Het internet lijkt te klein: BlackBerry’s CEO verklaart te gehoorzamen aan databevragingen door politie en Justitie. Maar dat doet het al jaren, net zoals Apple. En het trekt wel degelijk grenzen, net zoals Apple. Het komt voor velen nogal vreemd over: BlackBerry dat juist bekend staat om zijn goed beveiligde smartphonecommunicatie zegt dat het gebruikersgegevens gehoorzaam afstaat aan opsporingsdiensten. CEO John Chen van BlackBerry begint zijn open brief weliswaar met “doen wat juist is” en de verzekering dat het beschermen van klantenprivacy een kernprincipe is van het Canadese bedrijf.
 

Wel/geen bekentenis

Vervolgens geeft hij aan dat het moeilijk is om het juiste te doen in moeilijke situaties. BlackBerry wil doen wat goed is voor burgers, maar dan wel binnen juridische en ethische kaders. Hij herhaalt het standpunt van BlackBerry dat techbedrijven als goede ‘burgers’ moeten voldoen aan redelijke toegangsverzoeken van wetshandhavers. De nuance van ‘redelijk’ is echter van groot belang.
 

Critici horen dat BlackBerry zomaar gebruikersdata weggeeft

Critici en doemdenkers hebben Chens mededeling opgevat als een bekentenis dat BlackBerry de veilig geachte communicatie van zijn gebruikers blootstelt aan overheden en opsporingsinstanties. De aanleiding voor de open brief is namelijk het nieuws dat de Canadese politie al jarenlang een ‘loper’ heeft voor de versleuteling van BlackBerry-berichten. En dat terwijl Chen vorig jaar nog stelde dat de focus op security de redding voor de noodlijdende smartphonepionier zal zijn.
 

Woorden, daden en grenzen

Mooie woorden, maar zonder daden? Diverse media berichten dat BlackBerry hiermee duidelijk in contrast staat met Apple, dat zich met hand en tand verzet heeft tegen de FBI. De werkelijkheid ligt lastiger. Ten eerste heeft Apple ook aan verzoeken van politie en Justitie voldaan. Alleen trekt de iPhone-maker een grens bij het onredelijk geachte verzoek voor een algemeen kraakmiddel, wat zou neerkomen op een bruikbare backdoor met alle uitlekrisico’s van dien.
 

BlackBerry dreigde eerder al te vertrekken uit landen als Pakistan

BlackBerry heeft zo eerder ook al grenzen getrokken en zich daar aan gehouden. Zo heeft het voet bij stuk gehouden in landen als Pakistan en de Arabische Emiraten, tot het punt dat het die markten daadwerkelijk zou verlaten. Het ging hier om - onredelijk geachte - eisen vanuit de overheden voor een algemene backdoor, wat BlackBerry dus te ver ging. Net zoals bij Apple. Uiteindelijk heeft dat blufpoker van BlackBerry succes gehad: Pakistan en de Emiraten zijn bijgedraaid.
 

Zakelijk versus consument

Bovendien is het nieuws nu over de Canadese BlackBerry-toegang eigenlijk geen nieuws. Het betreft een oude mafiazaak waar jaren terug al over is bericht, inclusief de BlackBerry-toegang. De exacte manier van de communicatie-aftapping is toen niet bekendgemaakt en cruciale details zijn nu nog altijd niet duidelijk. Wel is bekend dat het niet gaat om de geroemde beveiliging van BlackBerry’s BES (BlackBerry Enterprise Server), bedoeld voor zakelijke gebruikers.

Het gaat om de ‘consumentenvariant’ BIS (BlackBerry Internet Service), die minder veilig is, zoals de leverancier zelf ook meldt in zijn documentatie. Bovendien loopt het BIS-dataverkeer via servers van BlackBerry die dan bij wet gedwongen kan worden om te voldoen aan data-opvragingsverzoeken. Verder gebruikt BIS een algemene meestersleutel voor de encryptie van berichten op alle toestellen. De Canadese politie bevestigt dat het een geldige encryptiesleutel heeft gebruikt waarmee het BBM-verkeer (BlackBerry Messenger) is ontsleuteld.
 

Universele loper

De opsporingsdiensten hebben geen 'loper' in handen voor BlackBerry's versleuteling

Het is echter niet bekend hoe die sleutel in handen van de wetshandhavers is gekomen. De Canadese politie kan mogelijk eigen kraakcapaciteiten hebben ingezet. Net zoals de Amerikaanse politiediensten, de machtige spionagedienst NSA maar ook het Nederlandse NFI (Nederlands Forensisch Instituut) naar verluidt doen. Daarbij zit de duivel in de details, zoals geïnstalleerde software of apps, de toestelconfiguratie en het wachtwoordgebruik. Zo zou het NFI ook hulp hebben gehad van het forensische bedrijf Cellebrite, dat recent werd genoemd als mogelijke hulp in de geruchtmakende iPhone-zaak van de FBI.

BlackBerry-CEO Chen bevestigt noch ontkent nu dat zijn bedrijf het krachtige middel van de meestersleutel zou hebben overgedragen aan de Canadese politie. Mogelijk mág hij daar geen mededelingen over doen, bijvoorbeeld vanwege een Justitieel verbod om details over deze zaak te verschaffen. Amerikaanse opsporings- en inlichtingendiensten gebruiken dergelijke geheimhoudingsverplichtingen waarbij de zwijgplicht zelf ook geheim moet worden gehouden.