Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politie las in real time mee met otr-berichten op cryptotelefoons van Encrochat

De Nederlandse en Franse politie hebben twee maanden meegelezen met versleutelde berichten van cryptotelefoons die werden gebruikt door criminelen. Het gaat om telefoons van Encrochat, dat Android-telefoons met otr-versleutelde communicatie aanbood.

De server van Encrochat stond in Frankrijk, maar volgens de politie was Nederland grootverbruiker. Via een Joint Investigation Team werd een actie opgezet genaamd 26lemont. Aan de actie werkte de Nederlandse Landelijke Eenheid en de Franse nationale politie mee. Ook Europol was bij de actie betrokken.

Het netwerk richtte zich op Encrochat. Dat is een dienst die BQ Aquaris X2-telefoons met Android leverde aan criminelen. De telefoons bevatten een berichtendienst die via otr, Off-the-Record-encryptie, versleuteld werd. De server daarvoor stond in Frankrijk. De telefoons werden gebruikt door duizenden criminelen - volgens de politie ging het om 50.000 gebruikers, waarvan er 12.000 uit Nederland kwamen. De politie zegt dat het de berichten kon meelezen voor ze werden versleuteld. Dat lijkt erop te duiden dat de encryptie zelf niet gekraakt is, maar dat de politie de servers heeft geïnfiltreerd.

Hoe de politie er precies in slaagde om mee te lezen is niet bekend. De politie spreekt alleen over 'een technisch apparaat'. Tegelijkertijd noemt de politie dat er gehackt én afgeluisterd en afgetapt zou zijn.

Het onderzoek begon al in 2017. Toen merkte de Franse politie een toename op van versleutelde chats via Encrochat. De politie begon in april met het meelezen van de berichten. In totaal zijn 20 miljoen berichten in real time meegelezen. Dat zijn alleen berichten van Nederlandse gebruikers.

De politie spreekt van 'een goudmijn' aan bewijsmateriaal. Er zouden inmiddels al meerdere drugsvondsten mee zijn gedaan, wapens zijn gevonden, en zelfs moorden en martelingen zijn voorkomen.

Gebruikers van Encrochat merkten enkele weken geleden al op dat er mogelijk iets aan de hand was met de dienst. Ze kregen meldingen op hun telefoon dat de berichten mogelijk niet meer helemaal anoniem waren. Dat was ook het moment dat het onderzoek stopte.

Cryptofoons

Het is niet de eerste keer dat de politie achter een netwerk van zogeheten 'cryptofoons' aan gaat. Eerder gebeurde dat ook al met BlackBerry's van Ennetcom. Die werden gebruikt in onder andere het netwerk van de Nederlandse topcrimineel Ridouan T..

Het Nederlands Openbaar Ministerie benadrukt in de persconferentie dat encryptie op zichzelf goed is en dat veel mensen daar gebruik van maken. Het netwerk van Encrochat werd echter volledig gebruikt voor criminaliteit, en profileerde zich ook als zodanig. "Dit soort telefoons wordt vrijwel alleen in criminele circuit gebruikt, en daarom zijn ze niet in het algemeen belang", zegt de openbaar aanklager.

Met die motivatie gaf de rechter-commissaris toestemming tot het afluisteren van de berichten. "Op die manier kunnen we de verkregen chatgegevens rechtmatig gebruiken met de juiste juridische basis."

Update: in dit artikel stond aanvankelijk dat het om pgp-telefoons ging. Dat is fout: het gaat om otr-versleuteling.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

02-07-2020 • 12:48

242 Linkedin

Reacties (242)

Wijzig sortering
Geweldige actie, zal ook de laatste niet zijn.
Hoe de politie er precies in slaagde om mee te lezen is niet bekend.
Volgens crimesite is er wel degelijk meer bekend.
In de documenten staat dat er in mei van dit jaar bij de helpdesk meldingen waren binnengekomen over het niet functioneren van de ‘panic wipe functie’, die de inhoud van een toestel kan wissen en terug kan zetten naar fabrieksinstellingen. Aanvankelijk kon dit niet worden gereproduceerd in een test. ‘In juni’ werd een toestel gevonden waarop malware bleek te zijn geïnstalleerd
Blijkt dus dat ze gewoon de server(s) van encrochat hebben overgenomen en zelf een OTA update toegevoegd hebben die alle berichten doorsluist. Mooie actie :)
Dacht week of 2 geleden op bnr radio over dit onderwerk interview met iemand op dat gebied.

Zoals ook in dit artikel staat als er encrypted berichten gezien worden dan worden overheidsdiensten wakker, dat is hier dus ook het geval. Dan sta je op de radar en zal men dus gaan onderzoeken.

Hij vertelde dat je als crimineel net zo goed telegram kan gebruiken, dan zit je toch meer onder de radar.

In dit geval een dienst die server in een eu land heeft staan waar diensten dus als ik mag gokken toegang tot hebben gekregen. Server toegang dan controle overnemen en mooi wat ze daarna gedaan hebben.

Het bedrijf bood dure abbo's aan dus ja dan ben je meteen op de radar als je abbo via dit bedrijf loopt.

Een opvolger zou er goed aan doen servers in meerder elanden te hebben of deze maand server hier volgende maar ergens anders.

Maar dit bedrijf www.cryptophone.de bestaat al 20 jaar, software dacht ik mede ontwikkeld door gonggrijp ex xs4all. Ze boden al telefoon met beveiliging aan voor dat het een thema was.
Was zelfs vorige week dacht ik. Maar kan het op de site niet meer terugvinden.
Maar inderdaad als ze veel versleuteld verkeer zien bij een tap sta je op de radar.

Betrof de uitzending van Digitaal op BNR van 17JUN2020
https://www.bnr.nl/podcas...ommuniceren-in-het-geniep

Betrof Rickey Gevers

[Reactie gewijzigd door franssie op 2 juli 2020 16:55]

Je ziet gewoon aan het IMEI dat het een Crypto telefoon betreft. Hoef je geen data voor te bekijken
Weet niet of ze dat aan de imei kunnen zien. als het een normale android tel is die gemodificeerd is kan de imei uit een willekeurig reeks leveringen komen.
grappig dat een cryptofoon met custom software niet een IMEI kan klonen? Zou kunnen maar lijkt mij onwaarschijnlijk. Voor zover ik weet zijn het gewoon androids met custom firmware.
IMEI clone kan wel, maar dan zul je er geen verbinding met mobiele netwerk mee kunnen maken.

Details weet ik niet precies, complex verhaal met beveiliging.
Onlangs was hier nog een topic waarin er in India een bedrijf was dat massaal IMEI's kloonde.

nieuws: Indiase politie klaagt Vivo aan omdat 13.000 Vivo-telefoons dezelfde ...
Ja dat heeft ook nadelige gevolgen.

Heel lang geleden in de heel vroege begintijd van GSM werden die dingen vaak bijna gratis weggegeven ook met prepaid. Ik had toen een Ericsson gekocht van Dutchtone voor bijna niks, maar wilde hem op een ander netwerk gebruiken want het bereik was vrij waardeloos. Toen met tooltjes van vage sites geklooid maar geen unlocker werkte. Maar toen vond ik een ROM tool, en had de ROM van eentje van een vriend van me (ook een knutselaar) gekopieerd die niet gesimlockt was.

Dit werkte op zich prima, alleen na een tijdje bleek dat als ik de mijne aandeed, hij van het netwerk geklapt werd, en omgekeerd :D We zaten op hetzelfde netwerk. We kregen niet elkaars calls ofzo (kan ook niet, is een andere identifier, de IMSI) maar we konden niet tegelijk actief zijn. Ook niet echt handig 8)7

Volgens mij is het nu ook verboden om dat te doen, was het toen nog niet.
Je moest ook de imei aanpassen in die rom, anders had je idd dezelfde over je eigen geflashed. :)
Was bij zowel Ericsson als Motorola (en ja, die Dutchtone pakketten van 50 gulden met 100 gulden beltegoed waren heerlijk)
Ja dat wist ik niet, want ik deed het niet dagelijks :) Had zelf ook de datakabel in elkaar gesoldeerd, het was niet echt professioneel allemaal.
In dit geval een dienst die server in een eu land heeft staan waar diensten dus als ik mag gokken toegang tot hebben gekregen.
Waar dan? Want Telegram is gevestigd in Londen en heeft een 'operations center' in Dubai. Zowel het VK als de VAE zijn geen EU-landen. Dus waar staat die server dan?

[Reactie gewijzigd door TheVivaldi op 2 juli 2020 17:05]

Ik zou eerder het volgende voorstellen voor een eventuele opvolger versleuteling lokaal op de telefoon, communicatie via tor netwerk, en geen centrale servers. Gewoon vooral veel opslag zelf in de telefoon zorgen met veel grote sd kaarten o,i.d waar alles ge-encrypt wordt.
Iets centraals zal altijd een groot risico vormen voor hackers en op mensen die de communicatie willen inzien.
Server verplaatsingen zijn makkelijker te achterhalen doordat een infiltrant in een datacenter er een GPS tracker inzit o.i.d denk ik.

Iedere encryptie is door mensen bedacht dus uiteindelijk ook door mensen te kraken, kost alleen tijd/geld enzovoorts.

[Reactie gewijzigd door Turdie op 14 juli 2020 12:27]

In het artikel op Crimesite wordt anders nergens met een beschuldigende vinger naar overheid noch naar politie gewezen, daar wordt verder niet over gesproken. Het gelinkte artikel gaat alleen wat dieper in op de gebeurtenissen, in chronologische volgorde. Daarmee bevestigd of ontkracht het niets vanuit officiele instanties.

