On 12/08/10 10.54, Andrea Glorioso wrote: > Cari tutti, > > per motivi professionali sto analizzando le recenti discussioni tra > Research In Motion (l'azienda che produce i Blackberry) e vari > paesi del Medio Oriente, tra cui l'Arabia Saudita, gli Emirati > Arabi Uniti e altri. > Io consiglierei di vedere anche le posizioni di Francia e Germania, perchè le vicende e le discussioni attorno a RIM sono molto variegate.
Francia e Germania hanno "bannato" l'uso di dispositivi RIM per uso governativo per via dei potenziali rischi che "foreign intelligence services" possano carpire informazioni strategice con "Political IT attacks": http://www.fiercewireless.com/europe/story/blackberry-security-worries-germany-bans-government-use/2010-08-11 Che è un punto di vista ancora diverso rispetto alle posizioni di paesi come India o Arabia Saudita sono solo arrivati tardi nel capire che RIM offre anche servizi di accesso ad internet oltre che smartphone. Ci sto facendo sopra sviluppo sw di un client di telefonia sicura e devo dire che come piattaforma alla sicurezza ci tengono molto di più che su iPhone o Nokia. Hanno supporti di security a tutti i livelli sia per l'uso enterprise (on-device encryption, network encryption, policy di security ben configurabili) sia per sviluppo e hanno acquisito l'anno scorso la Certicom (www.certicom.com) che è azienda partner NSA che ha fornito tutto lo stack crittografico di Blackberry. Per dare una idea nella impostazioni avanzate di collegamento SSL si può specificare di usare solo TLS v1 e selezionare solo algoritmi FIPS per uso SSL. Su un iPhone o un Nokia un settings di security così avanzato ce lo si scorda. Tuttavia l'uso estensivo di protocolli proprietari lascia sempre un po' l'amaro in bocca: http://docs.blackberry.com/en/admin/deliverables/16558/RIM_propietary_protocols_1107871_11.jsp Ho scritto un paio di settimane fa' un summary con molti link di approfondimento sulle tecnologie di sicurezza di RIM ufficiali, su quanto è stato fatto di hacking e reversing della loro piattaforma basata su protocolli proprietari (SRP, IPPP, etc) e sulle varie posizioni governative che ci sono in giro a riguardo (Russia, India, UAE, Saudi Arabia, Francia, Germania, USA) qui: http://infosecurity.ch/20100707/blackberry-security-and-encryption-devil-or-angel/ > - se quanto dice RIM e quanto capisco dai manuali e` corretto, perche` > l'Arabia Saudita (e, a quanto pare, altri stati tra cui la Russia) pare > essere soddisfatta dall'offerta di installare uno dei server di RIM (ovvero, > immagino, uno dei server che costituiscono il NOC distribuito di RIM) > all'interno del proprio territorio? Per avere un accesso piu` facile al > 'ciphertext'? Per avere una quantita` di 'ciphertext' piu` ampia a propria > disposizione, in maniera da permetterne una criptoanalisi approfondita? > L'Arabia Saudita e` in possesso delle risorse per craccare in tempi > ragionevoli 3DES o AES (gli algoritmi usati dal BES)? Oppure e` solo > per avere un accesso piu` rapido ai metadati (chi ha spedito il msg, > a chi, quando, etc)? > > - in ogni caso, qual e` la vera differenza tra avere l'accesso a questo > nodo del NOC e richiedere ai carrier che operano all'interno del proprio > territorio gli stessi dati? Come sopra, e` solo una questione di > semplicita` nell'avere un unico punto centralizzato a cui rivolgere > le proprie richieste di intercettazione/analisi? > La questione è che RIM non è solo un "manufacturer" ma è anche un fornitore di servizi di messaggistica, servizi di accesso ad internet e servizi enterprise di hosted VPN e centralized policy management. Quando usi il tuo blackberry hai una moltitudine di punti di accesso che possiamo riassumere, nella dialettica RIM: - Direct-TCP (il collegamento ad internet tramite l'operatore mobile che conosciamo) - BIS-B (accesso ad internet tramite la rete RIM che trasporta i dati via protocollo IPPP dal cellullare fino al punto di accesso RIM) - BES (accesso alla intranet aziendale, ed eventualmente internet, mediato dalla rete RIM che agisce da concentratore VPN) Se usi BIS-B in europa esci da gateway in UK, ed è quando usi il browser di default. Ogni third party application developer per usare BIS-B cone la propria applicazione deve fare una partnership con RIM e usare una speciale applicazione. RIM offre spesso free-roaming su molti operatori nelle offerte BIS-B, di fatto bypassando il meccanismo di roaming agreement basato sulla rete GRX inter-operatori mobili GSM/UMTS. Questo per spiegare come non sia una mera fornitura di un device ma sia incluso un servizio di accesso ad internet e roaming indipendente dall'operatore, una overlay access network ch si appoggia al layer2 dell'operatore mobile. Poi RIM ti offre il servizio di Blackberry Messenger, che è centralizzato sulla loro, ed è stata una delle remore principali dei Sauditi che si sono trovati nell'impossibilità di accedere ai messaggi scambiati fra diversi Blackberry. Di fatto il ragionamento dei Sauditi e Indiani è semplice: Qui vendi telefonini, ma in realtà stai vendendo servizi di telecomunicazione e quindi sei un operatore di telecomunicazione soggetto alle normative sulla lawful interception, quindi mi devi dare accesso ai dati come lo fanno gli operatori. Solo che in Russia ci hanno pensato prima di autorizzare la vendita dei Blackberry con un accordo preventivo fatto con l'FSB (ex-KGB), in Arabia Saudita si sono resi conto solo a posteriori che RIM non è solo un fornitore di device come Nokia ma offre anche servizi di accesso ad internet e di messaggistica elettronica. > - a quanto pare l'India ha ottenuto da RIM che "that they can provide > the Metadata of the message ie the IP address of the BES and PIN > & IMEI of the BlackBerry mobile. The concerned internet service > provider can also tell the location of the services as well. From > these information, the security agencies can easily locate the BES > and obtain the decrypted message. They also stated that they > have a setup to help the security agencies in tracking the messages > in which security agencies are interested in,”. Questo sembra > confermare che il NOC di RIM non ha accesso al 'plaintext'. > (http://economictimes.indiatimes.com/infotech/hardware/BlackBerry-to-open-code-for-security-check/articleshow/6249666.cms) > Questo secondo me è l'aspetto più sensibile. Cioè che RIM possa e debba fornire servizi di lawful interception sul loro servizio di accesso ad internet (BIS-B) e messaggistica (BB Messenger) non ci piove qualificandosi a tutti gli effetti come fornitre di servizi di comunicazione elettronica. Certo è che quando agiscono da VPN concentratore fra i Blackberry e il BES in azienda (che include un Blackberry Router che fornisce accesso a tutte le risorse interne) la cosa si complica non poco. Da documentazione, ma non da verifica indipendente essendo i protocolli e i codici sorgenti chiusi, RIM non dovrebbe avere accesso ai dati in transito (I BB client si collegano in IPPP alla rete RIM mentre i BES server si collegano in SRP alla rete RIM.) Ma anche assumendo che non vi siano backdoor, legalmente come vogliamo qualificare il servizio di "concentratore VPN" che RIM offre ai clienti aziendali sotto BES? Fabio Pietrosanti (naif)
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
