CIA soll Verschlüsselungsmethoden von Apple und Microsoft im Visier haben
Edward Snowden sorgt einmal mehr mit veröffentlichten Geheimdienst-Dokumenten für Aufsehen. Diesmal steht aber nicht die NSA im Vordergrund, sondern die CIA. Diese soll nämlich versucht haben, gegen die Verschlüsselungsmethoden der Hardwarehersteller anzugehen. Die Ziele: Apple und Microsoft. Die CIA soll laut den veröffentlichten Dokumenten versucht haben, sowohl Xcode als Angriffsstelle zu nutzen, als auch die Encryption Keys aus Apples mobilen Prozessoren zu extrahieren. Ebenso gilt Microsofts Bitlocker-Verschlüsselung als Angriffsziel.
Vorgestellt wurden die Angriffsmethoden auf der von der CIA veranstalteten Konferenz „Jamboree“. Ein Vortrag handelte davon, wie man durch eine Manipulation von Xcode dafür sorgen könnte, dass Software mit Backdoors ausgeliefert wird, die dann wiederum Daten der iOS-Geräte oder der verbundenen Macs auslesen könne. Allerdings bleibt es bei dem theoretischen Vortrag, einen Hinweis darauf, dass diese Praktiken eingesetzt wurden, gibt es in dem Bericht nicht.
Auch bei den Vorträgen dabei: ein Keylogger, der über einen manipulierten OS X-Updater auf den Mac kommt, das Hacken von Apples Group ID (GID, einer von zwei Schlüsseln auf Apples Mobilgeräten), das Auslesen der Encryption Keys über die Beobachtung elektromagnetischer Ausströmungen aus dem GID und das physikalische Extrahieren der Schlüssel.
Das klingt nach ziemlich breit gestreuten Versuchen, um nicht nur bestimmte Geräte gezielt zu manipulieren, sondern einen weitreichenden Zugriff auf beliebige Geräte zu haben. Die in den von The Intercept veröffentlichten Dokumente stammen aus den Jahren 2011 und 2012. Überraschen werden diese erneuten Veröffentlichungen wohl kaum noch jemanden. Das macht sie allerdings nicht weniger erschreckend.
(via The Verge)
Wird geladen ...
Was ist mit Android?
ich bleib bei meiner aussage… die geheimdienste, bzw die nsa, haben zugriff auf alle daten, auf einige können sie leichter zugreifen, bei anderen muss mehr aufwand betrieben werden. daher sind unsere diskussionen, zb. welcher messenger denn besser verschlüsselt ziemlich unsinnig.
die sicherheit der systeme ist mir natürlich trotzdem wichtig, um wenigstens vor den nicht-staatlichen verbrechern gut geschützt zu sein.
> dominik
seit wann ist android verschlüsselt?
Seit Android 4.0?
Sry 4.3
Diese Veröffentlichung dokumentiert mal wieder wie rücksichtslos die Geheimdienste vorgehen und was für ein verzerrtes Bild sie von sich haben.
Da wird ein komplettes Ökosystem geschwächt nur um eventuell einmal eine Hintertür für den Zugriff auf die Hardware von einer Zielperson zu haben.
Das auch andere diese Hintertüren entdecken und ausnutzen könnten, darüber denken sie nicht nach.
Wer hat überhaupt bei Windows den BitLocker aktiviert? Wollte es letztens unter Windows Vista 32-Bit bei einem Bekannten machen, sah aber, dass es erst ab der Ultimate und Enterprise Edition ging ^^.
Mein Surface ist standardmäßig mit Bitlocker verschlüsselt und mein Notebook habe ich selber mit Bitlocker verschlüsselt, beides Windows 8.1 Pro. Ich benutze Bitlocker sodass meine wichtigen Dokumente, bei einem Diebstahl, für jeden (Diebe) zu lesen ist.
Bei mir auf OS X ist ebenso die primäre Systempartition verschlüsselt. Allerdings habe ich auch ausgeschlossen, dass ich irgendwelche Keys und Accounts per Apple ID wiederherstellen kann. denn was ich über Internet über Apple könnte, kann Apple dann auch und macht die Verschlüsselung hinfällig.
Wenn ich unter Windows 8.1 Pro die BitLocker Verschlüsselung nutzen möchte, verlangt Microsoft von mir, dass ich mein Benutzerkonto im Internet bei Microsoft erstelle und mich mit dem Microsoft Internet Account künftig auf meinem Windows Client anmelde. Das bedeutet, ich nutze ein Kennwort, welches nicht nur auf meiner Festplatte lokal gespeichert ist, sondern auch auch bei Microsoft auf den Servern. Passwortänderungen des Windows Accounts werden folglich auch bei Microsoft im Internet durchgeführt, bequem natürlich über Windows UI. Wenn ich Windows 8.x installiert habe, habe ich immer nur „lokales“ Konto, welches ja absichtlich in den Hintergrund gestellt wurde, verwendet.
Ich habe mich mal bei Microsoft kurz reingelesen und über Twitter auch den Microsoft Support gefragt, ob ich BitLocker auch ohne Microsoft Internet Konto Verbindung nutzen kann. Dies wurde sowohl auf Twitter als auch auf der Microsoft Support Page verneint.
Die Kennwörter sind zwar auch verschlüsselt übertragen und gespeichert, aber wer gibt mir die Gewissheit, dass Microsoft diese nicht easy in ein Standardkennwort zurücksetzen kann, wenn eine Behörde dies verlangt?
@MobiusOne
Da musst du aber für die Diebe noch den Schlüssel
irgendwie leicht Zugängig machen —>
Schlüsseldatei auf USB-Stick beilegen 🙂
Zitat aus deinem Kommentar:
„Ich benutze Bitlocker sodass meine wichtigen Dokumente,
bei einem Diebstahl, für jeden (Diebe) zu lesen ist.“
Ich verstehe den Aufwand nicht ganz, den die CIA da betreibt. Eine Anfrage bei MS oder Apple reicht doch aus, oder irre ich mich da? Oder war das 2012 bzw. 2011 noch nicht so, so dass sie damals noch ehrliche Arbeit leisten mussten?
@HO
Deine Aussagen treffen auf alles proprietäre zu. Es ist vollkommen egal, welche proprietäre Lösung du einsetzt, sie müssen alle als gleich unsicher betrachtet werden. Anders sieht es nur bei offene Verschlüsselungsmethoden aus, denn da greifen nicht nur die Geheimdienste im Geheimen an, sondern die Community, um Schwachstellen zu finden und, im Gegensatz zu Geheimdiensten, zu veröffentlichen.
@Andreas G.
Ich finde es vollkommen in Ordnung, dass Geheimdienste nach Hintertüren suchen. Dass sie diese für sich behalten, wenn sie eine finden, ist auch nicht zu verurteilen, sie wären ja dämlich. Wer geschlossene Systeme verwendet, ist ein Stück weit auch selbst Schuld.
Bedenklich sind nur alle Bestrebungen, dass Hintertüren eingebaut werden müssen! Das ist ein wenig kämpfen mit unlauteren Mitteln. Wenn sie es wirklich schaffen, dass Projekte wie Truecrypt eingestellt werden, dann ist das zu verurteilen.