Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onzin op BNR over afluisteren van de BlackBerry
Met enige verbazing zat ik vanmorgen te luisteren naar het gesprek op Business News Radio met een expert van Ernst & Young met betrekking tot het aftappen van de Blackberry. In tegenstelling tot wat deze expert beweerde is het wel degelijk mogelijk om de BlackBerry af te luisteren.
Het probleem dat landen als Saudi Arabie hebben is dat Research in Motion vooralsnog niet bereid is om de encryptie key die hiervoor nodig is te delen, en dat de data niet opgeslagen wordt binnen deze landen, maar op systemen van RIM die als ik het goed heb in Canada staan.
De afsluitende opmerking van de expert in het gesprek op BNR dat onder meer China zou overwegen om vanwege het aftap probleem de BlackBerry te gaan blokkeren was nergens op gebaseerd. Immers heeft China al enige tijd een deal met Research in Motion waardoor China de emails en chats wel degelijk af kan luisteren.
RIM Helps Russia, China Monitor BlackBerry Users’ E-mails
http://blogs.forbes.com/firewall/2010/08/02/rim-helps-russia-china-monitor-blackberry-users-emails/?partner=yahootix
Is zo'n "expert" van Ernst & Young nou deskundig, of werken daar meer talking heads die met een vlotte babbel erg overtuigend weten over te komen ? Indien je als expert je mening geeft over een onderwerp, dan is het minste wat je kan doen je verdiepen in de materie ?
Het probleem dat landen als Saudi Arabie hebben is dat Research in Motion vooralsnog niet bereid is om de encryptie key die hiervoor nodig is te delen, en dat de data niet opgeslagen wordt binnen deze landen, maar op systemen van RIM die als ik het goed heb in Canada staan.
De afsluitende opmerking van de expert in het gesprek op BNR dat onder meer China zou overwegen om vanwege het aftap probleem de BlackBerry te gaan blokkeren was nergens op gebaseerd. Immers heeft China al enige tijd een deal met Research in Motion waardoor China de emails en chats wel degelijk af kan luisteren.
RIM Helps Russia, China Monitor BlackBerry Users’ E-mails
http://blogs.forbes.com/firewall/2010/08/02/rim-helps-russia-china-monitor-blackberry-users-emails/?partner=yahootix
Is zo'n "expert" van Ernst & Young nou deskundig, of werken daar meer talking heads die met een vlotte babbel erg overtuigend weten over te komen ? Indien je als expert je mening geeft over een onderwerp, dan is het minste wat je kan doen je verdiepen in de materie ?
Reacties (21)
05-08-2010, 10:01 door
Preddie
er zijn te veel mensen die zich als expert of deskundige uitgeven en vervolgens een sprookje vertellen zo ook deze gast van BNR, ik ben zelf een fanatiek luisteraar maar deze gast moet idd nog eens terug naar school
Volgens mij is het gross ven de mensen werkzaam it-security van het zelfe caliber : een vlotte babbel niet gehinder door enige kennis van zaken
Zou deze expert zijn ''deskundigheid'' trouwens ontlenen aan (onjuiste opmerkingen in) een artikel van Nu.nl dat gisteren werd gepubliceerd, of zou hij ook deze redactie foutief hebben geadviseerd ? De opmerkingen van de E&Y expert komen vrijwel geheel overeen met de inhoud van onderstaand artikel :
Ook Blackberryverbod in Saoedi-Arabië
http://www.nu.nl/gadgets/2305934/blackberryverbod-in-saoedi-arabie.html
Ook Blackberryverbod in Saoedi-Arabië
http://www.nu.nl/gadgets/2305934/blackberryverbod-in-saoedi-arabie.html
Dit artikel is ook wel aardig m.b.t. de achtergronden bij deze kwestie :
BlackBerry server in China? India wants a monitoring unit too
http://timesofindia.indiatimes.com/india/BlackBerry-server-in-China-India-wants-a-monitoring-unit-too/articleshow/6230540.cms
BlackBerry server in China? India wants a monitoring unit too
http://timesofindia.indiatimes.com/india/BlackBerry-server-in-China-India-wants-a-monitoring-unit-too/articleshow/6230540.cms
05-08-2010, 12:08 door
martijno
En het linkje naar de audio stream: http://www.bnr.nl/static/jspx/play.jspx?dag=5&maand=8&jaar=2010&tijd=07:13&lengte=30&titel=Titel.
Overigens vind ik het bewijs dat RIM de sleutels al lang aan de Chinezen overhandigd heeft in die Forbes blog niet heel hard; en lees ik in andere bronnen (timesofindia artikel van Anoniem 10:25) dat er inderdaad geruchten zijn dat China RIM onder druk zet door de BB mogelijk te verbieden. Zo onzinnig zijn de uitspraken van de E&Y-er dus niet IMHO.
Overigens vind ik het bewijs dat RIM de sleutels al lang aan de Chinezen overhandigd heeft in die Forbes blog niet heel hard; en lees ik in andere bronnen (timesofindia artikel van Anoniem 10:25) dat er inderdaad geruchten zijn dat China RIM onder druk zet door de BB mogelijk te verbieden. Zo onzinnig zijn de uitspraken van de E&Y-er dus niet IMHO.
Dan zit je met de Android veiliger, daar kun je tenminste PGP gebruiken om je mail te versleutelen. Daar valt helemaal niets meer aan af te luisteren.
05-08-2010, 12:27 door
Silver
Door martijno: En het linkje naar de audio stream: http://www.bnr.nl/static/jspx/play.jspx?dag=5&maand=8&jaar=2010&tijd=07:13&lengte=30&titel=Titel.
Overigens vind ik het bewijs dat RIM de sleutels al lang aan de Chinezen overhandigd heeft in die Forbes blog niet heel hard; en lees ik in andere bronnen (timesofindia artikel van Anoniem 10:25) dat er inderdaad geruchten zijn dat China RIM onder druk zet door de BB mogelijk te verbieden. Zo onzinnig zijn de uitspraken van de E&Y-er dus niet IMHO.
Overigens vind ik het bewijs dat RIM de sleutels al lang aan de Chinezen overhandigd heeft in die Forbes blog niet heel hard; en lees ik in andere bronnen (timesofindia artikel van Anoniem 10:25) dat er inderdaad geruchten zijn dat China RIM onder druk zet door de BB mogelijk te verbieden. Zo onzinnig zijn de uitspraken van de E&Y-er dus niet IMHO.
Je kunt er rustig van uitgaan dat -indien die geruchten er zijn- China het ook heus wel rond heeft gekregen. Ze hebben tenslotte een flink verleden op dit gebied. Denk aan Google, Microsoft et cetera. Die zijn velen malen groter dan RIM en hebben het ook niet lang uitgehouden. China heeft een enorme potentiele afzetmarkt en het hoofd wordt doorgaans snel gebogen om een hapje uit die ruif te mogen nemen.
Wat die "experts" bij BNR betreft, hier heb ik ook geen hoge dunk van. Ik heb nog nooit een naam gehoord die bekend is binnen het IT circuit. Ik luister vrij vaak naar BNR en ben echt wel redelijk bekend met wie er binnen de Nederlandse IT wereld echt als experts gezien worden. Daar heb ik er overigens nog nooit een voor E&Y zien werken, maar dat terzijde.
Oh en nu we toch aan het zeiken zijn: Kunnen die arrogante presentators bij BNR in Jesus-fucks-name hun gasten eens normaal laten uitpraten? Vooral die zelfingenomen trut en fulltime snob van een Harmke Pijpers is hier *enorm* slecht in. Er is nog 1 andere notoire onderbreker (een man), maar ik kan zo gauw niet op zn naam komen. Als ik de slecht geinformeerde mening wil horen van een pretentieuze geglorifieerde eikels dan zet ik 's avonds Shownieuws wel aan. Thank you.
Dinsdag stond hier op Tweakers ook al wat over:
http://tweakers.net/nieuws/68942/nokia-en-rim-zetten-beveiliging-open-voor-indiase-overheid-update.html
Let met name op de update van 15:16
"RIM ontkent tegenover de krant The Times of India dat het de Indiase overheid toegang gaat geven tot de beveiliging. Het kan namelijk helemaal niet: "Rim bezit geen 'master key' en er bestaat geen achterdeur, die RIM of een derde partij mogelijkheid biedt toegang te krijgen tot de versleuteling of bedrijfsdata", aldus de Blackberry-maker."
Dus zo raar is het niet wat die E&Y man zegt...
http://tweakers.net/nieuws/68942/nokia-en-rim-zetten-beveiliging-open-voor-indiase-overheid-update.html
Let met name op de update van 15:16
"RIM ontkent tegenover de krant The Times of India dat het de Indiase overheid toegang gaat geven tot de beveiliging. Het kan namelijk helemaal niet: "Rim bezit geen 'master key' en er bestaat geen achterdeur, die RIM of een derde partij mogelijkheid biedt toegang te krijgen tot de versleuteling of bedrijfsdata", aldus de Blackberry-maker."
Dus zo raar is het niet wat die E&Y man zegt...
India Still Begging Since 2008 But China Wins RIM on BlackBerry Security Issue
http://abclive.in/abclive_investigative_news/blackberry_security_issue_india_china.html
New Project Grey Goose task: Identify governments with RIM encryption keys
http://greylogic.us/2010/08/03/new-project-grey-goose-task-identify-governments-with-rim-encryption-keys/
http://abclive.in/abclive_investigative_news/blackberry_security_issue_india_china.html
New Project Grey Goose task: Identify governments with RIM encryption keys
http://greylogic.us/2010/08/03/new-project-grey-goose-task-identify-governments-with-rim-encryption-keys/
Hieronder een stukje uit de Russische pers m.b.t. het verstrekken van de (volgens sommigen niet bestaande) encryptie keys aan de Russische FSB :
BlackBerry devices are primarily used for encoded corporate communications, which was the reason why the Federal Security Service refused to certify Blackberry in Russia until Research in Motion, the manufacturer, disclosed the encryption keys. http://russia-ic.com/news/show/5265/
In China is de wetgeving omtrent encryptie in produkten vrij duidelijk - ofwel je staat de encryptie keys af aan de overheid, ofwel je verkoopt je produkt niet binnen China.
BlackBerry devices are primarily used for encoded corporate communications, which was the reason why the Federal Security Service refused to certify Blackberry in Russia until Research in Motion, the manufacturer, disclosed the encryption keys. http://russia-ic.com/news/show/5265/
In China is de wetgeving omtrent encryptie in produkten vrij duidelijk - ofwel je staat de encryptie keys af aan de overheid, ofwel je verkoopt je produkt niet binnen China.
"Dan zit je met de Android veiliger, daar kun je tenminste PGP gebruiken om je mail te versleutelen. Daar valt helemaal niets meer aan af te luisteren. "
Wanneer je PGP installeert op je Android, dan staat je private key in plain text opgeslagen op je toestel, aangezien je toestel deze key nodig heeft om je email te encrypten. Iedere opsporingsdienst die toegang tot je toestel weet te krijgen, kan dus ook je private key benaderen. Wat dat betreft biedt PGP voor email op je mobiel geen beveiliging tegen lawful interception. Of zie ik hier iets over het hoofd ?
Wanneer je PGP installeert op je Android, dan staat je private key in plain text opgeslagen op je toestel, aangezien je toestel deze key nodig heeft om je email te encrypten. Iedere opsporingsdienst die toegang tot je toestel weet te krijgen, kan dus ook je private key benaderen. Wat dat betreft biedt PGP voor email op je mobiel geen beveiliging tegen lawful interception. Of zie ik hier iets over het hoofd ?
"Ook Frankrijk kan Blackberry afluisteren"
Interviewer poneert dat allerlei landen het verkeer naar Blackberries in handen hebben en dat de Emiraten niets ongebruikelijks willen. Alleen: Research in Motion, de maker van de Blackberry, geeft kleine landen de sleutel niet. Leuk debat tussen telecomdeskundigen op Al-Jazeera. Licht storende vragen van de gespreksleider ("Is het niet zo dat ook in het Westen regeringen kunnen afluisteren?") maar de deelnemers zijn duidelijk vrij te zeggen wat ze willen in deze gedachtenwisseling.
http://videovolt.blogspot.com/2010/08/ook-frankrijk-kan-blackberry.html
+
Inside Story: Banning Blackberry (Al Jazeera)
http://www.youtube.com/watch?v=Q5-1CB6txgc
Interviewer poneert dat allerlei landen het verkeer naar Blackberries in handen hebben en dat de Emiraten niets ongebruikelijks willen. Alleen: Research in Motion, de maker van de Blackberry, geeft kleine landen de sleutel niet. Leuk debat tussen telecomdeskundigen op Al-Jazeera. Licht storende vragen van de gespreksleider ("Is het niet zo dat ook in het Westen regeringen kunnen afluisteren?") maar de deelnemers zijn duidelijk vrij te zeggen wat ze willen in deze gedachtenwisseling.
http://videovolt.blogspot.com/2010/08/ook-frankrijk-kan-blackberry.html
+
Inside Story: Banning Blackberry (Al Jazeera)
http://www.youtube.com/watch?v=Q5-1CB6txgc
05-08-2010, 15:05 door
martijno
@Anoniem 14:50: GPG (voor Unix/Win iig) versleutelt je key ring met een wachtwoord.
@martijno :
Het installeren van een keylogger op je toestel is niet zo'n probleem voor opsporingsdiensten. Een vriend van mij bij het NFI is dagelijks met dat soort zaken bezig voor lopende onderzoeken. Het onderscheppen van een wachtwoord is wat dat betreft niet moeilijk.
Het installeren van een keylogger op je toestel is niet zo'n probleem voor opsporingsdiensten. Een vriend van mij bij het NFI is dagelijks met dat soort zaken bezig voor lopende onderzoeken. Het onderscheppen van een wachtwoord is wat dat betreft niet moeilijk.
05-08-2010, 23:06 door
Sokolum
In feite verteld Saudi Arabie met hun reactie indirect dat het mogelijk is om het verkeer van RIM af te luisteren, wanneer RIM meewerkt. RIM heeft hier geen zin en Saudi Arabie is pissig. Dus ja, het RIM verkeer is gewoon door westerse overheden af te luisteren (of China).
06-08-2010, 16:20 door
Arno Nimus
@Anoniem 15:29: NFI onderschept wachtwoorden op mobiele telefoons d.m.v. keyloggers?
Interessant... Vertel eens iets meer?
Interessant... Vertel eens iets meer?
Er even van uitgaande dat een organisatie zelf een BES server heeft en de policies zo zet dat het dataverkeer (zoals email verkeer) van de BB handhelds alleen via de BES server loopt (pin messages uitgesloten).
De Transport key (AES 256) die wordt gebruikt om het verkeer tussen een BB handheld en de BES server te versleutelen, wordt op de BES server gegenereerd. RIM heeft hier geen copy van.
Ik begrijp dat het mogelijk zou zijn dat de leverancier (RIM) een achterdeur in de BES server heeft ingebouwd en dus gegenereerde symmetrische sleutels kan sniffen. Er is echter geen master key of een vaste key die RIM in bezit heeft en aan de overheid kan geven.
Graag hoor ik dus op welke manier de overheid dus deze data zou kunnen tappen.
Overigens zijn er dan ook nog mogeljkheden om zelf met een eigen algoritme aan de slag te gaan. Maar dat even terzijde.
De Transport key (AES 256) die wordt gebruikt om het verkeer tussen een BB handheld en de BES server te versleutelen, wordt op de BES server gegenereerd. RIM heeft hier geen copy van.
Ik begrijp dat het mogelijk zou zijn dat de leverancier (RIM) een achterdeur in de BES server heeft ingebouwd en dus gegenereerde symmetrische sleutels kan sniffen. Er is echter geen master key of een vaste key die RIM in bezit heeft en aan de overheid kan geven.
Graag hoor ik dus op welke manier de overheid dus deze data zou kunnen tappen.
Overigens zijn er dan ook nog mogeljkheden om zelf met een eigen algoritme aan de slag te gaan. Maar dat even terzijde.
"Graag hoor ik dus op welke manier de overheid dus deze data zou kunnen tappen."
De sleutel is zowel op de BlackBerry Enterprise Server als ook op de BlackBerry devices geinstalleerd. Wellicht dat RIM in het geval van een lawful interception request op afstand de sleutel van je device kan kopieren, en vervolgens je berichten kan decrypten ? Precies weet ik het niet.
Wel weet ik dat RIM in verschillende landen deals heeft gemaakt om het verkeer aftapbaar te maken (en in steeds meer landen kan je produkten niet eens meer op de markt brengen indien deze niet aftapbaar zijn t.b.v. lawful interception).
De sleutel is zowel op de BlackBerry Enterprise Server als ook op de BlackBerry devices geinstalleerd. Wellicht dat RIM in het geval van een lawful interception request op afstand de sleutel van je device kan kopieren, en vervolgens je berichten kan decrypten ? Precies weet ik het niet.
Wel weet ik dat RIM in verschillende landen deals heeft gemaakt om het verkeer aftapbaar te maken (en in steeds meer landen kan je produkten niet eens meer op de markt brengen indien deze niet aftapbaar zijn t.b.v. lawful interception).
Er is echter geen master key of een vaste key die RIM in bezit heeft en aan de overheid kan geven.
Waarop baseer je deze uitspraak?
Door Anoniem:
Waarop baseer je deze uitspraak?
Dat is namelijk wel waarhied hoor...ik ben aardig op de hoogte van RIM/BB(ben certified BES-Admin&Engineer) en kan je melden dat er inderdaad geen masterkey is die RIM heeft...Er is echter geen master key of een vaste key die RIM in bezit heeft en aan de overheid kan geven.
Waarop baseer je deze uitspraak?
Ook een mooie:
"This is about the Internet," Mr. Lazaridis said. "Everything on the Internet is encrypted. This is not a BlackBerry-only issue. If they can't deal with the Internet, they should shut it off."
Read more: http://online.wsj.com/article/SB10001424052748704017904575409093226146722.html#ixzz0wV422FdU
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
