image

Berichtendienst SKY ECC ontkent dat politie communicatie kraakte

woensdag 10 maart 2021, 10:28 door Redactie, 25 reacties

De versleutelde berichtendienst SKY ECC ontkent dat politie de communicatie van het platform heeft gekraakt. In plaats daarvan zouden gebruikers het slachtoffer van een phishing-applicatie zijn geworden. Dat meldt het bedrijf in een verklaring op de eigen website.

Sky ECC, met de slogan "nothing is more secure", biedt naar eigen zeggen een beveiligd berichtenplatform dat alleen op "niet te hacken" apparaten is te installeren. De telefoons van Sky ECC hebben geen gps, camera en microfoon. Berichten worden automatisch na een opgegeven tijd verwijderd. Daarnaast is er een "panic" wachtwoord dat na het invoeren de inhoud van het toestel wist.

Gisteren maakte de Nederlandse politie bekend dat het met miljoenen versleutelde berichten van SKY ECC heeft kunnen meelezen. Naar aanleiding van de onderschepte berichten heeft de Nederlandse politie gisteren bij acties in het hele land tientallen mensen aangehouden en 75 woningen en kantoren doorzocht. De afgelopen weken waren in Nederland al 43 verdachten aangehouden.

Vandaag heeft de Belgische politie meer informatie over de operatie gegeven. Zo zouden er 1 miljard versleutelde berichten van SKY ECC zijn onderschept, waarvan de helft is ontsleuteld. Wereldwijd zijn er volgens de Belgische politie ongeveer 171.000 SKY ECC-toestellen actief, voornamelijk in Europa, Noord-Amerika, een aantal landen in Midden- en Zuid-Amerika en in het Midden-Oosten. Maandelijks voeren hiervan ongeveer 70.000 toestellen actieve communicaties op het SKY ECC-netwerk. Wereldwijd worden er elke dag zo'n drie miljoen berichten via het platform verstuurd.

Ongeveer een kwart van de actieve gebruikers van deze toestellen bevindt zich in België (6.000) en Nederland (12.000). "Het zwaartepunt van het gebruik van deze telefoons ligt in het gerechtelijk arrondissement Antwerpen, ongeveer 50 procent, meer bepaald in en rond de haven. Andere gebieden met relatief meer SKY ECC-gebruikers zijn Brussel, Limburg (grensstreek), Oost-Vlaanderen, Luik en Charleroi", aldus de federale politie.

Volgens de Belgische politie heeft het onderzoek in twee fases plaatsgevonden. In de eerste fase werd de versleutelde communicatie onderschept en opgeslagen. "Met grondig speurwerk, doorgedreven internationale samenwerking en het bijeenbrengen van bijzondere expertise werd gezocht naar een manier om de versleutelde communicaties zoveel mogelijk te ontcijferen", laat de federale politie weten.

"In een tweede fase werd de inhoud van leesbaar gemaakte berichten gedurende ongeveer drie weken live meegelezen. Gezien de gigantische hoeveelheid berichten werden prioriteiten gesteld op basis van bepaalde criteria", voegt de politie verder toe. De Belgische politie doorzocht gisteren meer dan tweehonderd woningen en hield 48 personen aan.

Phishing

Aanbieder SKY ECC is inmiddels zelf ook met een verklaring gekomen. Het bedrijf stelt dat er een "fake phishing application" is ontwikkeld die zich als de SKY ECC-app voordeed en op "onveilige toestellen" is geïnstalleerd. Vervolgens werden deze toestellen via ongeautoriseerde kanalen aangeboden. "Uit onderzoek blijkt dat berichten dat de Belgische en/of Nederlandse autoriteiten de SKY ECC versleutelde communicatiesoftware hebben gekraakt onjuist zijn", aldus de verklaring.

SKY ECC ontkent ook de beschuldigingen dat het een geliefd platform voor criminelen is. Accounts die voor criminele doeleinden zouden worden gebruikt zegt het bedrijf meteen te deactiveren. Gisteren meldde de Nederlandse politie dat de server van Sky ECC offline is gehaald en in beslag is genomen door de Nederlandse autoriteiten. SKY ECC stelt dat er gisteren tijdelijke connectieproblemen met de servers waren, maar dat de dienstverlening inmiddels is hersteld. Deze servers bevatten geen gebruikersgegevens, berichten of back-ups, zo laat het bedrijf verder weten.

Reacties (25)
10-03-2021, 10:50 door Anoniem
Ik neig het verhaal van Sky eerder te geloven dan de powerplay PR van de politie intanties in deze, want de uitleg rammelt in deze.

Uiteraard kan men encrypted verkeer onderscheppen / sniffen en opslaan. Dit zou je dan offline kunnen proberen te decrypten met super computers.... (fase1)

Echter live meekijken is een ander verhaal (fase2)
- Of je kunt on the fly/wire decrypten (wat mij stug lijkt tenzij er 1 decryptiesleutel is of iets dergelijks maar die kans acht ik klein)
- Of je hebt een centrale SKY server onder controle waar het berichtenverkeer door heen stroomt. Echter dit noemt de politie niet en dat hadden ze echt wel gedaan als dat was gebeurd.

Dus met behulp van een fake APP op foons en deze de (criminele) wereld in slingeren klint dan plausibeler om live berichtenverkeer te kunnen zien. Ze hebben dan de SKY dienst een soort van nagebouwd en gebruikers gefopt.

Of de info die naar buiten komt klopt niet in de hoop dat men gewoon doorgaat met SKY (en zo dus nog meer boefjes vangen indien ze wel het SKY platform onder controle hebben).

Wie zal het zeggen ;)
10-03-2021, 11:03 door Anoniem
je kan niet iets hacken dat al van jouw is en waar je al toegang hebt leren deze dombo's niet van andere "gehackte chatapps"? hoe betaal je eigenlijk zo een app van 2200 per jaar via Ideal?
10-03-2021, 11:17 door Anoniem
Het bedrijf stelt dat er een "fake phishing application" is ontwikkeld die zich als de SKY ECC-app voordeed en op "onveilige toestellen" is geïnstalleerd. Vervolgens werden deze toestellen via ongeautoriseerde kanalen aangeboden.
Dat lijkt me niet te rijmen met de claim dat er miljoenen berichten zijn meegelezen. Dan zou je toch wel een flink deel van de apparaten onder controle moeten hebben.
SKY ECC ontkent ook de beschuldigingen dat het een geliefd platform voor criminelen is. Accounts die voor criminele doeleinden zouden worden gebruikt zegt het bedrijf meteen te deactiveren.
Hoe weten ze dat dan? Lezen ze met het berichtenverkeer mee? Houden ze de gegevens van de gebruikers in de gaten en als ze ergens lezen dat iemand een crimineel is dan deactiveren ze die?
10-03-2021, 11:53 door Anoniem
Accounts die voor criminele doeleinden zouden worden gebruikt zegt het bedrijf meteen te deactiveren.

Oh, dus ze kunnen meelezen om zo te bepalen of criminele activiteiten worden ontplooid? Zo niet, dan is dit een nietszeggend statement. Zo wel, dan zou je als crimineel die app niet moeten willen gebruiken lijkt me.
10-03-2021, 12:40 door Anoniem
lijkt me eerder dat ze een server van Sky overgenomen hebben (eigen server of via nog-niet-uitgebrachte exploit overgenomen) en hierop de stream hebben afgetapt.
deze is dan vervolgens 'in beslag' genomen om te verdoezelen hoe ze het gedaan hebben.

desalnietemin is het cowboy tijd weer aangebroken nu niemand deze diensten meer beteugelt in hun mogelijkheden en is Sky niet eens meer de limit.
10-03-2021, 13:28 door _R0N_
De Politie heeft ieder geval wel de berichten van de dienst gelezen en niet zoals Sky zelf zegt dat de berichten niet toegankelijk waren.

De politie sprak gisteren van een ‘overtreffende trap’ als het gaat om de ontmanteling van Sky. ,,Het onderzoek heeft hiermee de georganiseerde misdaad hard geraakt,” stelt de politie. ,,Veel gebruikers van EncroChat zijn vorig jaar overgestapt naar Sky ECC. Het bedrijf is inmiddels wereldwijd de grootste aanbieder van crypto communicatie met zo’n 70.000 gebruikers. In Nederland zijn ongeveer 11.000 Sky-accounts toegewezen aan Nederlandse gebruikers.” De politie heeft vanaf februari 2021 ongeveer drie weken ‘live’ kunnen meelezen. Zeker 500 agenten werden tijdens deze periode ingezet om verdachten te kunnen identificeren.

De server, die ergens in een Europees land stond, is dinsdag door de politie in beslag genomen. Het onderzoek naar de versleutelde berichten leidde in Nederland tot tientallen arrestaties. Ook in België zijn op grote schaal aanhoudingen verricht en huiszoekingen gedaan. Ook werden twee advocaten aangehouden, vermoedelijk in verband met een drugsonderzoek.

Hoe ze het ook gedaan hebben, de berichten waren inzichtelijk en niet alleen voor de zender en ontvanger, de claims van de dienst zijn daarmee ontkracht.
10-03-2021, 14:27 door Anoniem
Ik ben meer geneigd om te geloven dat ze zelf een app hebben ontwikkeld. Met een sterk gelijkende naam. Criminelen stonken erin en daardoor konden ze die berichten lezen.

Dat lijkt mij het meest logische en ook het meest efficiente.

Zo niet dan waren ze niet echt wakker.

En dat hele verhaal we zijn zo geweldig...allemaal kermis om het fet dat ze erom heen draaien dat er een kans van uitlokking is?

Maar het eindresultaat is hetzelfde ..goed gedaan. Nu het kabinet nog.
10-03-2021, 15:13 door Anoniem
Door Anoniem: Ik ben meer geneigd om te geloven dat ze zelf een app hebben ontwikkeld. Met een sterk gelijkende naam. Criminelen stonken erin en daardoor konden ze die berichten lezen.
Stel jij maakt een dienst met de naam gmeel.com en je krijgt een stuk of wat vrienden zover dat zij denken dat dit hetzelfde is als gmail.com
En je weet dit slim te verspreiden in het milieu waarin je op zoek bent.

Hoe groot acht jij dan de kans dat je hiermee "miljoenen berichten" kunt onderscheppen voordat iemand het in de gaten heeft, en dan nog als eerste te komen met het bericht dat je de boel gehacked had en tientallen criminelen opgepakt, zonder dat Peter R of een andere journalist je daar mee voor is?

Komt niet erg aannemelijk over, vind je ook niet?
10-03-2021, 16:06 door _R0N_
Door Anoniem: Ik ben meer geneigd om te geloven dat ze zelf een app hebben ontwikkeld. Met een sterk gelijkende naam. Criminelen stonken erin en daardoor konden ze die berichten lezen.

Dat lijkt mij het meest logische en ook het meest efficiente.


Dat lijkt mij de minst logische verklaring. Voor je miljoenen berichten hebt met een nep app ben je jaren bezig en dat lukt nooit zonder ontdekt te worden. De kans is veel groter dat dit verhaal (de ontkenning) op de plank lag voor het geval dat het gekraakt zou worden.
10-03-2021, 16:39 door Anoniem
Door _R0N_: De Politie heeft ieder geval wel de berichten van de dienst gelezen en niet zoals Sky zelf zegt dat de berichten niet toegankelijk waren.

De politie sprak gisteren van een ‘overtreffende trap’ als het gaat om de ontmanteling van Sky. ,,Het onderzoek heeft hiermee de georganiseerde misdaad hard geraakt,” stelt de politie. ,,Veel gebruikers van EncroChat zijn vorig jaar overgestapt naar Sky ECC. Het bedrijf is inmiddels wereldwijd de grootste aanbieder van crypto communicatie met zo’n 70.000 gebruikers. In Nederland zijn ongeveer 11.000 Sky-accounts toegewezen aan Nederlandse gebruikers.” De politie heeft vanaf februari 2021 ongeveer drie weken ‘live’ kunnen meelezen. Zeker 500 agenten werden tijdens deze periode ingezet om verdachten te kunnen identificeren.

De server, die ergens in een Europees land stond, is dinsdag door de politie in beslag genomen. Het onderzoek naar de versleutelde berichten leidde in Nederland tot tientallen arrestaties. Ook in België zijn op grote schaal aanhoudingen verricht en huiszoekingen gedaan. Ook werden twee advocaten aangehouden, vermoedelijk in verband met een drugsonderzoek.

Hoe ze het ook gedaan hebben, de berichten waren inzichtelijk en niet alleen voor de zender en ontvanger, de claims van de dienst zijn daarmee ontkracht.

er even vanuit gaande dat alles wat de politie naar buiten brengt ook echt klopt ;) kan ook tactisch zijn met wat dingen verdraait vanwege de boodschap die het afgeeft (tenminste ik zou hierna SKY voor geen meeter meer vertrouwen).

SKY kan idd ook gewoon onzin uitkramen om damage control voor t bedrijf te doen...

zullen nooit het exacte weten... feit is ... they're fucked
10-03-2021, 18:09 door Anoniem
Door _R0N_:
Door Anoniem: Ik ben meer geneigd om te geloven dat ze zelf een app hebben ontwikkeld. Met een sterk gelijkende naam. Criminelen stonken erin en daardoor konden ze die berichten lezen.

Dat lijkt mij het meest logische en ook het meest efficiente.


Dat lijkt mij de minst logische verklaring. Voor je miljoenen berichten hebt met een nep app ben je jaren bezig en dat lukt nooit zonder ontdekt te worden. De kans is veel groter dat dit verhaal (de ontkenning) op de plank lag voor het geval dat het gekraakt zou worden.

Mij ook.
Met name omdat de telefoon heel erg custom zijn, en geleverd/gehuurd worden van SKY .

Dat maakt de 'normale' aanval op een telefoon - fake app, en gebruiker social engineeren om die te installeren een heel stuk lastiger .
Er zal waarschijnlijk ook geen standaard playstore op de telefoon zitten , alleen een playstore van SKY .

Ik snap eigenlijk niet waarom zoveel mensen tegen beter weten in gaan zitten closereaden dat het maar niet aan de criminele operator gelegen mag hebben.
10-03-2021, 19:23 door Anoniem
Door Anoniem: Ik ben meer geneigd om te geloven dat ze zelf een app hebben ontwikkeld. Met een sterk gelijkende naam. Criminelen stonken erin en daardoor konden ze die berichten lezen.

Dat lijkt mij het meest logische en ook het meest efficiente.

Zo niet dan waren ze niet echt wakker.

En dat hele verhaal we zijn zo geweldig...allemaal kermis om het fet dat ze erom heen draaien dat er een kans van uitlokking is?

Maar het eindresultaat is hetzelfde ..goed gedaan. Nu het kabinet nog.


Het geeft ook wederom eens aan dat die closed source oplossingen met geheel eigen superveilig infrastructuur helemaal niet zo veilig zijn. Beter is open source met controle op een digitale handtekening op de software vooraf aan installatie. Open source end to end encryptie is precies bedoeld om over een onveilige infrastructuur te lopen, die moet ook niet in handen zijn van een commerciele closed source provider. Denk dat criminelen juist gevoelig zijn voor dit soort zogenaamde james bond achtige oplossingen, terwijl ze beter kunnen luisteren naar Edward Snowden. Ik moet zelf overigens toegeven dat mijn kennis hierover op mobiele platforms niet up to date is - is meer op desktop/laptop/server gericht.
10-03-2021, 20:39 door Anoniem
Niet zelden worden IMEI en/of MAC-adres gebruikt voor verificatie tbv het verkrijgen van een sleutel bij dit soort diensten.( Als alternatief voor SIM, die natuurlijk uniform is voor de geprepareerde toestellen. Wat in deze situatie al onbedoeld een belangrijke indicator is voor criminele activiteiten.)
De aanmeldpogingen van een aantal in beslag genomen toestellen kunnen zijn uitgelezen, vergeleken en op die manier kan er een bepaald algoritme zijn gediagnosticeerd wat icm server response heeft geholpen de keygeneration te voorspellen.
Dan hoeft slechts één server te worden gecompromised over het hele Sky net om eerst de ruwe data te kunnen bulken/afvangen (berichten worden max. 48 uur opgeslagen op de server(s) indien niet geopend) en daarna kan er begonnen worden met het handwerk van het ontcijferen. Wat volgens Belgische media nog gaande is.
De money trail doet de rest.

Hoe dan ook: Hierbij mag vastgesteld worden dat de encryptie omzeild, danwel gekraakt is. De Belgisch en Nederlandse politiediensten mogen volgens Sky dus 5 miljoen dollar ontvangen en verdelen.
10-03-2021, 20:57 door Anoniem
Er wordt gebruik gemaakt van e2e encryptie. Skype kan dan niet meekijken op de het netwerk en dus de politie ook niet. Probleem is wel het closed source endpoint dat per definitie niet te vertrouwen is.
10-03-2021, 22:45 door Anoniem
Door Anoniem: Niet zelden worden IMEI en/of MAC-adres gebruikt voor verificatie tbv het verkrijgen van een sleutel bij dit soort diensten.( Als alternatief voor SIM, die natuurlijk uniform is voor de geprepareerde toestellen. Wat in deze situatie al onbedoeld een belangrijke indicator is voor criminele activiteiten.)
De aanmeldpogingen van een aantal in beslag genomen toestellen kunnen zijn uitgelezen, vergeleken en op die manier kan er een bepaald algoritme zijn gediagnosticeerd wat icm server response heeft geholpen de keygeneration te voorspellen.
Dan hoeft slechts één server te worden gecompromised over het hele Sky net om eerst de ruwe data te kunnen bulken/afvangen (berichten worden max. 48 uur opgeslagen op de server(s) indien niet geopend) en daarna kan er begonnen worden met het handwerk van het ontcijferen. Wat volgens Belgische media nog gaande is.
De money trail doet de rest.

Hoe dan ook: Hierbij mag vastgesteld worden dat de encryptie omzeild, danwel gekraakt is. De Belgisch en Nederlandse politiediensten mogen volgens Sky dus 5 miljoen dollar ontvangen en verdelen.

Ik denk dat alle SkyECC mobieltjes individueel zijn gehacked, het is tenslotte maar een iPhone zonder extra beveiliging, en daar een script losgelaten die de private key heeft opgehaald van de SkyECC messenger app.

(tot deze conclusie kom ik n.a.v. een analyse van wat SkyECC op haar website adverteert en de politie verteld)

De SkyECC servers zijn dus hooguit gecompromitteerd op welke mobieltjes zijn verkocht (Apple serial no), etc. Niet op private-key management niveau.
10-03-2021, 22:53 door Anoniem
Door Anoniem: Er wordt gebruik gemaakt van e2e encryptie. Skype kan dan niet meekijken op de het netwerk en dus de politie ook niet. Probleem is wel het closed source endpoint dat per definitie niet te vertrouwen is.

Skype is ook geen partij in deze ontwikkeling.
11-03-2021, 05:58 door Anoniem
Alle indianenverhalen ten spijt is denk ik de encryptie zelf niet gekraakt - men heeft daar eenvoudigweg de wiskundige oplossing niet voor, ook de NL politie niet. Dus die end to end encryptie heeft ook gewoon “gewerkt”.

Er is dus vrijwel zeker ingegrepen op de end-point software, hetzij op die van de leverancier zelf, hetzij op third party software die mee gedistribueerd wordt - ik ken het distributie protocol van Sky ECC niet maar het hack (lees door NL politie overgenomen) zal waarschijnlijk op een server hebben plaatsgevonden die end point software distribueert.

Nu klinkt dat vanwege de vreselijke aard van de misdrijven heel nobel, maar het blijft glad ijs. Het betekent dat een overheid daarop kan ingrijpen en saboteren - dus dat zou ook zomaar een overheid kunnen zijn die journalisten, Oeigoeren, Koerden, gays of ander “gespuis” achter de tralies wil krijgen of erger. Nu kun je zeggen dat de NL overheid heel nobel is maar ze zijn genoodzaakt deze hack geheim te houden - dus dat betekent dat gekozen wordt een grote groep gebruikers mogelijk onbeschermd en ongeïnformeerd te laten. Altijd een zeer emotionele afweging waarbij je te tegen de meest vreselijke zaken moet verdedigen. Persoonlijk kies is toch de kant om de gebruiker onvoorwaardelijk te beschermen - is een politieke keuze. Misdadigers zijn heel erg, maar de grootste misdadigers/killers van de 20e eeuw zijn toch de soevereine staten geweest.
11-03-2021, 08:52 door spatieman
undercover agent ,lijkt me meer wat er gebeurd is
11-03-2021, 08:59 door _R0N_
Door spatieman: undercover agent ,lijkt me meer wat er gebeurd is

En hoe gaat die miljoenen berichten kunnen inzien als het end to end encrypted is?
Denk eerder dat de encryptie niet helemaal end to end is en dat ze de server in het midden hebben weten over te nemen.
11-03-2021, 10:04 door Anoniem
Er is door justitie een reseller overgenomen , hierbij hebben ze er meer dan twee jaar over gedaan om malware op de nieuw geleverde toestellen te plaatsen , waarbij ze van de "geinfecteerde" toestellen alle verzonden en ontvangen berichten mee konden kijken en op konden slaan. Justitie liegt dat het gedrukt staat , maar dat zal niet de eerste en ook niet de laatste keer zijn.
11-03-2021, 10:20 door linuxpro
Ik ben ook van mening dat er niets gekraakt of gehackt is maar dat ligt mediatechnisch wel lekker in de bek. Ik vermoed ook dat ze iets van malware of iets dergelijks op de telefoons van de gebruikers hebben weten te krijgen. Als Sky gehackt zou zijn en ze dat zelf niet door zouden hebben dan lig je wel erg te slapen.
11-03-2021, 10:23 door Anoniem
What about, politie heeft deal met hun om dit statement te maken ;)
11-03-2021, 11:04 door Anoniem
Door Anoniem: What about, politie heeft deal met hun om dit statement te maken ;)

Kan me dat niet voorstellen dit bedrijf gaan failliet nu.
11-03-2021, 12:19 door Anoniem
Door Anoniem:
Door Anoniem: What about, politie heeft deal met hun om dit statement te maken ;)

Kan me dat niet voorstellen dit bedrijf gaan failliet nu.

U ondersteund criminele activiteiten, optie 1 we nemen u mee in onderzoek, optie 2 u werkt met ons mee?
11-03-2021, 14:34 door Anoniem
Wat dacht je van, ze hebben een server van SKY kunnen compromitteren en zijn daarop mee gaan lezen, echter alles was encrypted en ze konden er niets mee. Ze hebben rustig gewacht en op een gegeven moment is er een update naar de endpoints gegaan waar wellicht ook een key heeft gezeten. Deze hebben ze netjes kunnen opvangen en vanaf dat moment konden ze de data natuurlijk gemakkelijk mee lezen. Immers ze hebben de keys.

Er wordt niet voor niets gemeld dat ze een server in beslag hebben genomen. Dat zal waarschijnlijk de server zijn, waar ze toegang toe hadden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.