Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Blackberries Sicherheits-Architektur

Seite 2: Untersucht

Inhaltsverzeichnis

Die Blackberry-Nachrichtenverschlüsselung wurde sowohl in oben angeführten, österreichischen Studie [2] als auch in einer weiteren Studie der Firma @stake [3] analysiert (die sich bereits durch die Aufdeckung diverser Bluetooth-Sicherheitslücken einen Namen gemacht hat) und für gut befunden. @stake disassemblierte im Auftrag von RIM sogar den BES, um Implementierungsfehler (wie Anfälligkeiten für Pufferüberläufe) zu entdecken, fand aber keine Schwächen.

Die ominöse Wolke

Eine Komponente wird in der Blackberry-Dokumentation jedoch recht stiefmütterlich behandelt: die so genannte 'Blackberry Infrastructure'. Dieser Begriff taucht im Security Whitepaper unvermittelt und ohne weitere Definition auf und bezeichnet wohl die Komponente, die in der unten stehenden Grafik mit der hellgrauen Wolke dargestellt wird. Zur 'Blackberry Infrastructure' ist auf der gesamten Blackberry Website (www.blackberry.net) keine weitere Erklärung zu finden. Eine Ahnung von der Struktur der Blackberry Infrastructure bekommt man erst, wenn man sich mit den jüngst gegen den Blackberry-E-Mail-Push-Dienst erhobenenen Vorwürfen beschäftigt.

In einem Artikel der Computerwoche [4] formulieren Audi und andere Bedenken wegen der Tatsache, dass der gesamte Blackberry-Nachrichtenverkehr (und damit alle Push E-Mails) über einen von drei weltweiten Mobilfunkroutern geleitet werden. Der für den europäischen Verkehr zuständige Router steht in London, die anderen beiden in Kanada und Asien. Dieser Mobilfunkrouter ist somit der einzige bekannte Bestandteil der Blackberry Infrastructure in unten stehender Grafik; ob es noch weitere Komponenten gibt, ist unklar. Vom funktionalen Standpunkt ist der Mobilfunkrouter ausreichend und plausibel; er muss schließlich darüber entscheiden, in welches Mobilfunknetz die jeweilige Nachricht gepusht wird.

Der Datenverkehr des Blackberry-E-Mail-Push-Dienstes wird über einen von drei zentralen Mobilfunkroutern geleitet. Der für Europa zuständige Router steht in London, zwei weitere stehen in Kanada und Asien.

Die Vorwürfe gegen RIM haben somit im Wesentlichen einen nicht-technischen Hintergrund. Man befürchtet, dass der britische Geheimdienst direkten oder indirekten (über einen Internet-Knoten nahe am Mobilfunkrouter) Zugriff auf die Blackberry-Nachrichten hat, und diesen Zugriff für Industriespionage zu Ungunsten anderer europäischer Länder nutzen könnte.

Allerdings bekommt man dort theoretisch ohnehin nur verschlüsselte Nachrichten zu sehen. Somit implizieren die Vorwürfe, dass die Blackberry-Sicherheitsarchitektur entweder (unbeabsichtigt) fehlerhaft ist oder dass sie bewusst eine Hintertür beispielsweise in Form eines geheimen Generalschlüssels für Abhöraktivitäten des Geheimdienstes enthält. Ersteres lässt sich nie mit absoluter Sicherheit ausschließen, auch wenn die Blackberry-Sicherheitsarchitektur einen sehr professionellen Eindruck erweckt, State-of-the-Art-Technologien verwendet, und im Reverse Engineering von @stake [3] nichts Auffälliges gefunden wurde. Ob man Letzteren tatsächlich vertrauen möchte, ist im Wesentlichen eine Frage des individuellen Sicherheitsbewusstseins. Aber @stake hat zumindest in der Branche einen guten Ruf zu verlieren, den man wohl kaum für ein Gefälligkeitsgutachten aufs Spiel setzen würde.

Bereits wenige Tage nach Erscheinen des Artikels in der Computerwoche reagierte RIM denn auch mit einer Gegendarstellung [5]. Die Vorwürfe drehen sich zum Beispiel um den Administratorzugriff, den der BES innerhalb der Firmendomäne habe. Audi behauptet, "RIM sei in der Lage, sich jederzeit auf der Basis von Administratorenrechten Zugang zu den Firmen-Mails zu verschaffen". Dies ist insbesondere bedenklich im Zusammenhang mit der permanenten Verbindung, die der BES mit der Blackberry Infrastructure mittels des 'Server Routing Protocols' hat, da hierfür ein Port in der Firewall permanent geöffnet sein muss.

Der Vorwurf impliziert, zumindest der BES enthalte eine Hintertür zugunsten von RIM beziehungsweise des Geheimdienstes. Dementsprechend heftig fällt die Antwort von RIM aus. Die Existenz einer Hintertür wird darin kategorisch verneint. Allerdings gesteht RIM ein, dass der Account selbst existiert: "Sie [BES] nutzt einen Service Account, der vom Kunden mit bestimmten administrativen Rechten ausgestattet wird, um mit den E-Mails und Daten der Endanwender zu interagieren". Das klingt etwas unscharf, wünschenswert wären eine klarere Definition der "bestimmten Rechte" und insbesondere Anleitungen, wie man diese unter Umständen abhängig von der eingesetzten Mail-Server-Software minimieren kann, um die verständliche Besorgnis der Administratoren zu beruhigen.

Des Weiteren wird im Artikel behauptet, es existiere in Großbritannien ein so genannter 'Welfare Act', der es den britischen Sicherheitsbehörden ermögliche, im nationalen Interesse Zugriff auf geschützte IT-Infrastrukturen zu erlangen. Das klingt nach einem Persilschein für Industriespionage im britischen Interesse. RIM weist in seiner Antwort darauf hin, dass ein 'Welfare Act' in Großbritannien als Gesetz nicht existiere, und äußert die Vermutung, es handele sich um den so genannten Regulation of Investigatory Powers Act 2000. Doch dieser RIP Act stelle keine Bedrohung für sensible Daten dar, da man ohnehin keinerlei Zugriff auf Blackberry-Klartextdaten habe, also diese selbst auf Anforderung gar nicht bereitstellen könne.

Das BSI hat auf Nachfrage von heise Security seine mehrfach zitierten Bedenken konkretisiert. Diese beziehen sich demnach auf die nicht vorhandene Möglichkeit, den Verschlüsselungsalgorithmus AES beispielsweise gegen die BSI-Eigenentwicklung Libelle auszuwechseln. Das wäre Voraussetzung für Hochsicherheitslösungen für den Einsatzbereich "Streng Geheim", etwa bei der verschlüsselten Kommunikation mit den deutschen Botschaften. Ein Gerät für den Massenmarkt wie den Blackberry kommt jedoch für solche Einsatzszenarien ohnehin nicht in Frage. Und dass eine Behörde, die sich auftragsgemäß zumindest mit der Abwehr von Spionage beschäftigt, die RIM-Kommunikationszentrale statt in London lieber im eigenen Einflussbereich sähe, verwundert bei näherer Betrachtung auch nicht.

Der Blackbery-Hersteller RIM liefert ein solides Produkt mit einer professionellen Sicherheitsarchitektur und positiven Ergebnissen im Sicherheits-Review. Kernpunkt der ernst zu nehmenden Kritik ist sicherlich der dauerhafte RIM-Zugang zum Firmen-Mail-Server, über den RIM theoretisch Zugang zu internen Mails erlangen könnte. Dies impliziert jedoch einen Implementierungsfehler oder eine bewusst eingebaute Hintertür, mit deren Hilfe sich die Geheimdienste Zugang zu den Klartext-Nachrichten verschaffen könnten. Derartige Spekulationen kann man natürlich bei jeder eingesetzten Software anstellen, es fanden sich jedoch bisher keinerlei konkrete Indizien geschweige denn Beweise für die Existenz solcher Hintertüren.

Weitere Informationen:

[1] Blackberry Security White Paper Release 4.0 von Research in Motion

[2] Sicherheitsanalyse - Blackberry Mobile Data Service des Zentrums für sichere Informationstechnologie - Austria

[3] Blackberry by Research in Motion: An @stake Security Assessment' von @stake

[4] Wirft Audi seine Blackberrys raus?, Martin Bayer, Computerwoche, 8. Juni 2005

[5] Corporate Statement, Statement von RIM zu den Vorwürfen in der Computerwoche (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten