Experts: Apple kan technisch aan FBI-verzoek voldoen
Apple kan technisch gezien aan het verzoek van de FBI voldoen om firmware te ontwikkelen waarmee de Amerikaanse opsporingsdienst toegang tot een vergrendelde iPhone kan krijgen, zo laten verschillende experts weten. Een Amerikaanse rechter oordeelde deze week dat Apple de FBI moet helpen om toegang te krijgen tot een iPhone van één van de schutters die bij een schietpartij in San Bernardino was betrokken.
Volgens beveiligingsexpert Jonathan Zdziarski beschikt Apple over de mogelijkheid om firmware te signeren en zijn ze de enige die zelfgemaakte software op de iPhone kan laden zonder dat het toestel hiervoor moet worden gehackt. Om brute force-aanvallen op de passcode van gebruikers te voorkomen heeft Apple een vertraging ingebouwd. Bij de nieuwe A7-chips is deze vertraging aan de "Secure Enclave" toegevoegd, wat een coprocessor is en zelfs niet door Apple zou kunnen worden aangepast.
De iPhone 5c beschikt niet over de A7-chip. Op deze toestellen wordt de vertraging softwarematig uitgevoerd en kan dus worden uitgeschakeld, zo stelt Zdziarski. Hetzelfde geldt voor het mechanisme dat alle informatie bij 10 verkeerde inlogpogingen wist. Ook dit gebeurt softwarematig en kan dus worden uitgeschakeld. "Apple kan op een technisch niveau aan het gerechtelijk bevel voldoen om de pincode van een iPhone 5c via brute force te achterhalen", aldus de expert.
Secure Enclave
Ook beveiligingsexpert Dan Guido van Trail of Bits stelt dat Apple aan het bevel van de rechter kan voldoen, aangezien dit technisch haalbaar is. Volgens Guido kan Apple ook de firmware van Secure Enclave updaten en zo de vertraging tussen het invoeren van passcodes en het automatisch wissen bij verkeerde inlogpogingen uitschakelen. In het geval de iPhone niet over een Secure Enclave beschikt, dan zou een firmware-update voor iOS voldoende zijn om de eerder genoemde beveiligingsmaatregelen uit te schakelen.
De iPhone in kwestie is een iPhone 5c en beschikt zoals gezegd niet over een Secure Enclave. "De Secure Enclave is geen reden tot zorg. Bijna alle passcode-beveiligingen zijn softwarematig binnen iOS geregeld en kunnen door een enkele firmware-update worden vervangen", stelt Guido. Ook hij komt tot de conclusie dat het "technisch haalbaar" is voor Apple om aan alle verzoeken van de FBI te voldoen. Om misbruik te voorkomen zou Apple de firmware-update kunnen beveiligen zodat die alleen op de iPhone van de schutter werkt. Daarnaast zou Apple zelf de recovery moeten uitvoeren, zodat de firmware niet met de FBI wordt gedeeld. Apple heeft al aangegeven tegen het bevel van de rechter in beroep te gaan.
Ja, mogelijk staat er interessante info in zo'n toestel die handlangers kunnen blootleggen, etc. Maar technisch volgens mij helemaal niet nodig om verder iets te bewijzen. En ja, de politie moet niet janken dat die mensen nu niet verhoord kunnen worden, ze hebben immers deze mensen zelf doodgeschoten.
Hoe dan ook, als nu in hoger beroep wordt besloten dat dit verzoek toch niet rechtmatig is, dan kan de politie dit type bewijsvergaring voortaan dus vergeten. In juist in deze case is naar mijn inziens dat bewijs ook helemaal niet nodig, zie eerste alinea.
Tuurlijk joh! Waar de FBI na maanden proberen nog steeds niet uitkomt, dat lukt jou in een minuut. Anyway - als slimmerd die je bent, dan heb je vast je 'vindersloon' al geïncasseerd: https://www.zerodium.com/ios9.html:
The Million Dollar iOS 9 Bug Bounty is tailored for experienced security researchers, reverse engineers, and jailbreak developers, and is an offer made by ZERODIUM to pay out a total of three million U.S. dollars ($3,000,000.00) in rewards for iOS exploits/jailbreaks.
Ja, mogelijk staat er interessante info in zo'n toestel die handlangers kunnen blootleggen, etc. Maar technisch volgens mij helemaal niet nodig om verder iets te bewijzen. En ja, de politie moet niet janken dat die mensen nu niet verhoord kunnen worden, ze hebben immers deze mensen zelf doodgeschoten.
Hoe dan ook, als nu in hoger beroep wordt besloten dat dit verzoek toch niet rechtmatig is, dan kan de politie dit type bewijsvergaring voortaan dus vergeten. In juist in deze case is naar mijn inziens dat bewijs ook helemaal niet nodig, zie eerste alinea.
Dit klinkt meer alsof ze het nu via de voordeur willen afdwingen een achterdeur 'open' te zetten, ipv toegeven dat ze al jaren via een andere achterdeur erbij kunnen.
American proofing balloon...
Is het een GO, dan is Apple blij, want dan kunnen ze lekker data spuien over hun foute klanten, en de FBI is blij dat ze al die terrabytes aan data nu legaal kunnen gebruiken.
Is het een NOGO, dan blijven ze de data gewoon lekker achterlangs gebruiken... en proberen ze vooral zoveel mogelijk te laten geloven dat ze er al niet al lang bij kunnen.
Dit klinkt meer alsof ze het nu via de voordeur willen afdwingen een achterdeur 'open' te zetten, ipv toegeven dat ze al jaren via een andere achterdeur erbij kunnen.
American proofing balloon...
Is het een GO, dan is Apple blij, want dan kunnen ze lekker data spuien over hun foute klanten, en de FBI is blij dat ze al die terrabytes aan data nu legaal kunnen gebruiken.
Is het een NOGO, dan blijven ze de data gewoon lekker achterlangs gebruiken... en proberen ze vooral zoveel mogelijk te laten geloven dat ze er al niet al lang bij kunnen.
...met dat Apple een rechtstreekse lijn heeft naar de NSA...
Bronnen?
(hierop komt nòòòit een antwoord want ik babbel zo graag lekker achterlangs voor de vuist weg en probeer vooral zo min mogelijk data te spuien aan terrabytes opgepropt misnoegen, wel graag eens iets van Macintosh te hebben willen uitgeprobeerd maar dan zou hebben moeten toegeven vele kostbare jaren van mijn leven met knutselapparatuur en software mijn tijd te hebben verknoeid)
Apple kan technisch gezien deze iphone gewoon kraken, alleen dat wil de FBI helemaal niet.
De FBI gebruikt juist deze anti-terreur case om een encyptie sleutel te verkrijgen voor alle toestellen.
Serieus nadenkend lijkt het me onzin daar de telefoon zelf voor nodig te hebben, de telecom provider kan immers al vertellen met welk nummer/ip er gebeld, gesmst of gemaild is.
Waarom zoud het nu ineens niet meer kunnen?
Waarom zoud het nu ineens niet meer kunnen?
Omdat er sinds iOS 8 door Apple maatregelen getroffen zijn om de zaak verder dicht te timmeren.
Het scheelt dat een iPhone 5C deze co-processor niet heeft. Apple kan technisch gezien makkelijk voldoen aan dit verzoek.. De FBI wil echter dat Apple de mogelijkheid toelicht aan hun en hun de mogelijkheden zelf ook geeft.
(Hieronder kun je dus verstaan: Het signeren van software, het downgraden van bestaande software op legale wijze, het omzeilen van brute-force vertragingsmethodes)
(Hieronder kun je dus verstaan: Het signeren van software, het downgraden van bestaande software op legale wijze, het omzeilen van brute-force vertragingsmethodes)
Ziet het er uit als een nette onderbouwing dat Apple in staat wordt geacht er bij te kunnen en dat enkel de gegevens (niet de werkwijze) overhandigd zouden moeten worden. De FBI krijgt die kennis van de werkwijze niet.
Een vaststelling die zowel afleidt als juist kan wijzen op de essentie van de discussie.
De partijen die tegenover elkaar staan betreffen niet zelden deelnemers van een van deze twee kampen.
• Voorstanders : jamaar het kan technisch dus geen excuus hier!
• Tegenstanders : het gaat niet om de techniek maar om de principiële kant.
Als je hieraan gaat toegeven is het hek straks van de dam.
Dat kan je ook wel vatten onder de naam jurisprudentie en dan wereldwijd en kan Apple wel ophouden te proberen haar producten te beveiligen,.. en google, en Facebook, en Microsoft en,...
Een hele principiële zaak dus die gevolgen gaat hebben voor alle techniek die zich bezighoudt met beveiliging middels encryptie.
De FBI zaak ligt namelijk rechtstreeks in het verlengde van het tegen encryptie zijn of de wens zelf dan altijd en overal toegang toe te kunnen hebben.
Als de FBI het mag dan ook, noem eens wat landen die wel eens ergens genoemd zijn ; U.K. India, Pakistan, China, Rusland, het hele Midden Oosten, vrijwel het hele Westen,.. en niet te vergeten Nederland (nog drie weekjes aan nachtjes slapen!).
Iedereen dus eigenlijk.
Een artikel dat één en ander goed probeert uit te leggen en daar beter dan anderen in slaagt is deze.
http://www.wired.com/2016/02/apples-fbi-battle-is-complicated-heres-whats-really-going-on/
Hee, goed idee?
Nee, dus, en het gaat helemaal niet over Apple al heeft zij nu de edele maar ondankbare taak om haar digitale rug recht te gaan houden.
Daarna maar eens die iClouddata op dezelfde wijze gaan dichttimmeren, want dat is natuurlijk wel een dingetje.
http://thehackernews.com/2016/02/iphone-apple-id-passcode-reset.html
Een artikel dat één en ander goed probeert uit te leggen en daar beter dan anderen in slaagt is deze.
http://www.nu.nl/internet/3993124/hackers-stelen-wereldwijd-honderden-miljoenen-bij-banken-via-malware.html
Dit is zo simpel gedaan heh, heel simpel. De fbi moet naar de nsa stappen, die hebben supercomputers die codes kunnen kraken, waar onze huis en tuin computer er 20000 jaar over doet om 1 code te kraken doet die computer er enkele seconden over. Snap je m??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
