Nokia betaalde miljoenen aan afperser om uitlekken encryptiesleutel te voorkomen

Nokia heeft in 2007 miljoenen euro's betaald om te voorkomen dat afpersers de encryptiesleutel van een belangrijk deel van Symbian publiekelijk maakten. De zaak is nog steeds in onderzoek, bevestigen Finse autoriteiten.

De criminelen hadden de encryptiesleutel voor Symbian in handen gekregen: een bestand van slechts enkele kilobytes volgens MTV Finland, dat gebruikt werd om software voor het OS te authenticeren. Als de sleutel op straat was komen te liggen, hadden bijvoorbeeld malwareschrijvers kwaadaardige software kunnen ontwikkelen, die Symbian als goedgekeurde code zou accepteren. Nokia zou eind 2007, begin 2008 besloten hebben te betalen, vanwege het enorme marktaandeel destijds: grofweg de helft van alle telefoons wereldwijd was toen een Nokia.

Ook stapte het concern al voor de overhandiging van het geld naar de politie, in de hoop dat de criminelen opgepakt zouden worden. Het geld, naar verluidt miljoenen euro's, werd inderdaad op een parkeerplaats in het Finse Tampere overgedragen, maar de daders wisten te ontkomen. De zaak is bijna zeven jaar later nog steeds onopgelost.

De Finse autoriteiten hebben bevestigd tegen Reuters en MTV Finland dat er een onderzoek naar de chantage loopt. Nokia zelf wilde niet reageren.

Door Olaf van Miltenburg

Nieuwscoördinator

17-06-2014 • 18:54

56

Reacties (56)

56
53
35
3
0
5
Wijzig sortering
En dit nieuws "lekt" dan nog uit.... volgens mij is het erg lucratief om digitaal te terroriseren. Meer dan de media je doet geloven. Erg treurige ontwikkeling. Want dit zet natuurlijk weer de poort open naar privacy-beperkingen en ander meuk welke internet aan banden legt.

[Reactie gewijzigd door killingdjef op 25 juli 2024 05:32]

Dit is het verschil in kwetsbaarheden tussen mensen die naar het nieuws stappen en proffesionals.

De laatste gaan voor het geld, en zijn helemaal niet erop uit dat het hersteld wordt (waardoor het lek dus pas na jaaaaren bekend wordt gemaakt zoals nu).

Dit geeft vooral het belang weer dat bedrijven meer transparant moeten worden over digitale beveiligingen, en vooral dat de 'gewone' hackers minder vijandig aangepakt moeten worden. Niet kwaad worden als eentje dreigt met een dump naar het nieuws te stappen, maar blij zijn dat het niet op zo'n manier als deze gaat.


En dan is het nog altijd maar de vraag of ze de sleutel niet alsnog doorverkopen of misbruiken...
Impliceert dit niet vooral dat de NSA zeker weten toegang had tot alle Nokia telefoons van deze tijd?
Impliceert deze comment niet vooral een hoog alu hoedje gevoel?
Ja wellicht wel maar ja dit kan je dan wel gaan roepen bij elk willekeurig ding. Totale speculatie gebaseerd op nix.
Dat lijkt recht uit een film te komen.... Konden ze de sleutel niet updaten via een OTA update ofzo?
We hebben het hier over 2007. De iPhone was net aangekondigd en updates voor je telefoon waren toen echt een rariteit.
Nee hoor, in tegenstelling, nokia zorgde voor snelle updates, en veel, ook met nieuwe functies en zo, nieuwe kaarten, etc. Kunnen bedrijven van nu zoals Samsung en zo nog wat van leren, staan niet eens in de schaduw van hoe nokia alles regelde. Zie anders het forum eens rond 2007, ik kocht rond die tijd mijn N73, was zeer populair onder de tweakers.

