Encrochat aufgeflogen

[Bolle]

7. Juli 2020, 20:00 Uhr

Niederlande:Polizei entdeckt mutmaßliche Folterkammer

Die Kriminalpolizei war der Bande über das Abfangen von Telefongesprächen und Chats auf die Spur gekommen. Die Verdächtigen hatten nach Angaben der Polizei über das inzwischen geschlossene Netzwerk EncroChat unverblümt über Entführungen und Folterungen gechattet. Erst vor wenigen Tagen hatte die europäische Justizbehörde Eurojust berichtet, dass die Polizei das Netzwerk geknackt habe und somit ein großer Schlag gegen die organisierte [Links nur für registrierte Nutzer] in Europa gelungen sei.

[Links nur für registrierte Nutzer]

[Mandarine]

Die SIMs wurden von einer Holländischen Firma geliefert. Es ist möglich, dass Encrochat sie nicht mit Kundendaten assoziiert hat. Aber dies mit anderen Daten zu korrelieren sollte bei staatlichen Akteuren kein Problem sein.

Ich habe heute Morgen ein paar Test mit Android und LineageOS durchgeführt, mit und ohne Google, mit und ohne eingesteckter SIM. Überraschenderweise konnte man ohne GPS, ohne Google und ohne SIM, die Position auf 50m-200m genau ermitteln. Das lag an ,,UnifiedNLP" das ich vorher in das /etc/.. Verzeichnis kopierte. Ein Laie wäre somit nie darauf gekommen. Die Position wird durch WLAN ermittelt. ,,EncroChat" hat meiner Meinung nach so einige Fehler gemacht. Und wenn EncroOS auch noch eine gepatchte Version war was hätte sein können, dann haben die wirklich alles falsch gemacht

ps .. funktioniert nur bis Android 7/8 (Nougat/Oreo), ab Android 9 muss LineageOS gepatcht werden was kein Ding ist.

[Mandarine]

[Links nur für registrierte Nutzer]

Meine Vermutung ... der Messenger war u.a. die Schwachstelle.

[Haspelbein]

Ich habe heute Morgen ein paar Test mit Android und LineageOS durchgeführt, mit und ohne Google, mit und ohne eingesteckter SIM. Überraschenderweise konnte man ohne GPS, ohne Google und ohne SIM, die Position auf 50m-200m genau ermitteln. Das lag an ,,UnifiedNLP" das ich vorher in das /etc/.. Verzeichnis kopierte. Ein Laie wäre somit nie darauf gekommen. Die Position wird durch WLAN ermittelt. ,,EncroChat" hat meiner Meinung nach so einige Fehler gemacht. Und wenn EncroOS auch noch eine gepatchte Version war was hätte sein können, dann haben die wirklich alles falsch gemacht

ps .. funktioniert nur bis Android 7/8 (Nougat/Oreo), ab Android 9 muss LineageOS gepatcht werden was kein Ding ist.

Ja, UnifiedNLP nutzt Apples WiFi Datenbank um die Ermittlung der Position zu verbessern. Aber auch das ist eigentlich kein Geheimnis, denn der normale Android Nutzer will seine Position ja genau ermitteln, damit er z.B. sein Restaurant findet. Ich weiss jedoch nicht, was Encrochat OS genau ist, d.h. ich kann nicht sagen, welche Komponenten genutzt wurden und welche nicht.

Aber ich stimme dir zu, dass:

a) Eine sichere Kommunikation auf einem Gerät / Netzwerk aufzubauen, das inhärent die Position / Identität des Nutzers ermitteln will, ein sehr riskantes Spiel ist.

b) Das selbst das Android OS zur "Tarnung" ungewollte Nebeneffekte haben kann.

Ich bin mir nicht sicher, wo Encrochat genau gepatzt hat, aber es war ein schweres Versagen, denn sie waren sich längere Zeit nicht einmal bewusst, dass ihr Netzwerk kompromittiert wurde.

[Mandarine]

Ja, UnifiedNLP nutzt Apples WiFi Datenbank um die Ermittlung der Position zu verbessern. Aber auch das ist eigentlich kein Geheimnis, denn der normale Android Nutzer will seine Position ja genau ermitteln, damit er z.B. sein Restaurant findet. Ich weiss jedoch nicht, was Encrochat OS genau ist, d.h. ich kann nicht sagen, welche Komponenten genutzt wurden und welche nicht.

Aber ich stimme dir zu, dass:

a) Eine sichere Kommunikation auf einem Gerät / Netzwerk aufzubauen, das inhärent die Position / Identität des Nutzers ermitteln will, ein sehr riskantes Spiel ist.

b) Das selbst das Android OS zur "Tarnung" ungewollte Nebeneffekte haben kann.

Ich bin mir nicht sicher, wo Encrochat genau gepatzt hat, aber es war ein schweres Versagen, denn sie waren sich längere Zeit nicht einmal bewusst, dass ihr Netzwerk kompromittiert wurde.

Ja richtig, u.a. auch die Apple Datenbank. In meinem Fall habe ich den Mozilla-Standortdienst gewählt.

Einige Dinge gehen mir aber nicht aus dem Kopf ... Man spricht davon, dass der Server gehackt wurde was sich meiner Meinung nach widerspricht.
Hier sind die Voraussetzungen für einen PGP/GPG Client sehr gut beschrieben [Links nur für registrierte Nutzer]

GPG/PGP Messenger, sämtliche Gesprächsinhalte sind Ende-zu-Ende verschlüsselt, benutzt immer nur den öffentlichen Schlüssel (Plainkey). Der geheime Schlüssel (Masterkey) wird a) gar nicht für die Unterhaltung benutzt und b) liegt im Normalfall auch nicht auf dem (Key)Server.. Es sei denn, man hat sich eine Option offen gehalten, falls der User seine mtl. Gebühr nicht entrichtet. Wahrscheinlich mit Ablaufdatum und die neuen öffentlichen Schlüssel bekamen die User über den Server. Heißt, die Macher von EncroChat haben die Schlüssel generiert und verteilt.

Auch sehr wahrscheinlich, dass Europol mit fremder Hilfe (vor einigen Monaten wurden die lineageOS Server gehackt) Zugang zu den geheimen Schlüssel der Smartphones bzw. GPG bekam. [Links nur für registrierte Nutzer]

Vom 23.04.2020 - 29.05.2020 waren z.B. keine LineageOS ROMs verfügbar. Wer weiß das schon, vielleicht wurden doch einige ROMs mit EuroPol Signatur auf manchen Smartphones installiert

[Haspelbein]

Ja richtig, u.a. auch die Apple Datenbank. In meinem Fall habe ich den Mozilla-Standortdienst gewählt.

Einige Dinge gehen mir aber nicht aus dem Kopf ... Man spricht davon, dass der Server gehackt wurde was sich meiner Meinung nach widerspricht.
Hier sind die Voraussetzungen für einen PGP/GPG Client sehr gut beschrieben [Links nur für registrierte Nutzer]

GPG/PGP Messenger, sämtliche Gesprächsinhalte sind Ende-zu-Ende verschlüsselt, benutzt immer nur den öffentlichen Schlüssel (Plainkey). Der geheime Schlüssel (Masterkey) wird a) gar nicht für die Unterhaltung benutzt und b) liegt im Normalfall auch nicht auf dem (Key)Server.. Es sei denn, man hat sich eine Option offen gehalten, falls der User seine mtl. Gebühr nicht entrichtet. Wahrscheinlich mit Ablaufdatum und die neuen öffentlichen Schlüssel bekamen die User über den Server. Heißt, die Macher von EncroChat haben die Schlüssel generiert und verteilt.

Ich selbst habe früher PGP benutzt, aber die Schlüsselverwaltung ist das Problem. Die öffentlichen Schlüssel werden uneinheitlich verwaltet, und die privaten Schlüssel erfordern einen gewissen Aufwand, und man kann den privaten Schlüssel nicht erneuern, ohne die Identität zu ändern. Dadurch entstehen langlebige private Schlüssel, was in dem Sinne gefährlich ist, da sich dadurch die Fehler bei der Verwaltung dieser privaten Schlüssel summieren. Werden beide Schlüssel von einer Organisation verwaltet, so halte ich einen Angriff auf diese Verwaltung für möglich.


Aber Encrochat Phones hatten noch ganz andere Schwachstellen. Wenn man so schlampig arbeitet, warum sollte es dann bei den Servern besser aussehen?

Auch sehr wahrscheinlich, dass Europol mit fremder Hilfe (vor einigen Monaten wurden die lineageOS Server gehackt) Zugang zu den geheimen Schlüssel der Smartphones bzw. GPG bekam. [Links nur für registrierte Nutzer]

Ich glaube nicht, dass dies im zeitlichen Verlauf passt. Der lineageOS Hack ist gerade erst geschehen, und die Ermittlungen gegen Encrochat laufen seit dem Jahr 2017.

[Mandarine]

Ich selbst habe früher PGP benutzt, aber die Schlüsselverwaltung ist das Problem. Die öffentlichen Schlüssel werden uneinheitlich verwaltet, und die privaten Schlüssel erfordern einen gewissen Aufwand, und man kann den privaten Schlüssel nicht erneuern, ohne die Identität zu ändern. Dadurch entstehen langlebige private Schlüssel, was in dem Sinne gefährlich ist, da sich dadurch die Fehler bei der Verwaltung dieser privaten Schlüssel summieren. Werden beide Schlüssel von einer Organisation verwaltet, so halte ich einen Angriff auf diese Verwaltung für möglich.


Aber Encrochat Phones hatten noch ganz andere Schwachstellen. Wenn man so schlampig arbeitet, warum sollte es dann bei den Servern besser aussehen?



Ich glaube nicht, dass dies im zeitlichen Verlauf passt. Der lineageOS Hack ist gerade erst geschehen, und die Ermittlungen gegen Encrochat laufen seit dem Jahr 2017.

Ich denke nicht das wir jemals zu Ohren bekommen, wie genau Encrochat`s Netzwerk aufgebaut war bzw. wie Europol es hacken konnten

GPG nutze ich nur für das verschlüsseln von Emails.
Da ich ein ziemlicher Paranoid bin, habe ich mir ein Verschlüsselungstool gefertigt was auf das ,,Einmalverschlüsselungs-Verfahren" OTP baut (Einmal-Passwort-Verfahren) [Links nur für registrierte Nutzer] und für XFCE entsprechende ,,Custom Actions" für das entschlüsseln/verschlüsseln. Dafür habe ich mir ein 8 GB Passwort Pool mit Zufallszahlen generiert und auf 2 USB Sticks kopiert die als Schlüssel dienen. Einer liegt im Schließfach, der andere -SAG ICH NICHT-

[Haspelbein]

Ich denke nicht das wir jemals zu Ohren bekommen, wie genau Encrochat`s Netzwerk aufgebaut war bzw. wie Europol es hacken konnten

Das ist unwahrscheinlich. Ich durfte vor etwa 10 Jahren an sowas mitarbeiten, was jedoch mit einer lebenslangen Schweigepflicht verbunden war.

GPG nutze ich nur für das verschlüsseln von Emails.
Da ich ein ziemlicher Paranoid bin, habe ich mir ein Verschlüsselungstool gefertigt was auf das ,,Einmalverschlüsselungs-Verfahren" OTP baut (Einmal-Passwort-Verfahren) [Links nur für registrierte Nutzer] und für XFCE entsprechende ,,Custom Actions" für das entschlüsseln/verschlüsseln. Dafür habe ich mir ein 8 GB Passwort Pool mit Zufallszahlen generiert und auf 2 USB Sticks kopiert die als Schlüssel dienen. Einer liegt im Schließfach, der andere -SAG ICH NICHT-

Ich selbst sehe mich nicht als das schwächste Glied der Kette. Mein grösstes Problem sind Organisationen, die Daten über mich erheben (müssen). Wenn z.B. Equifax oder auch das FBI gehackt werden, dann ist das mehr oder weniger mein vorrangiges Problem.

So wurde der Email-Provider meiner Frau vor Jahren gehackt. Es vergeht kaum ein Tag, an dem nicht irgendein Typ aus Pakistan versucht an ihre Email zu kommen.

[Mandarine]

So wurde der Email-Provider meiner Frau vor Jahren gehackt. Es vergeht kaum ein Tag, an dem nicht irgendein Typ aus Pakistan versucht an ihre Email zu kommen.

Was macht sie denn so interessant ?
So ungern Google bezüglich Datenschutz (Google liest mit) auch gesehen wird, sicher ist Google Mail aber schon.

[Haspelbein]

Was macht sie denn so interessant ?
So ungern Google bezüglich Datenschutz (Google liest mit) auch gesehen wird, sicher ist Google Mail aber schon.

Es waren mehrere Hacks bei denen ihre E-Mail Adresse auftauchte. Ihr damaliger E-Mail Provider (Yahoo), wurde selbst gehackt. Prinzpiell versuchen die Hacker ein auf einer anderen Webseite erbeutetes Passwort um auf das E-Mail Konto zuzugreifen. Das klappt natürlich nicht, da völlig veraltet, und mittlerweile nicht mehr mit nur einem einfachen Passwort geschützt, und eh kaum noch in Gebrauch.

Bei mir war es ein Versand für Batterien, bei dem mein unverschlüsseltes Passwort an Hacker ging. Da es jedoch ein spezielles Passwort nur für solche Seiten war, ergab sich daraus kein Problem. Nur kenne ich mittlerweile die Droh-Emails, mit denen die Hacker ihre potentiellen Opfer verunsichern wollen.