Politie ontsleutelt miljoenen met PGP versleutelde berichten
De Nederlandse politie en het Openbaar Ministerie (OM) hebben miljoenen met PGP versleutelde berichten ontsleuteld die klanten van het Nederlandse bedrijf Ennetcom met elkaar uitwisselden. Het bedrijf garandeerde zijn klanten versleutelde communicatie met behulp van aangepaste smartphones.
Deze toestellen waren voorzien van PGP-encryptiesoftware die de inhoud van de berichten versleutelde. De BlackBerry-smartphones werden voor ongeveer 1500 euro verkocht. Vaak waren de microfoon en camera uit het toestel verwijderd. Het dataverkeer was voor de autoriteiten onzichtbaar door het gebruik van eigen computerservers in Nederland en Canada, die alle communicatie versleutelden. Het afgeschermde communicatienetwerk bestond uit ongeveer 40.000 geregistreerde smartphones.
Vorig jaar werden de servers van Ennetcom offline gehaald, wat het einde van het versleutelde communicatienetwerk betekende. Eind vorig jaar werd het de politie duidelijk dat het berichtenverkeer op de Ennetcom-servers toegankelijk zou kunnen worden gemaakt. Eerder was al wel van duizenden gebruikers duidelijk wie naar wie berichten verstuurde, welke bijnamen werden gebruikt en op welke tijdstippen berichten werden verstuurd. In totaal gaat het om 3,6 miljoen berichten.
Voorafgaand aan de inbeslagneming van de servers van Ennetcom is door het Team High Tech Crime van de politie een bericht gestuurd aan alle gebruikers van de BlackBerry-toestellen. Daarin werd gebruikers die zich zouden kunnen beroepen op een wettelijk verschoningsrecht, zoals advocaten, artsen, notarissen of geestelijken, gevraagd zich te melden. Op deze oproep is geen enkele reactie gekomen, zo stelt de politie.
De politie werkte nauw samen met het Nederlands Forensisch Instituut (NFI). Met behulp van de forensische zoekmachine Hansken kon de grote hoeveelheid informatie worden doorzocht. Het gaat in totaal om 7 terabyte aan data die is veiliggesteld op de centrale server van Ennetcom in Canada. Een kopie van de gegevens is op 19 september vorig jaar door een rechter in Toronto beschikbaar gesteld aan het Nederlandse OM. Met de encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen kon de toegang worden verkregen tot de berichten.
Het Openbaar Ministerie vermoedt dat de gebruikers voornamelijk verdachten van georganiseerde misdaad waren. Met het ontsleutelen van de informatie is bewijsmateriaal beschikbaar gekomen voor tientallen strafrechtelijke onderzoeken naar liquidaties, gewapende overvallen, drugshandel, witwassen, pogingen tot moord en andere georganiseerde criminaliteit. "De ontdekte gegevens kunnen leiden tot grote, beslissende doorbraken in strafzaken", aldus het OM. Ennetcom en de eigenaar, die vorig jaar werd aangehouden, worden verdacht van witwassen.
Men stelt dat de servers de communicatie versleutelden en later in het bericht dat er een dump van de servers beschikbaar was gesteld. Dus daar heeft men waarschijnlijk de berichten danwel keys uit kunnen vissen.
Met de encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen kon de toegang worden verkregen tot de berichten.
Ik denk dat indien PGP gekraakt zou zijn dat dan wel op meerdere fora breed uit besproken zou worden.
Men stelt dat de servers de communicatie versleutelden en later in het bericht dat er een dump van de servers beschikbaar was gesteld. Dus daar heeft men waarschijnlijk de berichten danwel keys uit kunnen vissen.
Helemaal gelijk heb je, op deze CEO zijn inmiddels meerdere aanslagen geweest.
P.S. bij het nalezen van de persberichten over arrestatie van de CEO en inbeslagname van de servers bekruipt me het gevoel van een Meagupload zaak... maak het bedrijf kapot zonder juridische grondslag.
P.S. bij het nalezen van de persberichten over arrestatie van de CEO en inbeslagname van de servers bekruipt me het gevoel van een Meagupload zaak... maak het bedrijf kapot zonder juridische grondslag.
P.S. bij het nalezen van de persberichten over arrestatie van de CEO en inbeslagname van de servers bekruipt me het gevoel van een Meagupload zaak... maak het bedrijf kapot zonder juridische grondslag.
Heel goed! Deze "CEO" heeft een megadikke laag boter op zijn hoofd net als die Megaupload man.
"het is om bedrijfsgeheimen te beschermen" maar die man weet best dat het bedrijf meestal criminaliteit was.
Net als die megaupload man heel goed wist dat het grootste deel van de bestanden op zijn server niet bij de rechthebbenden
stonden.
Ik vind het in ieder geval heel goed dat justitie hier op aanpakt en die lui kapot maakt, als het uiteindelijk niet juridisch
rond te krijgen is dan is het kapotmaken in ieder geval al gedaan.
Als je denkt dat je illegale en criminele zooi kunt exploiteren als je maar het lulverhaal naar buiten brengt dat het
ergens anders voor is, dan moet je maar boeten.
Waardoor ik denk dat het een onzin-bericht is. Bovendien is er bij justitie al jarenlang een meer dan structureel personeelstekort. Succes met die zogenaamde miljoenen ontsleutelde berichten.
Dan denk ik aan gebrek aan mankracht.
Ik kijk wel uit om een zaakje te beginnen waarvan de klanten overwegend criminelen zijn.
En ik lach me ziek als iemand die een bedrijfje had waarvan hij staalhard beweerde dat het niet voor criminelen was
maar waarvan iedereen wist dat dat wel zo was, kapot gemaakt wordt.
(dit geldt ook voor bedrijven of initiatieven zonder winst of winst oogmerk, vul zelf maar in wat ik bedoel!)
Even dacht ik, gezien de kop, dat de pliesie daadwerkelijk gpg versleutelde berichten kon ontsleutelen.
Valt 't toch een beetje tegen...ze hadden de sleutels ook in handen.
Valt mij op dat er staat: Met de encryptiesleutels die in het onderzoek ook in handen van OM en politie vielen kon de toegang worden verkregen tot de berichten.
Hier worden neem ik aan de decryptie (private) sleutels bedoeld.
Die zijn over het algemeen toch ook met een wachtwoord beveiligd. Had de politie nu ook beschikking over deze wachtwoorden? Of hadden de eigenaren van de sleutels erg zwakke wachtwoorden waardoor ze gemakkelijk ge-brute-forced konden worden?
Het type gebruik ook geen telefoon/sms enkel berichtjes met een specifieke centrale server.
Als je naar je klandizie te weinig onderzoek doet terwijl je weet dat het geen keukenwekker (paar euro) van de blokker is dan komt er laakbaar gedrag als optie naar boven. Wapenhandel is op zich niet verboden maar met een bepaalde doelgroep is het wel degelijk zeer laakbaar. Dat is nu net waar de aanklacht op gebaseerd is (witwassen).
http://www.goeie-zaken.com/ondernemen-tegen-ondermijning#
Dat die sleutels gevonden zijn, lijkt er op te wijzen dat die telefoons werkend geleverd werden. De sleutel is niet door de gebruiker maar door de leverancier in een end to end verhaal bepaald. Dan heeft de leverancier mogelijk de sleutels en hier is het kennelijk ook zo.
Hoe zat dat zitten met al die leveranciers die end-end encrytie beloven maar waar jij de sleutel niet zelf bepaalt? Komt het nu bekend voor waar de achileshiel zit ...
Dit was niet het geval dat er iets gehackd werd, dit zou gelijk zijn aan het zeggen dat je pc geknakeld was toen je een Post-It-notitie op je monitor had gelaten met je wachtwoord erop.
Beoordeelbare PGP-dienstverleners bewaren hun gebruikersberichten niet, of nog belangrijker hun privé-sleutels op hun servers.
Dit was een geval van verwaarlozing, geen geval dat iemand gehackt werd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.