Politie kraakt versleutelde chatberichten van criminelen
De politie heeft duizenden versleutelde chatberichten van criminelen kunnen lezen door de encryptie te kraken, zo heeft de politie in Oost-Nederland tijdens een persconferentie vandaag bekendgemaakt. Door het kraken van de encryptie kon de politie 24 uur per dag en 7 dagen per week live met 258.000 chatberichten meekijken. In de berichten werd onder andere gesproken over de handel in drugs, wapens en geld.
De doorbraak werd bereikt nadat de politie in Oost-Nederland, in een onderzoek naar witwassen, een leverancier van cryptotelefoons op het spoor kwam. "We hadden voldoende aanwijzingen dat deze telefoons gebruikt werden tussen criminelen. Het is gelukt om de versleutelde communicatieberichten tussen deze telefoons te onderscheppen en gedurende enige tijd live mee te kijken", aldus de politie. De telefoons, die 1500 euro per half jaar kostten, konden alleen worden gebruikt voor het versturen van chatberichten. Daarnaast beschikten ze over een "paniekknop" waarmee het toestel kon worden gewist.
De politie heeft door de informatie in de onderschepte en gekraakte versleutelde chatberichten meerdere invallen in Nederland gedaan en daarbij drugs, geld en wapens in beslag genomen. Ook hebben er meerdere aanhoudingen plaatsgevonden en zijn er meer dan honderd mensen verdacht van betrokkenheid bij criminele activiteiten. De chatapplicatie die op de cryptofoons werd gebruikt was IronChat. De server en website van IronChat zijn door de politie offline gehaald en de twee eigenaren opgepakt. Hoe de encryptie kon worden gekraakt heeft de politie niet laten weten. Wel stelt de politie dat het niet eerder in Nederland is gelukt om live met versleutelde communicatie mee te kijken.
Uit de chats kwam ook naar voren dat criminelen elkaar ervan verdachten dat zij informatie naar de politie hadden gelekt en dat hiervoor een vergeldingsactie werd voorbereid. Op basis van deze informatie is een onderzoek naar de mogelijke betrokkenen gestart en om de mogelijke vergeldingsactie te voorkomen. Bij een actie van de Dienst Speciale Interventies zijn vandaag drie verdachten aangehouden. Een man van 31 uit Almelo en twee mannen uit Enschede van 23 en 33 jaar oud.
Update
De politie liet tijdens de persconferentie weten dat de encryptie was gekraakt, maar NRC meldt dat agenten toegang kregen tot de server waarop de encryptiesleutels stonden. Met deze sleutels was het mogelijk om de versleutelde berichten te ontsleutelen. Het encryptieprotocol waar IronChat gebruik van maakte is niet gekraakt.
Update 2
Het Openbaar Ministerie laat weten dat de server die IronChat gebruikte werd ontdekt nadat de politie de leverancier van de cryptofoons op het spoor was gekomen. Vervolgens werd de operatie gestart waarbij de politie via de sleutels op de server de berichten van IronChat-gebruikers kon onderscheppen en ontsleutelen.
Er zullen best nog meer van dat soort bedrijfjes zijn.
Ze pronken met veren van iemand anders.
Uhm end-to-end-encryption? Lijkt me dan ook geen MITM Attack..
Uhm end-to-end-encryption? Lijkt me dan ook geen MITM Attack..
Dat lijkt inderdaad vreemd. Of had het bedrijf de end-to-end-encryption sleutels voor alle chats op een server opgeslagen? Maar waarom zouden ze dat hebben gedaan? Zoiets lijkt me toch niet echt de bedoeling. Dan heb je het 'end-to-end' in end-to-end-encryption niet helemaal begrepen. Zie quote hieronder (NRC) voor achtergronden (incl. een verwijzing naar security.nl).
Agenten kregen uiteindelijk toegang tot de server waar de sleutels opstonden, zodat communicatie kon worden afgetapt. Het encryptieprotocol, de versleuteling om berichten voor buitenstaanders onleesbaar te maken, is niet gekraakt.
https://tweakers.net/nieuws/145403/politie-keek-mee-met-chatberichten-van-criminelen-door-toegang-tot-server.html
Dat kan met alle pki tls certificates, totdat je aan pinning doet. En dat doet niemand.
Gefeliciteerd met het behaalde succes.
En dan dit.
Het is altijd weer leuk om te vernemen dat meer dan 100 criminelen onder een vergrootglas liggen.
Hopelijk heeft dit ook gevolgen voor het opsporingsbeleid elders in Nederland.
Uhm end-to-end-encryption? Lijkt me dan ook geen MITM Attack..
Denk dat jullie allemaal niet echt helemaal begrijpen wat end-to-end encryptie inhoudt...
Dat zegt niets over of een MITM-aanval wel of niet kan. Heel simpel gezegd: iemand hackt bijvoorbeeld de server van WhatsApp. Je denkt ‘Ik ben veilig, want end-to-end encryptie’, maar de hacker zorgt ervoor dat er nieuwe encryptiesleutels worden gemaakt (die de hacker dan dus weet). WhatsApp zal dan gewoon een melding geven (als je dit aan hebt staan) dat de beveiligingssleutel van het contact is gewijzigd. Mensen weten niet wat dit betekent, dus negeren ze het gewoon. Ondertussen communiceren ze doodleuk verder, maar heeft de hacker realtime inzage in de berichten.
End-to-end encryptie betekent NIET dat het 100% veilig is en de server ‘t niet kan lezen. Er hoeft alleen maar een MITM-aanval plaats te vinden, de sleutels worden opnieuw gemaakt en de hacker weet ze en vanaf dat moment is het game over.
Dat is ook waarom Signal tijd heel duidelijk een pop-up geeft dat de sleutels van ‘t contact zijn gewijzigd (als ‘t contact de app opnieuw installeerd bijvoorbeeld). Je moet dan aangegen of je door wilt gaan met chatten of niet.
Conclusie: de server was niet veilig en de politie heeft dus weten in te breken. Maar de encryptie zelf is niet gekraakt en het was ook niet verkeerd geïmplementeerd. Gewoon een MITM... En dat de chatdienst niet waarschuwd wanneer de sleutels zijn gewijzigd... Tja, dan weten de gebruikers ‘t ook niet.
Dat zegt niets over of een MITM-aanval wel of niet kan. …
…WhatsApp zal dan gewoon een melding geven (als je dit aan hebt staan) dat de beveiligingssleutel van het contact is
gewijzigd. Mensen weten niet wat dit betekent, dus negeren ze het gewoon.
…End-to-end encryptie betekent NIET dat het 100% veilig is en de server ‘t niet kan lezen.
Dat die melding van een veranderde sleutel verschijnt, betekend juist dat het wél veilig is. De eindpunten detecteren dat het certificaat veranderd is en dat dit dus niet meer vertrouwd mag worden. Als encryptie zo belangrijk is voor je communicatie, ga je deze verandering checken bij je gesprekspartner.
Als dit hier bij alle criminelen gebeurd is, dan wordt er onderling over gesproken dat dit vreemd is en gaat opvallen. Je zou dus verwachten dat er in dit geval ingebroken is zonder zo'n melding bij de gebruiker.
Hahaha Apple, die werken lekker mee hoor!
Nog een gratis tip voor de criminelen.
- Niet naar voorgaande advies luisteren.
- Het probleem gewoon zien als ict probleem, en dat zo benaderen. (Dus niet met een pruts bedrijfje in zee gaan)
Kennelijk is die Blackbox "reclame" door de moderatie van Security.NL heen geglipt. Het betrof hier slechts 1 posting onder de naam van die malafide firma, niet wat je noemt "reclame". Er werd in hun aanprijzing hier en elders zelfs geschermd met de roem van Ed Snowden, alsof die hun onveilige speeltje zou hebben aanbevolen.
Alleen de naam al, een "zwarte doos". Dat begrip geeft ook aan dat niet bekend is hoe het precies van binnen werkt. Dat is vragen om problemen. Uit eerder nog te vinden documentatie bleek dat IronChat OTR claimde gebruik te maken van het zogeheten "Socialist Millionaire Protocol".
Dat zegt niets over of een MITM-aanval wel of niet kan. …
…WhatsApp zal dan gewoon een melding geven (als je dit aan hebt staan) dat de beveiligingssleutel van het contact is
gewijzigd. Mensen weten niet wat dit betekent, dus negeren ze het gewoon.
…End-to-end encryptie betekent NIET dat het 100% veilig is en de server ‘t niet kan lezen.
Dat die melding van een veranderde sleutel verschijnt, betekend juist dat het wél veilig is. De eindpunten detecteren dat het certificaat veranderd is en dat dit dus niet meer vertrouwd mag worden. Als encryptie zo belangrijk is voor je communicatie, ga je deze verandering checken bij je gesprekspartner.
Als dit hier bij alle criminelen gebeurd is, dan wordt er onderling over gesproken dat dit vreemd is en gaat opvallen. Je zou dus verwachten dat er in dit geval ingebroken is zonder zo'n melding bij de gebruiker.
Blijkbaar was die melding in héél kleine lettertjes (en te technisch): https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig.html
Blijkbaar was die melding in héél kleine lettertjes (en te technisch): https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig.html
Ik zie nu ook het sceenshot op die nos pagina. Ik ben het niet eens met die redacteur dat het niet opvalt. Ik vind het er eigenlijk wel duidelijk staan in dat screenshot. Zeker als die tekst er nooit stond en er nu plots wel staat. Bedenk ook dat het niet één gebruiker was, maar een grote groep die onderling communiceert. Er hoeft er maar één te zijn die dit opvalt en binnen de groep vragen gaat stellen.
Maar misschien vertrouwden de criminelen er wel te veel op dat een telefoon van € 1500.- veilig moest zijn door zijn prijs. Ik ben het wel eens met die conclusie dat die melding voor een cryptofoon, die expliciet voor geheime communicatie bedoeld is, veel prominenter aanwezig moet zijn. Een goede programmeur zou verdere communicatie moeten blokkeren totdat de gebruiker heel expliciet het gebruik van een nieuw certificaat had goedgekeurd.
Inderdaad (eens)! Want betrouwbare versleutelde communicatie is nou juist de core feature van zo'n apparaat! Alles wat die functionaliteit in gevaar brengt zou dwingend expliciet moeten worden afgehandeld!
Hoe zou het zijn met je open en bloot verbergen in de massa zonder verdere bijzondeheden? Zeg maar hoe de natuur kuddes en scholen als bestaan heeft gegeven.
https://arstechnica.com/information-technology/2018/11/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app/
@Snowden 8:28 AM - 8 Nov 2018
https://mobile.twitter.com/Snowden/statuses/1060569659009888260
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
