Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

IsraŽlisch bedrijf adverteert met dienst om op iOS 11-toestellen in te breken

Het IsraŽlische bedrijf Cellebrite adverteert met een dienst om in te breken op iPhones met iOS-versies van 5 tot en met 11. Het is onduidelijk of daarmee alle versies van de nieuwste iOS-variant bedoeld worden. Onder andere de iPhone 8 zou te ontgrendelen zijn.

Forbes wijst op een document van Cellebrite waarin het zijn dienst adverteert en melding maakt van de iOS-versies. Daarin refereert het bedrijf aan 'advanced unlocking and extraction services'. Daaronder valt het uitschakelen en vaststellen van de pin, passcode en wachtwoordbeveiliging van iPhones, maar ook Android-toestellen van onder meer Samsung, Google, HTC, LG en andere fabrikanten. De extractiediensten maken het mogelijk om zonder roottoegang of zonder dat een jailbreak is vereist, gegevens te verkrijgen van toestellen.

Een van de bronnen van Forbes, werkzaam op het gebied van forensisch politieonderzoek, zegt dat Cellebrite claimt een iPhone 8 te kunnen ontgrendelen. Of dat ook voor de iPhone X geldt, is volgens de bron onduidelijk, maar zou voor de hand liggen omdat dezelfde beveiligingsmaatregelen worden gebruikt. Forbes schrijft over informatie te beschikken dat het Amerikaanse ministerie voor Binnenlandse Veiligheid in november in staat was om gegevens van een iPhone X af te halen, zonder te vermelden in welke staat het toestel verkeerde. Een juridisch document maakt alleen melding van een iPhone X die door een Homeland Security-specialist is onderzocht, waarbij gegevens werden onttrokken aan het apparaat. De specialist had training van Cellebrite ontvangen, aldus het document.

Uit de claims van het bedrijf is niet op te maken of het om alle versies van iOS 11 gaat. Het mobiele besturingssysteem kwam uit in september en sindsdien zijn er meer dan tien updates verschenen. Niet in alle gevallen dichtte Apple daarbij kwetsbaarheden in zijn software. Forbes merkt bovendien op dat de claims van een commercieel bedrijf met een korrel zout genomen moeten worden.

De toegang tot iPhones kwam in 2016 in het middelpunt van de belangstelling te staan, toen de FBI toegang wilde tot een iPhone 5c. Apple weigerde daaraan mee te werken. Een rechtszaak kwam er uiteindelijk niet, omdat de FBI er op het laatste moment toch in slaagde om toegang tot het toestel te verkrijgen met behulp van een externe partij. Het is nooit naar buiten gekomen welke partij dat was, al gingen er destijds geruchten dat dit Cellebrite was. Die informatie was afkomstig uit een IsraŽlische krant. De FBI hoefde van de rechter niet te onthullen welke partij was gebruikt.

Door

Nieuwsredacteur

100 Linkedin Google+

Submitter: Whatson

Reacties (100)

Wijzig sortering
Fascinerend. Ik vraag me wel af hoe ze dit klaarspelen en op welk niveau. En waar is dan precies toegang toe? Alles?
Je zou toch zeggen dat ze bij Apple als een dolle aan het werk zijn om de ingang te vinden en te patchen.

Ik vind overigens dat er best veel larikoek in omloop is voor wat betreft het 'kraken' van beveiligingen van toestellen. Er wordt dan gekopt dat bijvoorbeeld FaceID te kraken is maar er wordt niet bij vermeld of de instelling 'extra aandacht' aan staat. Of dat een Samsung gekraakt is maar dan staat er in de kleine lettertjes dat er fysiek toegang tot het apparaat nodig is of dat er software geÔnstalleerd moet worden.

[Reactie gewijzigd door iAmRenzo op 27 februari 2018 10:10]

De grootste kwetsbaarheid is de unlock-code. Omdat deze nogal eens gebruikt moet worden zal deze bijna wel beperkt complex moeten zijn.

In theorie kun je wel een gigantische alfanumerieke pincode erop zetten, maar dat zal niet zo snel gebeuren. 6-cijferige pincode is al bijzonder.

Met fysiek toegang en gespecialiseerde apparatuur kan ik me voorstellen dat ze een manier hebben om daar brute-force op te kunnen toepassen, zonder de anti-blokkeer maatregelen af te laten gaan (of die te laten resetten).

Als je die pincode eenmaal hebt, kun je vervolgens bijna alles. Sommige apps, zoals bank-apps hebben nog een eigen pincode of TouchID beveiliging en er is nog het 'restrictions' password, voor wat marginale zaken op de telefoon, maar voor opsporingsdoeleinden ben je er dan wel zo'n beetje.

De lokaal opgeslagen informatie op een telefoon van belang zal vooral foto's en sms'jes zijn.
Maar Apple stelt een 6-cijferige code nu volgens mij standaard (verplicht). En je zult dan inderdaad het reset mechanisme moeten kunnen omzeilen. Maar het lijkt me dat dit redelijk specifiek is waarmee Apple aan de slag kan gaan...?
Ik heb gewoon een viercijferige pincode. Op een iPhoneX met iOS 11. Mag gewoon van Apple.
Mag, maar 't is toch niet standaard?
De truc bij de oudere telefoons (iPhone 5C) was dat ze door fysiek direct op de pinnen van een chip aansluitingen te maken (of de chip helemaal uit de telefoon te verwijderen), een dump van de NAND-chip maakte die ze na een aantal pogingen terugplaatsten. Hierdoor hadden ze onbeperkte mogelijkheden om brute force attacks uit te voeren.
Er zijn toch genoeg programma's die je foto's of een specifiek ander programma achter een extra pincode plaatsen? Ik neem aan dat de gegevens dan versleuteld zijn en de sleutel nergens opgeslagen is.
Al diverse malen gebruik gemaakt van deze dienst, en ja, ze doen wat ze beloven.
Ik werk al jaren met de producten van Cellebrite, MSAB en Oxygen. In de meeste gevallen kun je met deze producten een telefoon gewoon zo uitlezen, op locatie en zonder dat je een pincode, wachtwoord, vingerafdruk o.i.d. nodig hebt.
Echter telkens als Cellebrite een update uitbracht voor de UFED waarmee we de iPhone konden uitlezen (meestal via DFU modus) bracht Apple weer een update uit waarmee het weer onmogelijk gemaakt werd. Daarom heeft Cellebrite tegenwoordig de Advanced Extraction Services in het leven geroepen.
Hierbij melden we een telefoon aan via een formulier op hun website, en krijgen we (meestal binnen een paar uur) een bevestiging dat we het toestel via een koerriersdienst naar hun kunnen opsturen, meestal naar Cellebrite duitsland.
Daar wordt er een fysieke extractie van het toestel gemaakt welke we weer via een versleutelde usb-stick/drive samen met het toestel teruggestuurd krijgen. Het hele proces duurt gewoonlijk 1 ŗ 2 weken.
Aangezien het opsturen niet altijd wenselijk is kan Cellebrite de extractie ook gewoon op locatie komen doen. De kosten hiervan zijn echter een stuk hogen dan de geadverteerde prijzen.
Dus... anti-security through obscurity. :P

De vraag is of het maatschappelijk en ethisch verantwoord is dat commerciŽle organisaties handelen in (het gebruik van) kwetsbaarheden. Zolang overheden er gretig gebruik van maken zal dat echter niet snel als discussiepunt naar voren geschoven worden.

[Reactie gewijzigd door The Zep Man op 27 februari 2018 10:47]

Een slotenmaker is toch ook ethisch verantwoord?
nee, niet als hij moedwillig fouten in designs verborgen gaat houden voor eigen gewin, dan is er weinig ethiek bij, je maakt immers sloten overall onveiliger.

Wat Cellebrite doet is moeilijk als integer te beschouwen of ethisch ten opzichte van beveiliging. Daarbij doet men het uit commercieel gewin. Getuige dat je de telefoon moet gaan opsturen, is men er ook alles aan het doen om het lek wat ze gebruiken verborgen te houden. Deze bedrijven zijn naar mijn mening een serieus gevaar wat zwaar onderschat wordt. Je weet niet met wie ze zaken doen, binnen welk kader ze hun acties uitvoeren enz.
Elk slot heeft fouten, by design zelfs.

Of denk je dat slotenmakers er niet van op de hoogte zijn dat 99% van de voordeursloten open te maken zijn met een klein stukje metaal?
dat is het probleem met een analogie (ik zou geen slotenmaker erbij hebben gegooid): mensen gaan daarna verder op de analogie :)

De slotenmaker als voorbeeld zegt niets over hoe ethisch Cellebrite is en omgekeerd :)
(en 99% met een stukje metaal? sterker nog: het gros krijg je zelfs open met een plastic kaartje :) )
Niet als hij de deur van je buur komt opendoen op jouw vraag...
Dat maakt het beroep an sich niet het probleem. Op die manier kan ik elke beroepsgroep wel ethisch onverantwoord noemen. Iedereen kan dingen doen die niet wenselijk zijn.
Cellebrite en dergelijke lijken me toch slotenmakers die van andermans deur openen hun business model gemaakt hebben..
hoezo, het is toch jouw telefoon die je laat uitlezen? Dat het gebruikt kan worden om gestolen telefoons uit te lezen dat kan, maar je kan ook een slotenmaker vragen om iemands anders zijn deur open te maken door te doen alsof het jouw huis is (met sommige slotenmakers vragen ze dat zelfs niet).
Volgens mij is de markt van dit soort bedrijven niet de eigen telefoon. Of ben jij zo naÔef?
Ik hou niet zo van die onderbuikgevoelens, geef mij maar feiten en statistieken over wat zo een bedrijf doet.
Ik zie namelijk genoeg use cases waar dit soort services legaal voor gebruikt kunnen worden...
bijvoorbeeld: Als bedrijf wanneer belangrijke data van een van hun telefoons gehaald moet worden en de gebruiker is zijn wachtwoord vergeten (dit gebeurt verbazingwekkend vaak).
Of als politie na een rechterlijke order zodat ze kunnen achterhalen met wie de crimineel gesproken heeft.
Dat het ook gebruikt kan worden voor criminele doeleinden kan, maar dat hoeft dan ook niet direct zo te zijn...

[Reactie gewijzigd door vSchooten op 28 februari 2018 10:34]

Ja, geef mij maar feiten en statistieken. Tenzij je die hebt...
Cellebrite is geen slotenmaker, eerder een sleutelmaker die sleutels maakt voor alle sloten zonder het al te belangrijk te vinden of je nou wel of niet het bijbehorende slot zou moeten mogen openmaken. Daarbij actief adverteert welke sloten ze “gekraakt” hebben zonder te melden hoe.
Ja in principe wel, ik ga er van uit dat Apple inmiddels via/via ook een UFED heeft om zo te zien wat Cellebrite doet om hun telefoons uit te lezen. Dan blijft dit natuurlijk de enige manier om hun exploits te beschermen.
Of ze sturen een mol.
Mag ik vragen hoe hoog de kosten zijn voor het uitlezen van een phone? Ik kan op hun website geen bedragen vinden. /just-curious
Willen we weten wat jouw beroep is?
Staat gewoon op zijn profiel hoor. "IT Security & Forensics".
Mag ik vragen voor welke doeleinden dat je gebruik maakt van Celebrite? Ik hoop dat je voor de politie ofzo werkt.
Mag ik vragen onder welke omstandigheden je deze diensten ethisch of misschien onethisch inzet? Ik ben benieuwd naar argumenten die het gebruik van dit soort tools rechtvaardigen.
Op de radio was te horen dat het toestel opgestuurd dient te worden naar Cellebrite. Cellebrite wil graag de door hen gebruikte methode geheim houden om te voorkomen dat Apple het lek weer gaat dichten en Cellebrite hun business weer kwijt is.

Ik vraag me af wat de bewijswaarde is wanneer een telefoon uit handen gegeven wordt en vervolgens misschien niet helemaal toevallig terug komt met belastende gegevens daarop.

Of kijk ik nu teveel films ?

Edit: link toegevoegd

[Reactie gewijzigd door T-men op 27 februari 2018 10:08]

Ik werk zelf bij de politie. Dit is geen probleem voor de bewijswaarde (tot nu toe dan). De politie maakt ook veel gebruik van gebruik van "closed" source software. We kunnen dus niet nagaan hoe sommige zaken gedaan worden. Dit is op zich niet zo raar; bedrijven zoals Cellebrite, MSAB, etc willen natuurlijk niet dat concurrenten weten welke exploits er gebruikt worden.

edit:
Staat trouwens gewoon veel info op de site van Cellebrite over deze methode. Dus zo geheim is het ook weer niet:
https://www.cellebrite.co...anced-unlocking-services/

[Reactie gewijzigd door daantje82 op 27 februari 2018 10:19]

Kan je dan ook onderbouwen waarom het geen schade doet aan de bewijswaarde? Immers worden er handelingen op verricht zonder toezicht van een overheidsinstantie met het doel informatie (al dan niet belastend) te onttrekken aan het apparaat..

Ik kan mij niet voorstellen dat een rechter dat soort materiaal toelaat. Lijkt me nogal schadelijk voor het vertrouwen in de rechtelijke macht. Hetzelfde met de closed-source software die je beschrijft, hoe controleer je de integriteit daarvan?

Zolang je niet het complete overzicht kan houden met handeling vanaf het moment van in beslagname staat het open voor discussie of de integriteit gegarandeerd is. Beide opties die je beschrijft doen daar simpelweg afbraak en niet zo'n klein beetje ook. Iemand met voldoende financiŽle middelen kan dit soort trajecten simpelweg manipuleren door zichzelf in die branche te begeven.

Het gemak van technologie mag er natuurlijk nooit voor zorgen dat kernwaarden van een rechtstaat worden geschaad. Het zou imo beter zijn als dat geld en de tijd die ermee gemoeid zijn worden geÔnvesteerd in iets wat wel voldoet en controleerbaar is.
Ik kan niet ontkennen dat je hier een goed punt hebt. Echter zijn we compleet afhankelijk van sommige instanties omdat de politie de kennis en mogelijkheden mist op een bepaalde gebieden. Cellebrite bijvoorbeeld heeft een groot eigen research afdeling die alleen maar zit op dit soort exploits. De politie kan dit simpelweg niet zelf opzetten. Daarnaast kan je zero-days ook niet vermelden in je processen-verbaal, anders worden ze binnen no-time gepatcht. Ik denk dat rechters dit ook in overweging nemen in hun beslissingen.

Daarnaast, zoals hieronder wordt gezegd, is het vaak ondersteunend bewijs. Het geeft ons een richting waarin we moeten zoeken.

We gaan er bij de politie van uit dat de bedrijven integer zijn, het is namelijk hun bron van inkomsten. Als we dit niet doen kunnen wij ons werk simpelweg niet doen. We zitten al zwaar onder de sterkte.

edit: typo's

[Reactie gewijzigd door daantje82 op 27 februari 2018 12:04]

Ik kan je verhaal en beweegredenen absoluut volgen maar ik denk dat het niet de juiste weg is om in te slaan.

Die afhankelijkheid is dan ook een van de risico's waar het al direct wringt. Het zou deftiger en verstandiger zijn om als organisatie aan te geven dat de gehele keten van integriteit niet gewaarborgd kan worden en derhalve een telefoon (in dit geval) waardeloos is. Maar dat is pittig en je moet het maar durven om zo direct te zijn tegenover bv. de politiek. Dan moet daar wel op geacteerd worden (als het echt zo'n groot probleem is natuurlijk). Dan zal er meer budget moeten komen of zal er in EU verband iets opgezet dienen te worden.

Mijn twijfel over de noodzaak is redelijk groot. Het komt in mijn ogen aardig in het straatje van de inlichtingendiensten die een uitbreiding van bevoegdheden vragen, waar geen ondersteunende informatie voor is om de noodzaak aan te tonen. Geen feiten, geen statistieken etc. Een organisatie als de politie zou deze vanwege het minder gesloten karakter juist wel kunnen aanleveren. En als dat niet lukt dan is er misschien ook wel geen concrete noodzaak maar is het meer een vorm van gemak en efficiŽntie wat natuurlijk haaks staat op de rechten van burgers of de integriteit van bewijsmateriaal en het vertrouwen in een rechtstaat.

*Een ander ding waar het natuurlijk wringt is dat het bewust kraken of minder sterk maken van encryptie en beveiliging wat voor veel mensen, organisaties en landen een no-go is. Het kan je simpelweg economisch behoorlijk schaden als andere mogendheden (en hun bedrijven etc.) hier misbruik van (kunnen) maken.

Het is een moeilijk gebied maar wat gaat de toekomst ons brengen als we aan de slag gaan met quantum-encryptie? En alles wat daar op en na nog zal volgen. Dan zijn veel werkwijzen van de politie en inlichtingendiensten sowieso al niet meer mogelijk..
Het probleem is dat alles draait om geld. Dat is er gewoon te weinig. Men wil gewoon niet investeren om een hoger oplossingspercentage te behalen. We roeien maar een beetje met de riemen die we hebben. En ik weet het, we zijn afhankelijk van de bedrijven zoals Cellebrite en MSAB, maar dit gaat niet veranderen.

En de noodzaak om in telefoons te kijken is er zeker. Mensen slaan alles op in hun telefoon. Dit is voor ons een bron aan informatie. Ik snap dat veel burgers dit een inbreuk vinden op hun privacy (en dat is het ook). Tegenwoordig is er echter wel toestemming nodig van een officier van justitie om in een telefoon te kijken (in sommige gevallen zelfs de RC). Overigens is bijna alles wat wij doen een flinke inbreuk op de privacy van de burger (tappen, historische gegevens, beelden, etc)

Voor mij is encryptie een beetje een lastig thema. Ik ben namelijk voor encryptie en veilige telefoons. Ik zou niet willen dat mijn telefoon "een minder sterke" encryptie krijgt om het werk van de overheid makkelijker te maken. Het maakt echter mijn werk wel weer heel lastig. Daar moeten wij als politie maar mee leren leven. EN meer focussen op innoveren! (dat doen we te weinig)
En de noodzaak om in telefoons te kijken is er zeker. Mensen slaan alles op in hun telefoon. Dit is voor ons een bron aan informatie. Ik snap dat veel burgers dit een inbreuk vinden op hun privacy (en dat is het ook).
Ik plaats hier een vraagteken bij. Een crimineel zal wel tien keer uitkijken om iets op een telefoon op te slaan. Die hebben andere hulpmiddelen of manieren dan een telefoon dat kan worden uitgelezen.
Als je de film 'De overloper' hebt gezien dan weet je misschien een paar manieren hoe ze te werk gaan. En echte criminelen gebruiken sowieso geen telefoon. Die kan immers worden afgetapt, en dat weten ze maar al te goed.

Verder ben ik het wel met jouw bijdrage eens hoor.
Ik ga er vanuit dat de politie en het OM gaan voor zoveel mogelijk veroordelingen (tenzij het om politiemensen gaat die te ver gaan, dan speelt het OM voor advocaat) want dat is goed voor de carriere. Waarheidsvinding is leuk in theorie maar ik denk dat een zienswijze waarin het OM koste wat kost probeert te veroordelen en de advocaat dat juist niet probeert realistischer is.
Wat een negativiteit zeg. Zů erg is het ook weer niet :)
Het is altijd ondersteunend bewijs he, dit is geen aflevering van CSI.
Wat als dat ondersteunend bewijs verkregen is nav het hacken v/d phone?
Tja, wat dan? Robert M. is ook veroordeeld op basis van "hacken", maar dan van zijn PC en aanverwante spullen. Wat als een verdachte niet meewerkt? Is het bewijsmateriaal dan meteen rijp voor de prullenbak?
Ik begrijp je punt heel goed. Kindermisbruikers moeten opgesloten worden. Maar als de overheid eigen regels mag overtreden raken we als rechtstaat op een hellend vlak.
Eerst gebruikt de overheid het om pedo's aan te pakken. Een stukje verder op het hellende vlak politieke tegenstanders dwars te zitten. Misschien zelfs een bijstandsmoeder korten omdat uit berichtjes die gevonden werden op haar telefoon bleek dat ze zwart bijverdiende als schoonmaakster.


Onrechtmatig verkregen bewijs wordt heel vaak indirect toegelaten in een rechtbank.  Die stelling is het best te verklaren adhv een voorbeeld. De politie doet een onrechtmatige telefoontap. Die tap zal (vaak) verworpen worden als bewijs.  Maar het indirect verkregen bewijs wordt niet ongeldig verklaard.  Voorbeeld: Uit een telefoontap blijkt dat de verdachte contacten onderhield met een iemand die niet in beeld was bij de politie.  Die persoon 'bekent' tijdens het telefoongesprek  een wapensmokkelaar te zijn.  Ongeacht of dat bewijs toegelaten wordt in de rechtszaal zal de politie die informatie onthouden en gebruiken.  Ze zoeken ander bewijs dat die persoon aan wapenhandel linkt.  En ook ander bewijs voor een relatie tussen de wapensmokkelaar en de afgetapte verdachte.
Beide personen worden mogelijk veroordeeld op basis van dat bewijs.  Maar zonder de telefoontap zou de politie dat bewijs nooit gevonden hebben. 

Dus een veroordeling op basis van (indirect) onrechtmatig verkregen bewijs is toegestaan.

Het onrechtmatig bewijs kan zelfs de enige reden v/de veroordeling zijn. 
Onrechtmatig verkregen bewijs wordt heel vaak indirect toegelaten in een rechtbank.  Die stelling is het best te verklaren adhv een voorbeeld. De politie doet een onrechtmatige telefoontap. Die tap zal (vaak) verworpen worden als bewijs.  Maar het indirect verkregen bewijs wordt niet ongeldig verklaard.  Voorbeeld: Uit een telefoontap blijkt dat de verdachte contacten onderhield met een iemand die niet in beeld was bij de politie.  Die persoon 'bekent' tijdens het telefoongesprek  een wapensmokkelaar te zijn.  Ongeacht of dat bewijs toegelaten wordt in de rechtszaal zal de politie die informatie onthouden en gebruiken.  Ze zoeken ander bewijs dat die persoon aan wapenhandel linkt.  En ook ander bewijs voor een relatie tussen de wapensmokkelaar en de afgetapte verdachte.
Beide personen worden mogelijk veroordeeld op basis van dat bewijs.  Maar zonder de telefoontap zou de politie dat bewijs nooit gevonden hebben. 

Dus een veroordeling op basis van (indirect) onrechtmatig verkregen bewijs is toegestaan.

Het onrechtmatig bewijs kan zelfs de enige reden v/de veroordeling zijn. 
Ik denk dat in zo'n geval er een ander scenario in werking treedt. Niet dat je daar vrolijker van wordt, maar uiteindelijk zullen de meeste mensen toch prettiger slapen wetende dat de "bad guys" in het gevang zitten.

Telefoontap volgens jou scenario. Tap is illegaal (hoezo stel je trouwens dat de tap illegaal is? Als het OM toestemming geeft is het legaal, maar laten we even ervan uitgaan dat het niet legaal is). Rechercheur hoort over de wapenhandelaar, maar kan dit niet in een PV vermelden, omdat hij/ zij weet dat de tap niet conform de regels is gedaan. Hij/ zij belt later die dag, in z'n vrije tijd, met Misdaad Anoniem. De tip wordt onderzocht en blijkt waardevol. Die anonieme tip is dus de basis van het onderzoek. Bij de rechtbak zal in de stukken staan dat er een anonieme tip binnenkwam. Dat is een geaccepteerde en toelaatbare methode uiteindelijk. Alle "onderzoeken" zullen melden dat de tipgever niet getraceerd kon worden.

Maar in de eerste plaats vraag ik me toch af waarom je stelt dat er een illegale telefoontap zou zijn. De politie luistert niet zo maar mensen af en als we al zover zouden komen dat ze het wel doen, dan zitten we echt al zo diep in de shit, dat dat niet meer ons grootste probleem is...
Robert M. is ook veroordeeld op basis van "hacken", maar dan van zijn PC
Bij mij weten heeft Robert M. de wachtwoorden en keys zelf opgehoest. In geval van succesvol hacken zou dat inhouden dat TrueCrypt / VeraCrypt simpel te kraken was. En dat is niet leuk.
Het heeft voor een bedrijf als Cellebrite toch helemaal geen zin om foutieve informatie te leveren? Zodra ze dat een keer doen, kan de aangeklaagde waarschijnlijk vrij makkelijk aantonen dat de informatie onjuist is. In dat geval wordt Cellebrite direct in twijfel getrokken en als onbetrouwbaar aangemerkt waardoor ze dus direct alle klandizie kwijt raken
Da’s een goed punt, maar niet uit te sluiten dat ze dat om watvoor reden dan ook wel doen. Ze moeten kunnen aantonen dat zij niks aan het bewijsmateriaal hebben veranderd. Dat zou een overheid als eis moeten stellen.
Mogelijk kan je het in ge-encrypte versie eraf halen en dat zo'n bedrijf dan de key heeft, als je dan de key+crypted data opstuurt kan de eindgebruiker zelf de data openen en kopieren. als je een methode gebruikt waarbij je kunt aantonen dat je niet iets kan toevoegen aan de versleutelde dataset
PRECIES! Ik snap echt niet dat dit kan. Wie vertelt mij dat er geen bewijsmateriaal "geplant" wordt op die telefoon. Dus laat ze maar, desnoods achter gesloten deuren, een volledige gedocumenteerde hack (lees videomateriaal en getuigen erbij) waaruit blijkt dat er geen gekke dingen gebeurd zijn met de telefoon. En dan nog is het niet 100% uit te sluiten dat de software die gebruikt wordt niet het bewijsmateriaal aantast.

In de fysieke wereld worden er foto's gemaakt om een "crime scene" te documenteren alvorens mensen het bewijsmateriaal betasten. Waarom is dit anders als dit om een telefoon gaat?
Het is wachten of dergelijke bedrijven diensten aanbieden zoals: plaats dit compromitterende materiaal op toestel x.
Daarvoor bestaan concepten als keten-certificering.
Nou, dat ligt wel iets genuanceerder :)
Persoonlijk vind ik de rechters in Nederland zeer kundig en vragen ze goed door. Zoals ik boven schreef dient de Cellebrite extractie vaak als ondersteunend bewijs.

De straffen mogen wel wat hoger, maar dat is een ander verhaal. ;)
Ja want als je mensen jarenlang opsluit tussen andere criminelen dan komen ze er vast beter uit. ;( Ze maken in die jaren dat ze vastzitten vast geen contact met andere criminelen zodat ze als je eenmaal vrij zijn gezellig met hun celgenoten verder kunnen gaan werken aan een nieuw masterplan om geld te verdienen. Ze raken ook vast niet geagiteerd richting de maatschappij die besloten heeft ze op te sluiten en van hun vrijheid te beroven. Sowieso gaan ze allemaal daarna zonder verklaring van goed gedrag een goede baan voor zichzelf regelen... ;( Goed bezig man!

[Reactie gewijzigd door Relatief op 28 februari 2018 03:33]

Ik kan me voorstellen dat ze zich daartegen kunnen beschermen door af en toe een lok telefoon te sturen die ze zelf hebben ingesteld, als die dan terugkomen met belastende data weet je genoeg. of dit ook gebeurt zal natuurlijk een tweede zijn.
Ik neem aan dat de FBI Cellebrite niet gaat vertellen wat de preciese details van de zaak zijn waar het om gaat. Ze sturen de telefoon op met de vraag de data er af te halen en door zoeken die data daarna zelf wel.
Je wordt pas veroordeeld als de rechter het ten laste gelegde bewezen en strafbaar acht.
Een enkel stuk data gaat daar nooit voor zorgen, maar kan wel ondersteunend zijn voor het ten laste gelegde.

Bijvoorbeeld als ze een GPS coŲrdinaat van een gekraakte telefoon halen, is dat niet rechtstreeks bewijs dat je daar geweest bent. Maar als de recherche nav die informatie op de betreffende plek bijvoorbeeld beeldmateriaal van je aantreffen op een beveiligingscamera, is dat gezamenlijk ondersteunend aan bewijsvoering dat je op een bepaald moment op een bepaalde locatie bent geweest.
Er zijn wel meer forensische bedrijven welke met bewijsmateriaal om gaan denk ik, zal wel een chain of custody regeling voor zijn met verzegelingen en dergelijke. Maar ja, het blijft natuurlijk mogelijk dat er 'geknoeid' wordt ergens. maar dat zou je zelfs intern op de politie of het OM kunnen betrekken en dan ben je nergens meer. Protocol + vertrouwen is toch enigszins nodig.
Ze komen ook on-location tegen een meerprijs geloof ik. Kunnen ze het gewoon onder toezicht van de recherche doen.
Dat zou wel een fors probleem zijn als dat echt zo is. Ik hoop dat Apple hier snel bovenop duikt en snel met patches komt als dat nodig is!
Wat wil je patchen dan? Blijft een kat en muisspel. Ńlles wat door de mens gemaakt is, kan door de mens gekraakt worden.

Uiteindelijk gaat alle DRM eraan, dus het is gewoon schijnveiligheid..

Ik ga er in ieder geval vanuit dat mijn gegevens nergens veilig zijn.
Ik ga er in ieder geval vanuit dat mijn gegevens nergens veilig zijn
Dat kŠn niet !

Je můet in deze maatschappij op den duur ťrgens vertrouwen hebben. Anders kun je niet meer bankieren, bewijzen wie je bent, wonen, bellen, internetten...

Het enige wat je kunt doen is niet verbaasd zijn wanneer wťťr een lek is gevonden. Maar zo'n passieve houding leidt tot fatalisme. ("Ik kan er tůch niets aan doen, dus het kan me niet meer schelen.)"

Je kunt heel veel doen.
  • Kijk met wie je zaken doet.
  • Zoek uit wat hun staat van dienst is (Maak je druk wanneer dat vertrouwen geschaad wordt)
  • Kijk uit wat je schrijft op fora e.d.
  • Pas op met instanties aan wie je je creditcardnummer, BSN e.d. geeft
  • Gebruik veilige wachtwoorden
  • Ach... je kent het rijtje wel...
Je můet in deze maatschappij op den duur ťrgens vertrouwen hebben. Anders kun je niet meer bankieren, bewijzen wie je bent, wonen, bellen, internetten...
Dat kan allemaal prima, ook als je de instanties niet vertrouwd. Het geeft alleen een enorm rot gevoel, en hopelijk krijgt dat genoeg draagvlak. Zodat de volgende generatie weer een protest generatie wordt alla de 60ties.
Ik denk dat @Segafreak83 bedoeld dat gegevens nergens "technisch" veilig zijn. Elke beveiliging is doorbreekbaar. Dat maakt dan ook dat je bepaalde acties onderneemt, zoals jij al schrijft. Zo snap ik bijvoorbeeld echt niet dat mensen naaktfoto's van zichzelf maken, want je weet dat niets veilig is. Om maar een voorbeeld te noemen.

Het lijkt me een heel gezonde houding, er vanuit gaan dat niets veilig is. Als in: 100 procent afgegrendeld. Dan ben je je tenminste bewust van de risico's en kun je dienovereenkomstig handelen.
Moet Apple alleen eerst weten hoe dit bedrijf dit doet, aangezien ze niet zeggen hoe ze dit gedaan hebben.
Ja klopt, ze (iemand) haalden het vorige keer met behulp van de backup functie uit de nand

Er was nog een manier waar de (secure enclave)paswoorden op stonden, die chip gaf een okť, als de code overeenkwam, dat okť-tje konden ze nabootsen door de nand op een ander mbord te plaatsen. (met een kopie van de iphone gegevens)

Misschien op een van deze manieren.

[Reactie gewijzigd door Mel33 op 27 februari 2018 11:21]

Cellebrite is al jaren de go-to partij voor het kraken van allerhande encrypted telefoons. Ik snap ook niet helemaal de nieuwswaardigheid van dit artikel, behalve dat ze wat nieuwe modellen aan hun "assortiment" hebben toegevoegd.
De nieuwswaardigheid is echter dat ook deze club tot nu geen toestellen later dan de iPhone 5 en 5C kon kraken dankzij de nieuwe security chip die in latere modellen geplaatst was. Bij die nieuwe chip is de security code ingebakken in hardware en fysiek niet uitleesbaar dor software. Software kon enkel vragen of een code correct was, met een steeds grotere tijdsvertraging tussen pogingen.

Als ze dat nu kunnen omzeilen is dat dus terrecht groot nieuws.
Veel met hun apparatuur gewerkt erg mooi spul en is door bijna iedere vak idioot te gebruiken zonder al te veel voorkennis.

Goed te horen dat ze nog steeds hard aan de weg timmeren het apparaat dat zei hiervoor leveren is niet voor iedereen weg gelegd een bedrag van 10 tot 15k is niet geheel ongewoon.

Ben wel benieuwd hoe ze dit voor elkaar hebben gekregen.
door bijna iedere vak idioot te gebruiken
en
het apparaat dat zei hiervoor leveren is niet voor iedereen weg gelegd
spreekt elkaar een beetje tegen.
Ik vind 10 tot 15k echt geen geld voor een speciaal apparaat. Voor een commercieel bedrijf of dienstverlener heb je er meestal maar 1 nodig. Ik zou zeggen, een koopje.
dat is zeker zo en sorry als het lijkt alsof ik mijzelf tegen spreek maar na dr aanschaf van 10 tot 15k kan zelfs je niet technische manager ermee overweg maar de initiele aanschaf is zeker voor de kleinere bedrijven een beste slok

voor inderdaad grote bedrijven is het een koopje en de support is erg goed als je een mobiel hebt welke nog niet of niet goed word ondersteund helpen ze je 1 op 1 om dit zsm voor elkaar te krijgen
een iPhone X die door een Homeland Security-specialist is onderzocht, waarbij gegevens werden onttrokken aan het apparaat
Dat is zů algemeen en nikszeggend dat het net zo goed vingerafdrukken op het toestel zťlf kunnen zijn...
Zover ik weet werkt een iPhone X niet met een vingerafdruk, maar met Face ID wat je gezicht scanned.
Ik bedoel dus vingerafdrukken *op* het toestel. Fysiek, niet digitaal ;-) iedereen houdt z'n foon wel eens in z'n handen. Misschien is dat de informatie die ze geŽxtraheerd hebben.
bizar dat een bedrijf dit zomaar openbaar maakt.
Kan Apple hen nu niet aanklagen voor inbraak op hun intellectual property zeker nu ze dit zo openbaar maken?
Sterker nog: wanneer Cellebrite zoveel specifieke kennis heeft over IOS 5 t/m 11, dan is het misschien een aantrekkelijke hap voor Apple om het Cellebrite software team over te nemen en het bedrijf te kopen.
Tja dan staat de volgende cellebrite wel weer op. Kun je bezig blijven met overnemen. Daarbij zijn ze Łberhaupt beursgenoteerd? Misschien willen ze de boel wel helemaal niet verkopen. Klinkt alsof ze een aardig business model hebben.
Uiteindelijk is het net als met alles een kwestie van geld. Met voldoende financien kom ik ook in jouw binnen zonder dat jij het merkt of ooit gemerkt zal hebben. Gaat erom hoeveel geld heb je er voor over en wat is de buit. Zolang de kosten hoger zijn dan de baten en het risico zit je veilig. Heel simpel gezegd voor §10.000 krijg je mijn telefoon gewoon unlocked.
Ze melden niet wat ze unlocken? Pincode 4 of 6) of alfanumeriek als het dat laatste is dan is dat wel een problee voor Apple, Apple staat voor in security vandaar meestal de hoge prijs.

Disk encryptie heeft geen nut als men het toestel unlocked.
@SecurityOfficiers hier op de forum:

1. Wipe iPhone
2. Alfanumeriek password
3. Encrypt backup via iTunes (offline)
4. Install offline apps
5. Turn Erase data after 10...
6. Call Cellebrite to unlock
7. :)
Volgens mij zijn er twee methodes, de ene snel en de andere langzaam:
  • Een directe hack door middel van een exploit
  • Eindeloos passcodes gokken door middel van het lezen en terugschrijven van de inhoud van de SSD op de telefoon
Als de eerste methode niet werkt moet je de telefoon opsturen (of grof betalen om wat mensen langs te laten komen) en dan duurt het wat langer voordat de passcode met eindeloos proberen gekraakt is.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*