95% is toestel in de archiefkast tot er een kwetsbaarheid is, vervolgens aanzetten en dynamische instrumentatie erop loslaten. lekker ingewikkeld.

Digitaal forensisch onderzoekers ontwikkelden methodes om toegang te krijgen tot onder meer Google Pixel-telefoons. Zo wist het NFI het toestel te openen dat de vermoedelijke moordenaars van Peter R. de Vries bij zich hadden, en hun gesprekken te openbaren. Het beveiligen en kraken van telefoons is een permanent kat-en-muisspel.

https://nos.nl/artikel/2486578-nfi-weet-honderden-cryptotelefoons-te-kraken-een-bankkluis-in-een-bankkluis

Zo werkt het dus niet. Het is echt niet zo dat 1 kwetsbaarheid de complete beveiliging van een mobiel om zeep helpt. Dat zou mooi zijn zeg. Dan zouden alle 0-days tot gevolg hebben dat alle telefoons ter wereld, inclusief de versleutelde telefoons, gekraakt kunnen worden. Als het zo eenvoudig was :D.

ik weet niet of ik blij moet worden van de EU die hacking sponsort...
wanneer de informatie rechtstreeks naar de fabrikant ging zodat het product veiliger werd voor miljoenen europeesche klanten, mwa.... maar nu liggen kwetsbaarheden op straat, want zulke informatie wordt weer gehacked door statelijke actoren aan weerzijden van Nederland of wel opzettelijk gedeeld, en alle miljoenen europeanen worden onveiliger omdat ze gevolgd kunnen worden door amerikanen, russen ,chinezen en wie weet nog meer.

Bij écht gevoelige zaken, (naaktfotos van men zelf, keepass bestanden, financiën, bedrijszaken) sla het op als afzonderlijk versleuteld bestand, gebruik een goed algoritme en een zeer lang wachtwoord. (Minimaal 60 tekens)
Liefst niet op een apparaat dat online verbinding kan maken. (Dus geen WiFi en BT module, etc)

1: Gebruik géén vingerafdruk om de telefoon te unlocken, maar een lang paswoord. (Het is vervelend)
2: Zorg bij inname van de telefoon dat de telefoon uitstaat, of is gereset zonder de telefoon te unlocken, (Pre-boot status) dan is deze moeilijker te exploiteren en moet men wel bruteforcen.
3: Gebruik een afzonderlijke versleutelde database binnenin de telefoon. (Ga niet uit van de versleuteling van de telefoon zelf)
4: Gebruik GrapheneOS, dat helpt, en kan men een langer wachtwoord instellen.
5: Gebruik een wachtwoord met een grote variatie van cijfers, letters en leestekens. (Herhaal niet teveel tekens)

Ah, Pegasus van de EU.
Dat is georiënteerd op exploits wanneer een telefoon al unlocked is.
Een pre-boot telefoon zou minder kwetsbaar moeten zijn.
Er wordt hier niet gebruikt gemaakt van bruteforcing, maar van exploits, dat heeft weinig met de versleuteling (of de veiligheid daarvan) te maken.
Jammer dat de EU niet transparant is over de exacte methode die men gebruikt, maar het is wel goed te raden.

Om een wachtwoord uit een chip te kunnen halen moet het wachtwoord zich al wel in het RAM-geheugen bevinden, dat betekend dat mensen hun telefoon al ontsleuteld moeten hebben, dit werkt niet bij telefoons die uitstaan of waarvan men nog geen wachtwoord heeft ingevoerd na een volledige herstart.

Ja inderdaad, GrapheneOS heeft een "auto-reboot" functie om die reden, (dat voorkomt dat een gestolen/in beslag genomen telefoon exploiteerbaar is, evenals het toestaan van langere wachtwoorden, en dankzij de Titan M-2 chip is het lastiger te kraken en worden de hoeveelheid pogingen om het wachtwoord te kraken beperkt.
Zie het alleen niet als een heilige graal, maar alle beetjes helpen, dat wel.

