Fraunhofer test beveiliging Blackberry

RIM deed in een verklaring een aantal beweringen van dit Duitse computerblad af als onwaar, maar slaagt er niet in de onvrede weg te nemen. Zo concludeert het Bundesambt für Sicherheit in der Informationstechnik onlangs in een intern rapport waar de Duitse online nieuwsdienst van Heise Zeitschriften Verlag de hand op wist te leggen, dat de beveiliging van de Blackberry-dienstverlening niet voldoende is om geclassificeerde informatie over te sturen. Met een onderzoek van het onafhankelijk Fraunhofer Institut für sichere Informationstechnologie, hoopt RIM alsnog een eind te maken aan de commotie. Versleuteld De problemen spitsen zich toe op twee punten. Het Bundesambt maakt zich net als een aantal Amerikaanse en Australische experts zorgen over de claim van RIM dat al het e-mailverkeer ‘end to end’ versleuteld wordt verstuurd. Die bewering gaat op voor zover de berichten gecomponeerd op de Blackberry binnen het interne mailsysteem blijven waaraan de Blackberry Enterprise server is gekoppeld. Op dat traject worden berichten versleuteld met Triple DES (112 bit) of AES (256 bit) sleutels. Stuurt een Blackberry-gebruiker echter een mailtje via de Exchange server van zijn eigen organisatie naar een mailaccount daarbuiten, dan is dat bericht na het passeren van de Blackberry Enterprise-server niet langer versleuteld. Het bedrijfseigen besturingssysteem van de Blackberry verhindert bovendien beveiligingssoftware van derden, bijvoorbeeld het opensource programma PGP, te gebruiken die deze ‘end to end’- versleuteling wel kan bieden. Overigens is in de nieuwste versie van het besturingssysteem wel een mogelijkheid voor derden om met Java een eigen beveiligingsapplicatie te ontwikkelen die bovenop de Blackberry-versleuteling draait. Onzekerheid Onder meer de beveiligingsspecialist Utimaco Safeware maakte de afgelopen week gebruik van de doorsmeulende onzekerheid over de Blackberry-beveiliging om zo’n applicatie onder de aandacht te brengen. Malt Poelmann, technisch specialist bij Utimaco wil geen oordeel geven over de veiligheid van Blackberry, maar ziet wel behoefte bij bedrijven, of in sommige gevallen zelfs de noodzaak, de verantwoordelijkheid over de beveiliging van hun communicatie weer in eigen hand te nemen. Bij Blackberry maar ook bij andere zogeheten ‘push e-maildiensten’ maken bedrijven zich afhankelijk van externe beveiliging, meent Poelmann. De Utimaco-toepassing beveiligt het verkeer tussen de handcomputer en de mailserver via een eenmalig ‘certificaat’ dat door de software draaiende op de mailserver wordt verstrekt. Op de handcomputer is standaard S-MIME of Open PGP nodig dat volgens Poelmann alleen op enkele sterk oudere Blackberry-types niet werkt. Een tweede punt van kritiek is de door critici veronderstelde mogelijkheid dat RIM al dan niet in opdracht van nationale veiligheidsdiensten, via een achterdeur in de router van zijn bedrijfseigen e-mail pushsysteem, het berichtenverkeer kan aftappen. Zo zou het systeem voor bedrijfsspionage kunnen worden gebruikt. De Blackberry-server die aan de Exchange-server van een bedrijf is gekoppeld, stuurt de e-mail naar een van de drie routers die RIM in de Verenigde Staten, Canada en het Verenigd Koninkrijk heeft. Sjoera Nas van privacy-organisatie Bits of Freedom, vindt die verdenking niet vreemd. De Britse overheid is na de aanslagen in New York en zeker na die in de Londense metro, heel actief met het aftapbaar maken van communicatienetwerken. Zo is het Verenigd Koninkrijk een van de vier drijvende krachten achter het vergaande plan dat de Europese ministerraad deze zomer hebben besproken om al telecom- en internetbedrijven te verplichten al hun verkeersgegevens een tot drie jaar te bewaren. RIM wijst alle kritiek van de hand. Het bedrijf zegt geen data te bewaren. Bovendien zijn alle gegevens versleuteld en zegt RIM niet over de private of ‘master’ sleutels te beschikken om deze encryptie ongedaan te maken. Dus mocht de Britse overheid in het kader van de Regulation of Investigatory Powers Act 2000 (RIP-Act) gegevens uit het Blackberry-systeem willen opvragen, zegt het bedrijf de opsporingsdiensten door te verwijzen naar zijn klanten.