Exfiles-project van opsporingsdiensten EU kraakte 'honderden' cryptotelefoons

Het Europese Exfiles-project heeft naar eigen zeggen 'honderden' cryptotelefoons gekraakt in de afgelopen jaren. Dat project, waar onder meer het Nederlands Forensisch Instituut aan deelneemt, kraakt versleutelde smartphones van criminelen.

Het Nederlands Forensisch Instituut laat op maandag weten dat het Openbaar Ministerie toegang heeft gekregen tot honderden telefoons dankzij het Exfiles-project. Dat gebeurde 'veelal' in onderzoeken naar zware georganiseerde misdaad, schrijft het instituut. Opsporingsdiensten en bedrijven uit verschillende EU-lidstaten werkten tijdens het project samen aan methodes en technieken om toegang te krijgen tot 'de nieuwste modellen cryptotelefoons'. Het NFI noemt geen concrete telefoons. Ontsleutelde berichten uit dergelijke smartphones konden vervolgens als bewijs worden ingezet in strafzaken. Volgens het NFI gaat dat veelal om bewijs dat niet op andere wijzen verkregen kan worden.

Cryptotelefoons zijn smartphones die extra zijn versleuteld. Het ontsleutelen daarvan is volgens het NFI de afgelopen jaren moeilijker geworden. Eerst konden gegevens volgens het NFI direct uit de hardware gehaald worden, maar tegenwoordig hebben cryptotelefoons meerdere lagen beveiliging, onder meer met losse securitychips. Het NFI wist vorig jaar een versleutelde Google Pixel-telefoon te ontsleutelen. Die telefoon werd gebruikt door de vermoedelijke daders van de moord op Peter R. de Vries.

De politie heeft de afgelopen jaren meerdere grootschalige, versleutelde communicatiediensten uit de lucht gehaald, zoals EncroChat, Sky ECC en Exclu. Daarbij werden miljoenen berichten in beslag genomen die worden gebruikt in honderden strafzaken. De gekraakte cryptotelefoons die het NFI aanhaalt onder het Exfiles-project, lijken losse telefoons te betreffen.

Exfiles werd in 2020 gestart en werd gefinancierd onder het EU Horizon 2020-programma. Het project had een looptijd van 36 maanden en is nu ten einde. De Europese Commissie evalueert het project in oktober en bepaalt dan of er een vervolg komt.

Reacties (95)

vinkjb 14 augustus 2023 11:52

Goed dat ze zo 1 en ander aanpakken maar de criminaliteit lijkt er niet echt minder door te worden.
Al die tieners die bijv maar cobra's leggen bij misschien duistere zaken en gelijk jou woning ook maar meepakken als bijvangst.

wildhagen

Politiek en recht
Politie
Privacy
Europa
Europese unie

@vinkjb • 14 augustus 2023 12:14

Het gaat hier over het algemeen niet om kinderen die een Cobra ergens naartoe smijten, daar is dit dispoportioneel veel te veel moeite voor. Dit wordt met name gebruikt in de ondermijnende zware criminaliteit:

Dat gebeurde 'veelal' in onderzoeken naar zware georganiseerde misdaad, schrijft het instituut

Dan moet je aan dit soort zaken denken (geen idee of deze ook aan Exfiles zijn gerelateerd, maar het gaat om het idee):

- nieuws: 'Belgische en Nederlandse politie hebben cryptotelefoondienst Sky ECC...
- nieuws: Nederlandse politie droeg technisch bij aan hack op cryptotelefoondie...
- nieuws: Politie haalt cryptotelefoondienst Exclu offline, verricht arrestatie...
- nieuws: Nederlandse politie arresteert drie mensen om betrokkenheid bij Encro...
- nieuws: OM verkrijgt ruim miljoen berichten van servers met informatie van pg...

En meer van dit soort relatief recente berichten.

FONfanatic @wildhagen • 14 augustus 2023 12:43

Het gaat daarbij o.a. over mondiaal ondergronds bankieren, waarop men nu een beetje vat begint te krijgen.

themadone @FONfanatic • 14 augustus 2023 12:58

Yeah right, ondertussen zit Pablo 2.0 lachend op zijn prive eiland natuurlijk.

Als je crimineel geld wilt aanpakken moet je crypto coins gaan verbieden, maar helaas zoals ook in het verleden is het voor overheden en geheime diensten ook wel makkelijk om niet alles via de boeken te laten lopen.

Sowieso snap ik die criminelen ook niet hoor, dan ga je een crypto phone kopen en denken dat je vrijuit kan communiceren? Gebruik dan op zijn minst iets als worden uit een boek wat je beide hebt ofzo en stuur alleen cijfertjes over in bepaalde volgorde, zoiets als bladzijde alinea en woord ofzo.

Ja duurt langer, maar wel lastiger te kraken want zelfs als ze de telefoon open hebben zie je alleen een berg cijfers, succes met zoeken.

glennoo @themadone • 14 augustus 2023 14:29

https://www.europol.europ...20criminal%20finances.pdf

Alsjeblieft, een mooi documentje van Europol zodat je je kunt inlezen over een onderwerp zodat je geen onzin hoeft rond te spuwen. Kun je daarna je comment weer aanpassen

n4m3l355 @glennoo • 15 augustus 2023 03:49

Ik snap niet wat deze link met de quote van doen heeft enkel dat het onderbouwt dat crypto steeds meer gebruikt wordt door criminelen. De totale omvang is onduidelijk want... het is uiteindelijk crimineel geld waar men mee van doen heeft, desalniettemin crypto is populair voor menig crimineel. Dit is toch geen groot geheim als je het mij vraagt.

En let wel specifiek waar Europol het over heeft, crypto wordt graag gebruikt door criminelen, maar ze zeggen niets hoe crypto ook populair is voor criminelen praktijken zoals pump & dump enz.

glennoo @n4m3l355 • 15 augustus 2023 09:31

@themadone beweert het volgende:

Als je crimineel geld wilt aanpakken moet je crypto coins gaan verbieden, maar helaas zoals ook in het verleden is het voor overheden en geheime diensten ook wel makkelijk om niet alles via de boeken te laten lopen.

Wat complete onzin is want

However, the
overall number and value of cryptocurrency transactions related to
criminal activities still represents only a limited share of the criminal
economy when compared to cash and other forms of transactions. A
range of constraints are related to the use of cryptocurrencies, with
high volatility likely a major factor in criminals’ reluctance to use cryptocurrencies for long
term investments.

The regulations governing the use of cryptocurrencies and the associated
anti-money laundering (AML) frameworks are becoming more effective.
Improved regulation of the cryptocurrency environment now requires
service providers and platforms to capture more information on users and
transactions, which has improved the law enforcement response to the
criminal use of cryptocurrencies.

Ga je crypto verbieden dan krijg je een omgekeerd effect. Het blijft nog steeds beschikbaar (want criminelen gaan het niet minder gebruiken, criminelen doen wel vaker verboden dingen), en de bedrijven die er nu achter zitten die helpen met de wetgeving verdwijnen dan. Daarnaast, wil je het illegale gebeurens tegengaan dan zul je ook fiat vele malen meer moeten aanpakken.

n4m3l355 @glennoo • 15 augustus 2023 09:42

Dat staat er dus niet. Er staat dat crypto in de criminele wereld wordt gebruikt en dat de overheid er handiger in wordt om deze personen te achterhalen cq criminele vormen van crypto tegen te gaan.

Echter waar eerder werd gezegd, als je de boel gewoon verbied is het in een keer opgelost. Crypto voegt niets toe aan de maatschappij buiten excessieve vervuiling. Het heeft letterlijk geen enkel nut echter faciliteerd wel op grote schaal (zoals het rapport aangeeft miljarden) aan witwassen en illegale producten. Dus.. waarom laten we het uberhaubt bestaan?

Er staat nergens dat als we het zouden verbieden dat de overheid de grip op crypto verliest.

FONfanatic @themadone • 14 augustus 2023 13:10

Jammer voor de fantasie waarin opsporingsdiensten alles mogen en kunnen, maar die hebben zich aan wetgeving te houden. Ook de FBI, Europol en Interpol.

Dat bitcoins niet verboden worden is een kwestie van het ontbreken van voldoende politieke wil. Bovendien, met het ontmantelen van de platforms ben je echt nog niet van ondergronds bankieren af.

themadone @FONfanatic • 14 augustus 2023 15:16

Ja zoals de cia geen coke mocht smokkelen om de contras in Nicaragua van wapens te voorzien. Daar is zelfs een film over gemaakt uiteindelijk.

Stond ook nergens in de regels dat dat mocht maar gebeurde toch.

FONfanatic @themadone • 14 augustus 2023 15:23

Maar daarover - over Irangate - brak geen politiek schandaal uit? Dat was overigens niet de FBI maar de CIA en Oliver North, en Reagan vond het slim bedacht.

Nogal gevaarlijk om zoiets om te keren: overheidsdiensten hielden zich niet aan de wet, kwamen ermee weg, oh dan dulden we het voortaan. Ben je al je rechtzekerheid op de lange termijn kwijt ...

[Reactie gewijzigd door FONfanatic op 22 juli 2024 22:45]

themadone @FONfanatic • 14 augustus 2023 17:04

Ben het er ook niet mee eens dat het zo loopt, maar roepen dat een boekje met wat regels dit tegen gaat houden is wat simpel gedacht denk ik.

En de referentie naar een Europol document is ook wat dun, want wie zegt dat ze überhaupt de helft door hebben of mogen hebben van wat er gebeurt, vandaar mijn reactie.

FONfanatic @themadone • 14 augustus 2023 21:07

Als je ervan uit gaat dat overheidsdiensten zich toch niet aan de wet zullen houden, wie dan eigenlijk nog wel?

Hatseflats @FONfanatic • 15 augustus 2023 00:39

Exact, daarom willen ze altijd de schijn hoog houden dat ze dat wel doen.

Mark Rutte is hier bijvoorbeeld al een slecht voorbeeld van. "Dus hij mag wel liegen en bedriegen, maar wij niet?"

En niet alleen Iran-gate toonde dit aan, Israeli's zijn ook al betrapt op het misbruiken van naar ik mij kan herinneren diplomatieke functies om drugs te smokkelen.

In de show van Shawn Ryan komen helemaal bizarre dingen naar voren.

Ook zie je in Afrika nu dat mensen tegen Frankrijk en de VS zeggen dat ze eruit moeten, vanwege oneigenlijk gebruik / misbruik van de aldaar aanwezige grondstoffen. En omdat dit in het buitenland gebeurd, gezien vanuit Frans en Amerikaans oogpunt, zou je kunnen stellen dat ze de wet niet overtreden.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 22:45]

himlims_ @themadone • 14 augustus 2023 13:56

En dat veranderd hè-le-maal niets

Verplaatst het alleen maar, de misdaad (zeker in Nederland) is lonend

Edgarz @vinkjb • 14 augustus 2023 17:56

Is de wereld zwart/wit? Het wordt misschien niet minder/0 maar dat het niet meer wordt is al een hele goede zaak.

Vipertje 14 augustus 2023 11:12

Wat is nou eigenlijk het voordeel ten opzichte van Signal of Telegram. Ik zou zeggen met een wegwerp smartphones, prepaid SIM en gratis WiFi op tal van locaties je een heel eind gaat komen, of mis ik nog iets?

Cambionn

@Vipertje • 14 augustus 2023 11:51

Dit gaat wel wat dieper dan Signal gebruiken op je telefoon. Hoewel Signal zelf wel veilig is (Telegram verstuurd standaard in plain tekst, en encrypted chats zijn op proprietary protocol) heeft Android en iOS genoeg aan te merken kwa privacy, en dat wil je als crimineel niet. Dit zijn telefoons waar compleet nieuwe besturingsystemen op staan die dichtgetimmerd zijn van alle kanten, vaak nog met extra killswitches mochten dingen toch mis gaan. Immers, als je gewone Android met Signal in beslag wordt genomen door de politie, zullen ze nog relatief makelijk bij de Signal berichten kunnen komen.

Ik zou trouwens sowieso geen criminele bezigheiden op publieke WiFi gaan doen. Als gewoon persoon zou ik daar zelfs al weg blijven, maar dat ben ik

.

Om idd de problemen met het veriferen van wisselende telefoonnummers wat TheMak noemt nog niet te noemen.

Anoniem: 85014 @Cambionn • 14 augustus 2023 13:05

Je 2.5G, 3G, 4G (of 5G misschien ook al) internet verbinding is voor de politie eenvoudiger dan een publieke Wifi access point te onderscheppen: ze kunnen van de onderzoeksrechter gewoon de machtiging krijgen dat bij de provider te laten onderscheppen. Bovendien zijn de zogenaamde Stingrays heel wijdverspreid. Dus m.a.w. in bv. Brussel in de Europese wijk luisteren niet alleen de politie mee, ook spionnen van ongeveer ieder land dat er maar bestaat, maar ook al je politieke competitors, veertig lobbyisten en een bende lokale hackertjes die dat voor de fun doen.

M.a.w. zonder end to end encryptie ben je helemaal volledig kansloos. Het voordeel is wel dat door die vele Stingrays overal, je er misschien een betere verbinding hebt (meer blokjes).

ps. Een public Wifi access point is inderdaad ook heel eenvoudig na te bootsen. Not disputing that.

[Reactie gewijzigd door Anoniem: 85014 op 22 juli 2024 22:45]

Cambionn

@Anoniem: 85014 • 14 augustus 2023 13:26

Oh ik zeg ook zeker niet dat je mobiele netwerk bij default zo veilig is hoor. Enkel dat gewoon ff op de "publieke WiFi" gaan niet de oplossing daarvoor is

.

E2EE is sowieso een vereiste, dat ontken ik ook nergens (en is 1 van mijn punten tegen Telegram), maar ik denk ook dat met enkel E2EE je er nog niet bent als ze je actief zoeken en je je daarvoor verstopt

Anoniem: 85014 @Cambionn • 14 augustus 2023 14:12

Dat is dan of omdat één van de endpoints op ingebroken is (men heeft spionage software of hardware op één van de twee communicerende telefoons staan) en men op die manier het communicatiekanaal kan afluisteren, of men een MiTM doet maar in dat geval zouden de clients dit kunnen zien doordat de eerder uitgewisselde public keys niet overeen komen.

Het kan een combinatie zijn. En indien er een 'server' is die je keys moet bijhouden dan is dat meteen een rode vlag want dat hoeft bij juist geïmplementeerde end to end encryptie helemaal niet. M.a.w. die 'server' jongens doen dat waarschijnlijk voor een nefaste reden (zoals bv. een verplichting om de politie te helpen bij het ontsleutelen).

Cambionn

@Anoniem: 85014 • 14 augustus 2023 14:19

En dat eerste punt is dus iets wat de politie al meerdere keren heeft gedaan bij het actief zoeken naar criminelen

. EncroChat viel oa door malware vanuit politie die op de telefoons werd gezet waardoor er meegelezen werd en dingen als wipe-functies uitgezet werden. Hence, in dat geval wil je meer dan enkel E2EE, want het ging hier om de casus van criminelen die (mogelijk) al actief in politieonderzoek zitten.

Anoniem: 85014 @Cambionn • 14 augustus 2023 14:22

Wat ik gelezen heb over EncroChat was dat het inderdaad een geval was van 'de endpoints was op ingebroken'. Door middel van een software update die uitgerold werd alsof het een legitieme update was, geloof ik.

M.a.w. de criminelen vertrouwden de EncroChat beheerders en servers (van waar de software updates kwamen) te veel.

Jerie

@Anoniem: 85014 • 15 augustus 2023 14:45

M.a.w. die 'server' jongens doen dat waarschijnlijk voor een nefaste reden (zoals bv. een verplichting om de politie te helpen bij het ontsleutelen).

Waarom? Dan gaat hun volledige businessmodel (op basis van vertrouwen) naar de mallemoer zoals hier heeft plaatsgevonden. Eventueel wel interessant om de concurrentie te bespieden maar dat denk ik niet (wel leuk scenario voor een politieserie). Waarschijnlijk betreft het zoals wel vaker onkunde.

Ik zou zeggen: wees blij. De gemiddelde, gewone burger heeft er baat bij dat de zware criminaliteit wordt ingedamd.

NR en LTE zijn verder relatief veilig, en allebei een flinke verbetering en verandering tov 2G en 3G. In Nederland heb je nog maar heel weinig echte 5G implementaties/uitrol. Al helemaal niet op de interessante 3,5 GHz, ivm Burum. Probleem met LTE en NR is m.i. met name dat downgrade attacks mogelijk zijn. Dan zet je als aanvaller ('de overheid') gewoon even de mast op 2G of 3G ipv LTE/NR en dan kun je je aanval uitvoeren. Supersimpel.

2G en 3G MITM zijn ook voor niet-politiële aanvallers eenvoudig op te zetten met een SDR. Je hebt dan wel een leuk vermogen nodig, en een statisch target is makkelijker aan te vallen met een richtantenne dan een dynamisch/bewegend. Hoewel ik niet ga beweren dat het hogere wiskunde betreft (moeilijk is om op te zetten), zie ik het mijn vrouw nog niet doen op een zondagmiddagje. Overigens is het ook strafbaar.

[Reactie gewijzigd door Jerie op 22 juli 2024 22:45]

Anoniem: 85014 @Jerie • 15 augustus 2023 16:44

Kan je als overheid niet beter gewoon de dienstverlener (de telecom operator) opleggen om mee te werken met het afluisteren van individuen i.p.v. de gehele mast te moeten downgraden naar 2G of 3G?

Ik hoop een beetje op voldoende mastdekking voor latere versies van en dan telefoons waarmee ik kan kiezen om een downgraded 2G of 3G gewoon niet te aanvaarden.

Zo zou iedereen geholpen zijn: de overheid kan nog steeds afluisteren wanneer dat nodig is, en een MiTM door derden (d.m.v. iets zoals Stingray) wordt moeilijker omdat (alle nieuwe) telefoons die downgrade naar 2G of 3G gewoon niet aanvaarden.

Jerie

@Anoniem: 85014 • 15 augustus 2023 16:59

Zou kunnen, weet ik niet. De politie heeft subsidiariteitsbeginsel en proportionaliteitsbeginsel. Het is dan ook logisch dat als ze zoiets kunnen en er minder sprake is van bijvangst, ze dat zouden inzetten.

LTE is hier adequaat (nabij Amsterdam). Ik aanvaard dan ook een downgrade naar 2G of 3G al niet. Ben wel benieuwd hoe het op Texel gaat (daar gaan we dit jaar heen op vakantie). Daarnaast gebruik ik Wireguard met een killswitch.

Ook heeft jouw suggestie denk ik minder afbreukrisico Al moet je ook rekening houden met de expertise van je verdachte. Maar criminelen zijn gelukkig in de regel niet al te snugger, behalve hun expertisegebied (crimineel handelen).

jurroen @Anoniem: 85014 • 14 augustus 2023 22:36

Bovendien zijn de zogenaamde Stingrays heel wijdverspreid.

Een WiFi IMSI catcher kun je zelf bouwen.

krflyer @Cambionn • 14 augustus 2023 13:10

Ik zou trouwens sowieso geen criminele bezigheden doen, maar dat ben ik

TheMak @Vipertje • 14 augustus 2023 11:22

Wat is nou eigenlijk het voordeel ten opzichte van Signal of Telegram. Ik zou zeggen met een wegwerp smartphones, prepaid SIM en gratis WiFi op tal van locaties je een heel eind gaat komen, of mis ik nog iets?

Ik denk dat die cryptotelefoon ook als token gebruikt wordt. Ik denk dat criminelen ook te maken hebben met whatsapp/telegram-fraude. Stel je weet dat er 600 miljoen euro aan cocaïne binnenkomt. Je krijgt geen contact met de verzender uit ecuador. Dan krijg je een telegram-bericht van een onbekende die zegt dat zijn telefoon gehackt was door de FBI, en dat dit nieuwe adres wil gebruiken. Wat doe je?

Anoniem: 85014 @TheMak • 14 augustus 2023 12:54

De persoon wiens vorige telefoon gehacked was kan contact met je opnemen (bijvoorbeeld een gewoon telefoongesprek, ergens een bericht achter laten of elkaar in het echt ontmoeten) om de gehele nieuwe public key karakter per karakter te verifiëren.

Bv. bij Signal ga je naar 'Chat settings' van een bestaande chat. Dan 'View safety number'. Dan zie twee keer (voor tweede groep, swipe naar links) drie rijen van nummertjes: die moeten allemaal overeen komen. Je kan ook de QR code gebruiken (waarin hetzelfde staat als QR code geëncodeerd). Dan gebruik je 'Mark as verified'.

Als er nu iets wijzigt (wat een Man In The Middle aanval zou veroorzaken) dan zal jouw client dat niet accepteren (en op z'n minst je verwittigen dat er iets mis is).

Ik ga er van uit dat cryptofoons ook zoiets hebben (om elkaars public keys te kunnen verifiëren).

Het is omdat criminelen dat niet doen, dat ze gepakt worden. Het kan ook zijn dat één van de twee telefoons fysiek aangepakt is geweest (afluisterapparatuur en/of software werd er op geïnstalleerd door de politie). Dan kan men via die telefoon meevolgen.

Maar dus, dan koopt men een nieuwe cryptofoon en dan verfiëer je die nummers. Of je hebt een aantal telefoons met telkens hun eigen public keys die je telkens apart bij elkaar verifieert.

IJzerlijm @Vipertje • 14 augustus 2023 11:16

Je hoort er niet bij in het wereldje als je niet een cryptofoon hebt.

mrdemc @Vipertje • 14 augustus 2023 11:38

Dat betreft end to end encryptie, maar op het einde van de route van het bericht, het doel apparaat (mobiele telefoon in dit geval) is dat niet per sé versleuteld. In dit geval zijn ze dus het eindpunt extra gaan beveiligen en gaat het niet zozeer om de communicatiewegen.

FONfanatic @Vipertje • 14 augustus 2023 12:38

Je hebt helemaal geen SIM nodig om op WiFi te komen. En daarop gebruik je VPN.

leuk_he @Vipertje • 14 augustus 2023 16:00

Signal en WhatsApp zijn redelijk veilig voor mitm attacks, maar als iemand je fysieke telefoon heeft, of de mogelijkheid via de playstore een evil versie te pushen dan kan de overheid meelezen

GarBaGe 14 augustus 2023 11:30

Het artikel noemt crypto telefoons en vervolgens refereren ze naar een gekraakte Google Pixel.
Is Google Pixel een cryptotelefoon?
Lijkt me meer een standaard Android telefoon, toch?
Disk encryptie op Android is standaard sinds... Ehmm Android versie 6.0, toch?
Is het daarmee automatisch een cryptotelefoon?
Dan zijn alle Android telefoons cryptotelefoon?!?

Cambionn

@GarBaGe • 14 augustus 2023 11:40

Pixels kunnen als 1 van de weinige geflashed worden met custom roms die vrij gebruik van alle hardware kunnen maken incl beveiligingsgerelateerde chips. Dat is ook waarom GrapheneOS enkel voor Pixels is en niet voor bijv. Samsungs. Ik verwacht dat ook niet dat dit een reguliere Pixel telefoon is, maar 1 met een dichtgetimmerde custom OS.

Of GrapheneOS hier al onder "crypto telefoon" valt of het enkel om nog extremere onderwereld-specifieke systemen gaat, ben ik dan wel weer benieuwd naar.

Anoniem: 334725 @Cambionn • 14 augustus 2023 12:11

Als het om graphene os gaat hadden we veel groter nieuws gehad vermoed ik.

Cambionn

@Anoniem: 334725 • 14 augustus 2023 13:22

Dan moet dat wel bekend zijn. Als de politie niet aangeeft om wat voor systemen het gaat blijft het speculeren. En als ik hun was zou ik ook niet zeggen om welke systemen het gaat, dan geef je een lijst uit wat te ontwijken als crimineel zijnde. Meestal komt dat pas uit als systemen uit de lucht zijn en mensen opgepakt.

Gezien GrapheneOS, en wellicht ook CalyxOS, bekend staan om hun extra beveiliging en dichtimmering en hun reputatie daarin ben ik dus wel nieuwschierig of deze op de politie's z'n lijst als "crypto telefoon" staat.

Aan de ene kant, systemen alla EncroChat voor criminelen gingen juist vaak nog verder (met zelfs hardware mods).

Maar als ik hoor een Pixel, denk ik dat dingen als custom hardware zullen meevallen. Als GrapheneOS niet onder "crypto phone" valt vraag ik me af hoe veel verder dan GrapheneOS het zou gaan om daaronder te vallen, en gezien GrapheneOS' reputatie, waarom die niet zou voldoen. Zowel uit nieuwschierigheid als uit evaluatie van GrapheneOS' beveiliging (wat niet per se zegt dat GrapheneOS dan niet veilig genoeg zou zijn!).

En als die wel voldoet, dan heb ik eigenlijk geen twijfel dat de politie ook daar tegenaan hackt en dat er GrapheneOS systemen tussen hebben gezeten. En dat zal ongetwijfeld een kat en muis spel zijn tussen GrapheneOS die vulnerabilities verder dicht en politie die ze zoekt.

En dan heb je natuurlijk ook nog social engineering/social hacking waar de vulnerability compleet niet in het systeem hoeft te zitten, en dus uberhaupt niet aan GrapheneOS te verwijten zouden zijn.

[Reactie gewijzigd door Cambionn op 22 juli 2024 22:45]

A11ert

@Cambionn • 14 augustus 2023 14:31

Tja ik zat ook aan Grapheneos te denken toen ik dit las.

Maar het gaat hier wel om telefoons die de politie buit heeft gemaakt en de politie dus in handen heeft.

Dus het is wel wat anders dan dat een telefoon op afstand gehackt wordt.

Cambionn

@A11ert • 14 augustus 2023 14:49

Dat klopt zeker. Maar ook daar zit bepaalde beveiliging voor op die dingen waar omheen gewerkt moet worden. Wat voor de gewone man ook niet verkeerd is. Denk bijv. aan als je telefoon gejat is door een kwaadwillige ex. Misschien niet bepaald iets wat iedereen steeds overkomt, maar je hoort soms verhalen en als het gebeurd is het te laat om er nog wat aan te doen. Er is een reden dat bijv. hardeschrijven tegenwoordig standaard encrypted zijn op nieuwe apparaten.

Nou heeft de politie natuurlijk allemaal extra opties die Piet-de-buurman over het algemeen niet zomaar heeft, maar het is wel interesant om te weten hoe ze erin zijn gekomen en of daar van privacy-beveiligings oogpunt wat tegen te doen is en gedaan moet worden. Daarin zullen GrapheneOS en de politie, net zoals elke privacy-focussed service, gewoon een kat en muis spel spelen.

Op zich ook alle lof voor de politie trouwens, want in die criminele telefoons breken is niet altijd makelijk en in zulke zaken goed dat het ze lukt. Maar het blijft een dubbelzijdig gevecht tussen privacy en criminaliteitsbestrijding waarin het voor de een interesant is wat de ander lukt/kan, om daar dan iets tegen te bouwen. Hence dat het een kat en muis spel is.

[Reactie gewijzigd door Cambionn op 22 juli 2024 22:45]

A11ert

@Cambionn • 14 augustus 2023 15:03

Ja dat klopt maar vergeet Google niet de Hardwarefabrikant van de Pixel telefoon.

Aangezien ook de hardware belangrijk is bij de beveiliging van de telefoon.

Trouwens als ik de filmpjes ziet van de NOS en dat ik daar zie dat ze zelfs de chips uit de telefoon halen en zo om dit te kraken. Denk ik niet dat de buurman dit zo makkelijk kan nadoen.

[Reactie gewijzigd door A11ert op 22 juli 2024 22:45]

IJzerlijm @GarBaGe • 14 augustus 2023 12:17

Er zijn Omerta phones die op een Pixel/Graphene OS draaien.

Wel zo fijn dat de fabrikant er niet omheen draait waar de telefoon voor bedoeld is.

kiang

@GarBaGe • 15 augustus 2023 07:39

Dit gaat over pixels waarop een custom Android versie gezet wordt. De keuze voor pixels wordt gemaakt omdat google het makkelijk maakt om een custom rom te flashen, en omdat er een grote community is die al (zonder cirminele doelen) custom roms maken.

Soms worden bij die crypto telefoons ook nog hardwarematige aanpassingen gemaakt, zoals het fysiek slopen van de gps sensor.

Dus het ding is een pixel, maar is dusdanig aangepast dat het een echte crypto telefoon wordt. De oplages van die dingen zijn dan ook zo laag dat het maken van een eigen toestel niet echt haalbaar is, tenzij je het heel basic houdt, en dan nog een echt eigen OS maken kost ook erg veel. Het nemen van een pixel als basis maakt het een stuk makkelijker.

Alxndr

14 augustus 2023 11:24

Als ik een bestandjes tekst, foto's, video gewoon inpak en met een lang, sterk wachtwoord beveilig en dat dan als bijlage met een willekeurige emaildienst verstuur is het toch praktisch onkraakbaar?

Of zijn boefjes echt gewoon zo lui/dom/naief/gemakszuchtig/...?

J_van_Ekris @Alxndr • 14 augustus 2023 11:31

Als ik een bestandjes tekst, foto's, video gewoon inpak en met een lang, sterk wachtwoord beveilig en dat dan als bijlage met een willekeurige emaildienst verstuur is het toch praktisch onkraakbaar?

In de cryptografie heb je het NIST die voor de Amerikaanse overheid (en daarmee in praktijk ook de rest wan de wereld) een lijstje verschaft hoe lang je sleutel moet zijn. Die maken heel bewust onderscheid tussen reguliere partijen, en grote overheden met supercomputers en quantum computers.

Als een overheid serieus resources inzet om dit soort criminelen te pakken, en die zelfs bundelt met andere overheden dan schuift de lijn wat als veilig beschouwd kan worden aanzienlijk op.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 22:45]

Alxndr

@J_van_Ekris • 14 augustus 2023 11:44

Worden quantumcomputers hier al voor gebruikt?

Anyway, een wachtwoord van 20 tekens is volgens mij nog lang genoeg op dit moment, en als dat niet zo is, hoe weinig moeite kost het om je wachtwoord 2x zo lang te maken? Of nog langer?

Neem het eerste couplet van het Wilhelmus, zo'n 160 tekens. Succes daarmee.

J_van_Ekris @Alxndr • 14 augustus 2023 13:04

Worden quantumcomputers hier al voor gebruikt?

De vraag is niet of ze daar nu voor gebruikt worden, maar of ze dat in de komende vijf tot tien jaar daar gebruikt voor kunnen worden (want dan brang je de zaak alsnog voor de rechter). Als je na x jaar alsnog een serie telefoons kunt decrypten en alsnog de eigenaren voor de rechter kunt brengen dan heb je alsnog gewonnen. Dat is het moeilijke met crypto: je encryptie moet langer meegaan dan dat de versleutelde info gevaarlijk is. En de houdbaarheid van algoritmes kan plotseling enorm snel teruglopen doordat er zwaktes ontdekt worden in algoritmes.

Anyway, een wachtwoord van 20 tekens is volgens mij nog lang genoeg op dit moment, en als dat niet zo is, hoe weinig moeite kost het om je wachtwoord 2x zo lang te maken? Of nog langer?

Allereerst: je gaat uit van brute force aanvallen, en dat zal men ongetwijfeld doen, maar bekende zwaktes in algoritmes helpen dat proces enorm te versnellen. Dus x karakters toevoegen heeft niet zo gek veel zin. Ook geldt dat het gebruik van een bekende dictionary met woorden je blootstelt voor een dictionary aanval: dan wordt het niet zo interessant meer hoe lang het wachtwoord is in letters, maar uit hoeveel woorden het bestaan.

Maar als je wilt weten hoe lang cryptografische sleutels moeten zijn, kijk dan op https://www.keylength.com/, die maken een heel mooi (abstract) overzicht van hoe lang je sleutel moet zijn als je het voor x jaar veilig wilt opslaan.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 22:45]

FONfanatic @J_van_Ekris • 14 augustus 2023 14:40

Op zich is het bezit en gebruik van een cryptofoon niet strafbaar. Wel is wat je ermee doet mogelijk deel van gepleegde of voorgenomen strafbare feiten. Daaraan kan een lange voorbereiding vooraf zijn gegaan. De bewijzen daarvan, het belastende materiaal, heeft niet dezelfde verjaringstermijn als het misdrijf zelf. Dus ontsleuteling van de data op de cryptofoons blijft hoe dan ook zinnig. Ook bijv. om de criminele netwerken in kaart te brengen.

FONfanatic @Alxndr • 14 augustus 2023 12:40

Dat is geen veilig wachtwoord want die tekst staat integraal online.

Alxndr

@FONfanatic • 14 augustus 2023 14:31

Alsof ze alle teksten die integraal online staan gebruiken? Succes daarmee, hoeveel miljarden (song)teksten zijn er wel niet? Bovendien, is de lengte niet alsnog een belangrijke factor? 160 tekens niet random lijkt me alsnog veiliger dan 10 of 20 tekens die wel compleet random zijn, maar zoveel verstand heb ik er ook niet van.

Daarnaast lijkt het me vanzelfsprekend dat je er een aantal aanpassingen in zou doen, iedere 13e letter verwijderen of af en toe een woord vertalen ofzo, maargoed, het was ook maar een voorbeeld.

Neocortex-re @Alxndr • 14 augustus 2023 12:24

Boefjes zijn inderdaad vaak lui en dom en naïef en gemakzuchtig.

Met een doordacht ontwerp kun je het inlichtingendiensten ontzettend lastig maken om ergens bij te komen, dat hoeft niet eens zo ingewikkeld te zijn. Wel wordt de gebruiksvriendelijkheid van je oplossing wellicht een stuk minder. En daar houden criminelen vaak niet zo van.

ijdod

@Neocortex-re • 14 augustus 2023 15:11

Vervang 'crimineel' hier rustig door 'gebruiker'.

ijdod

@Alxndr • 14 augustus 2023 15:11

> Of zijn boefjes echt gewoon zo lui/dom/naief/gemakszuchtig/...?

Ja.

Klinkt flauw, maar mensen zijn dat. Ook op de niveau's waar dat kritisch is. Niet alleen in de criminaliteit, maar eigenlijk overal. Zie bijvoorbeeld een serie als Air Crash Investigations, waarbij het best vaak blijkt dat dit een belangrijke oorzaak van een incident is.

Alxndr

@ijdod • 14 augustus 2023 17:06

Dan 'hoef' je je al niet aan de normale wetten en regels te houden, betaalt geen belastingen/premies etc etc, en dan ook niet eens de moeite willen nemen om gewoon je eigen hachje te beschermen?!

Volgens mij zou ik nog steeds een redelijk succesvolle crimineel kunnen worden.. maarja, m'n morele bezwaren...

Anoniem: 334725 @Alxndr • 14 augustus 2023 17:35

Met e-mail weet je wel met wie je praat. Dat is vaak meer dan genoeg om de boel op te doeken.

uiltje @Alxndr • 15 augustus 2023 09:47

Een volledig dichtgezet eco-systeem voor het verzenden van berichten tussen veel verschillende mensen is een heel stuk lastiger dan even een bestandje versleutelen. En wil je nou werkelijk dat die andere crimineel al jouw bestanden kan ontsleutelen? Of denk je aan 1 wachtwoord per ontvanger? Hoe weet je dat je met de juiste persoon aan het communiceren bent? Wat doe je met je programma als je je bestand hebt uitgepakt? Je ziet, dit wordt al snel veel ingewikkelder dan het lijkt.

marinostrus 14 augustus 2023 13:10

Ik begrijp niet dat ze dat altijd maar via hun telefoons willen doen. Is iets als tails & pgp gebruiken niet veel veiliger? Dat werkt toch voor journalisten in landen met zware censuur.

Ik ben nu ook geen crimineel dus misschien denk ik iets te simplistisch daar over

Rzarect0r @marinostrus • 14 augustus 2023 14:00

Denk dat een smartphone voor de gemiddelde dealer een stuk makkelijker mee te werken is.

Bjorn89 14 augustus 2023 11:02

Goed dat ze het moeten kraken, en niet via een gratis backdoor zomaar overal bijkunnen.

aadje93 @Bjorn89 • 14 augustus 2023 11:05

Tsja, denk je dat ze het als nieuws brengen als het gewoon backdoor zijn? Natuurlijk niet. Het word verkocht voor de bühne als kraken, maar je kunt er rustig vanuit gaan dat er gewoon backdoors gebruikt worden

vinkjb @aadje93 • 14 augustus 2023 11:50

Heb je bewijzen dan? iets roepen zonder bewijs, alleen maar aannames..roeptoeter.

FONfanatic @vinkjb • 14 augustus 2023 12:34

Zo kraakt @aadje93 telefoons?

Maar even serieus, ja dat doet men desnoods. Hoe denk je anders dat men bijv. weet kreeg van drugssmokkel in verborgen ruimtes in auto's, en garages die zich specialiseren in het daarvan aanleggen?

IJzerlijm @FONfanatic • 14 augustus 2023 15:04

Tips van informanten of rivalen in de criminaliteit.

FONfanatic @IJzerlijm • 14 augustus 2023 15:18

Ook.

Bjorn89 @vinkjb • 15 augustus 2023 09:43

[Reactie gewijzigd door Bjorn89 op 22 juli 2024 22:45]

njitter @aadje93 • 14 augustus 2023 11:09

of gewoon 0days kopen.

Rukapul @aadje93 • 14 augustus 2023 11:45

Voor backdoors heb je geen onderzoekssamenwerkingsproject nodig.

Als je naar de technische partners van dit project kijkt dan zijn die gewoon state of the art en in staat zwakheden in beveiliging te vinden en te exploiteren.

RRRobert @aadje93 • 14 augustus 2023 11:46

Tsja, denk je dat ze het als nieuws brengen als het gewoon backdoor zijn? Natuurlijk niet. Het word verkocht voor de bühne als kraken, maar je kunt er rustig vanuit gaan dat er gewoon backdoors gebruikt worden

Mwah, ook het grove mechanische geweld van slijpen, schuren, frezen e.d. schuwt men niet, hoor:
https://nos.nl/artikel/24...ankkluis-in-een-bankkluis

SunnieNL

@aadje93 • 14 augustus 2023 12:34

Als het "gewoon backdoors" was geweest, dan vind ik het aantal van honderden nogal magertjes.
Met een backdoor kun je bij data van elke telefoon en had er ook niet zo veel geld in een 3 jaar project gestoken worden.

bytemaster460 @aadje93 • 14 augustus 2023 21:35

Onzin. Hoe kun je dat bewijs dan nog gebruiken in een rechtszaak?
Het blijkt juist na de onthullingen van Snowden dat het veel lastiger is geworden voor opsporingsdiensten om versleutelde informatie te ontsleutelen. Zelfs Amerikaanse diensten moesten Pegasus aanschaffen om smartphones open te krijgen.

Anonymoussaurus

Smartphones

14 augustus 2023 11:01

Op de site van Exfiles is ook meer informatie te vinden over het project: https://exfiles.eu/. Ook wat interessante statistieken: https://exfiles.eu/about/

OCU-Macs @Anonymoussaurus • 14 augustus 2023 17:27

Ik vraag me af of ze het protocol gekraakt hebben. Veel waarschijnlijker is dat ze controle hebben gekregen over de server en zo de private key in handen kregen. Met de private key kun je de berichten ontsleutelen die met de bijbehorende public key versleuteld zijn.

Controle over de server is als opsporingsdienst ook relatief eenvoudig, want je kunt een locatie binnengaan op basis van een huiszoekingsbevel. Vervolgens kun je toegang tot de server ‘vorderen’ bij de eigenaar of beheerder van de locatie.

Je hebt dan fysieke toegang tot de machine. Misschien zelfs een login, dus heb je alleen nog maar een it’er nodig om de keystore te vinden en de keys te exporteren.

Bovenstaande procedure lijkt me eenvoudiger dan (rekenkundig) het algoritme trachten te breken.

Xfile 14 augustus 2023 16:54

In het originele artikel op nos.nl is het foto te zien van opgemaakte telefoon met allerlei bedradingen. Ik wist niet dat zo ingewikkeld was om het telefoon te kraken.
https://nos.nl/artikel/24...ankkluis-in-een-bankkluis

uiltje @Xfile • 15 augustus 2023 10:00

Dat hangt er helemaal vanaf hoe je het kraakt natuurlijk. Met een zero-day zou je misschien met alleen software een aanval kunnen doen. Als je echter zonder sleutel een telefoon moet openen dan wordt het al snel een andere zaak. Onder andere Riscure (een NL bedrijf in Delft) specialiseert zich in hardware / side channel aanvallen. Dat gaat tot en met opengemaakte chips die met lasers bestookt worden. Ja, dan heb je het over een lab en een hoop kennis dat je nodig hebt.

Ook leuk om bijvoorbeeld een oude vid van BlackHat te bekijken van een bekende hacker die een TMP heeft gekraakt: https://www.youtube.com/watch?v=Bp26rPw90Dc

Neocortex-re 14 augustus 2023 12:11

Bijzonder dat dit onder het Horizon programma kan vallen. Dit is toch geen wetenschap. Welk groter inzicht komt hieruit voort? Ik denk geen.

SunnieNL

@Neocortex-re • 14 augustus 2023 12:42

Waarom zou hier geen groter inzicht uit kunnen komen?
Hierin zijn legal inzichten gekomen, hardware reverse engineering levert inzichten op, decrypting mogelijkheden levert inzichten op zoals fouten in encryptie, etc.

Counter-cryptanalyse en Cryptoanlayse zijn volgens mij gewoon wetenschappelijke richtingen.

Zie ook https://exfiles.eu/about/ voor de doelstellingen van het project.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 22:45]

Neocortex-re @SunnieNL • 14 augustus 2023 15:07

Bijna alles wat ik daar zie is 'engineering'.

FONfanatic @Neocortex-re • 14 augustus 2023 12:52

Versleuteling is een cryptografische kunde. Steganografie bijv. kun je toch moeilijk een foefje noemen. Ook blockchain is iets dat via het Horizon project van de EU onderzocht wordt, o.a. om de invoering van de digitale Euro mogelijk te kunnen maken.

[Reactie gewijzigd door FONfanatic op 22 juli 2024 22:45]

Terrestrial 14 augustus 2023 12:29

Het is allemaal onzin en opschepperij van dit soort diensten. Allereerst is versleuteling helemaal niet illegaal of crimineel, dat maakt de media er weer van.

Ten tweede, Iets is eigenlijk altijd te hacken, je kunt wel end to end encryption gebruiken in een bepaald stukje software maar de hopelijk unieke private key moet je toch op de telefoon bewaren, of je krijgt weer van die perikelen dat die op een centrale server staat en dat wil ook niemand. Dus moet je hele OS en hardware er wel op gebouwd zijn dat alles versleuteld en veilig is. En dat is vrijwel onmogelijk. Bovendien hebben zij zich te houden aan allerlei normen , waardoor ook het nodige mogelijk is.

[Reactie gewijzigd door Terrestrial op 22 juli 2024 22:45]

LuisjeNL @Terrestrial • 14 augustus 2023 12:35

In het bericht word toch ook niet gesteld dat het versleutelen crimineel is? Er word enkel gezegd dat de telefoons van criminelen waren.

ShadLink @LuisjeNL • 14 augustus 2023 12:55

Er wordt wel gemeld dat de telefoons van de criminelen versleuteld zijn en dat het "steeds moeilijker wordt" die versleuteling te doorbreken. Zo wordt er dus een zaadje geplant tégen encryptie van data.

hiostu @ShadLink • 14 augustus 2023 14:15

Want feiten noemen is direct een zaadje planten?

ShadLink @hiostu • 14 augustus 2023 15:46

Niet altijd. Maar in dit geval, gezien deze diensten al een tijdje roepen om beveiliging af te zwakken... zie bv nieuws: Minister: opsporingsdiensten moeten toegang kunnen hebben tot versleu...

Dit "nieuwsbericht" is duidelijk met een doel naar buiten gestuurt.

bytemaster460 @ShadLink • 14 augustus 2023 21:40

Zo kun je overal wel wat achter gaan zoeken. Ieder bericht kun je zo wel een politieke lading geven.

djwice

@ShadLink • 14 augustus 2023 15:36

Het bericht stimuleert criminelen te wisselen van telefoon. Of zou jij als crimineel nu nog een Google Pixel telefoon willen gebruiken? Je bent gekke Henkie toch niet?!

Hoe meer de politie informatie lekt over wat ze kunnen hoe slimmer een crimineel een telefoon kiest.

bytemaster460 @djwice • 14 augustus 2023 21:43

Justitie weet echt wel wat ze wel en niet in de openbaarheid brengen. Men kan ook bewust bepaalde info publiceren om te kijken welke bewegingen er plaatsvinden n.a.v. die info.

Domino88 @LuisjeNL • 14 augustus 2023 16:08

Maar wie zegt dat het criminele zijn 😉 Zo lang je nog niet berecht bent. Ben je nog steeds geen crimineel alleen verdachte. En wat @Terrestrial hier boven ook zegt ik geloof best dat de politie goed werk verricht hoor daar niet van. Maar echt hacken en kraken geloof ik niet echt in. Moet je maar is een aflevering opsporing verzocht kijken 80 procent van de beelden lijken nog steeds met een aardappel gefilmd te zijn. Dan zou je ook verwachten van de politie dat ze de beelden digitaal ook wel duidelijker zouden kunnen krijgen. Als de politie al niet weet wie ze zijn hoe moet de burger het dan weten.

Terrestrial @Domino88 • 14 augustus 2023 16:25

hacken en cracken zullen we heus wel kunnen, ook als je de juiste middelen hebt. Beelden digitaal duidelijker maken kan eigenlijk alleen maar in films. Ja je kunt wel voorwerpen scherper maken en missende pixels er bij verzinnen op basis van plaatjes die er op lijken (AI bullshit) maar met gezichten werkt dat niet heel erg betrouwbaar. Kortom dan kan het zomaar dat je een heel ander gezicht krijgt te zien.

Edgarz @Domino88 • 14 augustus 2023 18:03

Als je weet dat je activiteiten wetten breken, dan weet je dat je crimineel bent.

Dat moet juridisch bewezen worden om strafbaar te zijn. Het zegt niets over de wederrechtelijkheid van een activiteit.

Anoniem: 85014 @Terrestrial • 14 augustus 2023 14:18

Je zou de private key op bv. een MicroSD kunnen zetten die je er telkens uithaalt nadat je gedaan hebt met beveiligd communiceren.

Best die MicroSD dan ook vernietigen voor ze aan het fouilleren beginnen.

Natuurlijk hebben ze misschien een $5 wrench?

Op dit item kan niet meer gereageerd worden.

Exfiles-project van opsporingsdiensten EU kraakte 'honderden' cryptotelefoons

Lees meer

Reacties (95)

Sorteer op:

Weergave: