Die Michigan State Police (MSP) nutzt laut CNET neuerdings ein Gerät, mit dem man von gängigen Mobiltelefonen Textnachrichten, GPS-Daten (hatten wir ja heute schon), Photos, Videos, und was sonst noch so zu holen ist, bequem herunterladen kann.
Der Hersteller Cellebrite hat sich auf „Mobile Forensics“ spezialisiert. Ufed Physical Pro heißt das neue Taschen-Gerät (die anderen Produkte sind größer)
Insgesamt hat man in Michigan 5 davon und anscheinend kommen diese gerne auch mal bei normalen Verkehrsstreifen und -kontrollen mal zum Einsatz.
Die ACLU hat sich eingeschaltet: Mit einem Freedom of Information Act Request (pdf) haben sie alle Informationen über Funktion & Nutzung der Geräte von der MSP angefordert. Ziemlich dreist scheint hier das 4. Amendment – der Schutz vor unverhältnismäßiger Durchsuchung – verletzt zu werden.
So oder so wird die Angelegenheit mit Sicherheit durch alle möglichen Gerichte geklagt, bis jetzt steht aber noch der Ausgang des FOIA-requests an: Die MSP sich zwar kooperationsbereit gezeigt, man benötige allerdings eine halbe Million Dollar Bearbeitungsgebühr.
Wenn man damit so einfach auf die Geräte zugreifen kann dann nur wenn:
1.) Massive Sicherheitslücken vorhanden sind, die dann auch von Crackern mißbraucht werden könnten.
2.) Wenn die Hersteller entsprechende Backdoors eingebaut haben die das Ausspähen ermöglichen.
Der physische Zugriff auf ein Device ist immer gegeben. Das hat nix mit Backdoors zu tun.
Nur wenn das Device explizit dagegen geschützt wird, geht dieser Angriff nicht mehr.
Das ist wie bei einem Laptop, wer ihn in den Händen hat, hat auch alle Daten, ausser diese wurden geschützt, zB durch Verschlüsselung.
eine halbe Million? Wodurch wird sowas gerechtfertigt? Wenn man das in Arbeitszeit umrechnet und $50 pro Stunde ansetzt heißt das, an der Beantwortung der Anfrage sitzt jemand 10k Stunden?
@Der Grosse Bauer:
Zu 1: Sicherheitslücken gibts immer.
Zu 2: Ich habe bis vor 5 Jahren bei einer mittelgroßen Softwareschmiede gearbeitet, die sich auf Verschlüsselungssoftware spezialisiert hat und wir hatten JEDE Woche mehrere Typen von irgendwelchen Geheimdiensten und anderen Regierungsorganisationen vor der Tür, die uns um Hintertürchen gebeten haben. Teilweise haben wir Geld angeboten bekommen, teilweise wurden wir unter Druck gesetzt. Ein Bekannter hat in einer anderen Firma gearbeitet, die eigentlich nix mit Verschlüsselung am Hut hat, und bei denen war es ähnlich, als sie für ein Produkt (irgend ne Arztsoftware) irgendwas Verschlüsseln sollten.
Naja, davon konnte man ja mehr oder weniger ausgehen, dass gewisse Organisationen nich allzu dämlich sind und natürlich jede Gelegenheit ergreifen, die sich bietet. Was ich allerdings WIRKLICH erschreckend finde ist die Tatsache, dass sowohl meine Ex-Firma als auch die Firma meines Bekannten, schon in einer extrem frühen Entwicklungsphase \Besuch\ bekamen. Die Frage ist, woher wissen gewisse Kreise, dass die Firma XYZ eine Software entwickelt, bzw. vor hat zu entwickeln, ohne dass diese dafür jemals Werbung o.ä. gemacht hat. (Wie gesagt, sehr frühe Phase!)
Ich habe die gleiche Geschichte schon mal in ein anderes Forum geschrieben, mit der Bitte, dass andere Leute, die ähnliche Erfahrungen gemacht haben, auch mal ihren Senf ablassen sollen. Das möchte ich hiermit auch bei den Netzpolitk-Kommentaren tun.
Gibt es jemanden, der ähnliches zu berichten hat?
Sehr interessant, das würde ja bedeuten das ein regelrechtes Informantennetzwerk existiert das den Geheimdiensten zuarbeitet ?
