Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 249 reacties

John McAfee, oprichter van McAfee, heeft aangeboden om de iPhone die gevonden werd bij de schietpartij in San Bernardino te ontsleutelen. Hiermee wil hij voorkomen dat Apple backdoors hoeft te maken voor zijn software en spreekt zijn steun uit net als Facebook en Twitter doen.

McAfee spreekt zich op Business Insider sterk uit tegen de FBI. Volgens McAfee kan hij samen met een groep hackers binnen drie weken de encryptie van de telefoon omzeilen. Hij gebruikt zijn artikel op Business Insider verder als platform om kritiek te leveren op de werkwijze en onkunde van de FBI zelf. Mocht het hem niet lukken, dan belooft hij zijn schoen op te eten. McAfee doet momenteel mee als presidentskandidaat in de Verenigde Staten voor de libertarische partij. McAfee heeft zelf geen hand meer in de beveiligingssoftware van dezelfde naam.

McAfee is een sterk voorstander van het behoud van encryptie en claimt dat hij het aanbod doet om te voorkomen dat de installatie van backdoors in smartphones een realiteit wordt. Hiermee sluit hij zich aan bij andere partijen die zich achter Apple scharen in de discussie rond de iPhone die vermoedelijk gebruikt is door een van de schutters. Apple weigert de auto-erase-functie uit te schakelen en het mogelijk te maken om via de externe poort passcodes naar de iPhone te sturen zonder aanvullende vertraging.

Nadat Google eerder al zijn steun uitsprak voor Apples standpunt hebben nu ook de topmannen van WhatsApp, Twitter en Facebook zich achter Apple geschaard. Ceo en medeoprichter van WhatsApp Jan Koum heeft op Facebook bekendgemaakt het eens te zijn met alles wat Tim Cook zegt in de open brief. Twitter-ceo en medeoprichter Jack Dorsey laat het zelfde weten op Twitter. Facebook zelf liet aan verschillende media weten te strijden tegen de eisen dat encryptie wordt verzwakt. Ook Microsoft heeft gezegd dat het zich afzet tegen het idee om achterdeurtjes te installeren, maar spreekt geen specifieke steun uit voor Apple in een bericht via Reform Government Surveillance, een groep waar Microsoft onderdeel van is.

Moderatie-faq Wijzig weergave

Reacties (249)

Als hij de encryptie kan kraken in 3 weken, wat maakt het dan nog uit of er een backdoor is? Als er toch al een methode is om te kraken dan kan de FBI die de volgende keer ook gebruiken...
Er is een fundamenteel verschil wat ik het best uitgelegd heb gezien de afgelopen dagen door dit lid vh congress:

https://lieu.house.gov/me...atement-apple-court-order
This FBI court order, by compelling a private sector company to write new software, is essentially making that company an arm of law-enforcement. Private sector companies are not—and should not be—an arm of government or law enforcement.

This court order also begs the question: Where does this kind of coercion stop? Can the government force Facebook to create software that provides analytic data on who is likely to be a criminal? Can the government force Google to provide the names of all people who searched for the term ISIL? Can the government force Amazon to write software that identifies who might be suspicious based on the books they ordered?

Forcing Apple to weaken its encryption system in this one case means the government can force Apple—or any other private sector company—to weaken encryption systems in all future cases. This precedent-setting action will both weaken the privacy of Americans and hurt American businesses. And how can the FBI ensure the software that it is forcing Apple to create won’t fall into the wrong hands? Given the number of cyberbreaches in the federal government—including at the Department of Justice—the FBI cannot guarantee this back door software will not end up in the hands of hackers or other criminals.
Dit geval is een door de FBI zeer politiek gekozen case. De meest vocale voorstander van een backdoor wordt gedwongen een backdoor te maken door 'chantage' met een terrorisme-case. Het werkt zelfs op tweakers lijkt het...

edit: nog een overzicht, met een verwachtte twist:
http://www.nytimes.com/20...-san-bernardino.html?_r=0
Hierin wordt duidelijk het politieke deel van de zaak toegelicht. De twist zit 'm in een retractie door de ny times van een paar alinea's over de mogelijke gevolgen in China van deze actie:
http://daringfireball.net/linked/2016/02/18/nyt-china-apple
China is watching the dispute closely. Analysts say the Chinese government does take cues from United States when it comes to encryption regulations, and that it would most likely demand that multinational companies provide accommodations similar to those in United States.

Last year, Beijing backed off several proposals that would have mandated that foreign firms providing encryption keys for devices sold in China after heavy pressure from foreign trade groups. …

“… a push from American law enforcement agencies to unlock iPhones would embolden Beijing to demand the same.”
en
I have no idea why The Times removed this, because it’s one of the most important but so far least talked about issues in this case. U.S. culture is in many ways insular, making it easy to see this as a “U.S.” issue. But it’s not — it’s a worldwide issue.

I’ve long wondered why China allows companies like Apple to sell devices without back doors for their government. A big part of why they tolerate it seems to be the fact that no government gets this.

[Reactie gewijzigd door curumir op 19 februari 2016 12:36]

Heel simpel. De software is er al en heet iOS. Apple is gevraagd om een speciale versie van iOS te maken die alleen op deze ene telefoon kan worden gedraaid:

https://blog.trailofbits....with-the-fbi-court-order/

Quote:
As a remedy, the FBI has asked for Apple to perform the following actions on their behalf:

[Provide] the FBI with a signed iPhone Software file, recovery bundle, or other Software Image File (“SIF”) that can be loaded onto the SUBJECT DEVICE. The SIF will load and run from Random Access Memory (“RAM”) and will not modify the iOS on the actual phone, the user data partition or system partition on the device’s flash memory. The SIF will be coded by Apple with a unique identifier of the phone so that the SIF would only load and execute on the SUBJECT DEVICE. The SIF will be loaded via Device Firmware Upgrade (“DFU”) mode, recovery mode, or other applicable mode available to the FBI. Once active on the SUBJECT DEVICE, the SIF will accomplish the three functions specified in paragraph 2. The SIF will be loaded on the SUBJECT DEVICE at either a government facility, or alternatively, at an Apple facility; if the latter, Apple shall provide the government with remote access to the SUBJECT DEVICE through a computer allowed the government to conduct passcode recovery analysis.

De soep wordt dus niet zo heet gegeten als hij wordt opgediend. Ik snap ook werkelijk het bezwaar niet.
Ja dat is leuk, en als ze daar dat even wat mensen op zetten dat stukje de-compilen en de identifier variable maken........ je geeft ze de 'keys to your kindom' die alleen maar op 1 deur werkt.. geeft ze wat tijd en het werkt op alle deuren.. Nou snap ik dat dit natuurlijk van het slechtste geval uitga, maar kom op, we hebben gezien waartoe de NSA in staat is, dit is nou niet echt heel erg vergezocht.
Nee elke vorm van 'kraken' die aan de overheid word geleverd is er 1 te veel. Tuurlijk kunnen ze het vragen, maar bij de 1ste de beste nee, moeten ze ook ophouden. Dit zou inderdaad een voorbeeld zetten, waarbij een volgend 'bevel' er gewoon doorheen word gedrukt want bij terrorist-x kon het ook.. Geef ze een vinger... en je arm is ook weg.
Het probleem is dat als er een eerste keer komt, dat dit niet de enige keer zal zijn. Apple moet het mogelijk maken dat dit technisch mogelijk is. Volgende week vraagt de FBI weer zo'n SIF aan voor een "potentieel" terrorist. De week daarna weer, en de dag daarna weer, en zo meer en meer. Maar tegen die tijd kijken we er allemaal niet van op en is het mandje lek.
Overigens zoals het zelfde artikel uitlegt werkt *deze* hack alleen op de iPhone 5c en ouder. Niet bij nieuwere iPhones.
Wat McAfee volgens mij nu doet is Apple de mogelijkheid bieden om zonder gezichtsverlies te leiden die designfout in het beveiligingssysteem de dichten.

Het gaat hier duidelijk meer om principes dan over een echte backdoor. Het gaat hier over de toekomst van onze beveiliging en hoe we met dreiging omgaan in onze toekomst. Dit is een showtoneel van langs beide kanten. Beide partijen vertellen niet de volledige waarheid. Tim Cook verzwijgt momenteel het feit dat iOS niet 100% waterdicht is en de Amerikaanse overheid verzwijgt dat het eigenlijk niet over deze specifieke telefoon gaat.

De kans dat de FBI de informatie kan lezen zelfs als deze hack lukt is miniem. De denkoefening die de FBI heeft gemaakt zou in theorie kunnen werken en dat is net grote probleem met deze zaak. De veiligheidsdiensten hebben gewoon gewacht op een zaak die voor Apple heel moeilijk te verdedigen zou zijn om een case te maken tegen beveiliging in smartphones. De iPhone beveiliging blijkt zo goed in elkaar te zitten dat de veiligheidsdiensten binnenkort totaal niet meer in de toestellen van verdachten kunnen geraken. Het lijkt me dat het hacken van die telefoon ook voor de FBI niet onmogelijk is. Men doet gewoon alsof om de publieke opinie te doen keren.

Het gaat hier over een fout die Apple in het beveiligingsproces heeft over het hoofd gezien en die fout is dat je momenteel (in principe) software op de chips kan zetten zonder toestemming van de gebruiker. De veiligheidsdiensten hebben dit ontdekt maar beseffen dat als in volgende versies dit aangepast wordt het echt onmogelijk wordt om in iPhones binnen te dringen Men wil gewoon Apple het onmogelijk maken om die fout te fiksen door onderandere een wet door te voerenn die het onmogelijk maken om telefoons 100% te beveiligen. Het gaat de FBI niet echt om de informatie op deze telefoon. Het gaat hierover een zeer gevoelige user case die de overheid aan het publiek presenteert omdat ze beseffen dat als Apple die fout dicht ze nooit meer in onze telefoons zullen geraken. Daarom wil men zo'n backdoor kunnen behouden.

Als je vanuit een doemscenario het probleem van de veiligheidsdiensten bekijkt hebben zij ook een punt. Als Apple deze fout dicht zou kunnen timmeren zouden ze bijvoorbeeld geen nucleaire aanslag kunnen voorkomen als ze de telefoon van zo'n terrorist te pakken krijgen nog voor de aanslag heeft plaats gevonden. Maar langs de andere kant betekend zo'n backdoor dat in principe niet enkel de Amerikaanse veiligheidsdiensten in onze toestellen kunnen maar in theorie ook iedereen.

Deze zaak draait niet rond deze aanslag of de beveiliging die vandaag op de iPhone staat maar over de dreiging van morgen en de beveiliging van al onze toestellen.

[Reactie gewijzigd door monojack op 19 februari 2016 17:01]

Op andere websites wordt geschreven dat McAfee alle vertrouwen in social engineering heeft.

http://appleinsider.com/a...terrorists-criticizes-fbi
The former antivirus creator believes his team would be able to decrypt the information from the iPhone 5c at the center of the case within three weeks. He believes they will be able to unlock the iPhone "primarily" with social engineering.
De betreffende terrorist is toch dood? Hoe kun je er dan met social engineering achter komen? Je kunt natuurlijk de voor de hand liggende combi's adhv sociale profielen proberen, maar dat mag maar een beperkt aantal keer. Dat zul je toch echt moeten kraken voordat je dit gaat doen, en als je dat kan dan kun je net zo goed een bruteforce aanval starten.
Ze kunnen wellicht de chips los solderen en uitlezen en pas daar de attack op uitproberen.
Nee dit werkt niet aangezien de data ge-encrypt is op de chips
Met mijn beperkte kennis op dit terrein schieten dezelfde vragen mijn hoofd. Misschien (of waarschijnlijk) weet McAfee iets wat wij niet weten.
McAfee doet momenteel mee als presidentskandidaat in de Verenigde Staten
McAfee probeert mee te liften op de onrust die dit veroorzaakt heeft. Ordinair gevalletje van lijkenpikkerij (imho)
Inderdaad, hij is presidentskandidaat (staat zelfs in het artikel) en springt op de kar van deze al bj al kleine rel. #mediaexposure #mediahoer
Hij hoeft toch niet met de FBI te delen hoe hij het voor elkaar heeft gekregen?
Dat is natuurlijk nog veel enger: een commercieel bedrijf individu/team die als enige weet hoe je toegang kan krijgen. Niet dat ik veel vertrouwen heb in een regering/FBI, maar zulke "macht" bij een enkel bedrijf enkele mensen vind ik een nog vervelender idee.

[Reactie gewijzigd door Siebsel op 19 februari 2016 10:45]

Als Apple het 'fixed' heb dezelfde situatie: ťťn commercieel bedrijf die het weet.
Het kernprobleem is alleen dat als Apple een keer een iPhone ontsleutelt, de FBI natuurlijk vaker naar Apple toe stapt om een telefoon te laten ontsleutelen.
Doordat Apple tot op heden zijn poot stijf houd, hoeven ze in de toekomst niks te ontsleutelen
Of er komt gewoon een verbod op de verkoop van telefoons met encryptie mogelijkheden.
Die kans lijkt mij heel erg klein omdat fabrikanten de USA dan links laten liggen wn dat wil je als staat zijnde natuurlijk ook niet.
Dat zal nooit gebeuren. Iedereen heeft recht om iets te versleutelen qua prive zaken in welke vorm dan ook. Encryptie kan je nooit verbieden. Dan moeten ze gewoon iets gaan gebruiken tegen Apple om hun producten te verbieden e.d.
En alle overheidsorganisaties die daar gebruik van kunnen maken...
In principe zou McAfee er wel goed an doen die techniek te delen met Apple, anders dan dat zouden ze niet verplicht moeten kunnen worden om het te delen met de FBI, helaas steekt de wereld in het echt anders in elkaar....
De techniek is om door social engineering achter wachtwoorden en te komen. Alleen zijn sommige mensen daar beter in dan anderen.
Het lijkt me sterk dat je een telefoon kunt kraken doormiddel van social engineering, zeker als deze al zo in de aandacht is. Ik vermoed eerder dat er een Brute force technische oplossing wordt gebruikt, waarbij ze in staat zijn de wipe functie te omzeilen.... dat zal dan ook het deel zijn dat ze zouden moeten overdragen aan Apple, ik mag er toch vanuit gaan dat de FBI ook in staat zou moeten zijn om "social engineering" te gebruiken om te achterhalen van wie een toestel is en de gegevens te openen als dit de wijze zou zijn.
Lees eerst eens de reactie van mcaffee waar in het begin van het artikel naar verwezen word.
Social engineering kan ook slaan op het feit dat de juiste technieken al bestaan (maar niet in zijn bezit zijn of kunnen zijn - want illegaal) en het dus een zaak wordt van in contact te komen met de juiste personen om hen hun 15 min of fame te gunnen.
Knap als je het ww kan verkrijgen door social engineering bij een dood iemand.
Tja, slimme jongens blijkbaar. Zoals je kunt lezen in mcaffee's statement kunnen ze dat in drie weken.
Ik denk dat zoals ATS hieronder al aangaf, het sterk afhankelijk is van hoe de kraak gebeurd hoe groot deze "macht" is. Als McAfee bij wijze van een methode vindt om met een druk op de knop een iPhone binnen te komen, dan is dat inderdaad zeer zorgelijk. Maar aangezien hij er een team opzet en 3 weken de tijd neemt verwacht ik niet dat het geval is.
De betreffende eigenaar is dood; daar helpt geen $5 steeksleutel meer tegen.
Dat weet McAfee vermoedelijk ook (aangenomen dat hij niet gewoon was vergeten om zijn pillen te nemen). Toch wil hij "social engineering" toepassen. ;)
Er is een levendige handel in exploits dus in die zin is er al sprake van dat commerciŽle bedrijven dit soort kennis in huis hebben en zelfs aan verdienen. Plus ze verkopen het soms ook aan de alfabet instanties.
John McAfee is geen commercieel bedrijf. Hij heeft niks meer te maken met McAfee (bedrijf). Daar is hij al lang geleden vertrokken.

Gezien zijn labiele verleden is het nog maar de vraag of je hem kan vertrouwen met die data.
John McAfee is niet meer verbonden aan dat bedrijf met zijn naam.
volgens de bron doet hij het via Social engineering toch belangrijk om even te vermelden
En dat zal wel niet zo meevallen, aangezien de eigenaren van de telefoon niet meer leven.
Valt wel mee, je moet alleen de prioriteiten en belangen in iemands wegen afgaan die iemand heeft afgelegd. Er komt over het algemeen meer psychologie dan techniek bij kijken. Voordeel nu is de dader is er niet meer dus kan geen nattigheid voelen en het wachtwoord veranderen.
Klopt, maarja liever kraken dan backdoor.

Vond stuk wat hij in het interview noemde prachtig!
And why do the best hackers on the planet not work for the FBI? Because the FBI will not hire anyone with a 24-inch purple mohawk, 10-gauge ear piercings, and a tattooed face who demands to smoke weed while working and won't work for less than a half-million dollars a year. But you bet your ass that the Chinese and Russians are hiring similar people with similar demands and have been for many years. It's why we are decades behind in the cyber race.
Alsof alle goede hackers er zo stereotype uitzien.
nee, maar veel zullen er wel niet zo gelikt bij lopen dat ze in een kantoor setting passen..
Die opmerking neem je toch niet serieus? Teveel films gekeken. Reken maar dat de NSA een flinke batch hackers ergens heeft zitten en dat ze als ze goed genoeg zijn echt niet in FBI-zwart naar het werk hoeven komen. Die opmerking is clichť op clichť...
De FBI als overheidsdienst mag niemand in dienst nemen die drugs gebruikt of recentelijk gebruikt heeft. Ook niet stiekem via een andere constructie. Stel je voor, de VS die een gigantische war on drugs voert, neemt drugsgebruikers aan. De FBI is zich van dit dilemma bewust, maar kan daar niets aan doen.
Hij zegt niet dat hij de encryptie kan kraken. Alleen dat hij in de iphone kan komen door achter de sleutel (wachtwoord) te komen via social engineering.

[Reactie gewijzigd door gjmi op 19 februari 2016 11:26]

Dus hij gaat mensen onderzoeken / dingen vragen en dan hopen dat ie in 10 pogingen het juiste wachtwoord intoetst? Als ik dood zou gaan zou hem dat bij mijn telefoon i.i.g. niet lukken buiten puur geluk, ik relateer wachtwoorden nooit aan andere dingen in mijn leven of dat van een ander en deel ze al helemaal niet met anderen.
Die tien pogingen zijn ongetwijfeld te omzeilen door de geheugen chips te copieren en backups terug te zetten.
In plaats van mensen te ondervragen kan hij via de FBI informatie van google, facebook en andere social media krijgen. Die zijn al verplicht deze data te delen.
Ik ben wel benieuwd in welke taal het wachtwoord is. Het zal voor John extra moeilijk worden als hij mogelijkheden ook nog moet vertalen naar arabisch.
Tja, het zijn zijn woorden. Ik weet ook niet hoe ze dat willen doen.
Waarschijnlijk zal die exploits willen zoeken / gebruiken en zal die hopen dat er geen iOS 9.X op staat :)
Het is al bekend dat er op de betreffende telefoon iOS 9 staat.
Als het inderdaad 3 weken duurt is het niet erg gangbaar en lijkt het me niet het zelfde als een backdoor. En aan de andere kant zal toch alles ooit wel te kraken zijn vroeg of laat
genoeg/teveel vrije tijd maakt alles 'kraakbaar' enige wat ze moeten uitzoeken is HOE. en tijd is daar natuurlijk super handig voor.
De eerste zal 3 weken duren, daarna weten ze het trucje en gaat het sneller.
Als het per telefoon inderdaad drie weken werk zou zijn voor een team, dan zou dat wel een significante hinderpaal zijn natuurlijk om het al te breed in te zetten. Maar dat is alleen het geval als het niet alleen voor de eerste maar ook voor alle volgende telefoons een significante hoeveelheid werk blijft. Het ligt er nogal aan hoe de kraak daadwerkelijk gebeurd. Als daar bijvoorbeeld lastige hardware veranderingen voor nodig zijn, dan kan ik me voorstellen dat het voldoende bescherming biedt om het niet breed in te kunnen zetten.

[Reactie gewijzigd door ATS op 19 februari 2016 10:19]

Als Apple die dan weer fixed is er niks aan de hand, gewoon normale gang van zaken.

Gaat meer over het feit dat je nu als het ware de Politie (indien de specifieke situatie dit nodig acht) de deur laat plat gooien (wat ze nu ook dien ivm wietplantages e.d.) inplaats van dezelfde instantie een universele/goude/loper sleutel geven voor alle voordeuren.

Dit is the way to go, en hier zal Apple ook niet tegen protesteren.
het maakt uit dat het de FBI dan 3 weken per persoon kost. Maakt de kans dat ze het te onpas gebruiken wat kleiner.
Waarom al die focus op encryptie. Als je dit soort drama's wil indammen kun je veel beter de wapens verbieden. De San Bernardino moordenaars hadden gewoon (per postorder?) wat machinegeweren en pistolen gekocht. Dat dit zomaar kan!. 8)7
Los van het feit of het hem lukt gaat de FBI dit echt niet toelaten:

Allereerst geven ze daar mee al aan dat ze hun eigen methoden niet compleet vertrouwen en ten tweede gaan ze ECHT zo'n bewijsstuk niet zomaar uit handen geven aan een stel hackers die samenwerken met McAfee...
Als hij de encryptie kan kraken in 3 weken, wat maakt het dan nog uit of er een backdoor is? Als er toch al een methode is om te kraken dan kan de FBI die de volgende keer ook gebruiken...
Nee, dat is te duur. Het is de FBI (en dan waarschijnlijk achter de schermen ook andere diensten zoals de NSA) te doen om een precedent te schapen en massasurveillance mogelijk te maken.
Nee, want het punt is dus juist dat je de telefoon fysiek in bezit moet hebben als je het ding op de McAfee-manier wil kraken.

De backdoor die Apple zou moeten gaan bouwen is remote te installeren en remote te bedienen. Daar hoef je je bureaustoel bij wijze van spreke niet voor af te komen.

Daarom wil McAfee dit nu doen; die ene specifieke telefoon hardwarematig kraken, zodat die softwareupdate van Apple niet gemaakt hoeft te worden.
Als er een backdoor komt kan je FBI of NSA all mass welke telefoon kraken als ze er zin in hebben.
Als je 3 weken tijd nodig hebt om een code te kraken is mass surveillance al uitgesloten omdat de kosten te hoog zijn.

Btw kunnen backdoors ook gebruikt worden door criminele organisaties.
Er is een verschil tussen weten en kunnen. Bovendien, Johnnie geeft de oplossing echt niet aan de feds.
Ik las op reddit een ander verhaal.
In short, the data is encrypted to 256 AES strength. BUT the disk encryption key is stored in the device's version of a TPM (Secure Enclave), and the TPM is protected by a 4+ digit passcode.

There exist (we know they exist) platforms that can connect to traces between the TPM and the power circuit, which allows you to bypass the TPM attempt-limit by powering off the device after each failed attempt (so the TPM doesn't "realize" it's being hacked) and bruteforce it relatively quickly that way. So they could just do that. But that requires a full teardown, time, and specialized equipment.

From that fact, we can see clearly that the FBI is not interested in this one particular isolated case. They are trying to set privacy policy precedent. That's why it's so important (and dangerous). They want to be able to do this on demand, likely remotely, to everyone's phone all the time.
Dit maakt het veel enger.
Nouja, enger... het kan natuurlijk altijd wel. Als het allemaal in 1 chip zit kom je er met decappen en proben ook wel. Probleem is of het dan nog wel rendabel is. Stel dat je 1.000.000 moet uitgeven om een uniek toestel te kraken en dat voor elk toestel opnieuw moet, dan lijkt me dat een stuk minder 'eng' dan het lijkt. We weten allemaal wel dat encryptie niet een tijdloze oplossing is, maar dat het slechts een methode is om de resources die nodig zijn om het te breken veel groter zijn dan de waarde van de informatie.

Als je wil dat informatie heel moeilijk is om te ontvreemden, dan kan je heel sterke encryptie gebruiken, met hele complexe keys, en geen backup opties of versimpelingen inbouwen omwille van gemak voor de gebruiker. Probleem is dat het dan nog steeds te kraken is, al kost het dan misschien honderd jaar. Of duizend. Of honderdduizend. De vraag is echter of de data zo veel jaar later nog relevant is. Of misschien kan het wel snel, maar moet je duizenden of miljoenen geld in het kraken steken, of zijn er maar een paar mensen die het kunnen en dan moet je die overtuigen om het voor je te doen wat ook niet altijd lukt...

Kortom: er is weinig aan de hand zolang het case-by-case moet en nog steeds erg intensief is qua arbeid, tijd en geld.
Kortom: er is weinig aan de hand zolang het case-by-case moet en nog steeds erg intensief is qua arbeid, tijd en geld.
Juist daarom is het een eng idee dat de FBI het nu doet voorkomen dat het erg lastig is om die iPhone te kraken. Dat is het namelijk niet, zeker niet met hun resources. Een eventueel precedent kan echter leiden tot backdoors en als dat de facto wetgeving wordt dan zijn de rapen gaar. Dan kan geen technologie ons meer beschermen tenzij die illegaal is. Dan is het echt voltooid verleden tijd met onze privacy en dan kunnen overheden doen en laten wat ze willen zonder zich daar nog voor te moeten verantwoorden.
Er is nu toch gewoon vrije en zeer sterke encryptie beschikbaar? Waarom denk je dat dat niet meer beschikbaar blijft?
Omdat als sommige onzichtbare krachten achter de autoriteiten en de inlichtingendiensten hun zin krijgen en deze encryptie in de huidige vorm illegaal weten te maken encryptie alleen genoeg kan zijn om mensen te veroordelen en achter de tralies te zetten. Dan krijg je situaties waarin een partij flink onder druk gezet kan worden om mee te werken aan een juridische zaak waarbij een andere partij benadeeld wordt. Stel dat jouw telefoon informatie bevat die mij mogelijk in de gevangenis kan krijgen door een of andere absurde wet en ze jou dreigen met berechting en gevangenisstraf tenzij je vrijwillig je telefoondata ontsleutelt dan is de kans groot dat jij zwicht voor de druk. Zo wordt encryptie in een klap buitenspel gezet. Om exact deze reden moeten we blijven vechten voor ons recht op privacy.
Het is niet alsof dat allemaal intern maar gratis is daar :s Als de FBI of de NSA ofzo dat doet is het niet alsof de medewerkers dat gratis doen, stroom en hardware niks kost en het zomaar voor alle gevallen toegepast wordt... Het is helemaal niet gek dat het met de juiste middelen mogelijk is, en het is ook helemaal niet raar dat er juridisch de mogelijkheid is specifieke doelen aan te wijzen die gekraakt mogen worden. Dat opeens alle telefoons van iedereen altijd instant gekraakt worden ten alle tijden zonder dat je het door hebt terwijl je hem in je hand hebt lijkt me toch een paar stappen verder dan dit.

Verder is het niet een precedent dat hier geschept wordt: er zijn al jaren zowel commerciŽle methodes als geheime methodes van inlichtingendiensten die dit soort zaken doen. Zo kan je met de juiste kennis prima een IMSI-catcher bouwen, maar die kan je ook gewoon al jaren kopen. Legaal gebruiken zit er niet in als je geen politie/FBI/etc bent, maar nieuw is het niet. Geldt ook voor decryptie hard- en software.

Kortom: het idee dat encryptie nooit gekraakt werd was al achterhaald voor dat het romeinse rijk ten onder ging. Wat er nu gebeurt is niet nieuw, behalve dat er officieel hulp gevraagd wordt aan de maker, en mensen blijkbaar denken dat encryptie onbreekbaar is en dat hier komen melden.
De middelen in de VS noem ik praktisch eindeloos. Een land met een dergelijk absurd budget voor alleen al oorlogvoering schroomt niet om ook hier bakken geld tegenaan te gooien. Prima als jij graag gelooft dat dat niet zo is maar ik ga er liever van uit dat dat wel zo is. Omdat een verhaal absurd of onwaarschijnlijk in jouw oren klinkt, maakt het nog niet onwaar. In deze tijden sluit ik niets uit, zeker niet als het om onze vrijheid gaat. En ik zou het prachtig vinden als kritisch denken weer mainstream ging en het weg relativeren van absurde situaties in de top van de maatschappij niet meer werd gedoogd. De VS heeft wetten die in feite de rechterlijke macht buitenspel kunnen zetten. National security noemen ze dat, en zolang mensen daar niet doorheen prikken wordt het langzaam van kwaad tot erger.
Laat ik het zo zeggen: als jij een parkeerboete krijgt gaan ze niet een aantal honderden/duizenden dollars uitgeven om je iPhone te kraken. Dan sturen ze je een rekening ofzo, of ze laten je direct betalen.

Stel dat je met automatische wapens 1000 mensen gaat lek schieten kan je er inderdaad wel de donder op zeggen dat ze je iPhone willen kraken.
Ik ken de cijfers niet, maar volgens mij geeft de VS momenteel velen malen meer uit aan de "war on terror" en worden kosten nog moeite gespaard. Het lijkt er echt heel sterk op dat onder de paraplu van "National Security" een zware inbreuk willen kunnen maken op de privacy van onschuldigen (die ten opzichte van de schuldigen nog steeds in een forse meerderheid verkeren dacht ik).
Het grote probleem is dat Apple een zowaar perfecte beveiliging heeft uitgedokterd maar dat ze een loophole over het oog hebben gezien. Die loophole is die ze vergeten zijn is dat ze door de regering verplicht konden worden een toestel te modificeren.

Ik heb me eens verdiept in heel dat beveiligingsproces en zelfs als ťťn van de grootste Apple fanboys op deze site (ranked in the top 5 ;) ) sta ik verbaasd van hoe zwaar mijn iPhone is beveiligd. Zelfs de procureur maakt in zijn betoog tegen Apple reclame voor de beveiliging van Apple.

Ik ben wel eens benieuwd hoe lang het zal duren voor Apple deze loophole fixt en er voor zorgt dat er geen firmware kan worden geplaatst op de chips van de iPhone zonder het ingeven van het paswoord.
De iPhone 5 was de laatste waarbij dat kon. Elke iPhone daarna kan niet geŁpdatet worden zonder passcode.
Zo'n geweldig aanbod kan de FBI niet weigeren lijkt me.
Goede actie van John McAfee.
Hij heeft kennis en geld genoeg om een dergelijke uitdaging aan te gaan.
Ik kan mij toch voorstellen dat de FBI er niet blij mee is, om twee redenen. Allereerst denk ik dat ze toch liever een open achterdeur willen in alle iPhones. Ten tweede denk ik dat als McAfee zich zo laatdunkend uitlaat over de FBi dat ze er ook niet om zitten te springen om die hulp te vragen (meer van "nou als jullie dat kunnen dan we kunnen we het zelf ook wel, wacht maar)

Wel een interessante casus aan het worden.
Je snapt niet helemaal wat de rechter heeft gezegd denk ik. Het gaat helemaal niet om een backdoor, maar om een manier om een specifiek toestel van 1 van de tig beveiligingen te ontdoen. Het gaat om het deel wat maximaal 10 pogingen accepteerd en daarna het toestel wist.
Je snapt niet helemaal wat de rechter heeft gezegd denk ik. Het gaat helemaal niet om een backdoor, maar om een manier om een specifiek toestel van 1 van de tig beveiligingen te ontdoen. Het gaat om het deel wat maximaal 10 pogingen accepteerd en daarna het toestel wist.

Dat is echter precies wat een backdoor is.

Security kun je niet zien in zijn elementen. Alle onderdelen werken samen. De voordeur op slot en het raam bewust openzetten, is een vorm van een backdoor.

Bij device encryptie is er een sterke key die echter niet handig voor mensen in het gebruikt is. Men gebruikt daarom een zwakke PIN-code om die key te beschermen (al werkt het technisch bij Apple wat ingewikkelder met twee keys). Om die zwakke key echter niet het open raam in mijn analogie te laten zijn, mag je maar maximaal X pogingen doen en wordt daarna de tijd tussen pogingen opgehoogd of de telefoon zelfs gewist.

Het verhaal dat het weghalen van die beperking geen backdoor is, is dus - sorry - een fundementeel verkeerd begrip van security. Geen schande, want talloze websites en blogs maakten die denkfout. Zonder die beperkinegn kost het wellicht een minnutje om alle combinaties te proberen en is de encryptie effectief onschadelijk gemaakt.

Overigens is er een nog reden waarom dit wel het omzeilen van encryptie is. Immers normaal gesproken kun je geen firmware flashen op een telefoon zonder dat de hardware beveiliging de key's direct weggooit en de data voor altijd verloren is. Kan Apple dat op een bepaald moment wel, is het volstrekt arbitrair en ook onnodig om je enkel te beperken tot iets wat PIN-pogingen makkelijker maakt. Immers Apple kan dan ook talloze andere dingen doen. Dus het feit dat de FBI enkel vraagt om PIN-unlock pogingen is niets anders dan zand in de ogen van de niet-technishe rechter strooien. Het is gewoon een backdoor.

Als Appel dus een nieuwe firmware maakt die bepaalde beveiligingen weghaalt, is het feit dat dat namelijk uberhaupt kan De Backdoor! De backdoor is de firmware reflash.

Nu had ik begrepen dat dat bij de iPhone 5S en later niet kan, doch deze telefoons de 5C betrof, welke gebaseerd is op de iPhone 5 welke wellicht nog niet die beveiliging had. Als ik dat goed begrepen heb, is dit hele FBI verzoek niet meer mogelijk op toestellen van de generatie 5S en later.
Ik kan me zo voorstellen dat het Łberhaupt ook niet mogelijk is op eerdere toestellen die ook iOS 9 draaien.

Het flashen van firmware gaat niet even zomaar. Ik mag aannemen dat Apple hier goede beveiligingen voor heeft ingebouwd om bijvoorbeeld jailbreaking tegen te gaan. Anders had ik allang een iPhone gehad met android erop ;)
Het flashen van firmware gaat niet even zomaar. Ik mag aannemen dat Apple hier goede beveiligingen voor heeft ingebouwd om bijvoorbeeld jailbreaking tegen te gaan.

Dat is echter het punt niet. Het flashen van formware is beveiligd en vereist o.a. een sleutel van Apple. Maar Appel zelf kan het.

Waar het om gaat is, dat een echt veilig systeem zelfs voor APpel zelfs niet te ontsleutelen is. Zo werkt bijvoorbeeld Microsoft's Bitlocker. De hardware chip, detecteert een wijziging van de firmware als een van de vele checks tijdens de secure UEFI boot. Zo ja, wist die zijn keys en is het uit met de pret. Zelfs als Microsoft zelf de firmware zou flashen.

Wil je dus de firmware updaten, moet je de Bitlocker beveiliging op 'suspend' zetten. Na reboot en update zal die automatisch bij de eerste normale boot weer zichzelf aanstellen, na weggooien van de oude key en generatie van een nieuwe random key.

Het Apple systeem werkt net zo. Echter het in 'suspend' mode zetten van de encyptie kan enkel nadat je de PIN ingevoert hebt. Zo vormt de encryptie, PIn en hardware security chip een onbreekbare drie-eenheid. Zelfs voor Apple!

Echter ik had begrepen dat de iPhone 5 en dus ook de afgeleide 5C deze hardware beveiliging (mogelijk) niet kent. Bij de 5S en later echter is dit niet meer mogelijk.
Wat jij niet snapt is dat als ze het op deze iPhone moeten het ook ineens mogelijk is op alle telefoons. Dat is het hele dilemma van dit verhaal.

En het gaat echt niet over deze telefoon dat is een drugreden. De FBI kan in deze telefoon geraken zoals McAfee ook aangeeft. Het gaat om een veel groter verhaal.

De Amerikaanse overheid gebruikt deze telefoon om Apple onder te druk te zetren van een ander beleid te gaan voeren inzake beveiliging. Apple heeft theoretisch de perfecte beveiliging bedacht maar heeft iets over het hoofd gezien. Daarom kan de Amerikaanse overheid Apple nog een laatste keer voor de rechter dagen en de publieke opinie tegen Apple keren en ze zo verplichten die fout niet te herstellen wat dus een backdoor creŽert voor alle toestellen. Het probleem zit hem in het feit dat je op de huidige iPhones nog wel van buitenaf software zou kunnen laden in bepaalde omstandigheden zonder het wachtwoord van de gebruiker. Theoretisch blijkt het mogelijk dus als Apple het kan kan de Amerikaanse overheid dat ook wel.

Waar het de Amerikaanse overheid om draait is dat eens die fout wordt recht gezet het onmogelijk wordt om met de huidige technologie de beveiliging van een toestel te omzeilen. Dat betekend ook dat in de komende jaren zulke beveiligingssystemen op alle toestellen te recht komen en de overheid in geen enkel toestel meer zal kunnen. Of dat is toch wat men vreest al zal er altijd wel iemand ooit wel een manier verzinnen om deze beveiligingsmethode te omzeilen wat dan op zijn beurt weer wordt gedicht. Maar we zijn qua beveilig dus zowat terecht gekomen waar beveiliging waterdicht te noemen is.

Dit toestel dient dus meer als een propaganda tool van de Amerikaanse overheid dan als informatiebron rond deze aanslag.. De Amerikaans overheid probeert via deze telefoon een zaak te maken om de publieke opinie te doen kiezen voor minder veilige toestellen en zo te voorkomen dat ze binnenkort niet meer in toestellen van terroristen kunnen.
Apple heeft theoretisch de perfecte beveiliging bedacht maar heeft iets over het hoofd gezien.
But did they? Dat een rechter zegt dat het moet betekent niet dat het ook direct kan. Als Apple technisch niet in staat is dit te doen (wat ze zelf ook aangegeven hebben volgens mij), wat ik mij heel goed kan voorstellen gezien mijn ervaringen met iOS, dan houd het alsnog gewoon op.

Ik geloof namelijk niet dat de betreffende rechter dusdanige kennis heeft dat hij de technische mogelijkheden snapt om hiervan te kunnen zeggen oh dat doe je zo en zo. Succes met uitvoeren.
Jij beseft niet dat al men de grens van 10 pogingen op dit toestel gaat omzeilen dat ook mogelijk is voor alle andere toestellen in de wereld.
Nee, want de FBI vraagt dus om een specifieke versie van iOS die alleen voor dit toestel geschikt is.
En je denkt werkelijk dat dat a) haalbaar is, en b) dat de FBI niet zal proberen om andere iPhones te kraken met dezelfde tool.
er is geen tool. ALS Apple dit doet, dan zullen ze dit in-house houden zonder een enkele mogelijkheid om dit voor andere toestellen te kunnen gebruiken. De software wordt eenmalig gesigned door de server en daarna niet meer. Wil de FBI dit dus gaan doen dan hebben ze niet alleen een grote hoeveelheid kennis nodig om hetzelfde voor elkaar te krijgen, maar ook de hardware- en softwarematige oplossingen om dit voor elkaar te boksen.
En 2 dagen later staat de FBI weer op de stoep met het volgende toestel, en kan Apple niet meer schuilen achter 'we kunnen het niet' of 'het mag niet'.
Het hek van de dam dus.
Again. Court order is dan noodzakelijk anders zal Apple hoe dan ook weigeren.

En dan nog is privacy nog steeds niet in het geding. Bij deze toestellen is zo goed als vastgesteld dat de eigenaar dingen te verbergen heeft. Je snapt het punt wel.
En jij gelooft werkelijk dat de FBI geen workaround heeft, of niet stiekem de custom firmware ergens opslaat voor later gebruik?
Kan. Zijn ze alleen wel gelimiteerd aan dat type iPhone. En daarnaast denk ik niet dat het bij de FBI komt dus zullen ze het moeten reverse engineeren.
Nee dat is het dus niet. Er zijn verschillende mechanismen in een andere iPhone die je daar tegen beschermen. Plus de signing server bij Apple zelf die de firmware dan reject.
Ja, die signing server komt er ook echt aan te pas als de firmware direct naar het toestel geflashed wordt. ;) Het gaat hier niet om een simpel iTunes update ofzo.

Je onderschat wat de FBI/NSA kan als ze deze firmware in handen krijgen.
Ja, die signing server komt er ook echt aan te pas als de firmware direct naar het toestel geflashed wordt
Ik mag aannemen dat Apple die maatregel wel inbouwt om juist dit soort dingen te voorkomen. Dit zit namelijk standaard in het OS ingebouwd. Het flashen zal allemaal wel werken, maar het activeren en unlocken wordt een probleempje. Dus zal de FBI dit eruit moeten slopen als ze er wat mee willen kunnen doen. En als het ze al niet lukt om de code te kraken dan weet ik niet of dit een optie is.
Daarom is deze zet van mcAfee ook zo goed: Als ze 'm weigeren, kun je op je klompen aanvoelen dat het de FBI helemaal niet om dit specifieke toestel gaat, maar om de backdoor.


Kortom, dit is gewoon een smerig politiek spelletje om die backdoor (die ze wss allang hebben) gelegaliseerd te krijgen, zodanig dat het kan dienen als bewijslast in elke zaak.
Wel een interessante casus aan het worden.
Eerder een circus. Presidentskandidaat die ook van zich wil laten horen.
Mwah niet perse, McAfee is ook gewoon goed in wat hij doet... Dat het hem publiciteit oplevert is waar, maar dat maakt het geen slechte zaak en neemt niet weg dat hij best een kans van slagen heeft.
Dat denk ik ook. de FBI wi deze specifieke telefoon helemaal niet openen, ze willen ze allemŠŠl kunnen openen, wanneer ze er zin in hebben.
En dit is maar een proefproces om iig de justitiele deur open te kunnen zetten.

Daarom is dit ook een goeie zet van mr. mcAfee: Ze kunnen 'm met goed fatsoen niet weigeren, want dan wordt duidelijk dat het ze helemaal niet om de inhoud van dit specifiek toestel gaat.
Totdat hij of niks bereikt in die drie weken, of nog erger, permanente schade aan het toestel of permanent het geheugen wist ervan.
Lijkt me dat ze het geheugen eenvoudig kunnen clonen/backuppen.
Als het zo mooi is dan zouden ze ook gewoon de brute force beveiliging voor de pincode op die manier kunnen omzeilen.
De beveiliging van de data is dermate sterk dat dat onpraktisch is. Het geheugen is prima uit te lezen, maar alles is versleuteld met 256-bit AES, wat in de praktijk onkraakbaar is. Je moet de key hebben, en die is, kort door de bocht, alleen te achterhalen door gebruik te maken van de CPU van de betreffende telefoon.
Zoals ik het laatst las op NOS was het probleem dat ze de pincode niet vaker dan 10 keer kunnen invullen omdat het systeem dan wordt gewist. Het lijkt mij dat als ze het geheugen kunnen kopiŽren die pincode dan prima gebrute-forced kan worden. De sterkte van de encryptie is dan op zich niet het probleem. Als die pincode zelf tenminste de key is.

Edit: Maar als je de CPU van de desbetreffende telefoon nodig bent om de encryptie/decryptie te laten werken, wordt het verhaal inderdaad anders. Daarom dacht ik al dat het niet zo makkelijk was als simpelweg het geheugen kopiŽren.

[Reactie gewijzigd door onionchopper op 19 februari 2016 14:21]

Zoals ik het laatst las op NOS was het probleem dat ze de pincode niet vaker dan 10 keer kunnen invullen omdat het systeem dan wordt gewist. Het lijkt mij dat als ze het geheugen kunnen kopiŽren die pincode dan prima gebrute-forced kan worden. De sterkte van de encryptie is dan op zich niet het probleem. Als die pincode zelf tenminste de key is.

Zo werkt het echter niet. Het is een beetje ingewikkeld en de exacte werking verschilt per iPhone generatie, maar de PIN-code is direct niet toegangkelijk

De user-data is encrypted, inclusief de data achter de PIN-code. Dus de flash uitlezen geeft geen toegang tot de PIN-code. Die geeft enkel toegang tot een brei van versleutelde data. Om die te lezen moet je de AES key hebben. Zo is dus disk encryptei effectief tegen de flash uitlezen.

Echter de telefoon die boot krijgt van een ingebouwde security chip de zogenaamde hardware key en kan daarmee booten, en de gebruiker om de zwakke PIN vragen waarmee een tweee PIN-key gemaakt wordt welke samen de user-data kunnen ontsleutelen. Je kunt dus geen PIN-code invoeren of proberen zonder te booten.
Gewoon een herstel via iTunes uitvoeren O-)
Daarvoor moet je eerst de computer als vertrouwd opgeven, wat je niet kunt omdat je niet kunt inloggen...
Ik neem aan dat dat team wel weet hoe ze een clone moeten maken van de geheugenchip. Je gaat natuurlijk niet met het origineel lopen prutsen.
Zoals Onion ook schreef, als ze dit zomaar kunnen doen dan is er dus uberhaupt geen probleem en kunnen ze hem al op die manier bruteforcen, en telkens als ze op hun maximum zitten, stoppen ze een nieuwe erin.

(Of als een iPhone enkel meer delay tussen pogingen stopt, kan je er 100 parallel laten bruteforcen).
Met 100 toestellen zijn dat maximaal 1000 pogingen. Dat is dus veel te weinig voor een 4 cijferige code (10.000 mogelijkheden). Buiten het feit om dat je ergens 100 iPhone 4s jes vandaan moet halen is dat voor de FBI natuurlijk een behoorlijke kostenpost om. De geheugenchips los kopen kan natuurlijk ook maar ook dat kost weer enorm veel technische kennis en manuren om dat op een bordje te krijgen. Al met al is dit voor een federale insantie een enorme klap aan geld en tijd terwijl er misschien ook andere manieren zijn die veel efficiŽnter zijn.

Uiteraard ga je dit niet proberen op te lossen met bruteforce methoden. Want de laatste iOS geeft standaard een 6-cijferige code (dus factor 100 aan extra mogelijkheden).
Waarom zou je alles fysiek moeten nabouwen?
Zodra je een kopie kan maken, kan je deze kopie virtualiseren en (als je een beetje handig bent) ermee doen wat jij wil.
Omdat de encryptie hardwarematig is. dat kan je niet softwarematig zomaar nabouwen.
Dat kan wel, maar dan heb je ook de sleutel nodig ;)
Een iPhone 4s kost echt niks meer. Snelle google leert dat ze op marktplaats voor onder de 100 euro gaan, dan heb je dus nog geen 10k nodig om er 100 te kopen, en dat is echt peanuts. En als ze gelocked zijn, gooi je weer je nieuwe memory chipje erin.

Hele probleem is dat ik mijn twijfels heb over hoe makkelijk het is dat chipje te kopieren en in een nieuwe iphone te stoppen.
Een iPhone 4s kost echt niks meer. Snelle google leert dat ze op marktplaats voor onder de 100 euro gaan, dan heb je dus nog geen 10k nodig om er 100 te kopen,
Ik denk niet dat het zo eenvoudig gaat zijn. Je moet er ook rekening mee houden dat het geld kost om die kopieen te maken. Stel dat je ok nog eens 2-300 per apparaat kwijt bent om dat te doen en dat het ongeveer 3 uur kost om het veilig te doen. Dat kost wel meer dan alleen die 10K.

Buiten het feit dat ze in amerika ook weer verschillende types hebben en dat inkoop van 100 iPhones ook veel meer geld kost dan §100 per device.

Ik denk dat de device costs wel de laagste kostenpost in dit plan is.
Hij kan het eerst testen met een ander toestel. Waarschijnlijk is dit dus al lang gebeurd!
Ja precies wat ik dacht. Hij kan het eerst ook op een andere iPhone demonstreren.
Is het niet ook de vraag of get juridisch wel mag ? Lijkt me dat je niet zomaar aan bewijs materiaal mag zitten als je het nog toelaat baar wil laten voor een recht zaak. net als dat ook niet iedereen op een plaats delict mag komen volgens mij.
Dat was ook het eerste wat ik dacht. Ik lees gewoon geroep van een man die graag aandacht krijgt in de media, goed wetende dat hij die telefoon toch nooit in handen gaat krijgen.
Hoezo? Ik neem aan dat de politie ook externe deskundigen in mag huren om bepaalde zaken te regelen zonder dat dit direct problemen oplevert. Deze mensen hebben vrij specifieke kennis die niet iedereen bezit. Als je deze kennis zelf niet hebt dan moet je die inhuren.
En lukt hem het niet, dan hoop ik voor hem dat hij geen vieze schoenen heeft. :Y)
Wat zou er nu precies op die telefoon staan wat zo belangrijk is? Foto's? Zitten bij apple cloud. WA of FB berichten? Facebook. Email? Provider. SMS? Provider.

Je kan me werkelijk niet vertellen dat geen enkel van deze grote bedrijven precies in kaart kan brengen met hun data wat die man allemaal deed met z'n Phone, geen enkele app is zonder tracking vandaag de dag.

Maar backdoor of niet, als dit te kraken is in 3 weken, wat is dan de discussie voor een backdoor voor nodig?
Foto's kunnen bij Apple in de cloud zitten, maar dat hoeft niet. En zou de cloud niet op dezelfde manier encrypted zijn als de telefoon?

<speculatie modus>
En misschien is op de telefoon wel een gps trail te achterhalen. Als terrorist bel je iemand natuurlijk niet op, maar als je er fysiek langs gaat en je hebt je gps aan staan kan dat je misschien verraden. (op gsm mast niveau kan dat een beetje, maar niet echt nauwkeurig).
</speculatie modus>
En zou de cloud niet op dezelfde manier encrypted zijn als de telefoon?
Nee, iCloud is niet op eenzelfde manier versleuteld, dan zou je namelijk nooit bestanden kunnen delen en zou je een serieus probleem hebben wanneer je je pincode vergeet.
iCloud is niet met je pincode gelocked, maar met je iCloud account.

Maar je hebt wel een punt. Bij iCloud heb je gewoon de "wachtwoord vergeten/herstellen" optie. Ik ga er vanuit dat de iCloud informatie dan ondertussen al wel bij de FBI ligt.
Mag aannemen dat die dude ook two factor authenticatie heeft aangezet?

Mocht ie een simpincode hebben dan komt het sms bericht ook niet aan.

Gedeelde items worden los opgeslagen en worden dus niet vanuit je account direct gedeelt als het goed is.
En als ie slim is laat hij geen sms notificaties op het lockscreen zien. (Heb ik ook uit staan, want ik krijg tan codes van de ing per sms)
Logisch: je denkt er wťl bij na om niemand te gaan bellen, maar laat wťl gemakshalve je GPS aanstaan. Euhm....
Ook terroristen zijn mensen die fouten kunnen maken ;) (terrorist worden is er al eentje)

In Nederland is weleens bij een rechtszaak de laatst gebruikte navigatie uit een TomTom gebruikt omdat die naar de plaats van delict leidde.
Je moet je reisdoel ook niet als "Plaats Delict" opslaan in je Tomtom ;)
Misschien een GPS trail? Onder locatievoorzieningen kun je exact zien waar de telefoon allemaal is geweest of vaak komt.
De veelbezochte locaties kun je uitzetten (sowieso wel verstandig). De hele locatievoorziening kan je uitzetten. Vandaar mijn misschien.
Helemaal waar. Ik heb het zelf wel aan staan omdat het voor sommige dingen wel handig is. (Bijvoorbeeld een push met reistijd naar huis zodra hij contact maakt met de carkit). Maar eng is het best wel.

Alleen als terroristen zo stom zijn zich te laten pakken met een telefoon, dan zullen ze ook wel niet weten wat dat ding allemaal voor gegevens bij houdt.
De meeste GPS chips hebben ook nog een intern log file van bv. de laatste 10k posities. Dit is omdat diezelfde chips worden gebruikt in embedded hardware waar bv. enkel de GPS chip periodiek wordt gevoed en eens per x de data wordt doorgepompt (bv. fietstrackers). Afhankelijk van je engineers/driver/low-level aansturing staat die optie op of af (losstaand van whatever switch ze naar de GUI gepushed hebben 'on/off').

Nog een FYI, vrijwel elke auto-tracker is door de fabrikant remotely te besturen, dit is dus inclusief allerlei output voorzieningen zoals: pompen, kranen, rem/stuur blokering, alarm systemen, audio/communicatie apparatuur, deursloten, kluizen ...

[Reactie gewijzigd door analog_ op 19 februari 2016 12:21]

Dat kan veel eenvoudiger door bij de provider zendmast gegevens op te vragen..
Nee, dat is niet nauwkeurig genoeg. Neem als extreem voorbeeld de Deventer moordzaak, waarbij de destijds verdachte Louwes op de A28 reed, maar door specifieke weersomstandigheden was verbonden met een zendmast in Deventer.

Maar zelfs zonder extreme gevallen geeft een zendmast hooguit op tientallen meters nauwkeurig een plaatsbepaling. (maar ook met een gps weet je in bijvoorbeeld een flat niet bij wie je precies naar binnen bent gegaan)
Ik denk eigenlijk foto's, notities, contacten of iets dergelijks. Ze zullen vast kunnen zien dat er data in opgeslagen is. Overigens lijkt het me prachtig wanneer dat uiteindelijk de complete discografie van ABBA zou zijn.
Als die mogelijke discografie dan vervolgens gedownload zou zijn hebben ze het beeld wel compleet.
Is tegenwoordig een ergere misdaad dan moord, gezien de zwaarte van straffen.
Is tegenwoordig een ergere misdaad dan moord, gezien de zwaarte van straffen.
Ik denk dat het de doodstraf wordt ..
Tja die is idd al uitgevoerd, dus daar moet dan wel een zwaar delict als dowloaden tegnover staan hŤ ;)
Massamoord is zou enkel 20x levenslang op leveren. Had die niet voor hoeven sterven.
Wat zou er nu precies op die telefoon staan wat zo belangrijk is?
Zeer waarschijnlijk helemaal niets.
De telefoon was verstrekt door de werkgever van de schutter. Die werkgever was de overheid.
De andere telefoons van de schutter zijn vernield gevonden in een afvalbak achter hun huis.
Lijkt mij dat er dus op deze telefoon absoluut niets staat.
Het is echter natuurlijk een mooie manier om te proberen Apple een manier tot hacken van een iPhone te laten maken... Want die kan dan voor andere iPhones gebruikt worden, tevens is het een precedent voor kunnen hacken van andere apparaten.
Zo'n statement leest toch vooral als een verkapt stukje marketing voor zijn eigen bedrijf, het heeft een hoog blaat gehalte.

Daarnaast heeft de FBI al aangegeven zelf de brute force te willen/kunnen doen. Het enige dat ze aan Apple gevraagd hebben is om de automatische delete van de encryptie keys na x pogingen eraf te halen en de (oplopende) timer tussen pogingen te disablen.

Dus hij geeft antwoord op een vraag die er niet is.

Maargoed, de toepassing van de wet uit zeventien-zoveel en de argumentatie van de rechter in kwestie zijn in deze ook interessanter dan wat de FBI wil :).
Dat kan ook zonder Apple, al wordt het met een 6 digit pincode wel een hele lange exercitie: http://www.cultofmac.com/...ack-any-iphones-pin-code/
Valt dan ook wel mee lijkt mij, meer afhankelijk van hoeveel kosten je erin wil steken.
Ze geven aan dat een 4 cijferige code ca 4,5 dagen telt (bij 10000 combinaties a 44 sec incl reset)
6 cijferig zou dan ca 509 dagen duren.
Maar als je een kloon maakt (wat ik zover ik begrijp van andere mensen gewoon kan doen dus) en op 2 apparaten tegelijk een cijfer range doet uitprobeert dan kan het al gehalveerd worden. (1x 000000 t/m 499999 en 1x 500000 t/m 999999) En met elke verdubbeling van het aantal klonen een halvering van de mogelijkheden en dus tijd.
Doe het op 128 klonen tegelijk en je doet er maar max 4 dagen over. Er van uitgaande dat de code dan net als laatste wordt gevonden. En die kans is relatief klein als je het in zoveel verschillende ranges opdeelt.


Zie nu trouwens pas dat dit artikel van 03-2015 is. Is dit dan niet al lang gepatched?

Trouwens zelfs als dit gepatched is en je kan niet meer bruteforcen voordat er een wipe gebeurt. Dan kan je toch onbeperkt een kloon terug zetten?
In dat geval zou het nog steeds kunnen, maar is het afhankelijk van hoe snel die gewiped wordt en je de kloon terug erop kan zetten.


Ok nog ff googlen levert iets meer nuance op.

nieuws: Apparaat kraakt via bruteforce pincode iPhone binnen 17 uur
Tot honderden tekens dus. Klein verschil met 6. 8)7

Foutje bedankt.

[Reactie gewijzigd door Morelleth op 19 februari 2016 11:36]

Je kunt niet een kloon maken, want de encryptie-sleutel is gebonden aan de CPU die in de betreffende telefoon zit. Het is een complex verhaal, maar het komt er op neer dat je de zogeheten 'key0x89b' (die per CPU verschilt en zonder jailbreak niet uit te lezen is) ťn de passcode nodig hebt om de schijf te kunnen uitlezen.
Ah, kijk, Dat wist ik niet. Schrap mijn niet relevante betoog dan maar. :p

Maar kan het dan enkel op het zelfde apparaat? Of kan er uberhaubt geen kopie gemaakt en terug gezet worden ?
En hoe zit dat dan als je je eigen password kwijt bent? Ben je dan gewoon fucked? Of zijn er andere manieren om een password te recoveren?

(bv in de situatie dat je een nieuwe mobiel hebt, je oude ff weg gelegd en een maandje later bedenkt dat je er nog iets op had staan wat niet in de cloud staat, maar je in de tussentijd een ander wachtwoord bent gaan gebruiken? En je dus niet gelijk alles over had gezet.)
Het kan alleen op de betreffende telefoon, wat het zo lastig maakt voor de FBI.

Als je je passcode kwijt bent, dan ben je inderdaad de sjaak; er is geen manier om die te achterhalen. Je kunt het een paar keer proberen, maar dat zal je waarschijnlijk veel tijd gaan kosten.
Misschien een rare suggestie, maar als je het geheugen kopieert (dus puur de ruwe data). Vervolgens alles wiped en een andere versie van het os erop zet. En daarna jailbreaked, kan je dan niet achter die 'key0x89b' komen?
Dan heb je stap 1 al omzeilt. En kan je wellicht op andere apparaten dezelfde key weg te schrijven? Het blijft immers data die ergens weggeschreven moet worden.

Of is die 'key0x89b' direct gekoppeld aan de os versie en user account?
Of bedoel je met uitlezen dat er Łberhaupt niet eens iets te kopiŽren valt? (Als in er kan geen verbinding met het de opslag gemaakt worden)


Btw wel fucked up als je je passcode kwijt ben dan.
Veiligheid tov gebruikersgemak, blijft een lastig probleem. :p

[Reactie gewijzigd door Morelleth op 19 februari 2016 11:51]

Als het zo simpel zou zijn, dan zou de FBI dit waarschijnlijk al hebben geprobeerd, en zou Apple dit waarschijnlijk ook voorzien hebben. Waarschijnlijk is er nog een intermediate key die bij het installeren van een nieuwe versie van iOS opnieuw wordt gegenereerd en bij de firmware wordt opgeslagen.
Geen idee wat de FBI al wel of niet geprobeerd heeft :)
Er zal ongetwijfeld een reden zijn waarom ze vragen om de backdoor, al is het maar gemakzucht en geld en tijdbesparing.
Waarschijnlijk accepteert de firmware updater/loader alleen een nieuwe firmware versie die ondertekend is met de private key van Apple. Als het mogelijk zou zijn een ander OS of OS versie op de betreffende iPhone te zetten dan zou de FBI dat inderdaad wel gedaan hebben. Het gaat er in deze zaak om dat de encryptie/beveiliging zo in elkaar zit dat alleen OS images die door Apple gegenereerd zijn naar een iPhone geschreven kunnen worden.
Alleen werkte deze methode tot IOS8.1.1.
Daar kwam ik dus idd achter.
Maar dan nog zou het met een simpel wachtwoord moeten kunnen (mits je die kloon steeds terugzet), maar als dat simpele wachtwoord uitstaat dan wordt het zowat onmogelijk. Helemaal als de code dan niet alleen meer uit cijfers kan bestaan, maar ook uit andere leestekens.

Dan zal social engineering zoals elders opgemerkt meer zin hebben. Zoeken in andere bronnen naar mogelijke wachtwoorden. Mensen blijven gewoonte dieren.
Die cloon van het geheugen bevat een erg sterke encryptie die sowieso niets meer met de pincode/wachtwoord te maken heeft. Wat iemand als pincode opslaat wordt gehashed etc en daarmee wordt het geheugen encrypted.
Met de pin/passcode krijg je toch juist toegang tot het apparaat, dus ook de achterliggende info?
Of ben ik nu gek?

Maar goed als vervolgens de info op het apparaat in dat encrypted geheugen zelf ook encrypted is dan wens ik ze helemaal succes.
Zoals ook al in andere comments te lezen valt gaat het dan in ieder geval niet om het bedrijf McAfee; dat is al jaren niet meer in zijn handen en hij heeft zich er meermaals van gedistantieerd.

Offtopic: dat stook hij niet onder stoelen of banken, zie ook dit (hilarische) filmpje

[Reactie gewijzigd door pimsaint op 19 februari 2016 10:58]

Zo'n statement leest toch vooral als een verkapt stukje marketing voor zijn eigen bedrijf, het heeft een hoog blaat gehalte.
Behalve dat het zijn bedrijf niet meer is.
Buiten dat is het wel degelijk een dubieus persoon. (Heel verhaal rond verdacht en gevlucht zijn voor de moord op zijn buurman in Equador geloof ik, en nu presidentskandidaat)
Deze mijnheer heeft al jaren niets meer met het bedrijf te maken.
McAfee is best wel een gestoord iemand, dus beetje met een korreltje zout nemen.

EDIT: Niet negatief bedoeld, maar hij is nou eenmaal een rare gast.

[Reactie gewijzigd door Cilph op 19 februari 2016 10:32]

Zodra iemand zegt "anders eet ik mijn schoen op" neem ik het met een korrel zout. Het punt is alleen dat McAfee daar nou juist gek genoeg voor is om het nog te doen ook, dus misschien dan toch maar geen korrel zout? :+
Zie filmpje, hij heeft zelf al het korreltje zout klaar staan :Y)
Mocht iemand twijfelen aan HOE raar deze knakker is....

https://www.youtube.com/watch?v=bKgf5PaBzyg
Dit staat toch nog steeds haaks op wat Apple wilt? Zodra McAfee een lek vindt en hier dus een tooltje voor heeft staan legio aan partijen aan de deur om deze te kopen, jatten of eisen. Tenzij McAfee direct apple inlicht en deze binnen een zeer korte periode een fix voor het lek kan uitbrengen.
Als McAfee dat lek dan netjes aan Apple doorgeeft, kan Apple het patchen en is er niets meer aan de hand.
Inderdaad en verwacht ook wel dat McAffee dit dan ook doet, maar ieder reeds ingenomen toestel van burgers (Crimineel of niet) zal nooit voorzien worden van deze update voor deze is gekraakt/geunlocked en de instanties (FBI, NSA, Chinese overheid etc etc) hebben wat ze willen.
Als je er van uit gaat dat iedere gebruiker zijn toestel onmiddellijk update en dat dieven (of personen die iets gelijkaardig willen doen als de FBI en een iPhone al gestolen hebben) hun iPhones ook gaan updaten.
De FBI wil toch weten of er voor de aanslag contact is geweest met IS? Als dat zo is, dan is er toch vanaf die telefoon gecommuniceerd en die signalen zijn dan via een provider gegaan.
Dan zou je toch zeggen dat de FBI ook die communicatie bij de providers kan opvragen? Of is dat zo goed geŽncrypt dat dan sowieso niet kan?
Communiceren gaat niet perse via bellen. Je kan ook een whatsapp sturen, Facebook chat gebruiken en vele andere chat programma's gebruiken. Desnoods communiceer je op een manier die hier helemaal niet voor bedoelt is, bash history bijvoorbeeld.
Ook dat gaat via een provider.
Daar heb je gelijk in, maar WhatsApp heeft end-to-end encryptie en daar kan de provider dus niet bij. Moet er ook niet aan denken dat mijn provider de root wachtwoorden kan zien van mijn Linux servers wanneer ik daarop inlog.
iMessage bvb heeft e2e encryptie. Idem met FaceTime...
Valt het kraken niet onder de DMCA als die door eens niet overheids-gerelateerde instantie gedaan wordt?
Is het dan niet juist strafbaar omdat hij dit als 3e doet zonder toestemming van de eigenaar van het device :+ natuurlijk zal de FBI er toestemming voor geven, miscchien zelfs opdracht...

Maar ergens is het natuurlijk belachelijk dat het toestel gekraakt wordt om een achterdeur te voorkomen daar het kraken min of meer een achterdeur is als je het zo wil omschrijven. Via een andere toegang toch bij de data komen. Apple was immers ook gedwongen om een alternatieve firmware te maken voor dit soort toepassingen welke over het bestaande device en firmware geplaatst kon worden.
Er was officieel geen sprake van een alternatieve firmware welke op elke device gezet moest worden.

Het is wel een sterk signaal dat de onkraakbaarheid vanaf iOS8 dus eigenlijk een luchtkasteel is, als John McAffee eigenlijk publiekelijk zegt dat hij het wel kan kraken. Hij zal waarschijnlijk wel al een ingang hebben daar hij verder met deze actie alleen maar te verliezen heeft als het niet lukt.
John McAfee kan zoveel zeggen, om daaruit af te leiden dat de beveiliging van IOS8 en hoger een luchtkasteel is moet nog blijken.

Ik blijf dit wel op de voet volgen, het wordt steeds interessanter!
Er zijn meerdere uitspraken dat het te kraken is, en waarschijnlijk zal dit ook zo zijn. Ik zeg overigens niet dat alle beveiliging slecht is .. maar dat de uitspraak van Apple dat sinds iOS8 geen hackbare toegang is tot versleutelde data, lijkt me wat sterk.
De encryptie zelf waarschijnlijk wel te kraken, er vind immers ook decryptie plaats.
Je moet dus alleen weten welke aanvals vectoren je kan gebruiken.

@bArAbAtsbB John McAffee doet volgens mij nog wel consultants werk maar idd is zijn bezigheden volgen geen dagtaak van mij O-)

[Reactie gewijzigd door Atmosphere op 19 februari 2016 13:56]

John Mcafee heeft sinds de verkoop van het antivirus bedrijf niets meer te verliezen hoor.....geld in overvloed...ergens in midden amerika een beetje wit poeder snuiven dat is zijn dagtaak geloof ik!
Het lijkt op het intrappen van een open deur maar volgens mij heb ik het nog niet gelezen in de comments.....

McAfee is presidentskandidaat.
McAfee is een 'raar' persoon.

McAfee roept dit voor media aandacht en heeft helemaal niet de intentie dit ding ook echt te kraken!

Aandacht. Views. Niews berichten. Mensen praten. Buzz; dŠt wil de beste man. Kan hem het verrotten. Lekker tegen de FBI aanschoppen en stemmen winnen!
En jij denkt dat het hem goed zal doen als ze het hem echt laten doen en het dan allemaal mislukt? Nee. Dus zo vergezocht zal het wel niet zijn.
Nee, ik denk dat hij niet echt de intentie heeft gehad om de FBI met een serieus plan over te halen om hem dit te laten doen. Ik denk zelfs dat hij het de FBI nooit via officiŽle kanalen heeft aangeboden, maar enkel via pers berichten de boodschap de wereld ingestuurd heeft.

Nalezen van het bericht lijkt in ieder geval te bevestigen dat McAfee inderdaad enkel zijn "hulp" heeft aangeboden via dat, door hem zelf geschreven artikel. Het is eigenlijk niet eens hulp aanbieden, het gaat niet om helpen. Zijn toon en insteek is het belachelijk maken van de lage skills van de FBI.

Ja; ik denk dat McAfee een populistische reactie de wereld in heeft gegooid om aandacht te trekken. Een leuke actie voor iemand die in de running is.

Neemt niet weg dat als hij en zijn vrienden het zouden proberen het best zou kunnen lukken; daar niet van. Maar dat is niet de insteek van zijn uitspraken hier.

[Reactie gewijzigd door Ducksy88 op 19 februari 2016 11:53]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True