Encrochat Blog

 

English Dutch French German Russian Spanish Turks

Oorspronkelijk geplaatst: March 28, 2016

Addendum: March 31, 2016

Update over nepblogpost (het oorspronkelijke antwoord begint bij de kop ‘Onderwerp’ hieronder):

Ik schrijf dit puntsgewijs op, om de nep-‘beveiligingsonderzoeker’ niet meer ruimte te geven dan nodig.

  • Niet jezelf of je bedrijf identificeren vanwege een ‘interne machtsstrijd’? Slecht excuus. Er zijn zoveel geloofwaardige beveiligingsconsultants, en zij staan ALLEMAAL achter hetgeen dat ze schrijven. Je verstoppen achter anonimiteit geeft je nul geloofwaardigheid.
  • Alleen maar omdat je het woord WAAR typt zonder uitleg te geven waarom het WAAR is nadat we elk onzinnig punt van jou als ONWAAR verklaren, zorgt ervoor dat je één grote grap van jezelf maakt.
  • Je stelt dat je uitleg van Cellebrite waar is, maar dat is het zeker niet. Leg alsjeblieft aan een eindgebruiker uit hoe zij een organisatie zouden moeten contacteren die hun bevindingen toch niet openbaar bediscussiëren, met name schijnpersonen zoals jij, wiens enige artikelen op de wereld EncroChat aanvallen.
  • We zijn niet eens eigendom van een Canadees bedrijf. Niet dat het er toe doet – we hebben niets tegen Canadezen. Onze verkopers en veel van onze gebruikers hebben ons zelfs één-op-één gesproken. Het is duidelijk dat jij geen van beiden bent, en dat je niets te bieden hebt behalve onjuiste informatie.
  • Oh, en ik vind mijn blogpost goed omdat hij ook daadwerkelijk technische feiten bevat, en geen leugens en onzin. Als jij wil geloven dat de wereld plat is, ga je gang. Ik geloof liever dat 1+1 “2” is, en niet “lamp”, zoals jij denkt.
  • Ik hou van jouw reactie dat het niet om het bewijs gaat. Serieus? Dus het gaat niet om het hard maken van je punt, maar gewoon om laster zonder enig feit? Je zegt dat je gebruikers beschermt met technische expertise, maar we moeten toch in alle eerlijkheid constateren dat je die niet hebt, aangezien het opsommen van wat technisch jargon niet meetelt.
  • Aangezien je artikel alleen maar mensen lokt en we gedwongen zijn om een reactie op je te geven terwijl jij onzin verspreidt in PGP berichten, hebben we een voorstel: We kunnen je ontmoeten op een aangewezen plaats waar jij je “bewijs” laat zien. We weten dat je dat niet zult doen, want er is geen bewijs. Maar hé, je kunt nu reageren en je hebt nul geloofwaardigheid. Maar wij staan tenminste achter wat we schrijven, en dat is waarom we dit plaatsen op onze bedrijfswebsite (en niet op een anonieme blog). Oh, en omdat we ook echt bestaan, zijn we open naar de buitenwereld en kunnen we iedereen ontmoeten om het over ons product te hebben. Wij verstoppen ons nergens.
  • Laatste punt: We nemen je blog niet serieus. Je mist het punt volledig. We lachen niet met jou, maar óm jou. Kijken of jij het verschil kunt ontdekken.

 

Onderwerpen: De sage gaat verder, met deel II getiteld: leugens, leugens, leugens en het gebruik van nepblogs voor laster.

Zucht, het eerste wat ik zag toen ik vandaag wakker werd, was een link naar een wegwerpblog die een aantal gebruikers me gestuurd had, en waar een nep gebruikersaccount lasterlijke artikelen over EncroChat had gepost. Normaal gesproken zou ik het van me af lachen. Ik bedoel, het internet is een plaats waar iedereen alles kan schrijven. Zo werd het bijvoorbeeld wereldnieuws toen een rapper zei stelde dat de aarde plat was, wat weer tot een groot debat leidde. Pfff… Dus ik zal antwoord geven, om iedereen gerust te stellen dat alles goed gaat met EncroChat.

Goed, ik dwaal af. Laten we even kijken naar de eerste blogpost, waarin staat dat er bewijs is dat we samenwerken met de NSA en andere autoriteiten. Allereerst, wat leuk dat er iemand is die met Photoshop een plaatje kan maken van ons toestel naast het NSA logo. Supergoed gedaan. We zijn doodsbang. De blog beweert een klokkenluider te hebben, en dat EncroChat eigendom is van “Super Lock Tight”. Ummm, wie is dat in hemelsnaam? Kennelijk één van de grootste PGP providers in Canada, en dat ze al lang samenwerken met de NSA en FBI door uitgegeven bevelschriften. Echt, zo’n groot bedrijf, en ik heb geen idee wie Super Lock Tight is. Vervolgens gaat hij verder dat een man genaamd Jeff EncroChat bezit, en dat hij autoriteiten toegang tot servers gaf. Wat? Ook nog nooit van gehoord. Oh, en dat autoriteiten persoonlijke PGP-sleutels en opgeslagen berichten van OTR accounts konden onttrekken, blablabla. Allereerst hebben we niet eens persoonlijke PGP-sleutels op onze servers voor onze overgangs-PGP-applicatie. De PGP public/private-sleutel wordt gegenereerd met onze PGP-client op het toestel van de EncroChat-gebruiker, en de persoonlijke sleutel verlaat het toestel NOOIT. Om op te starten gebruiken we geen Off-The-Record (OTR). PGP-verkopers die met ons concurreren blijven dit maar zeggen. Dus nog één keer: dat doen we niet. We zijn een afgeleide van OTR (we vinden het een goed concept, maar we vinden het specifieke protocol problematisch en daarom hebben we het sterk verbeterd). Met EncroChat kunnen onze gebruikers hun eigen sleutels direct met elkaar onderhandelen, en deze sleutels veranderen bij elk bericht.

Als ik dus naar de rest van de blogpost kijk, sta ik simpelweg versteld van het gebrek aan waarheid. Laten we weer beginnen met die Super Lock Tight. EncroChat heeft geen PGP-basis. We zijn begonnen als EncroChat, en niet als Super Lock Tight (ik kan ook niemand vinden die weet wie dit zou moeten zijn). Dat PGP-verkopers ons hierom zouden blokkeren, is hilarisch. De enige reden dat we door PGP-verkopers en hun domeingroep worden geblokkeerd, is financieel. Ze verliezen veel te veel gebruikers door ons EncroChat-platform, aangezien bewezen is dat hun platform onveilig is en blootgesteld door verslaggevers en technische professionals van erkende mediabedrijven (dit is gerapporteerd zonder onze hulp, kan ik daarbij toevoegen).

In de blogpost wordt vervolgens geprobeerd om de EncroChat dual OS met Blackphone dual profiles te vergelijken, dus op de één of andere manier zijn ze dan hetzelfde en zijn we vatbaar voor malware en keyloggers. De post vraagt zich af hoe EncroChat twee besturingssystemen kan hebben en niets fout kan doen. Wauw. Allereerst zijn het twee aparte besturingssystemen, wat betekent dat de één de ander niet kan zien, of zelfs maar kan merken dat het er is (hetzelfde als het hebben van twee fysieke toestellen). Een besmetting van het standaard Android-besturingssysteem leidt niet tot besmetting van het beveiligde EncroChat-besturingssysteem. Het zijn twee verschillende platforms, en dat is waarom je opnieuw moet opstarten wanneer je toegang tot één van de twee wil. Dit vergelijken met het schakelen tussen profielen is gewoon dom – dat is een heel ander uitgangspunt. Oh, en als deze “beveiligingsonderzoeker” de moeite had genomen om naar het standaard Android-besturingssysteem te kijken dat we verschaffen, had hij gezien dat deze zelf ook beveiligd is.

