Gerichtliche Anordnung zur iPhone Entsperrung per Fingerabdruck

In den USA hat eine Richterin einen Durchsuchungsbeschluss für ein iPhone ausgestellt, nach dem die Besitzerin das Gerät per Fingerabdruck entschlüsseln muss. Das FBI hatte der Frau vorgeworfen über ihren Freund Kontakte zur armenischen Mafia zu haben und den entsprechenden Beschluss angefordert.

In den USA wird kritisch diskutiert, ob ein solcher Beschluss gültig ist, denn immerhin gilt auch dort der Grundsatz, das niemand sich selbst beschuldigen muss – was bei belastenden Material auf dem Gerät bei einer aktiven Entsperrung der Fall wäre. Es wird aber auch argumentiert, dass dieses Recht nur für die Sprache gilt – eine Entsperrung per Fingerabdruck würde nicht unter das Gesetz fallen.

Ein Grund mehr, eher auf Passwörter als auch biometrischen Daten zu setzen, zumindest wenn man in den USA heimisch ist. Die Preisgabe des Passwortes würde unter den 5. Zusatzartikel der US-Verfassung fallen, der ein Aussageverweigerungsrecht beinhaltet. Dazu kann man sich in solchen Fällen natürlich auch jederzeit darauf zurück ziehen, dass man das Passwort vergessen hat. Bei einem Fingerabdruck ist das so nicht möglich.

Insgesamt wird aber immer deutlicher, dass die US-Rechte aus dem 18. Jahrhundert kaum noch geeignet sind, um die Rechte und Pflichten im digitalen Zeitalter ausreichend zu definieren. Es wäre an der Zeit die Rechtssprechung (nicht nur in den USA) auf aktueller Füße zu stellen.

Apple vs. FBI – Fix für ältere Sicherheitslücken übergeben

Sollte das FBI Ansätze von Humor zeigen? In der Öffentlichkeit? Die Behörde hat vor einigen Tagen Apple über Sicherheitslücken informiert, mit denen man Zugriff auf ältere Geräte bekommen hat. Von dieser Schwachstelle sind aber nur älteren Versionen der Betriebssysteme iOS und OS X betroffen. Mit den neusten Versionen iOS 9 und OS X El Capitan gibt es diese Lücken nicht mehr.

Das FBI hat also Apple Sicherheitshinweise für Probleme gegeben, die bereits behoben sind. Das kann man als eine besondere Form des Humors bezeichnen oder aber als ein Nachtreten gegenüber dem Unternehmen, das nach wie vor Widerstand gegen die US-Behörden leistet. Wahrscheinlich hatte aber das FBI selbst keine wirkliche Entscheidungsbefugnis in dieser Angelegenheit, es gibt in den USA ein Experten-Gremium, das entscheidet, wie mit solchen bekannten Exploits umgegangen wird. In diesem Fall hatte man sich dafür entschieden, die ohnehin nutzlosen Sicherheitslücken weiter zu geben.

Bei den bisher noch funktionierenden Exploits (beispielsweise für das iPhone 5c unter iOS 9 des San Bernadino Attentäters) ist man nicht so freigiebig. Das FBI hat entschieden, diese Lücke noch nicht weiter zu geben – wahrscheinlich in der Hoffnung, sie in der Zukunft eventuell noch nutzen zu können.

Reuters berichtet auch davon, das man von Seiten des FBI gar keine technischen Details zu der (mindestens 1,3 Millionen Dollar teuren) Entsperrung bekommen hat, sondern dies extern durchgeführt wurde, ohne das man beim FBI technische Details erfahren hat.

Insgesamt bekommt der eigentlich sehr wichtige Diskussionsprozess um Befugnisse und Zugriffsrechte des Staates damit immer mehr den Charakter einer Sitcom. Bleibt abzuwarten, wie es weiter geht, denn nach wie vor sind einige Geräte gesperrt, auf die man beim FBI gerne Zugriff hätte.

Apple vs. FBI – über 1,3 Millionen Dollar für den iPhone Hack

FBI-Chef James Comey hat im Interview ein paar Details zur Öffnung des iPhone 5c des San Bernadino Attentäters verloren und gibt damit einen Einblick in die Arbeitsweise der Behörde. Er nannte zwar keine konkreten Zahlen zur Höhe des Betrages, der an die Hacker des iPhones geflossen ist, nannte aber Hinweise auf die Größenordnung. So hatte das Öffnen des Gerätes mehr gekostet, also er in seiner restlichen Amtszeit verdienen würde. Das Gehalt des FBI Chefs beläuft sich auf etwa 180.000 Dollar pro Jahr, erst ist noch etwas mehr als 7 Jahre im Amt – macht insgesamt eine Summe von mindestens 1,3 Millionen US Dollar, die das FBI gezahlt hat.

Mittlerweile ist auch klar, dass man dieses Geld wohl weitgehend umsonst investiert hat, denn in den Daten des geknackten iPhones haben sich keine neuen Hinweise gefunden. Eine Verbindung zu eventuellen Terrornetzwerken gab es damit nicht.

Aber auch unabhängig vom Ergebnis der Untersuchung ist die Vorgehensweise sehr kritisch zu betrachten. Bei den Summen, die mittlerweile für Schwachstellen in Smartphones gezahlt werden, ist es kaum noch lukrativ, die Sicherheitslücken an Apple zu melden, damit das Unternehmen die Geräte sicherer macht. Es lohnt sich viel mehr sie an staatliche Stellen oder Dritte zu verkaufen, denn damit kann man über Nacht Millionär werden. Es ist auf diese Weise ein Markt für Sicherheitslücken entstanden, der zu Lasten aller Nutzer von Smartphones geht. Denn wenn diese Probleme nicht gefixt werden, sondern weiter bestehen, heißt das auch, das zahlungskräftige Dritte früher oder später Zugriff darauf bekommen.

Apple vs. FBI – halfen Hacker dem FBI?

Bisher ist nach wie vor unbekannt, auf welche Weise das FBI Zugriff auf das gesperrte iPhone 5s des San Bernardino Attentäters bekommen hat. Sicher ist nur, das Apple nicht involviert war. Es wurde spekuliert, das ein israelisches Unternehmen (Cellebrite) den Zugang ermöglicht haben könnte, sicher war das jedoch nicht.

Die Washington Post hat nun in einem neuen Artikel eine weitere Quelle aufgetan. Basierend auf Angaben von „people familiar with the matter“ berichtet die Zeitung, dass es möglicherweise professionelle Hacker waren, die dem FBI den Zugriff ermöglicht hätten. Dazu hätte man eine bisher unbekannte Schwachstelle im System des iPhone 5s genutzt. Dieser Zugang soll in neueren Software-Versionen nicht mehr funktionieren. Angeblich hätte man dazu extra Hardware gebaut um diesen Zugang zu nutzen.

Die Zeitung schreibt weiter, dass die Hacker normalerweise solche Software-Lücken suchen, um sie weiter zu verkaufen (beispielsweise auch an die US-Regierung) und diesmal hätte man eine gefundene Schwachstelle direkt genutzt, um das iPhone zu öffnen. Dafür soll auch einmalig eine pauschale Summe gezahlt worden sein, die Höhe wurde leider nicht genannt.

Insgesamt zeigen sich hier die Auswirkungen, die ein grauer Markt für Sicherheitslücken hat. Diese werden nicht mehr den Unternehmen gemeldet, damit sie geschlossen werden können, sondern geheim gehalten und weiter verkauft, da man damit mittlerweile viel Geld verdienen kann. Besonders problematisch wird es, wenn neben der US-Regierung auch Dritte Zugriff auf solche Sicherheitslücken bekommen. Was dann mit den Nutzerdaten auf Smartphones passiert, kann niemand sagen.

Apple vs. FBI – Teil 2: diesmal mit dem iPhone 5s

Der laufende Streit zwischen Apple und US-Behörden bekommt eine Fortsetzung. Das iPhone 5c des San Bernadino Attentäters konnte mittlerweile durch das FBI auch ohne die Mithilfe von Apple gesperrt werden. Das Unternehmen musste also nicht eigenen Kunden hacken. Allerdings funktioniert die Methode des FBI nur beim iPhone 5c und nicht bei neueren Modellen.

Daher gibt es schon wieder einen Fall, bei dem das FBI auch Apple angewiesen ist. Diesmal dreht es sich um ein iPhone 5s, dass einem Drogenhändler gehört hat. Dieser ist bereits gefasst und auch verurteilt. Die Inhalte des Gerätes sollen aber mithelfen, das Strafmaß korrekt zu bestimmen. Dazu wäre Zugriff auf das iPhone notwendig und auch in diesem Fall hat sich Apple geweigert, diesen Zugriff zu verschaffen.

Diesmal ist allerdings auch die Justiz eher auf der Seite von Apple. Während im ersten Fall die Gerichte noch entschieden hatten, dass Apple das Gerät öffnen muss, gibt es im zweiten Fall des iPhone 5s ein Urteil aus New York, das Apple aus der Verantwortung nimmt. Der Richter sah das Unternehmen nicht in der Pflicht, den Behörden Zugriff auf die Inhalte zu verschaffen. Allerdings will die US-Regierung dieses Urteil nicht hinnehmen und hat Berufung angekündigt.

Insgesamt bleibt also die grundlegende Frage über die Befugnisse von US-Behörden und die Zugriffe auf persönliche Daten auf Smartphones nach wie vor offen und ist nicht geklärt. Die öffentliche Debatte darüber hat auch bereits wieder nachgelassen, dabei wäre es von großem Interesse in diesem Bereich Grenzen zu definieren. Die Auswirkungen dieser Streitigkeiten betreffen auch die Nutzer in Deutschland und Europa, denn die Geräte werden auch hier genutzt und Generalschlüssel für Smartphones oder Zugriff für US-Behörden würden sich dann auch auf deutschen Smartphones oder Backups in der Cloud auswirken.

 

FBI: iPhone geknackt, Hilfe von Apple wird nicht mehr benötigt

Die US-Regierung hat dem kalifornischen Bundesgericht, das mit dem Fall Apple betraut ist, gestern mitgeteilt, dass man die Daten aus dem iPhone des San-Bernadino-Attentäters gekommen sei und damit die Hilfe von Apple nicht mehr benötigt wird. Damit gibt es an sich keinen Grund mehr Apple zu zwingen, das iPhone von sich aus zu hacken oder Backdoors einzubauen. Im Schreiben an das Gericht heißt es kurz und knapp:

The government has now successfully accessed the data stored on Farook’s iPhone and therefore no longer requires the assistance from Apple Inc. mandated by Court’s Order Compelling Apple Inc. to Assist Agents in Search dated February 16, 2016.

Auf welche Weise man an die Daten gekommen ist und welche Daten man gefunden hat, wurde leider nicht mit geteilt. Es gibt auch keine Angabe dazu, wer bei dem Öffnen des Gerätes geholfen hat.

Damit dürfte diesen Einzelfall erledigt sein, es gibt in den USA aber noch weitere Verfahren, in denen die US-Regierung Daten von Smartphones haben möchte und ob man dort ebenfalls ohne die Hilfe von Apple auskommt, bleibt offen. Dazu wird sich Apple natürlich auch Gedanken machen, auf welche Weise die Daten zugänglich waren und eventuelle Gegenmaßnahmen in neueren iOS Versionen installieren. Das grundlegende Problem, wie stark die Regierung in die Sicherheit von privaten Geräten eingreifen darf, ist damit noch lange nicht zu Ende diskutiert.

Dazu gibt es nun ein neues Problem für das FBI. Die Behörde hatte im Zuge der Verfahren gegen Apple vor Gericht und auch unter Eid behauptet, es gebe keine andere Möglichkeit, Zugriff auf die Daten zu bekommen als mit Hilfe von Apple. Das war damals schon stark bezweifelt worden (unter anderem von Edward Snowden) und nun wird deutlich, dass das FBI möglicherweise auch an dieser Stelle nicht die Wahrheit gesagt hatte. Möglicherweise hat man auch in der letzten Zeit seit der Anhörung neue Verfahren entwickelt, sehr wahrscheinlich ist das aber nicht. Der Fall könnte also auch über das iPhone hinaus noch weiter die Gerichte beschäftigen.

Quelle: http://www.heise.de/downloads/18/1/7/7/9/3/2/0/usg-apple-209.pdf

Apple vs. FBI – Anhörung vertagt, Problem besteht weiter

Das kam überraschend: die gerichtliche Anhörung zur Entschlüsselung von iPhones wurde auf Antrag der US-Regierung kurzfristig vertagt. Ursprünglich sollte sie heute stattfinden, nun ist die Anhörung auf unbestimmte Zeit verschoben. Dazu wurde auch die Anordnung an Apple, Zugriff zu Geräten zu gewähren, außer Kraft gesetzt.

Hintergrund dafür sind Ansätze, die es angeblich möglich machen sollen, die Verschlüsselung von Apple Geräte zu durchbrechen. Damit müsste Apple selbst keinen Beitrag mehr leisten, die Sicherheit der eigenen Kunden zu schwächen – es gäbe diese Schwäche bereits. Allerdings gibt es keinen Hinweis darauf, wer der US-Regierung und dem FBI hilft, an die verschlüsselten Daten zu kommen. In der Begründung für die Verschiebung wird lediglich von einer dritten Partei gesprochen.

Unabhängig davon, ob sich die Verschlüsselung von Apple knacken lässt, wird das grundsätzliche Problem damit nicht gelöst. Eine Schwäche in der Verschlüsselung wird Apple wahrscheinlich über kurz oder lang beseitigen, neue Versionen sind damit wieder nicht auslesbar. Das Problem des Zugriffs wird damit nur in die Zukunft vertagt.

Die Debatte selbst muss aber geführt werden. Es ist wichtig für eine Regierung und auch für Apple und andere Anbieter, zu definieren, was an öffentlichen Zugriff erlaubt ist und was nicht. Man muss sich auch der Diskussion stellen ob es verhältnismäßig ist, die Sicherheit der Daten aller Nutzer zu gefährden, um in extremen Fällen an die Daten einzelner zu kommen. Aus diesem Grund ist es schade, dass die Anhörung heute nicht stattfinden wird, denn die Argumente beider Seiten wären durchaus interessant gewesen.

Apple vs. FBI – Bill Gates hält zur Regierung

Bill Gates hat sich im Streit um die Zugriffsmöglichkeiten der US Regierung auf verschlüsselte Nutzerdaten auf iPhones auf die Seite des FBI gestellt. In einem Interview mit der Financial Times hielt er die Anfragen des FBI für weitgehend unproblematisch, weil es hier um Zugriff in einem speziellen Fall gehen würde und nicht um einen generellen Zugriff.

Im Interview heißt es weiter:

“It is no different than [the question of] should anybody ever have been able to tell the phone company to get information, should anybody be able to get at bank records. Let’s say the bank had tied a ribbon round the disk drive and said ‘don’t make me cut this ribbon, because you’ll make me cut it many times.’”

Tatsächlich ist der Fall aber nicht so speziell und lässt sich auch kaum auf ein einziges Gerät eingrenzen. Wenn Apple eine Backdoor in die Geräte baut kann diese natürlich auch von anderen genutzt werden. Auch wenn man nur eine Software schafft, die Geräte knacken kann, gibt es keine Garantie, dass diese Software nicht in falsche Hände gerät.

Das es sich tatsächlich nicht um nur einen Einzelfall handelt, zeigen neue Zahlen aus dem US Justizministerium. Mittlerweile wären 12 Fälle dort vorhanden, bei denen Apple Daten von Geräten heraus geben soll, die mutmaßlichen Terroristen gehören.

(via recode)

John McAfee – ich essen meinen Schuh, wenn ich das iPhone nicht hacken kann

Nach dem Brandbrief von Apple zur Einrichtung von Backdoors in iPhones, die das FBI fordert, hat sich nun auch John McAfee in die Debatte eingeschaltet. Er hat Gastartikel in verschiedenen Medien veröffentlicht und darin ein Angebot an das FBI unterbreitet. Er sei sich sicher, das San Bernadino iPhone hacken zu können, ohne das eine Backdoor notwendig würde.

Im Artikel heißt es im Detail:

I will, for free, decrypt the information on the San Bernardino iPhone with my team. We will primarily use social engineering and it will take us three weeks. If you accept my offer, then you will not need to ask Apple to place a backdoor in their product, which will be the beginning of the end of America.

Auf Business Insider geht er sogar noch weiter und verspricht, seinen Schuh vor laufender Kamera zu essen, wenn es nicht gelingt, das Gerät zu öffnen. Nach seiner Meinung hat die Entschlüsselung auch wenig mit der Technik selbst zu tun sondern in erster Linie mit Social Engineering. Je mehr man über den Besitzer weiß, desto einfacher ist es, das Passwort zu erraten.

Sein Angebot im Detail:

I would eat my shoe on the Neil Cavuto show if we could not break the encryption on the San Bernardino phone. This is a pure and simple fact.

Auf Twitter diskutiert er sein Angebot ebenfalls mit:

Tatsächlich hat John McAfee im Bereich Sicherheit in den letzten Jahren eher wenig auf sich aufmerksam gemacht, bis auf seine Anti-Viren-Software (die von vielen eher als Perfomance Bremse gesehen wird) gibt es kaum neue Entwicklungen. Ob er sein Angebot daher wirklich umsetzen könnte bleibt zweifelhaft, lustig wäre der Versuch wohl auf jeden Fall.

Apple bekommt Unterstützung von Google gegen das FBI

Der Brandbrief von Apple gestern zum Vorgehen der US-Regierung um Zugang zu iPhones zu bekommen, hatte für einiges Aufsehen gesorgt. Apple sollte per Gerichtsbeschluss gezwungen werden, die Sicherheitssysteme in den iPhones und iPads zu umgehen und Software zu entwickeln, mit der sich die Verschlüsselung der Nutzerdaten in den Geräten aufheben lässt. Apple sollt – so das Unternehmen im Brief – die eigenen Nutzer hacken.

Google CEO Sundar Pichai hat sich gestern ebenfalls in die Debatte eingeschaltet und sich auf die Seite von Apple gestellt. Auf Twitter erklärte er, dass es natürlich gesetzlichen Zugang zu den Geräten gibt, aber das es eine ganz andere Sache wäre, Backdoors und Hacks für Geräte bereit zu stellen. Das wäre ein Präzedenzfall, der die gesamte Datensicherheit der Bürger kompromittieren würde.

Das scheint zu heißen, dass auch Android bisher noch keine Backdoors für die US-Regierung beinhaltet, allerdings sind die normalen Sicherheitslücken in veralteten Android Systemen wohl auch ausreichend genug um Zugriff zu bekommen.

Auch US Präsidentschaftskandidat Donald Trump hat sich in die Debatte eingeschaltet. Wie üblich reduziert er die komplexe Diskussion auf wenige Schlagworte in einem Statement von ihm heißt es:

Auf Deutsch: Wenn die Regierung Zugriff haben will, dass muss sie ihn bekommen, egal was eine Firma wie Apple an Bürgerrechten anführt.