Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 262 reacties

Anders dan bij vorige iOS-versies kan Apple de passcode van een iPhone of iPad met iOS 8 niet meer omzeilen. Daardoor kan het bedrijf de opsporingsdiensten niet langer op verzoek toegang geven tot inbeslaggenomen iPhones.

Apple logoTot nu toe kon Apple de opsporings- en veiligheidsdiensten bijstaan wanneer ze toegang verzochten tot een inbeslaggenomen iPhone. In het geval van iPads en iPhones met iOS 8 zal het bedrijf dat niet langer doen, omdat het dat naar eigen zeggen simpelweg niet meer kan. Als een gebruiker een passcode instelt, wordt die voortaan gebruikt om de data op het apparaat te versleutelen; Apple kent die code niet en kan dus ook niet bij de data.

Dat geldt overigens alleen voor data die op het apparaat zelf wordt opgeslagen; als een gebruiker het back-uppen van foto's, e-mails andere gegevens naar iCloud toestaat, kan Apple wel bij die data. Die gegevens zijn dan weliswaar versleuteld, maar in tegenstelling tot bij opslag op het apparaat, heeft Apple wel de encryptiesleutel in handen. Dat geldt ook voor andere cloudopslagdiensten.

Het is onbekend of de beslissing van Apple om de encryptie in iOS 8 anders op te zetten, zodat de overheid er minder makkelijk bij kan, een gevolg is van de NSA-onthullingen van Edward Snowden. Het bedrijf beklemtoont in ieder geval dat het nooit een backdoor in een product of dienst heeft ingebouwd voor een overheid, en dat het dat ook nooit zal doen. Het bedrijf werd daar wel van beschuldigd.

IOS 8 is sinds woensdagavond te downloaden en biedt gebruikers onder meer een nieuw notificatiecentrum met interactieve notificiaties. Ook heeft iOS 8 een tool aan boord, Health, waarmee gebruikers gegevens over hun gezondheid kunnen bijhouden.

Moderatie-faq Wijzig weergave

Reacties (262)

Goede zaak. Hopelijk lezen we over een tijdje niet dat het toch anders blijkt...
Apple heeft nu ook een pagina opgezet sinds gisteren die van alle producten en data aangeeft hoe het opgeslagen is, of ze er zelf bij kunnen:

http://www.apple.com/privacy/privacy-built-in/

Daarnaast is er specifiek voor iOS nog een whitepaper waarin dieper ingegaan wordt over je privacy en security per onderdeel:

http://images.apple.com/p...urity_Guide_Sept_2014.pdf

Zouden meer bedrijven moeten doen, duidelijk maken wat er met je data gebeurt.

[Reactie gewijzigd door ronaldmathies op 18 september 2014 08:04]

Leuke promotionele verhaaltjes, maar of het echt zo is weet je natuurlijk niet. Over iMessage en FaceTime zeiden ze ook dat het niet mogelijk was, maar later bleek dit wel degelijk het geval te zijn.

Het lijkt mij dat de NSA het sowieso niet toestaat om een zgn. terroristen-device te maken door een bedrijf uit het eigen land. Het is ook niet zo dat je nieuws leest over veiligheidsdiensten Apple om bepaalde toegang gevraagd hebben omdat er anders maatregelen zouden volgen, zoals dit bij Blackberry wel het geval is. (Overigens gaat het alleen om BIS, niet BES, zelfde toegang als de NSA dus ook heeft, voor BES heeft Apple geen alternatief.)

[Reactie gewijzigd door Kenju op 18 september 2014 14:31]

Heel netjes inderdaad, één van de weinig bedrijven die altijd nauwlettend met beveiliging en je persoonlijke gegevens omgaat. Uiteraard kunnen ze gehackt worden alleen proberen ze wel en bieden zie niet als vele andere een soort van schijnveiligheid. Het is namelijk veel makkelijker om alle gegevens maar door te sluisen naar instanties en wettelijk ook verplicht hoe krom het ook is. Toch steeds Apple met dit statement zijn middelvinger op en zegt eigenlijk, wil je gegeven? Zoek het zelf maar uit wij kunnen er niet bij.. Heerlijk!
Heerlijk!
Heerlijk dat gestolen telefoons nu niet meer kunnen worden terugbezorgd bij de eigenaar of dat criminelen moeilijker aangepakt kunnen worden?

Is er ook maar 1 echt praktisch voordeel te noemen aan dit geheel?
Ik weet namelijk van NUL gevallen waarbij het unlocken door Apple een probleem heeft opgeleverd terwijl er dus talloze opsporingsvoordelen zijn aan het unlocken van telefoons die ofwel in beslag genomen zijn of die tijdens een politieonderzoek gevonden worden.
Ik weet namelijk van NUL gevallen waarbij het unlocken door Apple een probleem heeft opgeleverd terwijl er dus talloze opsporingsvoordelen zijn aan het unlocken van telefoons die ofwel in beslag genomen zijn of die tijdens een politieonderzoek gevonden worden.
Er is een veelvoud van gevallen waarbij overheden de macht om privacy te schenden misbruikt hebben voor alles van verdenkmaking tot massamoord.
Privacy kan dus zomaar ineens belangrijk worden.
Je bent naar mijn mening naief als je denkt dat als iets nog niet misbruikt is je vol vertrouwen moet zijn dat dat in de toekomst ook niet gaat gebeuren.

Je telefoon kan overigens nog steeds prima worden terugbezorgd. De telco weet precies wanneer en waar dat ding weer op het netwerk komt en daar kan makkelijk op gereageerd worden door opsporingsdiensten. Dat verandert niet als je de data op je telefoon prive houdt.
Je gebruikt hier dus een kul-argument om een gebrek aan privacy te beredeneren. Slechte zaak.

Buiten dat worden er door verschillende organisaties buiten de wet om gegevens verzameld bij grote groepen mensen. Ik mag aannemen dat je bekend bent met de gevallen die gepresenteerd waren door b.v. Assange, Manning en Snowden. Daaruit blijkt duidelijk dat jouw kuddedrang precies het soort angstgedreven naiviteit is die voor die organisaties nodig is om te kunnen opereren. Ik weet niet of je daar blij mee moet zijn.
Privacy kan dus zomaar ineens belangrijk worden.
Of niet.
Je bent naar mijn mening naief als je denkt dat als iets nog niet misbruikt is je vol vertrouwen moet zijn dat dat in de toekomst ook niet gaat gebeuren.
We leven in het NU en daarbij is het wel degelijk wenselijk dat criminelen worden opgespoord en misdrijven worden opgelost.
En op dit moment is er eigelijk geen privacy probleem maar ontstaat er nu wel een verslechtering van de opsporingsmogelijkheden.
Je gebruikt hier dus een kul-argument om een gebrek aan privacy te beredeneren. Slechte zaak.
Nee jij gebruikt een kul armument dus met imaginaire mogelijke toekomstige privacy argumenten te komen ipv van enig bestaand issue waarbij er in de daadwerkelijk praktijk een voorbeeld zou zijn van een privacy probleem door deze passcode omzeilmogelijkheid van Apple.
Buiten dat worden er door verschillende organisaties buiten de wet om gegevens verzameld bij grote groepen mensen. Ik mag aannemen dat je bekend bent met de gevallen die gepresenteerd waren door b.v. Assange, Manning en Snowden
Ja daar ben ik mee bekend en in geen enkel geval had dat te maken met het verkrijgen van toegang tot gelockte fysieke devices van endusers. Totale bullshit dus in deze discussie over gelockte iphones maar wel relevant voor de cloud waar apple dus nog wel de encryptie kan omzeilen en waar er dus wel echte privacy issues zouden kunnen zijn.
We leven in het NU en daarbij is het wel degelijk wenselijk dat criminelen worden opgespoord en misdrijven worden opgelost.
Oh, is dat zo?
En dat is nooit anders geweest?
Er is geloof ik nog nooit zo weinig misdaad geweest in de westerse wereld als de afgelopen decenia.
En op dit moment is er eigelijk geen privacy probleem maar ontstaat er nu wel een verslechtering van de opsporingsmogelijkheden.
Daar ben ik het niet mee eens.Zoals ik al aangaf is het bewezen dat bepaalde organisaties dit soot gereedschappen misbruiken.
Het probleem is dat zij er zijn om de boel te controleren. Maar wie controleert hun? Jouw vertrouwen is, gezien de menselijke geschiedenis, volkomen misplaatst.
Nee jij gebruikt een kul armument dus met imaginaire mogelijke toekomstige privacy argumenten te komen ipv van enig bestaand issue waarbij er in de daadwerkelijk praktijk een voorbeeld zou zijn van een privacy probleem door deze passcode omzeilmogelijkheid van Apple.
Nu moet je niet de boel omdraaien. Jij pleit voor het niet mogen afschermen van je data omdat je telefoon anders niet gevonden kan worden alsie gestolen of kwijt is.
Dit is technisch volslagen onzin aangezien dat prima kan zonder in de data van de telefoon te hoeven kijken.
Als je iets wilt leren over mogelijke toekomstige problemen met privacy dan moet je naar het verleden kijken. Genoeg gevallen waar overheden of andere organisaties privacygevoelige informatie misbruiken ten nadele van (een deel van) de bevolking.
Ja daar ben ik mee bekend en in geen enkel geval had dat te maken met het verkrijgen van toegang tot gelockte fysieke devices van endusers.
Het is toch overduidelijk dat dit uiteindelijk precies is wat ze proberen te doen.
De mogelijkheden om privacy van gebruikers te schenden staan niet stil maar bewegen zich richting eindgebruiker. Uiteindelijk zullen 'ze' ook eisen dat ze in je device mogen kijken. Nu moeten ze dat nog verantwoorden voor een rechter.
Waarom denk je dat er uberhaupt in de westerse wereld wordt gediscuseerd over of het instanties toegestaan is een computer te hacken? In nederland komt er nog rechtspraak aan te pas, maar niet alle landen nemen dat even serieus.
Het gevaar is aanzienelijk dat dit soort faciliteiten misbruikt gaan worden. Op kleine schaal, bij incidenten, gebeurt dit al.
Jij pleit voor het niet mogen afschermen van je data omdat je telefoon anders niet gevonden kan worden alsie gestolen of kwijt is.
Nee ik pleit ervoor dat de opsporingsdienst zoals de politie toegang kan krijgen tot de fysieke gelockte telefoon als dat nodig is voor hun opsporingstaken (via een gerechterlijk bevel).
Dat kan nuttig zijn bij opsporing van gestolen telefoons of bij opsporings van drugsnetwerken, bendes en allerlei andere misdrijven waar je bijvoorbeeld 1 van de daders weet te pakken.
Als je iets wilt leren over mogelijke toekomstige problemen met privacy dan moet je naar het verleden kijken. Genoeg gevallen waar overheden of andere organisaties privacygevoelige informatie misbruiken ten nadele van (een deel van) de bevolking.
een soort halve godwin. Gezellig.

