Reacties voor: Apple vs FBI: ‘Overheid wijzigde zelf het iCloud-wachtwoord van terrorist na de aanslag’
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Dus de beveiliging van een iCloud-backup is wél makkelijk te kraken? Goed om te weten.
Dus Apple ondersteund de halve van je privacy.
Op je iPhone is veilig maar op iCloud niet ……
Wat mij het meeste opvalt aan deze hele zaak is dat deze Farook geen gebruik heeft gemaakt van een met cash gekocht ‘wegwerp-prepaid’ mobieltje zoals dat bij ‘onze’ criminelen een vrijwel standaard gebruik is.
Of iemand met “inside information” die het wachtwoord had en hem zo doende kon veranderen om info te verbergen omdat er misschien wel meer aan de hand is!!
Als je je aluminium hoedje opzet dan kun je ook nog bedenken dat deze hele situatie opzet is. Mogelijk hebben ze allang middelen om toegang te krijgen en is dit allemaal een groot toneelstuk om de “terroristen” wereldwijd te laten geloven dat hun data veilig is op een iPhone.
Ze hebben 2 telefoons vernietigd. De betreffende iPhone was een telefoon van het werk.
Je data op iCloud is niet versleuteld. Daarom worden bijvoorbeeld gezondheidsgegevens niet in een backup in iCloud opgenomen. Dan kan je via iTunes een backup maken en dan versleutelen. Dan zijn je gegevens wel veilig.
Alleen relatief makkelijk te kraken, omdat er geen maximum van 10 pogingen op zit is een bruteforce approach mogelijk (of in goed NL: de botte bijl benadering): uitputtend sleutels proberen. Als de sleutel lang en onvoorspelbaar genoeg is, is die methode echter niet alleen figuurlijk uitputtend… en kan het alsnog erg lang duren.
Overigens is dat toch niets nieuws, dat je data ‘in de wolk’ minder veilig is dan lokaal? Niet voor niets laten veel bedrijven cloudopslag systematisch links liggen, of hebben duidelijke richtlijnen om tenminste gevoelige informatie daar weg te houden…
Nee. Als je het wachtwoord van het Apple ID account hebt, dan kun je op een andere telefoon de backup downloaden waarbij je zelf je pincode moet instellen. Op die manier kan je alsnog toegang tot de telefoon krijgen.
Er zijn reeds recent problemen geweest met het Back-up systeem van iCloud. Ik heb ook hierover contact gehad met Apple support. Zij adviseerde mij om toch een Back-up te maken met iTunes omdat ze het niet opgelost kregen.
Dat is het punt niet, als jij een aanslag pleegt verlies je elk recht van privacy.
Het punt is, dat Apple geen unlock tool wilt maken voor de FBI, dan zouden ze elk onschuldig toestel kunnen openbreken zonder vergunning.
Wat ze nu doen, is een door Apple gecontroleerde manier van data geven.
Dat zou ik toch nog even goed nazoeken als ik jou was. Het klopt namelijk niet. In dit supportdocument zegt Apple:
Coderen = versleutelen = encryptie toepassen. In de Engelstalige variant wordt het misschien nog iets duidelijker. Er is sprake van encryptie tijdens het verzenden én het opslaan.
Het ‘enige’ wat de FBI dus hoeft te doen is die 128-bits AES-encryptie kraken, maar daarvoor kunnen ze wel een oneindig aantal pogingen doen. Op de iPhone heb je maar 10 pincodepogingen.
Overigens had ik ergens gelezen dat ze die oktober-backups al wel hadden bekeken, maar daar stond niks interessants in.
Het is niet zo dat een backup op iTunes altijd veiliger is.
Lokale backup op iTunes is fysiek wat lastiger te achterhalen, omdat de overheid dan toegang moet hebben tot jouw fysieke laptop. Bij een criminele actie zullen ze die laptop meteen in beslag nemen. Er zijn dan twee barriers: toegang tot de laptop zelf (wachtwoord) en daarna toegang tot de lokale backup op iTunes (simpel, tenzij het een versleutelde backup is).
Niet iedereen maakt versleutelde iTunes-backups.
Bij iCloud hoeft de FBI niet over de fysieke computer te beschikken, maar ze moeten wel eerst het backupbestand van iCloud halen en vervolgens de encryptie doorbreken. Da’s nog best lastig, maar met brute force waarschijnlijk wel te doen. Alleen hoefde dat in deze case waarschijnlijk niet.
De opmerking ‘Op je iPhone is veilig maar op iCloud niet ……’ is dan ook wat voorbarig.
Het feit dat de overheidsmedewerker het iCloud-wachtwoord van Farook kon resetten, geeft al aan dat ze toegang hadden tot dat iCloud-account en gewoon konden inloggen. Het was waarschijnlijk een iPhone van de zaak, waarvan de IT-afdeling het iCloud-account (mede) beheert. Het ophalen van de backup is dan ook simpel.
Als de iPhone inderdaad onder beheer van San Bernardino County viel, verbaast het me dat niet eerder is opgevallen dat Farook geen backups meer maakte.
@Lars: Wat ik begreep is dat de FBI wil dat apple een speciale ‘update’ ISO maakt waarbij ongelimiteerd de code kan worden geprobeerd zodat vergrendelen en wissen wordt tegen gegaan.
De ISO kan worden gemaakt, dat is het punt niet. en ook het toepassen op het toestel is het punt niet, elke update moet door apple geverifieerd worden, dus een eenmalig ‘afwijkende’ update alleen voor dat specifieke toestel ook.
Het ‘dan kunnen ‘ze’ deze update voor elk toestel gebruiken’ is dus ver gezocht imo, aangezien alle updates op iDevices door apple worden geverifieerd.
Het enige wat Apple hoeft te doen is het beschikbaar stellen van een aangepaste ‘update’ voor een specifiek toestel en het toestaan dat deze update op dat specifieke toestel kan worden gebruikt.
Desnoods kan de FBI zelf deze ‘update’ in elkaar hacken, ze hebben dan alleen toestemming nodig om hem op die telefoon te zetten van apple..
@Lars: Ook daar zou Apple een beveiliging tegen kunnen maken.
Als ze een ipsw maken met één buildnummer lager dan de 9.2.1 en in de Apple servers dat buildnummer voor een hele korte tijd een “Downgrade recht” geven dan kan de overheid deze iPhone downgraden en kan Apple direct daarna het downgrade recht weer uit de Apple servers weghalen.
Uiteraard zie ik liever dat Apple z’n poot stijf houd en de rechtszaak wint
Hoe dan ook,hier zie je aan hoe machtig apple is..
McAfee heeft de FBI aangeboden om de iphone van deze terroristen te kraken. Hij eet zijn schoen op als het niet binnen drie weken lukt. Overigens vindt hij wel dat Apple geen achterdeur moet inbouwen.
@Klara: Las ik ook, goeie publiciteitsstunt maar verder… Valt voor hem te hopen dat hij smakelijke, gifvrije schoenen heeft 😉
En obama mocht geen iphone omdat deze onveilig zou zijn.