[Reactie gewijzigd door CH4OS op 2 juli 2020 13:34]

Er is een eerder artikel waarin meer details staan. Zoals een schermfoto met een bericht wat mogelijk van EncroChat zelf afkomt.
en daarom dus geen 3rdparty meuk vertrouwen, als je echt moet communiceren waar niemand bij kan huur dan een ontwikkelaar die een bestaand opensource end-2-end end-encrypted berichten app voor je doorlicht. Als je dan al een keyserver wilt (of moet) hebben dan zoek je er eentje (of host je er eentje) zo low key mogelijk.

of ik blij ben met dit soort precendenten van de politie? ja heel erg, het laat duidelijk zien dat bedrijven als apple en microsoft niet gedwongen hoeven worden om achterdeurtjes in te bouwen.
Apple en Microsoft hoeven ook niet gedwongen te worden, daar is een heel woud aan achterdeuren beschikbaar. Althans, daar moet je wat mij betreft van uitgaan.
En verdeel en heers. Ik wil niet diegene zijn die al die criminelen op encrochat heeft gezet !
Wat niet in het politiebericht staat is dat encrochat de hack heeft gedetecteerd, en alle gebruikers heeft geadviseerd de toestellen niet meer te gebruiken.

https://www.crimesite.nl/...-nadere-uitleg-over-hack/

Lijkt erop dat op oudere toestellen malware is geïnstalleerd die totale controle over een toestel had.

[Reactie gewijzigd door (id)init op 2 juli 2020 13:44]

Het staat wel in het officiële persbericht.
The interception of EncroChat messages came to an end on 13 June 2020, when the company realised that a public authority had penetrated the platform. EncroChat then sent a warning to all its users with the advice to immediately throw away the phones.
EuroJust: Dismantling of an encrypted network sends shockwaves through organised crime groups across Europe
Misschien een domme vraag, maar mag een overheidsinstantie dat zomaar?

Op zich is het niet verboden om telefoons met encryptie te verkopen, dus op basis van welke wetgeving baseren die overheidsdiensten zich om tot hacken over te gaan?

Of verkocht Encrochat enkel en alleen aan criminelen, waardoor het bedrijf zelf als een "cover" werd gezien?
Ik denk dat je het een beetje mag vergelijken met The Pirate Bay. En sich niet perse verkeerd mee, maar waar het voor gebruikt wordt is illegaal. Je kunt hoog en laag springen dat "je enkel encrypten berichten mogelijk maakt", maar ze zijn prima op de hoogte van wat ze aan het doen zijn.

Op zn allerminst zou het dus een vorm van medeplichtigheid of "enabling" zijn van andere activiteiten.

Ik kan trouwens slecht uit het artikel halen of EncroChat (serieuze) juridische problemen heeft nu, of enkel de gebruikers ervan. Commercieel zullen ze wel klaar zijn, deze reputatieschade overkom je niet meer.
dus de politie hack onschuldige mensen, en een onschuldig bedrijf alleen maar omdat er encryptie gebruikt wordt. ( onschuldig tot tegendeel bewezen is ).
vernielt daarna eigendom van die mensen en dat bedrijf. alleen maar om een verboden sleepnet uit te kunnen gooien
en vind dan "bewijs" van criminele acties....

persoonlijk vind ik dit heel erg naar illigaal verkregen bewijs ruiken, maar ik kan er naast zitten natuurlijk.
Stel ik zeg nu "Piratebay gebruikers". Denk jij dan "keurige nette mensen" of "mensen die niet helemaal juist bezig zijn"? Ik namelijk dat laatste. En dat is niet gebaseerd op een random emotie, maar op feiten en informatie, zonder dat ik daadwerkelijk iets heb afgeluisterd van wie dan ook.

Vervolgens ga je met dat soort zachte bewijzen naar een rechter om te vragen of je het een stapje verder mag nemen. Die toetst of dat mag en wat ze in gedachte hebben of vervolgens daarover of ze door mogen gaan. Hier wordt gekeken of deze (beperkte) inbraak van privacy opweegt tegen de voordelen van al deze mensen te kunnen vervolgen.

Ze hebben geen eigendom vernield. Ze gaan waarschijnlijk ten onder aan reputatieschade, risico van het vak in mijn ogen.
Ze hebben ook geen sleepnet uitgegooid. Een hele specifieke set mensen werd in de gaten gehouden, namelijk mensen die gebruik maken van een specifieke dienst (waarvan redelijkerwijs mag worden aangenomen dat ze illegaal bezig zijn).

Ik denk zeker dat we kritisch moeten blijven bij dit soort acties zodat ze het niet straks "zomaar" mogen doen, maar als de politie nooit meer mag dan wat legaal is zullen de boeven ze dus altijd een stap voor kunnen blijven :)
https://www.bbc.co.uk/news/uk-53263310
De britse National Crime Agency probeert ook een stukje credit te claimen in deze operatie..

https://nos.nl/artikel/23...staties-in-nederland.html
" Ook in andere landen zijn verdachten gearresteerd, zoals het Verenigd Koninkrijk, Zweden en Noorwegen."
In het zweedse nieuws staat vast dat de Polis een mega operatie deed ;)

[Reactie gewijzigd door ToolkiT op 2 juli 2020 13:48]

Het bericht van de BBC is in ieder geval nog geloofwaardig.
The Sun noemt EncroChat een Nederlandse app die de Britse politie in z'n eentje gekraakt heeft. :+
https://www.thesun.co.uk/...rime-bosses-phone-system/
Ik vind het altijd eng hoe een nieuwsbron met dit soort halve informatie de publieke opinie zou kunnen beïnvloeden.

@ToolkiT Ik ben bang dat veel mensen het wel als nieuwsbron gebruiken. Ik zou het zelf uiteraard niet lezen.

De NCA lijkt wel het een en ander bij te hebben gedragen op technische vlak:
"The NCA created the technology and specialist data exploitation capabilities required to process the EncroChat data, and help identify and locate offenders by analysing millions of messages and hundreds of thousands of images.".

[Reactie gewijzigd door MaZeS op 2 juli 2020 17:05]

Jij noemt de Sun een nieuwsbron? ik noem het kattebak vulling.. Wat een stelltetje histers zijn dat.. alles was goed is, is brits en was slecht is is europees.. typical Sun.. en het volk gelooft het ook nog allemaal dat is het ergste..
De britse National Crime Agency probeert ook een stukje credit te claimen in deze operatie..
Wel even volledig eerlijk: De NCA claimt niet zelf de hack te hebben gedaan, die geven credits aan de Nederlands/Franse samenwerking. Wel zeggen ze dat de arrestaties die erop volgden een enorme doorbraak waren in de strijd tegen OC.
Dat vervolgens de Britse media er hun eigen draai aan geven is iets anders...

Bron:
https://nationalcrimeagency.gov.uk/news/operation-venetic

[Reactie gewijzigd door Ruuuuuubje op 2 juli 2020 16:28]

Beetje zure reactie. Zoals je ziet heeft dit liquidaties voorkomen en grote drugs partijen opgeleverd. Je had je reactie sterker gemaakt wanneer je verteld welke niet criminelen dit netwerk gebruiken, of een bron dat hier ook niet criminelen gebruik van maakten. Wanneer je zoveel geld betaald per individu voor encryptie, en zelfs de aanbieder die adviseert om je telefoon weg te gooien, tsja, dan ga je mij niet vertellen dat hier ook normale mensen gebruik van maken. Maar laat me graag verassen door een tweaker die deze service gebruiken.
Prima resultaat natuurlijk in dit geval, maar het is wel een glijdende schaal, dus een enigszins kritische houding is wel op z'n plaats. Want hoeveel procent "crimineel" gebruik is nodig voor zo'n gerechtelijke uitspraak? 100%? 99%? 70%? 50%? Wanneer is Signal aan de beurt? Of Telegram? Of WhatsApp?

[Reactie gewijzigd door Herko_ter_Horst op 2 juli 2020 13:29]

Het probleem dat met het argument van de glijdende schaal is dat je met dat argument heel veel opsporingsmethodes van de politie wel af kunt schaffen. Gevolg zal zijn dat criminaliteit hier meer, misschien veel meer plaats zal vinden. Ik moest ook gelijk denken aan "hoeveel onschuldige mensen worden hierdoor getroffen" want ik zit aardig aan de pro-privacy kant van de schaal. Daarom vind ik dat de discussie zeker gevoerd moet worden over hoe ver je gaat. Een dergelijke discussie moet dan wel gaan over waar de balans ligt en met welke voorwaarden je werkt, niet of we het volledig wel of volledig niet doen. Want beide uiteinden van de schaal zijn zeer onwenselijk (groot gebrek aan privacy of groot gebrek aan opsporingsmogelijkheden voor politie waardoor we veel meer criminaliteit krijgen waarmee de maatschappij natuurlijk ook niet gediend is).

[Reactie gewijzigd door JT op 2 juli 2020 14:32]

Maar toch. Als ze bewijs hebben dat bepaalde criminelen deze cryptofoons gebruiken, kunnen ze toch gericht gaan afluisteren? Ik snap niet waarom het nodig is om gelijk iedereen af te luisteren. Ik vraag me zelfs af of dit in de rechtbank geldig kan zijn als dit hun enige bewijs is.
Hoe precies wil je een encrypted verbinding gericht afluisteren? Als het enige lek in de centrale server zit, dan luistert de politie daar af. Dat daarbij criminelen worden ontdekt die in eerste instantie niet op de radar stonden is nuttige bijvangt.

Ook voor de rechter zal dit wel stand houden. Het bewijs is rechtmatig verkregen (toestemming Rechter-Commissaris). De encryptie heeft als nuttig bij-effect dat de identiteit van de partijen niet ter discussie staat. We hebben het in deze gevallen niet over snelheidsovertredingen, maar over zware misdrijven, dus het middel is proportioneel. Dus als het OM dit inbrengt, dan zie ik niet hoe een advocaat dit verworpen krijgt. Uiteraard zal een advocaat dat wel proberen: niet geschoten altijd mis, en goed voor hun omzet.
als jantje verdacht is, mag jantje afgeluisterd worden.

Als er een sleepnet gebruikt wordt, en puur en alleen uit dat sleepnet volgt dat jantje iets doet wat niet mag, dan was jantje dus geen verdachte, en is er dus illigaal bewijs verkregen.
Dat is natuurlijk een crikelredenering. Jantje is verdacht vanwege bewijsmateriaal. Als je elk bewijsmateriaal betreffende niet-verdachten bij voorbaat uitsluit kan er niemand ooit verdachte worden.

Het maakt verder niet uit dat het bewijsmateriaal tegen Jantje ontdekt is in een legaal onderzoek tegen Pietje. Dat is een volstrekt normale gang van zaken als Justitie criminele verbanden aan het volgen is.
Als er indicatie is dat er een drugslab is op adres a van eigenaar Jantje. Politie valt daar binnen en treft ook Pietje, Henk en nog 10 anderen aan die daar drugs snijden, wat verwacht je dan, dat ze alleen Jantje meenemen en de rest negeren want daar kwamen ze niet voor?
We hebben het in deze gevallen niet over snelheidsovertredingen, maar over zware misdrijven
Daar heb ik het dus over. Ze weten het misschien van sommige, dus die sommige kunnen ze gerust afluisteren. Maar van al die andere weten ze niets. Er was dus geen bewijs voor ze af te luisteren, voordat ze dat verkregen via het afluisteren. In andere gevallen telt zulk bewijs niet.

Als een agent ongeoorloofd bij jou thuis binnen breekt en illegale spullen vind, wordt dat ook afgeschoten in de rechtbank. Het feit dat je dan in een buurt woont met veel criminelen doet er niet toe, net zoals deze telefoons vaak door criminelen gebruikt zouden worden.

Mogelijk zal het bewijs hier toegelaten worden omdat een rechter toestemming gaf, maar dit is een zeer slippery slope. Volgende keer is het ergens anders waar mogelijk veel criminelen zitten en zitten ze jou of mij lekker mee af te luisteren.

[Reactie gewijzigd door THA_ErAsEr op 3 juli 2020 14:06]

Je mist het punt: de inbraak bij mij is illegaal per se, want de machtiging van de Rechter-Commissaris ontbreekt. Maar als ze bij iemand anders legaal inbreken, en daar bewijsmateriaal tegen mij vinden, dan wordt ik daardoor alsnog verdachte, ook al was ik origineel niet het doel van dat (legale) onderzoek. En vervolgens kan de Rechter-Commissaris toestemming geven voor aanvullend onderzoek tegen mij, in een nieuwe strafzaak die begint met het materiaal uit een andere zaak.
Als je een woonwagenkamp weet te staan waarvan je door intel weet dat 50-75 procent in de zware criminaliteit zit, vind je het dan ook vreemd als men dat woonwagenkamp binnenvalt en hermetisch afsluit? 25 tot 50 procent is waarschijnlijk onschuldig maar als het gaat om een dergelijk aandeel en er zijn genoeg aanwijzingen voor (wat getoetst moet worden door een OvJ of rechter-commissaris) dan kan ik het wel snappen. Als de twee huizen aan beide kanten van mij allemaal een wietkwekerij hebben en ze zouden bij mij aankloppen met een huiszoekingsbevel dan zou ik er denk ik ook niet negatief tegenover staan.
Klopt, en de balans kan natuurlijk verschuiven als de criminaliteit toeneemt - of tenminste als de politie machtelozer ertegen komt te staan. Of wanneer de privacy van burgers meer geschonden wordt of de informatie wordt misbruikt natuurlijk, dan zou het de andere kant op moeten verschuiven..

Er zullen nog wel meer parameters zijn. De truc is om die parameters te kwantificeren en te waarderen, en dat lijkt me nog best lastig. Zo lastig dat het waarschijnlijk meer aan de politiek ligt en het gevoel dat mensen erbij krijgen.

Het belangrijkste is dat er transparantie over is, en dat zo mogelijk mensen individueel ook te horen krijgen wat er is gebeurd, zelfs al is het achteraf.
Transparantie boven alles, goede post :)
Signal , Telegram en WhatsApp zijn gecentraliseerde oplossingen, en werken gewoon mee met de politie wanneer er een dwangbevel is.
Ik geloof je maar hoe kan Signal meewerken behalve het verstrekken van minimale metadata? E2E encryptie lijkt mij toch wel iets fundamenteels... Of mis ik iets?
Nee, je mist niks. Zie deze van signal. Ze doen er hun best aan om zelf zo weinig mogelijk te weten. Whatsapp weet nog wel de metadata van wie wat naar wie stuurt, maar signal doet er zo veel als kan aan om geen metadata te *kunnen* weten.
bij signal (mogelij detecteeerbaar), en whatsapp kan iemand toegevoegd worden in een groeps gesprek..., dan krijg je ook de sleutels voor dat gesprek en evt. zelfs de historie... (doorgaan met de oude sleutel) of neit (neiuwe sleutel voor groeps gesprek).
Als dat gedaan kan worden ZONDER melding aan alle gebruikers dan kunnen alle berichten gewoon meegelezen worden. Zeker als een speciaal kenmerk ervoor zorgt dat naam nooit in een overzicht van groeps leden getoond wordt.

Bij whatsapp absoluut niet controleerbaar (closed source), bij signal zou het controleerbaar kunnen worden gemaakt door je eigen versie met extra signalering voor verdachte veranderingen.
Maar daar kan justitie toch niets mee? Het is end-to-end encryptie... ze zullen toch minimaal een (unlockte) telefoon moeten hebben dan.
Hoe werken zij mee dan? Door tijdelijk de encryptie uit te zetten?
Die schaal valt hier wel mee. Als een dienst zoals deze en entecom vooral gebruikt wordt in het criminele circuit lijkt het me duidelijk dat het geen glijdende schaal is.

Whatsapp, Telegram enz zijn ook gecodeerde diensten maar kijkt je naar gebruikers dan is het % crimineel gebruik een fractie. Zou men nu tegen whatsapp, telegram zeggen geef ons de masterkey dan is het idd een glijdende schaal.
Volgens het woordenboek is "vooral" gelijk aan >50%, maar dit artikel wekt de indruk dat eerder gedacht moet worden aan meer dan 95%.

Mijn vraag is dus waar die grens ligt, omdat ik denk dat die grens wel eens de verkeerde kant op zou kunnen schuiven, waarbij dus steeds meer onschuldige burgers meegenomen zouden worden.
Geen idee waar die grens ligt. Denk dat het in dit geval wel duidelijk is. Men zal voor de tap en hack ook wel een rechterlijke toestemming gekregen hebben, zo niet zou het gezien kunnen worden als illegaal verkregen bewijs. Het is dan dus een rechter die beoordeeld of de tap mag en zo ja dan is deze legaal.
Een abbonement kostte 1500 euro per maand volgens nu.nl
Lijkt me niet dat er ook maar één iemand uit het niet-criminele circuit dit gebruikt...
per half jaar volgens BeepBoop in 'nieuws: Politie las in real time mee met otr-berichten op crypto...

[Reactie gewijzigd door bvdbos op 2 juli 2020 19:50]

Dacht dat het 150 euro per 6 maanden was, maar zelf als het per jaar is
[quote] volgens de politie ging het om 50.000 gebruikers[/quote[

50.000 x 1500 euro = 75 miljoen omzet per jaar. Toch leuk maar als je voor die omzet je beveiliging niet goed op order hebt, tja dan ben je slecht bezig.
Niet alles gedraagd zich als een glijdende schaal.
Je kunt je als legitieme gebruiker melden. Dan wordt je data verwijderd.
De gebruikelijke telecomproviders zoals KPN en Vodafone moeten al meewerken met onderzoek omdat 1% van hun gebruikers crimineel zijn - simpelweg de doorsnee van de bevolking.

Natuurlijk zijn dat soort onderzoeken scherp afgebakend, maar dat was hier simpelweg niet mogelijk. Dat risico ligt bij de gebruikers van de dienst. Als je niet wil dat je berichten als bijvangst eindigen, dan moet je een normale smartphone gebruiken, niet zo'n cryptofoon.
Ik denk dat bij al die percentages noemt het wel juridisch gewaarborgd is. Zelfs een 'laag' percentage van 50% is enorm.

Ik denk dat het gehalte mensen dat bijv. Signal gebruikt puur uit criminele overwegingen, veel lager zal liggen, nog niet eens 1%. En het lijkt me dat dit wel degelijk een behoorlijke reden zal zijn. De meeste mensen gebruiken Signal uit bovengemiddelde aandacht voor privacy en die zullen juist niet gaan voor zo'n enorm dure closed-source oplossing van een of andere duistere leverancier als deze. Die willen open source en peer review zien.

[Reactie gewijzigd door GekkePrutser op 2 juli 2020 22:53]

Journalisten, advocaten, dissidenten, etc hebben voldoende reden behoorlijk wat uit te geven aan encryptie en privacy. Of ze echter ook in dit netwerk zitten is onbekend en ik ben enorm benieuwd in hoeverre dit het geval was.

Mijn onderbuik verteld me echter dat 99% van de gebruikers crimineel is en dat het verspreiden van malware hier prima te rechtvaardigen is.
Bij Ennetcom heeft de politie een pushbericht naar alle telefoons gestuurd met een oproep naar rechtmatige gebruikers (met name mensen met verschoningsrecht) om zich bij de politie te melden zodat de politie die berichten eruit kon filteren. Hier zijn 0 reacties op gekomen.

Over het algemeen blijkt met dit soort dingen dat het aandeel criminele zo verschrikkelijk groot is, dat het argument dat journalisten, advocaten etc de diensten ook gebruiken totaal geen stand houdt.
Ik had al zo'n donkerbruin vermoeden.
De vraag is wat een dienst als Encrochat toevoegt ten opzichte van een app als Signal?
Nou je kunt Signal wel op je Android telefoon zetten, maar dan heb je ook Google Play Services. Dan heb je wel Signal op je telefoon, maar dan wil je er nog steeds niet mee rond lopen als je ook nog 30KG coke bij je hebt. :P Met een iPhone ook niet trouwens.

Daarom wijken ze uit naar dit soort telefoons, waar alles uitgesloopt is en de verbinding dus via de servers van Encrochat loopt. Ook updates kreeg je uitsluitend via Encrochat Over The Air (OTA).
Uiteindelijk wil je geen telefoon waar de verbinding dan toch via een server loopt die de boel codeert. Na deze hack, masterkey Entecom lijkt me dat toch ondertussen duidelijk dat je dit soort diensten nooit zal kunnen vertrouwen.
Masterkeys bestaan niet
Het internet staat vol met berichten over advocaten die PGP telefoons gebruiken of journalisten. Omdat ook die gewoon schaamteloos afgetapt worden, zie mijn eerdere reactie: nieuws: Toezichthouder: AIVD en MIVD gaven meerdere keren verkeerde informati...

Hier bijvoorbeeld een bron: https://www.nrc.nl/nieuws...ligde-smartphone-a1595899
Het moment dat je weet dat je telefoon wordt afgetapt (en ja, ik ken advocaten bij wie dat gebeurd) dan leer je daar gewoon mee omgaan. Dat wil nog niet zeggen dat je direct naar dit soort telefoons gaat grijpen.
Zoals je kunt lezen was het blijkbaar zo erg, dat een advocaat maar zijn eigen bedrijf in crypto telefoons heeft opgestart. Het zal dus nodig zijn. Het bericht over de AIVD / MIVD bevestigd dat ook nog een keer.
Er zijn ook advocaten die deel uitmaken van de drugskartels. Onlangs is er zo een in Antwerpen veroordeeld. De douane had een lading onderschept en dat niet aangekondigd, en die advocaat was dus - voor zijn "clienten" - op zoek naar die lading.

In zo'n gevallen vind ik het ok als een rechter toestemming geeft voor aftapping/bijzondere technieken.

[Reactie gewijzigd door Quilt op 2 juli 2020 15:53]

Is het relevant wie de gebruikers zijn? Ik ben zelf werkzaam in een authoritarian land waar de overheid op basis van mijn politieke opmerkingen best wel wat problemen kan veroorzaken. Ze hebben ook hier geen moeite ermee om mensen zonder voortgang van een rechtzaak vast te houden onder erbarmerlijke omstandigheden. Nou waar leg je de grens, wanneer 100% van de gebruikers crimineel zijn of 90% of slechts 5% dat je een netwerk als questionable aanmerkt?

De initiele comment is dan ook niet geheel misplaatst, wat als een gewone gebruikers ook dergelijke hinder ondervindt, cq malware op zijn mobieltje krijgt? Uiteindelijk is het erg lastig waar je je de grens legt, ik zou het zelf wel kwalijk vinden als deze service platging als ik er gebruik van maakte. Persoonlijk vanwege mijn werkomgeving heb ik altijd een tweede mobiel met een VPN, encrypted en zonder finger/facial recognition entry. Ben ik dan automatisch een crimineel? In het land waar ik werk uiteindelijk wel in de ogen vd overheid.
Of je denkt wat verder na, hij verdiend een +3, hij stelt de juiste vragen. Ging het hier nou om End-to-end encryptie of niet? Zo wel, dan hebben we mogelijk een heel ander probleem.
Zoals je ziet heeft dit liquidaties voorkomen
Zegt wie ? Juist ja en hoeveel liquidaties gaat dit nu veroorzaken denk je ?
Inzicht in netwerken en het verstoren van het circuit

Het is niet aan de politie om het beleid te bepalen. Ze voeren het beleid uit.

In feite verhoogt dit soort acties de straatprijs. Op de lange termijn kan een permanent hoge prijs resulteren in minder recreatief gebruik en dat resulteert weer in minder junkies

Persoonlijk vind ik het een lastige discussie, ben als kersverse vader niet perse tegen wiet of MDMA maar voorkom ik crystal meth liever in zn geheel :p
Een hogere prijs resulteert meer winst voor de grote jongens. Een junkie gaat niet minder gebruiken omdat het duurder wordt, dan jat die toch 4 fietsen in plaats van 3 op één dag, of 15 pakken biefstuk in plaats van 10, zo gaat dat.
Voordat de straatprijs echt omhoog schiet moet je heel wat grote jongens pakken en degenen eronder want anders nemen die het wel over.
Dan nog, als iemand echt verslaafd is, dan zorgt een hogere straatprijs alleen voor meer werk voordat ze een fix krijgen, meer niet. Dat recreatief gerbuik is eenmalig en dan kan het een grotere uitgave zijn, dat hou je niet tegen.
Persoonlijk vind ik het een lastige discussie, ben als kersverse vader niet perse tegen wiet of MDMA maar voorkom ik crystal meth liever in zn geheel
Had jij dan een andere mening toen je nog geen vader was ? Ik heb dit destijds ook aan mijn nicht gevraagd toen ze moeder werd ... en die was (gelukkig) niet veranderd. Maar wij waren al tegen crystal meth, speed, moderne(re) opiumderivaten, cocaine (die laatste persoonlijk voornamelijk door de bereidings -en gebruikswijze en de aggressieve marktpositie van de Zuid-Amerikanen) !

PS: Ik was GHB, ketamine, PCP vergeten bij de No-No-No lijst.

[Reactie gewijzigd door goarilla op 3 juli 2020 17:05]

Als het je lukt op (redelijk) grote schaal de clients te 'infecteren' (zoals hier gebeurd lijkt te zijn), dan maken alle andere claims geen drol meer uit natuurlijk. Of het nou met of zonder end-to-end encryptie is, waar de sleutels staan en of er nou wel of geen centrale server is, maakt dan niets meer uit.

Uiteindelijk is er namelijk ergens in de client-app een grens tussen de leesbare tekst die de gebruiker intikt of leest en de rest van het systeem. Als het je/jouw software lukt om aan de gebruikerskant van die grens te gaan zitten, is alle onderliggende encryptie en technologie irrelevant.
Als je zo ver gaat om dergelijke toestellen aan te schaffen, dan vind je jezelf belangrijker dan je daadwerkelijk bent. De politie houdt zich niet bezig met niet-criminelen. Juist door zo'n telefoon aan te schaffen, kom je op die lijsten waar je bang voor kunt zijn. Juist door op te gaan in de massa, valt het allemaal niet zo op. En waarom zou je dit willen? Wie zit er aan de andere kant?
De telefoons zijn geprepareerde modellen die de dienst zelf verkocht.
Dus het zullen redelijk gewone toestellen zijn, met wat software en misschien een extra laag beveiliging.

Je koopt die ( iig niet die versie ) niet bij Mediamarkt natuurlijk.
De telefoons zijn speciaal geprepareerde telefoons waaruit o.a. de microfoons, camera en USB poorten verwijderd zijn.
EncroChat phones were presented to customers as guaranteeing perfect anonymity (no device or SIM card association on the customer's account, acquisition under conditions guaranteeing the absence of traceability) and perfect discretion both of the encrypted interface (dual operating system, the encrypted interface being hidden so as not to be detectable) and the terminal itself (removal of the camera, microphone, GPS and USB port). It also had functions intended to ensure the ‘impunity’ of users (automatic deletion of messages on the terminals of their recipients, specific PIN code intended for the immediate deletion of all data on the device, deletion of all data in the event of consecutive entries of a wrong password), functions that apparently were specially developed to make it possible to quickly erase compromising messages, for example at the time of arrest by the police. In addition, the device could be erased from a distance by the reseller/helpdesk.

EncroChat sold the cryptotelephones (at a cost of around EUR 1 000 each) at international scale and offered subscriptions with a worldwide coverage, at a cost of 1 500 EUR for a six-month period, with 24/7 support.
Bron
Vast geen toeval dat de enige vragen over dit toestel van mensen zijn die een oud-PGP toestel weer bruikbaar proberen te krijgen voor normaal gebruik.

pricewatch: BQ Aquaris X2 Zwart
Nee, begrijpelijk. Maar wanneer heb je op een verjaardag er over gepraat dat je een speciale telefoon wilt met dit soort features?
Nee, begrijpelijk. Maar wanneer heb je op een verjaardag er over gepraat dat je een speciale telefoon wilt met dit soort features?
Jij, en ik misschien niet
Maar op dit soort feestjes komt dat vast ter sprake

https://youtu.be/uvHRrQNpl1M
Dat is dan ook weer overdreven, want helaas is het tegenwoordig ook nodig voor advocaten en journalisten om zich op deze manier te beveiligen. Daar stond nog een artikel over op Tweakers een paar dagen geleden: nieuws: Toezichthouder: AIVD en MIVD gaven meerdere keren verkeerde informati...

En dan ook vooral even de comments eronder lezen.
En die groep moet ook zeker die mogelijkheden hebben. Daar kun je als overheid ook een dienst voor bieden of in ieder geval geen 3de partij voor gebruiken met buitenlandse servers. Als de nood zo hoog is, moet je daar ook iets mee.

Mijn reactie was meer op de persoon gericht. Zolang jij een normaal leven hebt en onder de massa valt, zal de politie geen energie in deze burgers steken.
Als je zo ver gaat om dergelijke toestellen aan te schaffen, dan vind je jezelf belangrijker dan je daadwerkelijk bent.
Op zich vind ik het legitiem dat een burger zijn privacy probeert te beschermen. We weten nu wat we aan deze overheid hebben, maar we weten niet of die in de toekomst hetzelfde blijft denken en doen.

Maar aan de andere kant is het ook legitiem van een overheid om (onder wettelijke waarborgen) criminelen te gaan observeren.

Net zoals bij bijvoorbeeld een drankcontrole, waarbij iedereen op een stuk weg aan de kant wordt gezet, kan het dus gebeuren dat ook een gewone burger wordt gecontroleerd.

Ik ben wel benieuwd naar het databeleid. Mijn aanname is dat alleen de gesprekken van de criminelen bewaard zijn, bijvoorbeeld en niet ook eventuele bijvangst.
Voor mij valt het onder de noemer: ik wil drinken en rijden en doe er alles aan om niet gecontroleerd te worden maar als ik er over praat, drink ik noooooit. En ja, ze moeten de tools hebben om criminelen op te sporen. Mocht het zover komen dat wij hier China taferelen krijgen, zie ik het dan wel weer wat voor oplossing we verzinnen.
Of de politie liegt of de aanbieder van Encrochat liegt,
In Frankrijk zijn de eerse zaken waar deze gegevens gebruikt werden al voor de rechter gekomen. De politie liegt dus werkelijk niet. Of Encrochat liegt kan ik niet beroordelen maar een service vertrouwen die zich duidelijk op criminelen richt zou ik persoonlijk niet als erg betrouwbaar aanmerken.

En waar haal jij malware vandaan? Polite mag crimininelen hacken als de rechter daar toestemming toe geeft dus met de onbetrouwbaarhed van de overheid lijkt het me ook wel mee te vallen!
[...]


In Frankrijk zijn de eerse zaken waar deze gegevens gebruikt werden al voor de rechter gekomen. De politie liegt dus werkelijk niet. Of Encrochat liegt kan ik niet beroordelen maar een service vertrouwen die zich duidelijk op criminelen richt zou ik persoonlijk niet als erg betrouwbaar aanmerken.

En waar haal jij malware vandaan? Polite mag crimininelen hacken als de rechter daar toestemming toe geeft dus met de onbetrouwbaarhed van de overheid lijkt het me ook wel mee te vallen!
Dit gaat dan ok niet over online reviews of kleine dingen
Deze zaken worden mond op mond doorgegeven, groepje A geeft bij groepje B aan, dat het werkt
En de olievlek verspreid zich in die kringen.
Betrouwbaar, tja ... ik ben bang dat de organisatie zich nu heel goed mag verantwoorden, want ik denk niet dat ze naar het garantie fond criminele telecom starten om een rechtszaak te starten.
Die figuren denken iets basaler, jij praat, jij slaapt ....
In het officiële persbericht staat dat Encrochat op 13 juni haar gebruikers heeft gewaarschuwd dat hun systeem is gecompromitteerd.

Het lijkt me eerder dat Encrochat nu bezig is om achteraf haar straatje schoon te vegen. Niet omdat ze rechtszaken van criminelen verwachten, eerder kogels.
Of de politie liegt of de aanbieder van Encrochat liegt, want op hun site stond vanmorgen nog dat ze niet via een centrale server werken en versleuteling end to end is..
Een van hun voorgangers werkte ook zo.... maar hun klanten bleven hun wachtwoorden en sleutels maar verliezen en waren dan boos op de leverancier. Al te veel logisch inzicht en redelijkheid moet je niet verwachten van criminelen.

Dus is die leverancier op een gegeven moment zelf maar backups gaan maken zodat z'n klanten weer bij hun data kunnen. Toen werden die sleutels die alleen op de toestellen zelf stonden overgeheveld naar een centrale backupsserver waar ze enige tijd later door de politie werden gevonden.

Het is dus een heel klassiek verhaal: Gemak wint het altijd van veiligheid.
Volgens de politie wel.
Citaat op RTLNieuws:

Volgens de politie werd Ennetcom, Ironchat en het derde opgerolde communicatienetwerk PGPSafe niet gebruikt door legale klanten, en enkel door criminelen. 
Je toont exact aan wat ik bedoel, OM verkondigd dat dit alleen gebruikt wordt door criminelen, de werkelijkheid is toch wat anders, zitten genoeg legitieme klanten bij die dit voor legitieme doeleinden gebruiken of gewoon privacy willen om wat voor reden dan ook. Maar hetzelfde heb je met TOR, in de ogen van het OM ben je ook meteen crimineel als je dat gebruikt., het sleepnet wat verkondigd werd als middel tegen terroristen en kinderporno, ik denk dat je schrikt als je weet waarvoor het gebruikt wordt. Maar ook Minister Grappenhaus en z'n amerikaanse collega, die pleiten voor verbod op encryptie of backdoors in encryptie want in hun ogen is het slecht. Het punt is iedereen praat voor eigen parochie, en dat is niet perse de waarheid.
Zolang hacken met toestemming van de rechter commisaris is, is er niet zoveel aan de hand. Daarmee zou gewaarborgd moeten zijn, dat dit alleen mag als er een noodzaak toe is: depolitie mag dit niet doen, tenzij er word voldaan aan.
De rechter mag dat straks natuurlijk nog toetsen de volgende processen.
Vergeet niet dat de Franse politie heeft gehackt hè, Nederlandse politie is alleen de samenwerking aangegaan en heeft toestemming gevraagd voor het gebruik van de berichten
Kortom, je kunt geen enkele aanbieder vertrouwen ook al zeggen ze end-to-end encryptie te doen.
Als gebruiker kun je niets controleren of heb je maar gedeeltelijk informatie ontvangen.
Op zich goed om criminelen aan te pakken, maar de methode is wel wat discutabel.
het enige wat de Politie heeft moeten doen is zorgen dat hun eigen "scraper" op de telefoons terecht komt. Dat hebben ze gedaan via de server die de software "up to date" houdt. De gesprekken hebben ze via die "scraper" doorgestuurd.

Dus tussen de "app" en "user" zat een "politie app" in die de teksten "doorstuurde". hetzelfde als "over de schouder" meelezen, maar dan digitaal.

Beide spreken dus de waarheid.
Weet niet precies waarom jij omlaag gemod bent want wat je zegt lijkt aardig te kloppen. En encrochat zegt dat versleuteling e2e is wat hoogstwaarschijnlijk ook zo is: de centrale servers zetten alleen de tunnel op voor t encrypted verkeer en verzorgen ota updates etc. En t lijkt erop dat politiediensten die ota functie gebruikt hebben om via ota een "upgrade" naar de toestellen te sturen die de versleuteling zodanig aanpastte dat ze de berichten konden meelezen.
Zag ergens ook, op een encrochat.us site dat "hun" telefoons de sim geblokkeerd hadden en alleen verkeer via wifi deden om tappen via mobiele net (ook al was dat encrypted en via de tunnelservers liep) te voorkomen. Maar weet niet of encrochat.us dezelfde techniek en toestellen gebruikt als de gekraakte eu-encrochat. Iemand die t verschil wèet tussen de us en eu diensten met zelfde naam?
Het is niet alsof de politie zonder meer eens wat malware heeft verspreid.

Ze hebben een gerechtelijk (en dus toetsbaar!) bevel verkregen om dit te doen, waarbij belangen zijn afgewogen.

De verzameling van het bewijs zelf zal vast onderdeel worden van de verdediging, maar volgens mij heeft de rechtbank dat uiteindelijk in de zaak rondom Ridouan T. ook goedgekeurd.
En jij gelooft dat er belangen zijn afgewogen? Oh jongens wordt toch eens wakker... Ga je dat ook zeggen wanneer blijkt dat heel NL ooit is afgeluisterd.JIj ziet zeker ook geen gevaar is het sleepnet.?
Ja, dat vertrouwen heb ik wel. Ik heb op dit moment geen reden om het niet aan te nemen, in ieder geval.

Nog minder prettig dat je vervolgens een stroman aanvalt. Om maar te happen: Ik heb destijds tegen de Sleepnetwet gestemd. Ik denk dat een gerichte controle van 1 specifieke dienst, die in het zicht is geraakt, iets heel anders is dan generiek netwerken aftappen, even afgezien van de overige bevoegdheden binnen die wetgeving.

Maar goed, als je graag bedient van argumenten-op-emotie als "Wordt toch eens wakker", dan haak ik snel af. Je toont dan weinig interesse in een discussie en uitwisseling van standpunten, maar wilt blijkbaar vooral een oordeel te spuwen.

Als je wilt, kan ik het ergens noteren: dat 'terrestrial' op Tweakers vind dat ik "wakker moet worden", dat komt dan ergens te staan naast het feit dat mijn moeder vind dat ik minder moet vloeken

[Reactie gewijzigd door Keypunchie op 2 juli 2020 13:53]

+1Anoniem: 1350842
@Terrestrial2 juli 2020 13:51
Maar dat jij dat niet gelooft is prima, maar wel echt jouw mening en op geen enkele manier onderbouwd naast 'je gevoel dat de overheid slecht is'.
Er is duidelijk en bewijsbaar aangetoond waarom dit nodig is, dat is getoetst en een toestemming is verleend. Dat jij dat niet gelooft, tja dat is echt jouw probleem.

Maar goed, dit is een nutteloze discussie want de ervaring leert dat zodra je in een complot zit redenatie weg gaat en argumenten niks anders worden dan 'maar jij bent gehersenspoeld, wordt wakker', oftewel ongefundeerde claims die niet te ontkrachten zijn omdat het bewijs 'nep is' 'door de overheid gesponsord' of 'door de hersenloze zombies gemaakt'
Mag ik een alu hoedje van je hebben?

Het is eenvoudig om zomaar de overheit te beschuldigen van vanalles en nog wat. Ik zou zeggen: bewijs eens dat ze hier hun boekje te buiten zijn gegaan. Dat er geen gerechtelijk bevel was of dat de rechter onder druk werd gezet om het af te geven.

Zolang we een goed werkende democratie hebben waarbij de macht wisselt tussen partijen is de kans op misbruik van die macht een heel stuk kleiner want een volgende regering kan het potje opentrekken dat de vorige heeft achtergelaten.

Ik zou zeggen: identificeer eens de onschuldige mensen die van deze actie het slachtoffer zijn geworden.
En jij gelooft dat er belangen zijn afgewogen? Oh jongens wordt toch eens wakker... Ga je dat ook zeggen wanneer blijkt dat heel NL ooit is afgeluisterd.
Met betrekking tot de politie..., ja dat denk ik..
JIj ziet zeker ook geen gevaar is het sleepnet.?
Dat is een andere tak van sport. de AIVD/MIVD... En die lijken zich wel aan controle te (willen) onttrekken.
Ook de toezichthouder geeft aan dat ze het vermoeden van ontbreken van informatie hierover hebben en dat is wel zorgelijk maar een andere kwestie.
Geeft wel weer aan dat je onze overheidsdiensten absoluut niet kunt vertrouwen.
Wat is dit nou weer voor ongefundeerde onzinuitspraak?

Edit: jammer, want de rest van je reactie is inzichtvol.

[Reactie gewijzigd door sOid op 2 juli 2020 13:03]

Voor zover ik heb begrepen is de encryptie omzeild door hardware en is er niets aan malware o.i.d. gebruikt.
Daar lijkt het inderdaad op. Ze hebben de update server van de provider te grazen genomen.
De operationele fout was dus dat de te verspreiden packages op die server ondertekent werden of zonder ondertekening naar de toestellen gestuurd zijn.
Heel veel mensen zijn gesteld op hun privicy binnenhuis. Maar soms wordt met opzet door de politie je voordeur ingebeukt in het kader van een strafrechtelijk onderzoek. Maar dit gebeurt alleen als je al verdachte bent en er een huiszoekingsbevel is afgegeven.

In dit geval is vooraf door de rechter getoetst of de hier gebruikte handelswijze toegestaan is. Dat was het, aangezien deze dienst zich zelf profileerde als dienst waarmee criminelen anoniem kunnen communiceren was iedereen die de dienst gebruikte verdacht.
Als je zo ver bent dat je niet meer in de onafhankelijkheid gelooft van onze rechters dan raad ik je aan te emigreren naar een land waar dat beter geregeld is. Ik wens je veel succes met zoeken.

Men beukt hier niet elke voordeur in, alleen de voordeur van een pand waarbij groot op de gevel staat dat daarbinnen criminele activiteiten plaats vinden. Misschien moet je jezelf als onschuldige burger daar niet bevinden? Doe je dat wel dan is er het risico dat je onderdeel wordt van een strafrechtelijk onderzoek. Op zich hoeft dat niet erg te zijn, als je niks fout gedaan hebt komt dat gewoon uit het onderzoek.
Ik mag mijn kop dan volgens jou in het zand steken, maar jij zet volgens mij een heel groot aluminium hoedje op. Het is niet alsof ze hier whatsapp hebben zitten hacken en dat gaan ze ook niet doen. Jij gaat er van uit dat als ze het hier doen ze het overal doen. Maar dat doet de politie met hun gewone opsporingsbevoegdheid toch ook niet? Mijn voordeur is tenminsten nog niet ingetrapt, die van jou wel? Uitgaande van de informatie die beschikbaar is, en die komt niet alleen van de politie, hebben ze hier gewoon een boevennest lopen af te tappen. Sorry hoor maar als je dat niet vind kunnen dan weet ik het ook niet meer. Zelfs als er mensen tussen zaten die geen verkeerde bedoelingen hadden dan is het wat mij betreft geen probleem dat die ook onderdeel van de tap zijn, zolang die data niet wordt gebruikt en snel wordt vernietigd.
Zo'n toestellen gebruiken lijkt me eerder iets voor amateurs. Net iets minder erg dan zelf op facebook posten dat je aan criminele activiteiten doet. Volgens mij gaan ze hier voornamelijk de kleine garnalen mee vangen.

Maar toch zeer vreemd dat de politie hier zomaar door alle privé berichten mag snuisteren van alle gebruikers. Hoe kan dit zomaar?
Ik zou zeggen ga eens lezen over de bevoegdheden die men heeft in strafvordering, bijzondere opsporingsbevoegdheden, wanneer en van wie men toestemming moet krijgen om de bevoegdheden toe te mogen passen en hoelang, wanneer krijgt men verlenging hiervan enz enz. Vergeet dan ook niet even te verdiepen in internationale rechtshulp verzoeken e.d. Ja dat is enorm veel wetgeving, maar dan begrijp je ook dat het niet zo maar mag.
de mensen die dit gebruiken zitten wel hoog in de boom volgens mij. Ze zijn o.a. Redouan Taghi hiermee op het spoor gekomen volgens mij.
20 miljoen euro cash geld in beslag genomen. 10.000 kilo cocaïne. 12.000 kilo weed. 1.500 kilo meth.
Ik snap werkelijk niet waarom zoveel criminelen nog dit soort toko’s, aldanniet met roll-your-own spul (crypto bedoel ik dan, geen jointjes), gebruiken ipv bewezen producten. Na dat hele Ennetcom gelazer zou je denken dat ze er waakzamer op gaan zijn, maar nee hoor: gewoon naar de volgende dienst. 50.000 gebruikers is ook echt best veel, het moet onderling actief aangeraden zijn. Beetje hetzelfde als hoe Telegram groot is geworden onder de waan “veilig en privacyvriendelijk” terwijl het dat by default helemaal niet is, mond tot mond reclame met desinformatie... Zelfs criminelen hebben er blijkbaar last van.
Lijkt haast wel op een honeypot. Maar ik kan werkelijk niet bedenken waarom zo'n oplossing de voorkeur geniet van een crimineel; ook als je bang bent om via metadata gepakt te worden kun je beter een schone installatie met een anonieme SIM proberen en dan alsnog iets van Signal gebruiken. Houd je ook nog eens geld over om maandelijks je SIM/telefoon te rouleren.
Ik zou nog verder gaan. Gewoon ergens een Matrix server neerzetten, dan de Riot client op de telefoons. En dan elke maand een andere server in een compleet ander land, die alleen TOR verbindingen binnen laat. De telefoons kunnen ook alleen maar met TOR verbinden, zoals in Whonix Workstation gebruikt wordt. Dat is vast te regelen in een custom ROM.

Dan nog zorgen dat er geen drivers zijn voor WiFi, GPS, Bluetooth, microfoon en camera (de laatste 2 eventueel zelfs fysiek verwijderen) en dan moet het toch wel redelijk veilig zijn. Al helemaal als je dat alleen met je eigen groepje gebruikt en dus niet met 50.000 criminelen op 1 server. :P

Dan nog de telefoon compleet weggooien elke 6 maanden, en dan zou het toch een stuk beter moeten gaan. Als je miljoenen verdiend, dan moet dat toch mogelijk zijn zou je denken.

Het is allemaal niet echt gebruiksvriendelijk zo'n opzet als hierboven, maar de belangen zijn dan ook vrij groot. :P
En er zal vast een groep zijn die het wellicht zo doet. Maar criminelen zijn af en toe net mensen en het moet snel en makkelijk zijn en als het ff kan is een doctoraat in IT niet nodig voor gebruik ;)
Ik denk dat je de gemiddelde boef wat overschat... :)
Dank voor de informatie!
Het is allemaal niet echt gebruiksvriendelijk zo'n opzet als hierboven, maar de belangen zijn dan ook vrij groot. :P
Je verhaal heeft ook een extra probleem: je hebt te maken met criminelen. Die moet je dan maar kunnen vertrouwen.

Wat dat betreft is het geval van 'El Chapo' wel instructief. Die wilde aan de ene kant alle communicatie kunnen verbergen van de politie, want dat levert natuurlijk problemen op.

Aan de andere kant... hij wilde wel kunnen meelezen, want hij vertrouwde zijn onderlingen ook niet.

Dus hij huurde een IT'er in, die een goed beveiligd netwerk opzette, dat aan de ene kant ervoor zorgde dat de politie niet kon meelezen, maar aan de andere kant El Chapo zijn eigen handlangers kon bespioneren.

Hij maakte echter een cruciale fout. Hij behandelde zijn IT'er niet goed genoeg. Die kreeg nogal stress van het werken voor een gewelddadige drugsbaron en werkte vervolgens stilletjes samen met de politie.

Einde El Chapo. https://www.infosecurity-...elp-snares-mexican-drugs/

Dus ja, het kan vast wel, zoiets opzetten, maar er blijven altijd zwakke schakels.
Ik zie hier een business case voor! Laten we beginnen haha :+
Het is alleen zo jammer dat als je een fout maakt in de config, je niet meer normaal naar buiten kunt zonder achtervolgt / beschoten te worden. :P

Kijk maar naar die gast uit Nijmegen die ernstig bedreigd werd, inclusief zijn gezin, omdat hij zo'n bedrijf runde en het werd gekraakt door de politie. Daar waren de criminelen toch niet echt blij mee.

Maar er is vast geld te verdienen, je moet alleen een manier bedenken om het op je rekening gestort te krijgen. _O-
je moet alleen een manier bedenken om het op je rekening gestort te krijgen. _O-
Hoezo? Gewoon cash, up front jaar vooruit. Mag van mij per post hoor.
It’s called monero
Helaas accepteert de ING dat niet voor mijn hypotheek, dat is een beetje het probleem waar ik mee zit. ;)
Bitcoincash! - er is een bitcoinmeneer die daar alles van weet.
Zag ergens ook, op een encrochat.us site dat "hun" telefoons de sim geblokkeerd hadden en alleen verkeer via wifi deden om tappen via mobiele net (ook al was dat encrypted en via de tunnelservers liep) te voorkomen. Maar weet niet of encrochat.us dezelfde techniek en toestellen gebruikt als de gekraakte eu-encrochat. Iemand die t verschil wèet tussen de us en eu diensten met zelfde naam?
Gewoon omdat het domme idioten zijn. Als ze zelf ergens een raspberry neer plempen met een eigen encrypted chat zullen ze nergens last van hebben. Maar nee. Een bedrijf die 500 euro per maand wil vragen om alles in hun (bedrijf) eigen hand te houden. Heel slim.
Je zou gewoon bijna als overheid zo'n undercover bedrijf starten en lekker gaan vissen :)
Bijna? 't Is nu al de derde keer, en ik durf niet met zekerheid te zeggen dat het allemaal echte bedrijven waren. Het heeft namelijk een dubbel effect: niet alleen hebben ze nu een hele verzameling bewijsmateriaal, maar elke andere crypto-telefoonaanbieder is nu ook verdacht.
Netwerk effect. :)
Als al je criminele vriendjes voor EncroChat kiezen, kun je nog zo hard roepen dat WhatsApp ook end-to-end encryptie heeft, maar loop je als boef grote kans sociaal geïsoleerd te raken...
Nou liever dat dan fysiek geïsoleerd.

Dat heb je nu namelijk.
Het is net als een van de afleveringen van Blik op de Weg of Wegmisbruikers of zo geloof ik. Een Porsche 911 die genaderd wordt door een politieauto en dan ineens vol gas er vandoor stuift en op een vangrail klapt met alle toestanden van dien. Paar kilo drugs en een notoire drugsrunner gepakt.

Terwijl als die bestuurder een gewone Fiat had gehad en zich aan de snelheden had gehouden nóóit opgevallen zou zijn. Die politiewagen kwamen ze bij toeval tegen.

Als je jezelf 'opvallend' maakt loop je extra risico. Als je gewoon opgaat in de ruis merkt niemand iets.
ooit het volgende citaat gelezen in een crimi:

"Als je een grote wet gaat overtreden, houd je dan aan de kleine wetjes"

(edit, spelfout)

[Reactie gewijzigd door c2h5oh op 2 juli 2020 14:28]

Yep. Gasten die een 'collega' gaan liquideren en dan een auto pakken met kapot achterlicht, geen gordel dragen en chauffeur heeft geen rijbewijs. En waarom: heb schijt aan de politie dus doe lekker wat ik wil.
En als je dan wordt gestopt en de politie je dan alleen attendeert op de kapotte verlichting en je initieel laten doorrijden (omdat de politie een oproep kreeg voor een andere -niet spoed melding- dan ook zeker lekker wegscheuren met te hoge snelheid en je middelvinger opsteken....
En als ze dan alsnog worden aangehouden en de wapens onder de stoel worden gevonden ervan overtuigd zijn dat iemand ze verlinkt heeft.
De grote jongens als Resuan T. zelf zijn wel een stuk slimmer, maar sommige onderaannemers niet.... gelukkig maar.
(En bovenstaande is echt gebeurd; en losse onderdelen ervan diverse keren [dus waar ze 1 of 2 van bovenstaande fouten maakten in de uitvoering; maar minimaal 1x deden ze alle bovenstaande dingen in 1 enkele zaak... als je t in een filmscript zou zetten zou t afgekeurd worden als 'te ver gezocht'.. maar t gebeurt in t echt...]

[Reactie gewijzigd door tonkie_67 op 3 juli 2020 02:36]

Ik ben een beetje paranoide, maar "parallele constructie" is een ding. Het is ook mogelijk dat de politie hen via bijzondere technieken op het spoor was/is, maar die technieken niet wil openbaar maken, en ze dan pakt op een andere overtreding.

Enkele jaren terug waren er twee grote zaken op korte tijd in België waarbij de dader tegen de lamp liep bij een 'routinecontrole'. Zelf ben ik nog nooit het onderwerp geweest van een 'routinecontrole'. Nochtans kom ik ook elke dag buiten. Ik vond dat op zijn minst opmerkelijk, en zo toevallig dat er waarschijnlijk meer aan de hand was.

(Het ging om de arrestatie van de aanslagpleger op het Joods Museum en de zuurgooier die Delhaize chanteerde. Beiden opgepakt na 'routinecontroles' in Frankrijk. Van allebei was de identiteit zogezegd onbekend.)
Ik denk dat je geluk hebt gehad, ik ben al een paar keer gevraagd om te stoppen voor een routinecontrole. Alcoholcontroles zijn de meest gebruikelijke.
Nu heb ik niet heel veel verstand van criminele gedachtengangen.... maar als domme burger zou ik denken dat een gemiddelde iPhone met Whatsapp een stuk veiliger is voor ze.
Dat denk ik dus ook...
Ik snap werkelijk niet waarom zoveel criminelen nog dit soort toko’s, aldanniet met roll-your-own spul (crypto bedoel ik dan, geen jointjes), gebruiken ipv bewezen producten.
1. Als ze slim waren dan hadden ze een echte baan. Als ze slim genoeg waren om een goede afweging te maken tussen de verschillende systemen dan zou het zelfs een hele goede baan zijn.

2. Wat zijn bewezen producten? Wat is bewijs en hoe gaat de eerste de beste crimineel dat bewijs controleren?
PGP en Android zijn op zich behoorlijk bewezen producten. Het zwakke punt zit waarschijnlijk in de lijm die alles aan elkaar plakt, zo gaat dat helaas wel vaker.
Daarnaast vind ik het heel begrijpelijk dat criminelen weinig vertrouwen hebben in de grote techbedrijven. Het is niet meer dan voorspelbaar dat de politie daar meekijkt. Techneuten kunnen het dan gaan hebben over end-to-end encryptie, perfect secrecy, signed binaries, reproducible builds en dat soort middelen, maar dan nog is het eigenlijk onmogelijk om te bewijzen dat er niet ergens een achterdeurtje is waar je data onversleuteld toegankelijk is. En we hebben het hier niet over hoogopgeleide techneuten maar over criminelen die hun communicatie en beveiliging willen outsourcen.
Even reageren op puntje 1 - want ik denk dat je je daar vergist. Echt rijk wordt je niet van een gewone baan, ik denk dat je sneller in een dure audi rijdt door straatroof en als drugsrunner. De kans dat het niet goed afloopt is groter, maar wij horen alleen de verhalen van de gepakte boefjes - van degenen die op een duur jacht in Marseille zitten weet je dat ze ècht succesvol zijn.

En dan "slim genoeg" - lees het verhaal van Paul Le Roux eens. Is net een spionage roman. Kerel die slimme software schrijft (Truecrypt!), belazerd wordt door z'n compagnons en dan maar de zwarte markt opgaat: hij zet de "Canadian Pharmacies" op, inclusief call centers voor klant ondersteuning. Pacht grond in Zimbabwe en Congo en begint goud en drugs te smokkelen. Hij wordt uiteindelijk gepakt - maar tjonge wat een verhaal, en wat een slimme gast...

@Quilt Slim, ja - en ook overmoedig. De voorloper van truecrypt in elkaar zetten vergt wel wat slimmigheid. Dan een netwerk van Canadese apotheken opzetten en exploiteren - ondernemerschap! Alleen net iets te brutaal dus ;)

[Reactie gewijzigd door Tukkertje-RaH op 2 juli 2020 16:02]

"Le Roux was sentenced to 25 years in prison in June 2020 after agreeing to cooperate with authorities in exchange for a lesser sentence and immunity to his most serious crimes."

"Slim".
Natuurlijk zijn er uitzonderingen, maar volgens mij verdienen de meeste criminelen nooit genoeg voor zo'n zeiljacht. En zelfs deze slimme boef is nog steeds gepakt anders hadden wij het verhaal nooit gehad.

En dan nog, zelfs als het wel lukt, is het dan echt een fijn leven? Als je voortdurend over je schouder moet kijken, bang voor de politie, voor je slachtoffers en voor andere criminelen?
Waarbij je of je zwarte geld wit moet zien te wassen of bij iedere betaling weer nadenken over hoe je het moet verbergen, of veel te veel betalen om een ander het wit te laten wassen.
De onzekerheid dat als het een keer fout gaat je niet alleen de gevangenis in moet maar ook zonder pensioen en andere voorzieningen komt te zitten die je kwijt bent geraakt.
Nu zijn er mensen die zich daar allemaal geen zorgen over maken, maar we hadden het over slimme mensen, die denken daar wel over na.

De meeste mensen met een gewone baan worden daar inderaad niet rijk van, maar de meeste criminelen ook niet. De vraag is wie een betere kans heeft en waar je gelukkiger van wordt. Mijn inschatting is dat als je slim bent en hard werkt dat je meer kans maakt om rijk & gelukkig te worden via een normale baan dan via het criminele circuit.

Uiteraard zijn er mensen die daar anders over denken, maar dat de meeste boeven niet zo slim zijn was nu net het punt. ;)
Mensen willen bij groepen horen en als je toevallig in een groep wordt opgenomen die criminele activiteiten onderneemt, dan wordt je crimineel. Het is kort door de bocht, maar criminelen zijn niet zelden behoorlijk slim. Een moreel compas heeft weinig met inteligentie te maken.
[...]

1. Als ze slim waren dan hadden ze een echte baan. Als ze slim genoeg waren om een goede afweging te maken tussen de verschillende systemen dan zou het zelfs een hele goede baan zijn.
als je ziet hoeveel zwart geld er in onze schaduw-economie rond gaat dan zou je denken dat je als 'niet zo frisse' techneut bakken veel meer geld binnen kan halen dan zijn 'brave' conculega ... dat het nu een keer fout gaat omdat iemand zijn eigen servers en zijn distributiekanaal niet op orde heeft. ach! er zijn genoeg bedrijven in het legale circuit met gelijksoortige issue's
[...]
als je ziet hoeveel zwart geld er in onze schaduw-economie rond gaat dan zou je denken dat je als 'niet zo frisse' techneut bakken veel meer geld binnen kan halen dan zijn 'brave' conculega ... dat het nu een keer fout gaat omdat iemand zijn eigen servers en zijn distributiekanaal niet op orde heeft. ach! er zijn genoeg bedrijven in het legale circuit met gelijksoortige issue's
Mogelijk, maar die hoge bedragen zijn er niet voor niets, er zitten enorme risico's aan vast waar je je niet op de normale manier tegen kan beschermen (bv via een verzekering). Wie in het legale circuit zo'n foutje maakt verliest wat klanten. In het zwarte circuit verlies je vingers. Je zal dus voor je eigen bescherming moeten zorgen. Ook andere kosten zullen fors hoger liggen. Een defect schijf ga je niet terugsturen voor garantie als data van je criminele klanten op staat. Dat risico zal je zelf moeten afdekken.

