Hackingsoftware van spionagebedrijf verschijnt op internet

Activistische hackers hebben 1,8 terabyte aan software en broncode online gezet van het Israëlische spionagebedrijf Cellebrite. Ook is data van een Zweedse concurrent uitgelekt. De tools worden onder andere gebruikt door Nederlandse en buitenlandse opsporingsdiensten.

De data is gepubliceerd door Distributed Denial of Secrets, een hacktivismeorganisatie die vaker interne bedrijfsdocumentatie lekt. De data werd eerder al verdeeld onder hackersgroepen door hackcollectief Enlace Hacktivista, maar DDoS heeft de data nu online gezet als torrent.

De hackers hebben 1,7 terabyte aan gegevens online gezet van Cellebrite. Dat is een Israëlisch spionagebedrijf dat software maakt om smartphones uit te lezen. Die software wordt ook in Nederland ingezet. Onder andere het Nederlands Forensisch Instituut gebruikt de tools om telefoons te kraken. Ook de Nederlandse politie zou de tools inzetten, net als veel internationale politiediensten. Er wordt gespeculeerd dat Cellebrite de software leverde waarmee de Amerikaanse FBI de iPhone 5c van de San Bernardino-terrorist wist te kraken. Die situatie mondde jaren geleden uit in een hoogoplopende juridische strijd tussen de politiedienst en Apple.

Welke files er precies in de torrent van DDoS staan, is niet bekend. Het zou gaan om 'forensische software en documentatie', maar het is niet bekend of er bijvoorbeeld binary's in zitten waarmee de software kan worden opgebouwd door andere partijen.

Naast de software van Cellebrite hebben de leakers ook data openbaar gemaakt van MSAB. Dat is een Zweedse tegenhanger van Cellebrite. Daarbij gaat het wel om aanzienlijk minder data: 103 gigabyte, ten opzichte van 1,7 terabyte voor de Cellebrite-data.

Het is niet de eerste keer dat er data van Cellebrite op internet verschijnt. Dat gebeurde bijvoorbeeld al in 2017. Het leek toen aanvankelijk alleen te gaan om wat naw-gegevens, maar later zouden er toch ook iOS-hacktools online zijn verschenen.

Door Tijs Hofmans

Nieuwscoördinator

18-01-2023 • 13:01

89 Linkedin

Submitter: Jerie

Reacties (89)

89
88
40
3
0
31
Wijzig sortering
Zo te zien zijn verreweg de meeste files gewoon te downloaden van de Cellebrite portal als je hun software afneemt.
Het grootste deel van de 1.7TB zijn de offline map packages. Die zijn bedoeld om in te laden in de Physical Analyzer als je "in het veld" aan het werk bent.
Grofweg zijn er 2 tools die je gebruikt en die ook in deze leak zitten: De Physical Analyzer en UFED4PC.
UFED4PC is de tool die je gebruikt voor het uitlezen van mobiele apparaten, en is gelijk aan de software die op hun hardware draait.
UFED4PC werkt op elke pc, maar voor geavanceerde functies heb je eigenlijk de UFEF4PC adapter nodig (bijv. om simkaarten uit te lezen).

Daarnaast is er de Physical Analyzer, die gebruik je om de image die je met UFED4PC maakt te analyzer. Deze software ondersteund zo'n beetje alle data, van whatsapp databases tot sms-berichten en van foto's tot zendmast data. Met Physicical Analyzer maak je dan ook uiteindelijk de rapportages.

De software van concurrenten is leuk, maar de UFED software van Cellebrite is gemeen goed, en als je er een beetje handig mee bent kun je alles uit een telefoon halen. Mede hierdoor is het denk ik wel het meeste gebruikte apparaat bij opsporingsdiensten over de hele wereld.

Deze informatie is niet geheim en kun je ook gewoon op de site van Cellebrite terug vinden.
Ik zit zo eens naar die content te kijken. Er zit ook een 100GB BSSID file bij. Ik vermoed dat dit is om een mapping te maken tussen de gevonden wireless netwerken waar de telefoon mee verbonden is geweest.
Hoe is die ontstaan? Iets met auto's van google maps???
Telefoons geven dat vanzelf door denk ik. Welke BSSID + GPS locatie. Mozilla heeft daar een project voor gehad, maar ook Skyhook, en ook op wigle.net, kan je op BSSID zoeken.
Die data is niet geheim. En wordt op tal van manieren verzameld.
(Als je bij een BSSID een locatie wil kan je dezelfde Google API gebruiken die gebruikt wordt voor "coarse location".)
war driving, is de term dacht ik?
War driving is meer het inbreken. Dit is dataverzameling voor o.a. (indoor) locatiebepaling. Je gaat ook niet speciaal op pad, maar laat je clients de informatie verzamelen die ze zelf kunnen gebruiken.
Nee, war driving is niet inbreken, het is scannen en mappen:

https://nl.wikipedia.org/wiki/Wardriving
Veel wardrivers maken gebruik van gps om de locatie van de draadloze netwerken te bepalen en houden dit bij in een logboek of zetten het op een website.
Eerste waar ik dan aan denk is Smartphone OS aan de hand van de methodieken van deze tools beter beveiligen, hebben ze weer wat te doen.
Dit is allemaal overdreven nieuws, ik zelf gebruik met regelmaat Cellebrite producten (o.a. UFED4PC, PA en pathfinder), de cellebrite tools staan nu al een paar jaar op internet en met elke nieuwe update vind je wel een Rus of een Kazahkstaan die het heeft weten te kraken. En in deze producten hoef je eigenlijk weinig nieuws te verwachten, met ufed4pc gebruikt cellebrite alleen exploits die toch al toegankelijk zijn voor iedereen (die plukken ze gewoon van github) zoals de checkm8 en checkra1n exploit voor oudere iphone modellen). 0days worden in andere producten aangeboden die niet via software te verkrijgen zijn (CAS/Premium).
Het werd ook tijdje te koop aangeboden op AliExpress.
Als je weet waar je zoekt op telegram kan je licenties vinden voor bijna alle forensische producten waar een overheid per jaar duizenden euro's voor betaald, via telegram betaal je er slechts 50 euro voor.
Is het downloaden hiervan illegaal?
Artikel 139g Wetboek van strafrecht stelt het helen van computergegevens strafbaar. Let echter wel op het tweede lid dat een specifieke strafuitsluitingsgrond biedt

1 Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

2 Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.
Afhankelijk van je doel. Wil je meer weten en onderzoeken of jouw burgerrechten zijn geschaad door het gebruik van deze software door de overheid, dan kan dit vallen onder journalistieke vrijheid/het uitoefenen van je burgerlijk recht om te weten of je onrecht is aangedaan.
Wil je meer weten en onderzoeken of jouw burgerrechten zijn geschaad door het gebruik van deze software door de overheid, dan kan dit vallen onder journalistieke vrijheid
Journalistieke vrijheid geldt niet voor de doorsnede burger.
uitoefenen van je burgerlijk recht om te weten of je onrecht is aangedaan.
Wat is dit exact en waar in het wetboek vinden we dit terug?

[Reactie gewijzigd door Bor op 18 januari 2023 14:59]

Journalistieke vrijheid geldt niet voor de doorsnede burger.
"Inmiddels kan echter (mede) door de opkomst van het internet niet nauwkeurig meer worden omschreven wat in de hier bedoelde zin is te verstaan onder "de pers" omdat daardoor ook voor particulieren de mogelijkheid is ontstaan zich buiten de tot dan toe bestaande media tot een breed publiek te richten.”
HR 18 januari 2008, LJN BB3210 (Van Gasteren/Hemelrijk)

"Van journalistiek is sprake] bij de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.”
HvJ EU zaaknr. C-73/07, 16 december 2008 (Satamedia)


"
het uitoefenen van je burgerlijk recht om te weten of je onrecht is aangedaan.
Welk recht is dat precies, en waar staat het beschreven?
Dit is een interessant punt, ik ben benieuwd wat een juridisch beter onderlegd persoon hiervan vindt.
Misschien een leuke voor @Arnoud Engelfriet
Da's een leuke, ik ga erover nadenken.
Het is hoogstwaarschijnlijk onvolledig en niet echt nuttig voor de gemiddelde huis-, tuin- en keukengebruiker. Ik zie er in elk geval weinig meerwaarde in. Maar los van dat: ja. Het is beschermd materiaal wat zonder toestemming verkregen is en zonder toestemming online is gezet (verspreid).

Als iemand zijn voordeur open heeft staan, betekend dat ook niet dat je opeens het huis in mag om het huis leeg te stelen.

[Reactie gewijzigd door CH4OS op 18 januari 2023 14:08]

Ik vind die analogie van de voordeur altijd zo krom. Zeker als het gaat om data die je niet zelf bij een bedrijf vandaan haalt maar een kopie daarvan ergens downloadt.
Een TV uit een huis halen is wat anders dan een stuk software kopiëren. Je neemt namelijk niks weg.

Auteursrechtelijk beschermd materiaal uit illegale bron verkrijgen zonder dat je daar zelf licentie toe hebt, en jezelf toegang verschaffen tot andermans eigendommen is dan uiteraard wel weer strafbaar (en terecht)
In de analogie ga ik uit van degene die ingebroken heeft (deur geopend) om de bestanden te verkrijgen, niet een willekeurig ander iemand op internet die vervolgens die gestolen data ergens van wilt downloaden.
Ja maar je reageert op de vraag of het dowloaden illegaal is, dat is net anders dan de voordeur.
Dat antwoord zou beter gepast zijn op de vraag dat als een bedrijf zó slecht beveiligd is dat je met een simpele handeling bij beveiligde bestanden kan komen, of het dan strafbaar is als je rondkijkt/iets downloadt.
(ja, dat valt onder computervredebreuk, tenzij je aan kunt tonen dat je het deed om vervolgens het bedrijf te informeren)
Het downloaden is illegaal, omdat
1) Het beschermd materiaal is
2) Geen toestemming gegeven is aan de inbreker om de verkregen data te delen

Vervolgens haal ik de hypothese met een huis aan (om punt twee verder toe te lichten), ook al staat daar een deur wagenwijd open, geeft dat niemand ook niet het recht om naar binnen te lopen en het huis leeg te halen (is stelen).

Mocht dit niet zijn wat je zoekt, weet ik niet waar je wel naar op zoek bent, lijkt me verder ook behoorlijk muggenziften.

[Reactie gewijzigd door CH4OS op 18 januari 2023 14:30]

ook al staat daar een deur wagenwijd open, geeft dat niemand ook niet het recht om naar binnen te lopen en het huis leeg te halen
Dat (vet gedrukte) is ook strafbaar = uitlokking...

Just saying....
Je voordeur handelt niet in exploits van andere systemen met dubieuze motieven :P
Download is niet illegaal, veel commerciële bedrijven willen wel dat het zo gezien wordt.
Uploaden (/reproduceren) is wel illegaal als je daarvoor geen toestemming hebt.
Er zijn ook gevallen waar het in bezit hebben niet legaal is, of op z'n minst problematisch. Als journalist of security researcher is dat het minst problematisch.
Het downloaden is wel degelijk illigaal echter:
terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen
Als ze niet kunnen aantonen dat je wist van het feit dat het om illigaal vergregen materiaal gaat, valt het te betwijfelen of er een misdrijf is gepleegd.
"Verwerven" is een belangrijk stuk. Downloaden is niet perse verwerven, als ik op een link klink in mijn browser download ik automatisch, en worden allemaal andere zaken ook gedownload terwijl ik daar geen arbeid of moeite voor doe. Dus download is niet per definitie illegaal, maar ik bezit hebben wordt lastiger uit te leggen. Dit is dus "Er zijn ook gevallen waar het in bezit hebben niet legaal".

