereen met Amerikaans paspoort kan verplicht worden. Ongeacht waar hij/zij werk/is.
CAPSLOCK2000
@bbob18 augustus 2018 17:25
Alles wat je noemt is wat ik bedoel met negatieve gevolgen voor de samenleving.
xbeam
@CAPSLOCK200018 augustus 2018 23:26
Dit is natuurlijk wel discutabele situatie en ook voor Nederlandse begrippen.

Iedere telefoon maatschappij is verplicht zijn telefoonnetwerk zo in te richten en mee te werken dat de politie gericht kan tappen. Ook ben je als telefoonprovider verplicht om binnen 24uur gehoor te geven aan de enige fax die er bij providers nog staats en waar alleen het OM het nummer van heeft te gehoorzamen.

Maar als iedereen gaat bellen over Messenger of whatsapp zijn het eigenlijk telefoonproviders en zouden ze dan niet aan de zelfde tap regels moeten voldoen als bijv kpn? Waar ligt de grens tussen wel en geen provider?

Even voor de duidelijkheid ik ben voor encryptie. Maar als er een gerechtelijk bevel is ( en ook alleen maar dan) zou whatsapp of Messenger net zo als het normale telfoon verkeer getapt moeten kunnen worden.

Anders is Facebook net je zo fout als die man die bewust encryptie telefoons verkocht aan criminelen en daardoor bewust mee werkt aan het mogelijk maken criminelen activteiten.
nieuws: Nederlandse politie doet doorzoekingen bij leverancier versleutelde B...
De levering van geprepareerde BlackBerry- of Android-smartphones waarmee alleen versleuteld kan worden gecommuniceerd is niet verboden, maar het faciliteren of ondersteunen van criminelen en criminele organisaties is dat wel. PGP Safe wordt ervan verdacht te leveren aan criminelen.

[Reactie gewijzigd door xbeam op 18 augustus 2018 23:32]

MSalters
@xbeam19 augustus 2018 01:01
Ook ben je als telefoonprovider verplicht om binnen 24uur gehoor te geven aan de enige fax die er bij providers nog staat
Kul.

Ik weet vrij goed hoe de desbetreffende architectuur werkt - in 1999/2000 werkte ik voor de groep Call Intercept Services van Lucent Telefonie, destijds één van de twee grootste leveranciers van KPN. Ik heb de specs gezien van de KLPD, en die betroffen een directe permanente digitale koppeling. Geen fax, geen handwerk, activatie in seconden.
xbeam
@MSalters19 augustus 2018 10:39
Jammer Je mist totaal mijn punt. Of Facebook nu even strafbaar is als de bb verkoper om dat hij doelbewust encryptie telefoons verkoop aan criminelen om criminaliteit mogelijk te maken.

[Reactie gewijzigd door xbeam op 20 augustus 2018 02:37]

MSalters
@xbeam19 augustus 2018 21:24
Oh, grappig, call records aanleveren. Dat was precies het eerste klusje dat ik oppikte bij Lucent. Sommige klanten wilden de ovolledige call records bij het begin van het gesprek, anderen aan het einde, en dat varieerde dan ook weer tussen meta-data taps en complete taps. Ik heb het toen mogelijk gemaakt om alle combinaties te ondersteunen,

En inderdaad: ook die call records gingen dus automatisch, zonder handwerk. Eis van justitie.

Ik geloof ook om een andere reden niet dat Justitie verzoekn faxte, danwel emailde. Het "need to know" principe verbiedt het. Er is geen reden voor telecom-personeel om te weten wie er getapt wordt, dús mogen die daar niet over geïnformeerd worden. Ook niet een "selectief groepje". Telecom personeel is simpelweg niet belast met opsporing.
xbeam
@MSalters19 augustus 2018 22:41
.

[Reactie gewijzigd door xbeam op 20 augustus 2018 02:35]

Omega Supreme
@CAPSLOCK200018 augustus 2018 15:02
Een kleine moeite om encryptie uit te schakelen? Je beseft dat dan voor iedereen de encryptie uit moet en iedereen dus een update moet krijgen van de messenger app op ieder platform waarop dit beschikbaar is?

Dat is geen kleine moeite, maar een grote inspanning, met gigantische gevolgen voor iedereen.
wica
@Omega Supreme18 augustus 2018 16:13
Technisch gezien, als de politie weet om welke verdachten het zou gaan. Zou de betreffende app store, ook alleen een update kunnen sturen naar die personen, om de encryptie uit te zetten.

