Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Aftap mogelijkheid van overheid/derde
18-04-2014, 10:47 door Anoniem, 1 reacties
Hoi allen,
Ik vraag het me al een tijdje af, wat kan de overheid, een service provider of andere partijen (hackers etc.) aan (bruikbaar)verkeer onderscheppen?
Deze vraag spookt al langer door mijn hoofd, maar na de laatste uitzending van `Brandpunt` steeds meer.
Er zijn voor mij namelijk een aantal onduidelijkheden. Zo maken sommige websites gebruik van versleutelde verbindingen (HTTPS). Kan een service provider, de politie of een hacker (zoals bij brandpunt te zien was) deze data onderscheppen EN lezen? En zo ja, hoe kan dit dan, deze data/verbinding is toch versleuteld?
Hetzelfde geldt voor bijvoorbeeld Whatsapp. Ik heb vernomen dat whatsapp verkeer inmiddels over versleutelde verbindingen gaat, kan een politie die een tap op een bepaald nummer zet, deze data / berichten dan toch uitlezen? En zo ja, hoe gebeurd dit dan?
Als dit mogelijk is ben ik ook erg benieuwd wat je hier dan tegen kan doen en waarom de oplossing dan wel veilig is, aangezien bovenstaand verkeer toch ook al `versleuteld` is (en dus veilig dient te zijn).
Ben erg benieuwd hoe dit nu eigenlijk werkt.
Ik vraag het me al een tijdje af, wat kan de overheid, een service provider of andere partijen (hackers etc.) aan (bruikbaar)verkeer onderscheppen?
Deze vraag spookt al langer door mijn hoofd, maar na de laatste uitzending van `Brandpunt` steeds meer.
Er zijn voor mij namelijk een aantal onduidelijkheden. Zo maken sommige websites gebruik van versleutelde verbindingen (HTTPS). Kan een service provider, de politie of een hacker (zoals bij brandpunt te zien was) deze data onderscheppen EN lezen? En zo ja, hoe kan dit dan, deze data/verbinding is toch versleuteld?
Hetzelfde geldt voor bijvoorbeeld Whatsapp. Ik heb vernomen dat whatsapp verkeer inmiddels over versleutelde verbindingen gaat, kan een politie die een tap op een bepaald nummer zet, deze data / berichten dan toch uitlezen? En zo ja, hoe gebeurd dit dan?
Als dit mogelijk is ben ik ook erg benieuwd wat je hier dan tegen kan doen en waarom de oplossing dan wel veilig is, aangezien bovenstaand verkeer toch ook al `versleuteld` is (en dus veilig dient te zijn).
Ben erg benieuwd hoe dit nu eigenlijk werkt.
Reacties (1)
Wat betreft Whatsapp kun je het een en ander vinden hierover op: http://www.nannibassetti.com/dblog/articolo.asp?articolo=193
Ik denk dat je wel mag concluderen dat onze overheid ook van dit soort vergelijkbare mogelijkheden gebruikt maakt, en al dan niet misbruikt wel omdat hier vrijwel niets tot geen toezicht op gehouden word.
Wat door de een als encryptie of versleuteld word beschreven is voor de ander misschien een soort van kinderpuzzel.
Ik heb volgens mij ooit weleens gelezen dat de encryptie die Whatsapp hanteert, vergelijkbaar is met een soort van zogenoemd "achterste-voren encryptie".
Als je wilt voorkomen dat je berichten niet door tussenliggende partij of een andere derde kunnen worden gelezen, is het aan te raden gebruik te maken van End-To-End encryptie waarbij de berichten op het device zelf worden versleuteld en op het device van de ontvangen pas weer ontsleuteld worden. Dit geld overigens niet voor groepsgesprekken, maar slechts alleen bij persoon na persoon berichten.
OTR (Off The Record) is een vrij eenvoudig te implenteren protocol dat End-To-End encryptie mogelijk maakt voor de meeste uiteenlopende instant messaging programma's. Meer daarover kun je hier vinden: https://otr.cypherpunks.ca
Voor groepsgesprekken met meerdere mensen tegelijkertijd is Cryptocat een aanrader, maar vergeet niet dat dit programma enig sinds nog in de kinderschoenen begeeft gezien gebeurtenissen en omstandigheden uit het verleden.
https://crypto.cat
Maar om dan nog even terug te komen op de overheid en/of hackers in dienst van de overheid.
Zoals in een van de laatste Spy Files (3) van Wikileaks is terug te vinden, is er het afgelopen jaar verschillende malen en door verschillende bedrijven een bezoek gebracht aan ons land die zulk soort zogenaamde speciale exclusieve overheids-only producten commercieel aanbieden.
https://www.wikileaks.org/spyfiles/docs/NETHERLANDS-2012-WLCINL-en.pdf
Het lijkt me sterk dat er in het product van Martin Muench, Fin Fisher/Fin Spy geen mogelijkheid tot het onderscheppen van Whatsapp berichten zit verwerkt. Gezien het bedrag dat moet worden neergelegd voor een eenjarige licentie, en zij producten op maat leveren en volledig worden samengesteld op eis en interesses van de afnemer.
Misschien dat je het nog niet wist, maar de Nederlandse overheid is al enkele jaren een trouwe klant van de Gamma Group.
Tot op de dag van vandaag heeft de Nederlandse Hengelsport Vereniging geen cent ontvangen van deze zogenoemde (zwart) fishers die al geruime tijd zonder legitieme visvergunning het een ander boven water hebben gehaald.
Ik denk dat je wel mag concluderen dat onze overheid ook van dit soort vergelijkbare mogelijkheden gebruikt maakt, en al dan niet misbruikt wel omdat hier vrijwel niets tot geen toezicht op gehouden word.
Wat door de een als encryptie of versleuteld word beschreven is voor de ander misschien een soort van kinderpuzzel.
Ik heb volgens mij ooit weleens gelezen dat de encryptie die Whatsapp hanteert, vergelijkbaar is met een soort van zogenoemd "achterste-voren encryptie".
Als je wilt voorkomen dat je berichten niet door tussenliggende partij of een andere derde kunnen worden gelezen, is het aan te raden gebruik te maken van End-To-End encryptie waarbij de berichten op het device zelf worden versleuteld en op het device van de ontvangen pas weer ontsleuteld worden. Dit geld overigens niet voor groepsgesprekken, maar slechts alleen bij persoon na persoon berichten.
OTR (Off The Record) is een vrij eenvoudig te implenteren protocol dat End-To-End encryptie mogelijk maakt voor de meeste uiteenlopende instant messaging programma's. Meer daarover kun je hier vinden: https://otr.cypherpunks.ca
Voor groepsgesprekken met meerdere mensen tegelijkertijd is Cryptocat een aanrader, maar vergeet niet dat dit programma enig sinds nog in de kinderschoenen begeeft gezien gebeurtenissen en omstandigheden uit het verleden.
https://crypto.cat
Maar om dan nog even terug te komen op de overheid en/of hackers in dienst van de overheid.
Zoals in een van de laatste Spy Files (3) van Wikileaks is terug te vinden, is er het afgelopen jaar verschillende malen en door verschillende bedrijven een bezoek gebracht aan ons land die zulk soort zogenaamde speciale exclusieve overheids-only producten commercieel aanbieden.
https://www.wikileaks.org/spyfiles/docs/NETHERLANDS-2012-WLCINL-en.pdf
Het lijkt me sterk dat er in het product van Martin Muench, Fin Fisher/Fin Spy geen mogelijkheid tot het onderscheppen van Whatsapp berichten zit verwerkt. Gezien het bedrag dat moet worden neergelegd voor een eenjarige licentie, en zij producten op maat leveren en volledig worden samengesteld op eis en interesses van de afnemer.
Misschien dat je het nog niet wist, maar de Nederlandse overheid is al enkele jaren een trouwe klant van de Gamma Group.
Tot op de dag van vandaag heeft de Nederlandse Hengelsport Vereniging geen cent ontvangen van deze zogenoemde (zwart) fishers die al geruime tijd zonder legitieme visvergunning het een ander boven water hebben gehaald.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
