IMEI zou emailadres achterhalen

-
Ciphrhack.com "publiceert" lijst met gehackte adressen

De wereld van PGP telefoon-gebruikers is de laatste maanden nogal snel in paniek. Niet geheel onterecht en ook wel logisch na de zaak Ennetcom en andere afschrikwekkende berichten, maar laten we even rustig kijken wat er aan de hand is.

De in maart 2017 (voor de gelegenheid?) geregistreerde en in Belize (een landje in Zuid Amerika met 300.000 inwoners) gehoste ciphrhack.com website doet op de website een aantal opvallende claims, waaruit zou moeten blijken dat alle ciphr emails/ servers (whatever that may mean) "comprimised" zouden zijn. De claims zijn als volgt:

  • Police can retrieve the IMEI/MEID of an associated ciphr email
  • Using the IMEI/MEID police can triangulate the location of the device via cellular network towers
  • Using this information it is possible to geolocate the device's exact location and history.

Laten we even voorbij gaan aan het feit dat de website nogal vluchtig opgezet lijkt te zijn om één standpunt duidelijk te maken, namelijk dat "alle ciphr emails" compromised zouden zijn. Dat de informatie dan vervolgens getoond wordt vanuit een bestandje dat elite.txt heet (http://ciphrhack.com/elite3.txt) en dat de helft van de IMEI's die ik steekproefgewijs gecheckt heb Samsung toestellen betrof (IMEI » toestel / type kan je gewoon checken op www.imei.info) geeft op zijn minst te denken. Laten we er even van uit gaan dat dit niet bedoeld is om eliteguard.tk te schaden en laten we de standpunten op een rijtje zetten.

1) Politie kan obv emailadres IMEI achterhalen

Zelf heb ik (nog) niet de luxe gehad om net zoals het Openbaar Ministerie een in beslag genomen BlackBerry / BES server te mogen onderzoeken, maar men moet nogal forse inrichtingsfouten maken als je op basis van een emailadres iemand zijn IMEI weergeeft. IMEI is niet een onderdeel dat je meestuurt als je een email verstuurt (nee, ook niet in META-data of headers), net zoals je je kenteken niet mee stuurt als je een belletje vanuit de auto doet. Het lijkt een loze claim waarbij niet eens de moeite is genomen om dit met enige aannemelijkheid 'aan te tonen'.

Imei hack Blackberry IMEI hack?

2) Politie kan obv IMEI de locatie 'triangulaten'

Dat is waar en dat is ook nooit een geheim geweest. Wie veronderstelt dat de locatie van het device niet te bepalen is indien de politie het imei weet heeft echt onder een steen geleefd. Je meldt je aan op een paal en daarmee is de kous af, providers geven onder Nederlandse wetgeving deze data over aan de politie en deze kan op haar beurt misdrijven oplossen en/of reconstrueren. Niets nieuws onder de zon, vergelijk het met het feit dat de politie wel weet waar je auto heeft uitgehangen en je tomtom is geweest.

3) Politie kan locatie en geschiedenis 'geolocaten'

Ewh, juist, dat is dus hetzelfde.

Don't worry, nothing is under control

Hoewel we bij CBSEC begrijpen dat in de huidige situatie dit soort berichten zorgen baren is het goed om te realiseren dat de nieuwswaarde van dit bericht, fake of niet, nihil is. Een locatie van iemand bepalen waarvan je het IMEI weet is net zo makkelijk als een locatie van iemand bepalen waarvan je een kentekenplaat hebt. Je IMEI is je identificatie naar de telefoonpaal en wordt samen met de stream van je SIM naar de paal verstuurd en door de provider bewaard. Een buitenlandse SIM of iets dergelijks helpt hierbij niet. Serieus, als je 100% "untraceable" wil zijn, gooi je telefoon weg! Een wijs man zei eens: "Elk soort communicatie-device kan gebruikt worden om je te tracken, immers: om het te laten werken zal je op een bepaald moment een connectie nodig hebben naar een bedrijf en, indirect, naar de overheid.".

Focus op de encryptie, zorg dat deze altijd alleen op het device gebeurt en dat de privé-sleutels ook nooit naar een server worden verstuurd (ook niet als backup).

Meer informatie?

PGP Telefoons CBSEC

Patrick Neeteson foto klein

CTO CBSEC

Contact opnemen