Niet dat ik hier voor stander van ben, maar het kan wel.
ItsNotRudy
@wica18 augustus 2018 18:17
Aan het Facebook-account kun je volgens mij niet afleiden met welk account ik de App/Play Store gebruik... Maar dan heb je dus dat buiten Facebook, Google en Apple ook hun hele infra moeten gaan lopen aanpassen.
wica
@ItsNotRudy18 augustus 2018 18:25
Nee, maar facebook weet echt wel de device serial code en anders het telefoon nummer.
De zelfde gegevens die Apple of Google weet.

En hoezo moeten ze hun infra aanpassen?
Ze hebben al device, regio, land, taal filters. Daar past dit heel goed in.
ItsNotRudy
@wica18 augustus 2018 18:35
Waarom zou Facebook het telefoonnummer weten? Daar wordt om gevraagd wanneer je de app opstart, en is optioneel. En ik vraag me sterk af of Apple mijn interne hardwaregegevens doorgeeft. Wat is daar het praktisch nut van? En heb je daar enig bewijs voor? Op hetzelfde device krijg ik namelijk van FB een prompt over dat het een nieuw apparaat is (als ik mijn history/cookies leeggooi), dus lijkt me onwaarschijnlijk.

Je kunt iemand toch niet tracken/bannen op die metric, want dan is het toestel waardeloos bij doorverkoop/uitlenen/zakelijk gebruik (waar een telefoon vaak van handen wisselt)

En alternatieve versies van apps (feitelijk met malware) apart naar enkele gebruikers sturen, vraag me af of ze daar iets voor hebben. Dan wil niemand er namelijk meer iets downloaden, wanneer dat uitlekt.

[Reactie gewijzigd door ItsNotRudy op 18 augustus 2018 19:11]

wica
@ItsNotRudy18 augustus 2018 19:34
Tot ergens in 2017, deed Facebook dat.
nieuws: Facebook hield jarenlang bel- en sms-geschiedenis bij op Android-tele...

En als je het advies van alle experts volgt, heb je MFA aan staan.
Waardoor FB, ook je telefoon nummer weet.
nieuws: Facebook misbruikt telefoonnummer van tweetrapsauthenticatie voor sms...

Waar FB geld aan verdient, is profilen maken van mensen. `en zoals we ondertussen weten, doet FB daar echt alles voor. `en als het ontdekt wordt is het een bug.

Maar er zijn meer manieren om gebruikers te identificeren, waar o.a. een FB heel goed in is.
Je kunt iemand toch niet tracken/bannen op die metric, want dan is het toestel waardeloos bij doorverkoop/uitlenen/zakelijk gebruik (waar een telefoon vaak van handen wisselt)
Is dit van belang voor de rechtelijke macht?
En alternatieve versies van apps (feitelijk met malware) apart naar enkele gebruikers sturen, vraag me af of ze daar iets voor hebben. Dan wil niemand er namelijk meer iets downloaden, wanneer dat uitlekt.
Juist pas wanneer het uitlekt. En dan kunnen de tech bedrijven wijzen naar de wetgever, die hun daar toe verplichten.
ItsNotRudy
@wica19 augustus 2018 00:09
Geen idee waarom je een +2 krijgt, je weerlegt namelijk niets. Ik noemde namelijk expres geen Android, om dat die pas vrij recent uberhaupt niet alle applicaties de vrije loop geeft op het OS. Tot versie 5-6 konden apps gewoon vrolijk overal mapjes aanmaken/lezen, dus dan is het ook niet zo gek nee.

En ik heb MFA aanstaan ja, op een aantal zaken zoals email/werk/bepaalde games, en ook op Facebook, maar dat is allemaal met TOTP (Authy of Google Authenticar app), daar komt geen telefoonnummer aan te pas, en is nog eens veiliger ook!

Overigens zie ik hier nog steeds geen bewijs dat ze je hardware kunnen inzien (en daarmee bedoel ik zaken zoals IMEI, zoals je eerder claimde dat ze hebben)

[Reactie gewijzigd door ItsNotRudy op 19 augustus 2018 00:09]

Zenomyscus
@wica18 augustus 2018 16:44
Technisch gezien mogelijk, maar is het ook haalbaar? Google die in het geval van de Playstore moet zorgen dat ze losse gebruikers kunnen voorzien van updates.. En Facebook die allerlei losse app updates heeft rondslingeren bij personen die gevolgd worden door de politie. Dan moet je per casus actief gaan kijken of je de originele versie weer terug kan zetten (immers kan iemand onschuldig zijn) en zul je iedere feature update ook moeten uitbrengen voor alle persoonlijke versies. Hier gaat zoveel tijd in zitten en het gaat zoveel problemen opleveren dat ik me afvraag of het echt haalbaar is.