Ik zeg niet dat je niet rijk kan worden of dat het altijd fout gaat, maar dat de meeste mensen netto beter af zijn met een reguliere baan.
Ik ben heel erg benieuwd hoe ze dit gedaan hebben, de berichten zouden volgens mij al versleuteld bij de server aan moeten komen. Dan zou de politie niet de mogelijkheid moeten hebben om af te luisteren.
Zie post en post het lijkt er op dat ze een OTA update voor het OS of de applicatie gepushed hebben.
Met in de release notes "minor bugfixes"..
Alles wijst er naar dat ze een update van de lokale code hebben kunnen pushen (een app update dus), waarbij ze de versleuteling hebben 'uitgeschakeld'.
slechte app dus. Ik zou dan dit niet willen toevertrouwen meer.
Ik hoop dat je ook geen crimineel bent, dus dan heb jij ook verder niks met deze partij te maken :*)
nee maar als crimineel heb je het nu dus moeilijker.

Vraag me altijd af waarom ze dit soort servers toch altijd in EU, of USA hosten.
Je verwacht toch ergens off-shore te gaan waar dus de politiek en de snelheid vele malen trager is?
Daarnaast kan je toch net zo goed Apple devices gebruiken die zijn vaak een stuk veiliger als ik de berichten mag geloven? misschien is de App niet beschikbaar dat is misschien dan een groot nadeel.
Vraag me altijd af waarom ze dit soort servers toch altijd in EU, of USA hosten.
Je verwacht toch ergens off-shore te gaan waar dus de politiek en de snelheid vele malen trager is?
Uit bron blijkt dat ze het domein hebben overgenomen die gebruikt werd voor het downloaden van OTA updates, als dat klopt dan zou je best offshore kunnen hosten maar zodra je domein overgenomen is dan heb je daar weinig aan.
Daarnaast kan je toch net zo goed Apple devices gebruiken die zijn vaak een stuk veiliger als ik de berichten mag geloven? misschien is de App niet beschikbaar dat is misschien dan een groot nadeel.
iOS devices zijn best makkelijk open te krijgen, als je met een iPhone device te maken hebt met een A11 chip of lager kan je gebruik maken van de bekende checkm8 exploit om toegang te krijgen tot data, er zijn zat devices die dit proces automatiseren zoals bijvoorbeeld de GrayKey zodra je toegang hebt tot het iDevice zelf dan is het wel klaar, sleutelmateriaal downloaden en berichten uitlezen.
Vergis ik me of is de politie er enkel ingeslaagd deze operatie uit te voeren via OTA update(s) omdat enchrochat devolpers incompetent zijn als het op veiligheid aankomt?

Het moet toch mogelijk zijn om een update met een pgp key te laten 'signen' en dan door de telefoon te laten verifiëren? Als de verificatie niet lukt word de update niet geinstaleerd, anders wel. Linux distro's passen zoiets toe waneer je ze download (niet automatisch) dus een bedrijf dat encryptie aanbied zou toch zeker iets vergelijkbaar moeten toepassen?
Nee toch zeker? Dat is toch allemaal veel te ingewikkeld...

Bij dit soort operaties en berichten over het oprollen van grote netwerken krijg ik altijd argwaan. Het lijkt mij veel logischer dat de overheden zelf achter deze dienst zitten en dan op enig moment de held gaan uithangen. Zo is de politie rond de jaarwisseling ook stoer (geweest) over het kopen van vuurwerk op illegale websites... Dan worden er ineens tig buitenlandse websites platgelegd? Ja, dat is wel erg knap, zeg. Ik vind het altijd raar dat het bij minder ernstige overtredingen dan kennelijk toch heel veel meer moeite kost daaraan iets te doen.
PGP? Ik zie toch echt overal dat het om OTR gaat, en niet PGP!
Interessant, in de persco noemden ze volgens mij PGP en ik weet dat Encrochat zich specifiek profileerde als PGP-aanbieder, ik zie OTR niet terug in het persbericht (maar PGP ook niet). Heb je een officiële bron waar ze OTR noemen?

Edit: klopt, het ging inderdaad om OTR ipv PGP. Heb dat aangepast, dank!

[Reactie gewijzigd door Tijs Hofmans op 2 juli 2020 17:57]

Daniel Verlaan noemt het specifiek in zijn Twitter-draadje, maar ik heb ook nog geen onderbouwing gezien elders.
Ik duik daar even wat verder in, dat is wel een duidelijk verschil. Maar weet vrij zeker dat Encrochat zichzelf PGP-dienst noemde...
Ik begon te twijfelen maar als je een snapshot van de website erbij pakt:

https://web.archive.org/w...0/https://encrophone.com/
Dan kom je uit op een beetje van beiden. Ze adverteren met een "Geavanceerd ‘off the record’ (OTR) protocol", maar even doorscrollen en ze adverteren met PGP.
Inderdaad, ik zag op andere websites pgp staan maar die hadden het ook fout. Heb het aangepast!
Hmmbob was me al voor, las het in de draad van Daniel Verlaan die nog specifiek aangeeeft dat het juist geen PGP was ondanks dat veel media dat melden.
Probleem is een beetje dat ik het nergens anders lees, zelfs niet bij aanbieders van Encrochat-foons zelf. Ben ernaar aan het kijken.
Handig dat de politie al hun opsporingsmethodes deelt en hun tech & werkwijze’s
Kunnen toekomstige crime boyz ( And girls )
Er rekening mee houden

Persoonlijk zou ik dat niet aan de grote klok hangen

Ook al is het wel nieuwswaardig
Dat doen ze juist totaal niet, ieder technisch detail ontbreekt precies om deze reden.
Criminaliteit oppakken is ook een afschrikking om iets niet te doen. Met verkeersboetes is hetzelfde: Niet iedereen die in overtreding maakt wordt gepakt, maar als je gepakt wordt is het zuur. Zolang het er op lijkt dat de pakkans hoog genoeg is zullen meer mensen zich er aan houden.

Hier hetzelfde, ze willen laten weten dat zelfs met dit soort telefoons niet onschendbaar bent en dus hopelijk genoeg afschrikt.
Toch zullen ze in eventuele rechtszaken die volgen uit deze actie volledige openheid van zaken moeten geven. Het OM zal immers duidelijk moeten maken hoe ze de berichten konden lezen voordat ze encrypt werden, of hoe ze deze konden decrypten als onderdeel van de bewijslast.

En ja, daar zullen dus ook wat details vrijgegeven moeten worden.
Het kan zijn dat ze tijdens een rechtszaak vragen bepaalde zaken geheim te houden in het kader van de veiligheid.
In principe is het toch niet zo moeilijk hier een voorstelling bij te maken?
De server zelf is gecompromitteerd, hetzij op afstand, of via fysieke toegang. De PGP chat bleek niet end to end te zijn, maar op de server gewoon leesbaar.
In mijn ogen was deze dienst gewoon een lachertje. Ze beloofden privacy zonder het echt te bieden.
Wanneer je een dergelijke dienst aanbiedt, zul je zelf ook niet moeten kunnen meelezen.
Vervolgens had de server verder schijnbaar ook geen enkel mechanisme om zichzelf de nek om te draaien bij binnendringen door anderen dan de beheerder.
De server was ook gewoon te lokaliseren, in plaats van deze te versluieren over tunnels via meerdere locaties.
De politie heeft in mijn ogen dus eigenlijk de mazzel gehad dat het geheel niet zo professioneel was opgezet, zoals dat eigenlijk had moeten zijn.
Dat hoeft helemaal niet, ze kunnen bijvoorbeeld ook een lek maken in de app zelf, als ze bij de ontwikkel straat of provisioning server kunnen inbreken. Alles blijft gokken zonder details.
Persoonlijk zou ik dat niet aan de grote klok hangen
Ik denk dat de criminelen al in de gaten hadden dat het netwerk gekraakt was. En dat komt sowieso in de rechtszaak naar boven. Het is helemaal niet zo gek om het bekend te maken, al was het alleen al om te laten zien dat de politie ook niet gek is en dat je niet simpelweg met je encrypted foon of computer ongestraft van alles kan doen. Je moet vroeger opstaan blijkbaar.

Het is ook nog eens reklame voor de cyberpolitie afdelingen lijkt mij. Zo kun je zien dat jouw werk zin heeft en ook best spannend kan zijn.
Er was begin juni al een bericht uitgegaan dat de 'dienst' zou stoppen, en de telefoons moesten verdwijnen.

Dus ergens is er wat opgevallen bij de organisatie.
Alleen met meer dan 50K aan telefoons á 1000€ en 250€/m zal er nog wel een kapitaaltje liggen om een doorstart te maken.

Het probleem is alleen het vertrouwen van je klanten, want die willen natuurlijk steeds meer garanties
Het probleem is alleen het vertrouwen van je klanten, want die willen natuurlijk steeds meer garanties
...or else... :X
En wat heb jij uit dit artikel geleerd dat je zou helpen als crimineel? Het enige dat er uit naar voren komt is dat diensten die beweren veilig te zijn dat niet noodzakelijk zijn.
dat ik geen crimineel moet worden, omdat ik toch wel een groot risico loop om gepakt te worden
Op zijn hoogst dat je je als crimineel (of burger!) niet zonder meer veilig kunt wanen met zo’n encrypted telefoon.

Voor criminelen hoop ik dat het ze veel communicatie-overhead gaat geven en ze minder slagvaardig zijn.

Voor burgers is het een beetje de vraag wat te doen...
Mooi werk van de opsporingsdiensten.Persbericht hier.

[Reactie gewijzigd door Luiaard op 2 juli 2020 12:53]

Inderdaad. Laat maar weer eens zien dat het verbieden van encryptie niet helpt. Dan hadden de criminelen immers niet van zo'n dienst gebruik gemaakt met het gevoel veilig te zijn en hadden ze niet gepakt kunnen worden. Dus dit geval laat zien dat encryptie juist een voordeel voor de opsporingsdiensten zijn in plaats van een nadeel.
huh, hoezo laat dit zien dat het verbieden van encryptie niet werkt?! (laat staan de vraag of het te verbeiden is binnen de vrijheid van meningsuiting)
Zeker, en het laat ook zien dat je met goed politiewerk geen verbod op encryptie of verplichte backdoors nodig hebt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True