Sky ECC ontkent hack door Nederlandse en Belgische politie

Ik vind het wel mooi werk, en gelukkig mogen jou en mijn meningen verschillen....


De bijvangst, advocaten, journalisten, beveiligingsbedrijven. Ceo van bedrijven kan je natuurlijk gewoon niet gebruiken. En verwijderen wanneer je deze tegen komt...

Nee ik heb er niet zoveel moeite mee. En heel hypocriet ja ik gebruik WhatsApp en mijn pc en USB sticks hebben encryptie... Niet voor de overheid, maar voor hackers en info die ik graag zelf hou... Als morgen de politie een kijkje in mijn pc zou willen dan ben ik happy om de boel te ontgrendelen.

Geen idee of dit juridisch standhoudt, je faciliteert dan immers in technieken die direct kunnen worden herleid aan misdaad

Maar dat is niet waar, het gebruik van stevige encryptie voor communicatie is niet strafbaar. Dit is heel wat anders dan uitlokking door direct illegale waren te kopen/verkopen aan criminelen.

Ja ik snap zelf nooit zo het probleem met criminelen op die manier in de val lokken. Ze gebruiken tóch wel crypto chatdiensten en weet ik het wat dus dan kan de politie beter zorgen dat het hún "crypto" chatdienst is ipv eentje waar ze niks mee kunnen.

Ethisch gezien is het volgens mij ook prima verantwoord. Niet om het één of ander maar volgens mij hoeven we het niet voor die mensen op te nemen, ze begaan niet bepaald verkeersovertredingen.

Losstaande dat data dan ook door politie/justitie gemanipuleerd kan zijn.

Klopt maar in de rechtspraak gaat men uit van de integriteit van de politiediensten. Tenzij je het als verdediging hard kan maken dat de boel gemanipuleerd is ga je daar niks tegen beginnen.

Sja, Nederlanders hebben ook nog wel eens moeite met een Belgisch dialect.

Als het de politie is dan zou je denken aan fabriceren van bewijs. Dat zou niet echt zuiver zijn. Dan zijn ze bij mensen binnengevallen zonder echt bewijs of zie ik dat verkeerd?

Welke serverlogs? zal het antwoord zijn.
Daarbij hebben bij E2E encryptie de serverlogs geen leesbare chat geschiedenis, hooguit dat telefoon A een berichtje heeft gestuurd naar telefoon B op die dag en om die tijd.

Het maakt wel degelijk uit. Als de politie Sky gekraakt heeft, dan is dat pech voor Sky, zijn ze toch niet zo goed als ze zeggen. Als de politie Sky niet gekraakt heeft maar er nu wel voor zorgt dat Sky omzetverlies draait, is dat mooi balen voor Sky en ligt de schuld voor het omzetverlies misschien wel bij de politie. Niet echt ok als de politie bedrijven zwart gaat maken.

Dus lose-lose voor sky is het sowieso, maar de vraag is, door wie komt dat?

dat Sky meer servers heeft weet de politie ook wel.
Ik geloof het statement van Sky wel. De politie weet dit ook, maar vertellen het halve (ander?) verhaal zodat men de diensten van Sky niet meer gaat gebruiken. Dan gaat men halsoverkop op zoek naar een andere crypto-telefoondienst, die waarschijnlijk niet zo goed in elkaar zit, zodat aftappen makkelijker gaat..

Leuk idee maar er zijn wat probleempjes.

Natuurlijk heeft Sky een HA oplossing dat moet ook wel je kunt moeilijk verkopen dat de server de hik had en dat je klanten daarom een paar uur niet konden communiceren met elkaar. En dat zal oom agent ook heus wel opgevallen zijn toen zij op de server rond aan het snuffelen waren.

Dat de HA setup misschien in een zelfde rack of in ieder geval in het zelfde gebouw stond is niet geheel onwaarschijnlijk hoe dom ook je ziet het heel erg vaak bij veel te veel bedrijven dat de HA setup gebaseerd is op twee servers die beide op de zelfde locatie en soms zelfs in het zelfde rack te vinden zijn.
Dat er eventueel ook een offsite backup was waar oom agent niet bij kon omdat ze moeite hadden met identificeren waar het ding stond kan eventueel zijn. En dat Sky op deze wijze door kan gaan met services aanbieden lijkt me ook niet geheel onmogelijk.

Als gewone gebruiker van de dienst is het heel erg vervelend dat dit soort dingen gebeuren want het toont aan dat de servers te hacken waren en dat Sky niet goed haar werk deed om dat te voorkomen of om in ieder geval hacks te detecteren. Dat zou reden genoeg moeten zijn om als normaal persoon die van deze dienst gebruik maakt zo snel mogelijk over te stappen op een beter beveiligde oplossing.
Als crimineel die gebruik maakt van de Sky diensten is het hoog tijd om zo snel mogelijk alle apparaten met deze software te vernietigen, natuurlijk het contract te ontbinden, het huis smetloos schoon te maken en tijdelijk even alles wat met het werk te maken zou kunnen hebben ergens anders op te slaan. In ieder geval tot oom agent en z'n vrienden langs zijn geweest.

Als Sky zijnde is de juiste oplossing klanten niet alleen te vertellen dat dit is gebeurt maar ook uit te leggen hoe dat heeft kunnen gebeuren, aan te geven welke maatregelen genomen worden om herhaling te voorkomen en natuurlijk een nieuwe security officer aan nemen want de huidige stuntel heeft het duidelijk niet helemaal goed begrepen.
Natuurlijk zullen criminelen niet zo dom zijn (nou ja dat zouden ze niet moeten zijn als ze hun vak goed verstaan) om klant bij Sky te blijven. Het is verstandiger om even geen gebruik meer te maken van deze dienst en een andere dienst uit te zoeken. Als blijkt dat oom agent heeft gelogen (lijkt me sterk dat mogen ze niet en zeker niet als het desastreuze gevolgen voor een bedrijf kan hebben) dan zou je kunnen overwegen terug te keren als klant. Maar dan zal Sky wel verbeteringen moeten laten zien in de manier waarop ze hun service beveiligen want daar in zijn ze duidelijk te kort geschoten.

Politie vertelt nog niet alles. Maar dat is gebruikelijk als zaken nog lopen.

Ik zie het ook nog wel gebeuren dat de politie de server van de imitator heeft gehackt en het onderscheid niet eens ziet. Of dat de politie zelf die nep-sky-ecc-telefoons heeft verspreidt (maar dat niet willen zeggen want dat is misschien uitlokken?).

Het feit dat er aanhoudingen zijn geweest zegt verder niets over de tegenstrijdige berichten hier.

[Reactie gewijzigd door Ramon op 10 maart 2021 13:39]

Als de politie liegt, brengen ze de levens van Sky ECC-medewerkers onnodig in gevaar, dat is een feit. Je kan de politie van veel betichten, maar liegen met een mogelijke dood tot gevolg, zo ver zijn wij in NL gelukkig (nog) niet.

Anderzijds snap ik echt het verband niet tussen het aantal aanhoudingen/ invallen en het waar of niet waar zijn van de toegepaste werkwijze. Wanneer dit is opgezet vanuit een dummy-corp, en je betaalt per apparaat waarbij ook nog eens moet worden opgegeven welke apparaten met elkaar moeten kunnen communiceren, dan kan dat prima via een dummy-corp en app.

Mocht het echt zo zijn dat er berichten van een jaar geleden terug zijn te halen, dan ga ik ervan uit dat Sky ECC liegt en de medewerkers vrij letterlijk ten dode zijn opgeschreven. Hoe haal je het in het hoofd om een dergelijke dienst op te zetten waarbij gegevens en berichten worden opgeslagen .

Het feit dat er invallen zijn geweest waar ruime aantallen wapens gevonden zijn, en er enorme drugsvangsten waren recentelijk. Dan heb ik wel een vermoeden.

Het kan een decoy zijn natuurlijk. Als het niet lukt op het netwerk in te breken, maar er voldoende wantrouwen in het netwerk is, functioneert het niet meer.

De kant van de criminelen verdachten die iets te verliezen hebben natuurlijk, wie anders?

Rustig, tweakers. Laat de hooivorken en fakkels nog even in het rek staan...

[Reactie gewijzigd door The Zep Man op 10 maart 2021 13:04]

Gewoon even nadenken.

Een illegale app, maar hoe kan een illegale app dan de echter servers gebruiken. Stel dat het zo is en dit dan op zo een grote schaal gebeurt is dan had men dat misbruik toch moeten ontdekken ?
Als men dat niet ontdekt heeft is het hele systeem dan al niet lek ?
Als de app illegaal is, is er dan nog wel een duur abbo nodig ?

Als ik mag gokken zijn die servers gewoon overgenomen door overheidsdiensten.

Aangezien Sky ECC heel goed weet in welke branche, lees criminelen veel telefoons gebruikt worden zal men natuurlijk alles blijven ontkennen. Toegeven zou best wel eens kunnen betekenen dat je als medewerker of eigenaar van Sky ECC te maken krijgt met criminelen niet niet blij zijn en bij jou thuis verhaal komen halen.

Geheel mee eens. We zijn volslagen doorgeslagen met privacyregels, die bovendien zo dwingend en lastig geformuleerd zijn dat er voor mensen niet of nauwelijks mee om te gaan is. Gevolg: de regels worden nog strenger uitgelegd en afgedwongen dan formeel vereist is. De strijd tegen fraude en andere vormen van criminaliteit wordt er in elk geval behoorlijk door bemoeilijkt. Denk aan gemeenten of overheidsdiensten, die vaak geen gegevens met elkaar mogen delen, of alleen na ingewikkelde en kostbare procedures. Maar ook sportverenigingen zitten met handen in het haar door allerlei beperkingen. Gewoon een elftalfotootje delen wordt al gauw een probleem.

[Reactie gewijzigd door rcoranje op 10 maart 2021 13:51]

Lastige is, waar leg je de grens? 80%? 50%? 5% of toch 0,0001%?
Ik neig nog niet eens zozeer naar de extreme privacykant, maar de overheid en ICT is gewoon geen geweldige combinatie. Zo lang de overheid zich zo incapabel bewijst hoeven ze van mij geen data op te slaan en vind ik het middel erger dan het doel.

Om maar met dat Pand voorbeeld verder te gaan.
Waarschijnlijk is de huur daar lager omdat er zoveel criminaliteit daar is.
En is dat de enige plek voor armere niet-criminelen om daar te wonen, die hebben geen andere keus.
En vervolgens geef je ze nog een trap na door de disproprtioneel grotere kans dat hun deur ingetrapt wordt?

Ik noem dat simpel discriminatie van de arme mensen.

Dus jouw pandjes voorbeeld gaat voor mij niet op
Vooral niet omdat mensen die keuze vaak niet kunnen maken.
Neem Bitcoin bijvoorbeeld. In elk Tweakers artikel roept er wel misntens 1 dat het allemaal criminelen zijn en je als brave burger daat gewoon van weg moet blijven omdat t de zwarte markt helpt.
Maar stop es ff. Bitcoin was niet ontwikkelt voor die reden. Er zijn genoeg mensen die perfect legaal ermee werken en geloven dat het als een toekomstig beter betaalsysteem kan fungeren dan t potje dat de banken er nu van gemaakt hebben. Dat daarna criminelen erop sprongen wil niet zeggen dat je de baby met t badwater moet weggooien.

T zelfde met privacy. We hebben al genoeg voorbeelden van overheden die data lekken. Overheden die data misbruiken. Bedrijven die data misbruiken. Bedrijven die data lekken.

En voor mij persoonlijk de grootste misser. Ik heb HE-LE-MAAL geen enkele data over hoeveel "veiliger" de wereld wordt als ik mijn privacy te grabbel gooi. Heeft iemand daar cijfers over? Iemand die dat kan kwantificeren?
Er zijn genoeg grote problemen die ze kunnen oplossen zonder je privacy ervoor op te geven. Dus begin daar maar mee. Want het vertrouwen dat de overheid zorgvuldig met mijn data zal omgaan is bijzonder laag en moet verdient worden. Die hele toeslagenaffaire laat zien watvoor geklungel ze daar uitspoken. Kleine kinderen met dure speeltjes die maar wat PR uitslaan en alleen maar kijken naar hun imago in plaats van de cijfers.

Ook in algemene zin, we wonen in een van de best georganiseerde landen ter wereld met de minste corruptie en de beste rechtssystemen, 1984 toestanden zijn gewoon niet aan de orde. Daarom maak ik mij over dit soort dingen geen zorgen.

Ik snap je, maar het probleem hiermee, is, stel er komt ooit een regering die niet het beste voor heeft met jou (ons), hoe wil je dan in verzet komen? Antwoord: niet.

Het verleden heeft ons geleerd dat zomaar om kan slaan en als je ook kijkt naar andere landen wereldwijd op dit moment, dan zijn er genoeg voorbeelden te vinden waarin je kunt afvragen of dit allemaal moet willen. En ik zeg 'omslaan', maar eigenlijk is het dat juist niet. Het duurt juist jaren voordat je eigenlijk door hebt, 'verrek, dit gaat eigenlijk te ver', maar dan zijn je rechten al zo ver uitgehol en de techniek zo ver doorgedrongen dat in opstand komen erg lastig wordt..

Probleem is dat de overheid bepaalt wat criminelen juist zijn. 'Misdaad' zonder slachtoffer is geen misdaad.

En hoe weet je (zeker als crimineel) dat prive communicatie wel veilig is?

Hoeft toch niet voor privé doeleinden te zijn? Wat als je legale diensten verleent aan de jet set of rijke oliebaronnen.

Of m'n nu een "goede reden" heeft of niet, de prijzen zijn een beetje absurd either way...

Je moet toch al een goede reden hebben om zo een dure dienst af te nemen enkel voor privé doeleinden.

Dat hangt er dus in de eerste plaats van af wat je schaart onder privé doeleinden. Het kan best zo zijn dat jij dingen doet die in landelijke en regionale wetgeving wel legaal zijn, maar waar de gemeenschap waar je in verkeert afkeurend over gedacht wordt. Enkele voorbeelden daarvoor in sommige groepen in Nederland zijn televisie kijken en dansen. Als je dat wilt verbergen voor je naaste omgeving, en je kan het financieel lijden, waarom dan niet.

En dat het een dure dienst is, komt ook voor een groot deel door de kleine omvang, als dit net zo groot zou zijn als WhatsApp, dan zou het zeker goedkoper zijn. Verder zie ik mensen grote bedragen uitgeven aan
1) in brocante en oude rommel, vaak in zeer treurige staat, die ik linea-recta in de kliko zou gooien of naar de schroothoop zou brengen. Op Discovery en National Geographic zie je dan nog wel eens programma's waarin ze dat soort dingen opkopen, repareren en verkopen, maar wat sommige van die winkeltjes hier verkopen is meestal ook niet meer op te knappen.
2) meubelen en aanverwanten van oud steigerhout of industriëel uitziende grauwe grijze rommel.
3) andere dingen waarvan ik vind dat het echt zoveel niet waard kan zijn.

Ik denk dan maar dat die mensen (behalve een slechte smaak) gewoon te veel geld hebben, en dat ze door dit aan dergelijke dingen uit te geven zo weer andere mensen van inkomsten voorzien en zo bijdragen aan de economie. Het is alleen zo jammer dat daardoor de spullen die wel van kwaliteit zijn en lang meegaan daardoor van de markt verdreven worden.

Dus het zal wel voornamelijk voor criminele doeleinden geweest zijn.

Nee hoor, ook legaal zakelijk kan het zeer belangrijk zijn om je communicatie te versleutelen. Er kunnen zeker concurrentiegevoelige gegevens mee gemoeid zijn, gevoelige persoonlijke gegevens, of je wilt dat je technische gegevens niet door industriële spionage gestolen wordt.

Als bv Coca-Cola een nieuw recept naar haar landelijke bottelarijen wilt sturen, dan lijkt het me zeer logisch om dat met dergelijke beveiliging te doen. Naar het schijnt (bron wikipedia) stuurt men echter siroop, die ter plaatse aangelegd wordt met water en voorzien van koolzuur (en misschien ook nog wel de suiker)

Ook als je in de vliegtuigbranche zit lijkt het me verstandig zoveel mogelijk communicatie te beveiligen. Via ECHELON bespioneerde de NSA in de jaren 90 Airbus en onderschepte de communicatie tussen Airbus en Saudi-Arabië. Het Engelstalige Wikipedia-artikel zegt tegenwoordig dat dit ging om omkoping, maar toen uitlekte dat Airbus was afgeluisterd, vertelden de toenmalige nieuwsbronnen dat het ging om de ordervoorwaarden en het orderbedrag waardoor McDonnell Douglas er met hun offerte net onder konden zitten. Het Nederlandstalige wikipedia-artikel heeft het over dat "alle onderhandelingen" tussen Airbus en Saudi-Arabië zijn afgeluisterd. Ook recent is gebleken dat Duitsland actief voor de USA spioneerde, o.a. vanuit Echelonbasis Bad Aibling Station in Beieren. In 2004 werd dat officieel gesloten. ECHELON betrof alleen sateliet-communicatie en is inmiddels wel verouderd, maar tegenwoordig gebruikt men PRISM en luistert men ALLES af. Bad Aibling Station is daarna overgenomen door de BND, Bundesnachrichtendienst, de geheime dienst van de Bondsrepubliek. In mei 2015 zou het afluisteren van internetverkeer in opdracht van de NSA gestopt zijn, maar in 2016 heeft men de samenwerking weer opgepakt.

Ook krijgt de USA de volledige transactie-records van alle in Europa (via SWIFT) uitgevoerde banktransacties vanuit de Belgische hoofdkantoor. Officiëel is dit in het kader van het "Terrorist Finance Tracking Program" maar in de praktijk zal de NSA dit ook uitpluizen om commerciële voordelen voor Amerikaanse bedrijven te genereren.

Kortom, bovenstaande zijn maar een paar voorbeelden, maar zeker zijn er legio legale redenen om een dergelijke dienst te gebruiken.

https://lh3.googleusercon...MldPkBIly7ArWHN-jl1KZVwDr

https://www.skyecc.com/si...vs-sky-ecc-messaging-app/

"Is the company able to read messages?"
No, everything is end-to-end encrypted by default.

Zelfs van veel kleinere spy shops gaat er af en toe een medewerker om. Laat staan als je de grote boeven bedondert heb met beloftes over veiligheid...