FBI wil iPhone-hacktool nog steeds geheimhouden
De FBI wil de hacktool die het gebruikte om de iPhone van één van de San Bernardino-schutters te ontgrendelen nog steeds geheimhouden, zo blijkt uit een gerechtelijk document dat gisteren openbaar werd. Verschillende Amerikaanse nieuwsorganisaties waren naar de rechter gestapt om ervoor te zorgen dat de FBI openbaar maakt hoeveel het betaalde voor de hacktool en wie de leverancier was.
De FBI had in een eerdere rechtszaak al aangegeven dat het openbaar maken van deze informatie schade aan de nationale veiligheid kan toebrengen. De nieuwsorganisaties stapten daarop opnieuw naar de rechter. Ze stelden dat de opsporingsdienst geen legitieme rechtvaardiging heeft om het bedrag of de identiteit van de leverancier geheim te houden.
Volgens de FBI is de hacktool nog steeds nuttig voor de opsporingsdienst. Het openbaar maken zou daarnaast 'vijandige entiteiten' in de kaart spelen en informatie over de mogelijkheden van de opsporingsdienst geven. "Om deze geclassificeerde verzamelmethode te beschermen moet de FBI de identiteit van de leverancier beschermen die de technologie ontwikkelde", aldus FBI-sectiehoofd David Hardy. FBI-directeur James Comey liet vorig jaar nog weten dat de hacktool alleen tegen de iPhone 5c met iOS 9 werkte.
Cook ontkende niet dat het kon alleen dat hij de software ook al zou het heel specifiek voor 1 toestel zijn niet wilde laten maken. Kan alleen maar betekenen dat ze bij Apple de kennis en mogelijkheden wel degelijk hebben.
Cook ontkende niet dat het kon alleen dat hij de software ook al zou het heel specifiek voor 1 toestel zijn niet wilde laten maken. Kan alleen maar betekenen dat ze bij Apple de kennis en mogelijkheden wel degelijk hebben.
Gelukkig maakt Microsoft geen bruikbare toestellen.
Cook ontkende niet dat het kon alleen dat hij de software ook al zou het heel specifiek voor 1 toestel zijn niet wilde laten maken. Kan alleen maar betekenen dat ze bij Apple de kennis en mogelijkheden wel degelijk hebben.
Het zou me hogelijk verbazen als een miljardenbedrijf dat de software ontworpen heeft en de beschikking over de broncode die mogelijkheden niet zou hebben. Echter gezien de geschiedenis van hacks, zijn er nog diverse gegadigden die de mogelijkheden hebben.
Probleem is dat het slechts een kwestie van tijd is voor ook andere partijen, via de FBI of op eigen gelegenheid, achter dezelfde kwetsbaarheid komen. Het is maar afwachten wie dat zullen zijn. Chinezen? Russen? Erdogan? Of misschien identiteitsfraudeurs die voor IS werken? Wat zal de prijs van geheimhouding blijken te zijn? Het rad van fortuin draait en het zal niet stoppen...
Cook ontkende niet dat het kon alleen dat hij de software ook al zou het heel specifiek voor 1 toestel zijn niet wilde laten maken. Kan alleen maar betekenen dat ze bij Apple de kennis en mogelijkheden wel degelijk hebben.
Het zou me hogelijk verbazen als een miljardenbedrijf dat de software ontworpen heeft en de beschikking over de broncode die mogelijkheden niet zou hebben. Echter gezien de geschiedenis van hacks, zijn er nog diverse gegadigden die de mogelijkheden hebben.
Het hoeft geen miljardenbedrijf te zijn. Iedereen die kan programmeren kan een backdoor in bestaande code opnemen. Omdat het closed source is, is het niet eens nodig om het te verbergen. Om het op dat ene toestel te krijgen, is misschien het lastigste. Al zal het waarschijnlijk lastiger zijn om het tot dat ene toestel te beperken.
Het toevoegen van een backdoor aan "je eigen code" is vele malen eenvoudiger dan bestaande software, waar je de code niet van kent, te compromitteren. Het probleem is dat als die gewijzigde code, met een uniek kenmerk voor die ene telefoon, beschikbaar is bij derden, zoals de FBI, die weer eenvoudig is aan te passen om kenmerken van andere telefoons er in op te nemen.
Er zijn niet veel manieren om een telefoon uniek te identificeren. Als je dat weet, is het eenvoudig om a.d.h.v. de verschillen met standaard software de werkwijze voor identificatie te achterhalen. Dat betekent dat je dat identificatie-deel kunt reverse engineeren. Vervolgens voeg je de identificatie van een andere telefoon toe en heeft die ook een backdoor.
Peter
Dit vervolgens niet meer kunnen/willen ontkennen en het dan maar op gooien dat we "het geheim willen houden"...
Zet je aan het denken :-)
Er zijn niet veel manieren om een telefoon uniek te identificeren. Als je dat weet, is het eenvoudig om a.d.h.v. de verschillen met standaard software de werkwijze voor identificatie te achterhalen. Dat betekent dat je dat identificatie-deel kunt reverse engineeren. Vervolgens voeg je de identificatie van een andere telefoon toe en heeft die ook een backdoor.
Peter
Het hele verhaal wat Apple ophield was dat het via het web vrij en open zou komen. Ja dan kan Apple (update release).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
