Wir berichteten 12.Januar 2016 über angeblich gehackte PGP BlackBerry Geräte. Nun lehnt sich die holländische Firma EncroChat ziemlich weit aus dem Fenster und meint, dass das hauseigene gehärtete Android System sicherer sei. Zudem nimmt das Unternehmen im Verbund mit der Firma Eccom alle BlackBerry Geräte aus dem Portfolio.
Beide Firmen haben dies zum Anlass genommen und ein Video online gestellt:
EnchroChat geht davon aus, dass es an BlackBerry und deren System liegen müsse und nicht an der Implementierung von Drittsoftware oder deren Konfiguration, denn PGP BlackBerry Endgeräte sind von Dritten angepasste BlackBerry’s. Sehr interessant.
Man sieht im zweiten Video BlackBerry OS10 Geräte. Bei den angeblich gehackten PGP BlackBerry Geräten waren es aber Legacy OS Geräte (JAVA OS bis Version 7.1) ohne BES Anbindung. Zudem wird behauptet, dass man als Nutzer nur auf der richtigen und gehärteten Hardware sicher sei. Im Falle von EnchroChat ist dies ein OnePlus Gerät, das unter anderem mit einem eigenen Betriebssystem und Software-Portfolio läuft.
Also BlackBerry Geräte mit zig Freigaben wie zum Beispiel für die NATO oder das US-Verteidigungsministerium sind unsicherer als ein Android Gerät von der Stange mit eigenem Android-Rom?
Der Hersteller bewirbt ja die Hardware-Anpassungen. Aber welche sollen das bitte sein?! Einen Beweis für Hardwareanpassungen gibt es aber: So können Kunden das Gerät auch ohne Kamera, Mikrofon, GPS und USB bestellen.
Ausbauen ist aber etwas anderes als absichern.
Einer der letzten Sätze ist auch sehr süffisant: Wenn Ihr BlackBerry kompromittiert ist, ist es nur eine Frage der Zeit.
Ach?! Mit anderen Geräten nicht? Kompromittiert ist kompromittiert, egal auf welcher Basis!
Die Hauptkunden solcher Geräte werden wohl kein Gerät ohne MDM-Anbindung betreiben, außer vielleicht Einzelunternehmen. Im Falle der BlackBerry OS10 Geräte ist dies BES12, BlackBerry Enterprise Service. In der folgenden PDF wird auch der Einsatz von PGP bei Nutzung eines BES als Sicherheitsrisiko dargestellt.
EncroChat-Sure.com-Reference-GuideDurch ein Kopieren der PGP Schlüssel könnte der BES gefährdet sein.
Also erstens sind PGP und BES getrennt: PGP übernimmt komplett Symantec Encryption Management Server. Man meldet nur das Nutzergerät über den BES am PGP Server an.
Zweitens ist hier von BES10+ die Rede. BES12 hat aber einige Erweiterungen erfahren, die nicht gänzlich in den BES10 eingeführt wurden.
Es ist auch als ein Angriff auf den BES zu verstehen. Also irren sich die Mehrzahl an G20 Regierungen, da sie ja den vermeintlich sicheren BES12 einsetzen?!
Nun soll man also eine PGP-Mail-Lösung von EnchorChat nutzen. Alle Nutzer sind anonym auf einer Domain in der Schweiz angemeldet (Angeblich bekommt keiner die Kundendaten). Geheimdienste aus der Schweiz sammeln übrigens auch gerne.
Wäre also die Domain kompromittiert, wäre es auch die Kommunikation aller Kunden. Hier wäre interessant, welches System denn eingesetzt wird. Es wird wohl kaum ein Exchange eingesetzt, dessen IT-Policies nicht annähernd Sicherheit bieten wie wir schon im Beitrag “Sicherheit mit Microsoft ActiveSync und der Zugewinn durch BES12” aufgezeigt haben. Da wird wohl noch ein MDM System dahinterstecken, hoffentlich. Zumindest müssen die Endgeräte in der Infrastruktur des Anbieters angemeldet sein.
Aber selbst erfahrene Hacker mussten letztes Jahr erfahren, dass sie selbst gehackt werden. So geschehen mit Hacking Team, daraus konnte man aber ableiten, dass das italienische Unternehmen BlackBerry nutzt.
Zurück zum PDF. Seit 2009 wäre klar, dass Geheimdienste BlackBerry Nachrichten lesen könnten. Auf welchem System? Welche Nachrichten? Das wird nicht beantwortet. Stellt sich die Frage, warum man dann mit einem Systemwechsel ca. 6 Jahre wartet.
Kunden sollen also das eigene Android (es wird ein Dual Boot OS angeboten) nutzen. Darauf sind eigene Anwendungen installiert. Diese sollen die Kommunikation verschlüsseln. Dafür müssen aber beide Gesprächspartner dasselbe Gerät nutzen. Mit BBM Protected kann man Ende-zu-Ende verschlüsselt auf Android, iOS und BlackBerry OS10 kommunizieren.
Desweiteren gibt es noch einige Software-Gimmicks wie einen Panik Button zum Löschen aller Daten.
Bei einem vergleichbaren Szenario mit BlackBerry Endgeräten hat man solch einen Schalter in der BES Konsole. Auch die Nutzer können dies über einen Self Service Zugang selbst realisieren. Desweiteren sind auch auf BlackBerry Geräten Zugangskontrollen gegebn zum Beispiel Bildkennwort zur Entsperrung des Gerätes und Kennworteingabe für den Zugang zu geschäftlichen Daten.
Das Unternehmen schreibt noch ein paar technische Details zum sicheren Bootvorgang und der Verschlüsselung auf dem Gerät und während des Transports. Dies sind aber keine Alleinstellungsmerkmale. All dies bietet auch BlackBerry OS10 und Android by BlackBerry.
Es gibt nur einen Punkt, dem ich zusprechen könnte: Anonymität.
Kunden sind mit Ihren Geräten anonym angemeldet. SIM und EMEI können angeblich nicht zurückverfolgt werden. Dies kann ich aber auch mit einem BES realisieren. Vorteil wäre auch eine Verschleierung der Kommunikation: Ein BES wird über das BlackBerry Network Operation Center angesprochen, also eine ID auf bbsecure.com. Man müsste somit erstmal auf taktischer Ebene eine Auswertung durchführen.
Fazit: Firmen sollten BES einsetzen und können neben VPN, BlackBerry Secure Connect Plus (eigener BB IP-Tunnel), WatchDox, Secusmart und vielen weiteren Produkten auch PGP einsetzen. Und mit BES12 auch auf mehreren Plattformen.
Weitere Informationen im BES12 Kompendium.
Aufmerksam wurde ich auf das Thema durch einen mehr oder weniger übersetzten Beitrag auf ZDNet
Quantum Encryption Technology only with Hypercore https://uploads.disquscdn.com/images/01c16f3ad16f5c61b0933544f9e3bb8ce669eab347e80f5ace52761c5ca1cae9.png