Nieuwe aanbieders veilige communicatie? pas op!

Wij van PI products bieden al jaren de GSMK cryptophones aan. Waarom wij besloten hebben uitsluitend deze toestellen aan te bieden hebben we eerder uitgelegd in de de andere blog “U wilt veilig communiceren, waarop moet u letten?”

Toch krijgen wij heel vaak vragen over producten die op het internet aangeboden worden. Daarom willen wij hier toch het een en ander gaan toelichten waar wij gevaren zien. Uit respect naar de bedrijven achter de andere oplossingen noemen wij niet de naam van het product maar zullen wij de applicatie omschrijven.

Product A:          Een micro SD kaart met Encrypted chat

Op een micro sd kaart wordt een applicatie aangeboden waarmee er versleutelde chat gerealiseerd kan worden. Dit protocol is gemaakt voor de blackberry toestellen. Uit de markt horen we dat het best een fijne applicatie is. Men stuurt de ander een Ping oproep waarmee men aangeeft de chat te openen. Dan ziet men elkaar online staan en door te klikken op de andere contact wordt er een verbinding gemaakt en kunt u beginnen met chatten.  We hebben het product onder de loep genomen en noemen nu een aantal punten waar de professionele gebruikers van veilige communicatie over struikelen.

Punt 1                   Los van de meegeleverde SD kaart dient u eerst een programma te downloaden op de betreffende Blackberry. Dit doet u simpel door de URL in de webbrowser van het toestel in te voeren en het programma te selecteren dat u wenst te downloaden. Heel gebruiksvriendelijk en logistiek makkelijk, maar totaal niet veilig. Geen enkele serieuze organisatie met hoge eisen aan veiligheid zullen zo te werk gaan. Het downloaden van een applicatie van het internet is de uitgelezen kans voor een gerichte aanval. Hoe zo’n aanval ingezet wordt willen wij best in een persoonlijk gesprek toelichten maar op hier publiekelijk op het internet te plaatsen is niet gepast.

Punt 2                   Op het moment dat u in de zogenoemde encrypted chat een ander contact aanklikt dan wordt er tussen die contacten een verbinding gemaakt. Er vind geen verificatie van codes plaats alvorens men in staat is te chatten. Een verbinding maken zonder verificatie wordt in de professionele markt voor veilige communicatie als een doodvonnis gezien. Dit is onacceptabel.  Niemand kan zo garanderen dat er tijdens een verbinding een “man in de middle attack” uitgevoerd wordt.

Punt 3                   Los van de applicatie en de SD kaart is het blackberry toestel zelf totaal niet beveiligd. Het toestel kan pingen met andere toestellen, internet acces. Op advies wordt dan wel de GPS uitgezet. Maar waar het op neer komt is dat het toestel volledig aanvalbaar is voor Blackberry trojans. Niemand kan je garanderen dat de toetsenaanslagen niet worden opgeslagen/verstuurd naar derden.

Product B:          Encrypted Chat op blackberry met server in IJsland

Blackberry’s worden aangeboden met een externe chat applicatie. Er wordt gesproken over een server die zou staan in IJsland. Voor deze applicatie hebben wij niet gezien of vernomen hoe een koppeling wordt gemaakt tussen toestellen en hoe het programma op een toestel wordt geplaats. Wel konden wij met een paar simpele trucjes de Applicatie hacken. Er is namelijk niks ondernomen om het toestel zelf te beveiligen. Via een simpele internetverbinding wordt het toestel gehackt en worden alle chats voor derden zichtbaar. We hoefden bij deze applicatie dus niet verder te gaan zoeken naar mogelijke leks want vanaf de kern is het al niet veilig. Uitgaande dat ook deze applicatie op een toestel wordt gezet middels een download van het internet en dat er bij het toevoegen van andere chat gebruikers zonder verificatie plaatsvind gelden hier ook dezelfde opmerkingen als bij het genoemde product A onder punt 1, 2 en 3.

Product C:          Software voor versleutelde communicatie voor allerlei toestellen

Hier treft u vele aanbieders. Er bevinden zich meerdere dergelijke software aanbieders in vrijwel elk land. Het is niet onze taak of wens om alle softwares onder de loep te nemen en hier uitsluitsel over geven. Maar wees er alleen op attent dat het hier gaat om enkel software. Het toestel waar u de software op installeerd is niet beveiligd. Ookal beweren sommige aanbieders dat de software voorkomt dat andere applicaties niet werken wanneer er u gebruik maakt van het programma dan moet u dan niet als gehele waarheid aannemen. Want geavanceerde aanvallen weert u niet door enkel gebruik van software. Al helemaal wanneer het toestel ansich internet verbinding kan maken.

Conclusie

Er bestaan in de markt voor veilige communicatie 2 typen aanbieders. Dat zijn de professionele markt en de applicatie markt.  De aanbieders in de professionele markt leveren aan instanties als overheden en grote multinationals waarbij de belangen van veilige communicatie zo groot zijn dat er zeer diep gekeken wordt naar de aangeboden oplossingen. Zaken als certificering, broncode publicatie en handset beveiliging zijn daarbij een vereiste. Vandaar dat er ook in deze markt niet veel aanbieders te vinden zijn. Vaak zijn het organisaties die enkel aan overheid leveren en dus moeilijker te vinden zijn op het internet, laat staan dat ze hun oplossingen aanbieden aan consumenten.

In de applicatie markt zijn er vele aanbieders. Google maar eens en je vind een groot aantal aanbieders van encrypted software. Waar wij van staan te kijken zijn de gevraagde prijzen voor hun oplossingen. Sommige aanbieders zoals ook genoemd onder product A en product B vragen gewoon meer dan 1.500 euro voor hun oplossing. Dat zijn prijsstellingen voor de oplossingen in de professionele markt.

PI Products levert zowel voor de professionele markt als voor de applicatie markt een oplossing. Zoals bekend is leveren wij de GSMK cryptophones. Dit zijn toestellen die ook door overheden worden gebruikt voor gevoelige communicatie. Deze vallen zonder twijfel in het professionele segment.

Voor de applicatie markt hebben wij ook een software ontwikkeld. Dat noemen wij Cryptogo. Zie hiervoor onze website:  www.cryptogo.nl Wij vragen voor deze software slechts 175 euro per applicatie. En deze applicatie is minstens zo veilig dan wel veiliger dan andere applicaties. Wij weten dat een opgevangen communicatie bericht of chat versleuteld met een fatsoenlijke encryptie niet uit te lezen is door anderen. Ook niet met behulp van super computers en onsleutel softwares. Maar de truc zit hem in in de aanval op het toestel zelf. Wanneer deze los van een applicatie gekocht of geleverd kan worden dan heeft u altijd te maken met een applicatie. Het is aan u de keus hoeveel u er voor wenst te betalen, want de veiligheid is niet groter naarmate een aanbieder meer geld vraagt voor de geboden oplossing.