Vervolgens gaat de blogpost verder over Wi-Fi die een soort achterdeur zou hebben, en dat de CIA FinFisher kan gebruiken om toegang te krijgen tot het toestel en screenshots te versturen. Wat? Wat een onzin. Ik zal later een apart blogartikel posten over Wi-Fi versus het mobiele netwerk (SIM), en uitleggen dat hoewel Wi-Fi en Cellular allebei vijandelijke omgevingen zijn, Wi-Fi eigenlijk de voorkeur heeft. FinFisher is geen Wi-Fi-functie, en de CIA kan niet zomaar in je telefoon kijken over de Wi-Fi. Allemaal verzinsels.

Dan beweert de blogpost dat ze EncroChat getest hebben met hun eigen forensisch team. Dat EncroChat zijn eigen veiligheidsclaims niet kan steunen. Dat Cellebrite heeft gereageerd op EncroChat, en heeft toegegeven het te kunnen kraken. Ja, nog meer pure verzinsels. Het enige wat ik kan zeggen, is: laat het zien of houd ermee op. Het verspreiden van leugens en valse informatie is gewoon triest. Als je ook maar iets gevonden had, zou je het bewijzen. Het verzinnen van citaten en leugens is een achterbakse actie. Word toch eens volwassen. Denk je nu echt dat gebruikers jouw onzin zullen slikken? Waarom ga je niet verkondigen dat de wereld plat is, nu je toch bezig bent?

Vervolg:

Tweede blogpost van hetzelfde nepaccount over zwakke PGP-encryptie en geen beveiliging.

Aangezien mijn antwoord nogal lang wordt, zal ik proberen dit kort te houden. Ik zal alleen op elke onjuiste bewering reageren in simpele bewoordingen, omdat het gebruikers probeert te verwarren met technisch jargon (hé, een hoop technische termen, dan moet het wel waar zijn…).

  1. We lekken persoonlijke IP-adressen elke keer dat je een PGP-email stuurt, zodat je terug te leiden bent naar je toestel. Zucht. Persoonlijke IP-adressen zijn non-routable op het internet. Ze zijn zo ontworpen dat persoonlijke netwerken blokken van IP-adressen kunnen gebruiken die niet gerout (dus getraceerd) kunnen worden op het openbare internet. Dit is de precieze definitie van een persoonlijk IP-adres. Er zijn letterlijk tientallen miljoenen computers die precies dezelfde persoonlijke IP-adresruimte gebruiken. Juist
  2. We zijn vatbaar voor een Heartbleed-bug. Dit wordt alleen maar gesteld zodat een gebruiker het in Google kan typen en ontdekt dat er inderdaad iets bestaat dat Heartbleed heet. Wij zijn hier niet gevoelig voor. Juist
  3. We gebruiken zelf-ondertekende certificaten. Dat doen we 100% zeker. Slangenolie? Echt? In de post wordt gesteld dat het beter is om naar een Certificate Authority (CA) te gaan om een certificaat te halen. Je weet wel, degenen die ondermijnd of gehackt worden door overheidsinstellingen om een certificaat te krijgen zodat ze je computer, smartphone etcetera kunnen controleren. Wij accepteren GEEN ENKEL certificaatautoriteit op ons platform, behalve onze eigen die we op al onze apps vastpinnen zodat niemand zich voor kan doen als EncroChat of één van de meer dan 211 certificaatautoriteiten die er zijn. Dus het is waar dat we zelf-ondertekende certificaten gebruiken. Het argument is Juist (en nogal dom om te stellen).
  4. We gebruiken zwakke Diffie-Helman sleutels (1024). Dit klikt goed, want gebruikers zullen iets hebben van “Wat is Diffie Hellman in hemelsnaam?”. Het klinkt niet goed als ze 1024-sleutels gebruiken. Diffie-Hellman sleuteluitwisseling stelt een gedeeld geheim op tussen twee partijen dat gebruikt kan worden voor geheime communicatie voor het uitwisselen van data over een openbaar netwerk. EncroChat gebruikt Triple Elliptical Curve Diffie-Hellman Ephemeral 25519 (ECDHE) sleuteluitwisseling, die een huidige en toekomstige geheimhouding verschaft. De claim is dus weer Juist

Tot slot, leuke poging om me waardevolle tijd te kosten die ik besteed aan het reageren op zulke onzin. En een advies: degene die jullie blogposts schrijft is een totale sukkel op technisch gebied.