geheime diensten

Uit documenten van Der Spiegel blijkt nu ook dat de Britse inlichtingendienst iPhones kon volgen en afluisteren

Het Duitse tijdschrift Der Spiegel heeft documenten van Edward Snowden over digitale oorlogsvoering gepubliceerd. Uit de gegevens blijkt ook dat de Britse inlichtingendienst Government Communications HeadQuarters (GCHQ) in 2010 in staat was om iPhones te volgen.

Dat bleek vorig jaar al via gelekte informatie naar The New York Times en The Guardian maar nu zijn ook de documenten daarvan beschikbaar. Via exploits (BADASS Angry Birds) op een geïnfecteerde computer waren inlichtingendiensten in staat om een iPhone via applicaties zoals Google Maps te volgen. Via exploits was het ook mogelijk om de microfoon van een iPhone af te tappen. Het lijkt alsof je iPhone of iPad uit (stand-by) staat maar in werkelijkheid kunnen inlichtingendiensten gewoon meeluisteren.

Mede daardoor zijn iPads en iPhones bij de Engelse en Duitse overheid inmiddels al verboden maar in Nederland geloven politici nog in het woord van Obama, die verklaarde vorig jaar dat hij bevriende bondgenoten niet meer gaat afluisteren. Zelf mag hij overigens geen iPhone vanwege veiligheidsredenen. In Nederland zijn alle Eerste en Tweede Kamerleden voorzien van een iPad. Daarnaast gebruiken vrijwel alle parlementariërs een iPhone, inclusief de leden van het Kabinet.

Uit de documenten die Der Spiegel gisteren publiceerde blijkt nu ook op papier dat de data van een iPhone via het unieke gebruiksnummer (UDID) te ontvangen was via advertentienetwerken. We publiceerden deze informatie al een jaar geleden maar de TOP SECRET PDF van de Britse inlichtingsdienst die Der Spiegel gisteren publiceerde is aardig om even door te nemen als je in beveiliging van iDevices geïnteresseerd bent of in privacy. De gegevens zijn van eind 2010 en inmiddels al achterhaald omdat Apple het UDID-systeem aangepast heeft.

Mocht je al paranoïde zijn dan zijn hier de instructies van de Amerikaanse geheime dienst NSA om je Mac te beveiligen. En die hebben we in 2011 ook al gegeven maar toen dacht iedereen nog dat het onzin was….
iPhone GCHQ

Hackers downloaden niet alleen iCloud foto’s maar volledige iCloud backups

Jonathan Zdziarski, beter bekend als hacker NerveGas heeft de metadata van de gestolen foto’s van Kate Upton bestudeerd en komt tot de conclusie dat de foto’s zijn gedownload met Elcomsoft Phone Password Breaker (EPPB) software.

key

Deze software is populair bij opsporingsdiensten om snel gegevens te verzamelen via iCloud. Als de gebruikersnaam plus wachtwoord bekend is kan je met de EPPB software een volledige iCloud backup downloaden inclusief video’s, applicatie data, contacten, text berichten etc, etc.

De EPPB software kost $399 en is voor iedereen te koop of te downloaden via torrent websites. Op het forum Anon-IB discussiëren hackers en scriptkiddies openlijk over hun iCloud aanwinsten. Dat geheime diensten bij iCloud gegevens kunnen via een achterdeur was al bekend maar nu blijkt dat iedereen dat gewoon via de voordeur van iCloud kan doen als je het Apple-ID en het wachtwoord van je slachtoffer weet en dat is bij Apple vrij eenvoudig.

Ondertussen gaat het natuurlijk om storm in een glas water want iedereen die zijn voordeur laat openstaan is kwetsbaar. Ook dit voorval heeft niets met de betrouwbaarheid van Apple of iCloud te maken. Ondertussen ligt Apple al 3 dagen onder vuur en denken veel consumenten inmiddels vast dat Apple’s iCloud zo lek is als een mandje terwijl dat niet het geval is.

apple icloud

Hallo hier Apple, de AIVD is u aan het volgen….

Eerder deze maand kondigde Apple aan dat ze iOS gebruikers gaat waarschuwen als overheidsinstellingen informatie over klanten opvraagt. Vanmorgen heeft Apple een webpagina online gezet met deze nieuwe regels en daarbij ook wat voor gebruikersgegevens wetshandhavers kunnen opvragen. 

Of de nieuwe regels ook in Nederland toegepast kunnen worden is niet duidelijk maar het komt er wel op neer dat een bevriende natie zoals Nederland bij de Amerikaanse overheid gegevens kan opvragen over boefjes. Technisch gezien kan bijvoorbeeld de Nederlandse AIVD bij Apple gegevens opvragen over jihadisten. Apple zou volgens de nieuwe regels op de website deze jihadisten weer kunnen informeren dat een overheidsinstelling gegevens over ze heeft opgevraagd. 

Dat gaat natuurlijk nooit gebeuren en daarom moet je de webpagina vooral zien als gebakken lucht. Volgens de Patriot Act of via een Amerikaanse rechter hebben Amerikaanse autoriteiten en geheime diensten toegang tot alle data en als het nodig is. Deze Amerikaanse wetten staan zelfs boven de Europese en bevriende lidstaten laten dat allemaal gewoon toe: 

Apple will notify its customers when their personal information is being sought in response to legal process except where providing notice is prohibited by the legal process itself, by a court order Apple receives (e.g., an order under 18 U.S.C. §2705(b)), or by applicable law or where Apple, in its sole discretion, believes that providing notice could create a risk of injury or death to an identifiable individual or group of individuals or in situations where the case relates to child endangerment.

Tot slot laat Apple weten dat ze in opdracht van overheidsinstellingen email communicatie kan onderscheppen maar bij  iMessage of FaceTime communicatie is het niet mogelijk vanwege encryptie. Vreemd is wel dat in 2013 Franse onderzoekers van het beveiligingsbedrijf Quarkslab op de Hack in the Box-conferentie in Kuala Lumpur lieten zien dat Apple iMessage berichten kan decoderen zodat ze leesbaar zijn voor bijvoorbeeld de Amerikaanse geheime dienst NSA.

Het is volgens Apple ook niet mogelijk om geolocatie gegevens op te vragen van actieve iOS devices omdat die gegevens niet op de servers van Apple staan. Ook vreemd want Apple stuurde vorig jaar nog een persbericht waarin ze liet weten dat ze samen met justitie Alzheimer patiënten, kinderen of suïcidale personen heeft weten te traceren  prism