Staatssecretaris wil niet zeggen hoe NFI BlackBerry's kraakt
Staatssecretaris Dijkhoff van Veiligheid en Justitie wil niet zeggen welke software het Nederlands Forensisch Instituut (NFI) gebruikt om versleutelde berichten op BlackBerry-toestellen te lezen. Vorig jaar december werd bekend dat het NFI bij verschillende strafzaken versleutelde berichten van verdachten had achterhaald.
D66-Kamerlid Kees Verhoeven wilde van minister Van der Steur weten wat voor software het Nederlands Forensisch Instituut gebruikt om de versleuteling te kraken, aangezien de organisatie geen details over de precieze werkwijze bekendmaakte. Dit zou volgens een woordvoerder namelijk criminelen in de kaart spelen. Ook moest Van der Steur uitleggen welke techniek de software voor het kraken van de encryptie toepast. Verhoeven is daarbij vooral benieuwd of er onbekende kwetsbaarheden in de encryptiesoftware worden gebruikt.
In plaats van Van der Steur heeft Dijkhoff nu een antwoord (pdf) gegeven. "Zoals bij de beantwoording van eerdere vragen aan uw Kamer is medegedeeld, brengt het verstrekken van informatie over welke specifieke software de opsporingsdiensten gebruiken grote risico’s met zich mee voor de inzetbaarheid van die middelen. Ik kan daarover derhalve geen mededelingen doen", aldus de staatssecretaris.
Kwetsbaarheden
Verhoeven wilde ook weten of Van der Steur het gebruik van onbekende kwetsbaarheden in encryptiesoftware door de overheid onwenselijk vindt. Daarop laat Dijkhoff weten dat er een verschil is als het gaat om het kabinetsstandpunt over encryptie en het gebruik van bestaande kwetsbaarheden ten behoeve van de opsporing. "Ten aanzien van de omgang met onbekende kwetsbaarheden, ofwel zero-days, heb ik reeds toegezegd in een brief nader in te zullen gaan op de wijze waarop de overheid omgaat met deze kwetsbaarheden."
Zo lust ik er nog wel een paar. Dan mogen m.i. fabrikanten hetzelfde stellen en dus weigeren een backdoor oid in hun software te maken (zoals Apple vs FBI). Gelijke monniken gelijke kappen.
H.H. overheden en opsporingsdiensten: u red uw eigen hol maar met al uw klaagzang en dreigementen. Jullie geven blijk dat jullie ook zelf uit kunnen dokteren hoe je encryptie op smartphones kunnen kraken dus niet meer zeuren bij de fabrikanten.
Dat Apple zich zo in het publiek er over uitlaat zou kunnen betekenen dat er wel een is, maat nog niet publiekleijk bekend.
Het scenario van Splid hierboven dat BB meewerkt aan de encryptie is waarschijnljiker dan dat er een eigen hack is.
Eens kijken:
http://www.blackberryconverter.com/blog/2012/jun/18/how-to-encrypt-and-decrypt-blackberry-backups/
https://www.elcomsoft.com/help/en/eppb/index.html?decrypt_bleckberry_sd_card.html
Als je de fysieke toegang hebt het apparaat in bezit hebt, valt er veel over te vinden. De hele case van BB was veilig verkeer tussen toestellen over hun eigen netwerk.
Hoe achterlijk kan je het hebben?
https://www.certicom.com/index.php/the-use-of-public-key-cryptography-in-the-blackberry
Als dus de key op het device gemaakt wordt met een zwakke storage:
"The BlackBerry OS Cryptographic Library is a low-level cryptographic toolkit, and therefore does not provide key storage.”
Zie:
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1578.pdf
Dan zou het wel eens kunnen dat BB eenzelfde pass in een hele serie BB’s geplaatst heeft en dat deze dus in het RAM aanwezig is. En dan zou eea daaruit gelezen kunnen worden.
Apple moet dat ook, onder een court order MOETEN ze wel doen wat ze kunnen.
Dit hele Apple gedoe is een grote publiciteit stunt.
Apple moet dat ook, onder een court order MOETEN ze wel doen wat ze kunnen.
Dit hele Apple gedoe is een grote publiciteit stunt.
Misschien ligt het iets genuanceerder. Robert X Cringely heeft een leuke hypothese: http://www.cringely.com/2016/02/19/the-fbi-v-apple-isnt-at-all-the-way-you-think-it-is/
Komt erop neer dat Obama de FBI opdracht heeft gegeven tot deze zaak met de bedoeling dat in het Supreme Court wordt beslist dat Apple gelijk heeft. (De bedoeling is dus dat de FBI deze zaak gaat verliezen.) Recentelijk is een rechter van het (normaal 9-koppige) Supreme Court overleden en Obama gaat die vervangen door iemand die een minder conservatief standpunt heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
