Nokia ontsleutelt SSL-verkeer van gebruikers

| AE 4956 | Security | 32 reacties

nokia-xpress-browserDe Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn geïnformeerd. Dat schreef Webwereld vrijdag. Met die proxserver versnellen ze het verkeer naar mobiele apparaten, wat op zich handig is, maar dat bij versleuteld verkeer doen is opmerkelijk: alsof de taxichauffeur je koffers even opnieuw inpakt zodat het beter past in de achterbak. Maar is het verboden?

Het doel van de Nokia-proxy is dataverkeer versnellen. Dat doen er wel meer (Opera is er groot mee geworden) maar opmerkelijk bij Nokia is dat ze het ook doen voor beveiligd verkeer. Dat is bepaald niet de bedoeling, want beveiligd (SSL) verkeer is nu juist bedoeld om niet onderschept te kunnen worden. Maar ja, als je de browser controleert dan kun je zo ongeveer alles. Heel kort gezegd komt het erop neer dat Nokia’s proxy zich voordoet als je browser naar de site (van bv. je bank) toe, en naar jou toe zich voordoet als de bank. Daardoor denkt de browser (met dank aan een speciaal Nokiacertificaat) dat alles in orde is, en meent de bank gewoon met jou te communiceren. In securitytermen heet dit een “man in the middle attack”.

Is zo’n aanval strafbaar als je het als browserbakker doet? Ik zou geen wetsartikel weten eigenlijk. We hadden in 2011 een ietwat vergelijkbare discussie in de KPN DPI-affaire, waarbij het telecombedrijf met deep packet inspection-achtige technieken het verkeer van gebruikers analyseerde om onder meer te zien of men WhatsApp gebruikte. Dit leidde tot de netneutraliteitswet want dit moest toch écht niet kunnen.

Diverse partijen, waaronder ikzelf, hadden toen geroepen dat KPN de strafwet overtrad. Artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Dit artikel gaat nadrukkelijk niet alleen om het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf. Daarmee leek me óók DPI een strafbare zaak. Mar

Bovendien is er lid 2 van dit artikel, dat bepaalt:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

en zeker in de Nokia-situatie zie ik dit wel van toepassing zijn. Het enige doel (nemen we dan maar aan) is het netwerkverkeer versnellen, en dat valt toch wel onder “goede werking”. Een verwerking van persoonsgegevens lijkt het me ook niet echt, en voor zover het dat al zou zijn dan valt dit onder “uitvoering van de overeenkomst”. Wel behoort Nokia dan te melden dat ze dit doen, en het is opmerkelijk dat ze dit nergens documenteren. Maar juridisch gezien heet dat “een slordigheidje”, meer niet.

Ondertussen is Nokia zo geschrokken van de ophef dat ze nu gewoon geen SSL-verbindingen meer opzetten. De data wordt nog wel veilig opgehaald bij de beveiligde site, maar vanaf de Nokia-proxy onversleuteld doorgegeven. Eh. Dat is nou juist mínder handig. Update (15/1): Hoewel? Ze tunnelen https verkeer over deze onversleutelde verbinding. Zo komt het verkeer toch veilig aan.

Arnoud

Deel dit artikel

  1. Opera Mini doet precies hetzelfde – de Nokia Xpress browser is dan ook vooral ontwikkeld door Nokia om Opera Mini te vervangen op hun telefoons. Deze browsers werken ook op simpele besturingssytemen en hebben zelf geen complete browser-engine aan boord. De eerste versie van Opera Mini was zo’n 100kb groot 🙂

    Een verschil is wel dat Opera Mini dit aspect van de functionaliteit netjes vermeld in het ‘I Agree’ scherm bij de eerste keer opstarten, en in hun FAQ, met als uitsmijter:

    If you do not trust Opera Software, make sure you do not use Opera Mini to enter any kind of sensitive information.
    Overigens, Opera Mobile met de Turbo-functie aan, en Opera op de desktop met Turbo aan, sluizen SSL-verkeer niet door de Turbo-compressieservers.

  2. De Nokia Xpress browser voor Asha en Lumia-toestellen
    Nokia Lumia hebben als standaard brwoser IE9 of IE10. De Nokia Xpress browser is daar nog niet voor uitgebracht(is nu beta) maar wordt dan dus gewoon een app in de store en niet de standaard browser van Nokia Lumia’s.

    Ondertussen is Nokia zo geschrokken van de ophef dat ze nu gewoon geen SSL-verbindingen meer opzetten. De data wordt nog wel veilig opgehaald bij de beveiligde site, maar vanaf de Nokia-proxy onversleuteld doorgegeven. Eh. Dat is nou juist mínder handig.
    Maar is misschien wel duidelijk voor de gebruiker die nu geen slotje meer ziet die suggereert dat zijn verbinding versleuteld is.

    • Maar is misschien wel duidelijk voor de gebruiker die nu geen slotje meer ziet die suggereert dat zijn verbinding versleuteld is.

      De verbinding ís ook versleuteld, maar je praat niet met de partij waar je mee dacht te praten. En, simpel gezegd, dat weet je nooit zeker: zie de diginotar-affaire: je vertrouwt de houders van root-certificaten dat ze daar netjes mee omgaan. Éigenlijk zou je met de bank moeten beleln – of beter nog: langs moeten gaan – om te checken of het certificaat dat je browser krijgt wel het certificaat van de bank is. Maarja, niemand die dáár zin in heeft natuurlijk.

  3. Ik wil toch even de Convention on Cybercrime (zie HTML versie op de website van de council of europe) erbij halen, ondanks dat het international law is (en dus niet direct van toepassing is, zie ook de formulering):

    Ten eerste even een artikel dat hierover gaat, maar het niet strafbaar maakt (emphasis mine):

    Article 7 – Computer-related forgery

    Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right, the input, alteration, deletion, or suppression of computer data, resulting in inauthentic data with the intent that it be considered or acted upon for legal purposes as if it were authentic, regardless whether or not the data is directly readable and intelligible. A Party may require an intent to defraud, or similar dishonest intent, before criminal liability attaches.

    Echter, er is ook nog dit artikel:

    Article 3 – Illegal interception

    Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system. Merk op dat dishonest intent een optionele eis is! Ik leid daar uit af dat er landen zijn, waar dit toch zeker op de rand van de wet is. Naast natuurlijk het feit dat het moreel onacceptabel is. Aan de andere kant heb je als beheerder van je eigen hardware natuurlijk ook de verantwoordelijkheid om te zorgen dat je niet zomaar een arbitrair certificaat accepteert voor je bank.

    For reference: ratificatielijstje.

    Wellicht nog een andere interessante gedachte: als ik via zo’n verbinding bankzaken doe, pleeg ik dan contractbreuk? Vaak schrijven de algemene voorwaarden van banken dat je je toegang absoluut voor jezelf moet houden, en dat is hier niet langer het geval. Goed, er valt wellicht geen schade te verhalen, en er is ook nog two-factor authentication, maar er zijn ook voorbeelden te bedenken waar two-factor authentication niet van toepassing is.

    • Het Cybercrime-verdrag definieert alleen wat de lidstaten strafbaar moeten maken. Je mag niet op basis van deze tekst concluderen dat iets strafbaar is. Je moet dus echt in de relevante nationale wetten gaan kijken wat zij zeggen over termen als “dishonest intent”. Bij ons staat er “opzetteliljk en wederrechtelijk” bijvoorbeeld, dat is niet helemaal hetzelfde. Maar dat mag, er staat “may require”.

      Verder staat er “interception without right”. Nokia zal zeggen dat zij wél een recht heeft dit te doen, namelijk dienstverlening onder contract.

  4. De vergelijking met de taxichauffeur is goed gevonden, maar mist iets. Opmerkelijker dan dat Nokia SSL-verkeer ontsleutelt, vind ik dat de browser de indruk wekt dat de verbinding beveiligd is terwijl dat niet zo is. Dan zoek ik eerder in de oplichting-hoek dan in de telefoontap-categorie. Je wordt gewoon misleid. De taxichauffeur in je voorbeeld gaat niet alleen buiten zijn boekje door in je koffers te zitten, maar vooral door jou in de waan te laten dat hij niet aan dat grote hangslot heeft gezeten dat om je koffers zit.

    • Ja hij is wel goed gevonden, maar ik zou hem dichter bij huis houden.

      Je secretaresse opent altijd je post en sorteert het voor jou om af te handelen. Per procedure doet ze dit voor alles tenzij er persoonlijk & vertrouwelijk op staat. Nu heb je sinds kort een nieuwe secretaresse, en valt je het op dat de persoonlijk & vertrouwelijk post, ineens op de juiste plaats (per prioriteit) in de post staan… terwijl ze nog gewoon dicht zitten. Wat blijkt je secretaresse kijkt stiekem wat het is en maakt het weer netjes dicht. Nu is deze er op aangesproken… en nu laat ze de pakketjes gewoon open… (in plaats van ze niet open te maken… zoals afgesproken)

      Pak de zelfde anologie bij bellen, iemand luistert mee… en maar 1 partij van de twee weet dit… zodra beide partijen weten dat er iemand mee luistert, laat diegene in een keer aan het begin van een gesprek horen dat hij meeluistert…

      Toch jammer dat bedrijven zo doorschieten in hun gedachte om klanten te helpen…

  5. Het risico ontstaat vooral wanneer Nokia bij een HTTPS verbinding een vervalst certificaat accepteert, zoals er door DigiNotar gebeurde. De gebruiker zal dit niet opmerken en kan het ook niet meer opmerken omdat hij het originele certificaat niet kan zien. Dat betekent ook dat hij geen “Revoke” op het certificaat of de uitgever ervan kan doen en hij dus onveilige websites kan bezoeken doordat Nokia het certificaat heeft “vervalst”. Als Nokia daarbij ook nog even wacht met het revoken van het vervalste certificaat dan is dat voor de gebruikers erg onveilig aan het worden.

    Maar of het wettelijk wel of niet mag is iets wat juristen nog wel maanden bezig zal houden. 😉 Maar de consument heeft NU eigenlijk een oplossing nodig. Een oproep om Nokia om deze reden te boycotten heeft misschien wel meer effect dan juridisch getouwtrek. Consumentenbond maar even bellen?

    • Aan de andere kant zit er best wat in om een betrouwbare professionele partij de bewaking van https/SSL verkeer te laten doen. De gemiddelde webgebruiker heeft de ballen verstand van het hele certificatencircus (en de echte professionals weten hoeveel theater de CA’s opvoeren.) Iemand die weet hoe hij certificaten kan analyseren kan een (geautomatiseerde) dienst aanbieden waarmee vervalste (of anderszins dubieuze) certificaten gesignaleerd worden en daarmee de gebruikers van zijn dienst beschermen.

      Het grote verschil met Nokia is dat de gebruikers van zo’n dienst vooraf verteld wordt wat zo’n dienst doet. (En Nokia heeft nooit beloofd om een certificaatcheck beter te doen dan een willekeurige onbenul.)

      • Op deze manier geredeneerd bestaan er helemaal geen valse (digitale) sleutels. Ook de certificaten die met het gestolen diginotar-certificaat waren ondertekend, waren gewoon echt, net zoals de certificaten die ik zelf thuis aanmaak met mijn openssl toolkit. Waar het om gaat, is dat de volledige communicatieketen (tussen mij en de bank, bijv.) versleuteld is met een sleutel die ik zelf expliciet of impliciet vertrouw (of beter: waar ik zelf voor kan kiezen of ik ‘m vertrouw of niet). In het Nokia-geval gaat dat op 2 punten mank: – ik kan niet controleren of de communicatie tussen de bank en nokia vertrouwd is: proxy van nokia kiest voor mij; – ik kan er (waarschijnlijk) ook niet voor kiezen de communicatie tussen mijzelf en nokia al dan niet te vertrouwen: de ingebouwde browser kiest voor mij. In de communicatie met mijn bank zou ik er bijvoorbeeld ook de voorkeur aan geven dat de bank een door mijzelf ondertekend certificaat gebruikt om zich aan mij bekend te maken (ervan uitgaande dat ze met het door mij ondertekende certificaat net zo zorgvuldig omgaan als met het door VeriSign, Inc. ondertekende certificaat).

        • Een sleutel is vals als deze nagemaakt is of buiten de geautoriseerde doelen wordt gebruikt. Als ik met de sleutel van mijn vorige huis daar vandaag naar binnen ga, is dat “met valse sleutel binnentreden”. Ik mag die sleutel niet meer gebruiken, ook al heb ik ’t stuk metaal fysiek nog in bezit.

          Een certificaat dat pretendeert van Google.com te zijn is dus vals als het in werkelijkheid van Nokia is. Maar een certificaat dat zegt van Nokia te zijn én dat ook werkelijk is, lijkt me geen valse sleutel. Het is een beveiligingsfout dat dit wordt geaccepteerd bij een verbinding met de bank of Gmail, en in dit geval was het een technische ingreep van Nokia (eigen root cert in de browser zetten) dat die fout werkte. Zo zou ik het duiden.

          De vraag blijft echter, is er sprake van binnendringen? Als ik een laptop koop en die is voorzien van een backdoor geïnstalleerd door leverancier Dell, is Dell dan binnengedrongen? Of schrijven we dat af als proactieve customer support, handig voor remote reinstalls als ik bel omdat ik weer eens het wachtwoord vergeten ben?

          • Als je een laptop koopt met een geïnstalleerde backdoor, zou ik zeggen dat dag geen binnendringen is. Pas als de verkoper van die backdoor gebruik maakt kan daar sprake van zijn. De backdoor is immers al geïnstalleerd voordat jij de eigenaar bent geworden.

            Ik zie overigens niet hoe dit relevant is voor dit onderwerp. Het ontsleutelen en opnieuw versleutelen van de gegevens gebeurt op de computers van Nokia, niet op jouw eigen computer. Verder bekijkt voor zover bekend Nokia de gegevens niet, slaat ze niet op en veranderd ze niet anders dan opnieuw versleutelen, wat voor de geboden functionaliteit gewoon een noodzaak is (was).

            Het is niet zo handig wat ze deden en wat ze nu doen nog minder, maar strafbaar? Ik zie niet hoe. En werkt het echt? Ik heb opera kort op mijn telefoon gehad, die doet hetzelfde, maar ik merkte echt geen verschil met chrome voor android in snelheid.

          • De term wederrechtelijk wordt aan dergelijke artikels toegevoegd om te voorkomen dat partijen die wel een grond hebben zich schuldig maken aan het delict. De term houdt niet in dat het mag tenzij het met een ander wetsartikel strafbaar is gesteld. Ik kan me hier geen andere grond dan de toestemming van de betrokkenen bedenken op grond waarvan de provider op deze wijze mag binnendringen.

            Een zijpad: kun je aangeven waarom jij vond dat het lezen van kersttoespraak wederrechtelijk zou zijn?

            • Je hebt gelijk, het is niet zo simpel als “het moet ergens anders strafbaar zijn”. Er moet een grond zijn, en toestemming is de meest logische grond. Maar het leveren van een kwalitatief goede dienst lijkt me een prima argument om in beginsel ook zonder toestemming in data te mogen kijken. Zeker gezien 139 lid 2 dat er expliciet naar verwijst: “ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.” Maar nou goed, of dat echt moet voor een “goede werking” is zeer discutabel dus laten we zeggen dat het wel degelijk wederrechtelijk is.

              Wel vraag ik me ondertussen af waar Nokia in binnendringt. Bij de gebruiker niet, dat certificaat stond er vanaf moment nul op. Bovendien doet Nokia niets op die telefoon. De telefoon zendt en ontvangt. De proxyserver is van henzelf, en je eigen apparatuur kun je niet hacken. Bij de bank/Gmail/etc dan? Maar nergens wordt de login misbruikt of gekaapt door Nokia. Alle initiatief ligt en blijft liggen bij de eindgebruiker.

              Het binnendringen in de RVD-server leek mij wederrechtelijk omdat ik geen reden analoog aan “goede werking” kon bedenken en ook geen andere. Ja, héél misschien een stukje vrije nieuwsgaring, onder het mom “het zal toch niet wáár zijn dat ze zo dom zijn”. Uitoefening van een grondrecht kan de wederrechtelijkheid ontnemen aan een feit, oftewel een journalist met duidelijk doel mág binnendringen. Hoewel ook wel wordt betoogd dat je dat pas in de straftoemeting moet afwegen (wel schuldig aan computervredebreuk maar geen straf). Het praktisch gevolg van het verschil is dat je in de tweede lijn een strafblad krijgt.

              • “Goede werking” bestaat uit meer dan alleen een goede doorvoersnelheid. “Goede werking” omvat ook dat dat wat vertrouwelijk en versleuteld is ook versleuteld blijft. Als beide aspecten niet tegelijkertijd te realiseren zijn mag de provider niet op eigen houtje kiezen om de vertrouwelijkheid te verbreken om op die manier de doorvoersnelheid te verbeteren zonder dat iedere keer dat die vertrouwelijkheid verbroken wordt dit duidelijk kenbaar te maken aan de gebruikers. Dat laatste is bijzonder moeilijk omdat bij het onderbreken van een SSL-verbinding zowel server als client belang hebben in de vertrouwelijkheid en beide zijden geïnformeerd behoren te worden over het verbreken van de vertrouwelijkheid. Nokia kan in deze denken toestemming te hebben voor de webbrowser van de gebruiker, maar Nokia heeft niet de instemming van de partij die de webserver beheert.

              • Dat er mogelijk spraken is van een uitzondering zoals bedoelt in art. 139 lid 2 BW betekent niet dat daarmee grond is om een ander delict te plegen. Er kunnen gronden zijn waarop er mag worden binnen gedrongen in een huis, maar dat betekent niet dat de inboedel vervolgens mag worden meegenomen.

                Artikel 138ab Sr stelt het binnendringen in een geautomatiseerd werk strafbaar. Het vertrouwelijk HTTPS-verkeer zie ik als zo’n geautomatiseerd werk. Het systeem van de bank ook. Ik heb eerder heel handig de vier criteria, waaronder in ieder geval spraken is van binnen dringen, achter elkaar geplaatst in een zin. Van deze vier is slechts eentje gedeeltelijk betwist, terwijl er voor deze zekerheid maar eentje nodig is.

                Heel kort gezegd komt het erop neer dat Nokia’s proxy zich voordoet als je browser naar de site (van bv. je bank) toe, en naar jou toe zich voordoet als de bank. Daardoor denkt de browser (met dank aan een speciaal Nokiacertificaat) dat alles in orde is, en meent de bank gewoon met jou te communiceren. In securitytermen heet dit een “man in the middle attack”.

                a) Van binnendringen is in ieder geval spraken wanneer beveiliging wordt doorbroken. Dat gebeurt is omdat men de vertrouwelijke gegevens krijgt ondanks dat er beveiligde verbinding wordt opgezet. b) Van binnendringen is in ieder geval spraken wanneer men een technische ingreep pleegt. Het installeren van een proxy is zo’n technische ingreep. c) Van binnendringen is in ieder geval spraken wanneer men valse signalen of een valse sleutel gebruikt. Zelfs als het certificaat niet te kwalificeren is als valse signalen of een valse sleutel, dan het lezen en opnieuw verzenden van de bankinloggegeven van de klant dat wel. d ) Van binnendringen is in ieder geval spraken wanneer men een valse hoedanigheid aanneem. Doordat de proxy de bankgegevens verzend alsof ze de klant is neemt Nokia een valse hoedanigheid aan. De bank denkt tenslotte met haar klant te communiceren, terwijl dit in werkelijkheid niet rechtstreeks het geval is.

                P.S. Ik had art. 8 EVRM hier nog klaar liggen.

              • Maar het leveren van een kwalitatief goede dienst lijkt me een prima argument om in beginsel ook zonder toestemming in data te mogen kijken. Zeker gezien 139 lid 2 dat er expliciet naar verwijst: “ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.”

                Dat lijkt mij eerlijk gezegd helemaal geen goed argument. Ik snap dat het zo in de wet staat maar dan vind ik eerder dit wetsartikel idioot en veel te ruim opgesteld. De postbode mag toch ook brieven van mijn bank niet openen ook al zou dat de postbezorging efficiënter maken, en daar kan je niet eens iemands rekening mee plunderen.

                Je hebt het over de grote ophef maar ik vind dat er eerder te weinig ophef over is geweest.
                Betalingsverkeer ontsleutelen lijkt me zo’n extreem grote inbreuk dat daar mag wel wat sterkere argumentatie tegenover staan dan ‘het maakt de verbinding 0,15 seconden sneller’, laat staan dat wij die argumentatie dan ook nog serieus gaan nemen en en met een serieus gezicht heel genuanceerd gaan zitten doen… een beetje oprechte volkswoede+vervolging lijkt me een vele malen proportionelere reactie gezien de ernst van dit feit.

  6. Er zijn de nodige bedrijven die ook al het SSL verkeer ontsleutelen en her-versleutelen in hun proxy-servers. Vaak opgezet in het kader van protectie tegen downloaden van malware. Hoe zit het daarmee? Heb dit verschillende keren meegemaakt en kan me niet herinneren dat ik ooit door het een van die bedrijven hier expliciet op gewezen ben.

  7. Nog een keer inhaken op het “goed technisch werken” argument.

    Ook zonder deze proxy werkt het internet goed. Het is dus niet noodzakelijk! Ik ben dan ook van mening dat die tweede zin lid 3) niet opgaat. Je hebt ook zonder deze proxy een goede werking. Klaar. punt. uit.

    Het enige wat ze zouden kunnen aanvoeren is dat de telefoon niet genoeg CPU power heeft om SSL verbindingen te decrypten en dat ze feitelijk telefoon-hardware met slechte specificaties verkopen. Jaja, dat gaat ze goed doen. Ik zie samsung al lachen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS