Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

De software die push-e-mail op Blackberry's verzorgt, heeft een veiligheidskeurmerk gekregen van het Fraunhofer Institut Sichere Informations-Technologie. De software bevat geen achterdeurtjes, zeggen de Duitse beveiligingsspecialisten.

Blackberry 8110 PearlRIM heeft de software laten testen door het Fraunhofer Institut SIT, dat onder meer ook de beveiliging voor banken onderzoekt, om bedrijven en overheden ervan te overtuigen dat de push-e-mailfunctionaliteit veilig is. "Het moet bevestigen dat bedrijven en overheden de Blackberry veilig kunnen gebruiken", aldus Paul Maris, een woordvoerder voor de Blackberry-fabrikant.

Het testrapport van Fraunhofer stelt dat het risico dat derden toegang tot vertrouwelijke informatie krijgen, 'miniem' is en dat RIM geen achterdeurtjes heeft ingebouwd. Het certificaat is geldig voor de Enterprise-software van RIM en geldt tot 2010. De test is uitgevoerd met een Pearl-model van de Canadese smartphonemaker.

De timing van de publicatie van de test is opvallend. RIM lanceerde vorige week het touchscreenmodel Storm, waarmee voornamelijk op de consumentenmarkt wordt gemikt. RIM moet het steeds minder hebben van bedrijven. In het eerste halfjaar van 2008, toen de consumentenmodellen Bold en Storm nog niet op de markt waren, werd al ongeveer twee derde van de Blackberry's verkocht aan niet-zakelijke klanten.

Moderatie-faq Wijzig weergave

Reacties (33)

Tsja timing komt wel goed uit nadat Obama zijn Blackberry in moest leveren vanwege veiligheidsredenen... Terecht of niet, maar kan me voorstellen dat je als bedrijf dan toch even wilt laten weten dat het ding echt veilig is en dat de policies van het witte huis misschien dus "overdreven" streng zijn.
Voor zover ik begrepen heb is de reden dat Obama zij Blackberry is moest leveren niet zo zeer het feit dat er achterdeurtjes in kunnen zitten.

Het probleem is dat alle communicatie (ook digitale communicatie) van een president van de VS gearchiveerd moet worden. Zo'n Blackberry compliceert deze -toch al steeds ingewikkelder wordende - taak.

Vanwege deze verplichting heeft George W. Bush bijvoorbeeld gekozen om privé geen mail meer uit te wisselen nadat hij president geworden is.
Maar daar lijkt me dat de Blackberry daar nu juist uitermate geschikt voor is?
Alles loopt via de BES server, dus je kan daar een logger op zetten.
Ook bedrijven moeten voldoen aan loggen van email en zo, dus daar zal toch wel een mogelijkheid voor zijn?
Anders begrijp ik niet waarom je perse een Blackberry zou moeten hebben en niet een andere telefoon met een imap-idle verbinding (die dan dus ook pusht).
Er zijn nog meer security voordelen van een Blackberry - je kan een Blackberry bv via remote admin zo dicht timmeren dat de gebruiker (of iemand die de telefoon tijdelijk in handen heeft gekregen!) er ook geen ongeauthoriseerde apps (keylogger/diallers/mailforwarders) op kan zetten en dat is (tot nu toe!) niet gekraakt, en dat is bij de concurrentie (Symbian certificaten spoofs, iPhone jailbreaks) wel anders. Blackberry is, totdat er serieuze security problemen opduiken, op het moment nog het veiligste mobiele email platform. Ze zullen wel hard moeten werken om dit in de toekomst te blijven.

[Reactie gewijzigd door Dreamvoid op 26 november 2008 11:51]

je kan een Blackberry bv via remote admin zo dicht timmeren dat de gebruiker (of iemand die de telefoon tijdelijk in handen heeft gekregen!) er ook geen ongeauthoriseerde apps (keylogger/diallers/mailforwarders) op kan zetten en dat is (tot nu toe!) niet gekraakt
Het feit dat de blackberry nog niet gekraakt is, is meer het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
De iphone bijvoorbeeld, moet gekraakt om een ongeautoriseerde app te laten draaien, en gezien alle iphone apps geautoriseerd moeten zijn is de druk om het systeem te kraken daar veel hoger.

Ook het feit dat RIM zelf de opdracht geeft om de Blackberry op veiligheid te testen zegt wel iets over de neutraliteit van het onderzoek. Als Microsoft een onderzoek laat uitvoeren komt het 'toevallig' ook altijd uit in het voordeel van Microsoft (bvb. de campagne dat Linux duurder is dan Windows)

PS: Ik wil hier niet zeggen dat Blackberry's onveilig zijn, maar ik heb serieuze vragen bij zulke onderzoeken

[Reactie gewijzigd door iMispel op 26 november 2008 13:19]

Er zijn miljoenen BB gebruikers, er zijn ONTZETTEND veel topmanagers die een BB gebruiken. Dat alleen is reden genoeg om iets te kraken. Vergeet het, het is ze gewoon nog niet gelukt. Enfin, eigenlijk wel al, maar dat hield wel in dat de gebruiker zelf verkeerde handelingen moest doen. Zo kan je alles kraken natuurlijk, ik bel naar een linux gebruiker en vraag hem vriendelijk poort X of Y open te zetten... Mja..
Het feit dat de blackberry nog niet gekraakt is, is meer het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
Hoe zit het eigenlijk met die claim van de Indiase regering dat ze BB mail zouden kunnen lezen?
...het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
Da's echt onzin... Die dingen bestaan al jaren en in miljoenen aantallen. Er zijn heus al vele vele pogingen geweest om 't te kraken. Als de beveiliging net zo slecht was als van andere systemen dan was 't heus al lang gekraakt, hoor.
(Niet dat 't nooit gekraakt kan worden natuurlijk.)
Die maatregel dient om de president tegen zichzelf te beschermen. Er zijn ook andere manieren dan hacken om de informatie in de BB van een president te achterhalen. Gewoon wachten tot de president zijn BB ergens vergeet. De president is ook maar een mens.
Obama moet alles afgeven waar hij mee kan communiceren, zo simpel is het. Als hij persoonlijk een email schrijft, moet hij dat publiek maken. Ook privé mails, en ook privé telefoons. De president van de VS heeft GEEN privé, alles is publiek. Daarom heeft hij een hele delegatie mensen rond hem, die voor hem bellen, die voor hem emailen, die voor hem faxen, die voor hem speeches voorbereiden etc etc. Leuk he, president zijn. Zoals de vorige tegen zijn vrienden zei in zijn laatste mail (denk toch per mail) voor hij in het Witte Huis trok: "Hopelijk horen jullie pas terug van mij over 8 jaar", want dat wilde zeggen dat hij hoopte vier jaar later opnieuw verkozen te worden. Dit heeft dus niets te maken met het feit dat hij een BB had.
Wat houd het in als zij het risico 'miniem' noemen? "Vrijwel niet mogelijk" ?

Denk niet dat Obama alsnog zijn blackberry mag houden..
Dat er geen bewuste backdoors inzitten. Bij zulke complexe software (zeg maar elk stuk software met meer dan 10.000 regels code) kan je niet tegen acceptabele kosten bewijzen dat er geen fouten in de implementatie zitten. Daarna zal je nog moeten bewijzen dat de gebruikte encryptie niet te kraken is binnen een acceptabele tijd. Dus meer dan 'vrijwel' zit er niet in.
En dan nog, zelfs al zou de software bewijsbaar juist zijn, dan kan de hardware (bv. hardware random generator voor encryptie) nog roet in het eten gooien.
Ik heb een tijdje geleden gelezen over verschillende beveiligingsniveaus die toegekent kunnen worden aan systemen. Het niveau A1 is naar mijn weten nog nooit behaald dus ik denk dat ze het risico miniem noemen omdat het nog niet A1 niveau beveiligd is.

http://stason.org/TULARC/...-C2-B1-B2-B3-A1-syst.html
http://williamstallings.c...tes/lectures/trusted.html
Geen enkel stuk software is vrij van fouten en het is altijd mogelijk dat iemand een manier vind om alsnog aan de gegevens te geraken.
Het is ook dom om als bedrijf te zeggen dat het perfect is! dat krijg je vroeg of laat altijd op je bordje
En vervolgens nemen politici een blackberry waarbij de email opgeslagen wordt op een Amerikaanse server. En die heeft geen backdoor, alleen een frontdoor ;)
Jongens toch, geef geen commentaar als je het systeem niet kent. De emails bevinden zich op de corporate email server, zijnde exchange, domino of groupwise (voor bedrijfs-blackberrys toch). ALLE verkeer, nadruk op "alle", wordt gecomprimeerd en versleuteld door 3DES+AES vanaf punt A, zijnde de BB, tot aan punt B, zijnde de corporate blackberry server. Deze laatste decrypteert en decompresseert alles weer om door te sturen naar de corporate mail server die volgens best practices in hetzelfde subnet als de mailserver zit. Tussen punt A en B liggen de servers van Blackberry (voor ons in de UK) en de infrastructuur van je provider (proxiimus, ...). Maar nergens hier is de informatie aanwezig die nodig is tot het ontcijferen van de sleutel. De emails worden dus NIET bijgehouden op de servers van RIM. Ik hoop dat dit duidelijk is. <zucht>

[Reactie gewijzigd door deronny op 26 november 2008 14:14]

Da's voor Obama en co geen probleem. Voor Europese politici heb je wel gelijk.
Ik neem aan dat dit certificaat ook enkel voor één versie van de software geldt?
Hoe gaan ze nu om met updates? Worden de voor de veiligheid benodigde updates ook gecertificeerd? Anders zou de software na een update niet meer gecertificeerd zijn (met een update zou wel een achterdeur geïnstalleerd kunnen worden).
Vast wel. Maar RIM zal echt niet het risico willen lopen dat ze in een later stadium toch worden gesnapt met een backdoor.

Aan de andere kant, hoe onafhankelijk is het Fraunhofer instituut eigenlijk? Wat gebeurt er als het Fraunhofer instituut van bv. een CIA een verzoek krijgt tot het inbouwen van een backdoor? Zullen ze niet doen? Het verzoek van de FBI om hun keylogger trojan 'Magic Lantern' niet te herkennen werd door bv. Symantec gehonoreerd! Andere virusscannerbouwers vertikten aan het verzoek van de FBI te voldoen.

Ik heb dus niet zo heel veel vertrouwen in een certificaat van zo'n instituut. Prima dat ze het onderzocht hebben en ik wil best geloven dat zij hun goede naam durven te verbinden aan het resultaat. Maar het is niet controleerbaar.
Tja, ik werk zelf bij het Fraunhofer (heel ander bereik - windenergie). Het is het Duitse TNO (maar nogal wat groter) 205 van de overheid, de rest van industrie en eigen middelen (MP3 patent en zo). Volgens mij ongeveer zo onafhankelijk als mogelijk, in ieder geval wat minder gevoelig voor Amerikaanse druk. 100% veiligheid bestaat natuurlijk ook hier niet.......... :)
Ik lees nergens dat ze de broncode hebben bekeken. Alleen door de broncode te testen kan men zien of er een achterdeurtje in zit.

Dat is het nadeel van alle gesloten software je kan het niet controleren. Wil je dus zekerheid moet je open-source gebruiken waarbij iedereen (met verstand van software) de broncode kan bekijken op achterdeurtjes.

My gesloten software kun ej er vaak vanuitgaan dat onderdruk van overheden er een achterdeurtje in zin.
Da's pertinenten onzin. Bijna alle software fabrikanten geven onder NDA security bedrijven of overheid toegang om source code te bekijken (anders kan je ook decompilen), en aan een open source applicatie kan je net zo makkelijk voor het compileren een backdoor toevoegen.

[Reactie gewijzigd door Dreamvoid op 26 november 2008 11:40]

Wat leegdroom zegt. Als een stuk opensourcesoftware is gecompiled kun je er niet zo veel meer aan controleren. Aangezien het compileren wordt gestart door een mens, is dat dus een liability net als bij closedsourcesoftware. Misschien is opensource zelfs wel minder veilig omdat je er vanuit gaat dat het door veel mensen is gelezen.

Hoewel het natuurlijk wel heel goed mogelijk is om van de bron en bytecode een hash te maken en die te controleren met de versie die gechecked is.
My gesloten software kun ej er vaak vanuitgaan dat onderdruk van overheden er een achterdeurtje in zin.
En die sporen die je wel eens in de lucht ziet zijn chemtrails waarmee de overheden het volk in hun macht houden... *Zet aluhoedje op*


*offtopic en geen directe reactie bbob* Wanneer leren mensen nou eens dingen die ze niet zeker weten ook zo te formuleren? In plaats van 'Zo is het' > 'Volgens mij is het zo'.
Ze kunnen dit bericht best publiceren, dit maakt alleen maar een uitdaging voor hackers en crackers om toch een backdoor te vinden in software die door specialisten is getest.
Gaat er meer om dat de data overdracht het veilig is, Balkende en Bos hebben ook afgesproken geen kritieke data via hun Blackberry te sturen. Nu kunnen ze dat wel doen.
En dan nog, wil dat gevaarlijk of onwenselijk zijn dan is het vaak ook nog zo dat je het snel moet weten te ontcijferen. Als Bos met z'n BB mailde dat hij X miljard voor Fortis wilde betalen en dat komt nu pas uit dan is dat niet zo erg meer, iedereen weet het toch al.
Ik begreep dat e-mail verkeer juist van bb zo onveilig was als de pest aangezien ze precies kunnen zien wie wat mailt en waar naar toe
zodoende kunnen bedrijven in de vs profiteren van deals die gemaakt worden vanuit buitenland

buitenlanders worden helemaal afgesnift door de vs
Alle telefoons, behalve de iPhone. Hoe verwissel je anders de batterij? ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True