Sinds ik werk aan meerdere producten waarbij iedere klant dezelfde beheeromgeving heeft, merk ik hoe vaak klanten denken 'dan kun je dat in dit ene geval toch wel wijzigen?' Vaak zonder besef van hoeveel werk en management dat gaat opleveren om uitzonderingen toe te voegen in softwarepakketten. Ik snap het wel, maar zoiets gaat niet zomaar werken.
Somoghi
@Zenomyscus18 augustus 2018 16:59
Je zegt hier dat het wel kan, maar het kost tijd en geld. Als een rechter je die opdracht geeft wordt het een ander verhaal. In het geval van Facebook kost het niet alleen tijd en geld maar ook schendt het de rechten van de massa. Vermoedelijk zal de rechter zich hier even over moeten beraden.

In jouw geval zal je "eenvoudig" kunnen voldoen aan de vraag.
Die 2 dingen zijn maar ten dele met elkaar te vergelijken.
Miglow
@Somoghi19 augustus 2018 12:40
Ik denk dat het het uitschakelen van de encryptie met als doel afluisteren mogelijk te maken een nagel aan de doodskist is na alle schandalen rond Facebook het afgelopen jaar. En terecht in mijn ogen.
wica
@Zenomyscus18 augustus 2018 17:26
Google kan al apps filteren op basis van device, regio, land, taal en nog een paar parameters.
Dus het is niet dat een Google hier iets geheel nieuws voor moet ontwikkelen.
Omega Supreme
@wica18 augustus 2018 16:22
Dan krijgt de gesprekspartner te zien dat encryptie uit staat en dat willen ze ook niet...
Xatom
@Omega Supreme18 augustus 2018 17:20
Nu ga ik wel heel ver, maar dit hoeft natuurlijk niet zo te zijn. Dat een browser of app toont dat een pagina of gesprek 'veilig' is is natuurlijk ook een stukje vertrouwn in de software. Het is een kleine moeite om een slotje te tonen terwijl er helemaal geen gebruik gemaakt wordt van encryptie.

Theoretisch gezien zouden ze een update uit kunnen rollen die encryptie uitschakelt tussen bepaalde personen, maar het slotje wel blijft tonen.

Dit is natuurlijk ook een gevaar voor Facebook, want als dat uit zou lekken is het vertrouwen in hun software weg.
Omega Supreme
@Xatom18 augustus 2018 17:55
Dan moeten ze dus wereldwijd een update uitrollen en dat valt bij mij echt niet meer onder kleine moeite zoals @CAPSLOCK2000 het noemde...

Ze weten namelijk niet wie de verdachte allemaal contact me zal opnemen.

Het enige wat justitie hiermee bereikt als ze hun zin krijgen is dat makers van encrypted communicatie apps zich net als de makers van DVD en bluray rippers gaan vestigen in landen waar ze niet geraakt kunnen worden. Jammer voor reuzen als facebook, maar een mooie kans voor een nieuwe partij met een p2p encrypted communicatie app.
Wim-Bart
@Omega Supreme18 augustus 2018 22:50
Nu is het messenger, morgen Signal, overmorgen....

De enige juiste methode is end-device-interception. Waarbij dus het device wordt afgeluisterd. Net zoals vroeger er gewoon een microfoontje in een hoorn werd geplaatst.

Ik weet dat er in NL partijen zijn die tegen het zelfde dilemma aan lopen en daar is geadviseerd in overleg met aivd en om om voor deze strategie te gaan.

Het voordeel is dat alleen het object wat aan onderzoek onderhevig is actief wordt afgeluisterd en alleen de gesprekken van die persoon binnen het onderzoek vallen. En je vollediger kan zijn.

Het nadeel is wel, maar dat is bij alle technieken, dat je altijd menselijk handelen nodig hebt, bijvoorbeeld dat gesprekken, voordat deze aan een onderzoek worden toegevoegd, gecontroleerd moeten worden zodat bijvoorbeeld communicatie tussen object en advocaten gewist moet worden.
Jester-NL
@Xatom19 augustus 2018 09:34
(...)
Dit is natuurlijk ook een gevaar voor Facebook, want als dat uit zou lekken is het vertrouwen in hun software weg.
Tja... het vertrouwen in de software van Facebook.
Na Cambridge Analytics, na tig keer commotie het afgelopen jaar, een 'verwijder Facebook'-event van een influencer en de diverse keren dat Zuck bleek een betere androide te zijn dan Data in Star Trek verwacht ik niet (echt) dat het verwijderen van end-to-end encryptie heel veel mensen er toe zal zetten om Facebook de rug toe te keren.
beantherio
@wica18 augustus 2018 17:45
De Facebook Messenger is geen systeemapp dus je hebt natuurlijk niet de zekerheid dat de gebruiker die update uitvoert. En als ze dit soort nieuwsartikelen lezen dan kun je dat sowieso wel vergeten.
wica
@beantherio18 augustus 2018 18:28
Maar iedereen weet toch dat die zijn systeem moet updaten :)
Maar als de betreffende personen dit artikel lezen of soort gelijke, dan zullen ze idd wel 2 keer na denken om bepaalde apps te updaten. Als ze al niet over gaan op 1 van de 1001 andere apps.

