Staatssecretaris wil niet zeggen hoe NFI BlackBerry's kraakt
Staatssecretaris Dijkhoff van Veiligheid en Justitie wil niet zeggen welke software het Nederlands Forensisch Instituut (NFI) gebruikt om versleutelde berichten op BlackBerry-toestellen te lezen. Vorig jaar december werd bekend dat het NFI bij verschillende strafzaken versleutelde berichten van verdachten had achterhaald.
D66-Kamerlid Kees Verhoeven wilde van minister Van der Steur weten wat voor software het Nederlands Forensisch Instituut gebruikt om de versleuteling te kraken, aangezien de organisatie geen details over de precieze werkwijze bekendmaakte. Dit zou volgens een woordvoerder namelijk criminelen in de kaart spelen. Ook moest Van der Steur uitleggen welke techniek de software voor het kraken van de encryptie toepast. Verhoeven is daarbij vooral benieuwd of er onbekende kwetsbaarheden in de encryptiesoftware worden gebruikt.
In plaats van Van der Steur heeft Dijkhoff nu een antwoord (pdf) gegeven. "Zoals bij de beantwoording van eerdere vragen aan uw Kamer is medegedeeld, brengt het verstrekken van informatie over welke specifieke software de opsporingsdiensten gebruiken grote risico’s met zich mee voor de inzetbaarheid van die middelen. Ik kan daarover derhalve geen mededelingen doen", aldus de staatssecretaris.
Kwetsbaarheden
Verhoeven wilde ook weten of Van der Steur het gebruik van onbekende kwetsbaarheden in encryptiesoftware door de overheid onwenselijk vindt. Daarop laat Dijkhoff weten dat er een verschil is als het gaat om het kabinetsstandpunt over encryptie en het gebruik van bestaande kwetsbaarheden ten behoeve van de opsporing. "Ten aanzien van de omgang met onbekende kwetsbaarheden, ofwel zero-days, heb ik reeds toegezegd in een brief nader in te zullen gaan op de wijze waarop de overheid omgaat met deze kwetsbaarheden."
Zo lust ik er nog wel een paar. Dan mogen m.i. fabrikanten hetzelfde stellen en dus weigeren een backdoor oid in hun software te maken (zoals Apple vs FBI). Gelijke monniken gelijke kappen.
H.H. overheden en opsporingsdiensten: u red uw eigen hol maar met al uw klaagzang en dreigementen. Jullie geven blijk dat jullie ook zelf uit kunnen dokteren hoe je encryptie op smartphones kunnen kraken dus niet meer zeuren bij de fabrikanten.
Dat Apple zich zo in het publiek er over uitlaat zou kunnen betekenen dat er wel een is, maat nog niet publiekleijk bekend.
Het scenario van Splid hierboven dat BB meewerkt aan de encryptie is waarschijnljiker dan dat er een eigen hack is.
Eens kijken:
http://www.blackberryconverter.com/blog/2012/jun/18/how-to-encrypt-and-decrypt-blackberry-backups/
https://www.elcomsoft.com/help/en/eppb/index.html?decrypt_bleckberry_sd_card.html
Als je de fysieke toegang hebt het apparaat in bezit hebt, valt er veel over te vinden. De hele case van BB was veilig verkeer tussen toestellen over hun eigen netwerk.
Hoe achterlijk kan je het hebben?
https://www.certicom.com/index.php/the-use-of-public-key-cryptography-in-the-blackberry
Als dus de key op het device gemaakt wordt met een zwakke storage:
"The BlackBerry OS Cryptographic Library is a low-level cryptographic toolkit, and therefore does not provide key storage.”
Zie:
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1578.pdf
Dan zou het wel eens kunnen dat BB eenzelfde pass in een hele serie BB’s geplaatst heeft en dat deze dus in het RAM aanwezig is. En dan zou eea daaruit gelezen kunnen worden.
Apple moet dat ook, onder een court order MOETEN ze wel doen wat ze kunnen.
Dit hele Apple gedoe is een grote publiciteit stunt.
Apple moet dat ook, onder een court order MOETEN ze wel doen wat ze kunnen.
Dit hele Apple gedoe is een grote publiciteit stunt.
Misschien ligt het iets genuanceerder. Robert X Cringely heeft een leuke hypothese: http://www.cringely.com/2016/02/19/the-fbi-v-apple-isnt-at-all-the-way-you-think-it-is/
Komt erop neer dat Obama de FBI opdracht heeft gegeven tot deze zaak met de bedoeling dat in het Supreme Court wordt beslist dat Apple gelijk heeft. (De bedoeling is dus dat de FBI deze zaak gaat verliezen.) Recentelijk is een rechter van het (normaal 9-koppige) Supreme Court overleden en Obama gaat die vervangen door iemand die een minder conservatief standpunt heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.