Voor zo ver ik weet:

1. Ook internet verkeer. Ik zie niet in waarom dit anders zou werken dan alleen bellen/SMS'en
2. Nee, dat lijkt mij niet noodzakelijk. Bovendien lijkt het mij mogelijk om het 'IMEI te achterhalen' op basis van het 06-nummer
3. Ik verwacht dat deze op basis van het 06-nummer gevonden kan worden. Van alle afgesloten abonnementen worden 06-nummers i.c.m. Naam Adres Woonplaats gegevens dagelijks naar de overheid (CIOT) verstuurd door telecom bedrijven
4. Ja, het lijkt mij dat het IMEI daarvoor gebruikt kan worden

Zal ik het je eens uitleggen? Ze hoeven alleen je locatie te weten. Je telefoon broadcast continu je IMEI nummer (van je toestel) en je IMSI (van je simkaart). M.b.v. van IMSI is je nummer zo achterhaald. Voorheen moesten ze via de rechter toestemming vragen om je via je provider af te tappen. Tegenwoordig wordt je mobiele OS via de "bewuste beveiligingslekken" / backdoors ge-exploit.

Hoe ze het aan jou koppelen? Simpel:
- Je hebt ooit aankopen gedaan en met je bankpas betaald.
- Je hebt ooit je nummer online geregistreerd (bijv. voor toegang tot het portaal van je mobiele provider of voor "gratis" beltegoed). Je browser fingerprints + IP-adres wordt altijd geregistreerd
- Je telefoon staat bijv. 5 uren stil (zonder beweging), daarmee wordt je woonplaats achterhaald. Als je je telefoon op vliegstand zet, dan kun je niet bellen, maar alsnog wordt je IMEI en IMSI alsnog non-sop uitgezonden. Zelfs met een "domme" telefoon kan je locatie keurig worden achterhaald m.b.v. info die je telefoon heeft verstuurd naar min 3 zendmasten.
- Als je een telefoontoestel niet nieuw is, dan is het IMEI nummer eerder geregistreerd aan een andere IMSI die gekoppeld kan worden aan jou. Als je 2 simkaarten hebt dan worden beiden IMEI nummers en IMSI uitgezonden, via een analyse kunnen ze achterhalen dat het vanuit hetzelfde toestel worden verzonden. De IMEI nummers liggen vaak dichtbij elkaar, al zou je deze nummers spoofen er wordt ook andere verplichte data meeverzonden ;) Mag hier niets over kwijt..
- Aan de hand van meta data (bijv. de nummers die je hebt gebeld) kan je identiteit worden achterhaald.
- Als je je telefoon met je vingerafdruk unlockt, kan je identiteit worden achterhaald, het zelfde geldt voor unlocken met je gezichtherkenning. Al onze foto's en vingerafdrukken zijn geregistreerd bij de overheid.
- Ze zijn nog niet zover, maar al onze gesprekken worden opgeslagen, dus mochten ze ooit een algoritme ontwikkelen dan kunnen ze onze identiteit achterhalen door onze zinsopbouw, stopwoorden, stem trillingen, ademhaling te analyseren. Dan kan je zelfs met een stemvervormer kan je je identeit niet verbergen.

Onze politie heeft de toestemming gekregen om "terug te hacken". In werkelijkheid is dit gewoon het recht om je devices te exploiten en te backdooren (mocht dit al niet het geval zijn).

Betreft het aftappen:
- dat kan via je mobiele provider (je gesprekken worden opgenomen of live meegeluisterd, alle data zoals internet verkeer en SMS wordt opgeslagen en ontsleuteld) aan de hand van IMSI
- via het backdooren van je smartphone (je microfoon kan op afstand worden ingeschakeld)


Met een prepaid simkaart en nieuwe telefoon ben je hooguit een paar uur "anoniem" en verdacht. Als je bijv langs plekken loopt met een camera zoals een tankstation of je rijd langs snelweg camera's (HD) is de software verplicht om het op jou te focussen en beeldmaterialen te maken. Echt alles wordt geregistreerd. De VS heeft vrijwel toegang tot ALLE toestellen, omdat mensen zelf vrijwillig WhatsApp hebben geinstalleerd. Daarmee omzeilen ze ook de EU authoriteiten. Ze kunnen ieder moment wie ze maar ook willen aftappen, live meekijken of toegang verschaffen tot data die op hun mobiel staat.

Er zijn manieren om je "hiervoor" te beschermen, maar dat kan ik je niet uitleggen omdat er zat bad guys zijn die er misbruik van zullen maken. Mijn excuses voor oncorrecte zinsopbouw en spelfouten.

1) waarom denk je dat ze met alleen je 06 nummer alleen je spraak/sms kunnen aftappen ?
2)+3) waarom denk je dat partij die de taplast afgeeft details als een IMEI moet aanleveren ?

Als jij de helpdesk van je provider belt, is het 06 nummer toch genoeg om dingen te vragen over je databundel zonder dat je zelf je IMEI hoeft op te lepelen ? Oftewel - je hele pakket aan diensten gekoppeld aan die SIM is bekend bij de operator, en het 06 nummer is herkenbare zoekindex waarmee de overige diensten verder te vinden zijn.

Het lijkt me dat een taplast gewoon met alleen een 06 nummer aangeleverd kan worden bij een mobiele operator voor 'alle verkeer dat door de abonnee geidentificeerd met dit 06 nummer " - en dat ze dan alle verkeer krijgen van die abonnee dat door de mobiele operator afgehandeld wordt - spraak, data, sms,mms of whatever.
(Ik denk dat wifi verkeer van de telefoon niet op die manier gezien wordt).

4) is interessant - ik weet niet hoe gescheiden de mobiele modules bij multi-sim toestellen zijn.
Maar ik speculeer dat voor justitieel tappen iedere sim aangeduid moet worden - alleen al omdat het sims van heel verschillende operators kunnen zijn - in dat geval zullen ze ook niet op dezelfde mast terecht komen.

Voor zo ver ik weet wordt een tap altijd aangevraagd en uitgevoerd door de operator waar de sim thuishoort, en niet door de operator op wiens masten het gesprek toevallig terecht komt. Hoe dat intern in het netwerk van de operator gedaan wordt, en of het betekent dat er verschil is in gespreks (en data) routering bij roamende users op wie een tap staat - weet ik niet.

1. NSO Group
2. IMEI nummer is gekoppeld aan je mobiel(e) nummer(s)
3. Ja, telecom aanbieders
4. Ja, het IMEI nummer

Opsporingsdiensten kunnen alles zonder beperkingen aftappen. En jij staat gesignaleerd dus alle andere mogelijke manieren van communicatie worden ook onderschept.

Hoe het technisch precies is uitgewerkt in allerlei situaties weet ik niet, maar het komt erop neer dat de overheid aanklopt bij een telecomprovider en dat die zorgt dat het kan.

Dat is geregeld in de telecommunicatiewet. Als de overheid op basis van het Wetboek van Strafvordering of de Wet op inlichtingen- en veiligheidsdiensten 2017 mag tappen dan zijn telecomproviders verplicht daaraan mee te werken.

Daar heb je een bron voor nodig, het lijkt mij dat vliegtuigstand betekend radio uit en dus ook dat er (via deze weg) geen gegevens meer uitgezonden worden.

Dit klinkt als onzin. Er is geen centrale database pas foto's of vingerafdrukken van alle burgers. Wel van mensen die eerder veroordeeld zijn. Bovendien worden biometrische gegevens, zoals gebruikt op telefoons, lokaal opgeslagen en vergeleken. Zelf al zou je zo'n database hebben, dan helpt dat niet om een telefoon te koppelen aan iemand zijn identiteit.

Dat gebeurt inderdaad: https://theintercept.com/2014/05/19/data-pirates-caribbean-nsa-recording-every-cell-phone-call-bahamas/
In Nederland is het voor zo ver ik weet ook mogelijk om op basis van sleutelwoorden/onderwerpen telefoongesprekken af te luisteren. Dat geeft duidelijk aan dat grote hoeveelheden telefoongesprekken (lees: satelliet/internationaal telefoonverkeer maar tegenwoordig ook kabelgebonden) afgeluisterd worden. De stap naar automatische speaker recognition is dan, zoals je schrijft, niet heel groot meer.

Hier moet je een bron voor geven.

Whatsapp geeft niet direct toegang tot de hele telefoon. OS kwetsbaarheden en Google/Apple uiteraard wel, maar dat moet je er dan wel bij noemen.

Ik denk dat je je niet moet doodstaren op de GSM-techniek.

Als je wil weten hoe dat werkt, nou, je telefoon maakt verbinding met de mast en met z'n unieke nummertjes in de hand (cq. in de SIM) wordt er een sessie opgebouwd, die aan een tijdelijk nummer hangt, een TMSI. Vandaar dat het soms handiger is voor opsporingsdiensten om een nepmast op te tuigen, een "IMSI-catcher". En als jouw telefoon daarmee verbinding maakt, nou, dan zendt je telefoon dus al je verkeer, spraak, SMS, data, meta-data, alles, naar die nepmast.

Maar ook als dat niet gebeurt, je maakt verbinding met je provider en die heeft verplicht een tapfaciliteit ingebouwd. Of meerdere zelfs, minstens een voor spraak want telco en minstens een voor internetdata want ISP. Waarmee dus evenzogoed alles waar jouw telefoonnummer aan hangt mee op te vragen is. Plus je hele SMS-historie die ze om onduidelijke redenen gewoon bewaren. En je locatiehistorie, zelfde verhaal. Net als de politie hebben telcos wel eens moeite met het vinden van de wisknop.

En daarnaast zijn er nog wel meer middelen, van surveillance-"apps" die in je smartphone geschoven worden tot misbruik maken van gaten in de tweede computer in je smartphone aan toe. Die tweede computer waar jij normaal geen toegang toe hebt want dat is namelijk de controller van de air interface. Daar draait ook een OS op, apart van wat jij op je smartphone hebt, en die zijn ook wel eens lek en worden minder vaak bijgewerkt want de meeste mensen hebben toch niet door dat'ie erin zit. En al die computertjes die bewaren nog verbazend veel data waar jij geen weet van hebt. Zo blijken iphones zelf ook bij te houden welke torens ze alleen al maar "gezien" hebben, niet eens verbinding mee gemaakt, dus met je telefoon in de hand kunnen ze ook uitvogelen waar je allemaal geweest bent. Of die data met zo'n "app" exfiltreren.

Oh, en daarnaast is de encryptie van GSM-en-later ook regelmatig niet veel soeps, als de (nep)toren encryptie niet gewoon geheel uitschapelt, dus daar kan ook nog vanalles mee. Niet dat de politie dat zo snel zal doen, dat is meer iets voor geheime diensten. De politie haalt eerder een tapbevel en gaat naar de telco.

Als de politie je telefoonnummer heeft (en taptoestemming, al dan niet verkregen met een goede reden) dan kunnen ze makkelijk alles wat daar aan hangt van de provider krijgen, voorzover ze het al niet hebben. Want de telcos dumpen verplicht elke dag hun hele klantenbestand in politiecomputertjes. Makkelijk!

Mooie post die het allemaal wel samenvat. Inderdaad, zodra je je iPhone of Android aan het net hangt kan via het mobiele net exploits worden geladen (denk aan onbekende "bewuste" kernel exploits) zonder dat jij die hoeft binnen te halen via useractie. Ik ga er vanuit dat de Lineage kernels ook niet echt 100% veilig zijn hiertegen.

Ik weet uit ervaring (als target in het buitenland) dat zelfs oude Dumbphones te hacken zijn via het SMS protocol. Tenminste een paar types hebben een firmware met bug, vermoed ik zo. Als je niet gehackt kan worden zul je ongetwijfeld een bulk vreemde unicode smsjes krijgen (nee geen buitenlandse taal, maar instructiecodes) bij het aanmelden, zelfs met een compleet nieuw toestel net aangemeld op het net ;) Wat gesneden koek is het gegeven dat je van Dumbphones informatie over het OS kan binnenhalen via SMS, dat doet menig provider hier ook (voor statistieken? weet iemand dat?)


Al eens van ECHELON gehoord? Voicerecognition op mass landlines en zelfs fax en modem verkeer decoderen bestond al voordat "het commerciele internet" in het westen tractie kreeg.

http://news.bbc.co.uk/2/hi/503224.stm

De NSA die hebben vast meer tools die doen denken dat wij hier 300 jaar achterlopen op informatietechnologie. Denk maar wat ze met biologische systemen (je hersenen) kunnen doen, niet alleen het ontcijferen van jouw en mijn consumentenproducten en systemen waaronder Unix, Linux , enz.

Af en toe komen ze (NSA) met een leuk IT beveilingsadvies voor ieder omdat dit niveau hacken, wiretappen enzovoort eigenlijk in het bereik is van elke dienst ter wereld, en elke crimineel met een bovengemiddelde kennisniveau.

@ toekomstmuziek meneer

https://techcrunch.com/2015/08/03/uncovering-echelon-the-top-secret-nsa-program-that-has-been-watching-you-your-entire-life/


Daar zijn ze naar de laatste wereldoorlog mee begonnen met zulke programmas op te bouwen. Hoezo toekomstmuziek? Deze info ging al rond in de jaren 90 toen ik op school zat. Wie weet wat ze tegenwoordig kunnen, best wel interessant eigenlijk... Ik zou best wel eens willen weten wat de NSA uitspookt op cybernetisch vlak want als je dat gebied mastert heb je geen "ouderwets internet" meer nodig.

Het ding met IT is dat iedereen systeembeheerder en "expert" is geworden en omdat het zelf genereren van cryptokeys in allerlei formaten redelijk "lastig" is ten opzichte van de doorsnee gebruiker (gewoon een user, geen admin of coder dus ) maken hobby admins en experts heel snel de cruciale denkfout dat ze wel een goed overzicht hebben van wat mogelijk is...

In de praktijk komt het erop neer dat veel heimelijke "diensten" tools en mogelijkheden

1) niet bekend zijn bij burgers of gebruikers incl. "security experts" in gewone bedrijven

2) niet eens via een productnaam, code of referentie op het internet te vinden zijn (nog een denkfout: de meeste mensen denken dat alles op internet staat intussen- niets is minder waar. Ik heb zelf ook een toolkit en kennis opgebouwd waarvan je niks online kunt vinden - en dat ga ik dus ook niet ga delen want jaren - decennia aan investering)

3) het netwerk van snitches die u en mij in de gaten houden bestond al voor het internet en is niet beperkt tot de Nederlandse overheid... veel oude mensen en omatjes waarvan je het niet zou verwachten zijn gewoon actief. Dus die hele ontwikkeling van speeltjes (Linux, internet) beschouw ik als "consumentenproducten" waarvan je redelijkerwijs mag uitgaan dat alle producten vanaf hun intrede wel gemapped zijn door de spionnendiensten, alleen de kennis daarvan blijft offline

M.a.w. je kunt stellen dat je met SSH een veilige inlog kunt scheppen op een Linuxbak en dat de diensten daar dan iets mee willen doen maar dat iets is dus het "terugnemen " van de capaciteit. Want wat niemand schijnt te beseffen is dat je al in de gaten werd gehouden voor het internet en al die toys waarvan je met sommige inderdaad veilig kunt comminiceren en je je ontrekt aan het oude netwerk van burgersnitches...

Dat lijkt mij ook want die vliegtuigstand is ontstaan uit de noodzaak om geen storing te veroorzaken in de elektrische systemen van een vliegtuig. Dan kom je er niet mee weg om toch dingen aan te laten staan als de telefoon in vliegtuigstand staat.

https://en.wikipedia.org/wiki/Mobile_phones_on_aircraft

Ik weet het niet (andere anoniem) maar het zou me niets verbazen als er telefoontjes zijn die dat zo doen, zie benee. Er zullen er ook wel zijn die het wel netjes doen. Welke dat zo zijn kun je eigenlijk alleen maar met zekerheid zeggen door proberen en nakijken met een protocol analyser voor mobiele telefonie, en wie heeft nou zo'n ding op zak als'ie een telefoontje gaat kopen?

In hoeverre dat een noodzaak is, nouja, meestal zijn de regels zo dat electrische apparaten alle interferentie moeten accepteren en zelf niets moeten veroorzaken, maar het is wel eens voorgekomen dat vliegtuiginstrumenten op hol leken te slaan van apparaten die passagiers bij zich hadden.

Omdat je liever niet hebt dat vliegtuigen uit de lucht vallen zeg je dan toch maar "alle apparaten uitschakelen!" maar feitelijk geef je er ook mee aan dat de ontwerpers van het hele dure apparaat waar je in zit hun huiswerk niet goed hebben gedaan.

Dat wil niet zeggen dat het ook goed werkt.

Zo heb ik hier een featurephone* die bij aanzetten eerst eens uitgebreid naar torens gaat zoeken, verbinding maakt, en dan vraagt of de vliegtuigstand voortgezet moet worden, waarna het ding zich weer afmeldt en hopelijk de radio uitzet. Dan vraag ik me ook af wat in het hoofd van de ontwerper rondging**, want het slaat nergens op. Maar ik zie het 'm gewoon doen, precies elke keer als ik 'm aanzet nadat ik 'm uitgezet heb terwijl in "vliegtuigmodus".

* Samsung E1107 "Crest Solar", met als hip feature een zonnepaneeltje waar je verder bedroevend weinig aan hebt.
** Dat vraag ik me wel vaker af, want het ding heeft wel meer irritante quirks.

Gelukkig is het meeste internet verkeer tegenwoordig versleuteld dus dat zal niet erg veel opleveren.

Maar dat is alleen voor abonnementen en geregistreerde prepaid nummers zo. Bij prepaid nummers is er geen registratie verplichting in Nederland dus als je niks opgegeven hebt bij je provider weten ze het niet.

Ik denk dat je data van je telefoon tevens via nog een andere weg, de commerciele,
bij 3rd party geinteresseerden op nogal wat bureautjes kan belanden.

De developers bouwen dat erin, omdat bij hen de schoorsteen ook moet roken.

Die data komt dan uiteindelijk doorverkocht weer bij anderen terecht,
Wat te denken bijvoorbeeld van je mobiele provider, de producent van het device, je overheid?

Je telefoon lekt constant identiteitsinfo, locatie gegevens, e.d.
Google Play Music, een willekeurige Battery Saver, Google Newsstand,
Browser, allemaal onderhuids via AdMob en MoPub

Kijk maar eens met een app als Blokada wat je allemaal niet blokkeren kunt.
Laat die mobiele telefoon dus liever wat vaker thuis.
Ook goed voor je broodnodige rust en de belasting van het grid.

Weest "smart" door te werken op een ander device.

J.O.

Niet heel moeilijk daar een MITM op uit te voeren, als je het combineert met een slinks op de doelmachine ingebracht "eigen" certificaat. En wie controleert dat nu helemaal dat z'n websites ineens allemaal "gegarandeerd" worden door certificaten uitgegeven op naam van de website maar die dan weer gesigneerd blijken door een overheidscertificaat... met of zonder dat er "overheid" in de naam staat.

Maar dan nog weten ze wel welk 06-nummer er bij dat internetverkeer hoort. Dan hoeven de diensten alleen nog maar te bewijzen dat dat jouw nummer is, en daarvoor kunnen ze zich rustig toegang verschaffen tot jouw dataverkeer zolang ze maar een andere aannemelijke reden hebben om dat nummer te tappen.

Zoek ook even op "parallel construction", waarvan we weten dat het in de VS toegepast wordt. Of dat hier ook het geval is... we weten het niet, wat niet hetzelfde is als weten dat het niet gebeurt. Ik zie wel dat er steeds meer technieken en gewoontes uit de VS geimporteerd worden, bijvoorbeeld de manier waarop gearresteerd wordt. "Snel! Handen op de rug! Kop in de stront! Bek houwe!" en zo verder. Precies hoe dat in de ruigere politieseries ook te zien is. En nu zal dat voor sommigen wel te billijken zijn, zeker niet voor iedereen die wel eens een AT op z'n dak krijgt, bijvoorbeeld voor cartoonisten niet.

Dat een grote hoeveelheid versleuteld is staat los van de vraag of het afluisteren wat oplevert. DNS verkeer zal bijvoorbeeld maar een klein aandeel zijn, maar geeft wel weg op welke website je zit. Ook wordt er veel onderzoek gedaan naar traffic analysis over versleuteld verkeer, dat je er niet in kan kijken wil niet zeggen dat je niet weer wat voor verkeer er versleuteld is.

Heel erg lastig om achter het IMEI nummer te kopmen, als overheid, wanneer je reeds over IMSI beschikt. Not.

Tja je internetverkeer wordt wel wat moeilijker wanneer je VPN gebruikt op je smartphone.
De rest is altijd wel na te gaan,wie wie is als je het echt noodzakelijk wil weten en moet voor opsporingsdoeleinden.
Daar zijn geheime diensten wel goed in.
De sleepwet daaraan tegen maakt deze praktijken makkelijker.

Heb je hier een bron van v.w.b. het opslaan van SMS-historie en locatiehistorie?

Indien je meent dat een gerechtelijk bevel, bijvoorbeeld geen beperking is. Iemand die bij een opsporingsdienst werkt kan niet zomaar tappen, zonder gegronde reden.

Natuurlijk niet. Mensen roepen hier maar wat, zonder zich te verdiepen in zaken, en zonder deze te onderbouwen. Op een enkeling na.

Leuk dat je dat zo zegt. Dit was namelijk groot nieuws in 2011. Ik dacht eigenlijk dat het dus ondertussen hier ook wel bekend zou zijn. Ook omdat ik dit hier wel eerder gepost heb. Even snel zoeken levert genoeg op:

https://www.zeit.de/digital/datenschutz/2011-02/vorratsdaten-malte-spitz
https://www.zeit.de/datenschutz/malte-spitz-data-retention
https://www.dw.com/en/german-politician-reveals-six-months-of-private-mobile-phone-data/a-14960858
https://www.eff.org/node/81907

Voor mij was het niet heel verbazend want ik had al eerder met mensen in de industrie gebabbeld en het gewoon duidelijk dat die data veel langer bewaard werd dan strikt noodzakelijk, ook voordat het hele circus van de metadataopslag begon.

Ik lees hier niet in dat Nederlandse provider je hele SMS-historie en locatiegegevens bewaren. Dat ze metadata bewaren van SMS/telefoontjes is wel wat anders dan berichtinhoud. Volgens mij leven heel veel mensen van deze security community heel dicht tegen de opsporing aan, ik heb hier nog nooit iemand hier iets over reppen.

De meeste reaguurders zitten tegen het paranoïde aan, dat weet je toch?

Ik denk dat je nu spijkers op laag water aan het zoeken bent, alsook appels met peren aan het vergelijken. Wat de opsporing mag en wat de providers kunnen zijn verschillende dingen. Wat daar staat is dat providers vanalles opslaan zonder directe noodzaak. Want wat is nu helemaal de noodzaak dat een provider van een willekeurige klant weet waar hij geweest is? En dat is precies wat ze wel weten, gezien de data die ze ophoestten. En oh ja, de SMSjes erbij. Het kale feit dat ze die data hebben is op zich al tekenend, nog voordat er wettelijke verplichtingen en eisen en weetikhet bij komen kijken.

SMS wordt verstuurd over het controlekanaal en is daarmee practisch metadata. Dat is dan ook precies waarom ze SMSjes toevallig wel opgeslagen hebben en de gesprekken niet, dat is namelijk een ander kanaal (letterlijk, in de lucht) en dus extra moeite om op te slaan, terwijl een logger van de "metadata" de SMSjes ook pakt en moeite moet doen ze eruit te laten.

Dus je kan wel weer gaan lopen smalen en allerlei aannames doen, waarmee je uiteindelijk vooral jezelf een rad voor ogen draait, maar feit is, dit is data die makkelijk blijft slingeren bij telefoonbedrijven, en dat ook blijkt te doen. Dat was het punt dat gemaakt werd en dat is wat deze links boekstaven. Wat wil je nou nog meer?

https://blokada.org/

https://f-droid.org/en/packages/org.blokada.alarm/

Wat ik hier mis van alle geachte aanwezigen, is de kennis van een 2e operating systeem, wat (bijna) niemand weet. Dit draait onzichtbaar op iedere telefoon. Niemand weet, wat dat precies doet, zelfs de ontdekker ervan, al is het door een Luxemburgse universiteit uitgeplozen en geconstateerd, dat het vol bugs zit.
http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone
Alleen reaguurder shmerl heeft 'm door: May be no mobile phones at all?