Maar daarom wordt het ook, in een geheime rechtbank gedaan. Alleen "jammer" dat bepaalde mensen het nodig vonden om dit naar buiten te brengen.
ajolla
@wica18 augustus 2018 20:03
Het lijkt me geheel mogelijk dat dit al gebeurt.
AT&T had ook allemaal kamertjes vanwaar ze al 't internetverkeer naar de NSA doorsluisden.
CAPSLOCK2000
@Omega Supreme18 augustus 2018 17:26
Ik zeg niet dat het snel kan :)
Als ze willen kunnen ze encryptie in alle volgende versies uitschakelen en vroeg of laat is het grootste deel van de gebruikers wel om. Niet iedereen hoeft tegelijk om.
asing
@Omega Supreme18 augustus 2018 21:48
En de crimineel die je wilt vangen gaat direct naar de volgende versleutelde dienst. Facebook moet encryptie vervolgens niet meer aanzetten want ze hebben nog meer criminelen.

Dus encryptie moet gewoon aan blijven staan.
BarôZZa
@CAPSLOCK200018 augustus 2018 18:40
Dat lijkt me niet de juiste aanpak. Het is technisch gezien een kleine moeite om de encryptie uit te schakelen. Als het een kleine moeite is om de politie te helpen dan hoor je dat te doen.
Facebook zou verplicht moeten zijn om veilige communicatie tussen gebruikers te garanderen. Niet om een verlengstuk van politie/justitie te zijn. Je hoort helemaal de politie niet te helpen, je hoort je gebruikers/klanten te bedienen.
MSalters
@BarôZZa19 augustus 2018 00:56
Hoe zie je dat precies voor je, een wettelijke verplichting om politie en justitie tegen te werken? 8)7

Omdat dit een communicatie-dienst is, is Facebook wettelijk verplicht om mee te werken.
WhatsappHack
@MSalters19 augustus 2018 05:43
-edit- deze post was te lang. :P
Kortere variant:

Ik denk niet dat het algemeen beschikbaar stellen van sterke encryptie een vorm van tegenwerken van de politie is. Immers maak je het voor iedereen, dat er rotte appels zijn die er misbruik van maken: soit, moet daarom iedereen maar risico lopen door backdoors? (En het specifiek uitschakelen van encryptie voor één gebruiker, zeker zonder melding, kan je wel als backdoor beschouwen.)

Als je de inhoud van de berichten hebt moet je die absoluut op gegrond verzoek delen met de autoriteiten. Heb je het niet omdat de encryptie z’n werk doet; too bad, maar dan moet er een andere manier gevonden worden - zonder het bedrijf te verplichten backdoors in te bouwen, dat is nogal gevaarlijk en vermindert de betrouwbaarheid van de versleuteling enorm.

Een verplichting dat encryptie werkt zoals beloofd zou ik niet zo gek vinden, maar ik leef niet in de illusie dat dat er gaat komen; ongeacht wat onhaalbare voorstellen om te scoren onder de burgers, die over de jaren heen wel eens zijn ingediend. ;)

[Reactie gewijzigd door WhatsappHack op 19 augustus 2018 06:09]

MSalters
@WhatsappHack19 augustus 2018 21:28
Oh, 3/4G mag gewoon encrypted de lucht in. Daar protesteert niemand tegen. Het punt is dat end-to-end encryptie niet door gereguleerde telecom providers ondersteund mag worden.

Heb je daarmee een backdoor? Ja. Is dat een risico? De backdoor bevind zich in het midden van de keten, in de kern avn het nwetwerk van de telecom provider. Dat is tcoh al maximaal beschermd gebied. Ik wil niet uitsluiten dat er daar hacks plaatsvinden, maar dat is dan wel op het nivo van de grote geheime diensten.
mbbs1024
@MSalters20 augustus 2018 12:48
Klopt, GCHQ en NSA hebben een paar jaar geleden de Belgische operator Belgacom gehackt, om gesprekken te kunnen afluisteren.
Bevriende naties noemen ze zich dan ????
Cebby
@CAPSLOCK200018 augustus 2018 15:50
Mijn initiële reactie ging volledig over het bronartikel, dus ik heb dit niet zelf bedacht. Het volgende staat daar namelijk aangegeven:
Facebook says it can only comply with the government’s request if it rewrites the code relied upon by all its users to remove encryption or else hacks the government’s current target, according to the sources.
theduke1989
@CAPSLOCK200018 augustus 2018 18:39
Dat is niet de betere aanpak. Dat is misschien de betere aanpak voor de politie.

Maar anders kan je net zo goed heel het end-to-end 2fa verhaal en alles beter nooit meer invoeren op apps 8)7 nu houden ze tenminste nog stand tegen dit soort overheids bla bla.
jerkitout
@Cebby18 augustus 2018 15:03
Volgens mij hoeft het niet zo veel werk te zijn

var targets = getFBIList()

if (targets.contains(user.email))
telemetry.uploadPrivateKey()
}

Mss ook lekker geheim court case om specifiek apps in de google/apple app store te veranderen voor mensen die de NSA wil volgen.

[Reactie gewijzigd door jerkitout op 18 augustus 2018 15:05]

ATS
@jerkitout18 augustus 2018 15:32
Totdat iemand die API voor de toegang tot die lijst hackt.
rboerdijk
@jerkitout18 augustus 2018 16:33
post dan ook meteen even de de 'verbeterde' versie:

var targets = getFBIList (bool everyone = true)

if (targets.contains(user.email))
telemetry.uploadPrivateKey()
}
burne
@Cebby18 augustus 2018 15:41
Zelfs dat gaat niet helpen. Facebook gebruikt sinds 2013 niet alleen end to end encryption maar ook PFS, perfect forward secrecy. De key die gebruikt is voor dat gesprek is dus uniek, ter plekke gegenereerd en na het gesprek weggegooid. Je zult nooit meer dezelfde key kunnen creëren.

Met het herschrijven van de app zouden ze toekomstige keys kunnen bewaren en toekomstige gesprekken kunnen ontsleutelen, maar zonder tijdmachine gaan ze een gesprek uit het verleden niet kunnen decoderen.
Cebby
@burne18 augustus 2018 15:52
In het bronartikel staat het volgende:
The U.S. government is trying to force Facebook Inc (FB.O) to break the encryption in its popular Messenger app so law enforcement may listen to a suspect’s voice conversations in a criminal probe[...]
Dus hoewel je natuurlijk gelijk hebt en het inderdaad onmogelijk is om oude gesprekken te ontsleutelen gaat het volgens mij enkel om toekomstige gesprekken en het mogelijk maken van afluisteren.
Sfynx
@Cebby19 augustus 2018 12:34
In het bronartikel staat het volgende:

[...]


Dus hoewel je natuurlijk gelijk hebt en het inderdaad onmogelijk is om oude gesprekken te ontsleutelen gaat het volgens mij enkel om toekomstige gesprekken en het mogelijk maken van afluisteren.
Dus niet effectief, want die crimineel leest het nieuws ook en zit nu waarschijnlijk al op Signal o.i.d.

[Reactie gewijzigd door Sfynx op 19 augustus 2018 12:35]

memphis
@Cebby18 augustus 2018 16:34
Is het echt end-to-end?
Hoe kan het dat bepaalde woorden en sitelinks toch gesensureerd worden?
PPie
@memphis18 augustus 2018 21:54
Je kan al censureren voordat je verzend, ofwel na ontvangst.
Dit kan beide in de Messenger app.
De verbinding zelf kan dan nog steeds een transparante, end-to-end encrypted verbinding zijn.
HollowGamer
18 augustus 2018 14:58
Alsof die decryptie nodig is om de zaken allemaal opgelost te krijgen. Doorgaans zijn ze allang bekend bij de politie en op zo'n telefoon zullen ze ook wel 'code taal' onderling gebruiken.

De USA zou zich beter kunnen richten om mensen uit deze groepen te krijgen (met fatsoenlijke opleiding/begeleiding) i.p.v. dit soort 'oplossingen'.
DigitalExorcist
@HollowGamer18 augustus 2018 17:39
Precies die codetaal.

“Ik zag vandaag 2 honden door het park lopen. Bah. Ik hou niet van honden, zeker niet als het de enige weg naar huis is waar ik langs moet”.

=

“Let op, er zijn 2 agenten in burger die je in de smiezen houden. Zorg dat je vluchtweg voorbereid is en hou je ogen open. Actie misschien even uitstellen”.

(Overigens verzin ik dit ter plekke... mocht iemand het idee hebben dat ik ‘die taal’ spreek....)

[Reactie gewijzigd door DigitalExorcist op 18 augustus 2018 17:40]

GekkePrutser
@DigitalExorcist18 augustus 2018 18:26
Dat soort codetaal is een van de makkelijkste encryptiemethoden om te breken. Gewoon correleren.

Dat weten de criminelen ook wel maar ze doen het omdat het bij een rechtszaak dan minder gesneden koek is, er is dan veel meer discussie mogelijk over wat er bedoeld werd.

Zie die rechtszaak van Holleeder en zijn zus waar ze telefoongesprekken in codetaal behandelen. De ene zegt "ik bedoelde dat" en de ander spreekt het tegen. Veel minder hard bewijs maar de recherche wist ongetwijfeld waar het over ging.
DigitalExorcist
@GekkePrutser18 augustus 2018 20:06
Precies. In real life zeg ik wel vaak “de adelaar zit op het nest, ik herhaal: de kat ligt in de mand” aan de telefoon, meestal richting collega’s... als iemand meeluistert zal die ook wel afvragen waar t over gaat...
Wim-Bart
@DigitalExorcist18 augustus 2018 23:02
Spreek dan meestal in C&C Generals taal die alleen bepaalde mensen snappen :)
DigitalExorcist
@Wim-Bart19 augustus 2018 09:49
Extrrrrrra crrrrispy!

(Ok dat was Red Alert)
grasnek
@HollowGamer18 augustus 2018 17:18
Ik vraag me ook wel af hoe die aanklager erbij komt dat deze meneer FB messenger gebruikt.
Misschien gebruikt ie het alleen om zijn moeder te bellen en heeft ie een hele andere app voor zijn zakelijke contacten?
Als die aanklager zo zeker weet dat het écht FB is wat ie voor dergelijke gesprekken gebruikt, dan zitten ze ook al dicht genoeg bij zijn telefoon om hem op andere manieren af te luisteren wellicht.
715289
@HollowGamer18 augustus 2018 23:16
De USA zou zich beter kunnen richten om mensen uit deze groepen te krijgen (met fatsoenlijke opleiding/begeleiding) i.p.v. dit soort 'oplossingen'.
Precies dat! Er gaat meer geld naar het vullen van gevangenissen, dan het voorkomen van criminaliteit. Een maatschappij zou moeten zorgen voor eerlijke kansen voor iedereen.

In Nederland hebben we het nog redelijk voor elkaar al heb ik de indruk dat dat ook steeds breekbaarder word.

In de VS is 'the American dream's beslist niet voor iedereen bereikbaar.
Qlusivenl
18 augustus 2018 14:33
Ik hoop dat FB hierbij voet bij stuk houdt en de encryptie in stand laat. Die overheden zijn helemaal panisch nu ze niemand meer kunnen controleren. Leuk dat het om een "verdachte" gaat. Maar ze gaan dit soort dingen steeds meer (mis)bruiken.
bilbob
@Qlusivenl18 augustus 2018 14:36
en als facebook zou stoppen zijn er nog 200+ andere apps die dit gewoon wel doen..
Qlusivenl
@bilbob18 augustus 2018 14:38
Facebook Messenger is gigantisch groot in Amerika. Je kan je het misschien niet voorstellen, maar in America wordt Messenger als de standaard berichten app gebruikt. Whatsapp veel minder.
ajolla
@Qlusivenl18 augustus 2018 15:06
Niet lang meer, als 't niet meer encrypt.
lighting_
@ajolla18 augustus 2018 15:11
99,99% van de gebruikers maalt werkelijk nergens om hun privacy.
Mensen vergeten ook snel.
reneflo
@lighting_18 augustus 2018 15:21
Precies, maar het de mensen die je dus zou willen afluisteren gaan wel andere apps gebruiken. Je hebt er dus alleen de brave burgers mee.
Daffie
@reneflo18 augustus 2018 15:50
Precies dit. De 'normale' (naive) burger die zogenaamd niks te verbergen heeft zal lekker bij Messenger blijven, ook als de encryptie hiervan verdwijnt. Maar de mensen die wel degelijk belang hebben bij encryptie (of dat nou voor illegale doeleinden is of niet) zal overstappen naar een van de tig alternatieven die wél end to end encryptie heeft.

Je eindigt dan al snel in een situatie waarbij de personen/doelgroep waarvoor je (als overheid) in eerste instantie van encryptie af wilde, nog steeds niet kan pakken, maar 'de gewone burger die niks te verbergen had' kan wel weer doei zeggen tegen een stukje privacy. En helaas zie je dat overheden vaak op termijn toch wel winst kunnen behalen uit het feit dat ze en masse gesprekken kunnen tappen; ze waren eigenlijk op zoek naar die ene crimineel die voor miljoenen aan illegale goederen handelt maar die kunnen ze niet te pakken krijgen, maar... Als alle gesprekken dan tóch af te tappen zijn kunnen ze net zo goed Pietje die $10 te weinig belasting heeft betaald en daarover opschept bij zijn vrienden, oppakken!
ajolla
@Daffie18 augustus 2018 19:46
Als we er even vanuit gaan dat die 'overheden' dit zelf allemaal óók weten gebiedt de logica dat het hen dus niet om de 'misdadigers' te doen is, maar om de burgers.
Qlusivenl
@ajolla18 augustus 2018 16:43
Alsof de gemiddelde Amerikaan uberhaubt weten wat Encryptie is, laat staan kunnen uitspreken.
Maar zonder gekkigheid, de gemiddelde gebruiker snapt daar geen kut van en zal hier ook niet hun keuzes om bepalen.
totaalgeenhard
@Qlusivenl18 augustus 2018 15:06
SMS is nog steeds nummer 1 in Amerika.
715289
@totaalgeenhard18 augustus 2018 23:22
Ik werk voor een Amerikaans bedrijf en Facebook en Messenger zijn de tools daar. Sms is net zo ongebruikelijk als bij ons.
totaalgeenhard
@71528918 augustus 2018 23:40
Ken je ook Amerikanen?

Meeste Amerikanen gebruiken geen Messenger, maar vrijwel alle Amerikanen gebruiken wel sms (texting).

FB heeft zelfs geprobeerd dat te vervangen met haar Messenger.

https://www.pcmag.com/new...book-messenger-on-android

Bovendien is FB voor oude mensen.
715289
@totaalgeenhard18 augustus 2018 23:45
Ik werk voor een Amerikaans bedrijf en heb dus dagelijks contact met vele Amerikanen.

Misschien dat de regio (tech regio) hier invloed op heeft en is het niet representatief voor de VS in het geheel.

In NL lijkt FB meer voor oude mensen te zijn, maar in mijn contact met de VS lijkt FB / Messenger de status te hebben van WeChat in China.
totaalgeenhard
@71528919 augustus 2018 00:00
SMS (texting) was al een gewoonte voordat mobiele apps in dat gat doken.

https://blog.impower.solutions/2017/06/smsvsmessenger.html
https://www.openmarket.co...-sense-for-your-business/

Overigens hoogopgeleiden mensen en jongeren in de VS hebben geen facebook.

Het is iets voor eenzame mensen.
alt-92
@totaalgeenhard19 augustus 2018 09:42
Op mijn beste Duits: Du spinsst.
Finraziel
@burne18 augustus 2018 18:16
Behalve dan dat hierboven gesteld werd dat Facebook Messenger als standaard berichten app gebruikt zou worden. Oh, je had de thread waar je op reageerde niet gelezen? :+
jqv
@bilbob18 augustus 2018 15:31
Die anderen doen er niet toe.
Deze verdachte maakt mogelijk gebruik van Facebook Messenger dus daar zijn hun pijlen op gericht.
En ja er zijn vele anderen.
bbob
@Qlusivenl18 augustus 2018 14:58
Facebook zal voet bij stuk houden. Doen ze dat niet, grote kans dat ze veel gebruikers zullen verliezen.
aadje93
@bbob18 augustus 2018 15:06
tja, alternatief is dan gewoon heel FB verbieden ;), je wilt niet meewerken, prima dan ben je niet welkom

Zie ook een bekend groot oosters land waar dit het geval is :+
jabwd
@aadje9318 augustus 2018 15:13
Dat bekend groot oosters land is echter niet een democratie. Ookal zal ik trump niet heel anders zien als winnie the pooh, een politie agentje gaat niet zomaar een ban van een website veroorzaken.
mbbs1024
@jabwd20 augustus 2018 12:57
Is de VS dan een democratie ?
Politicy worden met miljoenen gesponsord door bedrijven (hier zou men dat omkoping noemen) en lobby groepen, geheime rechtbanken, foltergevangenissen buiten het land
Swedgin
18 augustus 2018 16:25
Had Messenger dan end-to-end encryptie? Bij mij werd al jaren bepaalde woorden onderstreept om evenementen aan te maken als hij dacht dat het om een tijdstip ging.

Ikzelf heb vorige week nu mijn facebook verwijderd nadat messenger een link niet meer wou doorsturen vanwege 'kwalijke' inhoud. Weet het preciese woord nu niet meer dat ze eraan gaven, maar het was een meme van een rechts geklasseerde website. Censuur was de druppel om vaarwel tegen facebook te zeggen.

[Reactie gewijzigd door Swedgin op 18 augustus 2018 16:26]

Ninja1
@Swedgin18 augustus 2018 16:56
De Amerikaanse openbaar aanklager probeert Facebook zover te krijgen dat het de versleuteling op zijn Messenger-app af te breken zodat autoriteiten de VOIP-gesprekken van een verdachte kunnen afluisteren.

VOIP, niet je tekstberichten, je stem over internet protocol als in gesproken gesprekken.
Swedgin
@Ninja118 augustus 2018 17:26
Een van de leden zou de voice-functie van Facebook Messenger gebruiken, die net als de rest van de app gebruik maakt van end-to-end-versleuteling.
Dit insueert toch dat Messenger end-to-end encryptie gebruikt ook op de tekstberichten?
WhatsappHack
@Swedgin18 augustus 2018 17:48
Ja er is sinds 2016 een modus die je kan activeren op Android en iOS waarbij het end-to-end encrypted wordt. Daar gebruiken ze Signal Protocol voor.

https://facebook.com/help...46901?helpref=faq_content

Het werkt niet op de desktop, de tegenpartij moet ook de app gebruiken en uiteraard kan je die gesprekken enkel zien op je mobiel omdat die de sleutels bewaard.

Het is een speciale modus overigens, standaard staat de encryptie niet ingeschakeld. Dat is misschien wat ongelukkig verwoord in het artikel door dat “net als de rest van de app”.

[Reactie gewijzigd door WhatsappHack op 18 augustus 2018 17:52]

Swedgin
@WhatsappHack18 augustus 2018 19:15
Achzo, dat verklaart veel. Bedankt. Ik wist niet dat de messenger app en de messenger in de browser verschillend waren. Zie maar hoe weinig ze daar naar buiten toe brengen zodat minder mensen ze zouden inschakelen.

Ik ben blij dat ik uiteindelijk de stap gezet heb om fb te verwijderen, al moet ik wel nog toegeven dat ik soms nog spontaan naar fb wil gaan als ik mijn browser open.

[Reactie gewijzigd door Swedgin op 18 augustus 2018 19:17]

HoppyF
18 augustus 2018 16:30
Het zou andersom moeten zijn.
Op iedere app of ander soort programma verplicht encryptie gebruiken voor iedereen.
Vooral email zou veel beter beveiligd moeten worden want een email is nog steeds simpel te lezen.
Onbegrijpelijk dat dit in 2018 nog kan.
Ok, er zijn wel add on's maar aan halfbakken oplossingen hebben we niets.
Criminelen zullen altijd wel een truukje vinden om onderling te communiceren geen reden om de grootste meerderheid van de bevolking hiermee lastig te vallen.
DigitalExorcist
@HoppyF18 augustus 2018 20:03
Daarom waarschuwt Chrome ook bij alle sites die standaard géén https-connectie bieden..
Baz88
@DigitalExorcist19 augustus 2018 19:50
https is ook zo veilig niet als mensen denken. Is eenvoudig te kraken
DigitalExorcist
@Baz8819 augustus 2018 20:25
Het is een schijnveiligheid. Het protocol is prima op zich. Maar het garandeert alleen dat je praat met wie je denkt te praten. Dat die partij je gegevens niet bewaakt of te koop zet voor iedereen dek je er niet mee af.
ajolla
18 augustus 2018 14:32
'contempt of court'?
Heeft het court facebook dit dan óók gevraagd?
Finraziel
@ajolla18 augustus 2018 18:29
Ja die vond ik ook apart... maar wellicht dat het zetten van taps gezien wordt als een middel dat nodig is om de juiste informatie aan het gerechtshof aan te kunnen bieden en is het op die manier een belemmering van de rechtsgang of zo. Maar het klinkt raar ja, ik zou ook denken dat ze de rechter zouden vragen om Facebook opdracht te geven om de boel te ontsleutelen en dán als Facebook daar geen gehoor aan geeft zou het naar mijn idee 'contempt of court' zijn. Maar ik ben geen advocaat, laat staan een Amerikaanse :+
Robbierut4
18 augustus 2018 14:43
Ik moest lachen toen ik de titel las op de homepage omdat dit toch lachwekkend is. Helaas was het nieuwsbericht serieus.
Ik hoop dat deze rechtszaak een precedent schept waarbij app makers niet gedwongen kunnen worden om encryptie te kunnen verwijderen uit hun apps.
Finger
18 augustus 2018 15:09
Ik denk eerder dat ze dit al lang kunnen maar de indruk willen wekken dat criminelen dit veilig kunnen gebruiken.
Piet_Paulusma
18 augustus 2018 15:11
Mensen met een beetje verstand die niet willen dat hun gegevens op straat liggen, gebruiken de messenger van en Facebook zelf allang niet meer. De rest wordt ook nog wel wakker als ze niet worden aangenomen, zorgverzekering wordt geweigerd, geen hypotheek wordt verstrekt etc etc maar gaat nog tijdje duren, als het al gebeurd, dat wakker worden van de massa. Deze actie schrikt alleen maar wat meer mensen, al dan niet te goeder trouw, af van het gebruik van FB en soortgelijke grote diensten. Het is makkelijk om met een klein clubje vrienden één van de talloze bij voorkeur kleine andere IM's te gebruiken die wel ETE-encryptie hebben. FB nog erbij voor de contacten wat meer in de periferie met hun foto's van feestjes en grappige dieren. Zelf niets meer posten op FB e.d.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee