Dure nagellak wel dan zeg. Helaas zijn die telefoons zelf alleen lang niet zo veilig als ze zich voor doen. Je bent nog altijd het beste uit met GrapheneOS op een Pixel

Het lijkt wel oorlog.

Tja je bent puristisch of niet.

Waarom?

Desgewenst kan men Debian / PureOS uitrusten met een full system AppArmor policy als extra beveiligingslaag.

https://github.com/Kicksecure/apparmor-profile-everything



https://www.security.nl/posting/752557/Pixel-telefoons+kwetsbaar+door+kritieke+lekken+in+beveiligingschip


In tegenstelling tot de firmware van een Google Pixel is de coreboot firmware van Librem hardware wél open source.

https://puri.sm/projects/coreboot/

Bron?
PureOS is een linux distributie en nog in ontwikkeling

definieer veilig... als in het beschermd niet tegen vallend puin doet een pixel ok niet.. als je in het water spring blijf je er niet mee drijven... maar als het modem uit staat kan het zeker niet zenden... bij andere telefoons kan het modem niet uit. tijnzij het toestel uit staat.
Dus veilig tegen welke aanval? pixel kan het modem niet uitzetten en wel doorwerken.

Duur uurloon van de nagellak aanbrenger?

Okee. Het kanaal waarover de smartphone van het magazijn naar de klant gaat is veilig. Maar hoe beveilig je de foto zelf? Zo zou bijvoorbeeld je hotmail op het laatste moment geupdate kunnen worden met een nieuwe foto. Nagellakremover en nieuwe glitter nagellak over de schroefjes en klaar.

Man-in-the-Middle is niet oplosbaar zonder een secure channel. Mail is niet een secure channel (zonder PGP en fingerprint controleren).

Het heeft toch al geen zin want het shipping kanaal van smartphones richting klant is waarschijnlijk veel veiliger dan
de supply chain van de fabrikant. Die koopt her en der onderdelen in, die moeilijk verkrijgbaar zijn dus regelmatig moet
ie de markt afschuumen naar leveranciers van chips e.d., en dan kan er zomaar ergens een "bewerkte chip" geleverd
worden...

En dan moet je maar vertrouwen dat er niets is gebeurd VOOR de nagellak.
Zinloos en duur.

Als je het blogbericht leest waar het artikel naar linkt zie je dat ze bij die "anti-interdiction service" van $199 meer doen dan alleen die nagellak. Dan nog vraag ik me af wat die $199 rechtvaardigt, maar ook daar weer: Het gaat niet om de (materiaal)kosten maar om wat de waarde ervan is voor de klant. Er zijn er blijkbaar genoeg die er $199 voor over hebben ...

Dit gaat natuurlijk wel de prijs van glitternagellak opdrijven. En we hebben al zoveel inflatie.

Oud trucje...

Ruim 40 jaar geleden toen ik RTV monteur was deden ze dat al op bepaalde bevestigingspunten. Dan konden we zien of er door de klant zelf al aan was gesleuteld als een defect apparaat ter reparatie werd aangeboden. Zo ja, weg garantie!

Zelfstandige reparateurs hebben ook geleerd om een kleine markering op de print te zetten waar ze aan gewerkt hebben.

Meestal na de harde les wanneer een hosselaar een gerepareerde TV komt terugbrengen "hij is weer kapot je hebt 'm niet goed gemaakt" - en er gewoon een andere defecte print in zit - zodat de reparateur twee (of meer, als ie dom is) reparaties doet voor die ene prijs .

Er moet toch ook verdient worden of niet?

Klopt als een bus. Alleen dat is/was beroepsgeheim, daarom heb ik dat niet vermeld.

Het is niet mijn beroep, maar het trucje is dus buiten de branche al bekend geraakt.
Volgens mij ook al nodig om te doen door motor-tuners/(her)bouwers.

Toch vergane glorie - met onvindbare componenten en service manuals en dalende prijzen is de reparatie branch behoorlijk verdwenen.

‘maar niemand die het ziet’

De consument moet dus extra betalen bij een leverancier voor een aanvullende dienst om ervoor te zorgen dat de leverancier daadwerkelijk levert wat je dus bij hem gekocht hebt.

Vroeger was dat vrij normaal, zo'n sticker op de doos (return of opened) of "warranty void if seal broken". Nu moet je dus extra betalen om te krijgen waarvoor je betaald hebt, dat vind ik nogal bijzonder in dit verhaal.

Wel bijzonder ook, dat bepaalde landen altijd heel goed zijn in vingers wijzen naar allerlei continenten als het om hacking en tracking gaat terwijl de grootste bron nog altijd de US is, en daar ga je dan een "extra dienst" afnemen voor een waterdichte levering.

Wel zo makkelijk om dan iemand daar te laten werken, die kan dan mooi de config aanpassen voor het lakken van de apparaten.

Met dit verschil dat de gefotografeerde glitters in de aangebrachte nagellak een zeer moeilijk vervalsbaar patroon vormen:

https://www.security.nl/posting/758675/Ongeautoriseerde+fysieke+toegang+detecteren+met+gekleurde+rijst+en+linzen

Het maakt toch allemaal niet meer uit met die europese identiteit die eraan komt en landen die overal een backdoor in willen plaatsen...
Privacy is een grote illusie, zoals een luchtkasteel, een mooie droom in de wolken.