Opsporing van misdrijven vereist ALTIJD een inbreuk op de privacy van mensen omdat de politie het handelen van mensen moet onderzoeken. Er is dus altijd een afweging te maken tussen privacy en misdaadbestrijding om dat vrijwel alles wat de privacy verhoogt het lastiger maakt voor politie om daders te pakken.
Hier is sprake van een middel in die opsporing dat in de praktijk al jaren eigenlijk geen privacy issue met zich meebrengt en dat nu verdwijnt. Er wordt dus geen privacy issue opgelost behalve voor criminelen van wie de telefoon geconfiskeerd wordt.
Er is dus altijd een afweging te maken tussen privacy en misdaadbestrijding om dat vrijwel alles wat de privacy verhoogt het lastiger maakt voor politie om daders te pakken.
Je weet dat een voordeur je privacy enorm verhoogt?
Betekent dat dat je geen slot moet nemen omdat anders de politie moeite zou hebben met binnentreden mochten ze dat nodig achten?
Vind jij ook dat encryptie verboden moet zijn om het werk van opsporingsdiensten makkelijker te maken?
Kortom, hoe kom je tot een evenwichtige afweging?
Vanuit het perspectief van opsporinsdiensten kan het natuurlijk nooit ver genoeg gaan. Die zijn pas 100% tevreden als iedereen een chip in zn hoofd krijgt waarmee 'foute' gedachten kunnen worden geidentificeerd en zullen dus altijd die kant op druk blijven uitoefenen. Er is aan die kant dus geen einde aan het verhaal en het is aan ons (de kant waar privacy steeds meer geschonden wordt) om een zinnige grens te trekken. Ik vind dat we die grens zo ondertussen wel bereikt hebben.
Je weet dat een voordeur je privacy enorm verhoogt?
Je weet ook dat de politie een gesloten voordeur doorkan als het echt noodzakelijk is met een gerechterlijk bevel (of bij een noodsituatie)?
Betekent dat dat je geen slot moet nemen omdat anders de politie moeite zou hebben met binnentreden mochten ze dat nodig achten?
Vind jij ook dat encryptie verboden moet zijn om het werk van opsporingsdiensten makkelijker te maken?
Een slot is goed. Dus het is prima dat devices encrypted zijn zoals nu al het gevla is al je de telefoon locked. Als je de telefoon verliest kan een willekeurig iemand niet jou data compromiteren en bijvoorbeeld je foto's op het internet zetten.
Vanuit het perspectief van opsporinsdiensten kan het natuurlijk nooit ver genoeg gaan.
We moeten wel even denken dat opsporingsdiensten zoals depoltie er gewoon zijn om taken uit te oefenen die wij ze zelf opleggen. De maatschappij verlangt opsporing van criminelen. Dan moet je dus ook accepteren dat die opsporing ALTIJD gepaard gaat met privacy schendingen omdat opsporing altijd gericht is op het nagaan van de handelingen van de daders.
een zinnige grens te trekken
Er is nergens in dit topic een praktijk issue voor wat betreft de privacy opgedoken met het gebruik van deze passcodes van Apple. De privacy impact is dus zo goed als nul.
Dit is vooral een PR aanpassing van Apple en levert geen aantoonbare verbetering van de privacy.

Het zonder passcodes encrypten van de cloud of het beter controleren van de permissies van apps zouden wel aantoonbare verbeteringe opleveren van de privacy.
We moeten wel even denken dat opsporingsdiensten zoals depoltie er gewoon zijn om taken uit te oefenen die wij ze zelf opleggen. De maatschappij verlangt opsporing van criminelen.
Dit moet je natuurlijk wel relativeren.
Gevoel van onveiligheid wordt in grote mate geinduceerd door massamedia.
Het feit dat mensen zich onveilig voelen is geen goede graadmeter voor de bevoegdheden die een opsporingsdienst zou mogen krijgen.
Zoals ik al ergens opmerkte is de criminaliteit historisch laag. Wij zijn statistisch gezien nog nooit zo veilig geweest.
Wat veel interessanter is is om vast te stellen hoeveel zaken er blijven liggen wegens gebrek aan mankracht. De politie heeft hier in nederland dus al meer werk dan ze aankunnen omdat we er niet genoeg geld in stoppen. Het uitbreiden van opsporingsbevoegdheden verhelpen dit probleem niet en zorgt ervoor dat er met minder aandacht (vandaar ook de opduikende sleepnetmethodieken) naar zaken wordt gekeken. Er wordt gezocht naar middelen om met zo min mogelijk inspanning zo veel mogelijk te ''scoren'. En daarbij zeg ik dat er grenzen zijn.
Je weet ook dat de politie een gesloten voordeur doorkan als het echt noodzakelijk is met een gerechterlijk bevel (of bij een noodsituatie)?
Ja, maar gebruiken ze dan een reservesleutel die de aannemer die het huis heeft gebouwd achter de hand houdt? Dacht het ook niet.
Buiten dat zijn die apparaten allemaal (stuk voor stuk) hardwarematig te hacken als je de juiste informatie bezit. Hardwarematige backdoors zijn triviaal te implementeren als je je eigen hardware ontwerpt. Ik denk niet dat ze dit graag naar buiten brengen maar als het echt nodig is voor een grote zaak dan kan ik mij voorstellen dat de desbetreffende opsporingsdienst deze informatie van de fabrikant opeist.
Er is nergens in dit topic een praktijk issue voor wat betreft de privacy opgedoken met het gebruik van deze passcodes van Apple.
Er was ook nooit een issue met CA's in nederland totdat diginotar gehacked werdt. Toen bleek het opeens niet zo handig om security op die manier te centraliseren.
Stel dat iemand die codes bij apple (zo'n 500.000.000 i-devices) weghaalt en gaat misbruiken? Hoe groot zal het kalf dan zijn dat verdrinkt en is het dan wel handig om te wachten totdat het een keer gebeurt?
Hoe ga je uberhaupt zinnig om met een buitenlands bedrijf dat meer dan een half miljard sleutels tot de privegegevens beheert?
Ik kan mij ook gewoon voorstellen dat apple die verantwoordelijkheid helemaal niet wil. En eigenlijk zouden gebruikers dat ook niet moeten willen. Vanuit securityoverwegingen alleen al is het wachten tot het een keer fout gaat. Hetzelfde geldt overigens voor clouddiensten.
Ok, we zijn elkaar aan het vinden :)
Ik vind dat onder gerechtelijk bevel er minder problemen met betrekking van privacy zijn en dat het in sommige gevallen geoorloofd zou kunnen zijn.
Het probleem is echter dat dit klaarblijkelijk niet openbaar genoeg gebeurt aangezien er ondertussen veel meldingen van misbruik zijn. Ofwel wordt er een sleepnetmethode toegepast ofwel gebeurt het middels clandistiene handelingen buiten de ogen van de maatschapij om.
Ik ben ook niet zo snel bang dat dit in nederland met nederlandse opsporingsdiensten een probleem zal zijn. Wij zijn redelijk beschermd tegen onszelf. Andere landen (waar apple ook actief is) vertrouw ik echter niet zo snel.
Waarom zouden telefoons niet meer bij de eigenaar terug bezorgd kunnen worden? Wanneer je een iPhone blokkeert kan je bvb een berichtje achterlaten dat verschijnt op het hoofdscherm. In dat bericht kan je contactgegevens achterlaten of eender wat.

Blijkbaar heb je niet door wat het geheel is want het geheel gaat niet over paswoorden. Het geheel gaat over privacy Die paswoorden zijn maar een klein onderdeel van het geheel.
Het geheel gaat over privacy
Noem jij dan eens 1 geval waarbij de privacy onrechtmatig schade heeft opgelopen door deze passcode omzeil functionaliteit van Apple.
Jij bent niet echt goed mee met de actualiteit neem ik aan? Celebrity schandaal?
Ik zie nul relatie met de passcode omzeil mogelijkheid van Apple zelf.

Je kunt hoogstens stellen dat veel mensen hun telefoon of clouddienst slecht (kunnen) beveiligen zodat er derden toegang toe kunnen krijgen zelfs zonder omzeil codes.
Ik zie dan ook geen nul relatie met reactie. Zoals ik zei gaat het niet enkel over paswoorden maar privacy in het algemeen. En hoe kan ik nu weten of er ooit privacy geschonden is door het opvragen van paswoorden bij Apple?! Ze houden dat allemaal geheim dus belachelijke vraag eigenlijk.

Iedereen heeft recht op privacy en het is goed dat Apple zich hier voor in zet.
ik zei gaat het niet enkel over paswoorden maar privacy in het algemeen.
Nee, dit topic gaat juist specifiek over de encryptie van het fysiek apparaat.
En hoe kan ik nu weten of er ooit privacy geschonden is door het opvragen van paswoorden bij Apple?!
Zolang je device bij jou zelf is hebben die pascodes om een devicelock te omzeilen geen nut.
Encryptie is maar een klein gedeelte van het verhaal. Kijk naar de pagina die Apple in het leven heeft geroepen. Encryptie is daar maar een klein gedeelte van. http://www.apple.com/privacy/
Het is niet omdat Tweakers het negeert dat wij dat ook allemaal moeten doen.
Dat kwam omdat Apple nog beveiliging vragen gebruikt om je account te resetten.
Met find my iPhone kan je een iPhone locked, wissen en een bericht achterlaten naar de vinder dus mocht je te maken hebben met een eerlijke vinder is deze te bereiken.
wordt die voortaan gebruikt om de data op het apparaat te versleutelen; Apple kent die code niet, en kan dus ook niet bij de data.

Maar een mastercode is bij veel encryptie standaarden wel aanwezig, Daarnaast apple ios is closed source dus controleren kan niemand het. Vul de rest dan maar zelf in.
Maar een mastercode is bij veel encryptie standaarden wel aanwezig, Daarnaast apple ios is closed source dus controleren kan niemand het. Vul de rest dan maar zelf in.
Je argument is niet juist, en je conclusie klopt dus ook niet.

Ook closed source kan gecontroleerd en zelfs gemodificeerd worden. Hoe denk je anders dat Jailbreaks mogelijk zijn...?
Ten eerste is het makkelijker een gat te vinden dan om aan te tonen dat er geen gat IS. Dat geld voor beiden open en gesloten. Ten tweede, het is bij open, makkelijk leesbare code al enorm moeilijk om kleine foutjes in de complexe encryptie code te vinden - denk maar aan heartbleed. En de problemen die er zijn worden vaak gevonden doordat een grote klant betaald voor een security audit op het Open Source project, zodat een of meerdere security experts regel voor regel en/of door middel van geautomatiseerde tools over de code gaan. Of omdat het bedrijf wat de code schrijft een hack wedstrijd organiseert. Of bounties/prijzen geeft voor het vinden van security problemen. En tussen haakjes - dit gebeurt, allemaal - ik werk zelf bij een bedrijf wat niet alleen een security man in dienst heeft, maar ook met klanten werkt om met onafhankelijke experts audits te doen (of plotseling een mail krijgt met security issues omdat een klant een audit heeft laten doen), wat prijzen geeft aan mensen die fouten vinden etc.

In de 'gesloten' wereld is het niet alleen ontzettend moeilijk, het is simpelweg *illegaal* om de code te reverse-engineeren en te auditen.

Geloof je nu echt dat bij gesloten code er evenveel, of zelfs een KLEINE kans is dat iemand een security audit doet?

Sorry, maar als je als individu of bedrijf hele belangrijke data opslaat op de servers van een ander bedrijf en hen op hun blauwe ogen geloofd qua encryptie enzo dan ben je gewoon ontzettend dom bezig.
Geloof je nu echt dat bij gesloten code er evenveel, of zelfs een KLEINE kans is dat iemand een security audit doet?
Dat weet ik wel zeker, er zijn bedrijven die zich hierin specialiseren en niets anders doen.

Hier een voorbeeld lijst met duizende exploits, grotendeels gevonden in, zoals jij het noemt "gesloten code" : http://www.exploit-db.com/
Natuurlijk worden er wel dingen gevonden, en er wordt ook naar gezocht. Maar het is enorm veel moeilijker dan bij open code en wordt vaker niet dan wel gewaardeerd. Gesloten code (en open code van projecten met weinig team leden en gebruikers - wat hetzelfde effect heeft, minder mensen kijken naar de code) is qua veiligheid vrijwel altijd slechter dan open dus een grote lijst met issues geeft alleen aan dat er een groot probleem is...
Reverse engineering is absoluut niet illegaal. Zeker het is niet zonder gevaren, maar 100% illegaal is het zeer zeker niet. Het uit elkaar halen van een product om vervolgens chemisch een chip deels op te lossen en daarna kijken hoe de transistoren zich gedragen waarmee je vervolgens zelf de code kan schrijven valt in de US of A toch echt onder fair use.

Volgens de DMCA mag reverse engineering niet worden gebruikt om DRM te manipuleren of te omzeilen als dit voor commerciële doeleinden gaat worden gebruikt. Het mag echter wel om software inter-operability te kunnen garanderen.

Het is dus een grijs gebied waar nooit met 100% zekerheid over gezegd dan kan worden dat het illegaal is.
Ok, dank, ik dacht dat het simpelweg niet mocht.
"Het bedrijf beklemtoont in ieder geval dat het nooit een backdoor in een product of dienst heeft ingebouwd voor een overheid, en dat het dat ook nooit zal doen"

Opsporingsdiensten vallen naar mijn mening gewoon onder de overheid of mis ik hier nu iets onder de term "overheid"?
Daarbij is een masterkey niet zoiet, "hetzelfde" als een backdoor, het is mijn inziens gewoon een methode om via een "ongeoorloofde" manier aan data te komen die niet van jezelf is, dat je als bedrijf een dienst verleend prima, maar een masterkey van de eigenaar van de desbetreffende data is heel wat anders dan de dienstverlener die er zomaar bij kan.
Het bedrijf beklemtoont in ieder geval dat het nooit een backdoor in een product of dienst heeft ingebouwd voor een overheid, en dat het dat ook nooit zal doen"

Als ik dit lees kan er ook staan geen backdoor voor een ander maar wel een backdoor voor onszelf.

Er had moeten staan noch voor een overheid noch voor apple is er een backdoor ingebouwd. Klein verschil in tekst groot verschil in uitwerking.

Daarnaast partiot act, national security als het zo geweest zou zijn zouden ze er ook niet over mogen spreken.
Daarnaast apple ios is closed source dus controleren kan niemand het.
Denk maar niet dat dat bij open source wel kan. De source doorlopen is één ding, verifiëren dat je apparaat daadwerkelijk díe code draait is iets anders. En dan is er nog de mogelijkheid dat je compiler gecompromitteerd is zodat elke binary die je genereert dat ook is.

Open source is goed, begrijp me niet verkeerd, maar niet heilig.
Open source is in ieder geval meer open dan closed.

Het feit dat de ssl bug misbruikt maar ook ontdekt is zegt iets over sterkte en zwakte van open source. Uiteindelijk is het ontdekt omdat het open source was
Criminelen kunnen in open source makkelijker naar gaten zoeken en deze misbruiken. Closed source is een zwarte doos en limiteert het zoeken naar gaten.
... Wat precies is wat het onveiliger maakt. Derden kunnen moeilijker security audits doen op gesloten code, minder mensen kijken er naar en werken er mee en de ontwikkeling en processen zijn onbekend dus niet/moeilijk te vertrouwen.

Ja, criminelen kunnen naar gaten zoeken, maar security specialisten en externe auditors ook. Bij gesloten code kan een hacker desnoods de code stelen en doorzoeken - bij open code zijn alle makkelijk te vinden issues al gevonden.
Daarnaast apple ios is closed source dus controleren kan niemand het. Vul de rest dan maar zelf in.
IOS is gebaseerd op een open source, Darwin, met een closed source laag. Android is gebaseerd op Linux, is open source, met gesloten "eilandjes" (die apps die google niet deelt met de community en het worden er langzaam steeds meer.
Dat zegt hij niet, enkel dat dit closed source is dus apple kan zeggen wat het wil.
Het argument dat een bedrijf bij "closed source" kan zeggen wat het wil is natuurlijk volledig onjuist.

Allereerst kan ook closed source code gechecked worden (reverse engineering, denk aan bijv. jailbreaks).
Ten tweede kan een bedrijf als Apple het zich niet permiteren om zoiets te zeggen als later door het lekken van informatie blijkt dat het niet zo zal zijn, dat zou voor een enorme reputatie schade zorgen.
Wees niet zo naief. Je kunt reverse-engineeren maar echt goed naar de code kijken en zien of er fouten (bewust toegevoegd of niet) in zitten is vrijwel ondoenelijk op die manier. Nog afgezien van het feit dat het illegaal is (!)

Het is enorm makkelijk om een 'klein foutje' te maken in de implementatie van encryptie, het luistert allemaal erg nauw en is enorm ingewikkeld. Als het gesloten code is gaat niemand er achter komen. Zelfs bij open source duurt het vaak lang voordat kleine (maar cruciale) foutjes gezien worden (heartbleed!) dus reken er echt maar niet op dat zo'n fout bij gesloten software ooit wordt ontdekt. Zeker niet als het expres is ingebouwd.
Apple is gedeeltelijk open source:
http://opensource.apple.com/source/

Google Play Services is closed source:
http://arstechnica.com/ga...e-by-any-means-necessary/

Conclusie: Apple vs Android != closed source vs open source.

[Reactie gewijzigd door mohf op 18 september 2014 12:18]

Apple is een bedrijf en Android een besturingssyteem.
iOS is closed source vs Android is open source is een betere uitgangspunt voor een discussie.
Apple is een bedrijf...
Van een closed source bedrijf heb ik nog nooit gehoord. Kweken ze dan hun eigen werknemers ofzo?
nou daar ben ik het niet mee eens. Ik ben al maanden bezig om een fout in de implementatie van findmyiphone (en dus het unlock algoritme) te vinden. En weet je waarom? Omdat ik en collega bedrijven in mijn regio zitten met honderden eerlijke klanten die hun wachtwoord simpelweg vergeten zijn. Deze apparaten zijn al maanden/jaren in hun bezit en dat heb ik allemaal geregistreerd staan na de eerste reparatie. Deze mensen hebben goud geld over om hun apparaat weer bruikbaar te krijgen en dus is het voor mij een enorm belangrijke kwestie om dit voor elkaar te krijgen. Helaas (eigenlijk juist gelukkig), heeft Apple een van de meest complexe beveiligingen ingebouwd in hun producten.

Maar om even terug te komen op het punt: Zelfs ik (die absoluut weinig verstand heeft van ICT beveiliging anders dan het kopiëren van een hashing algoritme naar mijn Java software) houd mij bezig met het kraken van Apple's security. Dus geloof mij daar zijn veel meer mensen mee bezig.

Edit:
RobbieB Das eigenlijk precies waar ik dus mee zit. Het zit zo simpel in elkaar dat je je bijna gaat afvragen wat je over het hoofd ziet ;-). ik bedoelde met name complex in het kraken. Iets wat vrij makkelijk is als het device stored data is, maar door het simpelweg ergens anders op te slaan is het veel moeilijker te kraken en dus vele malen veiliger.

[Reactie gewijzigd door supersnathan94 op 18 september 2014 14:43]

heeft Apple een van de meest complexe beveiligingen ingebouwd in hun producten.
Het ironische (en juist briljante) is dat de find-my-iphone implementatie juist helemaal niet complex is.

Find my iPhone koppelt het serienummer van je iPhone aan je AppleID en dit wordt op de servers van Apple opgeslagen.

Op het moment dat een toestel geactiveerd moet worden, kijkt Apple of het serienummer in hun database voorkomt, zo ja, vraagt hij om het wachtwoord van het AppleID. Klopt dit niet, dan wordt het toestel niet geactiveerd.

Het zal aan de achterkant vast complexer zijn, maar juist door het simpel te houden is het juist moeilijker te kraken.
Juist. Maar als het niet zo blijkt te zijn, hangt Apple natuurlijk wel. Met opensource kun je ook alles beloven wat je wil, er moet alleen iemand zijn die het verifieert.

Of het nou closed- of opensource is, kwaliteitscontrole heb je altijd. Bij bedrijven als Apple heb je écht wel te maken met bedrijfsprocessen die moeten borgen dat wat jij claimt, ook daadwerkelijk zo is. Het is echt niet zo dat als de receptioniste iets zegt, dat voor het bedrijf gelijk bindend is.
Denk je nu echt dat de gemiddelde apple gebruiker daar aandacht zal schenken? Dit laat mensen toe bij apple een goed gevoel te hebben (alsof ze hier ooit mee te maken zullen hebben) en als ooit uitkomt dat dit toch niet 100% waarheid was dan verzint men wel iets voor nationale veiligheid, gaat erin als koek bij amerikanen.


Daarbij is het hier niet de secretaresse maar het bedrijf zelf die dit naar buiten brengt .
Denk je nu echt dat de gemiddelde apple gebruiker daar aandacht zal schenken?
Veel wel. En zelfs als ze dat niet deden, de aandeelhouders zouden ze lynchen, want als beursgenoteerd bedrijf kun je niet liegen. Daarnaast stellen zich dan open voor een bak class-action lawsuits van heb ik jou daar.

Nee, apple is niet gek, ze gaan zich niet blootstellen aan dat soort dingen.
Ach als ze nu maar wel een brute force beveiliging hebben. Anders heb je nog niet zo veel aan de beveiligingscode.

P.s. in mijn omgeving heb ik nog niemand met een iPhone o.i.d. zich zorgen zien maken om hun beveiliging. Ondanks het uitlekken leeft nog steeds het idee dat Apple een heilig grondgebied is wat door niemand aangevallen kan worden.
Ach als ze nu maar wel een brute force beveiliging hebben. Anders heb je nog niet zo veel aan de beveiligingscode.
inmiddels wel. volgens mij zat op de backup dienst geen bruteforce en dat hebben ze gefixed pas. En volgens mij zijn ze ook two-factor aan het uitrollen.
Ahem, als een geheime dienst de data opeist zijn ze nog steeds verplicht deze te overhandigen. Alleen is deze dan niet leesbaar. Het staat de geheime dienst vervolgens vrij om gewoon een (onbeperkte, hier zit geen rate limiting ofzo op naturlijk) brute force attack op te zetten. Omdat het gaat om smartphones telt de bruikbaarheid voor veel mensen erg zwaar, en de kans op een complex, 12 of meer karakter wachtwoord is klein. Mijn gok is dat het overgrote deel op staatsgesponsorde clusters snel gebroken is.

Dus veiliger? Zeker. Maar denk niet dat de CIA en andere drieletterigen nu nergens meer bijkunnen.
Brute force beveiliging zou je kunnen zeggen dat dat er is omdat je zelf in kan stellen bij hoeveel foute codes je toestel gewist wordt. Dus als je dat niet al te hoog zit is de kans nihil dat ze in die paar gokken die ze hebben hem toevallig weten.
Oh ja? Misschien maken ze eerst een kopie van het geheugen en gebruiken de brute force daarop? Nihil is daarmee 100% garantie dat ze het binnen een dag opengebroken hebben.
Nee, maar de gemiddelde persoon heeft nou eenmaal weinig te vrezen wat betreft foto's in de cloud. Het is niet alsof de deur wagenwijd open staat, dus tenzij je een celebrity bent ben je niet de moeite waard om te proberen je iCloud te hacken.
puur het feit dat dit mediaschandaal gedaan is met brute force geeft al aan dat de beveilig valt of staat met een goed wachtwoord. Mensen die dus nog steeds een oud (kort) wachtwoord gebruiken wat ze bij meerdere diensten hetzelfde hebben zijn dus dom bezig. overigens was het handig geweest als Apple de passwords had gehashed na versturen. Hiermee verander je wel de hasj in het password, maar andere diensten die een gebruiker gebruikt met dezelfde PW's zijn dan wel een stuk veiliger (als je alleen de hasj hebt dmv MITM kan je dus niet bij andere diensten inloggen, want je weet het PW niet en de hashes bij andere diensten zijn anders).

mensen in jouw omgeving hoeven zich ook niet druk te maken om beveiliging. Laat dat maar aan de beveiligingsexperts over die er ook daadwerkelijk heel veel verstand van hebben.
Ondanks het uitlekken leeft nog steeds het idee dat Apple een heilig grondgebied is wat door niemand aangevallen kan worden.
Tsja ik kan ze ook geen ongelijk geven. Ten eerste gaat het om populaire mensen waarvan ontzettend veel informatie voorhanden is op het WWW.
ten tweede zijn de normale gebruikers van een telefoon (zoals jij en ik) totaal niet interessant voor dit soort kleinschalige pogingen. Bij grootschalige hackpogingen met enkele duizenden tot miljoenen accounts denk ik dat Apple dat direct doorheeft ivm drukte op de server. Overigens is een sterk wachtwoord helemaal niet moeilijk om te maken: IkB3nE3nTw34k3R! Haalt alle requirements en gaat er nog eens dik overheen. Voor een medium desktop PC zou het 12 triljoen jaar (amerikaanse triljoen dus geen idee hoeveel precies, maar een hoop dus) duren om dit password te kunnen brute forcen.
Als beursgenoteerd bedrijf kun je niet liegen?
Wat ik de laatste 5 jaar van de economische crisis heb geleerd, is dat als een bedrijf beursgenoteerd is, het zeker zal liegen.
Dream on. Liegen is echt geen probleem. "Goh, het was een bug in de implementatie" hoe vaak komt dat voor? Sorry, maar zolang de code gesloten is ben je gek als je hen geloofd.
[...]


