» »

Kanadska policija ima od leta 2010 univerzalni ključ za BlackBerry

Kanadska policija ima od leta 2010 univerzalni ključ za BlackBerry

Vice - Ena izmed glavnih prednosti BlackBerryja je varnost komunikacije, saj so sporočila med telefonskimi aparati šifrirana, če jih pošiljamo prek njihove storitve BBM. Toda kanadska policija ima vsaj od leta 2010 dostop do šifrirnega ključa, ki ga uporabljajo vse BlackBerryjeve naprave, ki niso del poslovnih sistemov in uporabljajo Business Enterprise Server. To razkrivajo dokumenti sodnega procesa v operaciji Celemenza. Sedem ljudi so obtožili umora newyorške mafijske družine, dokaze pa je policija pridobila s prestrezanjem njihove komunikacije prek BlackBerryja, kažejo dokumenti.

BlackBerryj sporočila med uporabniki šifrira z enotnim šifrirnim ključem, ki je naložen na vse naprave. Poslovni uporabniki lahko na Business Enterprise Serverju uporabljajo tudi lastne šifrirne ključe, običajni uporabniki pa te možnosti nimajo. Tem lahko kanadska policija prisluškuje, saj imajo v Ottawi postavljen strežnik, ki simulira mobilno naprave in sprejema sporočila, jih dešifrira in prebira. Da to lahko počnejo, morajo seveda imeti v lasti ta skrbno varovan ključ, čemur niti tožilstvo ni ugovarjalo, torej to očitno drži.

V postopku je obramba najprej želela doseči celo razkritje tega ključa, a so se kasneje odločili, da bo zadostovalo razkritje njegovega obstoja. Če bi v javnost pricurljal ta ključ, bi lahko kdorkoli prebiral vsa sporočila, poslana prek BlackBerryjev, tudi posneta za nazaj. Ni sicer jasno, ali je BlackBerry ključ kasneje spremenil, verjetneje pa je, da ga ni, saj bi sprememba pomenila posodobitev vseh naprav. Prav tako ni znano, kjer je policija pridobila šifrirni ključ. Je pa njegov obstoj dve leti v sodnem postopku želela prikriti, a je sodnik na koncu odločil, da to ni smiselno.

35 komentarjev

Markoff ::

Vsak univerzalni ključ, ki je dostopen več kot 1 (pravni) osebi, je slejkoprej dostopen tudi drugim. Vsi varnostni mehanizmi počasi postajajo pesek, zmetan v oči.

Opensource SW dejansko postaja precej manj nevaren kot proprietary. Dokler se vsa nova koda res temeljito testira in preveri za backdoorje.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Gregor P ::

Toliko o varnosti komunikacije :'(
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

AC_DC ::

Mafija ni imela denarja za lasten bb bes server :)) ?

Zgodovina sprememb…

  • spremenilo: AC_DC ()

Invictus ::

Markoff je izjavil:


Opensource SW dejansko postaja precej manj nevaren kot proprietary. Dokler se vsa nova koda res temeljito testira in preveri za backdoorje.

In kaj ti pomaga OSS, če nekdo dobi ključe?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

Če je sistem zasnovan tako, da kripto del stoji (da ni nekih "skritih" master ključev) in če si lahko narediš/namestiš reproducible build, potem je zadeva definitivno precej bolj varna kot closed source.
sudo poweroff

Invictus ::

Za ta primer je čisto vseeno.

Če imaš master ključ, odkleneš vse. Pa naj bo closed ali opened software.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

Ja, seveda. Ampak pri open software vidiš ali obstaja master ključ ali ne. Tukaj se pa lahko po mili volji lažejo.

Mimogrede, zanimivo je, kako hitro so neki kanadski pokojninski skladi pristopili k zadnji dokapitalizaciji BlackBerrya pred dobrim letom. In to v tistem trenutku, ko so se za nakup BlackBerry začeli zanimati Kitajci...
sudo poweroff

noraguta ::

Sej za bb se to že skos ve. Obami so ga prepovedal.
Pust' ot pobyedy k pobyedye vyedyot!

Looooooka ::

poweroff je izjavil:

Ja, seveda. Ampak pri open software vidiš ali obstaja master ključ ali ne. Tukaj se pa lahko po mili volji lažejo.

Mimogrede, zanimivo je, kako hitro so neki kanadski pokojninski skladi pristopili k zadnji dokapitalizaciji BlackBerrya pred dobrim letom. In to v tistem trenutku, ko so se za nakup BlackBerry začeli zanimati Kitajci...

BULLSHIT!
Ti vids sam kodo, ki so jo dal na voljo. Kaj oni zadaj laufajo je vprasanje :-)

poweroff ::

Verjetno si spregledal tisti del o reproducible buildih?
sudo poweroff

pulse ::

Markoff je izjavil:

Opensource SW dejansko postaja precej manj nevaren kot proprietary.


Dokler ima NSA veliko programerjev, ki "prispevajo" k open source, ni nič kaj bolj varen... Ena izmed pomembnih strategij zadnjih let je bila, da SecureRandomNumberGenerator nadomestijo z "malo-manj SecureRandomNumberGenerator" in sicer takšen, da ga samo oni znajo reproducirati...

Pa seveda mnogi open-source "prispevki", ki so imeli skrbno načrtovane luknje, ki jih niti s code-reviewom in testiranjem nisi mogel enostavno najti, ko (če) pa jih kdo odkrije, pa se tretirajo kot da so bile narejene "pomotoma/nehote". In teh "po pomoti narejenih" varnostnih lukenj je v open-source veliko... žal...

poweroff ::

Ampak vseeno se odkrijejo, kajne?

Pri closed source pa - ne vemo nič.
sudo poweroff

Dr_M ::

Ce veste vse, zakaj ne popravite?
Aja, ne znate/se ne splaca. Super.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Rias Gremory ::

Kje si pa prebral, da vemo vse? Funkcionalna nepismenost je huda stvar.
Matthai je napisal, da se ve VEČ, če je programska oprema odprto kodna. Ali slučajno ni tako?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Invictus ::

poweroff je izjavil:

Verjetno si spregledal tisti del o reproducible buildih?

Kaj to pomaga, če uporabnik open sourca da neki inštituciji master key? Nič ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

LightBit ::

pulse je izjavil:

Markoff je izjavil:

Opensource SW dejansko postaja precej manj nevaren kot proprietary.


Dokler ima NSA veliko programerjev, ki "prispevajo" k open source, ni nič kaj bolj varen... Ena izmed pomembnih strategij zadnjih let je bila, da SecureRandomNumberGenerator nadomestijo z "malo-manj SecureRandomNumberGenerator" in sicer takšen, da ga samo oni znajo reproducirati...

Kolikor vem je zaprta-koda tista, ki uporablja Dual EC DRBG (RSA BSAFE).

LightBit ::

Invictus je izjavil:

poweroff je izjavil:

Verjetno si spregledal tisti del o reproducible buildih?

Kaj to pomaga, če uporabnik open sourca da neki inštituciji master key? Nič ...

Očitno te ne razumem. Zakaj bi ga pa dal?

poweroff ::

Verjetno misli, da če je software tako napisan, da ključ posreduje naprej.

Ampak to se potem vidi v softweru. In takega softwera nihče ne bo uporabljal.
sudo poweroff

Invictus ::

Mislim, saj ste slušali za socialni inženiring.

Delničarjem zagroziš z davčno inšpekcijo, če ne dajo master ključa.

Kdo bi se zafrkaval s hekanjem.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

LightBit ::

To sploh nima veze z zaprto ali odprto kodo.

Invictus ::

Seveda ne. Saj to je poanta. Zato pa pravim da ni važno kaj uporabljaš.

Poleg tega razne agencije plačajo za te informacije. Pač davkoplačevalski denar mora krožit. Delničarji imajo radi denar.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

LightBit ::

Socialni inženiring pogosto ni uspešen.

Phantomeye ::

LightBit je izjavil:

Socialni inženiring pogosto ni uspešen.


Bolj uspešen kot direktni napad na sistem.

Lažje pridem do tvojega gesla za, kaj jaz vem, knjižnico, tako, da je prepričam, kot pa da napadem cobiss sistem.

LightBit ::

Backdoor v zaprto-kodnem programu je pa še bolj uspešen.

poweroff ::

Invictus je izjavil:


Delničarjem zagroziš z davčno inšpekcijo, če ne dajo master ključa.
Kdo bi se zafrkaval s hekanjem.

Točno to je pa "problem" pri odprti kodi.

Ni delničarjev, ki bi jim zagrozil.

Zagroziš avtorjem programa?

Je pa source na voljo.
sudo poweroff

Rok Woot ::

Invictus je izjavil:

Seveda ne. Saj to je poanta. Zato pa pravim da ni važno kaj uporabljaš.


Seveda ima, seveda je. Kaj uporabljaš pa predstavlja vse (glede varnosti). Jaz bi naprimer že temu zaupal https://crypto.cat/ za komunikacijo ...

Znam pa tudi sam zakodirat, tako da ne odklene noben, če nima gesla. Problem je tudi če imaš vse zakodirano, takoj postaneš sumljiv ...

Invictus ::

LightBit je izjavil:

Backdoor v zaprto-kodnem programu je pa še bolj uspešen.

Ravno toliko kot v odprto-kodnem sistemu ...

poweroff je izjavil:

Invictus je izjavil:


Delničarjem zagroziš z davčno inšpekcijo, če ne dajo master ključa.
Kdo bi se zafrkaval s hekanjem.

Točno to je pa "problem" pri odprti kodi.

Ni delničarjev, ki bi jim zagrozil.

Zagroziš avtorjem programa?

Je pa source na voljo.

Očitno ni nekaj jasno.

Ja, koda je odprta, in jo je nekdo napisal.

Uporabnik te kode ima master key. Zakaj bi rabil master key pri source kodi? Odpta koda, ki jo nihče ne uporablja, ne rabi master keya ....
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

poweroff ::

Bog pomagaj. Daj preberi si par osnov kriptografije.

A misliš, da so corporate-like sistemi, ki poznajo samo koncept master keya, edina stvar na svetu?
sudo poweroff

LightBit ::

Invictus je izjavil:

LightBit je izjavil:

Backdoor v zaprto-kodnem programu je pa še bolj uspešen.

Ravno toliko kot v odprto-kodnem sistemu ...

Backdoor v odprto-koden program veliko težje pride.

Spura ::

Lej, kar rabis je to, da imas folk svoje kljuce. Oziroma nekaj takega Off-the-Record Messaging @ Wikipedia

Invictus ::

poweroff je izjavil:

Bog pomagaj. Daj preberi si par osnov kriptografije.

A misliš, da so corporate-like sistemi, ki poznajo samo koncept master keya, edina stvar na svetu?

Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.

Takrat je čisto vseeno ali je software open ali closed source ...

Bralna funkcionalnost ?!?!?!
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

LightBit ::

Invictus je izjavil:

Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.

Kam v kodo pa skrije master key?

ales85 ::

LightBit je izjavil:

Invictus je izjavil:

Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.

Kam v kodo pa skrije master key?

Predvidevam, da Invictus misli na to, da bi se odprto-kodna rešitev zanašala na uporabo master key-ja, ki bi ga dodal uporabnik/ponudnik storitve, ki bi jo uporabljal. Seveda lahko to isto rešitev uporablja več ponudnikov in bi nekaterim morda zaupal, drugim pa ne.
Matthai pa cilja na to, da bi se uporabljala kriptografska rešitev, ki ne potrebuje master key-ja in v tem primeru potem dvom o zaupanju ponudniku odpade.

Rok Woot ::

Invictus je izjavil:

poweroff je izjavil:

Bog pomagaj. Daj preberi si par osnov kriptografije.

A misliš, da so corporate-like sistemi, ki poznajo samo koncept master keya, edina stvar na svetu?

Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.

Takrat je čisto vseeno ali je software open ali closed source ...

Bralna funkcionalnost ?!?!?!



Ti kr neki bluziš, sej nima vsaka stvar master keya. Ti v open source-u vidiš kako se stvar zakriptira in ni nobenega master keya. Seveda je opcija, da ima program nek backdoor, bolj kompleksen več šans. Ampak saj ga lahko sam spišeš (ti sicer ne) ali pa preveriš.

Rok Woot ::

http://searchsecurity.techtarget.com/Un...

Evo neke osnove, kaj ma ta master key sploh veze.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI dobil vsebino sporočil WhatsApp in Signal s Cohenovega blackberryja

Oddelek: Novice / Varnost
3113539 (9997) haydenberg
»

Nov BlackBerryjev SecuTablet cilja na varnost

Oddelek: Novice / RIM BlackBerry
65042 (3479) Looooooka
»

Boeingu samouničljivi telefon pomagal razviti BlackBerry

Oddelek: Novice / RIM BlackBerry
116561 (4150) Jst
»

Lenovo bi kupil BlackBerry

Oddelek: Novice / Nakupi / združitve / propadi
117148 (5991) ulemek
»

Prispel je BlackBerry Passport

Oddelek: Novice / RIM BlackBerry
347681 (5282) GGGGG

Več podobnih tem