Ging alleen via nokia suite, even telefoon aan de usb, en je kreeg melding of er nieuwe update was, en of je hem wilde installeren. En mensen zoals ik die toen al smartphone hadden waren veel al mensen met boven gemiddeld kennis van hardware en software, massa was nog aan de smartphone.
En wie installeerden die updates? Juist, alleen de tweakers. In die tijd had je ook al hippe mensen die een pre-smartphone wilde hebben.
Ik ken maar weinig doorsnee mensen (Lees: de kwetsbare groep bij dit soort beveiligings-issues) die in die tijd daadwerkelijk hun telefoon ooit op hun PC aansloten. Kwam veel bloated software aan te pas. Daar komt bij dat zelfs nu nog het gros van de mensen een update uitstelt of negeert, want "het werkt nu goed".
Bij de toen huidige generatie telefoons was er ook al een ingebouwde update functie in de telefoon zelf. Die netjes een melding gaf dat je deze kon installeren. Maar meestal werd dit er uit gesloopt door providers. Ook had iedere provider een eigen versie van Symbian, welke zelden werd geupdate of pas een jaar later. Maar toch ging mensen zeuren (neem de N73) dat hun telefoon slecht werkte |:( |:( .

De mensen hadden toen helemaal gelijk natuurlijk, het moet gewoon werken. Gelukkig gebeurd dit met de huidige generatie Android/iPhones niet meer. Behalve dat er soms wat standaard apps op zitten. Natuurlijk heb je nu wel de Android versies die zijn aangepast door de hardwarefabrikanten (welke ook maar 2 updates in totaliteit geven per telefoon).

[Reactie gewijzigd door Bliksem B op 25 juli 2024 05:32]

Gelukkig gebeurd dit met de huidige generatie Android/iPhones niet meer. Behalve dat er soms wat standaard apps op zitten.
Wat je toen had was branding van toestellen en OS, maar dat is nu nog steeds zo met Android toestellen. Je hebt het over een eigen versie van Symbian : zo ver ging het toen niet hoor, was gewone Symbian met een aantal applicaties die gesigned waren in de Operator of Manufacturer domain (in tegenstelling tot eigen apps die kon je identified 3rd party domain laten signen, moest wel voor betaald worden buij Verisign of Thawte), wat vooringestelde splash screens/backgrounds/geluidjes/data access point...
Dus goed vergelijkbaar met huidige Android releases maar dan met system apps van de manufacturers en niet zo zeer van de providers...
weet nie waar je dit op baseert, de N73 is wel branded geweest; maar nooit restrictie omtrent OTA gehad!
Anoniem: 302359 @mad_max23418 juni 2014 07:49
Nee hoor, in tegenstelling, nokia zorgde voor snelle updates, en veel, ook met nieuwe functies en zo, nieuwe kaarten, etc. Kunnen bedrijven van nu zoals Samsung en zo nog wat van leren, staan niet eens in de schaduw van hoe nokia alles regelde. Zie anders het forum eens rond 2007, ik kocht rond die tijd mijn N73, was zeer populair onder de tweakers.

Ging alleen via nokia suite, even telefoon aan de usb, en je kreeg melding of er nieuwe update was, en of je hem wilde installeren. En mensen zoals ik die toen al smartphone hadden waren veel al mensen met boven gemiddeld kennis van hardware en software, massa was nog aan de smartphone.
Nokia zorgde misschien wel voor snelle updates maar dit zijn snelle updates die door helemaal niemand behalve wat tweakers en powergebruikers geïnstalleerd werden. 90% van de eindgebruiker had geen idee wat Nokia/Ovi suite was en wat je er mee kon. De manier van updaten van Nokia was totaal niet doeltreffend en niet te vergelijken met hoe men het nu moet doen dus om te zeggen dan bijvoorbeeld Samsung in de schaduw van Nokia staat lijkt me niet geheel terecht. (Appels en peren verhaal)
Anoniem: 105188 @mad_max23418 juni 2014 14:10
Nokia begon pas in januari 2010 met de Nokia Software Updater Beta en deze beta eindigde pas in augustus 2011, daarvoor had je geen officiele tool om zelf de software te updaten. Gekraakte versies van Phoenix of een box tool konde het wel maar deze lagen buiten bereik voor de normale consumenten aangezien je er voor moest betalen.

Nokia Suite werd pas in 2011 samen met de updater uitgebracht.

OTA updates daar deden ze al helemaal niet aan, daar zijn ze pas in 2012 mee begonnen.

Verder heeft de N73 maar 2 updates gehad.
http://www.cpkb.org/wiki/...are_data_package_download

Nokia is nooit een held geweest met het snel uitbrengen met updates, dat is juist ook wat Symbian de nek om heeft gedraaid. De problemen met de 5800 en de N97 (het toestel wat Symbian moest redden) en de tijd die ze nodig hadden om alles te patchen is hier getuigen van.
nieuws: Nokia maakt excuses voor N97-problemen

[Reactie gewijzigd door Anoniem: 105188 op 25 juli 2024 05:32]

Jawel, maar dat was geen uitdaging...
Ik neem aan van niet, ik denk dat het behoorlijk diepgeworteld is. Plus: je kunt geen updates geforceerd naar het toestel zetten, dus als je malware installeert voordat je de update installeert, ben je alsnog de klos.
Dit is bij een grote linux distro volgens mij ook een keer gebeurd. Deze hebben toen snel gereageerd en de sleutels idd geupdate. Er was overigens toen geen sprake van dat ze gelekt waren maar het vermoeden was er. Ik weet alleen niet meer welke.
Er stond mij ook iets van bij, even een search gedaan, en na enige tijd kom ik, al twijfelend, niet verder dan deze: http://www.theregister.co.uk/2010/12/01/gnu_savannah_hacked/ .
Er zijn aardig wat projecten waar ik hacks van vind ( Debian, Apache, Kernel.org ) maar nergens waar code/ontwikkel dingen in gevaar zijn geweest. Over het algemeen gewoon publieke sites.
GIT access van enkele projecten (waaronder kernel) zijn al een aantal keer toegankelijk geweest.

Zeker bij de kernel is dat niet zo'n probleem, zoveel mensen hebben clonen van die code dat iedere wijziging onmiddelijk opvalt.
Anoniem: 147126 @Ramon17 juni 2014 20:34
Jawel. Maar veel gebruikers zouden die update helemaal niet willen hebben. Het zou namelijk ook het installeren van gekraakte illegale software etc. veel makkelijker maken. En misschien zou door die update dan ook alle (legale) geautenticeerde SIS bestanden onbruikbaar worden.
Alleen als die key publiek wordt. Als hij enkel gebruikt wordt door een groep malwareschrijvers klopt je redenering natuurlijk niet..
Dat denk ik niet, anders had Sony het al lang voor elkaar gekregen om de jailbreak van de PS3 ongedaan te maken, wat nog steeds niet het geval is.
Konden ze de sleutel niet updaten via een OTA update ofzo?

Nokia had anno 2008 nog geen OTA voor Symbian. Dat kwam pas - met de nodige bugs - in 2009.

Maar zelfs als, veel mensen updaten niet, en operators houden de zaak soms ook maanden op.
Dat was dus blijkbaar de oorzaak dat Symbian een einde aan kwam... Jammer genoeg was het een goede OS.
De oorzaak is dat er tussen 2007 en 2011 effectief niet aan doorontwikkeld is. Althans niet op een manier die voor de gebruikers zichtbaar werd in de producten. Mijn Symbian uit 2012 kan nog steeds meekomen met het huidige smartphonegeweld, maar de tussenliggende modellen niet, zodat er in die tijd een te groot marktaandeel verloren ging en niet meer terugkwam. Dat kan een bedrijf zich niet veroorloven.
Ze hadden beter niet betaald. Als iedereen consequent zou zijn en niet zou betalen, zou het op den duur niet meer gebeuren. Nu heeft die bende een hoop geld gekregen waarmee ze hun operaties hebben kunnen verbeteren waardoor ze nu nog meer kwaad kunnen aanrichten.
Met de kans dat het dreigement uitgevoerd zou worden?

Vergeet niet dat Nokia in 2007 nog een grote speler was in de telefoonwereld. Die konden die paar miljoen op zich wel missen, en op zich was de afkoopsom waarschijnlijk een stuk goedkoper dan 'repareren' van de schade als de code wel publiek zou zijn gemaakt.
Anoniem: 406468 @B6417 juni 2014 19:55
"Met de kans dat het dreigement uitgevoerd zou worden?"

Want jij denkt dat ze het daarbij laten? Je laat de afpersers maar gewoon verder gaan met "hey, doe nog maar een paar miljoen, of anders..." tot heel je bedrijf naar de kloten is? Het is dat dit laat uitkomt, maar meewerken met afpersers lijkt me veel schadelijker voor je bedrijf en PR dan niet meewerken - de sleutel is toch al bekend, het gevaar is de wereld al in.
als het goedkoper is dan het lek zelf zoeken en dicht maken dan zou ik Nokia wel begrijpen, want uiteindelijk gaat het om geld/ consumentenvertrouwen. als je als bedrijf neergezet wordt als het bedrijf met "die" ernstige lek dan zal de consumentenvertrouwen niet positief zijn.

[Reactie gewijzigd door 22masz op 25 juli 2024 05:32]

Anoniem: 406468 @22masz17 juni 2014 20:04
Het betreft niet slechts een lek, het is de encryptiesleutel tot een belangrijk deel van Symbian die nog altijd gebruikt kan worden op niet-gepatchte toestellen. Het is absoluut niet goedkoper, Nokia is domweg meegegaan met de eisen van de afpersers en heeft er flink mee verloren. Laat staan dat het probleem daarmee niet eens weg was, Nokia had sowieso al het probleem moeten oplossen, of ze nu wel of niet ingaan met de eisen. Nu zijn ze dubbel kwijt.
Het is absoluut niet goedkoper
Jij denkt dat de problemen (zowel technisch als als qua marketing) van het publiceren van die sleutels goedkoper zouden zijn geweest dan die paar miljoen 'losgeld'? Dude.... |:(
Nu heeft die bende een hoop geld gekregen waarmee ze hun operaties hebben kunnen verbeteren waardoor ze nu nog meer kwaad kunnen aanrichten.
Hoe weet je dat? Het kan ook best zijn dat de criminelen nu cocktails drinken op het strand op de Cayman eilanden en juist zijn opgehouden oude vrouwtjes te overvallen en fietsen en autoradio's te stelen.
Ze hadden beter niet betaald. Als iedereen consequent zou zijn en niet zou betalen, zou het op den duur niet meer gebeuren. Nu heeft die bende een hoop geld gekregen waarmee ze hun operaties hebben kunnen verbeteren waardoor ze nu nog meer kwaad kunnen aanrichten.
En de kerstman is ook echt... Dit zijn simpelweg sprookjes, de "afpersers" krijgen linksom of rechtsom toch hun geld wel.

In wezen hebben de afpersers de keuze tussen :
- Bij Nokia geld proberen af te troggelen (met risico op politie etc)
- Het op de zwarte markt gooien en daar een paar miljoen ervoor vragen
- Het alletwee achter elkaar doen

Als Nokia heb je maar 2 keuzes, of wel betalen en hopen dat het enkel bij optie 1 blijft ipv dat het 3 wordt. Of niet betalen en weten dat het optie 2 wordt.
En als je betaalt dan kan je ook om extra info vragen om te proberen het lek te dichten zodat je in ieder geval iets tegen toekomstige opties 2 iets kan doen.

Je praat hier niet over signficante bedragen hoor, dit was gewoon wisselgeld voor Nokia in hun hoogtijdagen
Klopt. Ze gijzelden telefoons, geen mensen!
En het is niet bekend of die sleutel daadwerkelijk gebruikt is voor malware?
Lijkt me voor de hand liggend dat ze behalve Nokia hebben afgeperst, ze hem ook hebben doorverkocht op de zwarte markt?

[Reactie gewijzigd door frickY op 25 juli 2024 05:32]

De miljoenen euro's die Nokia heeft betaald is niks vergeleken de miljarden euro's schade die hun marktaandeel eventueel zou ondervinden mochten de sleutels uitgelekt zijn. Wellicht zou de Nokia die wij nu kennen geen eens meer bestaan....
Had Microsoft 't wat eerder kunnen kopen.
Ongelofelijk! Wanneer komt de verfilming? Dat ze er nog mee weg gekomen zijn ook...

Lijkt mij een vreselijke periode om als Nokia mee te maken. Zeer spijtig dat ze die figuren niet hebben kunnen pakken. Ben nu eigenlijk wel benieuwd in hoeverre huidige bedrijven zulke threats onder ogen krijgen..?
Anoniem: 64119 @itsyaboy17 juni 2014 21:39
......Ben nu eigenlijk wel benieuwd in hoeverre huidige bedrijven zulke threats onder ogen krijgen..?
Afpersing komt dagelijks ook in Nederland voor bij bedrijven. De horeca is er berucht om......
Overigens kent tweakers zelf ook de nodige afpersers, oplichters, helers en andere criminelen.
(je weet wel, mensen die eigenlijk achter slot en grendel moeten zitten maar van oom agent een sub-zero prioriteit hebben gekregen)

Deze Nokia zaak komt uiteraard in het nieuws door de grote hoeveelheid betrokken telefoons en het relatief hoge filmwaardige afpersingsbedrag.
Voor die film er is horen we graag nog wat meer sappige details. bijvoorbeeld HOE ze die sleutel in handen gekregen hebben. Of was het iemand van een militaire inlichtingendienst die de zaak gewoon even gefactoriseerd hebben weten te krijgen?
Had dit ook te maken met de gratis developer-certificaten (nodig voor een symbian telefoon te hacken/rootacces te krijgen (ROMpatcher, al heette dat toen installserver patch en open4all patch) die je kon krijgen via chinese sites?

Wel inderdaad net een film zo. Nog op een parkeerplaats het geld overhandigd ook maar in 2008 waren er echt veel symbian telefoon. Was toen niet het jaar van de succesvolle N95 en N82?
Dan verbaas het me wel dat de afpersers niet alsnog de key publiceerden. Ze zullen wel flink pissed zijn als Nokia toch de politie had ingeschakeld.
Anoniem: 434945 @kmf18 juni 2014 10:55
Omdat als ze dat doen ze geen 'leverage' meer hebben. Tevens als ze gepakt worden zouden de straffen veel hoger zijn en zorgt elke actie die je onderneemt dat de pakkans groter wordt.

Als jij criminele ambities had zou ik die maar laten ;)
Bizar dat zo'n belangrijke sleutel 'gewoon' toegankelijk was. Je zou toch wel verwachten dat Nokia de know-how en het geld heeft om een PKI fatsoenlijk te managen met Hardware Security Modules.
In de titel wordt gesproken over afperser terwijl er in het artikel duidelijk sprake is van een aantal afpersers. Vraag me af of ze samenwerkten (misschien een groep hackers oid)?
En hoeveel miljoenen zijn er precies betaald? Neem aan dat dat geld toch ook wel te traceren moet zijn.
Iets als dit voer je niet uit in je eentje. Schrijf gerust op 'afpersers'.

Op dit item kan niet meer gereageerd worden.