Bekijk profielpagina

Achterdeur versus voordeur

Revue
 
Onze gegevens zijn tegenwoordig vaak goed beveiligd: nieuwe iPhones hebben standaard een versleuteld
 

Cybernieuwtjes

8 september · Editie #8 · Bekijk online
In deze nieuwsbrief vatten Joost Schellevis en Xander Bouwman de belangrijkste technologiegebeurtenissen van de week samen. Soms stippen we nieuws aan dat onderbelicht is gebleven, anders serveren we je wat extra leesvoer bij nieuws dat je niet kon ontwijken.

Onze gegevens zijn tegenwoordig vaak goed beveiligd: nieuwe iPhones hebben standaard een versleuteld geheugen en de Chrome browser geeft nu een waarschuwing wanneer de website die je bezoekt geen transitencryptie gebruikt.
Al die encryptie stelt overheden voor een probleem: voor hun opsporingsdiensten wordt toegang krijgen tot gebruikersgegevens lastiger. In deze editie van Cybernieuwtjes bekijken we ontwikkelingen rond twee manieren waarop overheden proberen toegang te krijgen.

De strijd om toegang: voordeur blijft dicht
Al in de jaren ‘90 deed de Amerikaanse overheid tevergeefs een poging om een back door af te dwingen in mobiele telefoons. Met een speciale chip zou alleen zij kunnen meeluisteren met de gesprekken van gebruikers. Fabrikanten en activisten zagen dit niet zitten en het conflict kwam bekend te staan als de crypto wars. De chip kwam er niet.
In zekere zin zijn we sindsdien wel in een koude crypto-oorlog terecht gekomen: het onderliggende probleem is namelijk nooit opgelost en de omvang van onze digitale communicatie is alleen maar gegroeid. Tegenwoordig hebben opsporingsdiensten bijvoorbeeld te maken met IS-sympathisanten die Telegram gebruiken om onderling te communiceren.
Vorige week brachten vijf overheden van Westerse landen een gezamenlijke verklaring naar buiten dat zij lawful access gaan afdwingen als techbedrijven niet beter zullen meewerken aan gegevensverzoeken.
‘Five Eyes’ Nations Quietly Demand Government Access to Encrypted Data
Een commentator wijst erop dat de overheidsinstanties die de verklaring uitbrachten geen wetgevende macht hebben en dat dit daarom vooralsnog spierballentaal is. Maar het duidt op een breder dilemma.
In 2016 probeerde de FBI om via de rechter, dat wil zeggen via de voordeur, Apple te dwingen om de iPhone van een verdachte te ontsleutelen. Toen het verzoek werd afgewezen, maakte de FBI gebruik van een specialistisch beveiligingsbedrijf om alsnog toegang te krijgen tot de gegevens op het apparaat.
In Nederland worstelen het OM en de AIVD ook met toegang tot versleutelde systemen, zeiden beide instanties eerder. Het liefst zou het OM bijvoorbeeld van WhatsApp toegang krijgen tot de berichten van gebruikers. Het kabinet zei destijds een ‘antwoord’ te willen hebben op onkraakbare encryptie, maar vond die sterke encryptie tegelijkertijd ook belangrijk.
De achterdeur als uitweg
Doordat beveiligingsbedrijven kennis hebben over verder onbekende kwetsbaarheden in apparatuur, kunnen zij toegang verkopen tot de gegevens die opsporingsdiensten graag willen. De FBI betaalde voor het ontsleutelen van de iPhone ruim een miljoen dollar. Dit werpt de vraag op of dit beter is dan toegang verkrijgen via de rechter.
Er ontstaat zo namelijk een markt voor het verzamelen en in stand houden van achterdeurtjes in onze apparatuur, in plaats van deze kwetsbaarheden te melden bij de fabrikant zodat ze gedicht kunnen worden.
How Leaked NSA Spy Tool 'EternalBlue' Became a Hacker Favorite
In het geval van de zaak Apple vs. FBI ging het om de iPhone van een verdachte die veertien personen had gedood, en is het gebruik van deze middelen dus best te motiveren. Maar dezelfde hackingtools kunnen net zo goed gebruikt worden door autoritaire regimes om journalisten, advocaten, en mensenrechtenactivisten te bespioneren.
Europese bedrijven mogen daarom zulke tools straks niet meer leveren aan landen waaraan ook geen conventionele wapens verkocht mogen worden.
In het regeerakkoord stellen VVD, CDA, D66 & CU bovendien dat de Nederlandse overheid geen hackingtools meer zal kopen van bedrijven die ook leveren aan “dubieuze regimes”.
De verkopers van zulke hackingtools beweren steevast dat zij niet gaan over hoe hun klanten hun producten gebruiken. Dat wil zeggen: wat opsporingsdiensten van diverse landen ermee uitspoken. Maar met die verantwoordelijkheid wordt vaak losjes omgesprongen. Dit bleek opnieuw uit documenten uit rechtszaken tegen leverancier NSO group die deze week werden gepubliceerd.
Hacking a Prince, an Emir and a Journalist to Impress a Client
Journalist Huib Modderkolk vraagt zich af of de betreffende leverancier na deze berichtgeving nog kans maakt op opdrachten van Nederlandse overheid. Een interessante vraag.
Westerse opsporingsdiensten zitten hoe dan ook in een lastig (Landelijk) parket. Proefballonnetjes zoals vorige week ten spijt, de schijn is er niet naar dat zij voorlopig via de ‘voordeur’ structureel toegang tot gebruikersgegevens gaan krijgen om hun wettelijke taak uit te oefenen. Daarom zijn zij vooralsnog aangewezen op leveranciers van hackingtools zoals het schimmige NSO group. Maar is dat echt beter, aangezien zij daarmee een markt creëren voor het geheim houden van kwetsbaarheden?
Of is er een derde manier? Een tussendeur, een schuifdeur? We horen graag wat jullie denken.
Ook in het cybernieuws
VVD en GroenLinks willen af van rood potlood
Tot slot
Releasing the Dragon Releasing the Dragon
Hoe vond je deze editie?
Als je deze nieuwsbrief niet meer wilt ontvangen, dan kun je je hier afmelden.
Als deze nieuwsbrief doorgestuurd is en je wilt je aanmelden, klik dan hier.
Gemaakt door Cybernieuwtjes met Revue.