Fraunhofer: Blackberry-software heeft geen achterdeurtjes

De software die push-e-mail op Blackberry's verzorgt, heeft een veiligheidskeurmerk gekregen van het Fraunhofer Institut Sichere Informations-Technologie. De software bevat geen achterdeurtjes, zeggen de Duitse beveiligingsspecialisten.

Blackberry 8110 PearlRIM heeft de software laten testen door het Fraunhofer Institut SIT, dat onder meer ook de beveiliging voor banken onderzoekt, om bedrijven en overheden ervan te overtuigen dat de push-e-mailfunctionaliteit veilig is. "Het moet bevestigen dat bedrijven en overheden de Blackberry veilig kunnen gebruiken", aldus Paul Maris, een woordvoerder voor de Blackberry-fabrikant.

Het testrapport van Fraunhofer stelt dat het risico dat derden toegang tot vertrouwelijke informatie krijgen, 'miniem' is en dat RIM geen achterdeurtjes heeft ingebouwd. Het certificaat is geldig voor de Enterprise-software van RIM en geldt tot 2010. De test is uitgevoerd met een Pearl-model van de Canadese smartphonemaker.

De timing van de publicatie van de test is opvallend. RIM lanceerde vorige week het touchscreenmodel Storm, waarmee voornamelijk op de consumentenmarkt wordt gemikt. RIM moet het steeds minder hebben van bedrijven. In het eerste halfjaar van 2008, toen de consumentenmodellen Bold en Storm nog niet op de markt waren, werd al ongeveer twee derde van de Blackberry's verkocht aan niet-zakelijke klanten.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 26-11-2008 10:55 33

26-11-2008 • 10:55

33

Lees meer

'Backups BlackBerry's makkelijk te kraken'
'Backups BlackBerry's makkelijk te kraken' Nieuws van 3 oktober 2010
'Georganiseerde misdaad maakt gebruik van Blackberry's'
'Georganiseerde misdaad maakt gebruik van Blackberry's' Nieuws van 19 oktober 2009
Fraunhofer print batterijen van een millimeter dik
Fraunhofer print batterijen van een millimeter dik Nieuws van 4 juli 2009
Fraunhofer presenteert Mpeg Surround-audiostandaard
Fraunhofer presenteert Mpeg Surround-audiostandaard Nieuws van 6 januari 2009
'Blackberry-OS komt virtueel op Windows Mobile'
'Blackberry-OS komt virtueel op Windows Mobile' Nieuws van 18 december 2008
Reviewers: Blackberry Storm goed, maar niet revolutionair
Reviewers: Blackberry Storm goed, maar niet revolutionair Nieuws van 20 november 2008
Blackberry Storm ligt over een week in de winkel
Blackberry Storm ligt over een week in de winkel Nieuws van 14 november 2008
Vodafone legt Blackberry Storm volgende week in de winkel
Vodafone legt Blackberry Storm volgende week in de winkel Nieuws van 6 november 2008
Meer producten en artikelen
Mobiele besturingssystemen Rim Blackberry Beveiliging

Reacties (33)

-Moderatie-faq
33
32
13
4
0
2
Wijzig sortering

Sorteer op:

Weergave:
Morrar 26 november 2008 10:59
Tsja timing komt wel goed uit nadat Obama zijn Blackberry in moest leveren vanwege veiligheidsredenen... Terecht of niet, maar kan me voorstellen dat je als bedrijf dan toch even wilt laten weten dat het ding echt veilig is en dat de policies van het witte huis misschien dus "overdreven" streng zijn.
Little Penguin @Morrar26 november 2008 11:04
Voor zover ik begrepen heb is de reden dat Obama zij Blackberry is moest leveren niet zo zeer het feit dat er achterdeurtjes in kunnen zitten.

Het probleem is dat alle communicatie (ook digitale communicatie) van een president van de VS gearchiveerd moet worden. Zo'n Blackberry compliceert deze -toch al steeds ingewikkelder wordende - taak.

Vanwege deze verplichting heeft George W. Bush bijvoorbeeld gekozen om privé geen mail meer uit te wisselen nadat hij president geworden is.
PPie @Little Penguin26 november 2008 11:28
Maar daar lijkt me dat de Blackberry daar nu juist uitermate geschikt voor is?
Alles loopt via de BES server, dus je kan daar een logger op zetten.
Ook bedrijven moeten voldoen aan loggen van email en zo, dus daar zal toch wel een mogelijkheid voor zijn?
Anders begrijp ik niet waarom je perse een Blackberry zou moeten hebben en niet een andere telefoon met een imap-idle verbinding (die dan dus ook pusht).
Dreamvoid
@PPie26 november 2008 11:51
Er zijn nog meer security voordelen van een Blackberry - je kan een Blackberry bv via remote admin zo dicht timmeren dat de gebruiker (of iemand die de telefoon tijdelijk in handen heeft gekregen!) er ook geen ongeauthoriseerde apps (keylogger/diallers/mailforwarders) op kan zetten en dat is (tot nu toe!) niet gekraakt, en dat is bij de concurrentie (Symbian certificaten spoofs, iPhone jailbreaks) wel anders. Blackberry is, totdat er serieuze security problemen opduiken, op het moment nog het veiligste mobiele email platform. Ze zullen wel hard moeten werken om dit in de toekomst te blijven.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 15:58]

iMispel @Dreamvoid26 november 2008 13:11
je kan een Blackberry bv via remote admin zo dicht timmeren dat de gebruiker (of iemand die de telefoon tijdelijk in handen heeft gekregen!) er ook geen ongeauthoriseerde apps (keylogger/diallers/mailforwarders) op kan zetten en dat is (tot nu toe!) niet gekraakt
Het feit dat de blackberry nog niet gekraakt is, is meer het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
De iphone bijvoorbeeld, moet gekraakt om een ongeautoriseerde app te laten draaien, en gezien alle iphone apps geautoriseerd moeten zijn is de druk om het systeem te kraken daar veel hoger.

Ook het feit dat RIM zelf de opdracht geeft om de Blackberry op veiligheid te testen zegt wel iets over de neutraliteit van het onderzoek. Als Microsoft een onderzoek laat uitvoeren komt het 'toevallig' ook altijd uit in het voordeel van Microsoft (bvb. de campagne dat Linux duurder is dan Windows)

PS: Ik wil hier niet zeggen dat Blackberry's onveilig zijn, maar ik heb serieuze vragen bij zulke onderzoeken

[Reactie gewijzigd door iMispel op 23 juli 2024 15:58]

Verwijderd @iMispel26 november 2008 14:02
Er zijn miljoenen BB gebruikers, er zijn ONTZETTEND veel topmanagers die een BB gebruiken. Dat alleen is reden genoeg om iets te kraken. Vergeet het, het is ze gewoon nog niet gelukt. Enfin, eigenlijk wel al, maar dat hield wel in dat de gebruiker zelf verkeerde handelingen moest doen. Zo kan je alles kraken natuurlijk, ik bel naar een linux gebruiker en vraag hem vriendelijk poort X of Y open te zetten... Mja..
Verwijderd @iMispel26 november 2008 14:27
Het feit dat de blackberry nog niet gekraakt is, is meer het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
Hoe zit het eigenlijk met die claim van de Indiase regering dat ze BB mail zouden kunnen lezen?
kimborntobewild @iMispel27 november 2008 00:06
...het gevolg van het feit dat er niet serieus naar gezocht dan het feit dat hij echt veilig is.
Da's echt onzin... Die dingen bestaan al jaren en in miljoenen aantallen. Er zijn heus al vele vele pogingen geweest om 't te kraken. Als de beveiliging net zo slecht was als van andere systemen dan was 't heus al lang gekraakt, hoor.
(Niet dat 't nooit gekraakt kan worden natuurlijk.)
Verwijderd @PPie26 november 2008 21:35
Die maatregel dient om de president tegen zichzelf te beschermen. Er zijn ook andere manieren dan hacken om de informatie in de BB van een president te achterhalen. Gewoon wachten tot de president zijn BB ergens vergeet. De president is ook maar een mens.
Verwijderd @Morrar26 november 2008 13:59
Obama moet alles afgeven waar hij mee kan communiceren, zo simpel is het. Als hij persoonlijk een email schrijft, moet hij dat publiek maken. Ook privé mails, en ook privé telefoons. De president van de VS heeft GEEN privé, alles is publiek. Daarom heeft hij een hele delegatie mensen rond hem, die voor hem bellen, die voor hem emailen, die voor hem faxen, die voor hem speeches voorbereiden etc etc. Leuk he, president zijn. Zoals de vorige tegen zijn vrienden zei in zijn laatste mail (denk toch per mail) voor hij in het Witte Huis trok: "Hopelijk horen jullie pas terug van mij over 8 jaar", want dat wilde zeggen dat hij hoopte vier jaar later opnieuw verkozen te worden. Dit heeft dus niets te maken met het feit dat hij een BB had.
Biinjo 26 november 2008 10:59
Wat houd het in als zij het risico 'miniem' noemen? "Vrijwel niet mogelijk" ?

Denk niet dat Obama alsnog zijn blackberry mag houden..
MBV @Biinjo26 november 2008 11:07
Dat er geen bewuste backdoors inzitten. Bij zulke complexe software (zeg maar elk stuk software met meer dan 10.000 regels code) kan je niet tegen acceptabele kosten bewijzen dat er geen fouten in de implementatie zitten. Daarna zal je nog moeten bewijzen dat de gebruikte encryptie niet te kraken is binnen een acceptabele tijd. Dus meer dan 'vrijwel' zit er niet in.
Verwijderd @MBV26 november 2008 14:30
En dan nog, zelfs al zou de software bewijsbaar juist zijn, dan kan de hardware (bv. hardware random generator voor encryptie) nog roet in het eten gooien.
HenkEisDS @Biinjo26 november 2008 11:14
Ik heb een tijdje geleden gelezen over verschillende beveiligingsniveaus die toegekent kunnen worden aan systemen. Het niveau A1 is naar mijn weten nog nooit behaald dus ik denk dat ze het risico miniem noemen omdat het nog niet A1 niveau beveiligd is.

http://stason.org/TULARC/...-C2-B1-B2-B3-A1-syst.html
http://williamstallings.c...tes/lectures/trusted.html
Blokker_1999 @Biinjo26 november 2008 11:06
Geen enkel stuk software is vrij van fouten en het is altijd mogelijk dat iemand een manier vind om alsnog aan de gegevens te geraken.
Mellow Jack
@Blokker_199926 november 2008 11:22
Het is ook dom om als bedrijf te zeggen dat het perfect is! dat krijg je vroeg of laat altijd op je bordje
Verwijderd 26 november 2008 11:02
En vervolgens nemen politici een blackberry waarbij de email opgeslagen wordt op een Amerikaanse server. En die heeft geen backdoor, alleen een frontdoor ;)
Verwijderd @Verwijderd26 november 2008 14:11
Jongens toch, geef geen commentaar als je het systeem niet kent. De emails bevinden zich op de corporate email server, zijnde exchange, domino of groupwise (voor bedrijfs-blackberrys toch). ALLE verkeer, nadruk op "alle", wordt gecomprimeerd en versleuteld door 3DES+AES vanaf punt A, zijnde de BB, tot aan punt B, zijnde de corporate blackberry server. Deze laatste decrypteert en decompresseert alles weer om door te sturen naar de corporate mail server die volgens best practices in hetzelfde subnet als de mailserver zit. Tussen punt A en B liggen de servers van Blackberry (voor ons in de UK) en de infrastructuur van je provider (proxiimus, ...). Maar nergens hier is de informatie aanwezig die nodig is tot het ontcijferen van de sleutel. De emails worden dus NIET bijgehouden op de servers van RIM. Ik hoop dat dit duidelijk is. <zucht>

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:58]

MBV @Verwijderd26 november 2008 11:05
Da's voor Obama en co geen probleem. Voor Europese politici heb je wel gelijk.
Mellow Jack
@Verwijderd26 november 2008 11:23
Canadees toch???
DavidAxe 26 november 2008 11:10
Ik neem aan dat dit certificaat ook enkel voor één versie van de software geldt?
Hoe gaan ze nu om met updates? Worden de voor de veiligheid benodigde updates ook gecertificeerd? Anders zou de software na een update niet meer gecertificeerd zijn (met een update zou wel een achterdeur geïnstalleerd kunnen worden).
Rembert @DavidAxe26 november 2008 11:43
Vast wel. Maar RIM zal echt niet het risico willen lopen dat ze in een later stadium toch worden gesnapt met een backdoor.

Aan de andere kant, hoe onafhankelijk is het Fraunhofer instituut eigenlijk? Wat gebeurt er als het Fraunhofer instituut van bv. een CIA een verzoek krijgt tot het inbouwen van een backdoor? Zullen ze niet doen? Het verzoek van de FBI om hun keylogger trojan 'Magic Lantern' niet te herkennen werd door bv. Symantec gehonoreerd! Andere virusscannerbouwers vertikten aan het verzoek van de FBI te voldoen.

Ik heb dus niet zo heel veel vertrouwen in een certificaat van zo'n instituut. Prima dat ze het onderzocht hebben en ik wil best geloven dat zij hun goede naam durven te verbinden aan het resultaat. Maar het is niet controleerbaar.
batteries4ever @Rembert29 november 2008 12:47
Tja, ik werk zelf bij het Fraunhofer (heel ander bereik - windenergie). Het is het Duitse TNO (maar nogal wat groter) 205 van de overheid, de rest van industrie en eigen middelen (MP3 patent en zo). Volgens mij ongeveer zo onafhankelijk als mogelijk, in ieder geval wat minder gevoelig voor Amerikaanse druk. 100% veiligheid bestaat natuurlijk ook hier niet.......... :)
Verwijderd 26 november 2008 11:04
Het heeft tevens met het volgende te maken:

Eerst: http://www.nytimes.com/20...s&oref=slogin&oref=slogin

En nu: http://www.chicagotribune...berrynov26,0,883418.story
bbob 26 november 2008 11:31
Ik lees nergens dat ze de broncode hebben bekeken. Alleen door de broncode te testen kan men zien of er een achterdeurtje in zit.

Dat is het nadeel van alle gesloten software je kan het niet controleren. Wil je dus zekerheid moet je open-source gebruiken waarbij iedereen (met verstand van software) de broncode kan bekijken op achterdeurtjes.

My gesloten software kun ej er vaak vanuitgaan dat onderdruk van overheden er een achterdeurtje in zin.
Dreamvoid
@bbob26 november 2008 11:36
Da's pertinenten onzin. Bijna alle software fabrikanten geven onder NDA security bedrijven of overheid toegang om source code te bekijken (anders kan je ook decompilen), en aan een open source applicatie kan je net zo makkelijk voor het compileren een backdoor toevoegen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 15:58]

HenkEisDS @bbob26 november 2008 11:47
Wat leegdroom zegt. Als een stuk opensourcesoftware is gecompiled kun je er niet zo veel meer aan controleren. Aangezien het compileren wordt gestart door een mens, is dat dus een liability net als bij closedsourcesoftware. Misschien is opensource zelfs wel minder veilig omdat je er vanuit gaat dat het door veel mensen is gelezen.

Hoewel het natuurlijk wel heel goed mogelijk is om van de bron en bytecode een hash te maken en die te controleren met de versie die gechecked is.
My gesloten software kun ej er vaak vanuitgaan dat onderdruk van overheden er een achterdeurtje in zin.
En die sporen die je wel eens in de lucht ziet zijn chemtrails waarmee de overheden het volk in hun macht houden... *Zet aluhoedje op*


*offtopic en geen directe reactie bbob* Wanneer leren mensen nou eens dingen die ze niet zeker weten ook zo te formuleren? In plaats van 'Zo is het' > 'Volgens mij is het zo'.
TheCrius 26 november 2008 13:39
Ze kunnen dit bericht best publiceren, dit maakt alleen maar een uitdaging voor hackers en crackers om toch een backdoor te vinden in software die door specialisten is getest.
Mr_gadget 26 november 2008 13:56
Gaat er meer om dat de data overdracht het veilig is, Balkende en Bos hebben ook afgesproken geen kritieke data via hun Blackberry te sturen. Nu kunnen ze dat wel doen.
Verwijderd @Mr_gadget26 november 2008 14:34
En dan nog, wil dat gevaarlijk of onwenselijk zijn dan is het vaak ook nog zo dat je het snel moet weten te ontcijferen. Als Bos met z'n BB mailde dat hij X miljard voor Fortis wilde betalen en dat komt nu pas uit dan is dat niet zo erg meer, iedereen weet het toch al.
Verwijderd 3 december 2008 00:12
Ik begreep dat e-mail verkeer juist van bb zo onveilig was als de pest aangezien ze precies kunnen zien wie wat mailt en waar naar toe
zodoende kunnen bedrijven in de vs profiteren van deals die gemaakt worden vanuit buitenland

buitenlanders worden helemaal afgesnift door de vs
maxxware @semicon26 november 2008 13:10
Alle telefoons, behalve de iPhone. Hoe verwissel je anders de batterij? ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq