Telegram zo lek als een zeef – Albert Kramer

Albert Kramer is veiligheidsspecialist van Trend Micro, een internationaal bedrijf gespecialiseerd in internetbeveiliging.

De hele heisa rond Telegram-hackers is een mooie illustratie van wat er allemaal fout kan gaan met de beveiliging van online communicatie.

Kort samengevat: je kan het beste slot ter wereld op je voordeur zetten, maar als je de sleutel er laat op zitten of gewoon onder de mat legt, is de kans toch vrij groot dat er vroeg of laat zal worden ingebroken. En als je het mij vraagt: eerder vroeg dan laat.

Maar eerst een stapje terug. Wat was er precies aan de hand? Eerder deze maand raakte bekend dat Iraanse hackers erin zijn geslaagd om verschillende accounts te kraken van Telegram, een platform waarmee men beveiligde (lees: versleutelde) berichten kan sturen en ontvangen.

Dit nieuws raakte wereldwijd verspreid om uiteenlopende redenen. Sommigen zagen hierin een duidelijk bewijs van Iraanse staatsinmenging in een poging om dissidenten en journalisten beter in de gaten te houden. Anderen zagen hierin goed nieuws, omdat ook terroristen blijkbaar graag van Telegram gebruikmaken.

Maar de belangrijkste reden waarom dit nieuws aandacht verdient, is volgens mij toch wel dat alweer een hardnekkige mythe wordt ontkracht: het gebruik van Telegram op zich is niét de ideale manier om veilig te communiceren. De gebruikers worden aangetrokken door de belofte dat de boodschappen worden versleuteld en daardoor dus niet kunnen worden gelezen, zelfs als ze worden onderschept. Op zich klopt dat, maar één essentieel detail wordt daarbij over het hoofd gezien.

Het betreft nochtans het basisprincipe van elke beveiligingscursus: je beveiliging is maar zo sterk als je zwakste schakel. De zwakste schakel is in dit geval niet de versleuteling van de boodschap en het beveiligd transport, maar doodeenvoudig de sleutel zelf. Wie in jouw account kan binnenbreken, heeft meteen ook de sleutel in handen om door jou gestuurde en ontvangen boodschappen te lezen. En wat blijkt? Die sleutel kan eenvoudig per e-mail of sms worden ontvangen, en dus ook onderschept.

Voor een hacker betekent dit concreet dat hij of zij de encryptiecode niet hoeft te kraken. Het volstaat om de e-mail of sms te onderscheppen waarin de gebruiker de toegangscode krijgt toegestuurd. Zo kunnen de hackers zelf inloggen en maakt het niet uit hoe geavanceerd de encryptie is: ze krijgen toch hetzelfde te zien als de gebruiker zelf. Of om het in mensentaal uit te drukken: Telegram mag dan nog het moeilijkst te ontmantelen slot hebben bedacht, als de sleutel onder de mat ligt, geraakt de inbreker nog altijd moeiteloos binnen.

Het is een waardevolle les voor onder meer journalisten en dissidenten die graag van Telegram gebruikmaken om op een veilige manier met elkaar en met de buitenwereld te communiceren zonder pottenkijkers van de overheid of andere instanties. Ja, hun boodschap is beveiligd van bij de verzending tot de aankomst. Maar het is veel eenvoudiger om de boodschap in niet-geëncrypteerde vorm bij verzender of ontvanger te vinden dan ze wellicht ooit hadden ingeschat.

Die boodschap is trouwens ook van toepassing voor wie graag de chat-functie van Facebook en WhatsApp gebruikt.

Ook hier is de encryptie van voldoende hoge kwaliteit om niet te moeten vrezen voor hackers die de boodschap onderscheppen op weg van verzender naar aankomst.

Maar alweer is het in vergelijking zeer eenvoudig om de inloggegevens van de gebruiker te bemachtigen en zo onbeperkt toegang te krijgen tot de accounts van wie de boodschappen zendt en ontvangt.

Een beetje ‘social engineering’ volstaat. Of wat medewerking natuurlijk van bevriende telecombedrijven die je de inhoud van de sms'en met de inloggegevens zomaar op een schoteltje bezorgen. Een gunst waarop sommige regimes ongetwijfeld al hebben kunnen rekenen.