WhatsApp zegt encryptie niet voor overheid te zullen verzwakken
WhatsApp zal de encryptie van de chatdienst niet verzwakken zodat chatberichten van gebruikers in opdracht van de overheid kunnen worden gecontroleerd, zo heeft de directeur van de chatdienst tegenover de BBC laten weten. Zowel in het Verenigd Koninkrijk als de Europese Unie is voorgesteld om alle berichten die mensen via chatapps versturen eerst te controleren.
Critici hebben zich fel tegen de plannen uitgesproken, omdat dit onder andere de end-to-end encryptie van chatapps ondermijnt. Volgens WhatsApp-directeur Will Cathcart zou het zeer onverstandig zijn om de versleuteling van de chatdienst te verzwakken. "Client-side scanning werkt niet in de praktijk", zo laat hij weten. Zo wil de Europese Commissie dat alle verstuurde berichten eerst lokaal op het apparaat worden gecontroleerd.
Vorige week lieten alle Europese privacytoezichthouders nog weten dat ze zich ernstig zorgen over deze plannen maken, die ook in het Verenigd Koninkrijk zijn voorgesteld. Ook Cathcart ziet het niet zitten. "Als we de veiligheid voor de hele wereld moeten verlagen om aan de vereisten van één land te voldoen, zou dat zeer onverstandig voor ons zijn om te accepteren, en ons product minder aantrekkelijk maken voor 98 procent van onze gebruikers, vanwege de vereisten van twee procent."
De Europese Commissie wil dat alle providers, hostingdiensten, communicatiediensten, appstores, internetproviders en andere diensten worden verplicht om kindermisbruikmateriaal te detecteren, melden, verwijderen en blokkeren en grooming tegen te gaan. "Wat wordt voorgesteld is dat we, direct of indirect, ieders berichten lezen. Ik denk niet dat mensen dat willen", laat Cathcart aan de BBC weten.
Volgens Ella Jakubowska van European Digital Rights is client-side scanning vergelijkbaar met het installeren van spyware op ieders telefoon. Het zou daarnaast voor een backdoor zorgen waardoor aanvallers toegang tot alle berichten hebben. Monica Horten van Open Rights Group noemt client-side scanning een vorm van massasurveillance en een ernstige privacyinbreuk. De Europese privacytoezichthouders stelden dat de plannen van de Europese Commissie een serieus risico voor de fundamentele rechten van 450 miljoen Europeanen vormen.
Wanneer nu clubjes als Signal/Threema/Telegram ofzo dit zouden roepen, DAN zou ik (eerder) het geloven.
Wanneer clubjes als Facebook/Apple/Google het roepen dat weet je dat ze glashard liegen zoals ze eerder ook al deden wat bleek uit de documentatie van de NSA en CIA.
Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.
Ik heb steeds minder vertrouwen in overheden en groot-commercie en al het vertrouwen uit het verleden blijkt dan ook overwegend misplaatst te zijn. Men werkt onverdroten door naar een ueber-digitalisatie, waarna midden- en kleinbedrijf en burgers volledig zullen worden uitgeschakeld en slechts als cyborg-horigen en -lijfeigenen zullen kunnen participeren, als je dat dan nog participeren kunt noemen en geen blinde aansturing van wat globalisten zien als het "virus". Uiteindelijk wordt de wereldbevolking buiten hen beschouwd als een soort virus, dat in ieder geval ingeperkt dient te worden.
Nu willen ze dat systeem hier ook.
Dat hoeft ook niet, want dankzij ondeugdelijke firware, het verouderde SS7 protocol en de hacking tools van Candiru, Memento Labs (formerly known as "Hacking Team") en de NSO Group neemt de overheid uw mobieltje zo over. Los daarvan is de surveillance industrie, met hun talrijke trackers, zo geavanceerd geworden dat ook via die weg door de autoriteiten kan worden nagegaan wat de gebruiker van een mobieltje interesseert. Met genoeg geld is alles te koop.
Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.
Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .
De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .
WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .
Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.
Ja, wat wil je dan geloven. Alles dankzij behulpzame idioten. De denktanks hebben al jaren vooruit gedacht.
Leg eens uit...
Heb je die gelezen?
Daar is bijvoorbeeld heel duidelijk in te lezen dat de NSA inbreekt op systemen en netwerken van (in ieder geval) Google. Dat zouden ze niet hoeven te doen als ze de informatie gewoon krijgen. Ik kende in die tijd een aantal security mensen van Google en ik heb niemand zo hard horen vloeken over wat ze zagen. Sinds die tijd is het aantal mensen dat zich specifiek richt op "interne veiligheid" fors vergroot. Daarnaast zijn die teams zo divers mogelijk om te voorkomen dat een te grote groep uit een enkel land afkomstig is en door hun regering kan worden gedwongen om illegale handelingen uit te voeren.
Peter
Heb je die gelezen?
Daar is bijvoorbeeld heel duidelijk in te lezen dat de NSA inbreekt op systemen en netwerken van (in ieder geval) Google. Dat zouden ze niet hoeven te doen als ze de informatie gewoon krijgen. Ik kende in die tijd een aantal security mensen van Google en ik heb niemand zo hard horen vloeken over wat ze zagen. Sinds die tijd is het aantal mensen dat zich specifiek richt op "interne veiligheid" fors vergroot. Daarnaast zijn die teams zo divers mogelijk om te voorkomen dat een te grote groep uit een enkel land afkomstig is en door hun regering kan worden gedwongen om illegale handelingen uit te voeren.
Peter
Ja, gelezen... Ook gelezen dat ze met PRISM via de voordeur alles konden krijgen van bijv Google, maar toch bruteforce entry deden via de achterduur mat MUSCULAR. Want waarom geloven dat je alles krijgt als je het ook alles zelf kunt pakken? Ik geloofde zelfs dat de britten voor 3 dagen volledige traffic flow van Google's datacenters kon op slaan... Dat zijn pas harde schijven... En sinds Reagan mogen ze het ook.
Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.
Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .
De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .
WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .
Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.
Wat ik snap is dat op je device gezocht wordt naar 'ongewenste' content door middel van machine learning. Dat kan dus van alles zijn, net waarmee je device getraind is. En de overheid zal uiteindelijk mensen die 'ongewenste' content op hun device hebben staan willen vervolgen en berechten. Dus er gaat uiteindelijk een berichtje naar de overheid die dan kan ingrijpen en dingen in beslag kan nemen.
Er was sprake van een mens die na 20 ongewenste afbeeldingen een beslissing kon nemen bij Apple. En dit is pas het begin. Later wordt het 10 afbeeldingen, dan 2, dan een manifest van de boerenbeweging.
Het gaat over het ontvangen en verzenden van 'ongewenst' materiaal. Zie https://support.apple.com/en-us/HT212850. Dus ja, de crypto is goed. Omdat ja, ervoor al is gekeken wat er verzonden gaat worden of wat ontvangen is. Als je weet wat er in een bericht staat, werkt je end-to-end encryptie blijkbaar dus niet. En CSS kan je straks echt niet meer uitzetten zoals nu nog het geval is.
Je kan niet beide technieken tegelijk hebben. Het is of end-to-end encryptie of helemaal niet.
Je snapt het echt niet . client-side zit *achter* één van de endpoints van encryptie en kan dus prima samengaan met end to end encryptie .
De virusscanner op je computer (en de browser plugin) hebben ook geen last van end-to-end TLS .
WhatsApp kan dus blijven werken op een iPhone - en de content kan gescand worden door iOS .
Tim Cook wil client side scanning omdat hij dan (iets) kan beloven zonder de can-of-worms van verzwakte encryptie te moeten openen.
Wat ik snap is dat op je device gezocht wordt naar 'ongewenste' content door middel van machine learning. Dat kan dus van alles zijn, net waarmee je device getraind is. En de overheid zal uiteindelijk mensen die 'ongewenste' content op hun device hebben staan willen vervolgen en berechten. Dus er gaat uiteindelijk een berichtje naar de overheid die dan kan ingrijpen en dingen in beslag kan nemen.
Er was sprake van een mens die na 20 ongewenste afbeeldingen een beslissing kon nemen bij Apple. En dit is pas het begin. Later wordt het 10 afbeeldingen, dan 2, dan een manifest van de boerenbeweging.
Het gaat over het ontvangen en verzenden van 'ongewenst' materiaal. Zie https://support.apple.com/en-us/HT212850. Dus ja, de crypto is goed. Omdat ja, ervoor al is gekeken wat er verzonden gaat worden of wat ontvangen is. Als je weet wat er in een bericht staat, werkt je end-to-end encryptie blijkbaar dus niet. En CSS kan je straks echt niet meer uitzetten zoals nu nog het geval is.
De end to end encryptie werkt dan nog prima .
Alleen als het endpoint zelf een scan doet - en eventueel content of een vinkje "foute boel gezien" upload naar een derde partij (hier Apple) - daar helpt een veilig transportkanaal gewoon niet tegen.
Voor de goede orde : ik ben totaal geen voorstander van Apple's scan policies.
Ik stel alleen dat deze geen 'of-of' situatie zijn met end-to-end encryptie .
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.
Mensen krijgen maar niet tussen de oren dat 'veilig transportkanaal' alleen maar veiligheid probeert te bieden tegen derde partijen die "onderweg" proberen mee te kijken.
Als je mij een E2E gecrypt appje stuurt - en ik knal een screenshot ervan online - dan is er niks mis gegaan met de E2E encryptie . Die garandeerde niks over wat er gebeurt nadat het zaak op een endpoint ontvangen en gedecrypt is.
Dat is namelijk privé en daar heeft niemand iets te zoeken.
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.
Je zou CSS ook kunnen zien als een speciaal geval van een man-in-the-middle aanval. Waarbij Mallory op het punt tussen het transportkanaal en je App zit. Dus aan de ene kant crypto en aan de andere kant plaintext.
De App geeft de waarschuwing van Apple, dus CSS zit in Messages en niet in bijvoorbeeld het bestandssysteem (zoals bijvoorbeeld bij malware downloads via je browser).
Puur theoretisch natuurlijk.
En dat de beloften en garanties die je hebt van solide end-to-end encryptie helemaal NIET geldig zijn met betrekking tot veiligheid tegen scans/malware/iOS scanners die op één van de endpoints zelf draait , aan de 'plaintext' zijde van de E2E encryptie.
Je zou CSS ook kunnen zien als een speciaal geval van een man-in-the-middle aanval. Waarbij Mallory op het punt tussen het transportkanaal en je App zit. Dus aan de ene kant crypto en aan de andere kant plaintext.
De App geeft de waarschuwing van Apple, dus CSS zit in Messages en niet in bijvoorbeeld het bestandssysteem (zoals bijvoorbeeld bij malware downloads via je browser).
Puur theoretisch natuurlijk.
In de crypto terminologie slaat de term 'plaintext' puur op "gedecrypt" - het zegt helemaal niets over human readable, gerendered, etc .
Als je een .zip file verstuurd via TLS is de .zip "plaintext" .
Sterker - stuur je een gecrypte .zip file via TLS dan is in het TLS-perspectief de gecrypte zip file "plaintext" .
HTML, CSS , javascript - allemaal 'plaintext' nadat het uit de TLS decryptie gekomen is . Het wordt niet pas 'plaintext' na renderen door de browser of een app.
In plaats van MITM - man in the middle - is een MITB - man in the browser - de term voor een aanvaller die aan de plaintext kant ven een sessie zit , in de vorm van een malicious plugin bijvoorbeeld.
In de context van Apple, betekent CSS Client-Side Scanning en niet Cascading Style Sheets.
Apple doet dit natuurlijk expres om kritiek op hun censuurtechnologie te verbergen. Zodat je het niet meer kan vinden als je CSS intikt in Google.
En als CSS negatief in het nieuws komt, dan veranderen ze de naam van de technologie maar blijft die in technisch opzicht hetzelfde.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.