Veel wel. En zelfs als ze dat niet deden, de aandeelhouders zouden ze lynchen, want als beursgenoteerd bedrijf kun je niet liegen.
Dat klopt over financiële gegevens.
Voor de rest maakt het aandeelhouders niet uit of de waarheid verdraait wordt/ gelogen wordt. Als het maar meer geld oplevert.

T.a.v. Apple vermoedelijk klopt het wel wat ze zeggen. De meeste mensen zetten hun spullen op de cloud, daar kan Apple gewoon bij.
Sorry dan ben je heel naief meeste weten amper wat hun iphone allemaal kan laat staan daarop letten of apple uberhaupt al dan niet iets zou opslaan of dat het toegang tot anderen geeft .

Ik ben trouwens aandeelhouder en daar geef ik nu echt niks om .
er hoeft maar 1 ceo,cio,cfo te maken te krijgen met de controles op het vliegveld en er later achter komen dat er data gejat is, om een miljardenclaim naar apple te slingeren. Ik denk echt dat ze heel goed nadenken over wat ze beweren. Des te meer het een amerikaans bedrijf is waar de claimcultuur tot in het absurde gaat.
Het gaat hier over overheidsvragen, niet bedrijfsspionage, geen van de grote bedrijven zal zich daarin bezig houden.
nou in het verleden heeft de PR-machine van Apple anders al genoeg schandalen netjes gladgestreken, in zoverre dat je je nu afvraagt welke schandalen ? ;)
Nee hoor, je kan blijven miepen over open source maar dat biedt in ieder geval de mogelijkheid dat iemand kan controleren, bij Apple keurt de slager zijn eigen vleeswaren...
Natuurlijk komt al deze informatie toevallig net nadat men minder vertrouwen in Apple's gegevens-privacy door het hele fappening-gebeuren heeft, PR-machine iemand ?

het gaat me hierbij even niet om Apple zelf, alleen je uitspraken zijn zo enorm naïef...
Natuurlijk kunnen ze er nog wel iets mee, als straks de NSA bij deze specifieke amerikaanse bedrijf aanklopt met de eis dat de gegevens geleverd worden, anders worden er national-security wetten overtreden dan hebben ze zeker wel een manier om het gevraagde aan te kunnen leveren... Dit geldt trouwens ook voor de andere groten (Google, Microsoft enz enz)....

[Reactie gewijzigd door TIGER79 op 18 september 2014 08:52]

nou in het verleden heeft de PR-machine van Apple anders al genoeg schandalen netjes gladgestreken, in zoverre dat je je nu afvraagt welke schandalen ? ;)
Nu heb je mij nieuwsgierig gemaakt. Welke schandalen?
Dit geldt trouwens ook voor de andere groten (Google, Microsoft enz enz)....
Alle Amerikaanse bedrijven moeten voldoen aan de eisen van de NSA. Dus ook Apple. Maar Apple zegt nu dat het niet meer kan voldoen aan verzoeken om de passcode van een iPhone met iOS8 te omzeilen.

Dus zet je data op je iPhone (of iPad / iPod touch), maak geen backup via iCloud, maar via iTunes, en de NSA kan niet bij jouw data komen.

Ik denk dat dit ook in Android 5 of 6 zal zitten.
Ik weet zeker dat dit niet in android zal zitten aangezien advertenties hun verdienmodel is. Google zal en moet ten alle tijden bij jou gegevens kunnen om dit te kunnen verkopen aan derden/advertenties. Op het moment dat ze geen inzicht meer hebben valt hun verdienmodel om. Niks tegen google maar dit is en blijft hun grootste inkomstenbron dus hier zullen je gegevens nooit maar dan ook nooit veilig zijn.

@tiger dat is nu het mooie, als ze er zelf niet bij kunnen dan kan de NSA ook vrij weinig eisen. Ja eisen dat ze een backdoor inbouwen maar dat zal niet zo snel gebeuren anders hadden ze deze weg niet bewandeld. En ja, als ik zo al die negativiteit leest dan denk ik wat wil je nou dat wen bedrijf het tenminste probeerd of moeten ze alles maar open gooien voor derden? Ook is dit voor Apple een onderdeel waarmee ze zich kunnen onderscheiden van google en zeker in deze tijden hebben mensen best wat geld over voor veiligheid/Annonimiteit.

[Reactie gewijzigd door Tothabone op 18 september 2014 09:32]

In aanvulling hierop de brief van Tim Cook die hij postte bij de Privacy pagina die vannacht online is gekomen:
A few years ago, users of Internet services began to realize that when an online service is free, you’re not the customer. You’re the product. But at Apple, we believe a great customer experience shouldn’t come at the expense of your privacy.

Our business model is very straightforward: We sell great products. We don’t build a profile based on your email content or web browsing habits to sell to advertisers. We don’t “monetize” the information you store on your iPhone or in iCloud. And we don’t read your email or your messages to get information to market to you. Our software and services are designed to make our devices better. Plain and simple.
Dit is de beste samenvatting van het verschil in privacy tussen Apple en Google.

Ja, ze kunnen backdoors inbouwen. Ja, ze kunnen software updates uitbrengen als de regering plotseling toch toegang wil hebben. Ja, je hoeft niet te geloven wat Apple zegt en het kan allemaal een leugen zijn.

Maar bovenstaande statement van Cook is precies waarom ik mijn gegevens liever bij Apple dan Google heb liggen. Google ge- en misbruikt je persoonlijke data, Apple niet.

offtopic:
Overigens heeft dit wel als gevolg dat Apple nooit met een dienst als Google Now zal kunnen komen, omdat deze volledig afhankelijk is van al je persoonlijke data...
Exact, *elk* bedrijf of overheid kan liegen. Daarom moet je het bedrijf vertrouwen dat de minste motivatie heeft om te liegen, of sterker nog, de meeste motivatie om de waarheid te spreken. En dat is op het gebied van privacy toch zeker Apple. 40% marge op een iPhone, Apple zou wel gek zijn als ze proberen een grijpstuiver aan 'data' te gaan verdienen met zulke marges.
Ik denk dat je gelijk hebt. Dit gaat over de open brief van Tim Cook aan Apple klanten:
"We creëren geen profiel op basis van je e-mails of surfgeschiedenis om te verkopen aan adverteerders. We verdienen geen geld aan de informatie die je op je iPhone of in iCloud bewaart", aldus Cook. De ceo lijkt rechtstreeks te verwijzen naar Apples grootste concurrent Google, die onder meer de inhoud van e-mails wel gebruikt om gerichte advertenties te tonen.
Dit zijn er maar een aantal die ik persoonlijk nog kan herinneren, het waren allemaal stuk voor stuk ingrijpende issues die allemaal snel in de media zijn geweest maar vervolgens uit het collectieve geheugen van de gebruikers zijn verwijderd...
Ik laat natuurlijk het hele welles-nietes verhaal van de eerder genoemde fappening buiten beschouwing...

http://www.chinadaily.com...2/18/content_12038447.htm

http://gizmodo.com/the-ip...bor-violations-1258031461

http://gerrysweeney.com/a...ult-apple-will-not-admit/

http://ipod.about.com/od/...ne-4-Antenna-Problems.htm

http://www.cnet.com/news/...ac-screen-dimming-issues/

http://fortune.com/2008/0...-macbook-hot-air-problem/
De eerste drie links verwijzen naar schandalen in Chinese fabrieken.

De laatste drie links gaan over ontwerp- of productiefouten van Apple devices.

Elk grote elektronicabedrijf (Apple, maar ook: MS, Dell, Samsung, HP, Motorola, ...) besteed zijn productie uit in de goedkoopste Chinese fabrieken, zoals Foxconn.

Het is een vicieuze cirkel: als je niet de goedkoopste fabriek selecteert, dan gaat je winst omlaag, je verkoopprijzen omhoog, je sales omlaag, en maak je tenslotte nog minder winst. Terwijl je concurrenten erop vooruitgaan.

Het rare is dat Apple en Foxconn populaire termen zijn die vaak in 1 zin staan, terwijl Foxconn ook veel produceert voor veel van bovengenoemde bedrijven. Daar hoor je minder van. Dus om terug te gaan naar jouw citaat:
nou in het verleden heeft de PR-machine van Apple anders al genoeg schandalen netjes gladgestreken, in zoverre dat je je nu afvraagt welke schandalen ? ;)
Strict gezien heb je gelijk, maar wat jij zegt is heel erg misleidend en toont duidelijk jouw haat jegens Apple toe. Als we jouw methodiek toepassen is er geen enkele grote elektronicabedrijf die geen schandalen op hun naam heeft staan.

[Reactie gewijzigd door mohf op 18 september 2014 10:28]

Strict gezien heb je gelijk, maar wat jij zegt is heel erg misleidend en toont duidelijk jouw haat jegens Apple toe. Als we jouw methodiek toepassen is er geen enkele grote elektronicabedrijf die geen schandalen op hun naam heeft staan.
"Haat jegens Apple"... haal dat zelf niet uit Tiger79's post in dit topic.

Jouw reactie lijdt helaas aan een hoog fanboy-gehalte - elke vorm van kritiek op een merk wordt weggewuifd en afgedaan als 'haat'. Op die manier haal je je eigen argumentatie onderuit. Want het lijkt me zeer juist te veronderstellen dat schandalen echt niet alleen bij Apple voorkomen, maar algemeen zijn.

En de PR-machine van Apple is (zoals Tiger79 al aangeeft) nu eenmaal een hele goede, combineer dat met een bijzonder hoog gehalte een vergevingsgezindheid bij de gebruikers en dan is de cirkel weer rond.
PR machine of niet, het gaat mij als consument er uiteindelijk om of men stappen neemt om problemen op te lossen of fouten te herstellen. En dat gebeurt. Het gaat uiteindelijk echt niet werken om zaken alleen maar goed te praten. Dat houdt een bedrijf even vol, maar uiteindelijk valt men door de mand men een enorme imago schade als gevolg.
Klopt als een bus. Zo zijn er een aantal merken die bij mij niet meer in huis komen op grond van niet al te beste ervaringen uit het verleden.

Alleen is het soms jammer dat het collectieve geheugen wat kort is en de waan van de dag overheerst.
Waar jij in mijn post het hater-gehalte meent te zien is mij een raadsel om eerlijk te zijn. Ik heb namelijk net zoveel tegen apple/android als met apple/android - helemaal niets.

Dat de 'fandroids' (leuke term btw) minder vergevingsgezind zijn (volgens jou) dan die van apple doet nog steeds op geen enkele wijze af aan mijn argumentatie. Verder mis ik om eerlijk te zijn iedere onderbouwing en heb toch echt de indruk dat jij de enige bent met 'schuim op z'n bek'.

Overigens, waar jij vandaan haalt dat het niet langer omzeilen van passcodes door Apple een wens/eis van gebruikers is weet ik niet. Heb daar namelijk twijfels over.
Geen idee waarom jij een iphone hebt, maar je zult er vast gelukkig van worden als ik je posts zo lees:) Wat uiteraard heel fijn voor je is, maar waarom meen je vervolgens dat iedereen die niet de loftrompet steekt met Apple een hater is? Maar je geeft het antwoord al in je laatste zin hierboven... jouw fanatisme over iets dat uiteindelijk niet meer is dan een stuk elektronica is best bevreemdend.

Overigens en iets meer OT; als je wat meer moeite zou doen om te lezen dan zou je zien waar de geuite twijfels over gaan; die gaan niet (zoals jij wilt zien) over iets negatiefs over jouw telefoon van keuze maar eerder over jouw aanname in de vorige post dat het een eis van gebruikers betrof waarop Appel deze stap gezet heeft. Zegt dus helemaal niets over de veiligheid en privacy van jouw telefoonmerk en zoals al eerder aangegeven: ik 'haat' apple niet, apple boeit me net zo veel/weinig als andere merken. Prettig weekend alvast :)
Wederom bevestig je de eerste alinea van mijn vorige post.
Overigens is er een verschil tussen (1) iets boeit me 'niet' (dat is vrij absoluut) en (2) 'net zo veel/weinig als iets anders' (dat is relatief, dus niet absoluut).
Dat dat in jouw beleving gelijk staat aan haat is iets waar ik helaas weinig aan kan doen, behalve je erop attenderen.

Dat jij dan ineens met PRISM aan komt zetten en daar een gevolgtrekking aanhangt die je niet kunt staven met enig argument maakt jouw reactie licht bevreemdend. Maar zoals je zelf al aangaf: jouw denken is vrij absoluut (en repetitief). Met dergelijke cirkelredeneringen blijkt een zinnige uitwisseling van argumenten niet haalbaar. Vandaar dat ik er maar een einde aan maak. Desalniettemin een goed weekend gewenst.
Daarom wou ik al niet specifiek (alle) schandalen gaan opnoemen, want dan krijg je het hele goedpraten discussie blah blah blah... Daar ga ik ook even niet op in, wordt een ellenlange discussie die nergens heen leidt....
Apple-haat vul je zelf mooi in, kan je simpelweg vertellen dat je ernaast zit, ik ben objectief naar Apple('s verleden) en soortgelijken (Google, Microsoft)...
Heb je überhaupt verder gekeken dan de eerste link ?
Heeft ook in niet chinese-kranten gestaan...
Misschien vindt je dat ik geen argumenten heb, maar jij probeert het niet eens ;)
Natuurlijk kunnen ze er nog wel iets mee, als straks de NSA bij deze specifieke amerikaanse bedrijf aanklopt met de eis dat de gegevens geleverd worden, anders worden er national-security wetten overtreden dan hebben ze zeker wel een manier om het gevraagde aan te kunnen leveren.
http://www.apple.com/priv...ent-information-requests/
De fappening was ook heel strategisch zo vlak voor de nieuwe release van Apple. Daarbij zijn er meerder bronnen gebruikt, zijn de wachtwoorden achterhaald via social enginering en is er nog steeds niet bewezen dat de lek in de find my iphone api ook gebruikt is voor de fappening. Daarnaast bevatte deze alleen een woordenlijst met de xxx meest gebruikte wachtwoorden.

Icloud werd mooi in de koppen gebruikt en ik geloof ook zeker dat apple hier een tik van heeft gekregen, maar eigenlijk was het gewoon een vieze marketingstreek van een concurrent.

Op het moment dat jij iemand zijn email geheime vragen weet te raden en dus toegang hebt tot die gene zijn email dan heb je goud in handen. Kijk voor de grap maar eens hoeveel account info je in je email ontvangt.

Neemt trouwens niet weg dat ik niets opsla in icloud en of andere cloud diensten los van mijn email
Alleen is liegen als beursgenoteerd bedrijf strafbaar. Ze kunnen alles zeggen, maar ze mogen niet alles zeggen.

[Reactie gewijzigd door MarcoC op 18 september 2014 09:14]

Apple kan niet zeggen wat het wil want dat kan hen veel geld kosten. Niks gemakkelijker in de VS dan een bedrijf aanklagen en poen scheppen
Open Source is net zo betrouwbaar zij het niet betrouwbaarder dan Closed Source. Als voordeel dat iedereen de code kan inzien en verbeteren. Als nadeel dat kwaadwillenden dat ook kunnen.

Maar Closed Source heeft dat voordeel en nadeel niet. Bugs heeft het echter wel.
Ik noem maar wat -- "goto fail"
Een deel van iOS is open source (inclusief de kernel) en desondanks heeft de GotoFail bug 18 maanden in een stuk open source code gezeten die iedereen kon inkijken.

GNUTLS is open source en toch heeft een soortgelijke bug daar negen jaar (!) in gezeten.

Helaas is open source geen garantie dat dit soort zaken worden gevonden.
Apple heeft nu ook een pagina opgezet sinds gisteren die van alle producten en data aangeeft hoe het opgeslagen is, of ze er zelf bij kunnen:

http://www.apple.com/privacy/privacy-built-in/
Leuke link hier staat het volgende in:
Six stars from the Electronic Frontier Foundation

In its latest “Who Has Your Back?” report, the E.F.F. awarded Apple 6 out of 6 stars for our commitment to standing with our customers when the government seeks access to their data.
Dat is het Who Has Your Back van 2014.

Als je naar Who Has Your Back van 2013 kijkt zag het er helemaal niet zo rooskleurig uit.

Daarom vraag ik me af of puur commercieel gedreven is of idealistisch.
Ik ben bang het eerste.
Natuurlijk ben jij daar bang voor want het woordje Apple heb je moeite mee, ondanks dat die mannen er alles aan doen om het zo transparant mogelijk voor de mensen te maken.

Ze kunnen namelijk ook niets zeggen, ze zijn het aan niemand verplicht, instead, ze doen dat wel omdat ze juist van dat eeuwenoude privacy gezeik afwillen. Apple heeft er niets aan om deze statements te maken waar ze later "mogelijk" om de oren geslagen kunnen worden (in de ogen van menig tweaker hier)
Natuurlijk ben jij daar bang voor want het woordje Apple heb je moeite mee
Je kent me niet eens en je weet waar ik moeite mee heb. |:(
Om precies te zijn heb ik sowieso geen moeite met het woordje Apple.
Ze kunnen namelijk ook niets zeggen, ze zijn het aan niemand verplicht, instead, ze doen dat wel omdat ze juist van dat eeuwenoude privacy gezeik afwillen. Apple heeft er niets aan om deze statements te maken waar ze later "mogelijk" om de oren geslagen kunnen worden (in de ogen van menig tweaker hier)
Dank je voor je antwoord. Dus jij denkt ook dat het puur commercieel is.

[Reactie gewijzigd door worldcitizen op 19 september 2014 09:42]

Deze pagina's kan je bereiken door het bron-artikel uit bovenstaand aan te klikken; helaas zijn er altijd horden met lezers en gebruikers van produkten/diensten die inderdaad niet verder kijken dan "hoe gaat 'ie aan" en "wat kost een 4G abbo".
Apple maakt heel erg duidelijk wat ze als product zien en wat (of liever: wie) niet. Zie ook dit statement van Tim Cook m.b.t. de privacy policy van Apple: http://www.apple.com/privacy/
Ieder amerikaans en europees bedrijf wat data in cloudvorm bewaard heeft een reglement waar in duidelijk gemaakt wordt wat er met de data gebeurd of kan gebeuren. Dit is wettelijk verplicht en wordt vaak gepresenteerd in de vorm van een End User License Agreement of een verwijzing naar een document zoals jij ook aangeeft. Dat meer bedrijven het zouden moeten doen slaat dan ook alleen op bedrijven die er voor gekozen hebben om wettelijk gezien zich niet in de US of EU te vestigen, daar is dit een veel groter grijs gebied.
Ja dat hebben ze zo goed met iCloud aangepakt ;)
Ook leuk is om te zien dat ze steeds meer persistent identifiers weg doen. Je hebt nog wel de wettelijke zoals serienummers, ICC ID's, en IMEI, maar die zijn voor software al lang niet meer te lezen. Wat ook een leuke is, is het standaard randomizen van je WiFi MAC adres. Gewoon ingebouwd in het OS dus!

Uiteraard hebben ze bij veel dingen door marketing wat onzin bij laten zetten in de trant van "kijk ons eens innovatief zijn". Zal wel weer een discussie opleveren over wie er eerst was, maar die doet het er eigenlijk niet toe: het feit dat het er standaard in zit is gewoon een goed plan.
Zouden meer bedrijven moeten doen, duidelijk maken wat er met je data gebeurt.
Echt FANTASTISCH dat Apple dit zo communiceert. Je krijgt echt het gevoel dat het nu jouw keuze is om data wel of niet te delen door bepaalde diensten te gebruiken. Deden alle bedrijven dat inderdaad maar.

Maar Apple kan het ook, want als Google of Facebook zo'n pagina zouden maken zou iedereen meteen stoppen met hun diensten te gebruiken. Dit soort bedrijven halen juist hun bestaansrecht door hier schimmig over te blijven doen. Een beetje als de appel van sneeuwwitje, ziet er fantastisch uit van buiten maar zo rot als wat van binnen. Dat ga je natuurlijk niet vertellen!
Apple verdiend zijn geld met andere zaken dan constant je privacy te schenden daarom kunnen zij dit. Facebook en Google hun verdienmodel zit hem net in het feit dat het je privacy moeten schenden of er komt geen geld in het laatje. Als Google en Facebook deze regels allemaal moeten toepassen kunnen ze de boeken sluiten.
Wel jammer dat iMessage nog steeds geen certificate pinning optie heeft.
Ik vraag me af waarom jij dat een goeie zaak vindt, het gaat namelijk over uitlezen van in beslag genomen iDevices. Die dingen worden heus niet zomaar in beslag genomen.
Ik denk dat dat wel meevalt. De VS pakken volgens mij snel 'en passant' een mobieltje mee om deze uit te lezen. Kinderporno en terrorisme enzo.

Nu lijkt dit een stuk minder snel te kunnen...
Goed, maar dat is de VS. In België en Nederland moet je een rechtmatige basis hebben om een gsm in beslag te nemen en zeker in België heb je of toestemming van de eigenaar, of toestemming van een magistraat nodig om een toestel uit te lezen, niet zomaar dus...
Geloof je dat zelf? Als jij hier in België iets mispeuterd en men komt met een gerechtelijk bevel je computer, telefoon etc ophalen, dan hoeven ze echt niet je toestemming om alles te doorzoeken.

Dat zou pas een mooi gerechtssysteem zijn: meneer/mevrouw, we vermoeden dat u zich met illegale activiteiten inlaat, mogen we aub uw papieren, computer en telefoon bekijken? --- "nee, dat mag niet" --- OK, fijne dag verder ;-)

Wat wel vaak blijkt is dat men zich beroept op het niet moeten meewerken aan eigen veroordeling-gedoe en dus mag weigeren codes enzo te geven (hoewel me ook niet helemaal duidelijk is wanneer wel en niet), maar brute-force mogen ze het wel gewoon proberen hoor, mits gerechtelijk bevel uiteraard.
Daar zit inderdaad de nuance in.

Ze mogen de boel zonder meer in beslag nemen en door NFI de boel laten bruteforcen. lukt dat, fijn, lukt dat niet, hebben ze toch echt een probleem. Vooralsnog kan niemand jou in Nederland verplichten die decryptie sleutel te geven.

Arnoud Engelfriet had daar op security.nl een alleraardigst artikel over.
Psst. Wet computercriminaliteit III ligt bij de raad van state...
Psst. Wet computercriminaliteit III ligt bij de raad van state...
En is dus nog NIET actief. Tot die wet gepubliceerd is in de staatscourant geld dat artikel nog altijd.
Ik zei niet anders hè? :) maar binnenkort wordt de decryptieplicht vermoedelijk wél actief. Zaken gaan sneller dan dat je soms wilt...
Je zegt het zelf, ze komen je spullen halen met een gerechtelijk bevel, en dat krijgen ze niet zomaar.

Bovendien kunnen ze toestemming vragen aan een magistraat als jij de toestemming niet geeft, en die toestemming krijgen ze pas met een gegronde reden.

[Reactie gewijzigd door Deralte op 18 september 2014 09:25]

Hier in Nederland ben ik het warme gevoel met de politie en AIVD al lang en breed kwijt.

Redenen hiervoor is bijvoorbeeld het ongeoorloofd gebruik van ANPR door de politie en het onbevoegd hacken van fora door de AIVD.

Als de uitvoerende macht simpelweg lak heeft aan de regels, waarom zou ik dan later anders verwachten? Ik denk dat er veel meer gebeurt dan dat wettelijk toegestaan is...
Tja, dat is veelal ingelepeld door persberichten denk ik dan. Politiediensten in België en Nederland (politiediensten, niet de geheime diensten) zijn strikt gereglementeerd en gaan in mijn ogen zelden over de schreef. De weinige "incidenten" waarbij dat wel gebeurde (ik mag ook niet blind zijn, het is al gebeurd) worden vaak uitvergroot in de pers (proces aquino in België bvb) en doet de publieke opinie tegen de politie keren. In mijn ogen vaak onterecht. Ik denk dat wij als burgers veel te weinig horen wat de Politie in werkelijkheid voor ons betekent...
Maar ontken je daarmee dat het plaatsvind? Want dan zoek ik gerust nog even verder hoor!
Ik ontken niet dag er dingen op het randje zijn, zoals ANPR czmera's. De regelgeving daaromtrent is achtergebleven... Maar dat is een heel andere zaak. Bij gsm's uitlezen en het opvragen van retro-actief verkeer is de regelgeving behoorlijk strikt.
Dit heeft niks met facts te maken. De regelgeving is strict, men spreekt duidelijk van "misbruik". Wel, misbruik mag bestraft worden. I know for a fact dat het in België niet zomaar kan en dat telecomoperatoren zeer strict omgaan met de gegevens.
Een feit (zie bovenstaande artikel) is dus dat de uitvoerende macht zich niet houdt aan de wet.

Dít soort zaken zorgt ervoor dat ik het góed vind dat "de burger" zich gaat wapenen met mobieltjes die niet meer uit te lezen zijn door de geheime diensten.
Tja, dat is jouw mening, de mijne is anders. Ik ben de mening toegedaan dat, als er een gewettigde reden is, waar een rechter-commissaris (NL) of onderzoekrechter (BE) een bevelschrift afgeeft om een telefoon uit te lezen, deze telefoon, mits hulp van de producent, uit te lezen MOET zijn. Nee, niet telkens weer onder het mom van terrorisme of kinderporno, maar voor alle misdrijven.

Ik blijf erbij, misbruik mag wat mij betreft bestraft worden.
Je wijkt nu af van het onderwerp. Je bent niet verplicht om mee te werken aan je veroordeling. Beantwoord mijn stelling nu eens van @Deralte • 20 september 2014 11:29?
Hoezo beantwoord ik je stelling niet? Welke stelling heb je dan? Dat je een artikel vindt waarin gezegd wirdt dat er misbruik is in Nederland? Wel, ik antwoord dat misbruik bestraft moet worden. Maar, het is niet omdat er misbruik is, dat men gewettigde onderzoeksmigelijkheden onmogelijk moet maken.
De VS pakken volgens mij snel 'en passant' een mobieltje mee om deze uit te lezen.
Wat een rare opmerking. Waarom zou de VS zo maar telefoontjes van mensen afpakken. Een belachelijk idee.
Niet afpakken, maar de gegevens eraf halen...
Zo'n passcode van Apple is alleen nuttig als je de telefoon in handen hebt dus moet je hem afnemen.
Afnemen of even beethouden? In mijn geval even beethouden...
Als je hem even beet houdt, kan je dan heel snel even de Apple ID eraf scannen (?) en die naar Apple doorgegeven en direct een passcode terugkrijgen (alsof ze die zouden geven zonder gerecherlijk bevel) en daarmee de telefoon unlocken en vervolgens bijvoorbeeld en binnenkomende blue tooth koppeling accorderen ?
En toch lees ik genoeg verhalen dat op bijvoorbeeld vliegvelden mensen regelmatig hun telefoon moeten vrijgeven voor onderzoek. Ook als er geen duidelijke reden is (of wordt gegeven) om dat te doen. Protesteren heeft dan geen zin, want tja, terrorismeTM, he.
Niet zomaar, maar waarom? Ter bestrijding van terrorisme? Kinderporno? Of toch copyright-schending? Waar het gebruikt voor zal worden is niet te voorspellen, maar je kunt er zeker van zijn dat als de mogelijkheid er is, er misbruik van gemaakt zal worden.

Het betekent nu gewoon dat, net zo goed als ze dat voor een in beslag genomen brandkast zouden moeten doen, ze de code/encryptie van de iDevice moeten kraken. En terecht, het moet niet te makkelijk zijn.
Hoeveel mensen ken jij wiens gsm in België en/of Nederland, voor de redenen die jij noemt, in beslag genomen werd? Ik niet veel. Het gaat hier niet om het vanop afstand uiylezen van een toestel, het gaat om in beslag genomen toestellen.
Jij gaat er blijkbaar van uit dat terrorisme en kinderporno altijd misbruikt worden als reden voor de inbeslagname van een telefoon, niet dus. Telefoons van criminele organisaties bevatten vaak een schat aan informatie om de organisatie in kaart te brengen (bvb drugbendes, rondtrekkende dadergroeperingen, enz). Zonde dus dat de opsporingsdiensten er niet meer bij kunnen.
Die hebben nog wel andere manieren hoor. Veiligheidsdiensten hebben zeker hun nut en dat wordt heus niet minder en zeker niet onmogelijk vanwege deze beveiliging. Ik ben blij dat dat data van iPhones nu (schijnbaar) beter beschermd is. Je data moet altijd goed beschermd zijn, als principe. En echt niet alleen voor het geval dat hij in beslag genomen wordt.
Je data moet altijd goed beschermd zijn, als principe. En echt niet alleen voor het geval dat hij in beslag genomen wordt.
Je data was toch ook in de oude situatie goed genoeg beschermd.
Alleen Apple had een unlock voor situaties waarbij dat echt nodig was.
Alleen kan apple zonder tussenkomst van een rechter gedwongen worden die codes te overhandigen en daarover te zwijgen.
Dat is niet correct.
De enige gegevens die opgevraagd kunnen worden zonder gerechterlijk bevel zijn 'business records' zoals account gegevens en inlogtijden en IP adressen voor bijvoorbeeld de iCloud.
Ik kan me goed voorstellen dat een code voor het unlocken van een device onder 'business records' kan worden geschaard.
Maar in de basis lijk je wel gelijk te hebben.
Jij gaat er blijkbaar van uit dat terrorisme en kinderporno altijd misbruikt worden als reden voor de inbeslagname van een telefoon, niet dus.
Uhm....de NSA / overheid hebben altijd als belangrijkste reden voor het surveillanceprogramma aangegeven 'terrorismebestrijding'. Maar als de feiten die Snowden naar voren brengt kloppen (en ik denk van wel) dan zijn er voldoende gevallen al genoemd die niet onder het kopje van terrorisme zouden vallen. Denk daarbij aan bijvoorbeeld het afluisteren van Merkel.
Dus ja, het zal niet altijd gebruikt worden, maar het is wel een prachtige kapstok waaraan opsporingsdiensten heel makkelijk iets op kunnen hangen. Ook als later blijkt dat er niets met betrekking tot terrorisme is gevonden.
Nogmaals, dit gaat om een situatie waarbij de telefoon in beslag genomen is door een politiedienst. Het heeft geen ruk met afluisteren te maken.
Tja, ik haalde de afluisterpaktijken van geheime diensten er alleen bij om aan te geven dat zij het begrip 'terrorisme' misbruik(t)en om te pas en vooral te onpas gegevens te stelen. Helaas ligt het voor de hand dat 'gewone' opsporingsdiensten (zoals politie, douane) dat argument ook (gaan) misbruiken om overal toegang tot te eisen.

Even verder lezen dan de eerste drie zinnen dus. En normaal taalgebruik is ook geen overbodige luxe....
Halfweg je post spreek je van "het afluisteren van Merkel".

Nu, ik heb nog nooit gehoord van misbruik van de term "terrorisme" door een gewone politiedienst. Waarom niet? Wel, ze hebben voldoende strafbare feiten ter beschikking die het uitlezen van een GSM toestel rechtvaardigen. De drugwetgeving is er zo eentje.

Het is belachelijk om telkens weer te zeggen dat de politiediensten telkens kinderporno en terreur misbruiken, de NSA misschien wel, maar de politie bij jou om de hoek? Ik denk het niet.
Zonde dus dat de opsporingsdiensten er niet meer bij kunnen.
Je bent als verdachte hoe dan ook niet verplicht aan je eigen veroordeling mee te werken. Dat is een zeer fundamenteel recht van onze rechtstaat, ik geloof wel dat Opstelten daaraan probeert te tornen (zoals de Britten ook al deden, met een wet die het verplicht maakt de decryptiekey te geven), maar of dat grondwettelijke toetsing doorstaan zal, is de vraag.
Tuurlijk, je bent niet verplicht mee te werken. Apple was dat, mits gerechtelijk bevel, wel verplicht.
De wereld is groter dan ons eigen kikkerlandje. :O
De wereld is groter dan ons eigen kikkerlandje. :O
Maar voor ons, wij die hier wonen, gelden ONZE wetten.
Er zijn natuurlijk meer manieren om een telefoon te ontgrendelen behalve dan aan Apple te vragen of ze de sleutel willen geven.
het gaat namelijk over uitlezen van in beslag genomen iDevices. Die dingen worden heus niet zomaar in beslag genomen
Het kan ook gaan om gevonden devices tijdens een onderzoek.
Denk aan de telefoons van de omgekomen meisjes in Panama of slachtoffers van misdrijven waarbij de telefoon een aanwijzing kan bieden in de identificatie of om te zien met wie er voor het misdrijf contact is geweest.

Het is mij ook vrij onduidelijk wat er zo positief zou zijn aan dit nieuws. Het heeft vrijwel nul voordelen voor privacy maar wel veel nadelen voor bijvoorbeeld opsporingsdiensten.

[Reactie gewijzigd door 80466 op 18 september 2014 09:48]

Denk aan de telefoons van de omgekomen meisjes in Panama of slachtoffers van misdrijven waarbij de telefoon een aanwijzing kan bieden in de identificatie of om te zien met wie er voor het misdrijf contact is geweest.
Behalve dan dat de telco's al jaren precies kunnen zien wie wanneer met wie heeft gecommuniceert. Buiten dat zijn er allerlei diensten op het telefoonnetwerk internet die dit soort gegevens bijhouden en opslaan. Er is geen enkele reden om de data in een device in te zien om te weten met wie er gecommuniceerd was.
Behalve dan dat de telco's al jaren precies kunnen zien wie wanneer met wie heeft gecommuniceert
Klopt maar dat zijn hele andere gegevens die onderdeel van het bedrijfproces zijn van de telco en dus centraal opgeslagen op diens servers en deels ook onderdeel van de bewaarplicht zodat ze veel makkelijker opvraagbaar zijn.

Op zich is daar zeker veel meer potentieel voor privacy schending dan bij de passcodes van Apple. Maar daar is dus door de overheid juist bewust gekozen om een beppaalde beperkte privacy schending te accepteren voor opsporingsdoeleinden.

[Reactie gewijzigd door 80466 op 18 september 2014 14:19]

Maar dan zeg je dus dat het onderzoeken van de inhoud van een device niet nodig is om te achterhalen wie wanneer met wie heeft gecommuniceert.
Dat is dus alsnog geen goede reden om je device niet te beschermen.

Waarom zou ik uberhaupt mijn persoonlijke data niet mogen beschermen vanwege gevallen als de twee teenagers die zo gek waren om ergens in een schimmig en corrupt land in the middle of nowhere te gaan rondtrekken?
Lijkt me nogal doorgetrokken gevoel van zieligheid. De wereld is nou eenmaal hard. Het is dan niet verstandig om je privacy weg te geven vanwege een incident.
Yup kan in beslag genomen worden omdat je van mening verschilt met de leiders van je land. De wereld is groter dan jouw woonplaats natuurlijk.
Yup kan in beslag genomen worden omdat je van mening verschilt met de leiders van je land.
En dat land gaat dan naar Apple met die telefoon om hem te laten unlocken.
Ja, dat klinkt heel logisch
Waarom niet? Al ooit van China gehoord?
Dit betekend gewoon dat Apple geen support mankracht meer hoeft te verdoen voor overheden.. die ontwikkelen hun eigen tool/methode. Een kostenbesparing en PR boost, maar er veranderd niet veel natuurlijk.. wie vastbesloten een fysieke datadrager van consumenten kwaliteit wil lezen gaat dat gewoon lukken.
Goede zaak; realistisch gezien ja, maar principieel en moralistisch gezien blijft het belachelijk dat wij ons zo moeten beschermen tegen de/onze overheid. Slaat helemaal nergens meer op

We mogen dat niet vergeten, dat die overheid te ver gaat en dat dit helemaal niet de oplossing hoort te zijn. De overheid hoort haar gedrag aan te passen en zich niet als een dief te gedragen.

Die overheid zijn wij en nogmaals goede zaak van de kant van de producent, maar wij moeten ook eens een keer een giga flinke mep uitdelen aan politici die het huidige gedrag van de overheid elke keer ondersteunen, verdedigen of zelfs willen uitbreiden.

Vergeet hun argumenten want die waren al waardeloos en dat wordt door dit soort oplossingen bewezen. Omdat ze te gretig zijn en zich compleet misdragen is er nu een inflatoire strijd aan de gang waardoor die zogenaamde veiligheid en dergelijke nog verder van huis liggen.

Zij moeten anders gaan denken en daar moeten wij hun bij helpen, maar ook hun eens uitleggen wat principes zijn door een keiharde mep uit te delen in het stemhokje en met zijn allen ook niet zo hysterisch reageren op incidenten en bij het minste of geringste meteen blerren om die overheid.
En wat is precies het verschil met je kinderporno/terreurplannen op je desktop in een goed opensource cryptoprogramma zetten? Ook daar zit geen backdoor in (want het is opensource dus iedereen heeft dat gecontroleerd, toch) en daar hoef je zelf ook niet de sleutel voor af te staan.
Los van het feit of daar wel of geen backdoors inzitten, daar kan je nog met brute force eventueel inkomen. Genoeg rekenkracht bij de nodige instanties. Bij een iPhone kan je niet ongelimiteerd een pincode proberen, omdat deze dan de telefoon leeg trekt (kan je instellen).
En een inbraakbeveiliging bestaat niet bij andere encryptietools? (Ja, dat bestaat ook)
Het zal zeker bestaan, maar nog een optie om dit te doen, hebben we niet nodig. We maken het makkelijk voor de echte foute lui
De echt foute lui hebben het al lang.

Minder 'foute lui' zijn nu wel beter beschermt. Iets als homosexualiteit wordt in grote delen van de wereld als heel erg fout gezien. Die kunnen zich nu wel makkelijker beschermen.
Je neemt aan dat bepaalde instanties wel genoeg rekenkracht hebben om een encrypted file te kunnen bruteforcen maar niet een manier hebben om ongelimiteerd pincodes te proberen.

Ik denk dat dat laatste toch echt makkelijker te realiseren is dan het eerste.
de Iphone kan je zo instellen dat je niet ongelimiteerd pincodes kan proberen, deze wipet dan je iPhone en zijn alle bestanden (en dus bewijsmateriaal weg)
Weet niet precies waarom je net op -1 stond maar je hebt (ietwat ongenuanceerd) wel een goed punt. Zolang je je nieuwe iOS-device niet aan de cloud hangt, kan je inderdaad erg veel data erop kwijt die schadelijk kan zijn voor anderen (individuen/overheden). En aangezien je in bijna alle landen ter wereld niet hoeft mee te werken aan je eigen veroordeling, is er dus ook geen voorziening dat je als "verdachte" je device moet unlocken om aan te tonen dat er geen snode plannen/documenten op staan.
En aangezien je in bijna alle landen ter wereld niet hoeft mee te werken aan je eigen veroordeling, is er dus ook geen voorziening dat je als "verdachte" je device moet unlocken om aan te tonen dat er geen snode plannen/documenten op staan.
Toch zou ik een beetje oppassen. Want het is dichterbij dan je denkt. In Engeland kunnen ze je vriendelijk vragen om jouw apparaat te 'ontsleutelen'. Meewerken hoeft niet, maar kost je mogelijk 2 tot 5 jaar cel. Hoezo, 'meewerken hoeft niet'?
Er is dus geen plicht om toegang te verlenen...

Bron: https://www.security.nl/p...+afstaan+encryptiesleutel
Yup, dat is principieel vergelijkbaar met de winterbanden in Duitsland. Het moet niet (wettelijk gezien) maar als je ze niet hebt in de winter en je rijdt tegen iets/iemand aan dan heb je een groot probleem.

Soort van gedwongen vrijwillig zeg maar...
Als je iPhone aan de iCloud hangt, kan je nog steeds instellen om je foto's niet automatisch te updaten naar de ICloud toe. En ik weet het is ongenuanceerd. Daarbij kan je instellen dat na 10 pogingen, je iPhone gewiped wordt, dus kunnen ze al helemaal niks meer vinden.
Mag hopen dat je dit grappig bedoeld maar zelf dan is het misplaatst
Het was sarcasme ja, maar wel om te laten zien wat het gevaar is van zo'n optie. Ik ben natuurlijk fel tegen kinderporno.
Ik vind het persoonlijk kwalijker dat Apple de gegevens in iCloud wel kan decrypten. Voor mij is dat 1 van de dingen die ik belangrijk vind bij een clouddienst, dat de medewerkers niet ook zomaar bij mijn gegevens kunnen. Erg jammer. Zwaktebod van Apple overigens dat ze aangeven de lokale gegevens niet te 'kunnen' decrypten. Als ze het nou meer als een feature hadden gebracht zou dit punten scoren.

Hmm in het artikel staat dat dit ook geldt voor andere clouddiensten, maar dat lijkt mij niet juist. Ik heb flink wat gegevens bij Crashplan staan bijvoorbeeld, maar ik meen dat dat enkel gedecrypt kan worden met de key van de user.

[Reactie gewijzigd door Boobybandit op 18 september 2014 08:02]

Ik vind het persoonlijk kwalijker dat Apple de gegevens in iCloud wel kan decrypten.
Even afgezien van de wenselijkheid van privacy; alle data die jij elders opslaat op media die niet onder jouw beheer zijn, is toch uiteindelijk "openbaar" te krijgen? Uiteindelijk zal de eigenaar van die media (server, HDD, whatever) bijna 100% mogelijkheid hebben om willens en wetens jouw data te kunnen uitlezen / kopieren / verplaatsen/ etc.

Een beetje de situatie binnen een gemiddeld bedrijf; een hoge piet vraagt een share aan op server A en daar mogen allen de hoge pieten en 1 secretaresse bij. Maar ondertussen "vergeet" iedereen dat zowel de admins alsmede enkele backup-agents by default ook altijd die data kunnen inzien (de wenselijkheid even daargelaten).
Ook die admins kunnen weinig zien als je client-Side de encryptie regelt...
Client-side encryptie in een bedrijfsomgeving? Tenzij je ZZP'er bent, is er volgens mij een corporate verplichting om bepaalde documenten altijd inzichtelijk te maken, ook op het moment dat hoge piet A niet in het pand is of als zijn/haar device defect is. Neemt natuurlijk ook niet weg dat het device ook van de zaak is, dat een device defect kan gaan en bijna niemand na een jaar zijn private key (voor bepaalde apps) nog weet etc.

Als je kijkt naar goede business continuity en disaster recovery, zal je pas merken hoe "unsecure" de infra eigenlijk zou moeten zijn om bij een grote ramp (hele raad van commissarissen stort neer ofzo) direct de documenten & verantwoordelijkheden over te moeten kunnen dragen aan (interim-)opvolgers. Of bij een inval van de FIOD of iets dergelijks, ben je ook verplicht om binnen tijd X een bepaalde stapel documenten (analoog of digitaal) leesbaar over te kunnen dragen; gaat natuurlijk ook niet werken als de hoge pieten op vakantie zijn.
Crashplan wellicht niet, maar Google drive is vergelijkbaar met iCloud. En hoe wil jij via je browser bij je documenten kunnen als alles gecrypt is?
Ze kunnen er ook niet zómaar bij. Maar in het geval van een dwangbevel zal er iemand bij de kluis kunnen om de master key te gebruiken.
Iets zegt me dat als Tim Cook in een dronken bui zijn passcode van zijn iPhone verandert, de volgende dag niet meer weet wat de passcode is en op werk de telefoon boos bij zijn secretaresse neergooit, dat 'ie in de loop van de dag ineens weer een werkende telefoon terugkrijgt.
Unlike our competitors, Apple cannot bypass your passcode and therefore cannot access this data.
Dit is wel een interessant iets; het is dus mogelijk dat alle passcodes van non-modded Android-devices, Symbian-devices, WindowsPhone-devices en ook alle iOS7 en lager devices wel door de fabrikant worden omzeild? En zo ja, kan het zijn dat ik hier wat nieuwsberichten over gemist heb?
Dat van Tim Cook klinkt grappig maar is natuurlijk waar. Wat als je je passcode vergeten bent? Hele toestel resetten (via itunes)?
Resetten en backup terugzetten. Als je harde schijf een headcrash oploopt en je geen backup hebt, heb je toch ook gewoon pech? Zelfde als met een telefoon..

Dat is het mooie van Apple. Time Machine net zo. Gaat je iMac/Macbook stuk? Haal een vervangende en restore alles zoals het max. een uur geleden was. Desnoods haal je je schijf uit je Macbook en hang je die extern aan je iMac en boot je daar vandaan om verder te werken totdat je een nieuwe Macbook hebt. Easy as pie.

[Reactie gewijzigd door DigitalExcorcist op 18 september 2014 08:22]

Ja. Maar dat was voor iOS 8 ook al de enige manier voor consumenten.
Dan inderdaad een backup terugzetten die encrypted is met je Apple ID. Niks mis mee toch?
die telefoons zullen wel naar een aparte server back-ups :) denk je niet..

als zijn device stuk gaat zal deze netjes een back-up terug te halen zijn..

Mijn iphone gaat stuk? hmm koop een nieuwe en download de laatste iCloud back-up.. en niets meer aan de hand!!
die telefoons zullen wel naar een aparte server back-ups :) denk je niet..
Ik gok dat zijn iphone ook uitgerold is via apple IT, met een apple corporate profile. Ik weet het niet geheel zeker (alweer een tijdje gelden dat ik daarmee heb gespeeld), maar volgens mij kan de sysadmin dan altijd nog een nieuw password forceren en pushen naar het toestel. En kan Tim weer vrolijk verder.
Iets zegt me dat Tim Cook iTunes gebruikt en op die manier zijn telefoon dan zal unlocken
Zo lang het besturingssysteem niet open source is, blijft het vertrouwen op de mooie blauwe ogen van Apple, hoewel ze er natuurlijk geen belang bij hebben dat later zou uitkomen dat het tóch lekt.

Met dat in het achterhoofd maakt dit iOS apparaten opeens véél interessanter voor de privacy-bewuste consument. Zeker op een moment waarop Google in de tegengestelde richting gaat.

Dan blijft voor mij de vendor-lockin als grootste bezwaar over. Ook is Apple voor mijn Linux/FreeBSD use-case scenario (en dat van mijn familie) een weinig interessante optie omdat Apple gewoon nul ondersteuning biedt voor deze besturingssystemen.

Maar privacy is nu een intteressant selling point geworden en daarop zal de concurrentie hopelijk blijven groeien in een post-Snowden wereld.

[Reactie gewijzigd door Q-collective op 18 september 2014 09:14]

Dus dat betekend dat je blindelings opensource producten wel vertrouwd? Na het fiasco van openSSL zou ik juist bij elk OS (of security implementaties) niet zomaar ergens vanuit dat het veilig is.

Dat ze Linux niet ondersteunen komt voornamelijk door het lage markaandeel. Je kunt anders prima je IOS device op een Windows machine aansluiten.

[Reactie gewijzigd door vali op 18 september 2014 09:42]

Dat kan inderdaad. Na vele jaren snappen ze echter nog steeds niks van de MS guidelines en pleuren ze de iTunes backups en veel van z'n data nog steeds in het roaming deel van het profiel. Echt fantastisch in zakelijke omgevingen.

En mensen zich maar afvragen waarom het aanmelden 20 minuten duurt en de server volloopt met hun 55GB aan iPhone/iPad backups in het roaming profile.

Over het 'prima' deel verschillen we dus aanzienlijk van mening ;).
Wat heeft een iTunes backup welke de meeste gewoon in de cloud zullen doen, nou met dit hele verhaal te maken? Nog steeds kan het prima.
Het geeft aanzienlijk de mate aan waarin ze problematiek op andere platformen (leet niet-Apple) serieus nemen.
Dat ze Linux niet ondersteunen komt voornamelijk door het lage markaandeel. Je kunt anders prima je IOS device op een Windows machine aansluiten.
Ze ondersteunen het dus wel op windows - maar vrij beroerd. Zelfs een regeltje toevoegen dat je zelf het opslag pad kan kiezen in de opties is al meer dan 5 jaar te veel moeite voor ze.
Dat heb ik niet gezegd. Maar open source betekent wel dat veel ogen er naar de code kijken. Dat dat geen garantie is dat er nooit blunders worden gemaakt is daarmee niet gezegd. Wel dat er in ieder geval de mogelijkheid bestaat dat er fouten worden gezien en dat daarmee de veiligheid gemiddeld genomen veel beter wordt behandeld. Dit is gestaafd met grote aantallen onderzoeken, doe een google search als je je er wat in wilt verdiepen.

Dat ik dit moet uitleggen op Tweakers had ik niet verwacht eigenlijk.
De voordelen die jij hier opnoemt zijn inderdaad (bij mij natuurlijk)ook bekent, ik maak alleen de opmerking dat men te snel vanuit gaat dat het bij opensource minder blunders worden gemaakt. Dit omdat, net als jij aanhaalt, "er meer ogen naar de code kijken".
Zo lang het besturingssysteem niet open source is, blijft het vertrouwen op de mooie blauwe ogen van Apple, hoewel ze er natuurlijk geen belang bij hebben dat later zou uitkomen dat het tóch lekt.
Het ene ruild het andere in. Zolang jij niet zelf de miljoenen code van een OS kan lezen, vertrouw jij de communitie. Natuurlijk is het persoonlijke kwestie waar je veiliger bij voelt.
dat linux een kleine marktaandeel heeft is juist fout - de ICT bestaat niet alleen in Nederland. In Bulgarije bijvoorbeeld kom je heeeeel zelden een Windows server voor wat dan ook. Dat de meeste nederlandse gebruikers voor een andere OS kiezen heeft niks te zeggen.
Tweede punt is dat opensource vaak ook gratis te verkrijgen is. Daardoor kun je vanuit gaan dat ze de software bouwen die niet bedoeld is om winst te maken maar juist de beste aan de gebruiker te kunnen geven. Natuurlijk zitten er fouten in... net als bij Microsoft en alle anderen.
De privacy bewuste consument weet al langer dan vandaag dat Apple zijn geld met hardware verdient en niet met het schenden van privacy zoals hun concurrent. Privacy is net een reden waarom ik nooit nog Android in huis zal halen.
Alsof het niet mogelijk is eventjes alle mogelijke combinaties langs te gaan met een supercomputer.

Een 4-12 cijferige code is niet zo moeilijk om te kraken. Ik zelf zit met een 6 cijferige code. En dus +-100000 mogelijkheden. Ik gok dus ook max een minuut voordat het gekraakt zou zijn.
Als je dat niet voldoende vindt dan kan je er natuurlijk ook voor kiezen om grotere wachtwoorden te gebruiken, je hoeft niet alleen cijfers te gebruiken, in de instellingen kan je aangeven dat je de mogelijkheid wilt hebben om een volledig wachtwoordt wilt gebruiken inclusief cijfers, letters, vreemde tekens etc tot weet ik al niet hoelang.

Je bent er dus zelf bij, als je data erop hebt staan die je heel belangrijk vindt dat dat geheim blijft moet je dus er ook voor zorgen dat je je verdiept in hoe je de beveiliging met de pincode kan omzetten in een wachtwoord die veel complexer is.

Dit is geen zwakte, dit is een keuze. Aanpassen wachtwoord mogelijkheid van pin naar volledig wachtwoord:

Settings -> Touch ID & Passcode -> Simple Passcode op uit zetten.

[Reactie gewijzigd door ronaldmathies op 18 september 2014 09:10]

Dan moet je een langer wachtwoord instellen (en eventueel je vingerafdruk als 'sneltoets' gebruiken... ;) )
heb je niet ingesteld dat hij na 10 pogingen gewiped word? dan word het al een stuk lastiger
Het blijft software. Apple kan OTA naar één toestel nieuwe software sturen die er automatisch opkomt waarna bv. een brute-force niet tegengewerkt wordt.

Of je bouwt een "interface" waar je printplaat instopt die hetzelfde probeert rechtstreeks op de chip. Apple kan hier makkelijk bij assisteren door specs te verschaffen. Alleen kunnen ze dan nu achteraf claimen dat ze niet rechtstreeks geholpen hebben om een toestel te ontgrendelen.
Het blijft software. Apple kan OTA naar één toestel nieuwe software sturen die er automatisch opkomt waarna bv. een brute-force niet tegengewerkt wordt.
Dat is iets wat wel zal gebeuren in het voortraject tot inbeslagname, op het moment dat $TLA een onderzoek naar iemand start zullen ze dit soort malware proberen te installeren. Maar op een in beslag genomen toestel met afdoende beveiliging zal niet meer op een netwerk komen indien deze uitgegegaan is
Het blijft software. Apple kan OTA naar één toestel nieuwe software sturen die er automatisch opkomt waarna bv. een brute-force niet tegengewerkt wordt
iOS devices installeren nooit automatisch een update, daar zit de gebruiker nog altijd tussen. Dan zouden ze een specifiek device een specifieke update moeten geven, temidden van een algemene update. (bijvoorbeeld iOS 8.0.1)
Is gewoon een propagandastukje Reclamespotje (veranderd voor Okselfris) na "the Fappening" om het consumentenvertrouwen weer een boost te geven vlak voor een nieuwe Iphone release (pre-orders zijn al Apple fanatics).
Of dit vanuit de aandeelhouders is afgedwongen of vanuit Apple zelf komt is een tweede.

Verder vrij vreemd dat ze wel nog bij de clouddata kunnen maar niet bij het toestel zelf (alhoewel dat ook een wassen neus is natuurlijk want alles is te kraken, zeker als je alle benodigde data in handen hebt).

[Reactie gewijzigd door Blazing-Studios op 18 september 2014 14:26]

Propaganda is zwaar overdreven, hiermee suggereer je dat de berichtgeving onwaarheden bevat.
Apple heeft de laatste jaren privacy en bescherming van je gegevens steeds centraler gezet, dat zie je terug in hun producten als IOS en is beslist niet iets nieuws van de laatste maand.
Het is niet raar dat men dit als PR naar buiten brengt omdat dit een element is waar zij zich duidelijk onderscheiden van hun grote concurrent.
En natuurlijk proberen ze zo het vertrouwen weer wat te herstellen en ergens hebben ze ook wel recht daar toe. De media bracht het foto schandaal naar buiten als een grote iCloud hack en dat is zwaar overtrokken, helemaal als je ziet dat er ook foto's uit andere bronnen zijn gepubliceerd.
Enige nuance is dus op zijn plaats.
Er stonden laatst ook allemaal gmail account gegevens online, maar dat betekent nog niet dat Google gehackt is.

Dat men bij de cloud data kan is niet zo vreemd gezien dit ongetwijfeld nodig zal zijn om je bepaalde diensten aan te kunnen bieden. Betekent nog niet dat men op een maandag morgen in de boardroom een willekeurige fotostream van een klant zit te bekijken.

Alles is uiteindelijk te hacken, maar je kan het wel zo moeilijk mogelijk maken. Het is dus geen wassen neus, het is beter dan er helemaal niks aan doen en de schouders op te halen onder de mom van " het is toch te kraken, dus waarom die moeite"
Even kijken naar Wikipedia en ja hoor het gebruik van de term propaganda is wel degelijk correct (Propaganda kenmerkt zich vaak door het systematisch geven van eenzijdige informatie, die al dan niet (deels) onwaar is, waarbij selectief bepaalde feiten worden benadrukt en andere bewust achterwege worden gelaten.) zij het misschien enigszins hard/overdreven klinkend ;)
Eh en dat is dus exact wat ik zeg, zie de eerste regel. Er wordt volgens mij niks door Apple achtergehouden of verdraaid etc. Je vergeet overigens een ander stukje uit het artikel over commerciële bedrijven uit Wiki mee te nemen. ;)

[Reactie gewijzigd door OkselFris op 18 september 2014 14:29]

Kan hier wel een hele wiki posten maar daar is T.net niet voor bedoeld (en daarom heb ik de link gepost).

Betekenis van "Al dan niet" is wel of niet (dus irrelevant) overigens dus taaltechnisch gezien nog steeds correct.
Maar ik heb een aanpassing gedaan voor jou :)
Het bedrijf beklemtoont in ieder geval dat het nooit een backdoor in een product of dienst heeft ingebouwd voor een overheid, en dat het dat ook nooit zal doen. Het bedrijf werd daar wel van beschuldigd.
Euhm.
Anders dan bij vorige iOS-versies kan Apple de passcode van een iPhone of iPad met iOS 8 niet meer omzeilen. Daardoor kan het bedrijf de opsporingsdiensten niet langer op verzoek toegang geven tot inbeslaggenomen iPhones.
Klinkt mij toch als een backdoor?
Dat ze het kunnen decryptemn is geen backdoor, een backdoor is dat derden bij de data kunnen zonder Apple erbij te betrekken of zonder het medeweten van een andere partij dan de onderzoekende partij. Dit maakt het mogelijk om zonder gerechtelijk bevel de data uit te lezen. Als je het via Apple moet doen dan vereist dat een gerechtelijk bevel.

[Reactie gewijzigd door ronaldmathies op 18 september 2014 08:35]

Dat is niet de definitie van een backdoor. Een backdoor is een manier om jezelf toegang te verschaffen tot een systeem waarbij de normale manier van authenticatie (wachtwoord/ encryptiesleutel) wordt omzeild. Of dat nou Apple of een overheidsdienst is maakt niet uit. Er kan worden ingebroken in een systeem zonder medeweten van de eigenaar van dat systeem, dus het is een backdoor.
In dit geval kan er eigenlijk niet worden ingebroken zonder medeweten van de eigenaar omdat het toestel fysiek moet worden overgedragen aan een opsporingsdienst.
Grappig, dat Apple wellicht gelogen heeft over encryptie in de voorgaande iOS versies. Apple beweerde altijd al dat er encryptie aan de hand van de passcode werd toegepast, maar dat is er dus pas sinds iOS 8.

[Reactie gewijzigd door Trommelrem op 18 september 2014 09:17]

Grappig, dat Apple wellicht gelogen heeft over encryptie in de voorgaande iOS versies. Apple beweerde altijd al dat er encryptie aan de hand van de passcode werd toegepast, maar dat is er dus pas sinds iOS 8.
Die encryptie was er altijd, alleen had Apple TOEN een mastercode/key waarmee ze de boel konden decrypten als daar een gerechtelijk bevel voor was.

In iOS 8 is dat aangepast, de decryptie key is niet meer bekend bij Apple (er is geen masterkey, net zoals bij iMessage).
Maar ook destijds kon je de passcode gewoon (als user) omzeilen. Bij iedere major versie was die simpele omzeiltruuk er weer en bij de minor versies was die truuk weer disabled. Je zou toch minstens verwachten dat er een 128-karakter wachtwoord in combinatie met een certificaat als masterkey wordt gebruikt in plaats van een simpele vingerswype.

[Reactie gewijzigd door Trommelrem op 18 september 2014 12:15]

Ik vraag me wel af hoe de data beschermd wordt voor een dergelijke aanval: http://www.extremetech.co...ow-to-protect-your-iphone

Als je direct de encryptie-chip aanspreekt, kan je op een aardig tempo pin-codes / wachtwoorden proberen. (80ms per wachtwoord; https://www.documentcloud...rity-guide-sept-2014.html pagina 11).

Dit zou in houden dat een 4 cijferige pincode (iets wat naar mijn schatting 90% van de gebruikers heeft) binnen 15 minuten te kraken is. Wat betekent dat dit totaal geen extra beveiliging biedt zodra de telefoon in handen is van een verkeerde partij.
Bij een aantal keer foutief invoeren moet je langer wachten voor je het weer kan proberen. Ipod van schoonzusje was 5347 dagen geblokkeerd nadat moeder had geprobeerd op de ipod touch te komen :p
Ik verwacht dat dit eerder door het OS dan door de encryptie-chip geregeld wordt. Maar wie weet, kan er zo snel niks over vinden. ;(

edit (meer info gelezen op https://www.documentcloud...rity-guide-sept-2014.html):

De berekening van Apple zelf zeggen dat het brute-forcen van een lower-case + digits wachtwoord van 6 characters 5.5 jaar duurt:

36^6*0.08/60/60/24/365 ~= 5.5 jaar

Hierbij is er dus geen sprake van een pauze tussen het invoeren. Dit lijkt dus in het OS zelf te zitten.

Bij iPhones met een A7 chip (iPhone 5S of later) wordt er echter op de chip zelf een 5 sec delay tussen elke foute poging ingebouwd.

Het lijkt er dus op dat tot de 5S, iPhones kwetsbaar blijven voor de http://www.extremetech.co...ow-to-protect-your-iphone aanval, mits er gebruik gemaakt wordt van een slecht wachtwoord of 4 cijferige pincode.

[Reactie gewijzigd door svane op 19 september 2014 01:47]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True