Verder gaat die wet die je aanhaalt verder
Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.
https://wetten.overheid.n...z=2023-01-01&g=2023-01-01

Hoe dan ook. Bij het downloaden, en vervolgens dus in bezit zijn, van deze gegevens is "op z'n minst problematisch".
je hebt gelijk, ik nam de term downloaden iets te specifiek aan in mijn situatie.
Het is trouwens in Torrent vorm aangeboden.
het automatisch download start door de browser zonder eigen arbeid gaat dus niet echt op.
Als ze niet kunnen aantonen dat je wist niet redelijkerwijs had kunnen weten dat het om illigaal vergregen materiaal gaat, valt het te betwijfelen of er een misdrijf is gepleegd.
Mijn inschatting is dat het niet zo moeilijk gaat zijn om aan te tonen dat het redelijkerwijs verwacht mag worden dat een dergelijke dataset niet op reguliere wijze aangeboden wordt ter download als je niet zelf een klant bij Cellebrite bent
Het downloaden is net zo illegaal als het gebruik van de software om beveiligingen te kraken :o
Als iemand op Tweakers tegen jou zegt dat het niet illegaal is, is het dus niet illegaal meer omdat je niet beter wist?
Er zal vast copyright opzitten, dus gok van wel. Geen idee of het downloaden ervan ook onder heling valt (het is immers gestolen). Ik brand in ieder geval mijn vingers er niet aan (ook omdat ik niet zou weten wat ik met de software zou moeten).
Volgens mij is heling het illegaal kopen of verkopen van goederen, dus lijkt me gewoon downloaden uit illegale bron te vallen.
Kopen is geen vereiste. Als je een gratis fiets van een willekeurige voorbijganger aanneemt kun je ook gewoon onderdeel van het helen van een gestolen fiets zijn immers.

Verder denk ik inderdaad wel dat dit geen helen is, maar “gewoon” illegaal downloaden is. Uiteraard is het gebruik van de software op toestellen anders dan je eigen dan weer een heel ander juridisch verhaal.
het downloaden via torrents is niet direct illegaal, het gaat daarbij om het auteursrechtelijke materiaal wat gedownload wordt.
Geen idee, maar ben al aan het downloaden O-)
In België is het bezitten van hacking tools steeds strafbaar. Zelfs nmap bijvoorbeeld valt daar onder. Niet onterecht is daar voor ethical hackers een probleem ...

Ik vermoed dat de software ook nog eens auteurs rechten heeft, dus het kan best duur uitvallen.

De vraag is uiteraard wie handhaaft.
1,8 terabyte aan software en broncode
Lijkt me extreem veel voor alleen source code en software bestanden?
Is helemaal zoveel niet hoor. Broncode, alle revisies van je code, alle bibliotheken en alles wat erbij hoort. Als ik hier bij ons even naar de fileservers kijk en hoeveel storage we jaarlijks moeten bijsteken, dan vind ik 1.8TB nog meevallen.
alle revisies van je code
ja sterk argument, daar had ik niet aan gedacht
Kan nooit alleen maar source code zijn. Ter vergelijking, de Bijbel (31.000 regels) is 4,3 MB. Dan staat 1,7 TB gelijk aan zo'n 400.000 Bijbels...
Als je bij PassMark Software OSForensics koopt, moet je ook de Rainbow tabellen er op een 3TB harddisk bij kopen omdat die te groot zijn voor download.
Word dat nog gebruikt dan?

Waarom niet een bruteforcer die dr woordjes uit wikipedia's haalt en alles tussen a-z 0-9 en !-? Kan die wel zelf verzinnen lijkt mij.
Alleen kan zoeken lang duren, als een goede hash wordt gebruikt. Met rainbow tables gaat dat heel veel sneller.
Omschrijving van ddosecrets:
> Phone forensics software and documentation from Cellebrite and MSAB.

Alsnog erg veel ja
Lijkt erop dat er datasets in zitten van zowel offline maps als een taal model(?).
Zouden dan daarmee ook eventueel gebruikte zerodays aan het licht komen, of zouden ze daar extra voorzichtig mee omspringen?
Gezien de capabiliteiten van Cellebrite, is de kans aanzienlijk dat er 0-days aan het licht komen. Onderzoekers zullen as we speak als een speer de broncode aan het analyseren zijn om precies deze vraag te beantwoorden (en de eerste te zijn die de ontdekking doet).
Nee. In het gelekte product zitten alleen publiekelijk beschikbare exploits. Hun ‘holy grail’/0-day exploits zitten in een ander product.

Dit gelekte product kan iedereen kopen.
Als Cellebrite de 0-days al heeft, is een onderzoeker / hacker dus de tweede die het vindt; Cellebrite had het immers ook al gevonden. :)
Die info hebben ze waarschijnlijk voor zichzelf gehouden en/of verkocht aan de hoogste bieder.

edit: blijkbaar gaat het om een non-profit organisatie.

[Reactie gewijzigd door altijdprijs op 18 januari 2023 14:27]

Als dit de volle toolset is, zoals de content van de download suggereert, dan zit het er ingebakken.
Kan Apple mooi de lekken gaan dichten en lering trekken uit de gebruikte methodes :)
Dat is zo te zien ook precies de bedoeling van deze leak als je de begeleidende tekst leest.

Quote van de ddos leaks website:
Both companies' software is well documented as being used in human rights abuses
Het gaat het hun er zo te zien om dit soort bedrijven schade aan te brengen door er voor te zorgen dat dit nu gepatched gaat worden door de vendor (Apple).

[Reactie gewijzigd door meowmofo op 18 januari 2023 13:24]

Zo werkt het niet. In het gelekte product zitten alleen publiekelijk beschikbare exploits. Hun ‘holy grail’/0-day exploits zitten in een ander product.

Dit gelekte product kan iedereen kopen.
Een hacktivismeorganisatie doet het niet voor financieel gewin lijkt me.
Je hebt gelijk, ik kende de groep niet. Wikipedia zegt: "Distributed Denial of Secrets, abbreviated DDoSecrets, is a non-profit whistleblower site for news leaks founded in 2018".
"het is niet bekend of er bijvoorbeeld binary's in zitten waarmee de software kan worden opgebouwd door andere partijen."

Je hebt toch juist NIET (louter) de binaries nodig om software te kunnen bakken voor andere partijen?
Correct. Binaries zijn al compiled.

Bijvoorbeeld de BLOBs voor drivers in Android zijn wel nodig voor custom roms zoals LineageOS, maar dat is in dit geval niet aan de orde.
Deze software kan alsnog gebruik maken van bibliotheken die niet (makkelijk) beschikbaar zijn
Wat is activistisch aan deze actie? Of is het omdat ze medelijden hebben met al die boefjes en die in de gelegenheid willen stellen om te weten hoe ze veilig kunnen communiceren?
Het publiekelijk maken van deze informatie zorgt ervoor dat fabrikanten als Apple de door opsporingsdiensten/schimmige landen gebruikte lekken kunnen dichten waardoor ook de privacy van onschuldigen beter gewaarborgd is.
Omdat dit soort bedrijven hun software aanbieden aan partijen die daarmee mensenrechten schenden. Ook een misdrijf trouwens.

Of dat nou CIA is of regimes in azie, afrika, midden-oosten die daarmee journalisten en activisten vermoorden, het is allemaal kwalijk.
Ik wil zelf veilig communiceren. Ben ik nu een boefje?
Als je niets verkeerds doet dan heb je toch ook niets te verbergen?
Poepen is niet verkeerd, toch doe ik dat liever met de deur dicht.

Zonder grappen; we hebben wel degelijk wat te verbergen. Niet alleen voor hackers maar ook commerciële partijen. Als ik iets deel met een kennis/geliefde over mijn mentale gezondheid dan gaat dat niemand een fuchsia aan :)

Men hoeft niet alles te weten.
Nou nou... De bron van dit nieuws, a.u.b. of is het eigen nieuws? _/-\o_

[Reactie gewijzigd door Maulet op 18 januari 2023 13:50]

Als Google en Apple zeer snel de problemen patchen, die ze nu kunnen aantreffen, wisten ze dan van de software af? Is er daarom een kans dat er niet op gereageerd wordt?
@Tijs Hofmans Ik denk dat er mogelijks een paar foutjes in je artikel zitten (Ik kan ook verkeerd zijn):

Distributed Denial of Secrets schreef het volgende in hun artikel:

"This data was first published by Enlace Hacktivista, who wrote on their front page"
Je zou dit kunnen interpreteren alsof dat DDoS de data niet online heeft gezet maar gewoon helpt met het verspreiden van de data :).

Enlace Hacktivista is ook geen hackerscollectief, maar eerder een groep die gebeurtenissen omtrent hacks gedurende de afgelopen jaren probeert te documenteren.


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee