image

Purism gebruikt nagellak om onderscheppen van smartphones te detecteren

vrijdag 22 juli 2022, 16:59 door Redactie, 34 reacties

Laptop- en smartphonefabrikant Purism maakt gebruik van glitternagellak om te detecteren of de zendingen naar klanten zijn onderschept. Het bedrijf biedt deze "anti-interdiction service" al enige tijd aan voor bestelde laptops, maar doet dit ook bij smartphones, zo laat Purism-president Kyle Rankin weten.

Documenten van klokkenluider Edward Snowden hebben jaren geleden al laten zien dat de Amerikaanse inlichtingendienst NSA regelmatig in Amerika geproduceerde routers onderschept en voorziet van een backdoor voordat ze naar klanten in het buitenland worden doorgestuurd. Om een dergelijke actie te detecteren brengt Purism glitternagellak aan op de schroeven van zowel smartphones als laptops.

Vervolgens wordt er een foto gemaakt en gedeeld met de klant. Wanneer die zijn telefoon of laptop ontvangt kan hij de schroeven met de schroeven op de foto vergelijken en zo zien of iemand de hardware heeft opengemaakt. Verder maakt Purism gebruik van "tamper-evident tape" en extra verpakkingen die ook weer van de tape worden voorzien. Tijdens het hele proces worden foto's gemaakt die de klant op verzoek als bewijs kan ontvangen. De anti-interdiction service kost 199 dollar.

Image

Reacties (34)
22-07-2022, 17:24 door Anoniem
Dure nagellak wel dan zeg. Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen. Je bent nog altijd het beste uit met GrapheneOS op een Pixel
22-07-2022, 17:42 door Anoniem
Het lijkt wel oorlog.
22-07-2022, 22:15 door Anoniem
Tja je bent puristisch of niet.
23-07-2022, 08:37 door Anoniem
Door Anoniem: Dure nagellak wel dan zeg. Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen. Je bent nog altijd het beste uit met GrapheneOS op een Pixel

Waarom?
23-07-2022, 10:33 door Anoniem
Door Anoniem: Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen.

Desgewenst kan men Debian / PureOS uitrusten met een full system AppArmor policy als extra beveiligingslaag.

https://github.com/Kicksecure/apparmor-profile-everything


Door Anoniem: Je bent nog altijd het beste uit met GrapheneOS op een Pixel

https://www.security.nl/posting/752557/Pixel-telefoons+kwetsbaar+door+kritieke+lekken+in+beveiligingschip


In tegenstelling tot de firmware van een Google Pixel is de coreboot firmware van Librem hardware wél open source.

https://puri.sm/projects/coreboot/
23-07-2022, 10:34 door Anoniem
Door Anoniem: Dure nagellak wel dan zeg. Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen. Je bent nog altijd het beste uit met GrapheneOS op een Pixel

Bron?
PureOS is een linux distributie en nog in ontwikkeling
23-07-2022, 12:54 door Anoniem
Door Anoniem: Dure nagellak wel dan zeg. Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen. Je bent nog altijd het beste uit met GrapheneOS op een Pixel
definieer veilig... als in het beschermd niet tegen vallend puin doet een pixel ok niet.. als je in het water spring blijf je er niet mee drijven... maar als het modem uit staat kan het zeker niet zenden... bij andere telefoons kan het modem niet uit. tijnzij het toestel uit staat.
Dus veilig tegen welke aanval? pixel kan het modem niet uitzetten en wel doorwerken.
23-07-2022, 14:50 door Anoniem
Duur uurloon van de nagellak aanbrenger?
23-07-2022, 15:00 door Anoniem
Okee. Het kanaal waarover de smartphone van het magazijn naar de klant gaat is veilig. Maar hoe beveilig je de foto zelf? Zo zou bijvoorbeeld je hotmail op het laatste moment geupdate kunnen worden met een nieuwe foto. Nagellakremover en nieuwe glitter nagellak over de schroefjes en klaar.

Man-in-the-Middle is niet oplosbaar zonder een secure channel. Mail is niet een secure channel (zonder PGP en fingerprint controleren).
23-07-2022, 19:12 door Anoniem
Door Anoniem: Okee. Het kanaal waarover de smartphone van het magazijn naar de klant gaat is veilig. Maar hoe beveilig je de foto zelf?
Het heeft toch al geen zin want het shipping kanaal van smartphones richting klant is waarschijnlijk veel veiliger dan
de supply chain van de fabrikant. Die koopt her en der onderdelen in, die moeilijk verkrijgbaar zijn dus regelmatig moet
ie de markt afschuumen naar leveranciers van chips e.d., en dan kan er zomaar ergens een "bewerkte chip" geleverd
worden...
23-07-2022, 19:32 door Anoniem
En dan moet je maar vertrouwen dat er niets is gebeurd VOOR de nagellak.
Zinloos en duur.
23-07-2022, 22:09 door Anoniem
Als je het blogbericht leest waar het artikel naar linkt zie je dat ze bij die "anti-interdiction service" van $199 meer doen dan alleen die nagellak. Dan nog vraag ik me af wat die $199 rechtvaardigt, maar ook daar weer: Het gaat niet om de (materiaal)kosten maar om wat de waarde ervan is voor de klant. Er zijn er blijkbaar genoeg die er $199 voor over hebben ...
24-07-2022, 05:31 door Anoniem
Dit gaat natuurlijk wel de prijs van glitternagellak opdrijven. En we hebben al zoveel inflatie.
24-07-2022, 08:26 door Anoniem
Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!
24-07-2022, 10:58 door Anoniem
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Zelfstandige reparateurs hebben ook geleerd om een kleine markering op de print te zetten waar ze aan gewerkt hebben.

Meestal na de harde les wanneer een hosselaar een gerepareerde TV komt terugbrengen "hij is weer kapot je hebt 'm niet goed gemaakt" - en er gewoon een andere defecte print in zit - zodat de reparateur twee (of meer, als ie dom is) reparaties doet voor die ene prijs .
24-07-2022, 11:23 door Anoniem
Door Anoniem: Duur uurloon van de nagellak aanbrenger?
Er moet toch ook verdient worden of niet?
24-07-2022, 18:45 door Anoniem
Door Anoniem:
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Zelfstandige reparateurs hebben ook geleerd om een kleine markering op de print te zetten waar ze aan gewerkt hebben.

Meestal na de harde les wanneer een hosselaar een gerepareerde TV komt terugbrengen "hij is weer kapot je hebt 'm niet goed gemaakt" - en er gewoon een andere defecte print in zit - zodat de reparateur twee (of meer, als ie dom is) reparaties doet voor die ene prijs .

Klopt als een bus. Alleen dat is/was beroepsgeheim, daarom heb ik dat niet vermeld.
24-07-2022, 22:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Zelfstandige reparateurs hebben ook geleerd om een kleine markering op de print te zetten waar ze aan gewerkt hebben.

Meestal na de harde les wanneer een hosselaar een gerepareerde TV komt terugbrengen "hij is weer kapot je hebt 'm niet goed gemaakt" - en er gewoon een andere defecte print in zit - zodat de reparateur twee (of meer, als ie dom is) reparaties doet voor die ene prijs .

Klopt als een bus. Alleen dat is/was beroepsgeheim, daarom heb ik dat niet vermeld.

Het is niet mijn beroep, maar het trucje is dus buiten de branche al bekend geraakt.
Volgens mij ook al nodig om te doen door motor-tuners/(her)bouwers.

Toch vergane glorie - met onvindbare componenten en service manuals en dalende prijzen is de reparatie branch behoorlijk verdwenen.
24-07-2022, 22:15 door SecOff
Door Anoniem: Het lijkt wel oorlog.
‘maar niemand die het ziet’
25-07-2022, 11:47 door Anoniem
De consument moet dus extra betalen bij een leverancier voor een aanvullende dienst om ervoor te zorgen dat de leverancier daadwerkelijk levert wat je dus bij hem gekocht hebt.

Vroeger was dat vrij normaal, zo'n sticker op de doos (return of opened) of "warranty void if seal broken". Nu moet je dus extra betalen om te krijgen waarvoor je betaald hebt, dat vind ik nogal bijzonder in dit verhaal.

Wel bijzonder ook, dat bepaalde landen altijd heel goed zijn in vingers wijzen naar allerlei continenten als het om hacking en tracking gaat terwijl de grootste bron nog altijd de US is, en daar ga je dan een "extra dienst" afnemen voor een waterdichte levering.

Wel zo makkelijk om dan iemand daar te laten werken, die kan dan mooi de config aanpassen voor het lakken van de apparaten.
25-07-2022, 12:07 door Anoniem
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden.

Met dit verschil dat de gefotografeerde glitters in de aangebrachte nagellak een zeer moeilijk vervalsbaar patroon vormen:

https://www.security.nl/posting/758675/Ongeautoriseerde+fysieke+toegang+detecteren+met+gekleurde+rijst+en+linzen
25-07-2022, 12:13 door Anoniem
Het maakt toch allemaal niet meer uit met die europese identiteit die eraan komt en landen die overal een backdoor in willen plaatsen...
Privacy is een grote illusie, zoals een luchtkasteel, een mooie droom in de wolken.
25-07-2022, 12:13 door Anoniem
Die fucking Snowden, die man is helemaal gek. We geloven ook alles wat van maar een zogenaamde naam naar buiten wordt gebracht. Als een router device doet wat ie moet doen dan werkt het toch? Ik voorzie geen problemen. Kansloos artikel dit.
25-07-2022, 12:16 door Anoniem
Nagellak? Wtf, de wereld gaat al kapot door alle chemicaliën waarom niks duurzamers?
25-07-2022, 12:41 door Statistiek
Door Anoniem: Dit gaat natuurlijk wel de prijs van glitternagellak opdrijven. En we hebben al zoveel inflatie.

Persoonlijk zouden wij hiervoor cyanide gebruiken. Opdrijving van de prijs hiervan maakt dit middel meteen minder beschikbaar voor anders ontwikkelden die hun moeder willen ombrengen. Zou zonde zijn. Multifunctioneel is altijd beter: inlichtingendienst langzaam uitroeien, en tegelijkertijd mensen met kindertijd trauma’s en hun familie veiligstellen.
25-07-2022, 14:17 door Q1
Wel weer grappig/triest: allerlei opmerkingen van mensen die of de discussie over inhoud willen frustreren, of het onderwerp niet begrijpen:
- 23-07-2022, 19:32 door Anoniem : het is geen bescherming tegen de leverancier maar tegen statelijke actoren. Dus je opmerking over zinloos is... zinloos.
- Vandaag, 12:13 door Anoniem : het gaat over het kunnen aantonen dat een device niet aangepast is, niet over een digitale identiteit waarmee iedereen te volgen zou zijn
- Vandaag, 12:13 door Anoniem : als een router doet wat hij moet doen, kan hij daarnaast nog allerlei ongewenste dingen doen
- Vandaag, 12:16 door Anoniem : Geef eens een alternatief dat goedkoop is en werkt én dezelfde functie biedt?
- Vandaag, 12:41 door security.com : "Persoonlijk zouden wij": ben je een wij of een persoon? En wat hebben kindertijdtrauma's en ombrengen van je moeder met dit onderwerp te maken?

Het zou fijn zijn als we gewoon weer inhoudelijk over security kunnen discussieren.
25-07-2022, 14:55 door Anoniem
Door Anoniem: Als je het blogbericht leest waar het artikel naar linkt zie je dat ze bij die "anti-interdiction service" van $199 meer doen dan alleen die nagellak. Dan nog vraag ik me af wat die $199 rechtvaardigt, maar ook daar weer: Het gaat niet om de (materiaal)kosten maar om wat de waarde ervan is voor de klant. Er zijn er blijkbaar genoeg die er $199 voor over hebben ...
Als mensen voor de service willen betalen zijn ze extra waardevol. Je moet de leverancier maar vertrouwen bij deze service.
25-07-2022, 15:44 door Anoniem
Door Q1: Wel weer grappig/triest: allerlei opmerkingen van mensen die of de discussie over inhoud willen frustreren, of het onderwerp niet begrijpen:
- 23-07-2022, 19:32 door Anoniem : het is geen bescherming tegen de leverancier maar tegen statelijke actoren. Dus je opmerking over zinloos is... zinloos.
- Vandaag, 12:13 door Anoniem : het gaat over het kunnen aantonen dat een device niet aangepast is, niet over een digitale identiteit waarmee iedereen te volgen zou zijn
- Vandaag, 12:13 door Anoniem : als een router doet wat hij moet doen, kan hij daarnaast nog allerlei ongewenste dingen doen
- Vandaag, 12:16 door Anoniem : Geef eens een alternatief dat goedkoop is en werkt én dezelfde functie biedt?
- Vandaag, 12:41 door security.com : "Persoonlijk zouden wij": ben je een wij of een persoon? En wat hebben kindertijdtrauma's en ombrengen van je moeder met dit onderwerp te maken?

Het zou fijn zijn als we gewoon weer inhoudelijk over security kunnen discussieren.

Pot verwijt de ketel want jij hebt hier ook niet over de inhoud.
25-07-2022, 17:14 door Q1
Door Anoniem:
Door Q1: Wel weer grappig/triest: allerlei opmerkingen van mensen die of de discussie over inhoud willen frustreren, of het onderwerp niet begrijpen:
- 23-07-2022, 19:32 door Anoniem : het is geen bescherming tegen de leverancier maar tegen statelijke actoren. Dus je opmerking over zinloos is... zinloos.
- Vandaag, 12:13 door Anoniem : het gaat over het kunnen aantonen dat een device niet aangepast is, niet over een digitale identiteit waarmee iedereen te volgen zou zijn
- Vandaag, 12:13 door Anoniem : als een router doet wat hij moet doen, kan hij daarnaast nog allerlei ongewenste dingen doen
- Vandaag, 12:16 door Anoniem : Geef eens een alternatief dat goedkoop is en werkt én dezelfde functie biedt?
- Vandaag, 12:41 door security.com : "Persoonlijk zouden wij": ben je een wij of een persoon? En wat hebben kindertijdtrauma's en ombrengen van je moeder met dit onderwerp te maken?

Het zou fijn zijn als we gewoon weer inhoudelijk over security kunnen discussieren.

Pot verwijt de ketel want jij hebt hier ook niet over de inhoud.

Je hebt het kennelijk niet gelezen want ik ga steeds inhoudelijk in op de opmerkingen:
Bij de eerste geef ik aan dat deze vorm van "tamper-evident" een bescherming is tegen statelijke actoren, niet tegen de leverancier zelf, dus prima. Als je de leverancier zelf niet vertrouwd moet je ergens anders kopen!
Bij de tweede geef ik aan dat dit los staat van een digitale identiteit.
Bij de derde ontkracht ik het statement "als het doet wat het moet doen is het OK". Een router kan ogenschijnlijk perfect werken, maar ondertussen netflow data naar partij X, Y en/of Z sturen. Het feit dat iets het doet is geen garantie dat hij darnaast niet iets fout doet.
Bij de volgende vraag ik of hij/zij een beter alternatief heeft. Immers, het gaat om een klein beetje lak wat door de glitters in een uniek patroon opdroogt. Een fractie van het totaal aan plastics in een device. Dus de inhoudelijke vraag: heb je een alternatief?
En bij de laatste zie ik iemand (koninklijk meervoud of gespleten persoonlijkheid?) die een voor mij onbegrijpelijke reactie geeft. Tja, dan wordt inhoudelijk reageren moeilijk.

En mijn eigen beeld: je kan hiermee heel goed aantonen dat een apparaat niet open is geweest, want glitternagellak droogt altijd in een geheel eigen patroon op, niet na te maken. Dus, als je de beelden van het originele patroon op een veilige manier bij de ontvanger kan krijgen (zie bijdrage 23-07-2022, 15:00 door Anoniem ) kan de ontvanger zelf éénduidig vaststellen of er tijdens transport iets aangepast is. (dus niet foto's meesturen met het apparaat zelf!)

Daarnaast is er een discussie of de software van dit apparaat wel of niet veilig is, maar ook die discussie gaat niet in op deze vorm van tamper-evidence. Maar voor security.nl lezers wel interessant schat ik in.
25-07-2022, 19:08 door Anoniem
Door Anoniem:
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden.

Met dit verschil dat de gefotografeerde glitters in de aangebrachte nagellak een zeer moeilijk vervalsbaar patroon vormen:

https://www.security.nl/posting/758675/Ongeautoriseerde+fysieke+toegang+detecteren+met+gekleurde+rijst+en+linzen

Daar heb je zeker gelijk in. Maar in mijn tijd als RTV monteur was er nog geen nagellak met glitters, dus gebruikten we een speciaal kleurtje.

Maar goed, om on topic te blijven, is het wel een goede methode, alleen een beetje prijzig.
25-07-2022, 19:47 door Anoniem
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Het truukje is niet of er nog lak of niet op zit. Iedereen met dezelfde (kleur) lak kan zelf een markering aanbrengen.

Het truukje hier om om glitter nagelak te gebruiken. De glitters komen in een random patroon terecht en van dat patroon wordt een foto gemaakt.
De klant controleert niet of er een streek glitter op zit, maar of het patroon van de glitters overeenkomt met dat van op de foto.
25-07-2022, 19:53 door Anoniem
Door Anoniem:
Door Anoniem: Als je het blogbericht leest waar het artikel naar linkt zie je dat ze bij die "anti-interdiction service" van $199 meer doen dan alleen die nagellak. Dan nog vraag ik me af wat die $199 rechtvaardigt, maar ook daar weer: Het gaat niet om de (materiaal)kosten maar om wat de waarde ervan is voor de klant. Er zijn er blijkbaar genoeg die er $199 voor over hebben ...
Als mensen voor de service willen betalen zijn ze extra waardevol. Je moet de leverancier maar vertrouwen bij deze service.
Door Anoniem:
Door Anoniem: Als je het blogbericht leest waar het artikel naar linkt zie je dat ze bij die "anti-interdiction service" van $199 meer doen dan alleen die nagellak. Dan nog vraag ik me af wat die $199 rechtvaardigt, maar ook daar weer: Het gaat niet om de (materiaal)kosten maar om wat de waarde ervan is voor de klant. Er zijn er blijkbaar genoeg die er $199 voor over hebben ...
Als mensen voor de service willen betalen zijn ze extra waardevol. Je moet de leverancier maar vertrouwen bij deze service.

Je moet uiteraard de _fabrikant_ vertrouwen, maar dat doe je al om daar te kopen.
Je hoeft dan juist _niet_ meer de leverancier, douane, transporteur, etc... te vertrouwen.
25-07-2022, 21:45 door Anoniem
Door Anoniem:
Door Anoniem: Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Het truukje is niet of er nog lak of niet op zit. Iedereen met dezelfde (kleur) lak kan zelf een markering aanbrengen.

Het truukje hier om om glitter nagelak te gebruiken. De glitters komen in een random patroon terecht en van dat patroon wordt een foto gemaakt.
De klant controleert niet of er een streek glitter op zit, maar of het patroon van de glitters overeenkomt met dat van op de foto.

Ja duh, dat van die glitters begrijp ik ook wel...

Maar als je nou dat berichtje boven de jouwe had gelezen, dan had je gezien dat we daar speciale kleurtjes voor hadden, die kon je toen niet zo in de winkel kopen.
26-07-2022, 08:50 door Anoniem
Beunde in 1980 in een Haagse videotheek bij. De banden van de verhuurde vhs/betamax cassettes werden door de huurder wel eens verwisseld (aanschaf film was peper duur, verhuur voor 12,50 gulden was normaal) …de oplossing stickertje met nagellak in de spindel afdoende.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.