Encrochat aufgeflogen

[Mandarine]

PGP hat sich wirklich überholt, was weniger ein Problem der Verschlüsselung an sich ist. Aber die Frage ist wohl eher: Was hat Encrochat versucht, das ebenfalls nicht funktionierte?

Was bei EncroChat falsch gemacht wurde ?

Erst einmal, die PGP Verschlüsselung ab 2048 bit ist im Normalfall gewiss nicht so einfach zu brechen. Allerdings fatal von den Kriminellen, ein System zu vertrauen, was nicht selbst überprüft werden kann. Um es kurz zu machen ... Eine Mutter (der Admin) muss alle Symptome ihres Kindes (Server) erkennen/auswerten können. Ein fertig eingerichteter Server mit der Hash-ID 123456, ändert sich (die ID) zwangsweise wenn eine Malware eingeschleust wird.

1. Der Server ist nicht auf Selbstdiagnose eingerichtet (ein Fehler den die meisten machen bzw. nicht können)

2. Der Admin hat es nicht bzw. zu spät bemerkt. (Sollte putzen gehen, taugt nichts)

Was aber genau falsch gemacht wurde, kann ich jetzt auch nicht sagen. Man kann es nur vermuten.

[Haspelbein]

Was bei EncroChat falsch gemacht wurde ?

Erst einmal, die PGP Verschlüsselung ab 2048 bit ist im Normalfall gewiss nicht so einfach zu brechen. Allerdings fatal von den Kriminellen, ein System zu vertrauen, was nicht selbst überprüft werden kann.

Kann der normale Kriminelle dies denn? Er hat doch nur die Option zu wählen, wem er denn vertraut. (Bei PGP waren die Verwaltung der Keys und ihre Langlebigkeit immer das Problem.)

Um es kurz zu machen ... Eine Mutter (der Admin) muss alle Symptome ihres Kindes (Server) erkennen/auswerten können. Ein fertig eingerichteter Server mit der Hash-ID 123456, ändert sich die ID zwangsweise wenn eine Malware eingeschleust wird.

1. Der Server ist nicht auf Selbstdiagnose eingerichtet (ein Fehler den die Meisten machen bzw. nicht können)

2. Der Admin hat es nicht bzw. zu spät bemerkt. (Sollte putzen gehen, taugt nichts)

Was aber genau falsch gemacht wurde, kann ich jetzt auch nicht sagen. Man kann es nur vermuten.

Es gibt eine ganze Reihe von Dingen, die man bei einem Linux-System beachten muss, d.h. es ist ja nicht nur das System selbst, sondern auch die ganzen Server-Applikationen, die auf dem Ding laufen. Prinzpiell bieten diese noch eine grössere Angriffsfläche als das OS selbst. Der Admin muss wissen, was das Entwicklerteam genau macht, und welche Risiken es eingeht.

[Mandarine]

Kann der normale Kriminelle dies denn? Er hat doch nur die Option zu wählen, wem er denn vertraut.

Richtig. Man kann es mit der Börse vergleichen. Der Anleger entscheidet, wie viel Risiko er eingehen will.
Selbstverständlich wird ein erfahrener Anleger auch wissen, welche Aktien er meiden sollte.

Es gibt eine ganze Reihe von Dingen, die man bei einem Linux-System beachten muss, d.h. es ist ja nicht nur das System selbst, sondern auch die ganzen Server-Applikationen, die auf dem Ding laufen. Prinzpiell bieten diese noch eine grössere Angriffsfläche als das OS selbst. Der Admin muss wissen, was das Entwicklerteam genau macht, und welche Risiken es eingeht.

Ja sicher, aber wir sprechen hier nicht von Server die bei SAP, Microsoft, IBM stehen und einige hunderttausend Kunden bedienen. Ein Server für einige hundert User + entsprechende NG-Firewall & I(D)PS ist schnell hochgezogen, da braucht man kein Team für. GNU/Linux ist außerdem auch nicht das Problem, denn nachdem es fertig ist werden die Prüfsummen ausgelesen und entsprechend die Sicherheitsmechanismen scharf gestellt. Ein guter Entwickler für den Server installiert sich nicht ein Komplett System mit zig Server, wenn er nur die Benutzer bzw. Messenger überwachen-, verifizieren soll.

[Haspelbein]

[...]
Ja sicher, aber wir sprechen hier nicht von Server die bei SAP, Microsoft, IBM stehen und einige hunderttausend Kunden bedienen. Ein Server für einige hundert User + entsprechende NG-Firewall & I(D)PS ist schnell hochgezogen, da braucht man kein Team für. GNU/Linux ist außerdem auch nicht das Problem, denn nachdem es fertig ist werden die Prüfsummen ausgelesen und entsprechend die Sicherheitsmechanismen scharf gestellt. Ein guter Entwickler für den Server installiert sich nicht ein Komplett System mit zig Server, wenn er nur die Benutzer bzw. Messenger überwachen-, verifizieren soll.

Die meisten Entwickler sind sich nur sehr begrenzt über die Schwachstellen in ihrem Stack bewusst. Oftmals braucht es einen DevOps Admin, der den OpenSource auf Schwachstellen abklopft. Wenn ich mich an den Leak bei Equifax im Jahre 2018 erinnere, so ging dies auf das Konto einer recht gebräuchlichen Java-Application-Platform (Apache Struts), und es reichte prinzipiell, dass auf dem Server eine bestimmte Webseite aufgerufen wurde. Prinzipiell müsste das HIDS darauf abgestimmt werden, welche temporären Dateien erzeugt werden können und welche nicht, aber sowas erfordert eine Abstimmung mit dem Entwicklerteam. (In meinem Beispiel hat Equifax ein Jahr lang gepennt, obwohl diese Schwachstelle bekannt war.)

[Mandarine]

Die meisten Entwickler sind sich nur sehr begrenzt über die Schwachstellen in ihrem Stack bewusst. Oftmals braucht es einen DevOps Admin, der den OpenSource auf Schwachstellen abklopft. Wenn ich mich an den Leak bei Equifax im Jahre 2018 erinnere, so ging dies auf das Konto einer recht gebräuchlichen Java-Application-Platform (Apache Struts), und es reichte prinzipiell, dass auf dem Server eine bestimmte Webseite aufgerufen wurde. Prinzipiell müsste das HIDS darauf abgestimmt werden, welche temporären Dateien erzeugt werden können und welche nicht, aber sowas erfordert eine Abstimmung mit dem Entwicklerteam. (In meinem Beispiel hat Equifax ein Jahr lang gepennt, obwohl diese Schwachstelle bekannt war.)

Ich habe darüber gelesen, war eine sehr unglückliche Verkettung von Missverständnissen. So ist es nun mal, ,,viele Köche versalzen die Suppe", es hat zu lang gedauert. Als ich vor gut 8-10 Jahren bei Daimler Benz bzw. Sprinter in einigen Fällen die Software aktualisieren musste wurde mir erst richtig bewusst, dass zu viele Progger (u.a. Unabhängige) die sich gegenseitig nicht in die Karten schauen ließen, alles andere als gut war. Mir waren regelrecht die Hände gebunden. Ein Softwarefehler der laut eines DB Mitarbeiters, selbst noch nach 3 Jahren immer wieder zum Vorschein kam.

[Haspelbein]

Ich habe darüber gelesen, war eine sehr unglückliche Verkettung von Missverständnissen. So ist es nun mal, ,,viele Köche versalzen die Suppe", es hat zu lang gedauert. Als ich vor gut 8-10 Jahren bei Daimler Benz bzw. Sprinter in einigen Fällen die Software aktualisieren musste wurde mir erst richtig bewusst, dass zu viele Progger (u.a. Unabhängige) die sich gegenseitig nicht in die Karten schauen ließen, alles andere als gut war. Mir waren regelrecht die Hände gebunden. Ein Softwarefehler der laut eines DB Mitarbeiters auch noch nach 3 Jahren immer wieder zum Vorschein kam.

Bei Equifax war es schlicht so, dass sie aller Wahrscheinlichkeit von dem Problem wussten, denn es war allgemein bekannt. Sie konnten wohl die Applikationen nicht schnell genug umstellen. Im Prinzip musste ja alles neu aufgesetzt und re-implementiert werden. Das brauchte Zeit. Jedoch erachte ich es trotzdem als fahrlässig, da man das Problem hätte minimieren können. Mein Team schlug sich ja zur gleichen Zeit damit herum.

[Mandarine]

Bei Equifax war es schlicht so, dass sie aller Wahrscheinlichkeit von dem Problem wussten, denn es war allgemein bekannt. Sie konnten wohl die Applikationen nicht schnell genug umstellen. Im Prinzip musste ja alles neu aufgesetzt und re-implementiert werden. Das brauchte Zeit. Jedoch erachte ich es trotzdem als fahrlässig, da man das Problem hätte minimieren können. Mein Team schlug sich ja zur gleichen Zeit damit herum.

Dann wirst Du von dem Problem ja besser informiert sein als ich. Wie ich schon sagte, ich habe nur darüber gelesen.

Worauf ich außerdem noch hinauswollte .. Das Betriebssystem der Smartphones, weiß man schon welches benutzt wurde ? Könnte es vielleicht ein lineageOS gewesen sein ? Ich habe mal versucht mit afwall+ die Datenströme die für Qualcomm vorgesehen sind, dementsprechend zu blocken. Ergebnis war, dass Smartphone keine Daten mehr rein und raus ließ. Jede Änderung am System endete im Bootloop. Man kann zwar lineageOS für viele Smartphones anpassen, aber am Grundsystem samt Hardwaretreiber lässt sich nichts manipulieren bzw. blocken. Also gibt es für mich nur 2 Lösungen:

1. Smartphones mit alternativer Hardware ,,made in Senegal" (gibt es nicht)

2. P2P Messenger in einer Chroot Umgebung OTP (One-Time Pads) verschlüsselt. Allerdings müsste man die Smartphones vor Auslieferung verheiraten.

Lösung 2 lässt sich realisieren ohne dazwischengeschalteten Server.

[Haspelbein]

Dann wirst Du von dem Problem ja besser informiert sein als ich. Wie ich schon sagte, ich habe nur darüber gelesen.

Ich kannte das nur indirekt, da wir alle Struts-Komponenten aus dem Code unserer Applikation entfernen mussten. Einen Angriff auf diese Schwachstelle habe ich nie mitbekommen, aber es war so frappierend, dass man Struts in meinem Betrieb vollkommen entfernte. Dadurch wurde ich jedoch aufmerksam, was die Verwendung anging, bis dann Equifax aufschlug, was mich dann auch persönlich betraf.

Worauf ich außerdem noch hinauswollte .. Das Betriebssystem der Smartphones, weiß man schon welches benutzt wurde ? Könnte es vielleicht ein lineageOS gewesen sein ? Ich habe mal versucht mit afwall+ die Datenströme die für Qualcomm vorgesehen sind, dementsprechend zu blocken. Ergebnis war, dass Smartphone keine Daten mehr rein und raus ließ. Jede Änderung am System endete im Bootloop. Man kann zwar lineageOS für viele Smartphones anpassen, aber am Grundsystem samt Hardwaretreiber lässt sich nichts manipulieren bzw. blocken. Also gibt es für mich nur 2 Lösungen:

1. Smartphones mit alternativer Hardware ,,made in Senegal" (gibt es nicht)

2. P2P Messenger in einer Chroot Umgebung OTP (One-Time Pads) verschlüsselt. Allerdings müsste man die Smartphones vor Auslieferung verheiraten.

Lösung 2 lässt sich realisieren ohne dazwischengeschalteten Server.

Das EncroOS war kein Standard OS, aber ich habe keine Ahnung worauf es aufbaute. Das Android Betriebssystem kenne ich nicht, und die Hardware war das BQ Aquaris X2 eines spanischen Herstellers. Man weiss ebenso, dass dies eine Server-basierte Applikation war, und die Server in Frankreich standen. Es ist von einer "technischen Lösung” die Rede, durch die das Netzwerk kompromittiert wurde. Mehr wurde jedoch nicht erwähnt.

P.S.: Ich habe jetzt noch einmal nachgesehen, und BQ scheint ein Hersteller von Smartphones für die Endanbieter zu sein, d.h. es ist wahrscheinlich, dass man da als Firmenkunde weitgehend seine eigenen Vorgaben machen kann.

[Mandarine]

Das EncroOS war kein Standard OS, aber ich habe keine Ahnung worauf es aufbaute. Das Android Betriebssystem kenne ich nicht, und die Hardware war das BQ Aquaris X2 eines spanischen Herstellers. Man weiss ebenso, dass dies eine Server-basierte Applikation war, und die Server in Frankreich standen. Es ist von einer "technischen Lösung” die Rede, durch die das Netzwerk kompromittiert wurde. Mehr wurde jedoch nicht erwähnt.

P.S.: Ich habe jetzt noch einmal nachgesehen, und BQ scheint ein Hersteller von Smartphones für die Endanbieter zu sein, d.h. es ist wahrscheinlich, dass man da als Firmenkunde weitgehend seine eigenen Vorgaben machen kann.

Danke.. Hardware ist von Qualcomm, ein US Unternehmen. Im Betrieb werden Daten des Gerätes (die ID + SIM ID ?) zum Hersteller übertragen. EncroOS ist auch nichts anderes als ein lineageOS bzw. ein Betriebssystem das auf Android basiert. Ein nicht nur überteuertes Gerät, dat Ding bot auch NULL Sicherheit. Wusste gar nicht das Kriminelle so dermaßen dämlich sind

Wir haben die Power des Aquaris X2 ins Unermessliche gesteigert. Der Qualcomm Snapdragon® 636 Prozessor mit acht Kernen und einer Leistung bis zu 1.8 GHz ist mit der exklusiven Kryo™ Technologie ausgestattet,

[Haspelbein]

Danke.. Hardware ist von Qualcomm, ein US Unternehmen. Im Betrieb werden Daten des Gerätes (die ID + SIM ID ?) zum Hersteller übertragen. EncroOS ist auch nichts anderes als ein lineageOS bzw. ein Betriebssystem das auf Android basiert. Ein nicht nur überteuertes Gerät, dat Ding bot auch NULL Sicherheit. Wusste gar nicht das Kriminelle so dermaßen dämlich sind

Die SIMs wurden von einer Holländischen Firma geliefert. Es ist möglich, dass Encrochat sie nicht mit Kundendaten assoziiert hat. Aber dies mit anderen Daten zu korrelieren sollte bei staatlichen Akteuren kein Problem sein.