image

WhatsApp zegt encryptie niet voor overheid te zullen verzwakken

dinsdag 2 augustus 2022, 10:59 door Redactie, 19 reacties

WhatsApp zal de encryptie van de chatdienst niet verzwakken zodat chatberichten van gebruikers in opdracht van de overheid kunnen worden gecontroleerd, zo heeft de directeur van de chatdienst tegenover de BBC laten weten. Zowel in het Verenigd Koninkrijk als de Europese Unie is voorgesteld om alle berichten die mensen via chatapps versturen eerst te controleren.

Critici hebben zich fel tegen de plannen uitgesproken, omdat dit onder andere de end-to-end encryptie van chatapps ondermijnt. Volgens WhatsApp-directeur Will Cathcart zou het zeer onverstandig zijn om de versleuteling van de chatdienst te verzwakken. "Client-side scanning werkt niet in de praktijk", zo laat hij weten. Zo wil de Europese Commissie dat alle verstuurde berichten eerst lokaal op het apparaat worden gecontroleerd.

Vorige week lieten alle Europese privacytoezichthouders nog weten dat ze zich ernstig zorgen over deze plannen maken, die ook in het Verenigd Koninkrijk zijn voorgesteld. Ook Cathcart ziet het niet zitten. "Als we de veiligheid voor de hele wereld moeten verlagen om aan de vereisten van één land te voldoen, zou dat zeer onverstandig voor ons zijn om te accepteren, en ons product minder aantrekkelijk maken voor 98 procent van onze gebruikers, vanwege de vereisten van twee procent."

De Europese Commissie wil dat alle providers, hostingdiensten, communicatiediensten, appstores, internetproviders en andere diensten worden verplicht om kindermisbruikmateriaal te detecteren, melden, verwijderen en blokkeren en grooming tegen te gaan. "Wat wordt voorgesteld is dat we, direct of indirect, ieders berichten lezen. Ik denk niet dat mensen dat willen", laat Cathcart aan de BBC weten.

Volgens Ella Jakubowska van European Digital Rights is client-side scanning vergelijkbaar met het installeren van spyware op ieders telefoon. Het zou daarnaast voor een backdoor zorgen waardoor aanvallers toegang tot alle berichten hebben. Monica Horten van Open Rights Group noemt client-side scanning een vorm van massasurveillance en een ernstige privacyinbreuk. De Europese privacytoezichthouders stelden dat de plannen van de Europese Commissie een serieus risico voor de fundamentele rechten van 450 miljoen Europeanen vormen.

Reacties (19)
02-08-2022, 11:17 door Anoniem
Wanneer dit soort mee-buig-clubjes zo hard roeptoeteren, dan is er al een achterdeur en kunnen de diensten naar hartlust live meekijken...

Wanneer nu clubjes als Signal/Threema/Telegram ofzo dit zouden roepen, DAN zou ik (eerder) het geloven.

Wanneer clubjes als Facebook/Apple/Google het roepen dat weet je dat ze glashard liegen zoals ze eerder ook al deden wat bleek uit de documentatie van de NSA en CIA.
02-08-2022, 11:33 door Anoniem
Tim Cook wil client-side scanning en heeft het al in iOS 15.2 zitten. Mark Zuckerberg wil end-to-end encryptie. Wie moeten we volgen? Tim of Mark?

Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.
02-08-2022, 11:58 door Anoniem
Dus uit voorzorg niets delen met Big Tech, dat je niet al wilde delen met de hele wereld en de gootsteen ;)
Ik heb steeds minder vertrouwen in overheden en groot-commercie en al het vertrouwen uit het verleden blijkt dan ook overwegend misplaatst te zijn. Men werkt onverdroten door naar een ueber-digitalisatie, waarna midden- en kleinbedrijf en burgers volledig zullen worden uitgeschakeld en slechts als cyborg-horigen en -lijfeigenen zullen kunnen participeren, als je dat dan nog participeren kunt noemen en geen blinde aansturing van wat globalisten zien als het "virus". Uiteindelijk wordt de wereldbevolking buiten hen beschouwd als een soort virus, dat in ieder geval ingeperkt dient te worden.
02-08-2022, 13:00 door Anoniem
Ik heb niets voor de overheid te verbergen dus ze hoeven niets van mij te weten.
02-08-2022, 13:07 door Anoniem
Zo wil de Europese Commissie dat alle verstuurde berichten eerst lokaal op het apparaat worden gecontroleerd.
Een outbound firewall doet dan wonderen.
02-08-2022, 13:11 door Anoniem
Volgens Ella Jakubowska van European Digital Rights is client-side scanning vergelijkbaar met het installeren van spyware op ieders telefoon.
Ze hebben vast afgekeken van de Chinezen. Bij controleposten moet iedereen in bepaalde delen van China zijn smartphone inleveren. Je krijgt die pas terug als de politie speciale spyware heeft geïnstalleerd.

Nu willen ze dat systeem hier ook.
02-08-2022, 13:15 door Anoniem
Door BBC: .WhatsApp: We won't lower security for any government

Dat hoeft ook niet, want dankzij ondeugdelijke firware, het verouderde SS7 protocol en de hacking tools van Candiru, Memento Labs (formerly known as "Hacking Team") en de NSO Group neemt de overheid uw mobieltje zo over. Los daarvan is de surveillance industrie, met hun talrijke trackers, zo geavanceerd geworden dat ook via die weg door de autoriteiten kan worden nagegaan wat de gebruiker van een mobieltje interesseert. Met genoeg geld is alles te koop.
02-08-2022, 13:26 door Anoniem
Door Anoniem: Tim Cook wil client-side scanning en heeft het al in iOS 15.2 zitten. Mark Zuckerberg wil end-to-end encryptie. Wie moeten we volgen? Tim of Mark?

Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.

Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .

De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .

WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .

Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.
02-08-2022, 13:36 door Anoniem
Als je in 2013 al 100 biljoen dollar in totale surveillance investeerde, zoals de U.S. of A.
Ja, wat wil je dan geloven. Alles dankzij behulpzame idioten. De denktanks hebben al jaren vooruit gedacht.
02-08-2022, 13:45 door Anoniem
Door Anoniem:
Zo wil de Europese Commissie dat alle verstuurde berichten eerst lokaal op het apparaat worden gecontroleerd.
Een outbound firewall doet dan wonderen.

Leg eens uit...
02-08-2022, 13:47 door -Peter-
Door Anoniem:Wanneer clubjes als Facebook/Apple/Google het roepen dat weet je dat ze glashard liegen zoals ze eerder ook al deden wat bleek uit de documentatie van de NSA en CIA.

Heb je die gelezen?

Daar is bijvoorbeeld heel duidelijk in te lezen dat de NSA inbreekt op systemen en netwerken van (in ieder geval) Google. Dat zouden ze niet hoeven te doen als ze de informatie gewoon krijgen. Ik kende in die tijd een aantal security mensen van Google en ik heb niemand zo hard horen vloeken over wat ze zagen. Sinds die tijd is het aantal mensen dat zich specifiek richt op "interne veiligheid" fors vergroot. Daarnaast zijn die teams zo divers mogelijk om te voorkomen dat een te grote groep uit een enkel land afkomstig is en door hun regering kan worden gedwongen om illegale handelingen uit te voeren.

Peter
02-08-2022, 14:08 door Anoniem
Door -Peter-:
Door Anoniem:Wanneer clubjes als Facebook/Apple/Google het roepen dat weet je dat ze glashard liegen zoals ze eerder ook al deden wat bleek uit de documentatie van de NSA en CIA.

Heb je die gelezen?

Daar is bijvoorbeeld heel duidelijk in te lezen dat de NSA inbreekt op systemen en netwerken van (in ieder geval) Google. Dat zouden ze niet hoeven te doen als ze de informatie gewoon krijgen. Ik kende in die tijd een aantal security mensen van Google en ik heb niemand zo hard horen vloeken over wat ze zagen. Sinds die tijd is het aantal mensen dat zich specifiek richt op "interne veiligheid" fors vergroot. Daarnaast zijn die teams zo divers mogelijk om te voorkomen dat een te grote groep uit een enkel land afkomstig is en door hun regering kan worden gedwongen om illegale handelingen uit te voeren.

Peter

Ja, gelezen... Ook gelezen dat ze met PRISM via de voordeur alles konden krijgen van bijv Google, maar toch bruteforce entry deden via de achterduur mat MUSCULAR. Want waarom geloven dat je alles krijgt als je het ook alles zelf kunt pakken? Ik geloofde zelfs dat de britten voor 3 dagen volledige traffic flow van Google's datacenters kon op slaan... Dat zijn pas harde schijven... En sinds Reagan mogen ze het ook.
02-08-2022, 15:49 door Anoniem
Nog beter is om whatsapp niet meer te gebruiken.

The Matrix
02-08-2022, 16:44 door Anoniem
Door Anoniem:
Door Anoniem: Tim Cook wil client-side scanning en heeft het al in iOS 15.2 zitten. Mark Zuckerberg wil end-to-end encryptie. Wie moeten we volgen? Tim of Mark?

Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.

Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .

De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .

WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .

Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.

Wat ik snap is dat op je device gezocht wordt naar 'ongewenste' content door middel van machine learning. Dat kan dus van alles zijn, net waarmee je device getraind is. En de overheid zal uiteindelijk mensen die 'ongewenste' content op hun device hebben staan willen vervolgen en berechten. Dus er gaat uiteindelijk een berichtje naar de overheid die dan kan ingrijpen en dingen in beslag kan nemen.

Er was sprake van een mens die na 20 ongewenste afbeeldingen een beslissing kon nemen bij Apple. En dit is pas het begin. Later wordt het 10 afbeeldingen, dan 2, dan een manifest van de boerenbeweging.

Het gaat over het ontvangen en verzenden van 'ongewenst' materiaal. Zie https://support.apple.com/en-us/HT212850. Dus ja, de crypto is goed. Omdat ja, ervoor al is gekeken wat er verzonden gaat worden of wat ontvangen is. Als je weet wat er in een bericht staat, werkt je end-to-end encryptie blijkbaar dus niet. En CSS kan je straks echt niet meer uitzetten zoals nu nog het geval is.
02-08-2022, 18:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tim Cook wil client-side scanning en heeft het al in iOS 15.2 zitten. Mark Zuckerberg wil end-to-end encryptie. Wie moeten we volgen? Tim of Mark?

Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.

Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .

De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .

WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .

Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.

Wat ik snap is dat op je device gezocht wordt naar 'ongewenste' content door middel van machine learning. Dat kan dus van alles zijn, net waarmee je device getraind is. En de overheid zal uiteindelijk mensen die 'ongewenste' content op hun device hebben staan willen vervolgen en berechten. Dus er gaat uiteindelijk een berichtje naar de overheid die dan kan ingrijpen en dingen in beslag kan nemen.

Er was sprake van een mens die na 20 ongewenste afbeeldingen een beslissing kon nemen bij Apple. En dit is pas het begin. Later wordt het 10 afbeeldingen, dan 2, dan een manifest van de boerenbeweging.

Het gaat over het ontvangen en verzenden van 'ongewenst' materiaal. Zie https://support.apple.com/en-us/HT212850. Dus ja, de crypto is goed. Omdat ja, ervoor al is gekeken wat er verzonden gaat worden of wat ontvangen is. Als je weet wat er in een bericht staat, werkt je end-to-end encryptie blijkbaar dus niet. En CSS kan je straks echt niet meer uitzetten zoals nu nog het geval is.

De end to end encryptie werkt dan nog prima .

Alleen als het endpoint zelf een scan doet - en eventueel content of een vinkje "foute boel gezien" upload naar een derde partij (hier Apple) - daar helpt een veilig transportkanaal gewoon niet tegen.

Voor de goede orde : ik ben totaal geen voorstander van Apple's scan policies.

Ik stel alleen dat deze geen 'of-of' situatie zijn met end-to-end encryptie .
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.

Mensen krijgen maar niet tussen de oren dat 'veilig transportkanaal' alleen maar veiligheid probeert te bieden tegen derde partijen die "onderweg" proberen mee te kijken.

Als je mij een E2E gecrypt appje stuurt - en ik knal een screenshot ervan online - dan is er niks mis gegaan met de E2E encryptie . Die garandeerde niks over wat er gebeurt nadat het zaak op een endpoint ontvangen en gedecrypt is.
02-08-2022, 19:04 door Anoniem
Door Anoniem: Ik heb niets voor de overheid te verbergen dus ze hoeven niets van mij te weten.
Ik heb ook niets te verbergen, maar ik wil niet hebben dat iemand in mijn leven komt grasduinen.
Dat is namelijk privé en daar heeft niemand iets te zoeken.
03-08-2022, 12:44 door Anoniem
Door Anoniem: Ik stel alleen dat deze geen 'of-of' situatie zijn met end-to-end encryptie .
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.

Je zou CSS ook kunnen zien als een speciaal geval van een man-in-the-middle aanval. Waarbij Mallory op het punt tussen het transportkanaal en je App zit. Dus aan de ene kant crypto en aan de andere kant plaintext.

De App geeft de waarschuwing van Apple, dus CSS zit in Messages en niet in bijvoorbeeld het bestandssysteem (zoals bijvoorbeeld bij malware downloads via je browser).

Puur theoretisch natuurlijk.
04-08-2022, 18:31 door Anoniem
Door Anoniem:
Door Anoniem: Ik stel alleen dat deze geen 'of-of' situatie zijn met end-to-end encryptie .
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.

Je zou CSS ook kunnen zien als een speciaal geval van een man-in-the-middle aanval. Waarbij Mallory op het punt tussen het transportkanaal en je App zit. Dus aan de ene kant crypto en aan de andere kant plaintext.

De App geeft de waarschuwing van Apple, dus CSS zit in Messages en niet in bijvoorbeeld het bestandssysteem (zoals bijvoorbeeld bij malware downloads via je browser).

Puur theoretisch natuurlijk.

In de crypto terminologie slaat de term 'plaintext' puur op "gedecrypt" - het zegt helemaal niets over human readable, gerendered, etc .

Als je een .zip file verstuurd via TLS is de .zip "plaintext" .
Sterker - stuur je een gecrypte .zip file via TLS dan is in het TLS-perspectief de gecrypte zip file "plaintext" .

HTML, CSS , javascript - allemaal 'plaintext' nadat het uit de TLS decryptie gekomen is . Het wordt niet pas 'plaintext' na renderen door de browser of een app.

In plaats van MITM - man in the middle - is een MITB - man in the browser - de term voor een aanvaller die aan de plaintext kant ven een sessie zit , in de vorm van een malicious plugin bijvoorbeeld.
05-08-2022, 10:50 door Anoniem
Door Anoniem: HTML, CSS , javascript - allemaal 'plaintext' nadat het uit de TLS decryptie gekomen is . Het wordt niet pas 'plaintext' na renderen door de browser of een app.

In de context van Apple, betekent CSS Client-Side Scanning en niet Cascading Style Sheets.

Apple doet dit natuurlijk expres om kritiek op hun censuurtechnologie te verbergen. Zodat je het niet meer kan vinden als je CSS intikt in Google.

En als CSS negatief in het nieuws komt, dan veranderen ze de naam van de technologie maar blijft die in technisch opzicht hetzelfde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.