Eddig kellett várni arra, hogy a BlackBerry részéről valamilyen reakció szülessen a média által múlt hét végén felkapott "sztorira", miszerint a mindig is szuperbiztonságos mobil megoldásairól híres gyártó telefonjait a kanadai rendőrség már "2010 óta lehallgatja". Ez persze így ebben a formában erős csúsztatás, de ezt már a múlt héten egy posztban részleteztem, a hivatalosnak tekinthető reakcióban pedig valójában semmi újdonságot nem mond John Chen, a BlackBerry elnök-vezérigazgatója.

A BlackBerry ugyanis régóta kitart azon álláspontja mellett, hogy a tech cégeknek a törvényes keretek közt, megfelelő etikai normák szerint igenis együtt kell működniük a nyomozó hatóságokkal annak érdekében, hogy bizonyos, a társadalom egésze, vagy jelentős része számára potenciális fenyegetést jelentő csoportokat (jellemzően terroristákat, szervezett bűnözői hálózatokat) lekapcsolhassanak.

chen_perfect.jpeg

Ennek a kérésnek a cégek egyébként saját belátásuk szerint, saját, kvázi etikai kódexük alapján tehetnek eleget, vagy utasíthatják el (vállalva annak jogi és egyéb következményeit), illetve vannak olyan helyzetek, amikor - az adatforgalom jellegéből adódóan - nem is tudnak eleget tenni ezeknek a kéréseknek, akkor sem, ha akarnának. Ilyen, nyilvános etikai kódexe amúgy a BlackBerrynek is van, itt lehet olvasgatni (angolul), tanulságos olvasmány, főleg újságíróknak.

A múlt héten nyilvánosságra került ügy kapcsán a BlackBerry voltaképpen semmit sem cáfol, Chen ugyanakkor hozzáteszi, hogy a BlackBerry mindvégig a saját maga által megállapított etikai normák szerint működött együtt a kanadai hatóságokkal, melynek végeredményeként egy maffiahálózat prominens tagjai rács mögé kerülhettek. A BlackBerry ezzel együtt határozottan tagadja, hogy a BES szervereken keresztüli adatforgalom lehallgatható (ezt mondjuk az ominózus cikk sem állította), illetve emlékeztet arra, hogy volt már rá példa korábban (nem is olyan rég), hogy kerek-perec megtagadta a cég, hogy egy kormányzat (Pakisztán) kénye-kedve szerint hozzáférhessen az országon belül zajló BlackBerry-adatforgalomhoz.

Nem minden országgal volt ilyen szigorú a BlackBerry (bár a fent belinkelt etikai kódex szerint nincs kivétel), vegyük például Indiát, ahol 2013-ban olyan megállapodás születhetett a cég és a helyi kormányzat között, hogy a BlackBerry adatforgalom egy részéhez jogállami keretek között hozzáférést kaphatnak a hatóságok a mobilszolgáltatókon keresztül. A BES adatforgalom itt sem volt érintett.

A fent belinkelt etikai normák értelmében egyébként az egyedi esetek kommentelése, vagy az azzal kapcsolatos bármilyen spekulálás a BlackBerry számára tabu, ennek megfelelően John Chen is gyorsan rövidre zárja a témát.

Most már tényleg csak az a kérdés - legalábbis számomra -, hogy ez az egész ügy miért pont most ütötte fel (újra) a fejét.

Via Inside BlackBerry blog.

Tegnap futótűzként kezdett terjedni az interneten a hír, miszerint a kanadai yard 2010-től kezdődően sikeresen visszafejtett egy bűnügy kapcsán bizonyos BlackBerryk közti kommunikációt. Az ügyet exkluzívként tálaló Vice News cikke azt sugallja, hogy a nyomozószerveknek valahogy a birtokába került az a mesterkulcs, amivel ezt megtehették, bár azt senki nem tudja biztosan, hogy ez pontosan hogyan került hozzájuk, és még mindig használják-e "megfigyelésre". 

A sajtó persze - részben az Apple-FBI csörte hatására - felkapta a sztorit, a témában megjelent cikkek egy része azonban szokás szerint köszönőviszonyban sincs a valósággal, de legalábbis némi pontosításra szorul. 

Először is, több cikk határozottan állítja, hogy hat évvel ezelőtt a kanadaiak kezébe került mesterkulcs a BBM titkosítását oldja fel, illetve kvázi akinek ez a kulcs a birtokába kerül, az kénye-kedve szerint beleolvashat bárkinek az üzeneteibe. Ez azonban egyértelműen hülyeség, mivel még a forrás cikk is PIN to PIN üzenetet ír, aminek kétségtelenül van köze a BBM-hez, nagyjából annyi, mint szekérnek a Lamborghinihez (gyk mindkettőnek négy kereke van).

