Kommentar zu den Möglichkeiten des FBI

Das FBI kann auf die iPhone-Daten zugreifen!

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus den aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Erst die Klage, dann der Auftritt vor dem Kongress. Das FBI hat sich - meiner Meinung nach - mehr als selbst beschämt. Entweder besteht wirklich eine derartige IT-Unkenntnis oder es wird bewusst versucht, über den aktuellen Fall weitreichende Weisungsbefugnisse gegen Konzerne und Unternehmen zu erwirken.
FBI: Endlose Mittel aber begrenztes Knowhow?
FBI: Endlose Mittel aber begrenztes Knowhow?
Foto: FBI Photos

Zu Beginn ist es bestimmt interessant wie sich die Organisationen FBI, CIA und NSA unterscheiden: Die CIA (Central Intelligence Agency) ist ein Geheimdienst, der ein umfangreiches Aufgabenfeld hat und dafür in aller Regel Menschen (Spione) einsetzt. Neben Spionage, Beschaffung und Analyse von Informationen ausländischer Regierungen, Personen oder Vereinigungen gehören auch ausländische Operationen zu den Aufgaben. Im Unterschied zur CIA ist die NSA (National Security Agency) für die weltweite Sammlung und Auswertung von elektronischen Daten, wie etwa Telefon und Internet, zuständig. Das FBI (Federal Bureau of Investigation) ist die zentrale Sicherheitsbehörde der Vereinigten Staaten. In ihr ist die landesweite Strafverfolgungsbehörde als auch der Inlandsgeheimdienst der US-Bundesregierung zusammengefasst.

Es wäre jetzt anmaßend zu behaupten, das FBI hätte nicht die notwendigen Mittel, aber spätestens seit den Enthüllungen von Edward Snowden wissen wir, wozu eine NSA (mit Leichtigkeit) fähig ist. Es ist meine feste Überzeugung, dass die NSA Mittel hat, die dem FBI entweder nicht zur Verfügung stehen, oder die das FBI nicht nutzen will, weil es den Fall lieber in der Öffentlichkeit austragen möchte.

Kompetenz (-Aufbau) beim FBI

Ich habe nun den Prozess zwischen FBI und Apple verfolgt und in einigen Kommentaren hier bereits behandelt. Dabei habe ich immer die Stellung von Apple vertreten und mich gefragt, warum es überhaupt so weit kommen musste. Spätestens seit dem Auftritt vor dem Kongress, am 1. März, wird in mir das Gefühl stärker, dass das FBI bei weitem nicht alle Mittel und Möglichkeiten nutzt, was das Thema "Aufbrechen eines iPhones" angeht.

Die Antworten des FBI-Direktors im Kongress waren sehr spannend. Direktor Comey bekräftigt, dass 16 Government Agencies nicht in ein 8GB iPhone 5c eindringen können. Die geballte Power des FBI, sowohl finanziell als auch was das Know-Hows anbelangt, reichen nicht aus. Technische Fragen eines Mitglieds des Senats konnte der FBI Direktor dabei nicht immer korrekt beantworten.

Dies verdeutlichte, dass das FBI anscheinend offensichtliche Wege nicht vollzogen hat, um an die Daten des iPhones der Terroristen zu erlangen. Viel mehr verlässt sich der Direktor auf Aussagen von Experten, die ihn, so erweckt er mir den Eindruck, zu dem gerichtlichen Vorgehen gegen Apple hin gesteuert haben.

Datenzugriff mobil - aber bitte geschützt - Foto: ArtFamily - shutterstock.com

Datenzugriff mobil - aber bitte geschützt

Entweder hat der Direktor die technischen Hintergründe vergessen oder wurde schlecht beraten. Man darf doch von so einem Gremium erwarten, dass man sich vorbereitet. Wie kann ein Direktor dort sitzen, ohne einen "Spickzettel" auf dem die wichtigsten "groben" Fakten zu dem iPhone 5c bzw. den Folgegeräten fehlen. Ich kann jedem nur empfehlen, sich das volle Video anzusehen und sich sein eigenes Bild zu machen.

So sehr ich den Standpunkt von Apple anerkenne und unterstütze hoffe ich auch, dass das FBI aus dem Fall lernt, derartige Öffentlichkeitsarbeiten unterlässt und die Zeit bzw. die Mittel aufbringt, ihre "Experten" auf den Stand der Technik des aktuellen Jahrhunderts zu bringen.

Was mich verwundert ist jedoch die gefühlte Beratungsresistenz. So heißt es, dass verschiedene Mitglieder der JailBreak Community ihre Hilfe dem FBI angeboten haben, diese jedoch abgelehnt wurde. Wenn das wahr ist, verstehe ich die Welt nicht, bzw. dann muss man glauben, dass das FBI es explizit darauf anlegt, Apple zu zwingen.

Apple kooperiert, so gut es geht, mit den Behörden!

Anders als bei lokal gespeicherten Daten auf dem iPhone hat Apple Mittel und Wege, auf richterliche Anordnung hin, die im iCloud-Backup angelegten Daten zur Verfügung zu stellen. Dies war bei dem iPhone 5c nicht anders. Um derartige Anfragen zu bedienen, hat Apple ein eigenes Team, das rund um die Uhr zur Verfügung steht.

Ein neues Backup konnte von dem Gerät nicht erstellt werden, da das FBI den Zugangscode zur iCloud ändern ließ. Aber selbst, wenn das Backup vollzogen worden wäre, glaube ich nicht, dass das FBI damit zufrieden wäre. Dies wurde auch in dem Kongress-Termin deutlich gesagt.

Der Grund liegt in dem architektonischen Design dieser Backups: Es sind nur die Daten enthalten, die (laut Apple) nicht einfach wiederhergestellt werden können. So fehlen einige Daten von Apps (dies kann der jeweilige Entwickler steuern), Kennwörter und Keychain-Einträge, aber auch Inhalts-Apps (Enterprise Development Apps, die nicht aus dem öffentlichen AppStore kommen).

Anfragen von Behörden die den Zugriff auf Daten aus einem iCloud-Backup betreffen, werden von dem besagten Team bei Apple anscheinend sehr streng geprüft. So kooperiert Apple nur dann, wenn es zweifelsfrei feststeht, dass es sich um eine rechtmäßige Anordnung handelt. Im Zeitraum Juni 2014 bis Juni 2015 lehnte Apple beispielsweise rund 75 Prozent der getätigten Anfragen als nicht zulässig ab.

Die Aussage vom FBI, dass in einem solchen Backup nicht ALLE Daten vorliegen, ist damit korrekt. Welche Daten "fehlen" und ob welche fehlen, weiß das FBI jedoch.

Apple und das FBI wissen, was auf dem Gerät ist

Die Verbindung von Soft- und Hardware sorgen dafür, dass Apple Produkte erstellen kann, die sicher, zuverlässig, funktional und performant sind. Die Verschlüsselung und Datenschutzmechanismen von iOS sind inzwischen gut dokumentiert. Da dem FBI das Gerät physikalisch vorliegt, braucht es kein Berater-Team von Apple, ein Blick in die Dokumentation genügt für die notwendigen "ersten" Erkenntnisse.

Abgesehen von der Nicht-Lesbarkeit der iOS-Datenpartition, diese ist verschlüsselt, kann das FBI die Daten auf dem Dateisystem (auf dem iPhone 5c) selbst einsehen. Die komplette Dateistruktur kann ausgelesen (dump) werden. Das Wissen dazu liegt vor. Im Ergebnis könnte das FBI erkennen, welche Apps sich auf dem Gerät befinden. Alleine dies gibt Auskunft "wo" evtl. weitere Daten (Backend-Dienste der jeweiligen Apps) vorliegen könnten. Dazu ist KEIN Backup oder Vollzugriff möglich. Ein Blick in die Datenpartition müsste jedoch auch (aufwändig) möglich sein.

Die Hürde ist die Hardware, aber auch die Lösung

iOS-Geräte verwenden NAND-Flash-Speicher als Hauptspeicherbereich. Alle Daten werden hier, wie beschrieben, in der verschlüsselten Datenpartition gespeichert. Der iOS-Flash-Translation-Layer ist für vorhandene Geräte eine Software-basierte (implementiert in iBoot und Kernel) Umsetzung durch die die CPU direkten Zugriff auf den Raw-NAND-Speicher hat.

Die dort abgelegten Daten unterliegen der PIN basierten Verschlüsselung. Wird die Eingabe wiederholt falsch eingegeben, löscht iOS nach der zehnten Fehleingabe den Schlüssel zur Entschlüsselung und der NAND wird unbrauchbar für das FBI. Der Trick ist nun, den NAND auszubauen und zu klonen (duplizieren), bis es genug Duplikate gibt, um nach einem Löschen noch eine Version zu haben.

Das Ausbauen des Speichers wird bereits für Consumer angeboten. Auch wenn es hier nicht um das Eindringen, sondern um das Erweitern auf eine größere Speicherkapazität handelt.

Ich bin mir sicher, das FBI könnte den Chip ausbauen und den Chip physikalisch/virtuell klonen. Das Ganze mit dem iPhone 5C verbinden und die PINs durchprobieren, bis es passt. Eine digitale PIN Eingabe, über einen USB Adapter, habe ich bereits in einem Kommentar dargelegt.

Auch wenn ich selbst das nicht in Gänze "durchführen" kann (bin ja auch keine Behörde mit den entsprechenden Mitteln) glaube ich, dass das FBI (aber auch Apple) diese "kleine" technische Hürde überwinden könnte. Dies wäre eine Lösung für ein Telefon, keine Hintertür und hätte "hinter der Öffentlichkeit" problemfrei stattfinden können. Stattdessen ging das FBI vor die Öffentlichkeit.

Verstehen Sie mich nicht falsch, ich unterstelle dem FBI nicht Unfähigkeit. Ich bin nur der Meinung, dass die Art der Kommunikation "ungünstig" war und/oder ggf. die Expertise im FBI aufgebaut werden muss.

Wie geht die Reise weiter?

Ich hoffe, das FBI verschont uns mit dieser unsäglichen Diskussion, denn es ist nicht nur in der Lage, den Einblick in das Telefon eigenständig zu erlangen, es kann auch prüfen ob es "notwendig" ist. Sicherlich bedarf es einiges an Aufwand, was eine Vorbereitung angeht aber es gibt keinen Grund, warum sie das iPhone 5c nicht öffnen könnten. Man darf nicht vergessen: Es handelt sich hier um keine Behörde, die im Elektronikmarkt um die Ecke einkaufen geht, sondern von einer Behörde mit fähigen Mitarbeitern, Kompetenz in der Forensik und Konzepten jenseits von Google-Recherchen. Sollte diese Kompetenz nicht vorliegen, hoffe ich, dass das FBI aus der Aktion gelernt hat und in die Weiterbildung investiert.

Natürlich könnte auch Apple die Öffnung gleichfalls vollziehen. Aber es geht um das Prinzip: Strafverfolgungsbehörden dürfen Firmen nicht instrumentalisieren, um Daten auf Geräten ihre Kunden auszuspähen, erst recht nicht mit generellen Hintertüren, wo ist doch in meinen Augen eine sehr elegante Lösung wie beschrieben gibt.

Lassen Sie mir noch einen Satz am Rande. Diese hier beschriebenen Möglichkeiten stehen auch anderen Behörden zur Verfügung, ich bin mir sicher, dass diese das in Teilen auch bereits nutzen. Recherchen im Internet zeigen andere Ansätze für Angriffe auf die Hardware älterer iOS Endgeräte (< iOS 8). Mit Hilfe einer sogenannten IP Box ließen sich dort, mit einer ca. 200 britische Pfund teuren Hardware, PIN-Codes von iPhone, iPod Touch und iPad knacken. Auch dies bestätigt mich in der Vermutung, die Geheimdienste könnten an die Daten ran, wenn sie wollten. Apple muss ihnen nicht helfen. (mb)

 

Mark Zimmermann

Das FBI kennt sich doch in der "klassischen" Überwachung aus, gibt's nirgends ein Video auf dem der Terrorist sein iPhone entsperrt ?

Mark Zimmermann

Weitere Kommentare: http://www.computerwoche.de/ap...

Mark Zimmermann

Peinlichkeiten ohne Ende: These eines Bezirksstaatsanwalt aus San Bernardino - Das beschlagnahmte iPhone enthält vielleicht einzigartige Beweise dafür, dass es als Waffe benutzt wurde, um einen bisher noch schlafenden Cyber-Erreger einzuschleusen, der die Infrastruktur von San Bernardino gefährde.

Mark Zimmermann

Bequemlichkeit gehe ich mit, den Eindruck der Sicherheit für illegale Nutzung halte ich aber für etwas weit hergeholt

mlw-reloaded

Reine Bequemlichkeit. Klar kommt man bereits mit mittelprächtigem Knowhow und Equipment an fast alle Daten heran. Hätte man die Hintertür, könnte man schnell mal alle Geräte von Verdächtigen durchleuchten, ohne dafür ein IT-Forensiker zu benötigen.

Oder aber man nutzt diese Möglichkeiten bereits ausgiebig und erfolgreich, möchte aber der Öffentlichkeit überzeugend suggerieren, dass Apple-Geräte nutzen ratsam ist, wenn man in illegale Aktivitäten verstrickt ist.

comments powered by Disqus