Naja, letztendlich wird da wohl nur freie Software eine echte Alternative sein denn die lässt sich wohl nicht so leicht kompromittieren ohne das es auffällig wird.
na wenn du dich da mal nicht irrst!
du kennst openBSD? opensource und das projekt stolz auf seine harte krypto, weswegen auch keine entwikckler aus der usa im team der kryptologie zugelassen sind. (wegen einem waffen export problem : http://openbsd.groupbsd.org/de/goals.html)
Die habe sich anscheinend vor 10 jahren eine hintertür von dem FBI einbauen lassen ohne es zu wissen.
http://www.heise.de/security/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html
das problem ist, das verschlüsselung wirklich kompliziert werden kann. und so lässt sich irgendein nichtabgefangener, kontrollierter überlauf leicht implementieren, ohne das es jemand erstmal merkt der sich den code anschaut.
und die jungs sind wirklich epicht darauf sauberen und klar verständlichen code zu schreiben. auch wenn es mal auf kosten der geschwindigkeit geht.
seit ich diese heisemeldung gelesen habe, bin ich völlig desillusioniert bezüglich eingebauten backdoors in oss. wenn das openBSD nicht geschnallt hat, dann hat linux&co keine chance.
sehe gerade: die meldung gab es ach hier:
http://www.netzpolitik.org/2010/fbi-hinterturen-in-openbsd/
@Der Grosse Bauer:
Dafür braucht es keinerlei Backdoors. Du brauchst einfach nur für jedes Handy auf das Du zu greifen willst den entsprechenden Treiber und schon kannst du aufs Dateisystem des Handys zugreifen.
Was anderes machen doch bspw. die Windows Tools für die Handys auch nicht (mit denen du ja auch Deine Daten vom Handy holen kannst).
Und dieses Gerät der Polizei in Michigan hat halt nen ganzen Arsch voll Treiber an Bord.
Btw, speichern nicht nur die meisten neuen Handys im Hintergrund wo man so war, sondern auch bekannte Navigationsgeräte.. Manche Navigations-Geräte die sich ans Handy verbinden lassen, speichern dann sogar Kontaktdaten und andere Daten.. (recherchiert selbst)
wann kam die meldung? noch rechtzeitig um den überwachungsfantasten in deutschland feuchte träume zu bereiten?
Jetzt macht es auch Sinn dass da auf einmal einheitliche Standards für Ladegeräte/Schnittstellen gefordert wurden. Kam mir damals schon spanisch vor ;) Der Grund „Kundenfreundlichkeit“ wurde wohl nur vorgeschoben.
http://www.tagesschau.de/wirtschaft/ladegeraete104.html
da sollte man wohl mal einen schalter ins handy reinhacken, mit dem man den stecker funktionslos macht, oder wenigstens funktionsärmer.
könnte sein, dass die gesetzeslage ohne weitere anhaltspunkte keine sicherstellung des gerätes erlaubt.
.~.
Wer kein Mobiltelefon besitzt/mit sich führt, wird bei den Bullen lange Gesichter erzeugen. Ich weiß, daß das nicht DIE Lösung ist. Dennoch gibt es ja nun mal Leute, die solchen Kram generell nicht nutzen (wie mich z. B.).
man sollte sich langsam an das sperren des netzes und an ungerechtfertigte klagen und kappen des anschlusses gewöhnen. grad haben die engländer den weg dazu frei gemacht und die contentmafia jubelt. neuseeland zieht gerade nach. kommt bei uns auch, jede wette.
http://www.heise.de/newsticker/meldung/Klage-gegen-Internetsperren-in-Grossbritannien-zurueckgewiesen-1231853.html
Die Handbücher für das Gerät sind frei verfügbar:
http://www.cellebrite.com/ufed-support-center/downloads.html
Aus \UFED Physical Analyzer 2.0 user guide\ :
– Powerful search tools
– Instantly search for project content
– Search the hex dump or file system
– Search by various parameters such as strings, bytes,numbers, dates
– Use GREP search (regular expressions) to look for specific data strings
– Bookmarking memory locations for indexing of key areas for later review
Python Support gibt es auch, das Ding macht nicht viel mehr als einen
Flashdump für die Forensiker
Oh und anschenend speichert das iPhone wieder mal ein bisschen
zuviel,diesmal auf dem iTunes-verseuchten PC des Delinquenten:
http://www.cellebrite.com/images/stories/support filesApple_iPhone_Passcode_Bypass_instructions.pdf
Oberbulle Browlowski:“Führerschein, Fahrzeugpapiere und Handy bitte!”
Ich:“Habe kein Handy.“
Oberbulle Browlowski:“Bitte legen Sie Ihre Hände aufs Autodach, die Beine weit zurück und schön spreitzen. Wir durchsuchen Sie und danach Ihr Auto!“
Ich:“Das ist nicht erlaubt und ist doch sicherlich ein Rechtsverstoß!“
Oberbulle Browlowski:“Nö, wer heutzutage behauptet, kein Handy zu haben, erfüllt den Anfangsverdacht – §102 StPO und deshalb werden jetzt Sie und Ihr Auto durchsucht.“
Ich:“Deutschland halt’s Maul!“
wo steht in §102 stpo, dass der nichtbesitz eines mobiltelefons einen anfangsverdacht darfstellt?
„Ich habe kein Smartphone?“ — „Du siehst aus wien Nerd, gib dein Handy.“ — „Ich habe kein Smartphone.“ — „Du bist verdächtig, komm mit.“
Ich mein, wenn schon kein P0rn verdächtig ist…
PS: Ich hätte auch keinen Führerschein (<18), aber ich glaube das wäre weniger verdächtig als kein Smartphone.