Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politie keek mee met chatberichten van criminelen door toegang tot server

De Nederlandse politie heeft de encryptiesleutels van Iron Chat in handen gekregen, een chatprogramma dat gebruikt werd door criminelen. De politie kon live meekijken met gesprekken en kreeg inzage in 258.000 berichten van meer dan honderd mensen.

De Politie Oost-Nederland heeft dat bekendgemaakt. Inhoudelijke technische details geeft de politie nog niet. Volgens de politie ging het om een systeem dat gebruikmaakte van geprepareerde smartphones, waar alleen berichten mee konden worden verstuurd. De communicatie verliep via een eigen server en het Nederlandse bedrijf adverteerde met het feit dat berichten niet door autoriteiten zijn af te luisteren.

Omdat de politie toegang tot de server had waar de encryptiesleutels op stonden, kon er live meegekeken worden met de berichten die werden verstuurd vanaf de zogenaamde cryptofoons. Volgens de politie ging het om 258.000 berichten van meer dan honderd mensen en ging de communicatie vrijwel uitsluitend over criminele zaken, waaronder handel in wapens, drugs, geld en bitcoin. De telefoons werden verkocht voor 1500 euro per stuk met een abonnement voor een half jaar. Een verlenging kostte 750 euro.

De politie heeft twee eigenaren van het bedrijf uit Elst dat de telefoons verkocht aangehouden op verdenking van witwassen en deelname aan een criminele organisatie. Naar aanleiding van de afgeluisterde berichten zijn de afgelopen tijd volgens de politiewoordvoerder tientallen aanhoudingen verricht en tientallen onderzoekingen gedaan en zullen er nog meer volgen.

Het nieuws wordt naar buiten gebracht omdat de criminelen die gebruikmaakten van de chatdienst argwaan kregen en elkaar verdachten van het lekken van informatie. Er zouden door wantrouwende criminelen vergeldingsacties gepland zijn en de politie wil die voorkomen door nu naar buiten te brengen dat de chat werd afgeluisterd. De server is offline gehaald en de dienst is volgens de politie niet meer te gebruiken. Het afluisteren van de berichten is door de politie in samenwerking met het Openbaar Ministerie gedaan, na toetsing door de rechter-commissaris.

De zaak lijkt op die van Ennetcom van vorig jaar, toen de Nederlandse politie 3,6 miljoen pgp-berichten ontsleutelde, nadat er servers van het bedrijf in beslag waren genomen. Het verschil is dat het toen ging om berichten die achteraf werden ontsleuteld, terwijl er bij deze nieuwe zaak live meegekeken kon worden met de 'versleutelde' communicatie. Volgens de politie is dat voor het eerst.

Update 18:01: De betreffende leverancier van de telefoons was vermoedelijk actief met de website blackbox-security.com. Die website komt naar voren bij een zoekopdracht naar Iron Chat en is offline gehaald door de Nederlandse politie. Via de cache van Google is nog een productpagina te zien met uitleg over de zogenaamde IronPhone.

Update 19:21: Volgens het NRC kreeg de politie de encryptiesleutels in handen omdat deze op de server stonden. Daarmee werd de communicatie inzichtelijk. Het encryptieprotocol zelf is niet gekraakt. Het artikel is daarop aangepast.

Door Julian Huijbregts

Nieuwsredacteur

06-11-2018 • 17:40

146 Linkedin Google+

Reacties (146)

Wijzig sortering
"door encryptie te kraken" Er werd dus gebruik gemaakt van een ouder encryptie algoritme, slechte keys of zouden ze echt een zero-day in een bepaalde encryptie standaard gevonden hebben. (Lijkt me niet waarschijnlijk)

Ofwel: Een toestel kunnen bemachtigen die over de nodige keys geschikte en slecht beveiligd was?
Volgens NRC: "Agenten kregen uiteindelijk toegang tot de server waar de sleutels opstonden, zodat communicatie kon worden afgetapt. Het encryptieprotocol, de versleuteling om berichten voor buitenstaanders onleesbaar te maken, is niet gekraakt."
De "IronPhone" werkt met de "Decisional Diffie–Hellman assumption" dit is nog nooit gekraakt en wanneer goed geïmplementeerd kan dit ook niet. Maar wanneer je de sleutels hebt kan je decrypten omdat er geen enkel controle mechaniek is op de client of server behalve deze key.

Het is dan een absolute no-go om keys op te slaan op de server waar je PGP op host, maar misschien heeft de politie de server wel gehacked en deze aangepast who knows...

Ik zou me als eigenaar van black-box.com en Singularity BV (die op de zelfde adres staat ingeschreven) ernstig voor mijn leven vrezen als blijkt dat het een configuratiefout is van de server. Criminelen die zo ver zijn, dat ze vermoedelijk al worden afgeluisterd en een "IronPhone" nodig hebben lijken me niet de meest schappelijke figuren.

Dit artikel geeft iets meer achtergrond over de mensen hierachter:

https://www.misdaadjourna...le-berichten-onderschept/

Als je echt helemaal los wil gaan moet je dit eens bekijken over Diffie Hellman , super slim bedacht:

https://www.youtube.com/watch?v=QISNNmS8tMU

[Reactie gewijzigd door terracide op 6 november 2018 19:42]

De IronPhone in kwestie gebruikt een fork van Xabber (een standaard XMPP + OTR client voor Android) maar dan met een gewijzigde interface. OTR is volledig client-side, dus als de software had gewerkt zoals bedoeld, dan zou het niet mogelijk om berichten te lezen door op de XMPP-server in te breken.

Dat laat een paar opties open, zoals:

1. De politie heeft daadwerkelijk OTR gekraakt (of in ieder geval de implementatie in hun Xabber-fork). Onwaarschijnlijk, maar mogelijk.
2. De gebruikers hebben per ongeluk OTR uitgeschakeld. Dit zou maar tot het kunnen lezen van een deel van de berichten leiden.
3. De fabrikant (Blackbox Security) heeft OTR uitgezet, al dan niet bewust; het zou goed mogelijk zijn dat ze bijvoorbeeld het uitzetten van OTR hardcoden om zo mee te kunnen lezen met berichten (waarvan de klanten denken dat die versleuteld zijn) en zo een informatievoorsprong te hebben binnen het criminele circuit.
4. De software had auto-update functionaliteit, en de politie heeft een update gepusht die OTR uitzet zonder dat de klanten daar iets van merken.

Wat de daadwerkelijke aanvalsvector is, is nog maar de vraag. Overigens heeft dat hele Blackbox Security een hoog HackForums-gehalte, dus incompetentie aan hun kant is een zeer realistische optie.
Goede aanvulling, dat heb ik nog toegevoegd. In de persbijeenkomst en in het persbericht was dat vrij onduidelijk.
https://web.archive.org/w...ecurity.com/index_new.php

:) met de way back machine kan je de website bezoeken.
Wellicht leuk om op te nemen?
Het is leuk dat zij de server hebben gehackt maar dit was niet echt superbijzonder ofzo.
Zo dan! Met adres en telefoonnummer erbij...
OTR is an sich een gedegen protocol, zonder bekende vulnerabilities. De kans dat de politie Oost-Nederland hier een lek in heeft gevonden dat niet bekend is bij de rest van de wereld is vrij klein. Maar dan ben je er nog niet; of je ook echt veilig bent staat of valt bij de implementatie in de client.

Wat doet deze client als het keypair van je contact plotseling verandert? Als dat geen enorme alarmbellen doet afgaan is het triviaal om als server admin een MiTM aanval uit te voeren. Daar is zelfs een hapklare module voor beschikbaar: https://www.ejabberd.im/mod_otr/index.html

Of misschien deed de client dat ooit wel, maar heeft het team van de politie die checks er uitgesloopt en een update naar de telefoons gepushed. Hoe werden updates naar de ironphone verspreid? Waren de packages gesigned en werden de signatures gechecked? Hoe werd deze signing key bewaard? Zelfs als dit allemaal perfect was geregeld is het lastig om nee te zeggen tegen "push deze update voor ons en misschien zit je dan geen 20 jaar in de cel".

End-to-end encryptie in een systeem met gecentralizeerde servers die bestand is tegen partijen als de politie (die zo de eigenaren kan oppakken, of bij het datacenter kan invallen) is mogelijk, maar alleen met een perfect uitgedachte client en talloze andere randvoorwaarden. Deze gasten met hun fake Edward Snowden quote bovenaan op de website zou ik mijn Hyves wachtwoord nog niet toevertrouwen 8)7
Of de plaats waar de server verhuurd werd was toegankelijk voor de politie. Hierdoor met hardware matige toegang tot de server en een centrale sleutelopslag (anders werkt live meekijken ook niet met end-to-end encryption (MITM zou dan eigenlijk niet mogen werken, bij een gebrekkige implementatie weet ik niet of het wel kan).

Maar misschien krijgen we later wel een meer uitgebreid rapport te zien over hoe de politie dit voor elkaar heeft gekregen..
Maar misschien krijgen we later wel een meer uitgebreid rapport te zien over hoe de politie dit voor elkaar heeft gekregen..
Ik gok van niet. De politie gaat de derde die dit gaat proberen natuurlijk niet gratis aan tips om de politie te ontduiken helpen.
Snap sowieso al niet dat ze dit allemaal naar buiten brengen.
zeggen ze in het artikel, om vergeldingsacties te voorkomen. dat is iets waar ik veel respect voor heb dat ze die keuze maken en wat mij betreft een goede keuze.
Het probleem met vergeldingsacties is dat er vaak colleteral damage is in de vorm van mensen die per ongeluk op de verkeerde tijd op de veerkeerde plek zijn. De politie wil dat gelukkig voorkomen.


Dit is dan ook een mooi geval waarbij de politie zegt,” ja we hadden ze in de gaten en vonden dit het goede moment om in te grijpen voordat er onschuldige slachtoffers zouden vallen”. Precies datgene wat ik graag ook eens in de zoveel tijd van het team terrorisme bestrijding, mbv de nieuwe WiV, hoor.
Om vergeldingsacties te voorkomen. Bij acties op 'de juiste persoon' is er al vaak gevaar voor mensen er omheen, maar er is zelfs iemand in Nederland vermoord, omdat hij met een crimineel verward werd.
Dat niet, maar de politie zal uiteindeljk in strafzaken waar de berichten als bewijsmiddel worden aangedragen wel tot op zekere hoogte moeten verantwoorden hoe men aan die berichten is gekomen.
Men heeft hoogstwaarschijnlijk toegang verleend tot deactivatie encryptie. Maar ik snap iets niet... waarom zet je de servers in godsnaam neer in nl en niet in Rusland ofzo (buiten de eu).
Die fout zullen ze nu wel niet meer maken :-)
Beter zou zijn geweest meerdere keys en meerdere servers te hebben voordat er veranderingen doorgevoerd kunnen worden. zo doen we dat ook met de "toegang tot het hele internet" aka DNS. https://www.theguardian.c...ide-internet-security-web
De servers worden dan sowieso op afstand gemonitord door de aanbieder. Dat is meteen een toegang die de politie kan hacken.
Het is onduidelijk wat ze bedoelen met kraken. Het kan ook zijn dat ze bedoelen dat ze de sleutels al hadden maar nu man in the middel konden spelen bij live verkeer. Dat is wat ik bij het laatste stuk van het artikel kan lezen.
Dat is dan niet "kraken" in mijn ogen. Dat noem ik "monitoren"
"Kraken" is het ongedaan maken van encryptie door iemand anders dan door de afzender bedoeld. Dat hoeft niet per se een protocol aanval te zijn.

Ik denk dan ook niet dat de Nederlandse Politie een zwakheid in RSA of AES heeft gevonden.

Mandatory XKCD
"Update 19:21: Volgens het NRC kreeg de politie de encryptiesleutels in handen omdat deze op de server stonden. Daarmee werd de communicatie inzichtelijk Het encryptieprotocol zelf is niet gekraakt. Het artikel is daarop aangepast."

Slimme boeven weer! :P
Crypto is moeilijk. Het lijkt heel eenvoudig, zeker tegenwoordig. #include crypto.h $cyphertext = SHA256 ($plaintextbericht, $key) en je bent klaar. Toch?

Maar om het echt goed te doen moet je echt slim zijn, en echt weten wat je doet. We doen dan een beetje lacherig over mensen als Bruce Schneier ("Bruce Schneier is always the man in the middle.") maar je hebt dat soort mensen nodig om iets te maken wat niet te omzeilen of te misleiden is.

Uit het persbericht wordt duidelijk dat de politie alle berichten mee kon lezen. Dat impliceert dat ze toegang hadden tot minimaal het dataverkeer van de server (dat valt te regelen met een taplast). Als je de key waarmee een bericht gecrypt is af kunt leiden uit het bericht of uit gegevens die je weet over de klant of z'n toestel is dat een mogelijke aanval. Fysieke toegang tot een server is natuurlijk ook te regelen maar je moet dan vooraf zeker weten dat je dat volkomen ongemerkt kunt doen. En dat is lastig. Zelfs korte onderbrekingen van het dataverkeer kan al ontdekt worden door criminelen die voldoende paranoia zijn. Er even een mirroring-device tussen prikken is geen optie, dat moet je anders oplossen
Er vanuit gaande dat het netwerkverkeer was. versleuteld zou het best kunnen dat ze toegang tot de server via een remote tool oid
Als je echt een zero day voor de huidige encryptie standaarden hebt dan ga je die niet gebruiken voor een paar 100 man :+

Dan verkoop je dat voor een miljard of hou je dat harder topsecret dan eenders welk staatsgeheim.

Maar ja, zal wel een fout van die makers van die telefoon zijn. Voor de criminelen die lezen, open source software is 100x beter, zeker als je een geheime sleutel wisselt voordat je een gesprek start.
Maar ja, zal wel een fout van die makers van die telefoon zijn. Voor de criminelen die lezen, open source software is 100x beter, zeker als je een geheime sleutel wisselt voordat je een gesprek start.
Maar open source levert geen kant-en-klaar pakket van telefoon en software. En juist het aanbieden van een telefoon met software en abonnement die het verkeer via een dedicated server laat lopen is het verdienmodel van dit soort aanbieders.
Ik denk trouwens dat een geprepareerde smartphone (camera, microfoon en GPS onbruikbaar gemaakt) met commerciële VPN en WhatsApp vele malen veiliger is. Maar daar valt na de eenmalige verkoop van de telefoon geen geld aan te verdienen.
Open source software heeft zeker en vast wel kant en klare paketten. Weliswaar zo goed als alleen software maar je hebt niets extra meer nodig als het goed gedaan is. Zelfs geen VPN.
Ik bedoel ook een kant-en-klaar pakket waarbij je het apparaat zo in de winkel kunt kopen.
En het bedrijf die dat zou maken heeft dan een beperkt aantal eenmalige verkopen. Een betaald abonnement is voor een aanbieder aantrekkelijker, zelfs wanneer dat voor de gebruiker niet de beste of veiligste oplossing is. (Zolang die gebruiker dat niet weet uiteraard.)
na enig zoekwerk een handleiding voor IronChat gevonden

https://docplayer.nl/2005...ackbox-security-2015.html
Deze site is in elk geval uit de lucht gehaald: http://blackbox-security.com/
Goed punt, via Google kwam ik op http://blackbox-security.com/products.php?id=4 uit, maar daar staat niet die melding van de Politie. Voeg ik toe aan het artikel :)
Via Wayback vind je veel meer, oa. een goede zeit-geist qua populariteit / ontwikkeling van de site (afgemeten aan het aantal actieve snapshots);

https://web.archive.org/w...blackbox-security.com:80/

Vanaf 2010 actief, rond 2016 een piek - oa. door de introductie van de Iron Phone als meta-wrapper rondom de Iron Chat;

https://web.archive.org/w....com:80/products.php?id=4

- edit - lol, hier wat screenshots van de interface;

https://web.archive.org/w...reenshots/Screenshot2.png

je kan kiezen voor secure internet, medium secure (?!) en unsecure...

lijkt een fork van linux met wat vage shizzle er op;

https://web.archive.org/w...eenshots/Screenshot10.png

en een extra heuze password strength generator in open office nagebouwtmaakt;

https://web.archive.org/w...eenshots/Screenshot13.png

[Reactie gewijzigd door deathgrunt op 6 november 2018 18:50]

Was met een vorige shop ook actief op Tweakers.
Alleen wel jammer dat bij het bezoeken van het domein via https je totaal wat anders te zien krijgt: het take down bericht van webstresser.org.
Ik snap niet dat criminelen van dat soort diensten met vage claims gebruik blijven maken. Kan je niet gewoon beter kiezen voor bestaand en bewezen? Dan ga je ook nog eens op in de massa in plaats van dat je met je partners in crime allemaal tegelijk uitgelicht kan worden, inclusief je connecties. :P Desnoods dubbele laag encryptie in plaats van te vertrouwen op één partij. Allemaal zaken waar tig handleidingen voor te vinden zijn, maar dan ga je tócht met de een of andere derde partij in zee die blijkbaar iets in elkaar gezet hebben dat niet naar behoren blijkt te werken/ergens een dik lek had. Ik snap het niet zo goed. Maar misschien komt dat omdat ik zelf geen crimineel ben en zij bepaalde benodigdheden hebben waarvan ik geen weet heb, al kan ik me zo 1,2,3 niet indenken wat dat zou moeten zijn dat een dusdanig alternatieve strategie vereist dat je juist flink risico's gaat lopen die waarschijnlijk nog flink geld kosten ook... Waarvan akte, zie bovenstaand artikel en dat Ennetcom gelazer. :+

[Reactie gewijzigd door WhatsappHack op 6 november 2018 17:54]

Criminelen zijn geen tweakers :) maar echte mensen die gevoelig zijn voor goede verkoop adv :+
Het lijkt me toch stug dat er in de grotere organisaties niet tenminste één 'Tweaker'-zit met verstand van zaken. :P Of dat ze iemand recruten. (Of (onder valse voorwendselen) advies inwinnen, prima mogelijk natuurlijk. :) Heck, je kan zelfs hier op Tweakers een topic openen op het forum en waarschijnlijk krijg je goede antwoorden. :P) Bij de kleinere "kruimeldieven": ale, daar kan ik het me nog wel van voorstellen dat ze een leuk marketingpraatje horen met wat "onkraakbaar", "niet te traceren", "state of the art", "uitgekristalliseerde processen", etc. etc. er in en vervolgens verkocht zijn. Maarja, je zou ook kunnen denken: goh, nog nooit bij stilgestaan eigenlijk. Misschien eens een handleiding Google'en. :+

-edit- Trouwens, ik snap het natuurlijk wel dat mensen daar misschien niet meteen aan denken. Voor 'ons' is dat misschien voor de hand liggend, voor hen niet. Al zijn er de laatste tijd wel meerdere documentaires over dit soort zaken geweest... Afijn. Het zijn ook "maar" 100 vermeende criminelen waarvan ze nu berichten hebben. Wat voor rol die spelen en of ze überhaupt echt een grote impact hadden weten we niet.

[Reactie gewijzigd door WhatsappHack op 6 november 2018 18:14]

Wie zegt dat dit niet gesprekken zijn van kruimeldieven. Zou de politie niet met een veel grote kop aan komen als er een kartel(hebben we die in Nederland?) of iets in die trend ontmaskerd wordt?
IS/Daesh en de Zuid Amerikaanse gangs hebben hun eigen chat apps/netwerken. De Europese mafia gangs zullen dat ook wel hebben. Maar de gemiddelde draaideur crimineel zal hier geen toegang toe hebben en dus afhankelijk zijn van dit soort grappen.
Wie denk jij dat zo'n crimineel eerder gaat geloven? Een andere crimineel of zo'n kerel die constant achter zijn computer zit en praat over dingen waar nog nooit iemand van gehoord heeft? Zo'n crimineel spreekt gewoon de taal van een crimineel, een tweaker spreekt gewoon een taal die de meeste mensen niet verstaan.
Eh. Criminelen zijn ook gewone mensen. Buiten dat ze door omstandigheden bepaalde dingen moeten doen om te "overleven". Alsof wij niet alles voor onze familie zouden doen?
Ik hoop dat je een trol bent :+
Het lijkt me toch stug dat er in de grotere organisaties niet tenminste één 'Tweaker'-zit met verstand van zaken.
De kans is dat die organisaties met een goeie Tweaker niet opgerold zijn. Hoeveel criminelen zijn in het verleden niet de mist in gegaan dat ze aannamen dat mobiele telefoons niet af te luisteren waren door de politie? Hoeveel criminelen zijn er wel niet gepakt omdat ze dingen over de telefoon zijden die niet snugger waren. Het merendeel van de criminelen zijn niet al te snugger...

Daar komt bij dat gasten die dit soort dingen wel goed begrijpen en goed kunnen organiseren, dat veel liever voor zichzelf houden ipv. delen met de concurrentie en beginnen liever voor zichzelf. In crimineelland is elke andere crimineel de concurrentie, daar ga je de opbrengsten niet willen delen met een berg andere jojo's...
Ik snap niet dat criminelen van dat soort diensten met vage claims gebruik blijven maken.
Je kunt ook niemand vertrouwen ;)
en ging de communicatie vrijwel uitsluitend over criminele zaken, waaronder handel in wapens, drugs, geld en bitcoin
Interessant dat handel in bitcoin ook bestempeld wordt als crimineel
Er wordt ook "gewoon" geld genoemd, dus het gaat hier om criminele transacties en niet Bitcoin in het algemeen.
Inderdaad, maar dan is het nog wel raar dat Bitcoin apart vermeld is. Valt toch onder de definitie op Wikipedia:
Geld is enig object of enige toetsbare vermelding dat in een bepaald land of binnen een gegeven sociaal-economische context algemeen wordt aanvaard als betaling voor goederen en diensten en de terugbetaling van schulden. Als belangrijkste functies van geld onderscheidt men: ruilmiddel, rekeneenheid, oppotmiddel, vergoedingsmiddel (boete) en incidenteel ook als eenheid voor uitgestelde betalingen.
Het lijstje zou bv. wel "cash, creditcards en bitcoin" kunnen zijn.
Ik denk dat je de "algemeen aanvaard" beperking gemist hebt. Bij de Albert Heijn kun je niet met BitCoins betalen, wel met (girale en chartale) euro's.

Creditcards zijn geen geld maar een betaalmiddel.
Maar met dollars kan je bij AH ook niets kopen hoor ;)
Maar voor cash moeten beide partijen fysiek aanwezig zijn. Creditcard heb je een bankrekening voor nodig en de ontvangende partij moet de nodige moeite moeten doen om een bank wijs te maken dat hij een legaal bedrijf heeft om creditcardbetalingen te kunnen accepteren (of een bestaand bedrijf zover zien te krijgen om als geldezel te fungeren) en grote bedragen lopen in de gaten.
Bitcoin is veel makkelijk om grote bedragen over te maken, zonder banken en redelijk anoniem. En hoewel Bitcoin op vele legale wijzen gebruikt wordt, zal er weinig over grote, legale aankopen gecommuniceerd worden die met bitcoin betaald worden.
Net als wapens en drugs kunnen ze in theorie voor legale doeleinden gebruikt worden. De praktijk is echter geheel anders.
Wat maakt een mens die crimineel is wijzer dan een mens die dat niet is? Risico inschatten met de juiste kennis is in het algemeen al niet een sterk punt van de mensheid. Criminelen gaat het niet perse om slim zijn. Dat het fout kan gaan lost zich dan misschien anders wel op met bijvoorbeeld vergeldingsacties. Daar leek de politie ook voor te vrezen door het nu bekend te maken.
Nee dat snap ik, maar als je je dusdanig druk maakt om de bescherming van je communicatie dan zou je toch juist denken dat er meer advies wordt ingewonnen van meerdere partijen en als je geld zat hebt zelfs wellicht van experts. Ze hoeven het zelf niet eens perse te snappen, maar kunnen zich wel laten adviseren. Of zelf advies inwinnen en een beetje rond Google'en. Same shit with everyone, als ik een bepaalde taal niet kan programmeren dan huur ik daar iemand voor in - best simpel. :P

Maar goed, zoals ik hierboven ook al opmerkte: we weten niet wat voor type criminelen dit waren en het zijn er "maar" 100. (Vermeend crimineel, ze zijn onschuldig tot het tegendeel bewezen is.) Als het toevallig een paar jongens waren die wat kratjes bier stalen bij de supermarkt en wat messen verkocht (is ook wapenhandel.) dan is dat natuurlijk iets anders dan als nu zou blijken dat ze een complete organisatie kunnen oprollen adhv de berichten via dit bedrijf...
Alsof de opgerolde criminelen bij die eerdere pgp dienst kleine jongens en ongeorganiseerd waren. Het maakt weinig uit of ze groot of klein zijn.
Wel voor de strekking van mijn punt: wie gaat er met zo’n bedrijf in zee.
Je punt was dat je aangaf dat je niet snapt waarom criminelen met dit soort dienstverleners in zee gaan. Het punt is niet of ze groot of klein zijn of dom of slim, maar of je aanname wel terecht is waarom je niet snapt waarom een crimineel zo'n dienst afneemt. Je focust nogal op crimineel, terwijl ergens intrappen of te makkelijk achteraan lopen een menselijke trek is. Volgens mij dicht je aan criminelen veel te veel waarde toe door ze als aparte types te zien. Het zijn ook maar mensen. En mensen, ook hoogopgeleid of die vanwege hun kennis beter zouden moeten weten, trappen dagelijks massaal in hun eigen zwaktes als goedgelovigheid, zelfoverschatting, haast en hebberigheid. Zolang je niet kan aantonen dat dat bij criminelen of de criminelen die jij hoog wenst in te schatten anders zou zijn zou ik niet proberen te snappen dat ze er als crimineel in trappen. Het lukt de mensheid al sinds het bestaan van oplichting list en bedrog niet om de eigen zwaktes echt goed te erkennen en er goed naar te handelen. Grote criminelen laten zich onderling ook bedriegen en bedonderen, ook al kunnen de gevolgen groot zijn.
Ja ik snap dat het mensen zijn. Een spion of dissident is ook maar een mens, die krijgen het vaak echter ook voor elkaar. Als je je echt zorgen maakt over je privacy/geheimhouding op dusdanige wijze dat je leven en/of vrijheid er vanaf hangt: dan hoef je niet extra intelligent te zijn om wat meer research te doen. ;) Ik heb ze dus niet als "hoger" of "slimmer" gekwalificeerd, ik heb enkel gezegd dat ik het raar vind dat ze er verder niet bij nadenken en zomaar in zee gaan met zo'n partij terwijl het kennelijk belangrijk voor ze is. Dat heeft niets te maken met het wel of niet hebben van een hogere intelligentie, maar simpelweg dat ik zou verwachten dat ze er dan wel wat langer over nadenken omdat het voor hen een nogal belangrijk punt is. En daarbij heb ik wel aangegeven dat ik denk dat grotere organisaties in tegenstelling tot kruimeldieven hier waarschijnlijk meer tijd aan besteden - wat dus wél een verschil kan zijn tussen goed georganiseerde grote criminelen en kruimeldieven.

Heel moeilijk is het niet, en er zit verder geen enorm verhaal achter mbt human nature. ;)
Dus ja, natuurlijk wil ik dat graag snappen. Dat er altijd wel een paar zijn die stug doorgaan zelfs als het tegen beter weten in is: soit. Dat hou je altijd. En toch blijft het dan interessant om te weten wat voor type crimineel we het over hebben, want het zou mij nog meer interesseren als blijkt dat juist georganiseerde grotere criminele bendes gebruik blijven maken van dat soort diensten. Als het enkel wat insignificante kruimeldieven zijn boeit het al een stuk minder en past het veel beter in het standaard plaatje wat jij zojuist beschreven hebt; als het echter wél grote bendes zijn: dan klopt er iets niet en ben ik dus benieuwd waarom ze die keuzes toch maken. En nee, dan neem ik geen genoegen met "Ja ook criminelen trappen wel eens ergens in". ;) Dat snap ik ook wel. *Juist* daarom die differentiatie tussen verschillende type criminelen en dus waarom dat wel van belang is voor hetgeen ik benieuwd naar ben.
Als je je echt zorgen maakt over je privacy/geheimhouding op dusdanige wijze dat je leven en/of vrijheid er vanaf hangt: dan hoef je niet extra intelligent te zijn om wat meer research te doen.
Je blijft maar hangen in de gedachten dat criminelen of andere mensen met belangen zich zorgen maken en zich afhankelijk stellen van privacy/geheimhouding. Het gaat ook om vertrouwen consequenties en macht richting anderen. Als het mis gaat lossen ze het op heel andere wijzen op en met dat risico leven ze ook.

[Reactie gewijzigd door kodak op 7 november 2018 07:52]

Ze denken juist met een expert in zee te zijn gegaan.
(Nu blijkt dat ze de boot zijn ingegaan. :) )
Wat maakt een mens die crimineel is wijzer dan een mens die dat niet is? Risico inschatten met de juiste kennis is in het algemeen al niet een sterk punt van de mensheid. Criminelen gaat het niet perse om slim zijn.
Ik zou zelfs willen zeggen dat de meeste criminelen juist niet wijs zijn. Want zij denken een 'shortcut' te zien die er niet blijkt te zijn, waarom denk je dat er zoveel gepakt worden? Omdat er alleen maar briljante mensen werken bij de politie? Yeah... Right...
Het is net zoals bij Whatsapp: als iedereen enkel dat gebruikt is het lastig om mensen over te laten stappen.

Hetzelfde als bij dit soort zaken. Als vele collega criminelen enkel gebruik maken van deze dienst, dan ben je haast verplicht dit ook te gebruiken...
Ik snap niet dat criminelen van dat soort diensten met vage claims gebruik blijven maken.
Voor mensen zonder voldoende kennis van zaken zijn het juist heel concrete claims: 'Veilig'. 'Niet af te luisteren'.
Kan iemand mij uitleggen waarom criminelen kozen voor deze betaalde service? Is het niet zo dat gratis varianten als Whatsapp en Telegram juist veel anoniemer zijn vanwege de end to end encryptie?
Leuk plan, maar je bent via het CIOT en een goed gericht gerechtelijk bevel binnen een paar minuten te traceren. Zie de talloze voorbeelden van zotten die bomdreigingen via whatsapp of telegram deden en een half uur later een AT op de stoep hadden staan.
Met alle respect, maar dan zijn ze gewoon niet zo snugger. (In meerdere opzichten niet, blijkbaar. ;)) Bijvoorbeeld met een eigen telefoonnummer dat soort berichten sturen of een mailtje sturen vanaf thuis-PC. Dan is het niet zo lastig voor een AT om op de stoep te komen nee. :+
En hoe handig is iedere twee weken een nieuwe burner phone als je in contact moet blijven met mensen die je niet even opbelt om je nieuwe nummer door te geven?
Je had het over bommeldingen, mag toch hopen dat iemand dat niet dag in dag uit doet :+ Dat gezegd hebbende: dat is ook helemaal niet nodig. ;)
Als de ontvanger van de dreiging de politie informeert dan heeft end-to-end encryptie geen nut, he. Overigens moet je Telegram niet vergelijken met Whatsapp, volgens mij staan de keys bij Telegram centraal opgeslagen. Die zijn dan in theorie vrij eenvoudig in te zien door derde partijen
Behalve als je end-to-end encryptie bij telegram aanzet.
Synct ie dan ook niet meer tussen devices?
Nee dan synced hij niet, het werkt alleen op 1 device. Ik gebruik het zelf niet aangezien ik merkte dat sommige chats niet aankwamen. Signal werkt stukken beter :)

[Reactie gewijzigd door vali op 6 november 2018 21:58]

Als dat mogelijk is dan is er geen end-to-end encryptie. Waarom zou bv,. Rusland zoveel werk verrichten om de private keys van telegram te bemachtigen?
Peter R. De Vries heeft openlijk op televisie gezegd: gebruik geen telegram maar Whatsapp, anders kunnen we je berichten niet lezen... 8)7
Peter r de Vries... ;(

Daar luisteren alleen mensen naar die naar RTL boulevard kijken... Mediageile narcist.
Secret Chats op Telegram zijn niet te lezen. Ik gebruik dat standaard voor iedereen waar ik meer dan 'mooi weertje hé?' naar stuur.

Heb verder meer vertrouwen in een dienst waar de Russiche staat openbaar problemen mee heeft (aka veel meer op het spel als het fout gaat), dan een dochteronderneming van Facebook.
Heb verder meer vertrouwen in een dienst waar de Russiche staat openbaar problemen mee heeft (aka veel meer op het spel als het fout gaat), dan een dochteronderneming van Facebook.
Met de nadruk op openbaar!
Wanneer jij onbeperkt toegang tot de servers van Telegram hebt en je ziet dat meer en meer mensen die jij via die dienst in de gaten wilt houden naar andere diensten gaan, dan kun je die uittocht tegengaan door in het openbaar veel misbaar te maken dat Telegram je niet mee wil laten lezen. Het is dan leuk wanneer je Telegram het spelletje mee kunt laten spelen door ze moord en brand te laten schreeuwen over deze eis en dat je het met veel publiciteit tot in de rechtszaal uitvecht. Dan denkt iedereen dat ze bij Telegram wel veilig zitten.

Zou de Amerikaanse overheid bij WhatsApp iets vergelijkbaars kunnen doen? Ik zou niet weten waarom niet. Maar het is duidelijk dat dat dan tegen alle regels in gaat en dat de NSA dat tegen elke prijs verborgen willen houden. Dus al zou de NSA mee kunnen lezen met Nederlandse criminele netwerken, dan zullen ze dat voor zichzelf houden en niet de Nederlandse politie waarschuwen. (Tenzij ze op die manier zien dat een terroristische aanslag wordt voorbereid of terroristen worden geholpen. Maar dan nog zullen ze de bron geheim houden.)

Als gemiddelde crimineel heb je weinig te vrezen wanneer jouw communicatiemiddel een onofficieel lek heeft naar inlichtingendiensten. Dat lek is te waardevol en te incriminerend voor die inlichtingendiensten om het uitlekken van het bestaan ervan te riskeren.
Dit betreft Crimineel <> Crimineel berichten.
Niet crimineel/DommeTiener whatsap danwel telegram bedreigingen.

Ik denk dat telegram prima zou voldoen.
En hoe ga jij voorkomen dat oom agent je IMEI en dus je nummer en dus je identiteit achterhaalt?
Door het te spoofen, met een geroote telefoon kan men meer als men denkt. Ik heb ooit van mijn Samsung Galaxy Nexus een wasmachine kunnen maken door de Mac adres te spoofen van me Samsung wasmachine. Overall werd dat ding herkend als een wasmachine terwijl het gewoon een Android toestel was
Da's wel vet, hoeveel kilo kon je er mee wassen?
Serieus, je WIFI MAC != IMEI, die op zichzelf overigens nog wel te bewerken valt.
Sterk verhaal, je wifi mac adres wordt alleen binnen je eigen netwerk gebruikt en heeft geen invloed op de rest van je telefoon. Daarnaast kan je op basis van het mac adres niet achterhalen wat voor een type device het is, enkel wie de fabrikant van de netwerkadapter is.

Ik kan mijn telefoon ook de naam Wasmachine geven en het mac adres van een magnetron maar dat wilt nog niet zeggen dat mijn router dat ding ziet als een magnetron die ook de was de kan doen. Je router ziet het ding gewoon als een device dat het Internet op wilt.
Dan zou ik me toch maar even inlezen hoe android device it's gekoppeld worden aan toestellen. Je kan device id's ook gewon op internet vinden om je telefoon of wat dan ook voor toestel te spoofen :)
Ik heb ooit een ID aangepast op een China Android tablet - deze startte daarna ineens op met een Samsung Galaxy logo en Samsung-geluidje: het was een Samsung Galaxy geworden (Play Store detecteerde het ook zo en daar ging het me om). Blijkbaar zat het Samsung-logo er ook al in want die heb ik nooit toegevoegd.

Zo sterk vind ik dit verhaal dus niet.
Je maakt al 1 grote denk fout door te suggereren dat alleen criminelen kiezen voor een betaalde service. Wat dacht je mensen die waarde hechten aan privacy en encryptie. Jij schildert deze mensen net als onze overheid meteen af als een crimineel.

Whatsapp en Telegram zijn juist niet anoniem want je weet toch van wie het bericht afkomstig is. De end to end encryptie zorgt er alleen voor dat het onderweg niet simpel afgeluisterd kan worden. Dat zegt niks over de hackbaarheid van het apparaat waar whatsapp op draait. Kortom als de politie een exploit op jou telefoon plaatst. (en dat kan op afstand) kunnen ze alsnog alles meelezen.
signal is volledig gratis en goed versleuteld.
Waarschijnlijk de mentaliteit: Iets is beter dat veel geld kost.
Gebrek aan kennis waardoor twijfel ontstaat. En dan hoop je door uitbesteding dat het veiliger zal zijn.


Telegram en whatsapp zijn tot een zekere hoogte veilig maar het issue is telefoonnr dat te peilen is. Als je het wat slimmer aanpakt registreer je met een ander nr en gebruik je een buitenlands vpn. Dan werp je al een paar drempels op waardoor herleiding tot een minimum wordt gebracht.
Whatsapp en andere diensten zijn helemaal niet zo veilig omdat je met overlays toets aanslagen kan afvangen op virtueel toetsenbord, en je kan eveneens screen-scrapen. Dat er end to end versleutelen wordt toegepast is mooi, maar er zit een gat tussen oog-scherm en vinger-scherm.

De iron phone had het concept dat het van begin tot einde dicht stond. Wanneer je het artikel ook leest is dat de telefoons door de politie helemaal geprepareerd moesten worden om zo dieper er in te komen.

Bij een standaard telefoon met android is er een zero day nodig om op afstand een scraper of overlay te instaleren. Dus dat is voor een beetje hacker geen enkel issue. Daarom deze oplossing.
Wanneer je het artikel ook leest is dat de telefoons door de politie helemaal geprepareerd moesten worden om zo dieper er in te komen.
Ik lees alleen dat de politie het berichtenverkeer onderschept heeft, nergens dat ze telefoons aanpasten.
Maar dan moet je wel bij de telefoon kunnen komen. Wanneer je de telefoon zo prepareert dat die enkel via een VPN communiceert op de poort(en) waar WhatsApp gebruik van maakt, naar de servers waar WhatsApp gebruik van maaktt, krijg je die scraper niet zomaar binnen. Met een gerichte actie krijg je dat voor één toestel misschien wel voor elkaar, maar dan kom je nog niet bij de rest van het netwerk.
Hier is een oude handleiding van een Ironphone waarin staat dat Ironchat gebruikt maakt van "zeer zware military grade encryptie voor haar berichten".
https://docplayer.nl/2005...ackbox-security-2015.html

Ik weet niet of PGP al gekraakt is maar dat is de encryptie wat ze gebruiken volgens de handleiding.
Die handleiding geeft alle vetrouwen moet ik zeggen :*) Het druipt er vanaf :)
Die CEO kan zit al beter uit NL verwijderen denk ik :o
Ik mag hopen dat het verkeerd geimplementeerd is, anders is dit wel de knulligste manier om het wereldkundig te maken. Ze zullen wel ergens voor de versleuteling of na de ontsleuteling een fout hebben gemaakt in hun commincatieprotocol waardoor het inzichtelijk is/was.
De identiteit van je gesprekspartner verifiëren met een vingerafdruk is nog wel een coole feature die je niet terugvindt in de chat applicaties voor jan met de pet.
Ik vind het bijzonder, staat me bij dat er op IRC vroeger iets was dat 'Fish encryptie' heete?
https://syndicode.org/fish_10/ en dat was gewoon niet te kraken (toen) waarom doen ze allemaal zo moeilijk? :)
Niet te kraken verkeer tussen twee partijen is in feite niet moeilijk, alles er omheen om het langdurig veilig en bruikbaar te maken zorgt er meestal voor dat het uiteindelijk minder sterk is.
Langdurig veilig is niet zo'n probleem. Gebruiksvriendelijk maken inderdaad wel, want daar moet je compromissen voor sluiten. Daar kan je echter te ver in doorslaan of keuzes maken die het te ver afzwakken... Zoals de sleutels op de server bewaren bij de encrypted data/communicatie. Ik bedoel... Dan kan je net zo goed helemaal niet encrypten. Beetje het idee van "Mijn huis is super goed beveiligd met al die mooie sloten! Geen inbreker die hier nog naar binnen komt. Nu kan ik mooi zorgeloos de sleutel onder de deurmat laten liggen voor als de kinderen thuis komen."
Niet te kraken verkeer tussen twee partijen is niet zo moeilijk. Zorgen dat de berichten aan beide kanten ook veilig blijft (geen screen scraper die de veilig verstuurde berichten alsnog van het scherm afleest of een overlay die de input van het toetsenbord afleest) is iets lastiger. Maar wanneer je dat aanbiedt, heb je per klant slechts eenmalig inkomsten. Leuk voor erbij, maar dit soort telefoons hebben niet een zodanige doelgroep dat je er permanent je brood mee kunt verdienen.
Laat alles via je eigen server lopen, waarvoor een betaald abonnement nodig is, en je hebt een redelijk stabiele bron van inkomsten. En in dit geval is voor een methode gekozen waarbij de encryptiesleutels niet (enkel) op de telefoons zelf zijn opgeslagen, maar (ook) op de server.
Er zijn intussen veel complexere en sterkere encryptie-methodes, die ook vrijelijk beschikbaar zijn.
Zullen de onterecht afgetapte mensen hiervan ook bericht krijgen? Er zullen ook genoeg aluhoedjes lid geweest zijn die niet crimineel bezig zijn.
Voor ¤ 750 per 6 maanden? Geloof je het zelf?
Ontercht hangt niet van het bedrag af. Dat valt moeilijk als argument te stellen om te bepalen of het afluisteren is toegestaan. Als iemand 1400 euro in een jaar uitgeeft aan communicatie dan is dat om het bedrag niet verboden.

[Reactie gewijzigd door kodak op 6 november 2018 18:36]

Klopt. Ale je de CEO van een beursgenoteerd bedrijf bent, dan is 1400 euro per jaar voor beveiligde communicatie niet verdacht.

Aan de andere kant, dat soort beursgenoteerde bedijven doen geen zaken met een dergelijk schimmig clubje.
Maarja, om zoveel te betalen als het ook eigenlijk gewoon gratis kan...
Gezien de meesten ook in colloïdaal zilver geloven en dit kopen op 40-50 euro per liter.... Ja, dan is 750 euro per 6 maand peanuts.

Tevens geeft de gemiddelde persoon 30-50 per maand aan z'n telefoon uit, onversleuteld (namelijk een iphone of een highend android). Zijn die dan opeens ook crimineel, of juist niet omdat ze niet over de magishe lijn heen zijn?
Blackberry had een achterdeurtje dus niet gekraakt, alleen met je eigen BES server was je misschien veilig, dit is zeker net zo iets.
Denk niet dat de encryptie zelf te kraken is, en dat ze daar de moeite ook niet voor zullen doen. Ik zou inzetten op het achterhalen van de geheime sleutels en/of wachtwoorden op de server of andere apparaten. Al dan niet via infiltreren, profielen opbouwen, vorm van kunstmatige intelligentie of omkopen van de juiste personen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True