Zet de SMS app uit (installeer derde-partij SMS app, stel deze daarna in als promaire SMS app, zet de ingebouwde SMS app uit, en deinstalleer de derde-partij SMS app) en gebruik E-Mail extern via een webbrowser, dat helpt een klein beetje tegen Pegasus...Uhm...Exfiles aanvallen. :-/
Een MiFi-router met SMS-functie is nog beter, en dan geen SIMkaart in de telefoon zelf, zet de telefoon in airplane modus+WiFi. (Thether WiFi via de MiFi-router.
112 bellen is mogelijk zonder SIMkaart, zet alleen wel de airplane modus uit.

Zou het hier echt om een Pegasus-tool gaan?
Dat zou wel erg zijn, dat programma+apparaat gaat weer lekken.
De politie heeft zelf al een apparaat dat het ter plekke kan doen, dan kiezen ze gewoon het merk/type telefoon en is er een "kans" de telefoin te openen. (En inderdaad, een "pre-boot" status is lastiger te kraken, dan zal men bruteforcen via datzelfde apparaat, (verbindt met externe server) maar is wel te doen bij een kort wachtwoord of pincode.
Pegasus-achtige tools zijn daarentegen een stuk kwalijker aangezien het hier gaat om een online tool die gebruik maakt van zero-click zeroday exploitatie, daarmee kun je meekijken met overheidsleden, investeerders en dissidenten zonder inbeslagname van het fysieke apparaat.
De EU wordt steeds extremer, dan moeten ze ook niet klagen over de Israëlische NGO-groep en Pegasus, nu dien ze precies hetzelfde, ongecontroleerd en nu is het mogelijk zonder tussenkomst van een rechter, al is de legaliteit daarvan in kwestie.

Grappig: allerlei reacties die handig zijn voor criminelen... Niets over techniek of beveiliging of security. Bv. een discussie of CCS wel nodig is als er kennelijk vpoldoende manieren zijn om toch achter de inhoud van berichten te komen.
Soms ben je benieuwd wie er allemaal commentaar geeft...

Q

Hopelijk wat serieuzere verkiezingen. Want anders denk je toch, zoek het lekker uit.

Nee, ik denk niet dat het om een Pegasus aanval gaat, maar eerder één of andere offline software, maar inderdaad ja, een pre-boot status zou moeten helpen.

Niet voor criminelen, maar mensen die een privéleven willen leiden.
Criminelen weten dit toch wel, het is openbare informatie, men wil gewoon niet dat bij de minste geringste aanhouding onder verdenking hun gehele leven op hun telefoon overhooo wordt gehaald onder het motto van "criminelen en terroristen"

Haha! Precies, allemaal van die enge "security.nl-ers" Brrrr...
Criminelen gebruiken meestal burner phones en gestolen wegwerp telefoons.

A: Ik ben meer een "beveiligingsfreak", iemand die haar telefoontje maximaal wil beveiligen omdat het " cool" is, als ik mensen op straat zie lopen, te Facebooken, etc, dan voel ik me altijd erg speciaal, ik ben een van de weinige mensen die een computer/telefoon het anders gebruikt dan anderen, al vind ik het altijd vreemd waarom niet iedereen het doet zoals ik.
Ook vind ik dat mensen toegang tot al deze informatie moeten kunnen hebben, ik ben tegen gesloten hardware en software, daarom gebruik ik Linux op de Desktop, daarnaast is technologie en software een wapenwedloop, niemand "wint" of "verliest" er uiteindelijk mee op de lange termijn, wel krijgen we er versterkte beveiliging door, voor zowel de overheiddiensten als de burger.
De informatie voorzie ik voor iedereen, en iedereen bepaald hoe zij of hij deze informatie gebruikt, daar ga ik niet over, wel is het te adviseren om het niet voor criminele doeleinden te gebruiken aangezien dat mensen veel problemen kan opleveren, maar afgezien daarvan ben ik vóór transparantie en gegevensvrijheid.

Maar leg mij nu eens uit waarom je mij o.a. dit soort gedrag aanbeveelt. Ik ben geen crimineel, en er zijn maar twee soorten gevaar voor mij.
1. Ik verlies mijn telefoon
2. Mijn telefoon wordt gestolen
In beide gevallen kan ik mij niet voorstellen dat degene(n) die mijn telefoon in handen krijgen zo knap zijn dat ze de toegang kunnen kraken.

Even voor de duidelijkheid, in elk soeverein EU land is het verboden om je als politie uit te geven. Geldt ook voor Duitse of Belgische politie in Nederland. Maar andersom natuurlijk ook. Dat is strafbaar, zelfs ook in een carnavalspak.

Er kan wel samengewerkt worden natuurlijk. Maar vanaf de achterbank. Dat geldt al helemaal voor een FBI want die zijn geen lid van de EU. En zelfs niet eens van het internationaal hof.

Aanhouding, arrestatie, opsporing en vervolging ligt bij het land waar misdaden gebeuren. Als dat klaar is kan er eventueel om uitlevering gevraagd worden. Waar internationale verdragen voor zijn maar waar je je ook tegen kunt verzetten. Dat geldt dus ook gewoon voor Polen, Letland of Griekenland. Actueel want over de oostgrens wordt nog wel eens te gretig gedacht dat we allemaal voor de Amerikanen werken. Wat gewoon niet zo is. Als hier de plaatselijke politie me mee wil nemen voor wat vragen, dan heb ik daar aan mee te werken. Maar als een FBI me in een vliegtuig wil duwen dan kan ik diezelfde politie bellen dat ze me proberen te ontvoeren. Want die zijn hier geen politie.

Poster legt het iets te simpel uit inderdaad maar het idee van data bewaren tot het gekraakt kan worden is absoluut de norm onder de store now decrypt later (SNDL) taktiek.

Verder niks nieuws onder de zon bewust kwetsbaarheden in de apparaten houden tot ze ontdekt worden of genoeg commotie om is en vervolgens het hele circus voortzetten met andere ontdekte lekken. Taktiek die al sinds begin van digitale encryptie wordt toegepast omdat het kosten effectief is. Of wat nu nog populairder is gewoon de lekken opkopen bij wat normaal criminele bedrijven zijn die vervolgens gedoogd worden zolang de kwetsbaarheden uit het nieuws blijven en niet tegen eigen infrastructuur worden gebruikt.

En ja de echte grote jongens pakken ze met dit circus ook niet dat weten ze ook dondersgoed.
Die zijn over het algemeen niet dom om on the market hardware en software te kopen.

Dit gaat om de kleinere criminelen en voor overheid lastige mensen die ze in de gaten willen houden.
Je weet wel journalisten, advocaten, gemeenteleden en uiteraard enige schreeuw lelijk op sociaal media dat niet conform gewenste overheid reageert.

Bottomline overheid is niet te vertrouwen als het om veiligheid intenties aankomt. Is het nooit geweest zal het ook nooit worden. Maar beetje bij beetje durven ze meer in het open te doen omdat de algemene massa te dom is om hun eigen achtereind te vegen onderhand als het gaat om digitale zaken en rechten.

Kijk naar hoeveel aandacht er is geweest voor TETRA TEA-1 en hoe als het al gecovered werdt het verhaal gesponnen werdt als een kwetsbaaheid waar zogenaamd politie meeste last van zou hebben. Niet bij verteld dat om zowat *alle* radio communicatie ging van kritieke bedrijven van nederland nog kwam er bij de meeste grote media outlets een vervolg bericht dat dit al 30 jaar bekend was en onder het tapijt bewust was geveegd. Nog dat TEA-2 net zo lek is en dat de ETSI groep tot de dag van vandaag ontkent dat er sprake was van een bewuste backdoor ook al is de geest al uit de fles.

Instead massa weer afleiden met een nutteloos bericht over een of ander sports evenement en dreiging opgelost.
Zelfde met CSS plannen met Stuxnet en met alles waar er serieus dreiging voor veiligheid op digitaal gebied gaat.
Sensatie verkoopt educatie van de massa niet.

Opmerkelijk hoe veel technerds denken te weten wat criminelen doen aan opsec .
Verzin je niet eerder wat JIJ zou doen als je crimineel was ?

We zien in elk geval met regelmaat _dat_ er in rechtzaken bewijs komt uit ontsleutelde telefoons .
Raar, gezien de 'experts' hier die precies weten dat criminelen allemaal burner phones of wegwerp zouden gebruiken .

Het is natuurlijk niet vreemd dat het niet precies zo werkt - criminelen hebben nu eenmaal - zakelijk - behoefte aan min of meer doorlopend contact/bereikbaarheid met hun zakelijke netwerk .
En wellicht tijdens de lopende zaken ook zicht op hun voorgaande conversatie flow , wie stelde iets voor, welke prijs, tijd/ontmoeting, aflever punt .

Die noodzaak staat helemaal haaks op wegwerp telefoons voor éénmalige communicatie .
Die zijn misschien (ook) in gebruik exact tijdens een eenmalig project , maar dat werkt gewoon niet voor de doorlopende handel & wandel & networking - in welke business dan ook.

Ook al zullen ze dat niet willen vasthangen aan een bepaald telefoonnummer - _dat_ er een hoop business historie en contacten netwerk uit een ontsleutelde criminele telefoon te halen valt blijkt telkens weer .

Omdat het kan, (-; wilt ge het niet, lees het dan niet.
Waarom zou men tégen deze info zijn, het is geen bewaard geheim of iets dergelijks...

Wilt u het op de proef stellen? -Met uw telefoon uiteraard.

Wel via interpol...
Internationaal hof is iets heel anders.


Seriously.... Laat ik ten westen van die oostgrens nu hetzelfde denken. NL is in middels lid van de 5-eyes club...

Succes met bellen wat ik vermoed dat je geen telefoon meer hebt en dan niet met een lijnvlucht gaat.

Als ik crimineel was zou ik uberhaupt geen smartphone gebruiken voor mijn criminele zaken, zoiets laat teveel sporen achter.
Dan zou ik het oo de "goede oude manier" doen. (Zo deed men het vroeger ook, en het werkte)
Dan maar geen gebruikersgemak.
Maar ik wil geen crimineel worden want dat brengt teveel gevaar, en ik zou het niemand aanraden, dat zit je maar de hele dag in zorgen, is niet leuk.
Waarom zoveel mensen nou uitgaan van het promoten van criminaliteit wanneer er analytische info wordt gegeven is mij overigens een raadsel, ik denk dat niemand dat hier wil "promoten".

Dat is het verschil denk ik van echte criminelen en amateur of gelegenheid criminelen.

3. Uw SIM-kaart wordt heimelijk geswapt.
4. Uw mobieltje wordt op afstand gehackt.
5. Uw accounts worden overgenomen.
6. Uw bankrekeningen worden geplunderd.

7. U krijgt vervolgens van alles de schuld.


Blijf Security.NL lezen. Dan blijft u bij.

Of het is de AIVD/NCTV die hun macht misbruiken door bij mensen in te breken via de "sleepwet", die hebben dankzij de overheid teveel macht, en macht corrumpeert...

In het NFI tonen twee digitaal forensisch onderzoekers de laboratoria waar verfijnde apparatuur chips uitleest en röntgenapparatuur hardware doorgrondt. Hier worden ook smartphones minutieus opengezaagd of juist geheeld, terwijl exemplaren die lang in water hebben gelegen langzaam worden gereinigd en weer tot leven gewekt.

https://www.parool.nl/amsterdam/wedloop-om-de-telefoongegevens-van-criminelen-te-kraken-er-zitten-steeds-meer-versleutelde-lagen-omheen~b57f0782/