[HWSW]

Többfrontos támadás indult a BlackBerry telefonokat és a hozzájuk tartozó üzenetkezelõ rendszert gyártó és fejlesztõ kanadai Research in Motion ellen. A cég üzenetküldõ szolgáltatását októbertõl betiltják az Egyesült Arab Emirátusokban, de könnyen lehet, hogy Indiában is hasonló sors vár rá.
http://www.hwsw.hu/hirek/45020/rim-research-in-motion-blackberry-biztonsag-titkositas.html

[lola]

"A rendszer a teljes adatfolyamra AES titkosítást alkalmaz, ami gyakorlatilag lehetetlenné teszi a visszafejtést" - tegyük gyorsan hozzá, hogy kivéve a rendszert üzemeltetõ kanadai céget. A legjobb az, ha valaki saját titkosítási eljárást használ a partnerével.

[Ytse]

@lola: Marhaság, miért lenne hozzáférése az adatokhoz a RIM-nek?

[Jahno]

Idézet: lola - Dátum: 2010. 08. 02. 12:53

"A rendszer a teljes adatfolyamra AES titkosítást alkalmaz, ami gyakorlatilag lehetetlenné teszi a visszafejtést" - tegyük gyorsan hozzá, hogy kivéve a rendszert üzemeltetõ kanadai céget.

Az miért is?

[507]

@lola: nem lehetséges...

[nhw]

@Bodnár Ádám: Mert a Microsoft és a Google is spy-olja a Cloud klienseit.

[Jahno]

Idézet: nhw - Dátum: 2010. 08. 02. 13:57

@Bodnár Ádám: Mert a Microsoft és a Google is spy-olja a Cloud klienseit.

Egyelőre nekem az iPaddal van tele a tököm, minden szarhoz reggelj, account kell, most találtam végre egy jegyzettömböt, de még a futtatáshoz is net kell. Nahh, ha valaki, akkor az Apple elmehet apicsába, hogy be sem tudom kapcsolni a devicét, míg a bankkártyám paramétereit be nem szögeltem.

[antitroszt]

@Bodnár Ádám: El kell olvasni a RIM szerzõdését, szerzõdési feltételeit. Az adatokhoz hozzáfér õ, minden szerzõdött partnere, és mindenki, akinek õ úgy gondolja, hogy bármilyen probléma megoldása érdekében hozzá kell férnie az adatokhoz.
Szóval gyakorlatilag beláthatatlan, hogy kik is fognak hozzáférni a userek adataihoz. Nyilván nem véletlenül van így.
Észak-Amerikában mûködnek...

[Szabcsi]

Idézet: antitroszt - Dátum: 2010. 08. 02. 14:16

Az adatokhoz hozzáfér...

Innen talán egyértelműbb a dolog...

[lola]

@Bodnár Ádám: Nem marhaság. Az a titkosítás, ami közvetítõn (RIM szerverek) keresztül zajlik, a közvetítõ számára láthatóvá tehetõ. Lehet az AES, vagy más, mindegy.

[lola]

@507: dehogynem. Maximum számodra nem.

[delphijos]

Hát persze hogy hozzáférnek. Csak nem képzeli bárki is hogy olyan technológiára rábólint pl. az FCC amit az USA kormánya nem tud lehallgatni, tehát nemzetbiztonsági kockázatot jelent?

[kisrobert]

Idézet: Ytse - Dátum: 2010. 08. 02. 13:00

@lola: Marhaság, miért lenne hozzáférése az adatokhoz a RIM-nek?

Különben hogy a fenébe tudná megmondani a hwsw.hu szerverének, hogy milyen oldalt akar a t. BB tulajdonos letölteni?
Mit szólna a hwsw.hu egy titkosított adathalmazhoz - kulcs nélkül?
Csak BB és a kanadai szerver közötti adatforgalom titkos, de attól kezdve titkosítás nélkül. Hiszen a netre kötött sok szerver többsége titkosítatlanul fogadja és küldi az adatokat.
Ebből adódóan a kanadai szervernek minden titkosítás kulcsát ismernie kell, és minden titkosítást fel kell oldania. (A bb felé menő adatokat a kanadai szerver titkosítja, a bb felől érkezőeknél pedig a kanadai szerver oldja fel a titkosítást - így mindenhez hozzáfér.)

Ugyanígy két bb között is úgy zajlik az adatforgalom, hogy közben a kanadai szerverben a titkosítást feloldják, majd a másik bb-nek újra titkosítják (egy másik kulccsal).

Szerkesztette: kisrobert 2010. 08. 02. 19:37 -kor

[lola]

@kisrobert: Így van.

[WiZARD]

és a céges exchange server (amire felkerül a BB soft is) és handheld BB között ugyan ki és minek oldaná fel a titkosítást?

az más kérdés, ha akarják tuti tudják, azért amit delphijos írt...

[Szerzetes]

Tudomásom szerint egyes német cégeknél be van tiltva a blackberry az üzleti titkok védelmében. Az utóbbi években az amerikaiak sorban támadják le a német cégeket korrupciós vádakkal és ebbõl a németeknek elegük van. A blackberry modellje (tehát, hogy minden egyes üzenet kimegy az õ szervereikre) üzleti kockázatot jelent. Ezek után nem lehet csodálkozni azon, ha egy ország nemzetbiztonsági kockázatnak nyilvánítja.

[Szasza2]

Eccerû a dolgo - még a BB server elõtt kell titkosítani a cuccot, majd a BB-n futtatni egy alkalmazást, ami megfejti. Lehet, hogy a RIM még így is hozzáfér. Attól még a technológia nagyon jó - bárhol megkapod az emiljeidet, sõt a detektívekkel együtt.

[Nemenvoltam]

Azért van ennek a történetnek egy másik vetülete is, körülbelül egy éve az egyik helyi szolgáltató (a kettõbõl...) kiadott egy "update"-t a blackberrykhez, amihez csatoltak egy csomó figyelmeztetést, hogy ha nem telepíted akkor elõfordulhatnak hálózati hibák, miegymás (ez a fajta kamu megintcsak jellemzõ az emirátusokra és fõleg az Etisalatra). Miután kb 140e ember telepítette (ehhez elég volt egy nap) kezdõdtek a problémák, sorozatos fagyások, a telefonok lemerültek, stb. Kiderült hogy egy spyware, amit egy jól ismert amerikai cég, az SS8 fejlesztett az Etisalatnak, és a feladata az volt hogy minden üzenetbõl (BBM,email) küldjön egy másolatot egy helyi szerverre. Persze balhé lett belõle, RIM is beszólt nekik, aztán visszavonták az update-t és vettek egy teljes oldalt a helyi újságokban, ahol leírták hogy hogy kell letörölni az alkalmazást.

Tehát ahelyett hogy egybõl a RIM-hez fordultak volna inkább megpróbálták a maguk sunyi módják megoldani a dolgot.

A másik téma, ami pl engem személyesen érint, kb 2 hónapja szállítottunk le egy komplett workflow management rendszert egy helyi banknak, a specifikációjuk alapján kizárólag blackberryre (3000 user). Egyelõre nem tiszta hogy a BIS-t tiltják csak vagy a BES-t is, ha mindkettõt akkor eléggé át kell gondolni a hasonló implementációk sorsát és a tiltás következményeit.

[Nemenvoltam]

@Szasza2: Lehet hogy csak én spilázom túl a dolgokat de nehezen tudom elképzelni hogy a szervezett bûnözés pusztán kényelmi okokból BBM-mel kommunikál. Vagy bármi kereskedelmi és nem egyedileg fejlesztett termékkel.

[FleetCommand]

@Jahno: Õõõõ.. nemsokára szülinapom lesz, csak arra az esetre, hogy tudd, kinek ajádnékozd, ha nem vagy megelégedve az iPaddal...