Sky ECC ontkent hack door Nederlandse en Belgische politie

Sky ECC, de versleutelde berichtendienst die volgens de Nederlandse en Belgische autoriteiten is gekraakt, ontkent dat er ingebroken is op zijn systemen. Sky ECC claimt dat het gaat om een imitatie van de Sky ECC-app.

"Geautoriseerde distributeurs hebben ons erop gewezen dat een nep-phishingapplicatie met de valse merknaam Sky ECC illegaal is ontwikkeld en sideloaded is op onbeveiligde apparaten. Beveiligingsfuncties van geautoriseerde Sky ECC-telefoons zijn in deze nepapparaten uitgeschakeld en deze apparaten zijn vervolgens via ongeautoriseerde kanalen verkocht", claimt Sky ECC op zijn website. De dienst van het bedrijf is alleen beschikbaar door een telefoon met daarop de app geïnstalleerd aan te schaffen en te betalen voor een abonnement.

Welk ongeautoriseerd verkooppunt dat dan zou zijn, melden de politie en Sky ECC zelf niet. Op een foto die de politie vrijgaf na de vele invallen van afgelopen dinsdag, is echter op een smartphonescherm de domeinnaam skyecc.eu te zien; dat is een verkooppunt voor de dienst. Mogelijk is dat de verkoper waar de ontwikkelaar van Sky ECC op doelt. De ontwikkelaar ontkent verder benaderd te zijn door autoriteiten en meegeholpen te hebben aan onderzoeken. Het wil juridische stappen tegen de imitator nemen.

De lezing van de autoriteiten is compleet anders. Tegen het AD stelt het Openbaar Ministerie "Hier gaan we niet op reageren. De Sky-server is gewoon in beslag genomen". De woordvoering van de Nationale Politie zegt op dinsdag al 'alles gezegd te hebben wat er over de zaak te zeggen valt'.

De Nederlandse politie meldde dinsdag dat het sinds medio februari de berichten van cryptotelefoondienst Sky ECC live kan meelezen. De Nederlandse politie heeft de Sky ECC-servers dinsdag offline gehaald en in beslag genomen. Volgens de politie heeft de dienst wereldwijd 70.000 gebruikers en is deze populair geweest in het criminele circuit. De autoriteiten zeggen honderden miljoenen berichten in handen te hebben.

In België zijn dinsdag ruim tweehonderd huiszoekingen verricht in het kader van het Sky ECC-onderzoek, met name in de provincie Antwerpen. In Nederland zijn dertig mensen aangehouden en zijn 75 woningen en kantoren doorzocht. Daarbij zijn 28 vuurwapens in beslag genomen.

Beeld: politie.nl

Door Mark Hendrikman

Redacteur

10-03-2021 • 12:57

198 Linkedin

Reacties (198)

198
195
96
17
0
83
Wijzig sortering
Als ze gehackt zijn. Prima job mooi werk.

Als de politie de afgelopen tijd telefoons met een gekraakte kopie van de app hebben verkocht als zijnde bedrijf.. de servers in eigen beheer hadden.... En al deze mensen zijn er in getrapt... Geniaal...
Denk je als Klaas crimineel een telefoon met encryptie te kopen, koop je hem stiekem van een agent bij popotelecom bv..
Niks geen mooi werk, zoals ik gisteren al heb uitgelegd gaat de politie en het OM hiermee een serieuze ethische grens over. Mensen hebben recht op privacy en nee niet alle gebruikers van zo'n systeem hebben malafide intenties. Tevens is het niet strafbaar om zo'n telefoon te kopen. Ik zou graag zien dat alle telefoons met dit soort veiligheidsfeatures worden uitgevoerd in de toekomst en dat het normaal wordt om je privacy terug te krijgen. Want wie weet wat de overheidsdiensten nu allemaal kunnen afluisteren. Ja WhatsApp claimt ook E2E encryptie, maar uit informatie blijkt al dat WhatsApp zelf kan filteren op inhoud dus hoe serieus moet je het nemen? En wie weet hebben overheden al jaren sleutels in handen voor de belangrijkste communicatie apps, dat gaan ze ons niet vertellen.

Technisch gezien is het een interessante discussie, liegt de politie en het OM hier, ik zie ze er voor aan en hebben ze eigenlijk maar een klein deel van de berichten te pakken doordat ze client devices verkocht hebben of hebben voorzien van malware, of zijn er werkelijk servers gecompromitteerd door ze met malware te besmetten of aan te passen maar dan rijst de vraag, waarom zijn die servers niet afdoende beschermd geweest tegen fysieke aanvallen en waarom heeft SKY-ECC niks gemerkt? Ik mag toch hopen dat je je eigen netwerk/servers constant monitort en bij de minste verdenking wiped en opnieuw opbouwt. En de belangrijkste vraag blijft, worden de berichten al dan niet versleuteld op de servers opgeslagen, zo ja dan is het hele systeem zo lek als een vergiet. Verder geeft SKY-ECC aan dat ze niet meewerken aan criminele activiteiten, harstikke leuk maar als zij de berichten zelf niet kunnen lezen en ik mag hopen van niet, kun je ook niet vaststellen dat er sprake is van criminele activiteiten. Dus die verklaring in dat opzicht is onzinnig.
Goh, het is mooi werk. Of het ethisch te verantwoorden is: deze app wordt blijkbaar voor een significant groot deel door criminelen gebruikt (een kwart van de globale gebruikers in dit geval, zijn in België en Nederland te vinden en zijn gelinkt aan deze actie).

Het belangrijkste aan End-to-end encryptie van reguliere apps is dat het het moeilijk maakt om aan mass-surveillance te doen omdat de signal to noise ratio nogal zeer laag is en de moeite om het te kraken per gesprek vrij groot is. Hiervoor is telkens een apart akkoord nodig om iemand te volgen/hacken etc...

Als natuurlijk iedereen met criminele activiteit met hetzelfde systeem gaan werken dan maken ze zichzelf een duidelijk doel doordat de signal to noise ratio wel zeer groot is geworden, wat het ook eenvoudiger maakt om legaal te verantwoorden om alle gebruikers ervan te gaan aftappen (gezien het hier om 12k in Nederland en 6k in België gaat, kan men moeilijk zeggen dat hier de hele bevolking is afgetapt).
Ik vind het wel mooi werk, en gelukkig mogen jou en mijn meningen verschillen....


De bijvangst, advocaten, journalisten, beveiligingsbedrijven. Ceo van bedrijven kan je natuurlijk gewoon niet gebruiken. En verwijderen wanneer je deze tegen komt...

Nee ik heb er niet zoveel moeite mee. En heel hypocriet ja ik gebruik WhatsApp en mijn pc en USB sticks hebben encryptie... Niet voor de overheid, maar voor hackers en info die ik graag zelf hou... Als morgen de politie een kijkje in mijn pc zou willen dan ben ik happy om de boel te ontgrendelen.
Geen idee of dit juridisch standhoudt, je faciliteert dan immers in technieken die direct kunnen worden herleid aan misdaad. Dan kan dat mogelijk worden uitgelegd als aanzetten tot of het faciliteren in. Losstaande dat data dan ook door politie/justitie gemanipuleerd kan zijn.
Als de politie de afgelopen tijd telefoons met een gekraakte kopie van de app hebben verkocht als zijnde bedrijf.. de servers in eigen beheer hadden.... En al deze mensen zijn er in getrapt... Geniaal...

[Reactie gewijzigd door litebyte op 10 maart 2021 13:37]

En wapen producenten dan? Wat dacht je van al dat volk dat steeds maar van die grote keuken messen verkoopt. Of misschien toch die fabrikant die die auto's maakt waarmee men steeds na de plofkraak en de overval weg weet te komen, dat is natuurlijk ook zwaar verboden of niet?
De mesverkoper zegt niet tegen u: koop dit mes want je kan e iemand het beste mee doden, ik heb het nog specifiek hiervoor aangepast.
De dealer zegt niet tegen u, koop deze auto die ik zo heb aangepast met dit abonnement - en u blijft zeker uit handen van politie.

Dit bedrijf vertelde haar clientele exact hoe je uit handen van politie en andere opsporingsorganisaties kon blijven mbv hun producten en leverde daar specifieke diensten voor.
Je verkoopt een service waar je niet direct iets strafbaars doet. Netzoals ik jou een auto kan verkopen. Jij maakt vervolgens de keuze om daar mee een ramkraak te plegen, ben ik dan aan het uitlokken? Denk het niet.
Als je alleen autos verkoopt die vooral voor ramkraken geschikt zijn en vrijwel alleen daarvoor gebruikt worden ben je toch het bokje denk ik.
Maar dat is helemaal niet het geval. Ik werkte jaren voor een grote investeringsbank de systemen waar ik en mijn team verantwoordelijk voor waren verwerkte voor tientallen miljarden dollars aan transacties per dag.
Denk je niet dat men daar zeer veel van encryptie gebruik maakte en dat dit soort diensten niet ook interessant waren voor dit soort clubs? Natuurlijk niet voor de low level beheers organisatie maar de hoge dames en heren konden echt in veel gevallen niet zomaar met elkaar praten omdat de dingen die zij bespraken nog al een markten konden doen bewegen en dus miljarden zouden kunnen kosten als je aan de verkeerde kant van een affected trade zat.
Ja zij hadden net als wij speciaal voor dit soort redenen ontwikkelde communicatie software die geheel binnenshuis ontwikkeld is en die alleen binnen de bank te gebruiken is. Waar alles wat je schrijft en leest met flink wat encryptie over een zwaar beveiligd netwerk gestuurd werd. En dat alles om te voorkomen dat bijvoorbeeld klanten, concurrenten, overheden (vaak ook klanten) of andere mogelijk kwaad willende lucht kregen van de dingen die wij bespraken.

Het kan misschien lijken als of dit soort diensten alleen tot doel hebben criminaliteit te faciliteren maar er is ook een heleboel andere nuttige dingen die dit soort diensten mogelijk maken en om die reden moeten dit soort diensten nu eenmaal blijven bestaan ook als criminelen er ook gebruik van kunnen maken.
Als je dat wil voorkomen dan moet de overheid beter haar werk doen om de criminelen te identificeren en op te pakken. Nuttige en zeer nodige oplossingen verbieden is totale onzin.
Als je alleen autos verkoopt die vooral voor ramkraken geschikt zijn en vrijwel alleen daarvoor gebruikt worden ben je toch het bokje denk ik.
Maar het verkopen van die telefoons is niet illegaal, anders was Sky ECC zelf allang opgedoekt.
Encryptie kent ook tal van legitieme doelenden... denk aan bodyguards van high-profile mensen; die er in het algemeen baat bij kunnen hebben dat zo min mogelijk mensen (incluis politie e.d.) weten waar ze zijn, met als hoofddoel dat die informatie niet (onbedoeld of niet) kan lekken.
Social engineering is nou eenmaal een van de méést effectieve manieren om aan informatie of andere vormen van toegang te komen dan de bedoeling zou zijn...

Advocaat van de duivel: corrupte agent doet een beroep op berichtendiensten om bepaalde informatie binnen te krijgen onder vermeend doel van bijv het opsporen van illegale activiteiten, maar uiteindelijk is het daadwerkelijke doel van de corrupte agent om de informatie aan een andere partij (desnoods concurrent / anderzijds belanghebbende) door te spelen. Dat is een risico dat zou kunnen voortvloeien als bepaalde entiteiten zondermeer toegang zouden moeten krijgen (en ook een van de hoofdargumenten om moedwillig verzwakte vormen van encryptie te moeten willen mijden; het hele doel is het voorkomen van leesbaar/interpreteerbaar zijn voor een-iedere entiteit anders dan beoogde ontvanger; ongeacht de achterliggende intentie daarvan en of die legaal is of niet).

[Reactie gewijzigd door Annihlator op 10 maart 2021 15:01]

Of iets strafbaar is hangt vaak af van de context, een honkbal knuppel kan gewoon om te sporten zijn, maar " maar een honkbalknuppel onder de voorstoel in de auto, zonder dat er aanwijzingen zijn dat je gaat honkballen, mag niet." aldus een meneer van het OM.

Kan me voorstellen dat iets vergelijkbaars hier geldt.
Daarom het advies om altijd ook een bal en handschoen erbij te leggen in je kofferbak
als het zo werkt; dan zou heel die sky diesnt ook niet verkeerd zijn :+
Het gaat vaak om witwassen omdat je weet dat de toestellen zijn betaald met crimineel geld.
Je hebt gelijk, ik denk niet dat dit onder "entrapment" valt, want dat is hier verboden. Maar tegelijk kun je dan ook de redenering omdraaien: als het niet verboden is om een app te maken waarmee je versleutelde berichten kunt versturen, omdat je niks te maken hebt met het feit dat de gebruikers doen met die berichten, waarom mag je dan wel de server die die versleutelde berichten mogelijk maakt in beslag nemen?

Om de analogie van de auto te volgen: als ik jou een auto verkoop, wat niet verboden is, en jij pleegt met die auto een ramkraak, waarom moeten ze dan mijn garage sluiten?
Als die auto verkoopt met een weg gevijld serienummer heeft en valse kentekens en een geblindeerde vooruit, ja.
Alleen als jij die telefoon aan criminelen verkoopt ga jij wel de gevangenis in. Als je ze aan 'klanten' verkoopt en hard kan maken dat je weinig tot geen reden had van vermoedens van crimineel gebruik dan blijf je inderdaad vrij.

[Reactie gewijzigd door TWeaKLeGeND op 12 maart 2021 10:08]

Volgens mij mag dit wel, de politie mag zich ook voordoen als koper van drugs mits het maar niet te dik er op ligt dat het uitlokking is.

Maar ik hoor graag de juridische correctheid.
Mocht dit de methode zijn, is het misschien niet direct te herleiden naar politie/justitie maar heeft de appmaker/distributeur/verkoper zich gemeld bij politie/justitie met deze data...althans dat lijkt me logischer.

Of is er iemand bij Sky ECC onder druk gezet om mee te werken/andere redenen.

Het mooie is dat Sky ECC zich op deze manier probeert vrij te pleiten...dat kan dan wel eens meer gaan dan alleen om financiele redenen. Gezien de eerdere moorden op aanbieders van vergelijkbare diensten na ontmanteling/hacking.
Play stupid games, win stupid prizes.
Ik houd persoonlijk wel van het zelfreinigende vermogen van de sector.
wel, waarom denk je dat ecc dit nu zo naar buiten brengt, die zijn nu ook doods bang dat
er een van die criminelen wel wat geld wil uitgeven om die misleidende ecc te laten elimineren...
Die zijn eerder gewoon bang voor imago schade en om hun klanten kwijt te raken.
Net-zogoed heeft de politie er ook belang bij systematisch wantrouwen te (kunnen) kweken.

Stél dat dit vooral mensen treft die na (het opdoeken van) encrochat een ándere vergelijkbare dienst zijn gaan zoeken en in plaats van de "echte sky ecc" nu bij deze false-flag/actor terecht zijn gekomen, via die weg kan de politie pogen wantrouwen in encryptie-diensten in het algeheel te kweken, zéker als ze enkel op haar woord geloofd wordt terwijl in de realiteit ze enkel een dienst gelijkend op Sky Ecc heeft gerund ipv de dienst zelve daadwerkelijk te kapen/infiltreren/etc.

Is het "eerlijk"? Discutabel omwille van intentie/legitimiteit daarvan. Maar zou het slagen via die weg effectief kunnen zijn als het er ook maar indirect voor zorgt dat criminelen terughoudender/mijdend zouden worden encrypted-diensten in te zetten? Zondermeer.
lol waarom zou iemand nog bij hun producten afnemen. Waar of niet waar, dat is gewoon dom.
Mooi verwoord :p
Gezien de eerdere moorden op aanbieders van vergelijkbare diensten na ontmanteling/hacking.
Ben hier nog niet eerder iets over tegengekomen, is hier ergens wat meer over te lezen? Klinkt als een interessante read.
https://www.ad.nl/binnenl...-te-geven-zwijg~abf1bc94/

[Reactie gewijzigd door Befourandafters op 10 maart 2021 14:59]

Dit is niet helemaal wat ik bedoel, maar wel bedankt :). Dit laat inderdaad ook zien dat je deze mensen beter te vriend kan houden (of liever nog helemaal niet wilt kennen).

Ik was eigenlijk meer op zoek naar een artikel over het (laten) omleggen van de mensen achter bijv. Encrochat of soortgelijke diensten. Al is dit - mocht dit nog niet gebeurd zijn - slechts een kwestie van tijd naar mijn idee.
Excuses! Ik had deze link moeten sturen: https://panorama.nl/artik...n-de-lamp-door-een-hengel

De Spyshop verkocht ook die PGP BlackBerries en na de kraak daarvan, kreeg de eigenaar problemen. Waarschijnlijk fatale problemen
Bedankt! Jammer dat het artikel niet geheel leesbaar is voor niet-abonnees. Maar het stuk dat wel leesbaar is, verteld wel precies waar ik naar vroeg.

De link tussen pgp telefoons en deze spyshop(eigenaar) had in nog niet eerder ergens gelezen. Knap lullig voor deze man. Toch de verkeerde "vrienden" gemaakt.
Precies dit dus dan kom je snel op het punt van wel schuldig, maar geen straf.

Van de 30 aangehouden personen zullen er uiteindelijk vast een aantal vrijuit gaan om uiteenlopende redenen, maar als ze dan ook nog vuurwapens bij je gevonden hebben, heb je alsnog een probleem.
Geen idee of dit juridisch standhoudt, je faciliteert dan immers in technieken die direct kunnen worden herleid aan misdaad
Maar dat is niet waar, het gebruik van stevige encryptie voor communicatie is niet strafbaar. Dit is heel wat anders dan uitlokking door direct illegale waren te kopen/verkopen aan criminelen.
Ja ik snap zelf nooit zo het probleem met criminelen op die manier in de val lokken. Ze gebruiken tóch wel crypto chatdiensten en weet ik het wat dus dan kan de politie beter zorgen dat het hún "crypto" chatdienst is ipv eentje waar ze niks mee kunnen.

Ethisch gezien is het volgens mij ook prima verantwoord. Niet om het één of ander maar volgens mij hoeven we het niet voor die mensen op te nemen, ze begaan niet bepaald verkeersovertredingen.
Losstaande dat data dan ook door politie/justitie gemanipuleerd kan zijn.
Klopt maar in de rechtspraak gaat men uit van de integriteit van de politiediensten. Tenzij je het als verdediging hard kan maken dat de boel gemanipuleerd is ga je daar niks tegen beginnen.
Volgens de berichtgeving in België is de helft van de berichten nog niet ontcijferd. Lijkt me dus niet dat de politie hun eigen app en servers hadden.
Sja, Nederlanders hebben ook nog wel eens moeite met een Belgisch dialect. :+
Hier werkt Sky ECC nog, dus íemand is hier aan het liegen.
Als het de politie is dan zou je denken aan fabriceren van bewijs. Dat zou niet echt zuiver zijn. Dan zijn ze bij mensen binnengevallen zonder echt bewijs of zie ik dat verkeerd?
helemaal mee eens,

en ga als bedrijf dat criminaliteit faciliteert maar eens klagen bij de rechter ... die 'vraagt' gewoon de serverlogs als bewijs en voila NOG meer aanhoudingen ..... ***


*** niet helemaal juridisch kloppend maar desondanks een leuke gedachte.
Welke serverlogs? zal het antwoord zijn.
Daarbij hebben bij E2E encryptie de serverlogs geen leesbare chat geschiedenis, hooguit dat telefoon A een berichtje heeft gestuurd naar telefoon B op die dag en om die tijd.
De lezing van de autoriteiten is compleet anders. Tegen het AD stelt het Openbaar Ministerie "Hier gaan we niet op reageren. De Sky-server is gewoon in beslag genomen". De woordvoering van de Nationale Politie zegt op dinsdag al 'alles gezegd te hebben wat er over de zaak te zeggen valt'.
Het ene sluit het andere toch niet uit? Het is perfect mogelijk dat de politie een gehackte nep-SkyECC app gemaakt heeft, die vooraf heeft geïnstalleerd op nep-SkyECC telefoons, en die onderhands aan criminelen verkocht. Het verkeer van die app leiden ze dan om naar hun eigen servers, en die spelen man-in-the-middle met de rest van het SkyECC netwerk, waardoor ze niet alleen de berichten van de gebruikers van de nep-app konden lezen, maar ook alle berichten van de legitieme SkyECC-gebruikers die berichten naar de nep-telefoons stuurden (dus via de servers van de politie). Dat ze de échte SkyECC servers in beslag hebben genomen is totaal niet relevant in deze.

Uiteindelijk hebben ze de criminele berichten die ze zo hebben kunnen onderscheppen kunnen gebruiken om de échte servers van SkyECC in beslag te nemen, omdat ze nu genoeg bewijs hebben van criminele feiten op dat netwerk, waardoor ze van de onderzoeksrechter een huiszoekingsbevel hebben kunnen krijgen. Die SkyECC servers waren de politie al lang een doorn in het oog, maar ze konden niet hard maken dat er criminele activiteiten op gebeurden. Met de nep-telefoons die contact maakten met het netwerk en de berichten die ze zo konden onderscheppen konden ze dat wel.

Nu ze toegang tot de echte servers hebben, hopen ze natuurlijk daar sleutel-materiaal te kunnen vinden, om berichten die ze voorheen onderschept hebben op het echte SkyECC netwerk alsnog met terugwerkende kracht te kunnen ontsleutelen, om zo nog meer bewijsmateriaal te kunnen verzamelen en dus nog meer mensen te kunnen aanhouden. Of dit ook gaat lukken is natuurlijk een andere vraag. Als SkyECC gebruikt maakt van Perfect Forward Secrecy, kunnen de vroeger onderschepte berichten, ook al hebben ze nu de sleutel in handen, alsnog niet meer ontsleuteld worden.
De politie mag de server hacken en kan daar ook in de rechtszaal mee weg komen in Nederland, de grote vraag is of dat ook in andere landen stand zal houden als blijkt dat de Nederlandse politie de server illegaal is binnen gedrongen (in de meeste landen is het namelijk niet toegestaan dat te doen of het nu om politie werk gaat of niet hacken mag niet)

In Nederland mag de politie niet namaak goederen of producten verkopen in de hoop criminelen in de val te lokken. Zo werkt dat in Nederland nu eenmaal niet.

Gebaseerd op de vele huiszoekingen en claims van de politie dat ze een sky-ecc server in handen hebben lijkt het me dat ze heus wel iets te pakken hebben dat daar mee te maken heeft. Of het echt de server is of dat het een server is en dat er andere nog draaien dat zou natuurlijk kunnen. Hoe dan ook als ik klant was bij deze dienst zou ik toch mijn telefoon en maar even een tijdje in de magnetron stoppen en misschien wat vroeg maar ook maar eens aan de grote schoonmaak beginnen. Voor je het weet heb je bezoek en dat wil je natuurlijk wel dat je huis netjes schoon is.
Het bedrijf Sky ECC moet zijn gegevens publiek maken of bij de criminele organisaties gerangschikt worden.
Klinkt ook wel een beetje als hoe het er in America aan toegaat, daar is uitlokking door de politie toegestaan.
Welke kant van het verhaal moeten we nu geloven?
Maakt het uit?
Als Sky gelijk heeft, zien criminelen het verschil ook niet want de invallen zijn gewoon gebeurd, dus er is resultaat met bewijs.

Dat Sky hier op in gaat is ook een beetje dom, want ze vertellen de politie dat ze nog meer servers hebben, waar de politie nu waarschijnlijk ook naar op zoek gaat.

Als Sky geen gelijk heeft dan is de situatie onveranderd en blijven criminelen hun dienst gebruiken, die de politie kan blijven inzien.

Een beetje lose-lose voor sky

[Reactie gewijzigd door Fordox op 10 maart 2021 13:18]

Dat Sky hier op in gaat is ook een beetje dom, want ze vertellen de politie dat ze nog meer servers hebben, waar de politie nu waarschijnlijk ook naar op zoek gaat.
Sky moet wel ontkennen, met deze clientèle.
Als het goed loos is voor hen, dan lopen ze het risico die criminele organisaties op hun dak te krijgen uit wraak/compensatie.

[Reactie gewijzigd door Fireshade op 10 maart 2021 14:43]

Bedrijfsrisicootje. Ik zou er toch niet graag werken gezien de potentiele clientele.
Het maakt wel degelijk uit. Als de politie Sky gekraakt heeft, dan is dat pech voor Sky, zijn ze toch niet zo goed als ze zeggen. Als de politie Sky niet gekraakt heeft maar er nu wel voor zorgt dat Sky omzetverlies draait, is dat mooi balen voor Sky en ligt de schuld voor het omzetverlies misschien wel bij de politie. Niet echt ok als de politie bedrijven zwart gaat maken.

Dus lose-lose voor sky is het sowieso, maar de vraag is, door wie komt dat?
dat Sky meer servers heeft weet de politie ook wel.
Ik geloof het statement van Sky wel. De politie weet dit ook, maar vertellen het halve (ander?) verhaal zodat men de diensten van Sky niet meer gaat gebruiken. Dan gaat men halsoverkop op zoek naar een andere crypto-telefoondienst, die waarschijnlijk niet zo goed in elkaar zit, zodat aftappen makkelijker gaat..
Als het verhaal van Sky ECC klopt dan verteld de politie een onwaarheid op een manier die mensen in gevaar kan brengen. Klanten van SKy ECC die rare dingen gaan doen bijv.

Om die reden kan ik me ook nauwelijks voorstellen dat de politie bewust dergelijke leugens zou verspreiden.

Aan de andere kant, Sky ECC heeft er in deze fase ook geen belang bij hun klanten voor te liegen. Als dat uitkomt hebben ze een nog groter probleem, vooral gezien de aard van vele van hun klanten.

Als Sky ECC de waarheid verteld dan is hierop in gaan ook niet dom. Sky ECC is waarschijnlijk een legitieme onderneming (het feit dat je veel criminelen als klant hebt maakt je niet automatisch ook crimineel) en dit nieuws schaad hun bedrijf.

Kortom, het maakt wel degelijk uit wat hier aan de hand is.
Sky ECC is waarschijnlijk een legitieme onderneming (het feit dat je veel criminelen als klant hebt maakt je niet automatisch ook crimineel)
Dat is tegenwoordig niet meer zo, je wordt dan gewoon aangeklaagd voor "het faciliteren van".
Dat is tegenwoordig zo voor torrentsites, illegale streaming services, growshops, etc...
Dit is alleen het geval als je wordt geacht te weten wat jouw clientèle uitspookt. Als je groeilampen verkoopt, dan kun je ervan uit gaan dat de koper geen narcissen gaat telen.

Als je cryptotelefoons verkoopt, dan hoef je niet te weten dat de koper iets illegaals van plan is. Niks illegaals aan het versturen van versleutelde berichten. Wel aan het telen van wiet.
Nee, je weet net zoveel zeker bij versleutelde berichten als bij groeilampen.
De kans kan in beide gevallen groot zijn dat het voor illegale doeleinden gebruikt wordt, maar voor het zelfde geld heeft de koper van de lamp een kweekkas waar een paar uur per dag meer licht nodig is.
Zo is de kans bij een cryptotelefoon met een maandelijks abonnement van 200 euro, naar mijn bescheiden mening, vrij klein dat het om communicatie gaat over zaken die het daglicht kunnen verdragen.
Ik denk zelfs dat de kans bij de lamp groter is dat deze legitiem gebruikt zou kunnen worden, dan bij deze telefoons.
Leuk idee maar er zijn wat probleempjes.

Natuurlijk heeft Sky een HA oplossing dat moet ook wel je kunt moeilijk verkopen dat de server de hik had en dat je klanten daarom een paar uur niet konden communiceren met elkaar. En dat zal oom agent ook heus wel opgevallen zijn toen zij op de server rond aan het snuffelen waren.

Dat de HA setup misschien in een zelfde rack of in ieder geval in het zelfde gebouw stond is niet geheel onwaarschijnlijk hoe dom ook je ziet het heel erg vaak bij veel te veel bedrijven dat de HA setup gebaseerd is op twee servers die beide op de zelfde locatie en soms zelfs in het zelfde rack te vinden zijn.
Dat er eventueel ook een offsite backup was waar oom agent niet bij kon omdat ze moeite hadden met identificeren waar het ding stond kan eventueel zijn. En dat Sky op deze wijze door kan gaan met services aanbieden lijkt me ook niet geheel onmogelijk.

Als gewone gebruiker van de dienst is het heel erg vervelend dat dit soort dingen gebeuren want het toont aan dat de servers te hacken waren en dat Sky niet goed haar werk deed om dat te voorkomen of om in ieder geval hacks te detecteren. Dat zou reden genoeg moeten zijn om als normaal persoon die van deze dienst gebruik maakt zo snel mogelijk over te stappen op een beter beveiligde oplossing.
Als crimineel die gebruik maakt van de Sky diensten is het hoog tijd om zo snel mogelijk alle apparaten met deze software te vernietigen, natuurlijk het contract te ontbinden, het huis smetloos schoon te maken en tijdelijk even alles wat met het werk te maken zou kunnen hebben ergens anders op te slaan. In ieder geval tot oom agent en z'n vrienden langs zijn geweest.

Als Sky zijnde is de juiste oplossing klanten niet alleen te vertellen dat dit is gebeurt maar ook uit te leggen hoe dat heeft kunnen gebeuren, aan te geven welke maatregelen genomen worden om herhaling te voorkomen en natuurlijk een nieuwe security officer aan nemen want de huidige stuntel heeft het duidelijk niet helemaal goed begrepen.
Natuurlijk zullen criminelen niet zo dom zijn (nou ja dat zouden ze niet moeten zijn als ze hun vak goed verstaan) om klant bij Sky te blijven. Het is verstandiger om even geen gebruik meer te maken van deze dienst en een andere dienst uit te zoeken. Als blijkt dat oom agent heeft gelogen (lijkt me sterk dat mogen ze niet en zeker niet als het desastreuze gevolgen voor een bedrijf kan hebben) dan zou je kunnen overwegen terug te keren als klant. Maar dan zal Sky wel verbeteringen moeten laten zien in de manier waarop ze hun service beveiligen want daar in zijn ze duidelijk te kort geschoten.
Van beide kanten is de verschafte informatie precies datgene wat je in een dergelijk scenario zou verwachten.

Dus het antwoord is waarschijnlijk: geen van beide verteld de hele waarheid.
Politie vertelt nog niet alles. Maar dat is gebruikelijk als zaken nog lopen.
Dit verhaal stinkt. Toen ik het initiële item op TV zag dacht ik er niet te veel van maar had gelijk wat vraagtekens. Bericht was vooral hoe goed de Nederlandsche Politie wel niet is. Vooral een PR feestje. Het zal mij niets verbazen als het snel om een stunt lijkt te gaan en dat ze “politie” uit waren op een van de effecten van zo’n berichtgeving. Bijvoorbeeld dat er versplintering ontstaat. Of dat er naar nieuwe oplossingen wordt gekeken. Bijvoorbeeld een PoPoCtyptofoon bij PoPoTelecom. Of bijvoorbeeld nu mailtjes gaan sturen en zeggen ze moet de nieuwe versie app even downloaden bij politie.eu.

Ik ben benieuwd
Denk je echt dat de Nederlandse politie lasterlijk mag bejegenen, mag claimen hun infrastructuur in beslag genomen te hebben en hun klanten afgeluisterd te hebben? Denk je niet dat zelfs in bananenland Nederland er regels zijn die de politie verbied zo maar willekeurige bedrijven kapot te maken?

