Ciao a tutti,
On 17 Aug 2010, at 12:05 p.m., Fabio Pietrosanti (naif) wrote: > On 12/08/10 10.54, Andrea Glorioso wrote: >> Cari tutti, >> >> per motivi professionali sto analizzando le recenti discussioni tra >> Research In Motion (l'azienda che produce i Blackberry) e vari >> paesi del Medio Oriente, tra cui l'Arabia Saudita, gli Emirati >> Arabi Uniti e altri. >> > [...] > >> - a quanto pare l'India ha ottenuto da RIM che "that they can provide >> the Metadata of the message ie the IP address of the BES and PIN >> & IMEI of the BlackBerry mobile. The concerned internet service >> provider can also tell the location of the services as well. From >> these information, the security agencies can easily locate the BES >> and obtain the decrypted message. They also stated that they >> have a setup to help the security agencies in tracking the messages >> in which security agencies are interested in,”. Questo sembra >> confermare che il NOC di RIM non ha accesso al 'plaintext'. >> (http://economictimes.indiatimes.com/infotech/hardware/BlackBerry-to-open-code-for-security-check/articleshow/6249666.cms) >> > Questo secondo me è l'aspetto più sensibile. > > Cioè che RIM possa e debba fornire servizi di lawful interception sul > loro servizio di accesso ad internet (BIS-B) e messaggistica (BB > Messenger) non ci piove qualificandosi a tutti gli effetti come fornitre > di servizi di comunicazione elettronica. > > Certo è che quando agiscono da VPN concentratore fra i Blackberry e il > BES in azienda (che include un Blackberry Router che fornisce accesso a > tutte le risorse interne) la cosa si complica non poco. > Da documentazione, ma non da verifica indipendente essendo i protocolli > e i codici sorgenti chiusi, RIM non dovrebbe avere accesso ai dati in > transito (I BB client si collegano in IPPP alla rete RIM mentre i BES > server si collegano in SRP alla rete RIM.) > > Ma anche assumendo che non vi siano backdoor, legalmente come vogliamo > qualificare il servizio di "concentratore VPN" che RIM offre ai clienti > aziendali sotto BES? > > Fabio Pietrosanti (naif) > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List Bruce Schneier [1] cita da un punto la sicurezza che ofre il Blackberry e d'altro canto da un esempio (Russia, India, Cina) ove RIM ha datto "access". Per citare Schneier: "How did they do that? Did they put RIM servers in those countries, and allow the government access to the traffic? Did they pipe the raw traffic back to those countries from their servers elsewhere? Did they just promise to turn over any data when asked?" A questo punto, non credo che RIM non abbia accesso al plaintext. Che senso ha per le "inteligence" di uno stato avere accesso ad una communicazione cifrata? [1] http://www.schneier.com/blog/archives/2010/08/uae_to_ban_blac.html Panagiotis (atmosx) Atmatzidis email: [email protected] URL: http://www.convalesco.org GnuPG ID: 0xFC4E8BB4 gpg --keyserver x-hkp://pgp.mit.edu --recv-keys 0xFC4E8BB4 -- The wise man said: "Never argue with an idiot. They bring you down to their level and beat you with experience."
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