Die fucking Snowden, die man is helemaal gek. We geloven ook alles wat van maar een zogenaamde naam naar buiten wordt gebracht. Als een router device doet wat ie moet doen dan werkt het toch? Ik voorzie geen problemen. Kansloos artikel dit.

Nagellak? Wtf, de wereld gaat al kapot door alle chemicaliën waarom niks duurzamers?

Persoonlijk zouden wij hiervoor cyanide gebruiken. Opdrijving van de prijs hiervan maakt dit middel meteen minder beschikbaar voor anders ontwikkelden die hun moeder willen ombrengen. Zou zonde zijn. Multifunctioneel is altijd beter: inlichtingendienst langzaam uitroeien, en tegelijkertijd mensen met kindertijd trauma’s en hun familie veiligstellen.

Wel weer grappig/triest: allerlei opmerkingen van mensen die of de discussie over inhoud willen frustreren, of het onderwerp niet begrijpen:
- 23-07-2022, 19:32 door Anoniem : het is geen bescherming tegen de leverancier maar tegen statelijke actoren. Dus je opmerking over zinloos is... zinloos.
- Vandaag, 12:13 door Anoniem : het gaat over het kunnen aantonen dat een device niet aangepast is, niet over een digitale identiteit waarmee iedereen te volgen zou zijn
- Vandaag, 12:13 door Anoniem : als een router doet wat hij moet doen, kan hij daarnaast nog allerlei ongewenste dingen doen
- Vandaag, 12:16 door Anoniem : Geef eens een alternatief dat goedkoop is en werkt én dezelfde functie biedt?
- Vandaag, 12:41 door security.com : "Persoonlijk zouden wij": ben je een wij of een persoon? En wat hebben kindertijdtrauma's en ombrengen van je moeder met dit onderwerp te maken?

Het zou fijn zijn als we gewoon weer inhoudelijk over security kunnen discussieren.

Als mensen voor de service willen betalen zijn ze extra waardevol. Je moet de leverancier maar vertrouwen bij deze service.

Pot verwijt de ketel want jij hebt hier ook niet over de inhoud.

Je hebt het kennelijk niet gelezen want ik ga steeds inhoudelijk in op de opmerkingen:
Bij de eerste geef ik aan dat deze vorm van "tamper-evident" een bescherming is tegen statelijke actoren, niet tegen de leverancier zelf, dus prima. Als je de leverancier zelf niet vertrouwd moet je ergens anders kopen!
Bij de tweede geef ik aan dat dit los staat van een digitale identiteit.
Bij de derde ontkracht ik het statement "als het doet wat het moet doen is het OK". Een router kan ogenschijnlijk perfect werken, maar ondertussen netflow data naar partij X, Y en/of Z sturen. Het feit dat iets het doet is geen garantie dat hij darnaast niet iets fout doet.
Bij de volgende vraag ik of hij/zij een beter alternatief heeft. Immers, het gaat om een klein beetje lak wat door de glitters in een uniek patroon opdroogt. Een fractie van het totaal aan plastics in een device. Dus de inhoudelijke vraag: heb je een alternatief?
En bij de laatste zie ik iemand (koninklijk meervoud of gespleten persoonlijkheid?) die een voor mij onbegrijpelijke reactie geeft. Tja, dan wordt inhoudelijk reageren moeilijk.

En mijn eigen beeld: je kan hiermee heel goed aantonen dat een apparaat niet open is geweest, want glitternagellak droogt altijd in een geheel eigen patroon op, niet na te maken. Dus, als je de beelden van het originele patroon op een veilige manier bij de ontvanger kan krijgen (zie bijdrage 23-07-2022, 15:00 door Anoniem ) kan de ontvanger zelf éénduidig vaststellen of er tijdens transport iets aangepast is. (dus niet foto's meesturen met het apparaat zelf!)

Daarnaast is er een discussie of de software van dit apparaat wel of niet veilig is, maar ook die discussie gaat niet in op deze vorm van tamper-evidence. Maar voor security.nl lezers wel interessant schat ik in.

Daar heb je zeker gelijk in. Maar in mijn tijd als RTV monteur was er nog geen nagellak met glitters, dus gebruikten we een speciaal kleurtje.

Maar goed, om on topic te blijven, is het wel een goede methode, alleen een beetje prijzig.

Het truukje is niet of er nog lak of niet op zit. Iedereen met dezelfde (kleur) lak kan zelf een markering aanbrengen.

Het truukje hier om om glitter nagelak te gebruiken. De glitters komen in een random patroon terecht en van dat patroon wordt een foto gemaakt.
De klant controleert niet of er een streek glitter op zit, maar of het patroon van de glitters overeenkomt met dat van op de foto.

Je moet uiteraard de _fabrikant_ vertrouwen, maar dat doe je al om daar te kopen.
Je hoeft dan juist _niet_ meer de leverancier, douane, transporteur, etc... te vertrouwen.

Ja duh, dat van die glitters begrijp ik ook wel...

Maar als je nou dat berichtje boven de jouwe had gelezen, dan had je gezien dat we daar speciale kleurtjes voor hadden, die kon je toen niet zo in de winkel kopen.

Beunde in 1980 in een Haagse videotheek bij. De banden van de verhuurde vhs/betamax cassettes werden door de huurder wel eens verwisseld (aanschaf film was peper duur, verhuur voor 12,50 gulden was normaal) …de oplossing stickertje met nagellak in de spindel afdoende.