geplaatst door: Timotheus
Maar begrijp ik nu dat dit alles alleen geldt voor iOS, en niet voor het OS? En zo ja, hoe kan dat dan? Of is de kans groot, dat er ook in het OS dergelijke bucks zitten, maar dat die nog niet aan het licht zijn gekomen?
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: puk1980
Of is de kans groot, dat er ook in het OS dergelijke bugs zitten, maar dat die nog niet aan het licht zijn gekomen?

In alle (complexe) software zitten bugs. Sommigen zijn relatief onschuldig, anderen gevaarlijk indien ze bekend raken / in de handen komen van de verkeerde mensen. Zie de link in mijn eerdere reactie.

Dit soort bugs wordt ieder jaar getoond én beloond op Pwn2Own.
En als ze in verkeerde handen vallen, gebeurt er zoiets.
geplaatst door: mcmt
Maar begrijp ik nu dat dit alles alleen geldt voor iOS, en niet voor het OS? En zo ja, hoe kan dat dan?

Blijkbaar zijn de security fixes voor de CVE's vermeld in de eerste link van mijn eerdere reactie ook doorgevoerd in OSX (en Safari).
geplaatst door: Timotheus
Blijkbaar zijn de security fixes voor de CVE's vermeld in de eerste link van mijn eerdere reactie ook doorgevoerd in OSX (en Safari).
OK; dat lijkt dus te betekenen dat het hele bovenstaande verhaal weliswaar toegespitst is op iOS, maar net zo goed kan gelden voor OS.

Na al deze bekendmakingen en discussies zal het in de toekomst moeilijker worden om een verzekering dat een bepaalde manier van digitaal communiceren ècht veilig is, geloofwaardig te maken, lijkt me zo.

En gezien het feit dat NSO en collega's onverdroten voort zullen gaan met het speuren naar gaten in software, en dat die er altijd zullen zijn, rijst de vraag: wat nu? Betekent dit bv. dat ècht vertrouwelijke communicatie niet alleen langs zo veilig mogelijke kanalen zal moeten gaan, maar ook te allen tijde versleuteld zal moeten zijn, via systemen die geheel los staan van het (i)OS, en dus een hele nieuwe barrière opwerpen?
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Jurriaan
Elk systeem was te kraken tot nu toe. Vermeende telefoons, waar criminelen prat op gingen, waren ook te kraken, de Nederlandse politie was daar onlangs nog trots op dat dat was gelukt.
Dus een veilige overdracht van informatie is een utopie.
MBA '20 M1| SE1 & 2 iOS 15/17 | Mini6 iPadOS 17 | ATV 4K MKI  TVOS17|
geplaatst door: Timotheus
Elk systeem was te kraken tot nu toe.
Nou, dat weet ik niet. Als ik me niet vergis was er in WO II iemand die een code heeft ontworpen die niemand ooit heeft kunnen kraken; de naam ontschiet me even. En verder terug is er bv. het beroemde Voynich manuscript. Maar dit terzijde.

Mijn vraag was eerder: welke praktische gevolgtrekkingen moet je hieruit maken, ervan uitgaande dat je digitaal wilt blijven communiceren, als geheimhouding echt cruciaal is?
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: boiing
https://www.makery.info/en/2017/03/14/apprends-a-securiser-tes-communications-comme-snowden/

Tails, Tor, SecureDrop, burner phones etc. 256-bit AES encryptie is nog steeds veilig dus daar ligt het niet aan. Het gaat mis als devices worden gekraakt en de onderschepping van je gegevens op andere manieren of momenten gebeurt zoals bij Pegasus het geval is. Het probleem met de tips die Snowden geeft is dat het veel meer moeite kost. Voor belangrijke mensen die veel moeten communiceren is het te omslachtig en die gebruiken dus 'gewoon' een iPhone of Android telefoon waar hun hele hebben en houden op staat. Snowden niet, die wist al lang beter.
geplaatst door: Flix
Als ik met gevoelige informatie zou werken, zoals een (kritische) journalist, politicus of wetenschapper in bepaalde gebieden, zou ik vanaf nu iig met minimaal twee smartphones gaan werken: één voor enkel verschillende vormen van communicatie, de andere voor mijn data en persoonlijke zaken. Zou denk ik voor de laatste een iPhone gebruiken, en voor de eerste een Android phone, om het risico te spreiden.
Ook niet een cloud account (iCloud, Google) van de ene gebruiken op de andere.

100% veilig is dat natuurlijk niet, maar je spreidt de risico's en maakt het voor aanvallers moeilijker het hele plaatje te bemachtigen.
geplaatst door: Timotheus
Of je verzendt alleen berichten met daarin opgeslagen een bericht met 256-bit AES encryptie, die zoals boing zegt nog steeds veilig is.

En misschien dat de oude vertrouwde code-taal ook goede diensten kan bewijzen. Bv. alle kernbegippen vervangen door getallen. Deden ze eeuwen geleden ook al. Veel van dat soort berichten zijn bewaard gebleven, en er valt vaak geen touw aan vast te knopen.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Flix
Dat is niet voldoende Timotheus. Pegasus kan jou een bericht sturen, en dan ben je al het haasje.
geplaatst door: mayo
Ik verbaas me al jaren over de naïviteit, ook hier, over de zo hoog in het vaandel staan van de gegarandeerde veiligheid bij Apple.
De discussies over het het niet vrijgeven van data aan politie en geheime diensten door Apple, wat door vele als heilig werd gezien en onmogelijk was, als Apple de sleutel niet zou geven.
Ik heb altijd gezegd dat Apple dit nooit kon garanderen.
En gelukkig worden nu ook de excuses uit de kast gehaald om goed te praten waarom een bepaald land dit wel zou mogen doen omdat ze door de halve wereld worden bedreigd.
En in Nederland hebben we ook boter op het hoofd want ook hier luisteren we bv journalisten af en gaan de inlichtingen diensten, onder het mom van terrorisme bestrijding, buiten hun boekje.
Maar dat gebeurd natuurlijk alleen in China, Rusland en andere schurke staten.
It ain't what you don't know that gets you into trouble. It's what you know for sure that just ain't so - Mark Twain
geplaatst door: Flix
'Kan niet' bestaat niet, noch 'nooit'.

Het gaat hier niet om een 'gemiddelde' hack; dit is een heel ander verhaal. Daarom gaat het om relatief maar zeer weinig apparaten die zijn besmet.

Maar natuurlijk fijn voor je dat je dit altijd al wist.
geplaatst door: polleboos
Nou, dat weet ik niet. Als ik me niet vergis was er in WO II iemand die een code heeft ontworpen die niemand ooit heeft kunnen kraken; de naam ontschiet me even.

Je bedoelt wellicht de Navajo taal code. De Film Windtalkers gaat daar ook over.
geplaatst door: mcmt
Een iPhone 12 heeft een A14 processor waar die genoemde PAC techniek al lang in zou zitten. Ik word hier niet vrolijker van :sad:.

In de lijst van de 14.7 security fixes wordt Pegasus niet vermeld. Nu is dat niet zo ongewoon: release notes zijn wel vaker wazig als het om vervelende bug fixes gaat. Wat o.m. wel vermeld wordt is een fix in libxml2 met impact "A remote attacker may be able to cause arbitrary code execution". Aangezien libxml volgens dit artikel wordt gebruikt in de BlastDoor service die Apple geïntroduceerd heeft voor de behandeling van iMessages, heeft een en ander heel misschien toch met elkaar te maken.

Nu kan ik mij wel inbeelden dat het niet zo evident is om strenger te zijn in de behandeling van binnenkomende berichten en tegelijk zoveel mogelijk backwards compatible te zijn.

Het google artikel vermeldt ook voordelen van Swift te gebruiken in BlastDoor, zoals een veiliger memory model. Toch blijf ik mijn bedenkingen hebben met sommige keuzes die gemaakt zijn in Swift. Het valt mij bijv. op hoeveel code voorbeelden ik tegenkom die zogenaamde 'unsafe' functies (moeten) gebruiken (en niet alleen om performantie redenen). Maar ook hier is het wellicht niet altijd zo eenvoudig een nieuwe taal te ontwerpen die met de bestaande bibliotheken moet kunnen samenleven. En Objective-C was sowieso al een ietwat schizofrene combinatie van Smalltalk en C.
Bewerkt: 22 juli 2021 - 22:43 door mcmt