A fenti hasonlat abból a szempontból is találó, hogy a PIN to PIN üzenetek tekinthetők a BBM ősének: A rendszer arra épült, hogy két BlackBerry közt direktben lehessen üzenetet küldeni a BlackBerry (akkor még RIM) szerverén keresztül, a készülékek egyedi azonosítóját (vagyis a PIN-t - aminek semmi köze SIM-ek, vagy bankkártyák PIN-jéhez!) felhasználva. A PIN üzenetek 168 bites 3DES titkosítást használtak, a visszafejtéshez szükséges univerzális kulcsokat pedig minden BlackBerry tartalmazta gyárilag. Vagyis aki ennek a kulcsnak a birtokában van (volt), és valahogy hozzájut(ott) a készülékek közti kódolt adatfolyamhoz, minden üzenetbe beleolvashat(ott). Nagyjából ezt érte el a kanadai rendőrség 2010-ben.

bbm_encryption.png

A BBM ehhez képest ma már erősebb titkosítást használ, így a 3DES titkosítás felett egy másik titkosítási réteg (TLS, vagyis Transport Layer Security) is húzódik. Ez a titkosítási módszer (amit többek közt a banki kommunikációban is használnak) máshogy épül fel, mint a 3DES, vagyis nem létezik egy olyan univerzális, mindenható kulcs, amivel minden üzenetet vissza lehetne fejteni. A (nagy)vállalatoknak kínált BBM Protected még ezt a titkosítási szintet is megemeli egy harmadik titkosítási réteg, a PGP beiktatásával, ami a váltakozó kulcspárok miatt a manapság elérhető egyik legbrutálisabb titkosítási metódus.

Magyarul ha BlackBerryd van, vagy BBM-et használsz más készüléken, ez a mostani "leleplezés" jó eséllyel egyáltalán nem érint téged, ha pedig 4-5 évnél régebbi BlackBerry típust használsz és még mindig PIN-üzenetekkel kommunikálsz valakivel, aki hozzád hasonlóan 4-5 évnél régebbi BlackBerryvel nyomul, akkor meg magadra vess.

Az ügy persze ettől még felvet bizonyos kérdéseket, például hogyan került az ominózus mesterkulcs a kanadai rendőrökhöz, illetve a rendőrség miért nem a mesterkulccsal rendelkező BlackBerrytől kérte az érintett adatok (kommunikáció) kiadását - ami egyébként a legális útja lenne egy nyomozati tevékenységnek. Vagy miért pont most ütött be a mennykő, amikor az ügyben érintett bírósági tárgyalás alapján évek óta kvázi nyilvános volt, hogy a kanadaiak BlackBerryk közti kommunikációt hallgattak le.

Itt tartunk most, remélhetőleg a BlackBerry is ismerteti mielőbb az álláspontját a témában, és tisztáz néhány hülyeséget, amit az utóbbi órákban produkált a netes hírgyár.

Manapság, amikor a csapból is az folyik, hogy mindenkit, érted MINDENKIT orrba-szájba lehallgatnak, megfigyelnek, egyre többekre vetül rá a félelem árnyéka. Nem csoda, hiszen MINDENKI elképesztően értékes és bizalmas információkat tárol a telefonján, amire bizonyára RENGETEGEN kíváncsiak. Ja, hogy céges meg kormányzati adatok? Az meg kit érdekel?

Ilyen vészterhes időkben bizony az egyszerű közembernek is kijár a hétpecsétes információbiztonság, legalábbis így gondolták azok a tagok, akik megálmodták a Blackphone-t, a világ legbiztonságosabb mobiltelefonját. Hogy mitől olyan biztonságos, azt nem árulják el (egyelőre), de már készült egy nagyon trendi videó róla, ami alapján egy biztos: Az hétszentség, hogy ezt a terméket nem cégeknek akarják eladni.

blackphone.jpg

Szóval van egy telefon, ami kétségtelenül fekete is, meg telefon is, na meg annyit lehet még róla tudni, hogy android fut rajta, illetve annak egy mutációja, amit PrivatOS-nek (!) hívnak. De nem akarom lelőni a videó összes poénját, készüljetek az adrenalinbombára!

Hát ennyi, további részletek Barcelonában, a Mobile World Congressen.

Via Blackphone.