Natuurlijk zal de politie niet het hele verhaal vertellen en het zou me niets verbazen als blijkt dat de servers niet of nauwelijks waren beveiligd en de politie dus vrij spel had om eens lekker rond te snuffelen. Ook vind ik het nog steeds een klein wonder dat er servers nodig zijn om de communicatie tussen criminelen te regelen. Het lijkt me dat het enige dat nodig is het faciliteren van de verbinding van de ene telefoon naar de andere is en dat de apps op de telefoons vervolgens onderling de encryptie regelen zodat de server echt niets anders doet dan de zender en ontvanger verbinden.
Als men op die manier zou werken dan had oom agent de servers heus wel kunnen hacken en er rond kunnen kijken maar veel meer dan bewijzen vinden dat Piet, en Mo met elkaar in contact stonden kunnen ze dan ook niet doen.

Wat dat betreft denk ik dat er nog een heleboel geld te verdienen is in die wereld door de centrale server waar alle communicatie gelezen en waarschijnlijk zelfs opgeslagen wordt een heleboel minder te betrekken bij de communicatie. Ook zou je de data op de server geheel anoniem kunnen maken waardoor het zonder de juiste sleutels praktisch onmogelijk is om te achter halen wie er met wie communiceert tenzij je beide apparaten in handen hebt of de sleutel weet te vinden die de database kan ontsleutelen. Dat zou het hacken van zo'n server door de politie zelfs als dat gebeurt tot een non-event maken tenzij het ze ook lukt de sleutel te vinden zodat ze in ieder geval kunnen zien wie er met wie praat als is dat nog steeds niet echt een ramp.
Aangezien er aanhoudingen hebben plaatsgevonden (waarbij ook vuurwapens in beslag zijn genomen) lijkt het me aannemelijk dat de politie de waarheid vertelt, en Sky ECC slechts gezichtsverlies probeert te vermijden bij hun nog resterende klanten.
Zelf neig ik natuurlijk naar de politie vertrouwen. Maar tegelijkertijd weet ik dat als je degelijk E2EE implementeert, dit niet zomaar te omzeilen is, zonder de client aan te passen. En de politie geeft 0 details vrij over hoe ze dit precies hebben gedaan. Het verkopen van "nep-veilige" telefoons met een nep-app waarbij meegekeken kan worden klinkt niet zo onwaarschijnlijk, en daar kan je ook best wat informatie uit halen.

Kortom, dit is alom een vreemd verhaal. Voor mij is het niet zo onwaarschijnlijk dat de politie enkel gedaan heeft aan phishing en het maken van nep-veilige telefoons, en hier een geweldige hack claim, sinds het magisch ondetecteerbaar hacken van een degelijk beveiligde dienst (ervanuitgaand dat Sky ECC echt degelijk beveiligd was) ongeveer even onwaarschijnlijk is.

Als complotdenker kan je ook denken dat de politie een informant van hoog niveau in de misdaadwereld heeft, en een goede verklaring wil hebben voor deze aanhoudingen zonder te hinten op informanten. Maar ik denk eerder dat ze best wat buit hadden met phishing en nepveilige telefoons, dit in de onderwereld bekend werd, en ze nu claimen alles gehackt te hebben. Zeker omdat als het echt gehackt was terwijl het nog online en breed gebruikt werd, het vreemd is om dat dan wereldkundig te maken, tenzij je het als bewijs nodig hebt in een rechtszaak.
En de politie geeft 0 details vrij over hoe ze dit precies hebben gedaan.
Lijkt me logisch, de politie hoeft hun methodes niet aan het publiek kenbaar te maken, zolang het juridisch klopt. Andere aanbieders en criminelen twijfelen nu aan de beveiliging van hun crypto-telefoons... heerlijk toch.
Zeker niet heerlijk. Als het blijkt dat onze overheid een middel bezit om 521-bit elliptische curve encryptie te breken hebben we een GROOT probleem. Alle asymmetrische encryptie tot nu toe zou dan effectief gebroken kunnen worden.
Ik denk niet dat ze de encryptie gebroken hebben, er zat vast een fout in het systeem van sky.
Dat is niet per se zo; van de P-521 curve is het niet precies bekend hoe de getallen zijn berekend. Volgens de US NSA is dat met een random generator op een HSM gebeurd, maar er is hier destijds geen verslag van gedaan.

Het is wel degelijk mogelijk dat er ergens een probleem in het algoritme of curve zit die de andere cryptografie zoals RSA niet raakt.

We gaan er nog maar even vanuit dat er geen Quantum Computer met > 2100 bit logische qubits is (want dit is nog ver verwijderd van de bekende QC's. Maar die zou wel een P-521 sleutel kunnen kraken maar nog geen 2048 bit RSA sleutel.

Maar dat maakt allemaal niet uit, de kans dat ECC 521 door de NL politie is gekraakt lijkt me buitengewoon klein.

[Reactie gewijzigd door uiltje op 11 maart 2021 11:46]

Zeker niet heerlijk. Als het blijkt dat onze overheid een middel bezit om 521-bit elliptische curve encryptie te breken hebben we een GROOT probleem.
Maar elk nadeel heeft z'n voordeel. Stemmen die opgingen om achterdeurtjes in encryptie aan te brengen, staan nu met een mond vol tanden.
Uiteindelijk zullen belangrijke details in een rechtzaak op tafel komen.
Men zal beschrijven hoe men tewerk gegaan is, maar de specifieke technieken zullen geheim blijven vrees ik.
Dit soort methoden gebruiken ze al zolang er mobiele telefoons zijn. In de jaren 90 bijvoorbeeld, was er nog geen encryptie, maar waren er in het illegale circuit sim kaarten in omloop waar eenmalig een bedrag voor diende te worden betaald. Geen registratie, geen naam opgeven, nooit een rekening ontvangen en zoveel bellen als je wilt.
Achteraf bleken deze ook door opsporingsdiensten uitgegeven te zijn om de boel te kunnen volgen.

Technisch gezien zou het ook niet heel moeilijk zijn om servers van zo'n dienst als deze goed verborgen te houden. Servers staan bij een bulletproof hoster, tunneltjes over meerdere andere servers op locaties over heel de wereld naar endpoints waar de clients weer mee connecten. Beetje a-la TPB.
Ik zie het ook nog wel gebeuren dat de politie de server van de imitator heeft gehackt en het onderscheid niet eens ziet. Of dat de politie zelf die nep-sky-ecc-telefoons heeft verspreidt (maar dat niet willen zeggen want dat is misschien uitlokken?).

Het feit dat er aanhoudingen zijn geweest zegt verder niets over de tegenstrijdige berichten hier.

[Reactie gewijzigd door Ramon op 10 maart 2021 13:39]

Als de politie liegt, brengen ze de levens van Sky ECC-medewerkers onnodig in gevaar, dat is een feit. Je kan de politie van veel betichten, maar liegen met een mogelijke dood tot gevolg, zo ver zijn wij in NL gelukkig (nog) niet.

Anderzijds snap ik echt het verband niet tussen het aantal aanhoudingen/ invallen en het waar of niet waar zijn van de toegepaste werkwijze. Wanneer dit is opgezet vanuit een dummy-corp, en je betaalt per apparaat waarbij ook nog eens moet worden opgegeven welke apparaten met elkaar moeten kunnen communiceren, dan kan dat prima via een dummy-corp en app.

Mocht het echt zo zijn dat er berichten van een jaar geleden terug zijn te halen, dan ga ik ervan uit dat Sky ECC liegt en de medewerkers vrij letterlijk ten dode zijn opgeschreven. Hoe haal je het in het hoofd om een dergelijke dienst op te zetten waarbij gegevens en berichten worden opgeslagen :? .
Het feit dat er invallen zijn geweest waar ruime aantallen wapens gevonden zijn, en er enorme drugsvangsten waren recentelijk. Dan heb ik wel een vermoeden. :D
Die vangsten zijn er altijd, er wordt maar over een beperkt aantal verslagen in het nieuws. Door in een bepaalde periode over een groter percentage van de invallen persberichten de deur uit te doen kan je de beeldvorming al aardig sturen. Feit is in ieder geval dat bijv. drugs nog onverminderd beschikbaar zijn en de prijzen voor eindgebruikers ook niet omhoog lijken te gaan, dus alles wat ze doen is nog steeds een druppel op de gloeiende plaat.

Aan de andere kant van het verhaal (dit is gewoon speculatie hoor) zou het best wel eens zo kunnen zijn dat deze dienst fatsoenlijk is opgezet en dus (vrijwel) onkraakbaar is, en populair. Een tactiek kan dan zijn om de dienst zwart te maken zodat afnemers overschakelen op andere, wellicht minder veilige alternatieven waar ze beter afgeluisterd kunnen worden, en ze een tijdje minder goede communicatie onderling hebben totdat ze zijn overgeschakeld. Als bedrijf vecht je dan tegen een overheid / overheidsinstelling en dat verlies je vrijwel altijd. Collateral damage dus, waar je misschien je gelijk nog zou kunnen halen in een rechtszaak maar tegen die tijd is het al veel te laat omdat het vertrouwen in je dienst al volledig verdwenen is.
Aan de andere kant van het verhaal (dit is gewoon speculatie hoor) zou het best wel eens zo kunnen zijn dat deze dienst fatsoenlijk is opgezet en dus (vrijwel) onkraakbaar is, en populair. Een tactiek kan dan zijn om de dienst zwart te maken zodat afnemers overschakelen op andere,
ik denk inderdaad dat je gelijk hebt. Erg schofterig van de politie en je kunt hier als bedrijf nooit meer bovenop komen. Zelfs al krijg je gelijk van de rechter, klanten zullen je nooit meer vertrouwen en denken dat het honeypot geworden is o.i.d.
28 is ruime aantallen?

Als je in die wereld zit en geen pistool hebt voor zelf verdediging ben je dom.
Het aantal huiszoekingen en maar 28 is teken dat ze niet zo hard hebben gezocht
Ik weet niet hoe groot je denkt dat criminele organisaties zijn, maar 30 aanhoudingen gisteren, plus nog eens 43 in een eerder stadium en 48 in België lijkt mij een prima score.

Dat er meer huiszoekingen zijn dan aanhoudingen lijkt mij vrij logisch, aangezien er veel kantoorpanden bij zitten. Dan heb je bij 1 persoon dus al snel 2 a 3 huiszoekingen.

[Reactie gewijzigd door Aiii op 10 maart 2021 13:21]

Toch vind ik die getallen wat weinig met de genoemde 11.000 gebruikers van die dienst in Nederland.
Mocht het zo zijn dat het merendeel dit soort diensten afneemt voor hun minder frisse zaken dan verwacht ik op zijn minst dat onze hele politiecapaciteit het komende jaar weinig tijd heeft voor andere dingen dan logs doorspitten en oppakken.
Zoals het juichverhaal nu naar buiten wordt gebracht kan je het niet mooier op een presenteerblaadje krijgen dan dit.

Zou trouwens wel een stunt zijn wanneer de politie zelf die foons verkocht heeft en als MITM een Nederlandse server heeft opgezet met een gateway naar de rest van de wereld om criminelen in staat te stellen toch hun bestellingen in Colombia of Mexico te kunnen doen.
Een gebruiker van deze soft/hardware is dan wellicht twijfelachtig, maar niet iedereen is per definitie dan ook gelijk fout. Waarschijnlijk zat gebruikers die dit gebruiken gewoonweg omdat ze Whatsapp niet vertrouwen als het om bedrijfsgevoelige informatie gaat bijvoorbeeld. Of Sky dan wel te vertrouwen is, hou ik even in het midden..
Volgens dit filmpje van de politie gaat het om 28 vuurwapens in Rotterdam (zie tekst op 3:45).

Dat kan natuurlijk betekenen dat er nergens anders wapens gevonden zijn, maar het kan ook betekenen dat er in Rotterdam 28 wapens gevonden zijn en bij huiszoekingen in andere plaatsen nog meer. Zonder het totale plaatje zegt het dus eigenlijk helemaal niets over het totaal aantal gevonden wapens :P
Ik kan me niet veel mislukte liquidaties herinneren waarbij de dader is neergeschoten of het doelwit ontkomen is door zelf een pistool te gebruiken. Een pistool is in de praktijk vrijwel nutteloos als zelfverdedigingswapen.
Jij spreekt over liquidaties, ik denk eerder aan boze klanten die met een bat stoer komen doen of boefjes die je spul komen stelen.

Wat denk je dat het meeste voorkomt in dat wereldje?
Mwa

In geval van Antwerpen en Rotterdam waar er echt drugsmaffia is denk ik niet dat er veel zachtaardig wordt aangepakt.

Als je kijkt naar operatie nachtwacht in Antwerpen is het ook al best aggressief.
Inderdaad. Alleen in films kan de held zich verdedigen met een pistooltje.
Want een mislukte liquidatie of rip deal gaan de betrokkenen ook zelf in het nieuws brengen natuurlijk...

En zoals kondamin al aangeeft, je hebt het specifiek over liquidaties. Hoe vaak zal dat voorkomen in vergelijking met een rip deal, of bij iemand naar binnen rennen om z'n stash mee te nemen?
of er was gewoon niet zoveel loos als men gehoopt/gedacht had.
Het feit dat er invallen zijn geweest waar ruime aantallen wapens gevonden zijn, en er enorme drugsvangsten waren recentelijk. Dan heb ik wel een vermoeden. :D
Het kan een decoy zijn natuurlijk. Als het niet lukt op het netwerk in te breken, maar er voldoende wantrouwen in het netwerk is, functioneert het niet meer.
De kant van de criminelen die iets te verliezen hebben natuurlijk, wie anders?
De kant van de criminelen verdachten die iets te verliezen hebben natuurlijk, wie anders?
Rustig, tweakers. Laat de hooivorken en fakkels nog even in het rek staan... ;)

[Reactie gewijzigd door The Zep Man op 10 maart 2021 13:04]

Gewoon even nadenken.

Een illegale app, maar hoe kan een illegale app dan de echter servers gebruiken. Stel dat het zo is en dit dan op zo een grote schaal gebeurt is dan had men dat misbruik toch moeten ontdekken ?
Als men dat niet ontdekt heeft is het hele systeem dan al niet lek ?
Als de app illegaal is, is er dan nog wel een duur abbo nodig ?

Als ik mag gokken zijn die servers gewoon overgenomen door overheidsdiensten.

Aangezien Sky ECC heel goed weet in welke branche, lees criminelen veel telefoons gebruikt worden zal men natuurlijk alles blijven ontkennen. Toegeven zou best wel eens kunnen betekenen dat je als medewerker of eigenaar van Sky ECC te maken krijgt met criminelen niet niet blij zijn en bij jou thuis verhaal komen halen.
Maakt het uit? Belangrijkste is dat ze de criminelen oppakken. En hoe meer verhalen er zijn, hoe lastiger criminelen het vinden om een nieuwe dienst zoals dit te gaan gebruiken en te vertrouwen.
Ik denk dat de eigenaren van Sky ECC een beetje in hun broek poepen nu.Er hoeven maar een paar van die criminelen meedogenloos te zijn en represaille komt heel snel om de hoek kijken.Vandaar hun verhaaltje dat er aan hun kant niets aan de hand is.Beetje tijd winnen thats all.
Ik geloof geen enkele overheidsdienst meer.
Ik vraag mij af of er ook een check werd gedaan op die "honderden miljoenen berichten" of daar geen gewone privéberichten tussen zitten van niet-criminelen? En zo ja, hoe doet men dat dan? De politiediensten zijn zeer fier over de hoeveelheid van berichten die ze hebben, maar hoe kan daar dan een check op zijn gebeurd? Als die check niet is gebeurd, dan lijkt dat behoorlijk disproportioneel en houdt niets politiediensten tegen om hetzelfde bij andere messaging-apps te gaan doen.
Ik begrijp de totale fixatie op privacy van zo veel Tweakers niet zo.
Als ik in een pand woon dat voor 80% door criminelen wordt gebruikt, vind ik het niet gek dat er ook op mijn deur kan worden geklopt.
Ook in algemene zin, we wonen in een van de best georganiseerde landen ter wereld met de minste corruptie en de beste rechtssystemen, 1984 toestanden zijn gewoon niet aan de orde. Daarom maak ik mij over dit soort dingen geen zorgen.
En dan nog, stel dat jouw privé berichten gelezen worden door een snor op het politie kantoor bij een grote operatie, moet je dan boos zijn of juist blij dat ze zo'n grote operatie voor jou uitvoeren?
De privacy - veiligheid is een balans en totale privacy noch totale veiligheid moet je helemaal niet willen, toch valt het mij op dat ultra high tech mensen neigen naar de extreme privacy kant en naar mijn mening deze overwaarderen.
Ik ben benieuwd naar jullie mening!
Als ik in een pand woon dat voor 80% door criminelen wordt gebruikt, vind ik het niet gek dat er ook op mijn deur kan worden geklopt.
Zou jij het oké vinden als jouw appartement onderzocht wordt omdat er veel criminaliteit binnen jouw appartements-blok is zonder enige andere aanleiding?
Het is niet dat Sky ECC een of andere grote groepschat is, dit gaat over individuele gesprekken.
Ook in algemene zin, we wonen in een van de best georganiseerde landen ter wereld met de minste corruptie en de beste rechtssystemen, 1984 toestanden zijn gewoon niet aan de orde. Daarom maak ik mij over dit soort dingen geen zorgen.
Het probleem is dat data van veel mainstream chatapps waarschijnlijk voor de rest van je leven zal blijven bestaan terwijl er geen garantie is dat dit land altijd zo zal zijn. Ik denk dat het vrij onwaarschijnlijk is dat dit zal veranderen maar niet onwaarschijnlijk genoeg om hier geen rekening mee te houden.
Dat is simpel op te lossen door 1 vage melding over een hennep kwekerij te doen bij Misdaad anoniem (door 1 van de achterburen, aanname, want anoniem). De politie doet wat onderzoek (dus loopt een aantal (3) keren langs), komt langs met een warmte camera, constateert een abnormale warmte (bij het verkeerde huis) en voila een huiszoekings bevel (voor mijn huis, en nee geen plantjes, geen zonnebank etc)

(tussen haakjes mijn eigen ervaring, de nazorg van de Politie is ook niet goed, maar dat is een ander verhaal)

[Reactie gewijzigd door jeanj op 10 maart 2021 14:57]

Slordig politie werk, kan eens gebeuren maar als dit de standaard wordt dan staan we verder van huis...
Zou jij het oké vinden als jouw appartement onderzocht wordt omdat er veel criminaliteit binnen jouw appartements-blok is zonder enige andere aanleiding?
Dat zegt ie niet. Hij zegt alleen dat het niet gek is als je in een pand zit waar veel criminelen zitten je last hebt van de politie.
//edit: verkeerde gequoted.

[Reactie gewijzigd door Ynst2003 op 10 maart 2021 17:02]

Beste rechtssysteem?
De landsadvocaat heeft tientallen miljoenen fraude gepleegd.
De landsadvocaat heeft meineed gepleegd.
Onschuldigen mensen zijn tot fraudeurs verklaard, rechters zijn er in meegegaan.

Rechtspraak is inmiddels zo vertraagd dat 10.000en zaken per jaar blijven liggen.
Daarbij heeft de rechtspraak hoge bariers to entry, waardoor het voor gewone mensen steeds moeilijker wordt om een gang naar de rechter te maken, wat klassejustitie in de hand werkt.

Daarnaast blijkt het keer op keer dat je gegevens ook bij de overheid niet veilig zijn, en zonder toestemming gedeeld worden door 3e partijen.

Met het rapport "Ongekend onrecht" is ook aangetoond dat de Nederlandse overheid de democratie ondermijnt en cultuur heeft om burgers al op voorhand als crimineel te behandelen.

Als het afgelopen jaar nou iets heeft aangetoond, is hoe makkelijk en hoe snel je wel niet in "1984 toestanden" terecht kan komen. Waar het argument veiligheid te pas en te onpas wordt gebruikt, maar waar schijnveiligheid juist het resultaat is. Of de super drogreden en dooddoener "ik heb niets te verbergen"...

Je rechten komen te voet en verdwijnen te paard.
In maart 2019 verscheen het rapport van de onderzoekscommissie die in opdracht van de Raad voor de rechtspraak de rechtbanken onder de loep nam. Hun conclusie: de rechtspraak is te traag, moderniseert niet snel genoeg en kampt met een gebrek aan geld, capaciteit, zelfreflectie en visie.
https://www.volkskrant.nl...onmachtprobleem~b451c472/
Beste rechtssysteem?
(...)
Daarbij heeft de rechtspraak hoge bariers to entry, waardoor het voor gewone mensen steeds moeilijker wordt om een gang naar de rechter te maken, wat klassejustitie in de hand werkt.

Daarnaast blijkt het keer op keer dat je gegevens ook bij de overheid niet veilig zijn, en zonder toestemming gedeeld worden door 3e partijen.

Met het rapport "Ongekend onrecht" is ook aangetoond dat de Nederlandse overheid de democratie ondermijnt en cultuur heeft om burgers al op voorhand als crimineel te behandelen.
Enige wat er nog ontbreekt in je betoog: vergeet niet te stemmen, volgende week! (Nee, dat is niet voor niets)
Absoluut niet mee eens. De geschiedenis leert dat data die beschikbare is en theoretisch te gebruiken is voor oneigenlijke of onbeleefde activiteiten dan op enig moment daar ook daadwerkelijk voor wordt gebruikt.

Om concreet in te gaan op jouw voorbeeld: die agent die mijn appjes zit te lezen doet daar dat denkbeeldige onderzoek misschien niets mee. Maar misschien staat in die appjes wel dat ik graag af en toe wiet rook. En de dag erna ben ik volledig clean betrokken bij een auto ongeluk. Dan ben ik ervan overtuigd dat de agent die onderzoek doet naar het ongeluk ook mijn appjes over wiet roken meeneemt in zijn onderzoek.

Of stel dat ik via appjes aan een vriend opbiecht dat ik HIV heb opgelopen. Dan ben ik ervan overtuigd dat die data op enig moment in de toekomst tegen me gebruikt zouden kunnen worden bijvoorbeeld als ik een nieuwe zorgverzekeraar zoek.

Voor mij is privacy dan ook het hoogste goed en moeten we juist verplicht stellen dat a) alle onnodige data verplicht gewist moet worden en b) alle benodigde data alleen gebruikt mag worden waar het voor verzameld is en niet voor bijvangsten en dat het strafbaar is om dat wel te doen.

Overigens ook die honkbalknuppel in de auto die strafbaar zou zijn ben ik op tegen. Je kunt niet strafbaar zijn op basis van intenties. Je bent strafbaar als je iets strafbaars doet, niet als je erover denk om iets strafbaars te doen. Onschuldig tegen bewezen schuldig.

En uiteindelijk komen deze dingen op hetzelfde neer. Ik vind de vrijheid van het individu het grootste goed. En veel belangrijker dan het argument dat inperking tot meer preventie van of meer veroordeling van crimineel gedraag leidt.
Dan ben ik ervan overtuigd dat de agent die onderzoek doet naar het ongeluk ook mijn appjes over wiet roken meeneemt in zijn onderzoek.
Vermoedelijk zal ik je niet overtuigen, maar je ziet echt spoken.
Of stel dat ik via appjes aan een vriend opbiecht dat ik HIV heb opgelopen. Dan ben ik ervan overtuigd dat die data op enig moment in de toekomst tegen me gebruikt zouden kunnen worden bijvoorbeeld als ik een nieuwe zorgverzekeraar zoek.
Stel dat jij dat tegen een vriend kan vertellen, dan ben je er op onderzocht en dus staat het ook al in jouw patiënten dossier. Die appjes hebben ze dan echt niet nodig, want als ze al de inhoud van de appjes zouden kunnen raadplegen, denk je dan niet dat ze die informatie veel makkelijker uit jouw patiënten dossier zouden kunnen halen?

[Reactie gewijzigd door ralph075 op 10 maart 2021 20:31]

Geheel mee eens. We zijn volslagen doorgeslagen met privacyregels, die bovendien zo dwingend en lastig geformuleerd zijn dat er voor mensen niet of nauwelijks mee om te gaan is. Gevolg: de regels worden nog strenger uitgelegd en afgedwongen dan formeel vereist is. De strijd tegen fraude en andere vormen van criminaliteit wordt er in elk geval behoorlijk door bemoeilijkt. Denk aan gemeenten of overheidsdiensten, die vaak geen gegevens met elkaar mogen delen, of alleen na ingewikkelde en kostbare procedures. Maar ook sportverenigingen zitten met handen in het haar door allerlei beperkingen. Gewoon een elftalfotootje delen wordt al gauw een probleem.

[Reactie gewijzigd door rcoranje op 10 maart 2021 13:51]

Ik ben het grotendeels met je eens, maar ik hoop dat die "snor" niet van elke dienst op elk moment alles kan gaan lezen wat ik ooit stuurde. Het is niet omdat we nu geen 1984-toestanden hebben dat het niet kan komen. Als de politie alle data ter beschikking heeft zal ze na een incident dat de publieke verontwaardiging genoeg opwekt (een terroristische aanslag, een pedofiel, gruwelijke moord op een jong mooi onschuldig meisje ...) de rechten krijgen om hier iets mee te doen. Ik vind het een goed idee dat de politie by default de data niet heeft, maar wanneer je verdacht gedrag stelt de data wel kan krijgen in het kader van een onderzoek.

Hierbij vergeten we natuurlijk wel geheime diensten, die vermoedelijk alle data wel al hebben, wat ook zeer onwenselijk is, want de controle hierop is nog veel beperkter dan op politiediensten.
We moeten niet gaan overdrijven. De meeste mensen zijn totaal oninteressant om alles van in de gaten te houden. De beperkte capaciteit van politie en andere overheidsfunctionarissen beperkt automatisch al een hoop misbruik. Als je echt substantieel de privacy van heel veel mensen zou willen schenden dan moet de ene helft de andere helft in de gaten gaan houden.
Lastige is, waar leg je de grens? 80%? 50%? 5% of toch 0,0001%?
Ik neig nog niet eens zozeer naar de extreme privacykant, maar de overheid en ICT is gewoon geen geweldige combinatie. Zo lang de overheid zich zo incapabel bewijst hoeven ze van mij geen data op te slaan en vind ik het middel erger dan het doel.
Om maar met dat Pand voorbeeld verder te gaan.
Waarschijnlijk is de huur daar lager omdat er zoveel criminaliteit daar is.
En is dat de enige plek voor armere niet-criminelen om daar te wonen, die hebben geen andere keus.
En vervolgens geef je ze nog een trap na door de disproprtioneel grotere kans dat hun deur ingetrapt wordt?

Ik noem dat simpel discriminatie van de arme mensen.

Dus jouw pandjes voorbeeld gaat voor mij niet op
Vooral niet omdat mensen die keuze vaak niet kunnen maken.
Neem Bitcoin bijvoorbeeld. In elk Tweakers artikel roept er wel misntens 1 dat het allemaal criminelen zijn en je als brave burger daat gewoon van weg moet blijven omdat t de zwarte markt helpt.
Maar stop es ff. Bitcoin was niet ontwikkelt voor die reden. Er zijn genoeg mensen die perfect legaal ermee werken en geloven dat het als een toekomstig beter betaalsysteem kan fungeren dan t potje dat de banken er nu van gemaakt hebben. Dat daarna criminelen erop sprongen wil niet zeggen dat je de baby met t badwater moet weggooien.

T zelfde met privacy. We hebben al genoeg voorbeelden van overheden die data lekken. Overheden die data misbruiken. Bedrijven die data misbruiken. Bedrijven die data lekken.

En voor mij persoonlijk de grootste misser. Ik heb HE-LE-MAAL geen enkele data over hoeveel "veiliger" de wereld wordt als ik mijn privacy te grabbel gooi. Heeft iemand daar cijfers over? Iemand die dat kan kwantificeren?
Er zijn genoeg grote problemen die ze kunnen oplossen zonder je privacy ervoor op te geven. Dus begin daar maar mee. Want het vertrouwen dat de overheid zorgvuldig met mijn data zal omgaan is bijzonder laag en moet verdient worden. Die hele toeslagenaffaire laat zien watvoor geklungel ze daar uitspoken. Kleine kinderen met dure speeltjes die maar wat PR uitslaan en alleen maar kijken naar hun imago in plaats van de cijfers.
Ook in algemene zin, we wonen in een van de best georganiseerde landen ter wereld met de minste corruptie en de beste rechtssystemen, 1984 toestanden zijn gewoon niet aan de orde. Daarom maak ik mij over dit soort dingen geen zorgen.
Ik snap je, maar het probleem hiermee, is, stel er komt ooit een regering die niet het beste voor heeft met jou (ons), hoe wil je dan in verzet komen? Antwoord: niet.

Het verleden heeft ons geleerd dat zomaar om kan slaan en als je ook kijkt naar andere landen wereldwijd op dit moment, dan zijn er genoeg voorbeelden te vinden waarin je kunt afvragen of dit allemaal moet willen. En ik zeg 'omslaan', maar eigenlijk is het dat juist niet. Het duurt juist jaren voordat je eigenlijk door hebt, 'verrek, dit gaat eigenlijk te ver', maar dan zijn je rechten al zo ver uitgehol en de techniek zo ver doorgedrongen dat in opstand komen erg lastig wordt..
Probleem is dat de overheid bepaalt wat criminelen juist zijn. 'Misdaad' zonder slachtoffer is geen misdaad.
Ik denk niet dat er veel 'gewone' berichten tussen staan, de prijs is daarvoor erg hoog (zowel p.m. als ook op jaarbasis). Het merendeel zal dus niet zo'n dienst nemen om te praten met hun familieleden of vrienden, die zie ik dan eerder op Telegram of Signal zitten als deze geen WhatsApp gebruiken.

Het zou zeker kunnen, alleen zijn die telefoons zodanig vergrendeld en anoniem bedoeld, dat het mij ook sterk lijkend dat je juist met zo'n platform sociale/niet-criminele dingen gaat doen.

Overigens gebeurt al op grootschalige wijze data-verzameling door onze diensten. Ik weet niet of een aanvraag nog steeds nodig is, maar ZML heeft er genoeg filmpjes over gemaakt:
https://www.youtube.com/watch?v=plLyjO0Qt7k
https://www.youtube.com/watch?v=SdASXiLdOzk
https://www.youtube.com/watch?v=XoCMkJbcYUM

[Reactie gewijzigd door HollowGamer op 10 maart 2021 13:44]

Daar zitten natuurlijk ook gewone berichten tussen van mensen die deze dienst aangeschaft hebben omdat ze erg veel om hun privacy geven.

Tegelijkertijd denk ik dat niet veel gewone burgers zoals (vermoedelijk) jij en ik, de moeite nemen om een speciale telefoon te kopen en een dienst af te nemen om "gewoon" normaal te communiceren via een zeer privacy georienteerde dienst.

Het punt is dat die paar eenlingen die niets te verbergen hebben maar toch deze dienst afnemen, alsnog niet veilig kunnen communiceren met mensen in hun directe kring want iedereen gebruikt Whatsapp, Signal, Telegrim en misschien Threema.

Zal dus wel loslopen wat betreft de aantallen gewone berichten van gewone burgers onderschept op dat platform.

Wat ik mezelf altijd afvraag; waarom gebruiken criminele niet gewoon whatsapp? Je kan toch (zelf)versleutelde berichten versturen? Zo lang alleen jij en de ontvanger de sleutel kent kan toch niemand achterhalen wat het is?

Zorg ervoor dat je elke dag een andere sleutel gebruikt en je bent klaar, een beetje zoals dit:
https://play-lh.googleuse...T7djVaeFFw=w3294-h2146-rw

Draag die "sleutels" bij je op papier en verbrand elke expired key.

[Reactie gewijzigd door procyon op 10 maart 2021 13:28]

Volgens mij doe je nog onnodig ingewikkeld.
Gewoon software gebruiken die assymetrische encryptie gebruikt end to end.
Je genereert elke dag of elke sessie een willekeurige key pair waarvan je de publieke sleutel aan de andere partij overhandigt en niemand die via man in the middle attack je berichten kan onderscheppen.
die random keys kunnen (en worden) ook gelogd, daarom gebruiken ze speciale hardware en software om te voorkomen dat dit gebeurd. tenminste dat zou volgens sky het voordeel zijn, maar ze bieden ook iphones, dus het is ook de vraag of dit legitieme ios is, want je moet wel root toegang hebben tot zaken zoals de bootloader om hardware encryptie in te regelen, en bij apple kom je al helemaal niet gemakkelijk aan core zaken zonder af te doen aan beveiliging. anders kon iedereen ios vervangen voor windows of linux en
eigen firmware erop flashen.
Je moet wel zeker weten dat die asymmetrische sleutel (sym|metrisch en a-sym|metrisch, ezelsbruggetje) van de juiste partij komt. Dus je mist in je beschrijving nogal wat stapjes. Signal gebruikt een double-ratchet. Wel zo handig dat je je sleutels niet persoonlijk langs hoeft te brengen immers.

Verder ben je natuurlijk nog steeds van de applicatie ontwikkelaar afhankelijk.
Als je veilig privé wilt communiceren moet je dat in persoon doen. Digitaal ben je niet veilig. En in dit geval heb je wel de schijn tegen, het is een shady dienst die een duidelijke doelgroep heeft. Niet voor iemand die prive met zn oma wil appen.
Dat er massaal wordt afgeluisterd heeft Snowden ons al geleerd. Als we in NL daar nette wetten voor hebben dan is er wel een ander land dat hier mee komt luisteren.
En hoe weet je (zeker als crimineel) dat prive communicatie wel veilig is?
Je moet toch al een goede reden hebben om zo een dure dienst af te nemen enkel voor privé doeleinden. Dus het zal wel voornamelijk voor criminele doeleinden geweest zijn.
Hoeft toch niet voor privé doeleinden te zijn? Wat als je legale diensten verleent aan de jet set of rijke oliebaronnen.
Eigenlijk zeg je hier "guilty until proven innocent". Gelukkig is dat hier niet zo en is iedereen onschuldig, totdat het tegendeel door een rechter bewezen wordt geacht. Dat iets aannemelijk is wil niet zeggen dat het feitelijk ook zo is, dat is het begin van onze rechtsstaat. Dat is natuurlijk nooit een goede reden om alles maar door te nemen al weet je dat er onschuldige berichten tussen zitten.
Excuseer, wat ik dus bedoel is dat het voornamelijk zal gebruikt worden voor potentiële criminele activiteiten die nu worden onderzocht.
Of m'n nu een "goede reden" heeft of niet, de prijzen zijn een beetje absurd either way...
Je moet toch al een goede reden hebben om zo een dure dienst af te nemen enkel voor privé doeleinden.
Dat hangt er dus in de eerste plaats van af wat je schaart onder privé doeleinden. Het kan best zo zijn dat jij dingen doet die in landelijke en regionale wetgeving wel legaal zijn, maar waar de gemeenschap waar je in verkeert afkeurend over gedacht wordt. Enkele voorbeelden daarvoor in sommige groepen in Nederland zijn televisie kijken en dansen. Als je dat wilt verbergen voor je naaste omgeving, en je kan het financieel lijden, waarom dan niet.

En dat het een dure dienst is, komt ook voor een groot deel door de kleine omvang, als dit net zo groot zou zijn als WhatsApp, dan zou het zeker goedkoper zijn. Verder zie ik mensen grote bedragen uitgeven aan
1) in brocante en oude rommel, vaak in zeer treurige staat, die ik linea-recta in de kliko zou gooien of naar de schroothoop zou brengen. Op Discovery en National Geographic zie je dan nog wel eens programma's waarin ze dat soort dingen opkopen, repareren en verkopen, maar wat sommige van die winkeltjes hier verkopen is meestal ook niet meer op te knappen.
2) meubelen en aanverwanten van oud steigerhout of industriëel uitziende grauwe grijze rommel.
3) andere dingen waarvan ik vind dat het echt zoveel niet waard kan zijn.

Ik denk dan maar dat die mensen (behalve een slechte smaak) gewoon te veel geld hebben, en dat ze door dit aan dergelijke dingen uit te geven zo weer andere mensen van inkomsten voorzien en zo bijdragen aan de economie. Het is alleen zo jammer dat daardoor de spullen die wel van kwaliteit zijn en lang meegaan daardoor van de markt verdreven worden.
Dus het zal wel voornamelijk voor criminele doeleinden geweest zijn.
Nee hoor, ook legaal zakelijk kan het zeer belangrijk zijn om je communicatie te versleutelen. Er kunnen zeker concurrentiegevoelige gegevens mee gemoeid zijn, gevoelige persoonlijke gegevens, of je wilt dat je technische gegevens niet door industriële spionage gestolen wordt.

Als bv Coca-Cola een nieuw recept naar haar landelijke bottelarijen wilt sturen, dan lijkt het me zeer logisch om dat met dergelijke beveiliging te doen. Naar het schijnt (bron wikipedia) stuurt men echter siroop, die ter plaatse aangelegd wordt met water en voorzien van koolzuur (en misschien ook nog wel de suiker)

Ook als je in de vliegtuigbranche zit lijkt het me verstandig zoveel mogelijk communicatie te beveiligen. Via ECHELON bespioneerde de NSA in de jaren 90 Airbus en onderschepte de communicatie tussen Airbus en Saudi-Arabië. Het Engelstalige Wikipedia-artikel zegt tegenwoordig dat dit ging om omkoping, maar toen uitlekte dat Airbus was afgeluisterd, vertelden de toenmalige nieuwsbronnen dat het ging om de ordervoorwaarden en het orderbedrag waardoor McDonnell Douglas er met hun offerte net onder konden zitten. Het Nederlandstalige wikipedia-artikel heeft het over dat "alle onderhandelingen" tussen Airbus en Saudi-Arabië zijn afgeluisterd. Ook recent is gebleken dat Duitsland actief voor de USA spioneerde, o.a. vanuit Echelonbasis Bad Aibling Station in Beieren. In 2004 werd dat officieel gesloten. ECHELON betrof alleen sateliet-communicatie en is inmiddels wel verouderd, maar tegenwoordig gebruikt men PRISM en luistert men ALLES af. Bad Aibling Station is daarna overgenomen door de BND, Bundesnachrichtendienst, de geheime dienst van de Bondsrepubliek. In mei 2015 zou het afluisteren van internetverkeer in opdracht van de NSA gestopt zijn, maar in 2016 heeft men de samenwerking weer opgepakt.

Ook krijgt de USA de volledige transactie-records van alle in Europa (via SWIFT) uitgevoerde banktransacties vanuit de Belgische hoofdkantoor. Officiëel is dit in het kader van het "Terrorist Finance Tracking Program" maar in de praktijk zal de NSA dit ook uitpluizen om commerciële voordelen voor Amerikaanse bedrijven te genereren.

Kortom, bovenstaande zijn maar een paar voorbeelden, maar zeker zijn er legio legale redenen om een dergelijke dienst te gebruiken.
Er zijn claims dat 90% van de klanten criminele bedoelingen had. Als dat cijfer klopt en als men daadwerkelijk alle berichten heeft dan zou dat als proportionieel te oordelen zijn.

Het onderzoek was reeds 2 jaar lopende waarbij een tap op communicatiemiddelen steeds toestemming nodig heeft.

Daarnaast is het niet duidelijk of men daadwerkelijk alle communicatie heeft, dat is momenteel nog geheim van het onderzoek waarbij nu claims zijn dat ze slechts een deel van de communicatie hebben. Beide opties zijn mogelijk, het is geen toeval dat de politie nu hiermee naar buiten komt, dit is grondig voorbereid, als ze niet alle communicatie hebben is het handig de rest in paniek achter te laten waarbij paniek en choas tot fouten kan leiden bij criminele netwerken die niet meer durven communiceren via een netwerk dat wel of niet volledig afgetapt is.

Echter nu mensen opgepakt zijn en er rechtzaken gaan beginnen zullen alle advocaten toetsen of de tap wel rechtmatig was. Eenmaal de verdachten voorgeleid worden hebben de advocaten namelijk toegang tot het dossier.

Indien de uitvoerende macht op grote schaal disproportionieel communicatie heeft afgetapt zullen de advocaten voor de rechterlijke macht dit aan de kaak stellen. Mocht blijken dat de uitvoerende macht serieus buiten de lijntjes gekleurd heeft dan gaat de rechtzaak niet meer over de beschuldigde maar over de uitvoerende macht en het basis fundament van de rechtstaat.

Als de advocaten dat kunnen hard maken dan word al dat bewijsmateriaal eruit gehaald onder de noemer procedure fout. Gebeurd vaak op TV shows omdat ergens een handtekening ontbreekt op een huiszoekingsbevel, in realiteit gebeurd het weinig maar als het gebeurd, dan schreeuwt de publieke opinie moord en brand omdat criminelen/verkrachters/weet ik veel die vrij duidelijk schuldig zijn vrijgesproken worden. Echter de rechtstaat zelf is belangerijker dan die ene crimineel te pakken, daarom dat het dan draait om de rechtstaat en niet meer om wat beschuldigde wel/niet gedaan heeft.

De prijs die de uitvoerende macht dan betaald is dat ze 2 jaar onderzoek in de vuilbak zien vliegen en de criminelen hun uitlachen in hun gezicht. Gezien de grootorde van het dossier ga ik ervan uit dat ze in die 2 jaar heel goed gecontroleerd hebben dat dit scenario uitgesloten is.

[Reactie gewijzigd door sprankel op 10 maart 2021 13:43]

Het probleem is, vanuit de politie gezien, juist andersom.

Je kan geen honderden miljoenen berichten lezen, dus je probeert met slimme zoek methoden dat soort berichten juist zo veel mogelijk over te slaan.

De proportionaliteit heeft te maken met de selectiviteit van de populatie. Als inderdaad 90% van de gebruikers het voor criminele doelen gebruikt (klinkt geloofwaardig, maar geen idee of het klopt) lijkt me dat wel proportioneel. Dat kan je van een willekeurige ander chat app niet zeggen.
dit soort handelsweizen moeten vooraf ALTIJD door de rechter worden getoetst, en één van de belangrijkste vragen zal altijd zijn:

Ja maar moet dat nou echt zo, kan het niet een beetje minder, (proportionaliteit / subsidiariteit)

en de 2e vraag zal altijd zijn:

en de gewone onschuldige burger dan (proportionaliteit / rechtvaardigingsgrond) -

de politie zal dan ook altijd met goed onderbouwde verklaringen komen als:
90% van al het verkeer via deze server is onwettig, en we garanderen dat onschuldig materiaal binnen x werkdagen wordt vernietigd.

Dat wil niet zeggen dat dat dan ook altijd gebeurd, maar rechters zijn doorgaans ook niet gek en worden daarin ook steeds terughoudender. de tijd dat oom agent zegt: het gaat helemaal goedkomen, en hij daarmee zomaar alle toestemmingen kan krijgen is al enige jaren voorbij.
Als die check niet is gebeurd, dan lijkt dat behoorlijk disproportioneel en houdt niets politiediensten tegen om hetzelfde bij andere messaging-apps te gaan doen.
Wanneer je als politie vaststelt dat een groot aantal criminelen gebruikt maakt van een dienst die absolute privacy belooft en hiervoor aangepaste telefoons verkoopt (zonder GPS en zo), dan lijkt het me logisch dat de politie zich fixeert op deze dienst. Normale mensen gebruiken dit soort telefoons niet. Als je dan al toegang verkrijgt tot servers en de berichten kan onderscheppen, dan vang je vast berichten af die niet relevant zijn voor het onderzoek (ook berichten tussen verdachten). Die berichten worden dan ook gewoon genegeerd. Ik zie het probleem niet.
Je zegt het zelf: "of daar geen gewone privé berichten tussen zitten van niet-criminelen". Gezien je zelf lijkt te denken dat er proportioneel gezien vooral criminelen van de dienst gebruikmaken, lijkt de actie jou dus ook eerder proportioneel, als je logisch blijft :)
Het kan natuurlijk wel zo zijn natuurlijk. Sky Global zit in Canada en werkt met Authorized Partners om hun toestellen op de markt te zetten. Als de AP voor de Benelux of Europa bijvoorbeeld door de politie is opgezet of overgenomen, dan kan men daar inderdaad een andere app/serverbackend voor gebruiken dan die door de originele client wordt gebruikt.
De .eu website ziet er totaal anders uit dan de .com website. Dat wordt dus hoogst waarschijnlijk door andere handen gerund dan de .com variant. En daarmee kan het statement wel waar zijn.

[Reactie gewijzigd door Qwerty-273 op 10 maart 2021 13:40]

Maar dat merk je dan toch als je berichten gaat sturen naar mensen die hun toestel wel van een legitieme leverancier hebben gekocht? Die berichten zouden dan niet zomaar kunnen aankomen.

Sowieso probeerd het bedrijf hier te redden wat er te redden valt, want ik verwacht dat bij vele klanten het vertrouwe nu wel zal weg zijn en ze het aantal klanten de komende maanden sterk zullen zien teruglopen.
Klopt, al kan je natuurlijk zowel de originele weg behouden van de berichten, en daar een eigen weg aan toevoegen zodat je toch mee kan lezen. De aankondiging van de politie is puur gericht op Nederland en België, en ik kan mij voorstellen dat pas sinds de neergang van EncroChat de criminelen overgestapt zijn naar Sky ECC. Je zal toch op een gezamenlijk platform moeten zitten om op deze manier met elkaar te kunnen communiceren.

Maar het kan inderdaad een Baghdad Bob persbericht zijn.
Nee die originele weg zou je niet kunnen aanhouden zonder ook de originele server te hacken denk ik. Of mis ik iets?
Als de app zo gemodificeerd is dat deze berichten zowel versleuteld met de originele ECC servers worden uitgewisseld als onversleuteld naar de servers van degene die de aangepaste app ge-sideload heeft, dan kan dit prima zonder originele servers te hacken.
Hoe dan? Je kent de private keys toch niet die de ECC.com server verwacht.

Als ecc.com niet gehackt is kun je met een fake ecc.eu niet met ecc.com communiceren.
Als ik toch een telefoon bij ecc aanschaf met geldig abonnement, en vervolgens deze aanpas en doorverkoop, dan werkt het toch?

Edit: daarnaast worden berichten end to end versleuteld, dus inbreken op het endpoint is (mits ze de end to end encryptie goed op orde hadden) de enige oplossing.

[Reactie gewijzigd door DeV0uReR op 10 maart 2021 21:40]

Ja dat klopt inderdaad, maar ECC claimt dat het illegale/nep telefoons zijn en die hebben dan, neem ik aan, geen geldig abonnement.

Het kan dat de nep telefoons allemaal een gemodificeerde originele zijn, maar volgens mij is dat niet wat ECC claimt.
Legitieme leverancier is in dit geval al grappig: geen enkele van de zaken die een fatsoenlijk webwinkel op zijn site zou moeten vermelden is aanwezig op de site van Sky ECC.
Dat sluit dan weer wel mooi aan bij het publiek waar op gericht wordt.
Geen thuiswinkel-keurmerk? :-D
De whois informatie van skyecc.eu komt volgens https://whois.eurid.eu/ uit bij een Nederlandse hosting partij. De whois informatie van skyecc.com komt volgens https://lookup.icann.org/ uit bij een US hosting partij.

Een beetje door klikken brengt die 2 niet echt bij elkaar. Maar toegegeven, ik ben geen journalist.

Wel weet ik dat een naam.eu adres in Europa moet worden geregistreerd dus dat kan niet direct gekoppeld zijn aan een partij van buiten Europa, dat zal in stappen gaan.
Misschien ben ik een noob op dit gebied, maar met degelijke end to end encryptie zouden ze toch weinig aan die berichten/toegang tot de server hebben? Je zou in ieder geval verwachten dat ze niet zomaar alles kunnen lezen dan? Nu is de end to end encryptie een aanname mijnerzijds, maar ik kan me een dienst als deze niet zonder voorstellen.

Nu ben ik geen security expert, dus wellicht zit ik er volledig naast.
Geen gekke vraag, want op de website staat "End-to-end Encryption
We encrypt your messages and metadata providing the most private messaging solution available." en ook het statement "Secure Messages
Your messages are private, secure, and encrypted with 521-bit ECC. We can’t read your messages. Not now. Not ever."

Dat zou in moeten houden dat ze alleen meta data zouden kunnen zien (wie met wie communiceert), maar geen inhoud.
degelijke end to end encryptie
De site maakt een hoop claims, maar echt duidelijk is het allemaal niet. Er staat nergens duidelijk in of ze E2E toepassen. Ze hebben het steeds over een "secure network". Dat is iets heel anders. Ik zie wel iets over het niet in principe bewaren van berichten, maar soms doen ze dat wel.

Bij whatsapp kan bijvoorbeeld de server je contacten een nieuwe security code sturen. Hiermee zou met medewerking van whatsapp een ander prima jouw berichten kunnen meelezen. Dat de code wordt verandert kan je zien via een notificatie welke standaard uit staat. De meesten zal het niet opvallen.
https://lh3.googleusercon...MldPkBIly7ArWHN-jl1KZVwDr

https://www.skyecc.com/si...vs-sky-ecc-messaging-app/

"Is the company able to read messages?"
No, everything is end-to-end encrypted by default.
Waarschijnlijk heeft m'n de term "hack" heel breed gebruikt. Ik ben zelf nu ook geen expert noemen, maar aangezien er zo veel systemen zijn die al jaren bestaan zonder dat de politie deze kan kraken lijkt me het onwaarschijnlijk dat deze wel gekraakt is. Het woord hack gebruiken is gewoon beter om een mooie headline te creëren. Hopelijk zullen we de komende weken meer te weten over hoe zij dit hebben klaar gespeeld.
Ik neem aan dat advocaten ook gebruikmaakten van Sky ECC.
Dus niet alleen maar criminelen en verdachten gebruiken Sky ECC.
Advocaten kunnen ook crimineel/verdacht zijn
Dat kan natuurlijk, maar overwegend zal dat niet het geval zijn. In ieder geval in Nederland, en in een aantal andere landen ook, hebben verdachten het recht om in volledig vertrouwen te communiceren met hun advocaat. Alleen gaat dat lang niet altijd goed, sterker nog, het gaat keer op keer weer fout, en het is steeds "een fout" of "een softwarefout" waardoor het gebeurt:
nieuws: Overheidsdienst nam duizenden gesprekken van advocaten op door softwa...
nieuws: 25.000 telefoongesprekken met advocaten werden opgenomen door softwar...
nieuws: Nederlandse gevangenisdienst nam 321 gesprekken van gevangenen en adv...
Dus ik kan me prima voorstellen dat je daar als advocaat en/of verdachte weinig vertrouwen in hebt en er dan maar zelf voor zorgt dat je niet afgeluisterd kan worden.
Inderdaad, de opgepakte advocaat Sahil Malik heeft toegegeven dat hij een Sky ECC telefoon had.
Anoniem: 1429318
10 maart 2021 13:00
Lijkt me een paniekverhaal van Sky...
Zou ook wel in paniek raken als je ziet wat voor figuren nu in de problemen zijn gekomen, die dachten tegen betaling onbespied te kunnen communiceren.
Zelfs van veel kleinere spy shops gaat er af en toe een medewerker om. Laat staan als je de grote boeven bedondert heb met beloftes over veiligheid...
Lijkt me ook, alle devices zijn out of stock en abonnementen kunnen ook niet verlengd worden dus er zal echt wel wat aan de hand zijn daar.
They're not even within 100 miles of Baghdad. They are not in any place. They hold no place in Iraq. This is an illusion... they are trying to sell to the others an illusion.

- Mohammed Saeed al-Sahaf
Die man is echt onstervelijk. Wat een icoon :+
Hahaha. Moest ik ook direct aan denken. Omg. Wat was die vent grappig. "Nee, er zijn geen troepen in Baghdad, helemaal geen". En dan die beelden van Amerikaanse soldaten die een drankje zitten te maken op een tank. Voor een paleis. In Baghdad, muhahaha.

https://www.youtube.com/watch?v=-Ung95ORVUY
Ik denk dat Sky zichzelf probeert te beschermen hier want we weten wat voor soort mensen dit soort diensten afnemen. Die gaan natuurlijk niet een klacht indienen of om een vergoeding vragen. Die komen je gewoon halen en daar kom je niet zonder kleerscheuren van af. Het is dus best wel een risicovol business model.
Waarom had Sky dan niet al eerder actie ondernomen, nu hebben ze de schijn tegen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee