Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

'FBI kraakte iPhone van San Bernardino-schutter met hulp Australisch bedrijf'

Azimuth Security heeft in 2016 de iPhone 5c van een van de San Bernardino-schutters gekraakt, ontdekte The Washington Post. De FBI wilde Apple via de rechter dwingen de telefoon te ontgrendelen, maar liet die zaak vallen nadat het lukte om het toestel te kraken.

Tot nu toe was niet bekend hoe de FBI in 2016 toegang kreeg tot de iPhone 5c van de schutter, maar volgens onderzoek van The Washington Post is dat gelukt met de hulp van het Australische Azimuth Security. Dat is een beveiligingsbedrijf dat naar eigen zeggen exploits verkoopt aan 'democratische overheden' en veelal buiten de publiciteit blijft.

Anonieme bronnen die betrokken waren bij het proces, zeggen tegen de krant dat twee experts van het beveiligingsbedrijf een keten aan exploits combineerden om toegang te krijgen tot de iPhone 5c. Ze omzeilden het beveiligingsmechanisme dat Apple in iOS 9 had ingevoerd om het raden van de pincode met een bruteforce-aanval te blokkeren. Daarbij wordt het toestel volledig gewist na tien foute inlogpogingen.

Een van de gebruikte kwetsbaarheden zat in code van Mozilla, die Apple gebruikt zou hebben voor het koppelen van accessoires aan de Lightning-poort. Via deze eerste toegangsweg zouden de onderzoekers nog twee andere exploits aan elkaar gekoppeld hebben, om code uit te kunnen voeren op de iPhone, om zo het beveiligingsmechanisme te omzeilen. De FBI kon vervolgens de pincode achterhalen met een bruteforce-aanval.

Naar verluidt heeft de FBI een bedrag van 900.000 dollar betaald aan Azimuth Security. De kwetsbaarheid werd enkele maanden nadat de iPhone door de FBI werd gekraakt, ontdekt door Mozilla en is verholpen. De FBI en Azimuth wilden niet reageren op vragen van The Washington Post.

Door de hulp van het beveiligingsbedrijf liet de FBI een rechtszaak tegen Apple varen. Een rechter had Apple opgedragen om in te gaan op het verzoek van de Amerikaanse politiedienst om speciale firmware te ontwikkelen om de iPhone te kunnen ontgrendelen. Apple ging tegen die uitspraak in beroep en ceo Tim Cook verweerde zich in een open brief gericht aan consumenten tegen de beslissing.

iPhone 5c

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

15-04-2021 • 10:06

148 Linkedin

Reacties (148)

Wijzig sortering
Prima, toch? FBI weet met wat moeite één iPhone te ontgrendelen met een methode die niet op te schalen is. De veiligheid van andere iPhones wordt niet verminderd door deze aanval en de FBI heeft z'n werk kunnen doen.
Ja maar het probleem ligt iets moeilijker dan dat. Het is een ethisch dilemma waar menig filosoof van kan smullen. Aan de ene kant zou je zeggen dat Applie niet zo moeilijk moet doen en gewoon de firmware had meoten geven om de iPhone te kunnen kraken, want het gaat om de telefoon van een terrorist.

Aan de andere kant komt dan de vraag: wanneer is een misdrijf heftig genoeg om de privacy van mensen te schenden? Wil je een van de grootste bedrijven allertijden op de stoel van de rechter laten zitten en zeggen "Ja, wij vinden dit misdrijf heftig genoeg, dus geven we de firmware vrij".
Dan zou je eigenlijk gewoon een digitaal huiszoekingsbevel moeten hebben. Een rechter kan dat dan uitgeven zodat die kan toetsen, dan hoeft Apple ook nooit op de stoel van de rechter te gaan zitten.

Edit: voor de mensen hieronder. Ik zeg niets over het feit of een leverancier moet kunnen kraken en/of backdoors in moet bouwen. Ik reageer op het volgende:
Aan de andere kant komt dan de vraag: wanneer is een misdrijf heftig genoeg om de privacy van mensen te schenden? Wil je een van de grootste bedrijven allertijden op de stoel van de rechter laten zitten en zeggen "Ja, wij vinden dit misdrijf heftig genoeg, dus geven we de firmware vrij".

[Reactie gewijzigd door hiostu op 15 april 2021 11:27]

Om dat te laten werken moet je een backdoor inbouwen in de hard- en/of software. Dat is een bijzonder slecht idee, want niet enkel “the good guys” kunnen dat (uiteindelijk) gebruiken en het gebeurt ook nog weleens dat een regime verandert van “good” naar “bad”.

Hier moeten we absoluut niet aan beginnen, net als dat we geen backdoor in encryptie moeten inbouwen waardoor encryptie totaal niet meer te vertrouwen is en een enorm beveiligingslek ontstaat.
Hoe weet je dat die backdoor er niet inzit. De VS kan Apple dwingen om dit in te bouwen in geheime processen, zoals ze al eerder hebben gedaan. Laten we het gezonde verstand gebruiken:
  • Amerikaanse Inlichtingendiensten verzamelen gegevens op elke manier die ze kunnen, ethisch en onethisch, legaal en illegaal. Dat heeft Snowdon duidelijk bewezen en daar is niets aan veranderd
  • Hoe beter gegevens beveiligd zijn, hoe waardevoller de gegevens voor inlichtingendiensten
  • Het is van groot belang voor inlichtingendiensten om veilige diensten, producten aan te bieden dan wel laten aanbieden om de gewenste voorselectie van gegevens plaats te laten vinden op gebruikersniveau
  • Het is van absoluut belang om mensen te overtuigen dat gegevens voor anderen ontoegankelijk zijn, dan zullen ze meer waardevolle gegevens toevertrouwen. Er moet dus een overtuigende show worden opgevoerd
Zie het als een business. Hoe zou jij het aanpakken, als het aan jou was om zoveel mogelijk waardevolle gegevens te verzamelen. En begrijp voor inlichtingendiensten is dat oorlog en in liefde en oorlog is alles toegestaan, ja, jokken ook. Ook in ons eigen smurfenlandje wordt op ongeoorloofde wijze gegevens verzameld, zo stond pas weer eens in de krant.

Tip: Waarom zou de VS zich zo ontzettend druk maken over bedrijven als Kasperski en diensten waarvan de controle buiten hun domein liggen, en waarom ze ons geen e2e-versleuteling gunnen op 5g, maar niet over Apple? Het kan ze zogenaamd niet schelen dat deze enorme bron aan waardevolle gegevens buiten hun bereik ligt?

Hoe zou ik het zelf doen?
Ik zou zorgen dat de gegevens op de iPhone voortdurend naar de servers van Apple gaan, daar worden ze, na filtering bewaard. Daarbij werk je met profielen van mensen, die vertellen hoeveel bewaard moet worden. Zo blijft inbraak van het toestel onnodig en moeilijker voor anderen, maar weet je toch wat er bij iedereen op het toestel staat. Daarnaast zijn er natuurlijk nog andere zeer exclusieve mogelijkheden om een toestel te benaderen, ook al staat het uit. Je mag van een beetje inlichtingendienst verwachten dat ze die bij het chipontwerp inbouwen. Je gaat natuurlijk proactief te werk, dat is ook de beste manier om het "veilig" te maken. Snowdon heeft laten zien dat veiligheidsdiensten ALLE denkbare mogelijkheden gebruiken.

Wat we nu wel al een tijdje zien is een omslag in het denken. Eerst was het voor de VS van belang om systemen te maken die flink lek waren zodat andere regeringen ze zouden accepteren. Zo gaven ze andere landen toegang, waarbij ze zelf een superieure lowlevel controle hadden via de hardware en het OS. De VS konden zo waarschijnlijk monitoren hoe anderen hun systemen hackten. Vandaar dat ze de buitenlandse hackers met naam en toenaam weten te identificeren.

Nu Landen als China en Rusland weggaan van Amerikaanse technologie, wordt het een liability dat andere landen kunnen inbreken op Amerikaanse systemen, maar de VS niet omgekeerd. Vandaar dat men nu wel e2e-encryptie is gaan toepassen, waar ze daar eerst fel op tegen waren. Door zelf die e2e-encryptie aan te bieden, krijgt de VS als enige toegang tot de gegevens. Daar voelen ook bondgenoten zich niet helemaal gemakkelijk bij, vandaar dat het VK nu bedrijven als Facebook wil verplichten hen toegang te geven tot de gegevens.

zie verder: 1 2 3 4 5 6

[Reactie gewijzigd door Elefant op 15 april 2021 21:50]

Een argument voor de US regering om geen backdoors in te bouwen zou kunnen zijn dat de economische belangen van het hoog houden van het imago van Apple, MS e.d. belangrijker is dan de informatie die ze kunnen verzamelen met backdoors.

Over het inbouwen van kwetsbaarheden in het chipontwerp, ik vraag me af hoe makkelijk het is om dat in het geheim te doen, aangezien de ontwerpen naar China gestuurd moeten worden voor de fabricage.

Toch ben ik bang dat je zomaar gelijk kan hebben.
Over het inbouwen van kwetsbaarheden in het chipontwerp, ik vraag me af hoe makkelijk het is om dat in het geheim te doen, aangezien de ontwerpen naar China gestuurd moeten worden voor de fabricage.
Dat en sites als Anandtech trekken de chip uiteindelijk onder een x-ray machine of elektronen microscoop heen, waardoor de hardwarepaden gewoon inzichtelijk zijn. Daarmee kunnen ze heel veel zien van het ontwerp. Het ontwerp an sich is dan ook niet geheim te houden.
En zo werd na 7 jaar ook ontdekt dat dit al 15 jaar in Intel processoren zit.
“Core vPro processors contain a second physical processor embedded within the main processor which has it’s own operating system embedded on the chip itself,” writes Jim Stone. “As long as the power supply is available and in working condition, it can be woken up by the Core vPro processor, which runs on the system’s phantom power and is able to quietly turn individual hardware components on and access anything on them.”

Although the technology is being promoted as a convenient way for IT experts to troubleshoot PC issues remotely, it also allows hackers or NSA snoops to view the entire contents of somebody’s hard drive, even when the power is off and the computer is not connected to a wi-fi network.

It also allows third parties to remotely disable any computer via the “secret” 3G chip that is built into Intel’s Sandy Bridge processors. Webcams could also be remotely accessed.
En is Intel daardoor zijn klanten kwijtgeraakt? Welnee.

Dat je een moderne chip kan ontleden waarop versleutelde instructies staan lijkt me ondoenlijk. Als het allemaal recht-toe-recht-aan is wel, maar geef de spionagewetenschappers ook een beetje krediet. Die gaan ook met hun tijd mee. Het lijkt me een verkeerde aanname dat je alles kan hacken, zonder inside-information.

En het is eveneens een verkeerde aanname dat het nog gevolgen heeft als het ontdekt wordt. Er worden regelmatig achterdeurtjes ontdekt. Niemand die er warm of koud van wordt. Het wordt afgedaan als "kwetsbaarheden" zonder af te vragen of iemand die er niet opzettelijk ingestopt heeft. Er wordt een patch gemaakt, en het leven gaat verder. Zelfs als de patch geen volledige bescherming biedt. Ook als de patch later nieuwe kwetsbaarheden blijkt te veroorzaken. is het wederom, sorry foutje. Het is zelfs verboden daar iets achter te zoeken (Alu-hoedje, complotdenker, etc.).

Je mag aannemen dat soortgelijke sterk verbeterde technologie nu ook in Qualcomm processoren zit. Die hebben als voordeel dat ze standaard al een 4G-5G chip aan boord hebben. En weet je wat zo mooi is? Doordat gegevens nu "voor de veiligheid" versleuteld worden verstuurd, weet je nooit wat ze precies versturen. Je kan nu veilig voor ontdekking alles terugsturen naar de servers, ondertussen luidkeels roepend dat je de gegevens van de klanten beschermt.

zie verder: 1 2 3 4 5 6

[Reactie gewijzigd door Elefant op 15 april 2021 21:51]

Je kan nu veilig voor ontdekking alles terugsturen naar de servers,
Maar het internet werkt gelukkig wel zo dat het serveradres niet versleuteld is. De adressering is altijd publiek uitleesbaar.

En ja het heeft intel wel degelijk klanten gekost. Ook na de spectre en meltdown issues. Zeker ook doordat AMD een waardig alternatief heeft.
Zeker, maar dat Microsoft gegevens stuurt naar MS servers en Apple naar Apple servers, Google naar Google servers kan moeilijk als verdacht worden aangemerkt. Er loopt een veelheid van gegevensstromen van en naar de moedermaatschappij. Ze kunnen gegevens schrapen en die met andere gegevensstromen meesturen. Realyime gaat natuurlijk erg opvallen. Misschien is dat mede een reden dat er zo belachelijk veel updates worden gedaan. Belangrijk in zulke zaken is juist altijd "deniability", jezelf een excuus scheppen waarmee je gedrag een legale reden geeft. Laat de ander maar eens het tegendeel bewijzen. Dat kan je niet en dus lachen ze iedereen vierkant uit. En mochten ze onverhoopt toch een keer betrapt worden, dan is het de fout van een medewerker die ontslagen wordt.

Als veiligheidsdiensten er bij betrokken zijn, loopt alle onderzoek soswieso dood en worden getuigen monddood gemaakt onder bedreiging met draconische straffen. Eerder liep onderzoek tegen Epstein ook dood nadat officials zeiden dat hij voor de veiligheidsdienst werkte. Zo kwam hij er gemakkelijk van af. Dan wordt het ineens een zaak van national security en lopen alle sporen dood.

Je kunt altijd dit soort argumenten aanvoeren om toch de theoretische mogelijkheid open te houden dat er niet gespioneerd wordt, maar je wil begrijpen dat ze daar precies voor dienen: Deniability. Maar de geschiedenis kennende en het belang dat landen aan inlichtingen vergaren hechten is het niet erg geloofwaardig.

Maar het werkt inderdaad bij mensen die er nooit over nadenken en eigenlijk een grote wens hebben te geloven in de onkreukbaarheid van hun machthebbers, ook al zouden ze beter moeten weten, na alle eerdere leugens die ze opgediend hebben gekregen. Kijk maar eens hoe krampachtig mensen uit het eigen kamp in de eerlijkheid van Trump (of Biden) willen geloven.

De juistheid van de les van de grote Amerikaanse inspirator blijft gelden:
"In de grote leugen zit altijd een zekere geloofwaardigheid; omdat de brede massa van een natie altijd gemakkelijker wordt gecorrumpeerd in de diepere lagen van hun emotionele aard dan bewust of vrijwillig; en daardoor worden ze in de primitieve eenvoud van hun geest gemakkelijker het slachtoffer van de grote leugen dan van de kleine leugen, aangezien ze zelf vaak kleine leugens vertellen in kleine zaken, maar zich zouden schamen om hun toevlucht te nemen tot grootschalige onwaarheden. Het zou nooit in hun hoofd komen om kolossale onwaarheden te verzinnen, en ze zouden niet geloven dat anderen de brutaliteit zouden kunnen hebben om de waarheid zo berucht te verdraaien. Hoewel de feiten die dit bewijzen, duidelijk in hun gedachten kunnen worden gebracht, zullen ze nog steeds twijfelen en twijfelen en blijven ze denken dat er misschien een andere verklaring is.…. "
zie verder: 1 2 3 4 5 6

[Reactie gewijzigd door Elefant op 15 april 2021 21:51]

De management processor in een Intel processor was wel geweten, en het is al jaren gepubliceerd wat het doet en hoe het vPro platform te gebruiken. Domme mensen geloven zo een beetje alles en de tech media gaan er dan ook in mee omdat ze zelf niets weten.

Het wordt namelijk gebruikt in bedrijven om op afstand computers te herinstalleren of hulp te verlenen. Je moet dan ook lokaal de functie aanzetten en het werkt enkel als je de juiste sleutels hebt.

Als er opzettelijk achterdeuren in software zitten dan gaan mensen dit vinden, je kunt software de-compileren. Als er actief informatie wordt doorgesluisd gaan mensen in de InfoSec branche dit ook vinden, je kunt alles afluisteren eenmaal je het apparaat in handen hebt, zelfs SSL communicatie als je een eigen CA maakt en de machine laat vertrouwen. En als er software zit die de CA niet vertrouwt valt dit ook op, dan kun je gemakkelijk uitvissen welk proces dit is, je zet een breakpoint en kunt dan zien wat het in het geheugen heeft. Mensen doen dit voor een job tegenwoordig, het zou enorm dom zijn van Apple of Microsoft om die zaken opzettelijk in te bouwen.
Want als een inbreker met een sleutel binnenkomt, is het ineens geen inbreker meer, ook als steelt hij al je spullen.

Helaas laten mensen zich van alles aanpraten, zelfs achterdeuren in chips, als er maar een of andere vergezochte legale reden voor opgegeven wordt. Maar denk nou eens na. Waarom zit dit in alle core-processoren ook die helemaal niet door grote bedrijven worden gebruikt. En Hoeveel grote bedrijven maken daar dan gebruik van? Het is een vrij overbodige optie omdat bij grote bedrijven PC's al in een netwerk hangen dat veel sneller en veiliger is. Het is volstrekt onzinnig om je PC's via Intels radiochip te gaan beheren.

Je moet het lokaal aanzetten anders werkt het niet? Wie dat na de onthullingen van Snowdon nog gelooft, vind ik erg goedgelovig. Dit zijn gewoon achterdeuren die er opzettelijk inzitten voor inlichtingendiensten. En hoeveel procent van de gebruikers zijn er daadwerkelijk van op de hoogte? Maar weinig. Maakt Intel er soms reclame mee? Nee dat laten ze wijselijk achterwege. Staat het soms groot op de doos? Nee natuurlijk niet. Veel klanten zouden naar AMD overstappen. Wat moeten ze dan zeggen? In AMD zitten ook backdoors?

En dan dat verweer: InfoSec branche zou het wel vinden.
Ze hebben het gevonden. Waar denk je dat ik deze info vandaan hebt?

Dank je voor je post. Een bevestiging van wat de grote Amerikaanse inspirator heeft gezegd:
"In de grote leugen zit altijd een zekere geloofwaardigheid; omdat de brede massa van een natie altijd gemakkelijker wordt gecorrumpeerd in de diepere lagen van hun emotionele aard dan bewust of vrijwillig; en daardoor worden ze in de primitieve eenvoud van hun geest gemakkelijker het slachtoffer van de grote leugen dan van de kleine leugen, aangezien ze zelf vaak kleine leugens vertellen in kleine zaken, maar zich zouden schamen om hun toevlucht te nemen tot grootschalige onwaarheden. Het zou nooit in hun hoofd komen om kolossale onwaarheden te verzinnen, en ze zouden niet geloven dat anderen de brutaliteit zouden kunnen hebben om de waarheid zo berucht te verdraaien. Hoewel de feiten die dit bewijzen, duidelijk in hun gedachten kunnen worden gebracht, zullen ze nog steeds twijfelen en twijfelen en blijven ze denken dat er misschien een andere verklaring is.…. "
Wij leven nu in een wereld waarin machthebbers zo hullen in Leugens, dat ze geen waarheid meer kunnen verdragen. Hoe zei: Pompeo het: We moeten liegen om de waarheid te beschermen! Dat heb ik bij de CIA geleerd! En dat was een verheffend moment voor hem, want de enige keren dat deze mensen echt de waarheid spreken, is als ze toegeven dat ze liegen. Rutte komt zo ver niet , hij liegt nooit. Als hij opzettelijk de onwaarheid spreekt, definieert hij dat als "foutjes". Daarom kan hij "oprecht" verklaren: Ik ben altijd "eerlijk" geweest! De meeste kamerleden spreken dat niet tegen, zij noemen het liever de creatieve geitepaadjes van Rutte. En zo is een verborgen backdoor in een chip een "managementbeheerfunctie". Jij mag in deze wereld van leugens leven en ze helpen uitdragen om er anderen in te laten geloven. Ik blijf daar graag buiten.

[Reactie gewijzigd door Elefant op 16 april 2021 15:48]

Weet je wel waarover je praat? De Intel "achterdeur" in de vPro - daarmee bedoel je Intel AMT - is een verkooppunt voor Intel. Staat op hun website beschreven: https://www.intel.com/con...pro-platform-general.html
en de documentatie is redelijk gemakkelijk te vinden.

Waarom zit dit in alle core-processoren ook die helemaal niet door grote bedrijven worden gebruikt.
Welke core-processoren worden niet door bedrijven gebruikt? Ik zorg voor ~400 computers op het werk, ze komen van Core i3 naar Core i9 en Xeon-W alsook Xeon DP.

En Hoeveel grote bedrijven maken daar dan gebruik van?
Veel, Dell of HP gebruikt dit oa voor hun hulp op afstand. https://www.dell.com/supp...stems-with-intel-amt-vpro

Het is een vrij overbodige optie omdat bij grote bedrijven PC's al in een netwerk hangen dat veel sneller en veiliger is.
Okay, ik krijg morgen 50 computers, hoe ga je ze opzetten, van een naar de andere met een schijfje? Wat als je er 500 krijgt? Nee, je geeft je deployment key aan Dell, die branden ze in de fabriek, eenmaal geïnstalleerd en in je netwerk krijgen ze een IP alvorens er een OS opstaat, kun je een berichtje geven om ze allemaal tezamen op te starten (zelfs al staan ze uit/standby) ze starten automatisch op van je netwerk en je kunt ze op afstand installeren. Een BSOD? Zelfs als Windows niet start kun je zien wat er gebeurt, je kan veranderingen in de BIOS aanbrengen en de computer op afstand aansturen.

Je kunt zo via Dell of HP zelfs een volledig datacenter afhuren moest de jouwe afbranden en binnen een uurtje heb je een heel datacenter aan servers klaar. En bijna ALLE platformen hebben deze functie. Server borden hebben niet alleen AMT maar meestal ook IPMI/Redfish, dan moet je zelfs geen CPU of RAM insteken en je kunt al een IP krijgen en zien wat er aan de hand is.

Het is volstrekt onzinnig om je PC's via Intels radiochip te gaan beheren.
Het is geen radio, het zit ingebouwd in de processor. Het is niet alleen zinnig, andere oplossingen (zoals IPKVM) zijn HEEL erg duur per stuk (EUR 50-150) en hebben dan meestal nog een tweede netwerk nodig.
Nadat het pas later is ontdekt, is het een feature geworden, bedoel je. Een verkooppunt is het nooit geweest, want dan hadden ze het van af het eerste moment rond lopen bazuinen. Ze hebben het eerst juist verzwegen. En hoeveel mensen gaan op de Website van Intel zoeken naar niet vermelde features? Dat is nou typische denialbility scheppen. Herinner je nog wat een storm van protest Intel kreeg toen ze aankondigden een uniek ID in hun chips te willen stoppen? Niemand vertrouwde dat. Maar iedereen voelt zich er goed bij dat je op afstand buiten de netwerkbeveiliging om computers kan scannen zonder ze zelfs maar op te starten? Want Amerikaanse corporaties zijn goudeerlijk? Waarom heeft Snowdon dan het tegendeel bewezen?

Van de een naar de andere computer met een schijfje? Je hangt ze gewoon aan een netwerkkabel en je zet ze aan. Dat kan ook van afstand. Misschien heb je wel eens van WakeOnLan gehoord. Die feature zit er al veel langer in, en in ALLE PC's. Je gaat bepaalde Intel processoren ook niet anders managen dan de rest via een trage radioverbinding? Ja het kan, maar daar is het duidelijk niet voor bedoeld. Dat je wat use cases kan verzinnen, hoort bij de echte "toepassing". Dat is zelfs essentieel. Denialbility is essentiele feature in spionage.

De grote Amerikaanse inspirator heeft voortreffelijk verwoord:
"In de grote leugen zit altijd een zekere geloofwaardigheid; omdat de brede massa van een natie altijd gemakkelijker wordt gecorrumpeerd in de diepere lagen van hun emotionele aard dan bewust of vrijwillig; en daardoor worden ze in de primitieve eenvoud van hun geest gemakkelijker het slachtoffer van de grote leugen dan van de kleine leugen, aangezien ze zelf vaak kleine leugens vertellen in kleine zaken, maar zich zouden schamen om hun toevlucht te nemen tot grootschalige onwaarheden. Het zou nooit in hun hoofd komen om kolossale onwaarheden te verzinnen, en ze zouden niet geloven dat anderen de brutaliteit zouden kunnen hebben om de waarheid zo berucht te verdraaien. Hoewel de feiten die dit bewijzen, duidelijk in hun gedachten kunnen worden gebracht, zullen ze nog steeds twijfelen en twijfelen en blijven ze denken dat er misschien een andere verklaring is.…. "
Lees je dat goed? Er zit altijd een zekere geloofwaardigheid in. Dat is essentieel!

En verder. Jij mag jouw kijk onderhouden. Dat stoort mij niet in het minst. Ik geef mijn kijk en laat mensen vrij wat ze er mee doen. Ik val anderen niet aan op hun kijk. Ik dien ze alleen van repliek als ze mij aanvallen. Jouw kijk is mij nu geheel duidelijk, dank daarvoor. Beleefdheid dwong me te antwoorden, maar genoeg is genoeg. Dit is nu een dode draad.

[Reactie gewijzigd door Elefant op 18 april 2021 12:14]

Het vPro platform is al ouder dan het zogenaamde nieuwsartikel die jij opbrengt en dat is al jaren lang een verkooppunt geweest. Zoals ik zei, je kunt de media niet vertrouwen, die weten meestal niet waar ze het over hebben, die willen gewoon pagina's en clicks verkopen. Toen dit "uitkwam" hadden veel mensen gewezen naar de documentatie van de "hack" op de Intel website. Je kunt dit zelf vinden via de Wayback Machine als je mij niet gelooft.

Het is geen trage radioverbinding, waar praat je over? Je weet inderdaad zelf niets van het platform of hoe echt 'hacken' gebeurt. WoL staat ook zomaar niet aan, is niet universeel ondersteunt en is enorm onveilig en dan nog kan je niet op afstand booten zonder de orde te veranderen in de BIOS. Dit kost tijd en tijd is geld.

Ik weet niet de andere zever die je verkondigt hier, het seriële nummer uitlezen bestaat al sinds de 80486 en eerste Pentium ca 1993, lang voordat we op het Internet praatten over de specifieke Pentium III, opnieuw een nothing burger van de technische media. Daarnaast, kun je dit ook op het BIOS uitschakelen.

[Reactie gewijzigd door Guru Evi op 18 april 2021 15:38]

Jij ook bedankt.

Het seriele nummer is even goed stiekem ingevoerd:
Intel Goes to Battle as Its Embedded Serial Number Is Unmasked

By JOHN MARKOFF
SAN FRANCISCO -- When privacy advocates first sounded alarms in January about a serial number that the Intel Corporation had embedded in its new Pentium III processor, the company quickly responded by distributing software that enabled owners of Pentium III computers to hide the number. But it now appears that the problem is not solved and is not about to fade away.

Recently a researcher at a small Canadian software company found a way to make the serial number that has been hidden visible again to prying eyes -- and without the owner's realizing it. Acting in what it says is the public interest, the company, Zero-Knowledge Systems of Montreal, placed a program on its Web site demonstrating the vulnerability.

This time, Intel is responding more aggressively.

Earlier this month, an Intel executive called executives at the Symantec Corporation, maker of the popular Norton Antivirus software, and told them that the demonstration program was "hostile code."
We kunnen zo eindeloos doorgaan waarbij jij op de man speelt om mij proberen ongeloofwaardig en dom te laten overkomen, door hoog van de toren te blazen, mij probeert te overbluffen. Jij bent superieur, jouw bronnen zijn superieur, enz. Dat is mogelijk, het kan ook zijn dat je een beetje eenkennig iemand bent. We laten dat de lezer maar uitmaken.

Je geeft nu tenminste toe dat het "erorm onveilig" is. Het staat niet standaard aan zeg je. Natuurlijk staat het niet standaard aan, het is niet gemaakt om de Russen te helpen, maar de Amerikanen. En die kunnen dat wis en waarachtig zeker aanzetten zonder hulp van de computereigenaar. Anders zouden het of een stel stomme hufters zijn, of de allerhoogste ethiek bedrijven. We weten middels door Snowdon dat dat allebei verre van waar is.

Ruzie maken is niet nodig. Weet je wat? We verklaren jou de winnaar! _/-\o_

[Reactie gewijzigd door Elefant op 18 april 2021 21:52]

Dat doet een onkreukbaar land inderdaad niet.

Verder zie je over het hoofd dat de VS een bijna-monopolie heeft geschapen op IT-technologie. Ze hoeven geen rekening te houden met alternatieven. Mocht er onder bevolking behoefte ontstaan aan enig alternatief, dan brengen ze die zelf wel op de markt. Het klassiek motto voor machtsbehoud is:

Alles moet veranderen, opdat alles hetzelfde blijft

Welke grote Amerikaanse inspirator schreef?:
"In de grote leugen zit altijd een zekere geloofwaardigheid; omdat de brede massa van een natie altijd gemakkelijker wordt gecorrumpeerd in de diepere lagen van hun emotionele aard dan bewust of vrijwillig; en daardoor worden ze in de primitieve eenvoud van hun geest gemakkelijker het slachtoffer van de grote leugen dan van de kleine leugen, aangezien ze zelf vaak kleine leugens vertellen in kleine zaken, maar zich zouden schamen om hun toevlucht te nemen tot grootschalige onwaarheden. Het zou nooit in hun hoofd komen om kolossale onwaarheden te verzinnen, en ze zouden niet geloven dat anderen de brutaliteit zouden kunnen hebben om de waarheid zo berucht te verdraaien. Hoewel de feiten die dit bewijzen, duidelijk in hun gedachten kunnen worden gebracht, zullen ze nog steeds twijfelen en twijfelen en blijven ze denken dat er misschien een andere verklaring is.…. "
zie verder: 1 2 3 4 5 6

[Reactie gewijzigd door Elefant op 15 april 2021 21:51]

"Gezonde verstaand gebruiken", oftewel oeverloos speculeren... Wanneer je je hoofdzakelijk baseert op vermeende belangen en interesses dan krijg je een spannend verhaal, maar niet noodzakelijkerwijs iets dat wat met de realiteit te maken heeft.

Wanneer we ons even beperken tot de eventuele backdoor, dan zit je met het eenvoudige gegeven dat dit op den duur uitlekt. Niet door hacken, maar gewoon doordat het wordt gebruikt bij een rechtszaak. De FBI heeft dan ineens bewijs uit de iPhone van een verdachte, zonder dat ze daar veel moeite voor hoefden te doen. Conclusie: er is een backdoor. FBI heeft problemen en dreigt met een rechtszaak tegen Apple? Conclusie: geen backdoor.

Dit lijkt me een betere redenering dan "alles wat ik bedenk is waar, want zie Snowden".
Als het om de werkwijze van geheime diensten gaat, is speculatie een onmisbaar middel. Waarom? Omdat ze dingen geheim houden! Verder mogen wij in acht nemen wat wij weten dat ze in het verleden reeds gedaan hebben. Dankzij o.a. Edward Snowdon hebben wij een stuk betere inkijk gekregen.

Jouw reactie zou ik als "slecht geïnformeerd" willen kwalificeren. Voor veel mensen geldt wat deze grote Amerikaanse inspirator heeft geschreven:
"In de grote leugen zit altijd een zekere geloofwaardigheid; omdat de brede massa van een natie altijd gemakkelijker wordt gecorrumpeerd in de diepere lagen van hun emotionele aard dan bewust of vrijwillig; en daardoor worden ze in de primitieve eenvoud van hun geest gemakkelijker het slachtoffer van de grote leugen dan van de kleine leugen, aangezien ze zelf vaak kleine leugens vertellen in kleine zaken, maar zich zouden schamen om hun toevlucht te nemen tot grootschalige onwaarheden. Het zou nooit in hun hoofd komen om kolossale onwaarheden te verzinnen, en ze zouden niet geloven dat anderen de brutaliteit zouden kunnen hebben om de waarheid zo berucht te verdraaien. Hoewel de feiten die dit bewijzen, duidelijk in hun gedachten kunnen worden gebracht, zullen ze nog steeds twijfelen en twijfelen en blijven ze denken dat er misschien een andere verklaring is.…. "
Ja, de gewone mens wil blijven geloven in een andere verklaring. Iets dat binnen zijn fatsoensnormen past.

Een land dat al bijna 10 miljoen onschuldige mensen in het buitenland heeft vermoord en 100 miljoen verwondt en getraumatiseerd, zal toch de privacy niet schenden! Ondenkbaar dat een land die atoombommen gooit op onschuldige burgers zich zo te buiten zou gaan. De VS is fatsoenlijk land! En hun politici spreken voortdurend de waarheid.

Dat is wat je wil geloven als goede burger. Anders ben je een complotdenker.
Wie denk je dat labels als "alu-hoedje", "complotdenker", "whatsaboutism", enz. bedenkt en omloop brengt om negatieve speculatie tegen te gaan? Wie kunnen zelf voortdurend negatieve speculatie over andere landen in omloop brengen zonder voor complotdenkers te worden uitgemaakt?

[Reactie gewijzigd door Elefant op 15 april 2021 21:39]

Ik heb het nergens over complotten gehad, maar dat je zelfs met https://theconversation.c...y-theory-heres-why-132117 op de proppen komt, zegt wel genoeg. Je wil graag gezaghebbend overkomen met wat willekeurige verzinsels en zodra er kritiek op komt, dan kom je met hyperbolen en dooddoeners als "je bent naïef".

Echt onderzoek kost tijd, geld en moeite en dat is wat bijv Bellingcat doet. Waar jij mee aan komt zetten, is borrelpraat.
Jouw link bewijst mijn ongelijk niet, nou ja eerder het tegenovergestelde van wat je wil bewijzen. Het stelt namelijk:
It was only a few decades ago that the term took on the derogatory connotations it has today, where to call someone a conspiracy theorist functions as an insult.
Vroeger was complotdenker namelijk geen negatief label. Dat hoort het ook niet te zijn. Speculeren over wat er achter de gedragingen van machthebbers zit, is namelijk iets dat intelligente mensen doen. En een gezond wantrouwen naar machthebbers is juist op zijn plaats

Wanneer is complotdenker negatief geworden? Na 9/11. Nadat alle leugens van George Bush geloofde een meerderheid van de bevolking van de VS dat de Amerikaanse regering er zelf op enige manier de hand in had gehad. Daar was ook alle reden toe. Nu is het de officiele taak van de CIA om draagvlak te creeren voor het beleid van de president met informatie én desinformate.

Wat we zagen is dat men de kritiek op 9/11 ging pareren door het gelijk te stellen aan geloven in de platte aarde, niet geloven in de maanlanding enz. Ofwel wie de regering wantrouwde was een complotdenker. Dat het de regering zelf was die allerlei fake complotten opdiende, zoals dat Al Queda achter de aanslag zat of dat Saddam Hoessein met de terrorsten samenwerkte werd straal genegeerd. In feite geloofde de bevolking de complottheorie van de eigen regering niet. Ze geloofden niet in moslimsamenzwering.

Maar al snel was iedereen die niet in de regeringsuitleg van 9/11 geloofde ineens fout. Het was niet langer toegestaan om dat soort ideeen in de openbaarheid te uiten. Daartoe werd grote druk uitgeoefend. Dat soort mensen werd gestigmatiseerd als complotdenker. Zo werd er opzettelijk een sociaal risico van gemaakt om je tegen de leugenachtige regering uit te spreken.

Ook daarna is dat label gebruikt blijven worden tegen mensen die kritiek hadden op het regeringsbeleid. We zijn nu zelfs in een situatie dat kritiek in de media monddood is gemaakt en dat onwelvallige reacties stilletjes van de sociale media worden gewist. Als dat geen complot is dan weet ik het niet meer. De pluriforme pers is verdwenen en zonder deze kan een particratie niet eens functioneren. Het zijn nu werktuigen van het systeem geworden.

Grappig dat je Bellingcat noemt. Die moet zogenaamd onafhankelijk zijn, een zuiver burgerinitiatief. Maar hoezo richt een kritische burgerorganisatie zich tegen vreemde overheden (Rusland en Syrië) en niet tegen de wantoestanden in eigen land? Dat stinkt als een uur in de wind. De eerste verantwoordelijkheid ligt er immers in de eigen stoep schoon te vegen, wat ze elders op de wereld doen is bijzaak. Maar wacht, Syrië en Rusland zijn dat niet de verklaarde vijanden van onze machthebbers? O wat komt dat even goed uit!

Geef de lui van inlichtingendiensten nu eens een keer het krediet dat ze verdienen. Ze zoeken voortdurend naar manieren om hun broodheren zo goed mogelijk te dienen en ze zijn intelligent. Ze zoeken bronnen die overtuigingskracht hebben omdat het volk denkt dat ze onafhankelijk zijn.

Maar het is o zo gemakkelijk voor geheime diensten om organisaties voor hun kar te spannen (via financiele bijdragen) of nog beter zelf op te zetten om achter te opereren. Neem Bellingcat:
Bellingcat began as a one-man organization with a small team of volunteers. But thanks to a steady stream of grants, such as from the National Endowment for Democracy and billionaire George Soros’ Open Society Foundations, it now has 18 full time staff members and thousands of volunteers.
Lees ik dat goed? "National Endowment for Democracy"? Dat is nota bene een afsplitsing van de CIA. Dat soort organisaties zijn verlengstukken van westerse vaak Amerikaanse inlichtingendiensten, of worden ingezet door de VS als ze een politieke tegenstander zwart willen maken of in problemen brengen.

Ik hoop dat mensen wat minder naief worden. Inlichtingendiensten zijn geen amateurs, ze zijn een belangrijk onderdeel van de oorlogsvoering die al sinds de tijd van de Romeinen op het hoogste niveau beoefend wordt. Als je heilig gelooft in de goedheid van ons systeem dan kan je dat billiken, maar zo dachten de Duitsers ook in grote meerderheid over Hitler. Ze slikten zijn Propaganda en hebben zich letterlijk kapot gevochten ervoor. Vandaag de dag is het niet anders. Die Amerikaanse Jongens die voor de VS lopen moorden duizenden kilometers van huis met de steun van hun thuisbasis worden evengoed voor de gek gehouden.

Triest maar waar. Vroeger hadden wij een onafhankelijke pers die dat blootlegde, nu zijn het napraters geworden.

zie verder: 1 2 3 4 5 6

[Reactie gewijzigd door Elefant op 15 april 2021 21:52]

Mogelijk denk ik te simpel, maar er hoeft geen backdoor ingebouwd te worden, het enigste wat Apple in de firmware zal moeten inbouwen dat er een software update getriggerd moet kunnen worden via een commando via de Lightning poort.
Apple kan specifiek voor dit soort situaties een firmware maken waarbij de toegangscode is uitgeschakeld en het aan een rechter overlaten om te beslissen wanneer deze methode gebruikt moet worden.
En uiteraard mag deze methode dan ook alleen bij Apple zelf beschikbaar zijn om het lekken van de firmware te minimaliseren.
En mocht ie om wat voor reden wel lekken, dan kan Apple in de bestaande firmware nog steeds een check inbouwen of die aangepaste firmware op toestel X geïnstalleerd kan/mag worden vergelijkbaar met het niet kunnen downgraden.
Dat noemt men dus een backdoor. En het is gemakkelijk on zulke commando’s terug te vinden in firmware of documentatie en het systeem te breken.

Als je ooit met zoiets komt ben je gegarandeerd dat het binnen de week gebroken is. Het is net als DRM, alle platforms hebben een hack die binnen uren of dagen na verkoop gebroken werden op een of andere manier. Alhoewel het nog steeds maanden of zelfs jaren kan duren alvorens een complete hack (waar je vb geen modchips nodig hebt) is het maar een mate van tijd en inspanning.
En het is gemakkelijk on zulke commando’s terug te vinden in firmware
Ja, joepie, dan kunnen ze een firmware upgrade via de lightning poort activeren, maar hebben ze nog steeds geen toegang tot de aangepaste firmware en tot de "blob" om het te mogen installeren.
Als het zo makkelijk zou zijn, dan was het installeren van ouderen iOS versies toch ook al lang mogelijk zijn gemaakt door hackers?
Ik weet niet of dat strict genomen waar is. Het gaat er puur om hoe de Key infrastructuur opgezet is. Als je in het ontwerp weet dat je een telefoon met fysieke toegang moet kunnen hacken dan zou je sleutel kunnen genereren op basis van het IMEI# en een overheidssleutel. Waarmee je decryptie toestaat in een specifiek geval. Als de overheid niet te vertrouwen is trek je de sleutel van hen in en aangezien er per telefoon een sleutel is, is dat geen grootschalige backdoor. Het hoeft natuurlijk niet, en is nog steeds een backdoor maar is beter dan één code waarmee legio telefoons zijn te openen.
Ook in landen als Hongarije? Polen? Rusland? China?
Voor de duidelijkheid: ik heb het dan niet over dat ik die regeringen wel of niet leuk vind, maar over het *feit* dat de rechtspraak in die landen niet onafhankelijk is.

Daar is het gebruiken van een veilige smartphone de enige manier voor politiek dissidenten om zich te beschermen tegen de heersende politieke partijen. Persoonlijk zie ik dat niet graag veranderen.
In Polen werkt het judicial system, onlangs alle heisa, exact hetzelfde als in Spanje en daarbovenop houdt de EU de processen ook in de gaten. Je kan er dus vanuit gaan dat de rechtspraak onafhankelijk is. Merk steeds vaker dat bepaalde dingen op Tweakers alsmaar worden herhaald zonder diepere of inhoudelijke kennis van de realiteit. Benoeming van rechters is in Nederland namelijk niet veel beter geregeld, en daar hoor ik dan weer akelig weinig over.
; https://decorrespondent.n...%20de%20rechtspraak%20aan.
Zou je ook een voorbeeld kunnen noemen van het door jouw benoemde punt dat politieke tegenstanders alleen veilig zouden zijn met een veilige smartphone? Want in Polen is de oppositie namelijk heel open in doen en handelen alsmede de politieke doelen en hetgene waar die personen/partijen het wel of niet mee eens zijn.

[Reactie gewijzigd door SkillZ4LollZ V2 op 15 april 2021 12:40]

En hoe functioneren de rechters in Noord-Korea, China of Rusland? En wie controleert de rechtspraak in Myanmar? Het is daarnaast nogal gevaarlijk om een 'universele' backdoor in te bouwen. In mijn ogen is het misschien handiger dan een 'unieke' backdoor (per device) in te bouwen, en af te dwingen de data via open source kanalen naar buiten te brengen, na gebruik van die backdoor. Ook daaraan zitten uiteraard haken en ogen, los van de technische haalbaarheid, maar het is misschien een gulden middenweg.

[Reactie gewijzigd door Kastermaster op 15 april 2021 12:44]

Verwachten we dan ook van de slotenfabrikanten dat ze lopers beschikbaar stellen aan de politie zodat ze de deur niet meer in hoeven te rammen?

Het probleem met lopers is simpel, ze komen op een dag in verkeerde handen terecht.
Je kunt tevens niet uitsluiten dat de sleutel enkel leggen bij de autoriteiten betekent dat die in verkeerde handen terecht komt. Niet alleen omdat zij de sleutel kunnen verliezen maar ook omdat autoriteiten zelf slecht kunnen handelen. Nu probeert dit Australisch bedrijf dat risico te beperken door alleen aan "democratische" overheden te verkopen maar dat stelt mij niet gerust.

Ik vraag mij trouwens af of Apple een rechtszaak zou kunnen starten tegen zulke bedrijven voor het beschikbaar stellen van zulke exploits.
Zit wat in.

Maar als de rechterlijke macht minder neutraal is dan we in België of Nederland gewend zijn, heb je als burger alsnog een probleem.

Voorlopig ben ik blij met Apple z’n instelling.
Het gaat niet om het bevel, het gaat om de mogelijkheid 'tot het kraken/via een achterdeur' ondanks dat de fabrikant aangeeft dat dit niet mogelijk is..

Als u een brandkast koopt waarvan de leverancier zegt, deze is 'onkraakbaar' en mocht deze toch gekraakt worden dan gaat de inhoud verloren, maar er zit bewust vanuit de fabrikant toch een zwakheid in om (middels bevel van) bepaalde personen/org. toch toegang te geven dan ben je verkeerd bezig en zit je op het Grapperhaus niveau. Dat moet je op elke manier zien te vermijden.
Lees even de reactie waar ik op reageer. Ik reageer hier op
Aan de andere kant komt dan de vraag: wanneer is een misdrijf heftig genoeg om de privacy van mensen te schenden? Wil je een van de grootste bedrijven allertijden op de stoel van de rechter laten zitten en zeggen "Ja, wij vinden dit misdrijf heftig genoeg, dus geven we de firmware vrij".
Nee - nadat een leverancier alle mogelijke moeite heeft gedaan om iets te beveiligen kun je niet zomaar eisen om dat ongedaan te maken.

Zie het anders: je wilt een doos verbergen en je laat deze om een random moment uit een vliegtuig vallen (boven zee) zodat deze nooit meer gevonden wordt omdat niemand weet waar deze ligt. (Security by obsucerity zeg maar). Kun je dan eisen dat de doos dan wordt 'gevonden' zodra de rechter dat stelt?
Geweldig idee maar dat is het zelfde als zeggen dat er hoe dan ook altijd een backdoor moet zijn voor alle digitale beveiliging. En dat is toch een beetje lastig omdat dat betekend dat iedereen en z'n moeder die backdoor zal pogen te vinden want met dat je die in handen hebt kun je goud geld verdienen. Zie het geschatte bedrag dat de FBI betaalde om een enkele iPhone te hacken.

Je kunt dus onmogelijk zeggen dat een rechter de mogelijkheid moet hebben om de overheid met behulp van bedrijven achter de soft/hardware toegang te geven tot beveiligingen. Omdat het nu eenmaal niet mogelijk is omdat te doen zonder de beveiliging zo ver te verzwakken dat er een fatale fout in zit die met dat deze gevonden is door een verkeerde partij de beveiliging nutteloos maakt.
De edit waarin je poogt om de twee van elkaar te scheiden maakt het niets beter, het probleem blijft bestaan dat er nu eenmaal geen enkele wijze is waarop je een goede beveiliging kunt bouwen en een sleutel maakt om die beveiliging in alle gevallen ongedaan te maken.
Digitaal huiszoekingsbevel klinkt leuk, maar gevolg is dan toch dat er een manier moet zijn om erin te komen....stel je hebt een onkraakbaar kluis in je huiskamer staan, dan kom je er nog steeds niet in zonder ‘loper’.
En de gevaarlijke discussie is: moet Apple op kluizenmaker een loper of backside bieden om in zijn product te komen.
Uiterst interessant.
Ik heb het altijd bijzonder gevonden dat mensen meer rechten hebben qua privacy ed op dingen als een telefoon vs je eigen huis.
Er moet zeker wat aan de hand zijn voor een huiszoekingsbevel, maar ongewoon zijn ze zeker niet.
Ook voor meer algemene zaken stapt een agent vaak zo binnen.
Het gaat hier niet om of het misdrijf heftig genoeg was of niet, maar meer dat apple geen "master key" wil (en moeten willen) maken voor iOS apparaten. De FBI is echt niet de enige die dit verlangt, daarnaast zal het ook nog niet eens lang duren totdat zoiets uitlekt. Zo hebben ze met de TSA in het verleden gewoon de masterkeys van je koffer die je meeneemt naar het vliegveld op insta gezet 8)7. Apple heeft gewoon meegewerkt met alle data verlenen die toegankelijk was (zoals iCloud backups).

Wat er deep-down specifiek gevraagd wordt is dat alle security van het apparaat omzeilt wordt onder het mom "terrorism" en waarschijnlijk komt "protect the children" er ook nog wel een keertje langs want dat is ook een favoriet van zulke partijen.

Eens dat het een lastig probleem is, maar apple is niet echt perse de rechter hier en een oplossing die niet gelijk iedereen negatief beïnvloed is er simpelweg niet. Dit weten ze ook bij de FBI, dat is waarom terrorism en childporn gewoon altijd lekker gebruikt worden om het publiek aan hun kant te krijgen.
dat is waarom terrorism en childporn gewoon altijd lekker gebruikt worden om het publiek aan hun kant te krijgen
Ga eens een dag meelopen met de mensen die dit soort misdrijven opsporen, kijk naar de slachtoffers, praat met hen en snap de ernst. Het is heel makkelijk vanaf je veilige eigen omgeving hier zo badinerend over te praten - totdat je het van dichtbij ziet en tot je doordringt hoe erg dit soort misdrijven zijn. Wees blij dat je zelf in zo'n beschermde omgeving zit - daar werken de mensen die deze misdrijven tegen gaan heel hard aan, en daar mogen we ontzettend veel waardering en respect voor hebben.
De enige reden waarom die criminelen een bepaalde vorm van encryptie gebruiken is omdat ze weten dat de boel zo niet gekraakt kan worden. Ga je de overheid een masterkey geven, dan geldt dat niet meer en zullen die criminelen op een andere communicatie/opslag methode overstappen die nog wel veilig voor hen is.

Masterkeys en backdoors in willen bouwen is dus klinkklare onzin. Voorstanders snappen of niet hoe de vork in de steel zit, of hebben hele andere motieven dan het bestrijden van terrorisme of kinderporno.
Daar heb ik ook waardering en respect voor. Betekent alleen niet dat we ze dan maar een masterkey moeten geven tot alle apparatuur en alle encryptie en dus alles compleet onbetrouwbaar en onveilig maken; puur om een paar zaken *misschien* op te lossen. Heel slecht plan.

Alle respect voor die mensen, maar overal backdoors inbouwen is gewoon een dom idee. Ook omdat niet enkel die mensen daar (uiteindelijk) ge/misbruik van (kunnen) maken.
Tot het uitlekt en criminele organisaties dat gebruiken om jouw toestel leeg te trekken of zelfs je bank saldo naar 0 euro te trekken.. of wat te denken van criminele overheden.
Natuurlijk is het rot dat er slachtoffers zijn, maar om de veiligheid van miljarden mensen in feite naar 0 te brengen...
Ga eens een dag meelopen met mensen die door hun overheden worden onderdrukt. Wat zal deze schipper gelukkig zijn geweest dat de overheid hem kon vinden :)

Als je ziet dat zelfs in Nederland, een land waar we relatief 't niet zo slecht hebben, fouten gemaakt worden die onschuldige mensen het leven zuur maakt. Wat denk je dan dat er gebeurt in dictaturen? Iedereens telefoon kan zo gehacked worden door de overheid, en iedereen met een beetje commentaar gaat de bak in of erger.

Wees blij dat we je in een land zit waar de burger nog een beetje beschermd wordt voor de overheid, daar hebben heel veel mensen hard voor gevochten, en wat mij betreft moet je daar minstens even veel respect voor hebben.

Het doel heiligt niet altijd de middelen. Als je misdrijven wilt voorkomen door elke telefoon door de regering van het land te laten inzien, en daarbij alle (digitale) privacy van mensen wil weggooien. Dan vergeet je simpelweg alle slachtoffers die hierdoor veroorzaakt gaan worden.
Je hebt helemaal gelijk. Daarnaast komt nog eens het feit dat boze poppetjes als terroristen en kindermisbruikers doorgaans heel goed weten wat ze aan het doen zijn en gebruik zullen maken van encryptie zonder dat achterdeurtje, zelfs als dat verboden is.

Het resultaat is dat de overheid alleen heel gemakkelijk bij de data van de gewone burgen kan en nog steeds heel veel moeite zal moeten doen om de terroristen en kinderlokkers te pakken. Het is dus gewoon een verkapte poging om massasurveillance in te voeren.
Helemaal mee eens!

Daarnaast (en ik ben me ervan bewust dat dit een enorm whataboutism is) als ze in de VS echt minder misdaden en doden zouden willen zorgden ze ervoor dat er niet belachelijk veel vuurwapens in omloop zouden zijn en dat vuurwapens niet zo makkelijk verkrijgbaar waren.

Dat zou oneindig veel meer effect hebben dan de veiligheid van telefoons slopen.
Eens dat het een lastig probleem is, maar apple is niet echt perse de rechter hier en een oplossing die niet gelijk iedereen negatief beïnvloed is er simpelweg niet.
En toch heb ik daar ooit een heel aardige soort deeloplossing voor gelezen: je ontgrendelcode wordt door Apple apart zwaar versleuteld in je iCloud account gezet. Hackers van zo'n iCloud account kunnen dus niets met zo'n versleutelde ontgrendelcode. Wordt de telefoon gestolen, gebruikt door terroristen of overlijdt de eigenaar dan kunnen de rechthebbende eigenaars via de rechter vragen aan Apple om die ontgrendelcode te ontsleutelen en door te geven.

De enige partij die in dit geval nog kan sjoemelen met jouw gegevens en privacy is Apple die zowel toegang heeft tot het iCloud account als de encryptie van de ontgrendelcode. Maar ja, als maker van zowel de software als de hardware kan Apple al zoveel achterdeurtjes inbouwen als ze dat zouden willen dat dit iCloud risico er nog wel bij kan...

Er zitten uiteraard wel een paar haken en ogen aan maar als basis voor een concept waarmee alleen 'good guys' ook nog eens alleen per specifieke telefoon de inhoud kunnen ontsleutelen geen slecht idee.
Dat is een oplossing die NIET werkt en is gewoon een backdoor.
Ik heb bijvoorbeeld filevault aanstaan, die NIET via iCloud kan worden ontsleutelt, al mijn externe harde schijven zijn ook weer versleuteld...
Dat is een oplossing die NIET werkt en is gewoon een backdoor.
Ja, uiteraard is het een soort backdoor. Bijvoorbeeld als jou iets overkomt en je familie wil de familiefoto's van jouw harde schijf halen. Dat kan dan als jouw familie via de rechter aan Apple om die toegangscode kan vragen. Of als jij een zelfmoordterrorist blijkt te zijn en de politie kan via de rechter bij Apple de toegangscode tot jouw computer krijgen.

Vertel jij maar hoe je als crimineel of zelfs overheid deze 'backdoor' kan gebruiken om een willekeurige telefoon of computer te ontsleutelen. Ze zullen per geval een verzoek aan Apple moeten doen, het kan niet grootschalig worden ingezet. Aan overheden om samen met Apple een protocol op te stellen waardoor Apple weet dat die rechter de wettelijke bevoegdheid heeft zulke gegevens op te vragen.
Ik heb bijvoorbeeld filevault aanstaan, die NIET via iCloud kan worden ontsleutelt, al mijn externe harde schijven zijn ook weer versleuteld...
???? Als je bij het opstarten het wachtwoord voor je computer ingeeft wordt fiievault gewoon ontsleuteld. Het is uiteraard dit wachtwoord dat je door Apple versleuteld, en alleen door Apple te lezen in je iCloud account zet.
Heel simpel: dit soort backdoors zullen altijd lekken.. hoe dan ook.. daarnaast zullen criminele overheden.. te denken aan het Kremlin (Rusland), Turkije, Midden-oosten, China etc dit misbruiken om dissidenten het zwijgen op te leggen.
Dus als Apple ooit gehackt werd of een werknemer een beetje boos op zijn baas dan zijn opeens alle telefoons open voor iedereen.

Daarnaast zou die sleutel ergens moeten bewaard blijven en gecommuniceerd en af en toe ververst. Het is gemakkelijk dan om de iCloud te omzeilen met je eigen CA en wachten totdat de communicatie gebeurt om de sleutels te onderscheppen.

Er is geen scenario waar dit veilig te beschouwen is.

[Reactie gewijzigd door Guru Evi op 16 april 2021 14:07]

Het gaat hier niet om of het misdrijf heftig genoeg was of niet, maar meer dat apple geen "master key" wil (en moeten willen) maken voor iOS apparaten. De FBI is echt niet de enige die dit verlangt, daarnaast zal het ook nog niet eens lang duren totdat zoiets uitlekt. Zo hebben ze met de TSA in het verleden gewoon de masterkeys van je koffer die je meeneemt naar het vliegveld op insta gezet 8)7.
En omdat de TSA er dus in kan komt het eerste bezwaar
* zijn alle TSA-medewerkers te vertrouwen. Goed doorlichten voordat iemand in dienst komt, en een goed salaris bieden zodat er geen verleiding is om steekpenningen van criminelen aan te nemen, zijn twee dingen die hier helpen, maar sluiten nooit 100% de mogelijkheid uit. In het verleden is diverse malen gebleken dat medewerkers op Schiphol goederen doorsluisden. Ook Nederlandse mariniers en marine-personeel gestationeerd in Curaçao hebben in het verleden aan drugssmokkel meegedaan voorbeeldlinkje 1998
Voorbeeldlinkje 2019

Dan het tweede bezwaar:
* als de TSA over die masterkeys beschikken, dan is het onvermijdelijk dat na korte tijd de criminelen er ook over beschikken. Zij kunnen dan dus ook willekeurig koffers openmaken, ofwel om jouw spulletjes er uit te halen (daar wordt veelvuldig voor gewaarschuwd) ofwel om er drugs in te plaaten, en dat kunnen ze doen zonder sporen achter te laten. En jij blijft dus verantwoordelijk voor je koffer, ook al is er iemand anders in geweest.

Op Schiphol kun je je koffer laten insealen voor vertrek. Allereerst lijkt me zinvoller om dat te doen bij de terugreis, zeker als dat plaatsvind in een land waar contraband makkelijker verkrijgbaar is. Dan is het leuk, want als de sealing er af is, dan ben je gewaarschuwd, maar zou er iets in zitten dan houden ze jou nog steeds als enige verantwoordelijk. Dat is leuk als je reist (vakantie) naar een land waar de doodstraf staat op drugsbezit (China, Indonesië, Vietnam, geheel Midden-Oosten, Taiwan, Cuba, volgens kaartje op Wikipedia ook Zimbabwe)

Wat mij betreft zijn zouden je TSA-veilige sloten op je koffer moeten zetten die noch de TSA, noch iemand anders kan openen zonder koffer en luchthavengebouw te vernietigen. Willen ze controleren, prima doe maar waar ik bij ben.

En verder, dat Azimuth Security heeft geholpen, is op het randje. Ja als er een soort digitaal huiszoekingsbevel is, dan kun je zeggen dat het toegestaan is om een beveiliging te kraken, maar enkel als dat is uitgegeven door een rechter in een democratisch land (en ook een democratisch land kan afglijden, daar zijn we in Nederland al sinds 1982 langzaam aan bezig). Maar dan nog, als Azimuth Security daarvoor blijkbaar gebruik maakt van een exploit, dan zouden anderen binnen het bedrijf daar ook toegang toe kunnen hebben, en is het mogelijk dat diezelfde exploit ook in handen is van een andere organisatie met minder rechtschapen bedoelingen. Die andere organisatie kan een puur criminele zijn (afpersing, monitoring van opsporingsdiensten) maar ook een geheime dienst van een demoncratisch land, want ook die opereren vaak op de rand van het ethisch (en juridisch) acceptabele.
Als voorbeeld van het laatste kunnen we de GCHQ en NSA noemen.
Aan de andere kant komt dan de vraag: wanneer is een misdrijf heftig genoeg om de privacy van mensen te schenden? Wil je een van de grootste bedrijven allertijden op de stoel van de rechter laten zitten en zeggen "Ja, wij vinden dit misdrijf heftig genoeg, dus geven we de firmware vrij".
Als die speciale firmware eenmaal bestaat dan lekt ie vroeg of laat uit. Google maar eens naar "tsa master keys". En dat is een backdoor die slechts bij één Amerikaanse dienst bekend is. Deze firmware zou bij meerdere Amerikaanse politiediensten terecht komen, plus politiediensten in tientallen andere landen. Het kan maanden duren, met heel veel geluk duurt het jaren, maar vroeg of laat komt die firmware op hackerforums terecht en dan zijn de rapen gaar; dan kunnen criminelen een smartphone van een agent jatten en die kraken.

Van de ene kant met ik het helemaal met je eens dat we de beslissing niet aan Apple (of, wat dat betreft, een ander bedrijf) over moeten laten. Maar veel belangrijker: dat is het probleem niet. Het maakt niet uit wie de beslissing neemt wanneer die speciale firmware ingezet mag worden, het probleem is dat we vroeg of laat de controle verliezen over wanneer die ingezet kan worden.
TSA master keys zijn wat dat betreft een zeer slecht voorbeeld. Tienduizenden mensen hebben toegang tot die sluitels en ze worden dagelijks ook veelvuldig gebruikt. Daarnaast zijn de TSA sloten lachwekkend eenvoudig open te maken, ook voor mensen met weinig ervaring in het picken van sloten.

In geval van een master key bij iOS zal deze sowieso al een stuk beter beveiligd worden en zullen de Apple en de opsoringsdiensten hun best doen om de toegang zo beperkt mogelijk te maken. Neen, die gaat niet onmiddelijk naar tientallen diensten, naar honderden of duizenden mensen. Kans is groot dat die onder controle blijft van Apple danwel een speciaal team bij de FBI.

Het probleem is evenwel dat je in een systeem dat je zo veilig mogelijk wenst te maken ineens met opzet een zwakte gaat plaatsen. En dan is de jacht geopend voor anderen om op zoek te gaan naar manieren om dat te misbruiken. Daarnaast kan je dan inderdaad niet uitsluiten dat andere landen hetzelfde gaan eisen. Het is voor een deel ook de neergang van Blackberry geweest. Meewerken in bepaalde landen om de versleuteling van toestellen in die landen uit te schakelen.
Daarnaast zijn de TSA sloten lachwekkend eenvoudig open te maken, ook voor mensen met weinig ervaring in het picken van sloten.
Hoe brak de sloten zijn is irrelevant, het probleem is dat de master keys zijn uitgelekt. Zelfs al waren de sloten onmogelijk te lock picken, dan nog gaan ze open met de master key.
In geval van een master key bij iOS zal deze sowieso al een stuk beter beveiligd worden en zullen de Apple en de opsoringsdiensten hun best doen om de toegang zo beperkt mogelijk te maken.
Oh ja, in een perfecte wereld is dat zeker het geval. Het probleem is dat ik er totaal niet van overtuigd ben dat dat op de lange duur goed zal gaan. De TSA master keys zijn niet alleen uitgelekt, ze zijn op een ontzettend knullige manier uitgelekt, doordat een stel medewerkers gruwelijk incompetent waren en echt totaal geen idee hadden hoe ontzettend voorzichtig je met master keys om moet gaan.
Neen, die gaat niet onmiddelijk naar tientallen diensten, naar honderden of duizenden mensen. Kans is groot dat die onder controle blijft van Apple danwel een speciaal team bij de FBI.
Niet onmiddellijk, dat klopt. Maar vroeg of laat wordt een of andere regionale politiedienst geconfronteerd met een grote aanslag en de sheriff heeft nog het nummer van een oude collega die tegenwoordig bij de FBI werkt en ja, eigenlijk mag het niet, maar er is echt haast bij...

Daarnaast, als de Amerikanen dit eenmaal hebben, dan kun je erop wachten dat andere landen ook toegang willen. Zolang het alleen landen zijn die we vertrouwen is dat niet een heel veel groter probleem dan als alleen de Amerikanen toegang hebben, behalve dat het risico op uitlekken flink groter wordt. Maar hoelang denk je dat het duurt voordat China en Rusland een wet maken "Apple moet zijn backdoors met ons delen of al hun apparaten worden verboden"? Zolang de backdoor simpelweg niet bestaat kan Apple zeggen "dit kan nou eenmaal niet". Zodra het technisch mogelijk is wordt het veel moeilijker om het alleen voor "the good guys" te reserveren.
Het probleem is dat als ze de optie geven om een iPhone te kraken, zelfs al is dat aan de FBI, dat dan de veiligheid van iedere iPhone ter wereld in gevaar is. Of die code nu uitlekt of niet, er is iemand die 'm zo zonder al te veel moeite kan unlocken, en de FBI staat er niet om bekend dat ze hun geheimen goed op slot hebben (zoals al vaker te zien is geweest met informatie die toch wel uitlekte).
Aan de ene kant zou je zeggen dat Applie niet zo moeilijk moet doen en gewoon de firmware had meoten geven om de iPhone te kunnen kraken, want het gaat om de telefoon van een terrorist
Sorry, maar nee. Dit is gewoon geen optie. Ook bij veiligheidsdiensten is er een kans op een lek. Kijk naar de lekken van de NSA bijvoorbeeld. Apple heeft hierin juist gehandeld.

Je ziet dit ook met bijvoorbeeld de TSA lopers. Die zijn ook gelekt. Is in een keer je koffer niet meer zo veilig als je denkt.
Dat is toch heel de issue niet? Apple heeft geweigerd, en de FBI hebben het met behulp van ouderwetse krakers gedaan. Linksom of rechtsom komen ze er zo toch wel in. Maar er is geen filosofisch dilemma mbt Apple. Zij hebben gewoon medewerking geweigerd. Klaar.

Nou ja...klaar...de zaak is opgeschort, dus een volgende keer gaan ze het weer proberen. Maar Apple zal de poot wel stijf houden.
Zelfs buiten het ethisch dilemma is er waarschijnlijk ook een technisch dilemma. Als elk van die telefoons zich encrypt met unieke sleutels hardware die aan hardware zijn gebonden en door hardware worden gegenereerd dan gaat geen enkele firmware daar wat aan veranderen. Zeker als die firmware met dezelfde sleutels is vercijferd als de rest van het systeem.

Dan zou je eerst die sleutel uit een chip moet lichten met elektron microscopie of zo.

Dan is er ook nog het probleem dat de FBI verre van zuiver op de graad is geweest en dat "back doors", want dat is zo een firmware als hij zou bestaan, bijna altijd uitlekken en dan is de security van het platform helemaal kapot. Zie hiervoor ook de over de jaren heen ontdekte backdoor wachtwoorden in cisco apparatuur.

De enige manier om dit "probleem" op te lossen is encryptie niet meer toe staan en dat is gewoon geen mogelijke oplossing. Te veel criminelen in deze wereld. Of je Apple nou een leuk bedrijf vind of niet. Tim Cook had gewoon gelijk in zijn brief over dit onderwerp.
Als het zo is dat firmware die (indirect) toegang geeft gepusht/flashed kan worden naar één specifieke telefoon, zou dat toch de oplossing zijn? Op basis van een gerechtelijke uitspraak enkel die ene telefoon "onveilig" maken.

Het risico is, zodra zo'n firmware versie bestaat, kunnen ze verdere verspreiding daarvan wel voorkomen? Kijk naar de mining-restrictie van NVidia - leuk geprobeerd, hard gefaald... (nu hebben we het in deze situatie wel over firmware die niet naar gebruikers hoeft, maar toch - de hoeveelheid datalekken die we zien)

Theoretisch gezien is het makkelijk: flashen (bij apple zelf intern zodat de firmware uberhaupt niet naar buiten hoeft), data kopiëren (onder toeziend oog van deze en genen), telefoon vernietigen, klaar

Ik heb het vermoeden dat dit om de een of andere reden niet mogelijk/zo makkelijk is of dat ik dingen over het hoofd zie - ik vind mezelf wel slim, maar heb geen insider info en ben geen expert. Daarnaast denk ik dat er bij de FBI/Apple etc wel slimmere koppen rondlopen :+
Het risico is, zodra zo'n firmware versie bestaat, kunnen ze verdere verspreiding daarvan wel voorkomen? Kijk naar de mining-restrictie van NVidia - leuk geprobeerd, hard gefaald... (nu hebben we het in deze situatie wel over firmware die niet naar gebruikers hoeft, maar toch - de hoeveelheid datalekken die we zien)
Dit risico is alleen maar groter bij dit stuk software. Zijn ook heel veel legitieme reden om er wat mee te doen namelijk. Als dit stuk software uitlekt heeft direct de hele wereld er interesse in. Als dit lekt ben je gewoon klaar. Kun je inpakken en je hardware vervangen. En juist daarom wil je het niet bij de FBI hebben liggen, want dan lekt het gewoon een keer uit. Bedoeld of niet.

Apple heeft dat gelukkig heel goed door.
iOS devices kunnen geen enkele update installeren als deze is gesloten, want het hele systeem.. dus ook de harde schijf als het ware is dan ook gesloten.
Alles is dan versleuteld.

Vergeet btw niet hoe gevaarlijk dit is;
In de UK moest je bijvoorbeeld alleen onder mom van kinderporno of terrorisme je wachtwoorden van je telefoon/computer/tablet afstaan.. dat is nu een standaard dingetje geworden.
Geef je die niet.. dan zit je zomaar 5 jaar vast.

[Reactie gewijzigd door M3m30 op 15 april 2021 12:33]

Wel nee dat is helemaal geen probleem een goede beveiliging kun je niet ongedaan maken tenzij je het geheim weet dat dat mogelijk maakt. Alle andere manieren om dat te doen zijn niets anders dan het gebruikmaken van een fout in de beveiliging om deze te kunnen omzeilen en houden dus in dat de beveiliging niet goed is omdat het juist de bedoeling van beveiliging is om dit niet mogelijk te maken.

Er is dan ook helemaal geen filosofisch, ethisch of ander dilemma, het is gewoon simpel weg niet mogelijk om goede beveiliging te omzeilen of het nu gebruikt is door een tiener die haar dagboek niet in handen wil zien vallen van haar ouders of kleine broertje of een terrorist die tientallen mensen heeft gedood. Beveiliging moet betrouwbaar zijn en dus niet te hacken door iemand die toevallig een loper in handen heeft gekregen ook niet als dat een overheid is.

Denk je eens in dat we allemaal de nieuwe ultra veilige beveiliging gaan gebruiken en dat iemand in Iran na een volks opstand het een goed idee lijkt om alle burgers in Iran toegang te geven tot de documenten die over hun en hun familie zijn bijgehouden door de overheid. En dus de geheime sleutel op straat gooit, op eens is geen enkel geheim meer veilig...
Het is onmogelijk om een sleutel als deze veilig te houden omdat welke beveiliging je ook gebruikt deze te kraken moet zijn met een andere sleutel en alle geheimen in de wereld zijn nog al wat geld waard dus er zal altijd iemand zijn die om idealistische of financiële redenen besluit deze sleutel met de verkeerde mensen te delen daar is geen ontkomen aan.
En daaraan ga je nog voorbij aan het beveiligingsrisico wat dit teweeg brengt. Want doordat Apple geen assistentie aan de FBI heeft willen verlenen, wordt een markt gecreëerd voor bedrijven die bekende exploits niet bekend maken om deze te fixen, maar juist om deze exploits “in portfolio” te hebben om tegen krankzinnig hoge prijzen te kunnen verkopen aan instanties. Azimuth beweert slechts aan “democratische overheden” te verkopen, maar een minder goedgezind Azimuth-equivalent heeft dat misschien veel minder nauw met de ethische kant van het verhaal.
"Azimuth beweert slechts aan “democratische overheden” te verkopen, maar een minder goedgezind Azimuth-equivalent heeft dat misschien veel minder nauw met de ethische kant van het verhaal."

Sterker nog: Azimuth doet dit dus voor de FBI en met welke corrupte/onderdrukkende regimes doet de VS wel niet zaken (denk bijvoorbeeld even aan Saudi-Arabië enzo).
Azimuth weet helemaal niet met wie ze daadwerkelijk zaken doet!
Aan de andere kant iemand die u nauw aan het hart ligt sterft doordat men bv niet in iPhone kon van iemand zou je er dan hetzelfde over denken als nu?
Eens. Ik ben er ansich ook niet op tegen dat een overheid bij een telefoon zou kunnen komen als dit nodig is voor een onderzoek. Het moet echter niet te makkelijk zijn, want dat opent de weg naar lukraak maar data van telefoons afhalen.

Nu kost het tijd en geld. Dan denken onderzoekers bij de Politie wel 2x na alvorens ze er aan beginnen.
Nu kost het tijd en geld. Dan denken onderzoekers bij de Politie wel 2x na alvorens ze er aan beginnen.
Nu kost het meer tijd en geld. Van wat ik begrijp is een dergelijke oude iPhone onveiliger dan modernere varianten, en zou het daarom nu duurder moeten zijn.
Klopt. Het wordt nu dus nog duurder. Dus alleen bij echt hele belangrijke zaken wordt het interessant tijd en geld er in te steken.

Als de backdoor standaard in de iPhone zit zou het helemaal fout gaan dat elke gemiddelde agent even in de telefoon wil kijken van een winkeldief (voorbeeld).
Probleem kan wel zijn dat eenmaal gelukt dan zijn alle volgende pogingen appeltje-eitje... Dan mag de eerste keer wel erg kostbaar zijn - de volgende zijn dat dan niet meer...
Zoals in het artikel staat, de exploit is ondertussen al opgelost
Dat klopt - ik reageerde meer algemeen. Want dat is natuurlijk lang niet altijd zo. Feitelijk betalen de burgers dan dus (via de belasting) om minder veilige data te hebben. Want de overheid kan bruut veel resources er tegen aan smijten of in te breken en houdt de manier waarop dan wellicht ook nog geheim zodat het eventuele lek niet wordt gedicht.

Gelukkig zijn er ook eerlijke hackers... 8-)
Maar ook kan je geen gebruik maken van accessoires aan de Lightning-poort, volgens mij moet je na een uur eerst je code invoeren, anders kun je er niks mee.
Prima, toch? FBI weet met wat moeite één iPhone te ontgrendelen met een methode die niet op te schalen is. De veiligheid van andere iPhones wordt niet verminderd door deze aanval en de FBI heeft z'n werk kunnen doen.
Nee, de veiligheid van alle iPhones is hiermee juist wél verminderd, want:
De kwetsbaarheid werd enkele maanden na de iPhone door de FBI werd gekraakt ontdekt door Mozilla en is verholpen.
Dat betekent dus dat het FBI en Azimuth Security maandenlang kennis hadden van de kwetsbaarheid en deze niet in de openbaarheid gebracht hebben wegens eigen belangen. Hierdoor is de kwetsbaarheid veel later verholpen dan mogelijk was en hebben iPhone-gebruikers dus maandenlang met een open telefoon rondgelopen. Ik vind dit laakbaar. Het risico op privacy-schending, (bedrijfs)spionage en afpersing van de grote groep iPhones gebruikers weegt altijd zwaarder dan het onderzoeksbelang in een enkel misdrijf en het commerciële belang van een Australisch bedrijf.
Wait what? Het risico op privacy schending weeg altijd zwaarder dan het onderzoeksbelang in een enkel misdrijf?

1- Een bom gaat afgaan binnen 15 minuten in een stadion met 40000 mensen in, de locatie staat op de iPhone.

2- Je kind is ontvoerd maar de iPhone van de dader waar het adres in staat is gevonden maar is op slot.

Privacy is op dat moment echt het minst belangrijke. Dus nee privacy gaat niet boven alles. Wie vindt van wel spoort gewoon niet.

40000 man opgeblazen omdat privacy belangrijker is. ^^
Je kijkt teveel films. Naast dat de situaties in deze vorm zeer onlogisch zijn, zijn er nog vele andere dingen die je op dat moment kan doen, zoals zo'n stadion ontruimen bijvoorbeeld. Maar als je toch in dit soort superlatieven wilt blijven praten, prima. Wie moeten allemaal toegang krijgen tot die achterdeurtjes? Alleen de FBI? Wat nou als iemand in Nederland een bom in een stadion heeft gelegd? Okee, de AIVD ook dan. En in een stadion in Rusland? KGB ook? En China? Afijn. Dus alle overheden kunnen bij deze backdoor. Dan kunnen bijv. de Chinezen dus ook in de iPhone van de president van de VS en daar de launch codes voor de kernwapens ophalen. Volstrekt idioot scenario net als de jouwe, maar wel een direct mogelijk gevolg van het in stand houden van zo'n backdoor. En als zoveel mensen toegang hebben tot zo'n backdoor is het slechts een kwestie van tijd totdat dit bedoeld of onbedoeld uitlekt naar anderen, of die anderen zelf uitvogelen hoe dit moet.

Ondertussen gebruikt iemand die een bom gaat laten ontploffen of jouw kind gaat ontvoeren gewoon geen iPhone om die belangrijke informatie in op te slaan, of doet dit met een eigen encryptie erbovenop waar geen achterdeur in zit, dus die pak je niet meer. Maar wel alle normale gebruikers die bijv. in sommige regimes niet graag te veel in de kijker lopen met hun homosexualiteit om maar iets te noemen.
En ik kijk teveel films? xD
Ik ging slechts verder op jouw voorbeelden, in een poging duidelijk te maken dat enorm veel informatie helemaal niet op zo'n iPhone opgeslagen zal zijn maar dat je tegelijkertijd voor iedereen de beveiliging verzwakt, dus ook voor mensen waarvan je belangrijk vindt dat de beveiliging wel op orde is, en dat je alle regimes (en waarschijnlijk ook anderen) toegang geeft tot informatie van iedereen, ook als je dat voor bepaalde regimes helemaal niet wilt.
Dus met een master unlock-key (die met 100% zekerheid uitlekt) dat wil zeggen toegang tot de privacy van iedereen(!) die een iPhone heeft tegenover jouw case 1 / 2 ?
Er zijn twee mogelijkheden (er bestaat geen "only the good guys" tussenweg):
1. Het altijd veilig - dwz niemand komt erin
2. Iedereen komt erin

Dus overduidelijk ga je voor optie 2, en red daarmee een kind van situatie 2. Maar jouw unlock wordt in een land met een regime wat het niet zo nauw neemt gebruikt om mensenrechtenactivisten op te sporen, met als resultaat tientallen zo niet honderden activisten die "verdwijnen".

We hebben het met privacy niet over welke kleur behang je kiest, of hoe vaak je naar de supermarkt gaat en wel of niet vegetarier bent... Privacy omvat ook jouw pincode, creditcardgegevens en bedrijfsgeheimen die op de telefoon staan, alle emails met alle informatie daarin... Stel je een criminele organisatie voor die actief die "privacy buitmaakt" - ik kan me genoeg situaties voorstellen waar de katastrophe vele malen groter is dan jouw hypothetische situatie 2. (zoiets doms als login-data voor toegang tot een systeem, laten we stellen dat daarmee sourcecode wordt buitgemaakt en dan een fout in die sourcecode misbruiken ).

[Reactie gewijzigd door rboerdijk op 15 april 2021 13:00]

Nee, dit is verre van prima. Want dit heeft consequenties die veel verder gaan dan die enkele iphone.
De gruwelijke moord op Khasoggi is hier slechts een voorbeeld van:

https://www.youtube.com/watch?v=WRoGgwXVThg
Al die moeite gedaan, en dan blijkt achteraf dat op de telefoon van de schutter geen boeiende informatie stond...
Ja dat heb je wel eens als je onderzoek doet. Dat er niets gevonden wordt, maakt dan ook helemaal niets uit.
Het feit dat er geen bruikbare info op staat is best boeiende informatie hoor, dan weet je namelijk dat je verder kunt kijken.
Helemaal mee eens. Dit is hoe het hoort te werken.

Vergelijk het met het plaatsen van afluisterapparatuur in iemands woning: dat kost ook moeite. In tegenstelling tot het verplichten van achterdeurtjes in alle babyfoons en beveiligingscamera’s voor consumenten. Waarbij iedereen geraakt wordt met als voordeel dat de inlichtingendiensten minder “moeite” hoeven te doen.
Het is sowieso een storm in een glas water. Er werd gebruik gemaakt van een bug in IOS op een niet gepatchde telefoon. Waar dit australische bedrijf toevallig kennis in/van had.
Van bekende/oude/gefixte exploits oke, maar geheime diensten kopen ook gewoon zero day vulnerabilities. Ik vindt het persoonlijk geen fijn idee dat ons belastinggeld naar bedrijven gaan die bewust lekken opkopen om mee te kunnen hacken ipv melden bij software leveranciers om de wereld veiliger te maken. Dit mag de Nederlandse politie ook aan medoen dankzij de "sleepwet".
900.000 dollar!!! Dan moet er wel hele belangrijke informatie op de Iphone staan.
De belastingbetaler mag zeker de 900.000 aftikken.
Zeker weer onder het mom van "matter of national security".

[Reactie gewijzigd door H.Boss op 15 april 2021 10:17]

Nee, het ging om de schietpartij in San Bernardino. Wat ze hebben aangetroffen op de iPhone is geheim gehouden.

https://nl.m.wikipedia.or...ardino_op_2_december_2015

(Engelse versie van wiki-pagina toont veel meer info)
LA Times heeft in 2018 heeft van uit bronnen rondom het onderzoek het volgende geschreven:

"The FBI eventually found that Farook’s phone had information only about work and revealed nothing about the plot."

https://www.latimes.com/p...rdino-20180327-story.html
Ja, dus? Voor hetzelfde geld hadden ze een Whatsapp groep gevonden waarin ie met andere terroristen overlegde en hadden ze die gasten op kunnen pakken voordat ze hun eigen aanslagen pleegden. De enige manier om vast te stellen of ergens nuttige informatie staat is door die informatie (te kraken en) te onderzoeken. Met alle respect hoor, maar achteraf zeggen "er stond niets nuttigs op" is echt een volkomen zinloos argument.

@eilavid Goed punt, ik had deze post beter als reactie onder de post van H.Boss ("900.000 dollar!!! Dan moet er wel hele belangrijke informatie op de Iphone staan.") kunnen plaatsen.

[Reactie gewijzigd door robvanwijk op 15 april 2021 11:07]

Mijn reactie was geen argument voor of tegen iets. Poster hierboven vermelde dat wat ze aangetroffen hadden op de telefoon geheim was gehouden, in tussen is het bekend dat ze niets relevants hadden gevonden.
De inhoud is geheim gebleven, we kennen alleen het statement van de FBI dat er niets relevants op stond. Maar het lijkt wel aannemelijk want deze iPhone was inderdaad de werk-telefoon van schutter Farook. Hij zou nog twee andere telefoons hebben gehad - die had hij tevoren vernietigd. Het was wel interessant geweest als de FBI had geprobeerd deze vernietigde telefoons alsnog uit te lezen.
Niet helemaal. Je krijgt altijd een kosten baten afweging vooral voor soortgelijke zaken in de toekomst.

Er is door een opsporingsinstantie wel een miljoen dollar (vast meer want niet de eerste poging) aan publiek geld uitgegeven voor wat uiteindelijk vooral een technische exercitie bleek en weinig opsporingswaarde had.

Dat heeft op bislisbevoegde leidinggevenden en politici zeker impact.
"The FBI eventually found that Farook’s phone had information only about work and revealed nothing about the plot."
Goede reden om het geheim te houden als je net bijna een miljoen belastinggeld hebt verspild...
Een miljoen is voor een zo in het oog springende zaak echt helemaal niets, zeker niet in de VS.
Gaat best aantikken gezien het grote aantal schietpartijen daar...
De belastingbetaler mag zeker de 900.000 aftikken.
En over hoeveel micro-cent per belastingbetaler hebben we het dan? Want ik kan me niet herinneren dat ik een extra aanslag kreeg om 900k af te tikken. En ja, ik ben belastingplichtig in de VS.
Die 14 slachtoffers, die bij die aanslag zijn gestorven, hoeven daar dan weer niet aan mee te betalen...
.
.
.
Ik mag toch suggereren dat 14 dodelijke slachtoffers en de mogelijkheid om gerelateerde aanslagen te voorkomen (de 2 daders waren immers ook om het leven gekomen), een dergelijke uitgave toch enigzins rechtvaardigen...
Want de VS hebben laten zien dat ze goed kunnen omgaan met complete controle toegang tot informatie stromen.

Verder zorgt hun buitenlands beleid totaal niet voor nieuwe instabiliteit of terrorisme.
Eens, maar er zijn zoveel aanslagen in de VS, dit soort shootings en ook gewoon door doorgedraaide Amerikanen die in het wild schieten.

Daar heb ik nooit van gehoord dat ze de toestellen kraken.
Daarom vroeg ik mij af of hier dan 'super' belangrijke informatie op staat dat ze daar 900,000 aan spenderen.

[Reactie gewijzigd door H.Boss op 15 april 2021 10:27]

De vrouw had trouw gezworen aan Isis op Facebook. Dat geeft dit wel een heel ander karakter dan vele schietpartijen waarbij de dader een doorgedraaide puber is (als je daar naar refereert).

Ik vind de 900k daarom wel gerechtvaardigd. Als er bij een doorgedraaide Amerikaanse puber aanleiding is om te denken dat er meer aanslagen kunnen volgen zou dat bedrag ook gerechtvaardigd zijn in mijn optiek.
Eens, en voor de duidelijkheid, ze moeten er ook alles aan doen om dit soort zaken te voorkomen.
Dat u niet hoort dat ze toestellen hebben gekraakt wilt niet zeggen dat het niet gebeurd :)

Belangrijke informatie is subjectief, ik kan mij alleen wel voorstellen dat ze willen weten hoe de schutter dit alles heeft kunnen plannen en met wie hij hiervoor contact heeft (moeten) hebben. Al is het maar om hier lering uit te trekken en preventief te kunnen handelen.
Uit https://en.wikipedia.org/wiki/2015_San_Bernardino_attack:
(..)a terrorist attack, consisting of a mass shooting and an attempted bombing(...)
Net iets meer dan een doorgedraaide Amerikaan, me dunkt..
(...)Neither shooter had a criminal record, and neither was on Terrorist Screening Database lists.(...)
Ik vind het niet zo gek dat je dan mogelijk wil checken of er nog meer rottigheid gepland staat door andere mensen, die wellicht ook nog niet op je Terrorist Screening Database lists staan...
Er zal ongetwijfeld een 'credible threat' zijn geweest, om deze stap te nemen.
Eh, heb je het bericht gelezen?
Yes, ze hebben de exploit gebruikt om toegang te krijgen tot het toestel.
Je klinkt alsof je nieuwsgierig bent naar de reden, maar bent dat uiteindelijk helemaal niet. Even zoeken op het voorval van San Bernardino geeft je namelijk al aardig wat informatie om welke reden dit gedaan is.
Zo zeg, wel 0,3 cent per inwoner.
Het lijkt me dat Apple een groot aantal manieren heeft om één telefoon te ontgrendelen zonder security van alle iPhones op het spel te zetten.
Ze zijn op de hoogte van de meeste vulnerabilties die in de betreffende versie van de telefoon zit, dus ze kunnen een exploit aandragen.
Ze kunnen een update pushen naar enkel deze telefoon en het login scherm uitschakelen.
Ze kunnen een applicatie naar deze telefoon pushen om een backdoor te creëren.

iOS is een gesloten ecosysteem waar Apple volledige controle over heeft.
Lijkt me slechts een slecht excuus dat ze niet kunnen helpen.

[Reactie gewijzigd door rolframaker op 15 april 2021 11:36]

“Ze zijn op de hoogte van alle vulnerabilties die in de betreffende versie van de telefoon zit, dus ze kunnen een exploit aandragen.”

Nee, dat zijn ze niet. Apple is “de tegenstander” voor beveiligingsbedrijven. Die houden de kwetsbaarheden vaak lekker voor zichzelf. Ook niet zelden hebben aanvallers meerdere kwetsbaarheden nodig, chainen die en komen zo pas binnen. Dat is niet zomaar vooraf in te schatten. Apple heeft bij die blackbox bijvoorbeeld lange tijd onderzoek moeten doen om uit te vogelen hoe de beveiligingsroutines in vredesnaam kon worden omzeild.

Er is een reden dat er grof geld omgaat voor kwetsbaarheden en die bedrijven de kaarten strak tegen de borst houden.

[Reactie gewijzigd door WhatsappHack op 15 april 2021 11:33]

Er staat meer op het spel dan die enkele iPhone. Als ineens blijkt dat Apple iedere willekeurige iPhone kan unlocken en de data op straat kan gooien doet dat niet veel goed voor het imago. Daarnaast vraag ik me af of er werkelijk een manier is dat Apple dit zou kunnen. Genoeg slimme mensen op de wereld die dit niet voor elkaar krijgen op de nieuwe iPhones en ik ga er vanuit dat de security met ieder model een stuk beter wordt.
Natuurlijk zou Apple dit kunnen, de hardware en software zijn gecreeerd door Apple. Ze schrijven en verifiëren zelf de software en zouden dus een update kunnen installeren die de toegangscode verwijderd.

Quote van Tim Cook uit de publieke brief in die zaak toen:
The U.S. government has asked us for something we simply do not have, and something we consider too dangerous to create.
En terecht dat ze dat niet willen creëren, zo iets gevoeligs zou zoveel geld waard zijn, en zie het maar eens te fixen als het uitlekt.

[Reactie gewijzigd door IThom op 15 april 2021 10:55]

Mee eens. Mijn derde zin is ongelukkig getypt. Doelde inderdaad vooral op het feit dat ze het wel kunnen, maar dat de schade die eruit kan volgen gigantisch zou zijn.
Dat kan alleen VOORAF... dus VOORDAT een toestel is gelocked, want een toestel dat is gelocked.. is 100% versleuteld.
Dat is niet waar, je kan een vergrendeld toestel gewoon in herstelmodus zetten en een update installeren met behoud van gebruikersdata. Als die update dan in de code heeft zitten dat de pincode / wachtwoordvergrendeling uitgeschakeld wordt dan kan op die manier het toestel ontgrendeld worden.

Behalve Apple (ofwel mensen met toegang tot Apple's servers) kan niemand dat regelen omdat updates altijd moeten worden geverifieerd met de Apple servers, waarvan Apple dus zelf de eisen kan instellen.
Dan behoud je geen data... die wordt dan compleet overschreven.
Je weet duidelijk niet waar je het over hebt.
Hier op de Apple website in de screenshot bij stap 4 staat letterlijk dat je ook een update kan uitvoeren vanuit herstelmodus, waarbij de data behouden blijft.
wat heb je daarna nodig? juist... wachtwoord..
Apple kan een update niet naar 1 toestel pushen... wel naar bijvoorbeeld alleen iPhone5 S, iPhone 7 etc. etc. etc.
Maar echt gericht naar 1 toestel neen, daarnaast... moet het toestel eerst zijn ontsleutelt voordat een update kan worden geïnstalleerd.
Waarom zou Apple dat niet kunnen?
Bij Samsung's kan je via je Samsung account op afstand de toegangscode uitschakelen, waarom zou dat voor Apple niet mogelijk zijn?
Omdat Apple die mogelijkheid niet bied en kan bieden.
De code staat opgeslagen op een aparte chip dat de Secure Enclave wordt genoemd en nee.. het vervangen van deze chip lost niets op.
Als jij als gebruiker via de software je pincode kan wijzigen dan kan dat natuurlijk ook via de achterkant van de software.
De Secure Enclave is echt niet zo superspeciaal en magisch als de Apple marketing laat denken. Misschien je wat beter inlezen voordat je allemaal onzin hier plaatst.
Jij moer je wat beter inlezen... in de Secure Enclave zit je pincode versleuteld opgeslagen... die moet qua vingerafdruk blijven matchen met het iDevice waarin hij is ingestopt.. zodra dat niet meer zo was.. kan het toestel zich nooit meer ontsleutelen.. en is het dag dag data.
Kun je je kop wel tegen de muur slaan, maar M3m30 heeft gewoon gelijk

In pseudocode:

secureEnclave.changepin(oldpin, newpin) = store.put(encrypt(decrypt(store.get(key), oldpin),newpin))

en dat dus volledig uitgevoerd door de secure enclave.
Zonder je oude pin kan de enclave de feitelijke sleutel niet decrypten en dus ook niet de nieuwe pin instellen.

Het enige dat je mogelijk met genoeg moeite uit de secure enclave zou kunnen vissen is de encrypted sleutelwaarde die je dan vervolgens met brute-force moet zien te decrypten.
Allereerst: de iPhone 5C had nog niet eens een Secure Enclave, die was er pas voor de iPhone 5S en later.

Daarnaast begrijpen jij en @M3m30 duidelijk niet wat ik bedoel: Apple kan als eigenaar van de sourcecode toch de software aanpassen zodat voor vergelijking [ingestelde pincode <> ingevoerde pincode] niet meer de verwijzing naar de Secure Enclave gedaan wordt, maar naar een ander bestandje, of zelfs de hele toegangscode functie er uit halen.

Zolang Apple maar wil kunnen ze alles doen met de software: dingen toevoegen, verwijderen of aanpassen.
De secure enclave bevat de sleutel om de data op de iPhone te ontsleutelen. Die sleutel is beveiligd langs de pin. Maakt niet uit wat Apple met de pinvalidatie doet... je kunt niet zonder de pin de encryptiesleutel ontsleutelen en zonder de encryptiesleutel te ontsleutelen kun je niet de data ontsleutelen (anders dan door bruteforcing en hopen op een snelle match)
Ze kunnen een applicatie naar deze telefoon pushen om een backdoor te creëren.
Kunnen ze dat? Ik moet anders voor iedere nieuwe app autoriseren dat ik die echt wil. En een gelocked toestel kan wel updates downloaden maar wacht met installeren tot iemand unlocked.
iOS is een gesloten ecosysteem waar Apple volledige controle over heeft.
Apple heeft volledige controle over het ontwerp, niet de telefoon. Ze hebben het ontwerp zelfs zo gemaakt dat ze die controle helemaal niet kunnen nemen om dit soort gehengel van overheden te voorkomen. (denk aan encryptiesleutels die lokaal staan en gelocked zijn door de gebruiker)
Het lijkt me dat Apple een groot aantal manieren heeft om één telefoon te ontgrendelen zonder security van alle iPhones op het spel te zetten.
Waarom lijkt het je dat? Wat je zegt komt neer op "de FBI kan elke willekeurige iPhone aanwijzen en Apple kan die voor ze kraken, maar Apple heeft geen manier om alle iPhones te kraken".
Ze kunnen een update pushen naar enkel deze telefoon en het login scherm uitschakelen.
Als iemand bij Apple een knop heeft "kraak iPhone $x", hoe is dat geen gevaar voor de beveiliging van alle iPhones? Hoe voorkom je dat iemand een hele zooi serienummers (of wat dan ook) in dat tooltje gooit en massaal toestellen kraakt?
Als je het artikel omdraait, zou je dus ook kunnen zeggen dat als de fbi paar maanden had gewacht, tot er een grote bug gefixed zou worden. Ze de 900k zouden hebben bespaard. Immers gaan ze die telefoon natuurlijk niet voorzien van de nieuwste security patches.
Eh nee, dan blijft die telefoon toch in dezelfde toestand? Nog steeds alleen maar open te krijgen via de methode van Azimuth Security? Niet updaten betekent alleen dat die kwetsbaarheid er in zit die nog steeds niet makkelijk te omzeilen is.
Zie het zo er worden, constant nieuwe bugs en exploits gevonden en gedicht. Hierbij wordt vaak daarna bekend gemaakt, hoe die gebruikt kon worden.

Voor de consument alleen maar goed, wij zijn beter beveiligd, echter criminelen waarbij je de telefoon status kan bevriezen namelijk door niet uptedaten.

Ontstaat er ook een handleiding met methodes hoe men toch bepaalde informatie kan vergaren.
Is deze exploit dan na het dichten bekend gemaakt?
Een van de gebruikte kwetsbaarheden zat in code van Mozilla, die Apple gebruikt zou hebben voor het koppelen van accessoires aan de Lightning-poort.
Iemand enig idee over welke product van Mozilla dit gaat?
Het probleem is dat de security zo zwaar is dat ze buitenproportie begint te worden; Dat komt er alleen maar omdat diezelfde overheid geprobeerd heeft / nog steeds probeert alles van de burgers in te zien, ook privé gegevens.

Nu twijfel ik zelf hard aan het feit of het nodig is na 10 pogingen een volledige wipe uit te voeren en je telefoon een brick te maken omdat je de pincode niet meer kende ...
Dan wordt je toestel geen brick... je bent dan echter wel je data kwijt.
Azimuth is eigendom van het Amerikaanse L3 Technologies, redelijk grote contractor voor het Amerikaanse leger, pentagon, noem maar op.
[...] De FBI kon vervolgens de pincode achterhalen met een bruteforce-aanval.
Gewoon een sterk wachtwoord gebruiken (vaak 77 of meer bits aan entropie*) en de telefoon zoveel mogelijk uit laten staan. Dan wordt je beschermd door wiskunde i.p.v. soft- en hardware waar bugs in kunnen zitten. Nou kunnen die cryptografische algoritmes theoretisch ook zwakheden bevatten, maar gezien die vaak al decennia onderzocht zijn door allerlei knappe koppen lijkt me dat zeer onwaarschijnlijk.

*Als volgt uit te rekenen: log2(gebruikte karakter(deel)verzameling ^ lengte wachtwoord). De aanname hier is wel dat het wachtwoord volledig willekeurig is, dus niet bijv. bedacht/aangepast door een mens.

Kleine letters (a-z), hoofdletters (A-Z), cijfers (0-9) = 62. Dus 13 willekeurige karakters uit die verzameling is al voldoende, want: 77.40 = log2(62^13).

Met alle zichtbare karakter uit de ASCII-karakterverzameling heb je 12 karakters nodig om het te duur en te langdurig te maken om te kraken.
pro terrorist tip, voor uw aanslag uw telefoon aan diggelen slaan of beter nog gewoon geen mobieltje gebruiken...
Maar de belangrijkste vraag blijft onbeantwoord...
Wat stond er nu op de telefoon??? hebben ze bewijzen gevonden om een moordenaar van de straat te houden?

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True