Achterdeur versus voordeur

Onze gegevens zijn tegenwoordig vaak goed beveiligd: nieuwe iPhones hebben standaard een versleuteld geheugen en de Chrome browser geeft nu een waarschuwing wanneer de website die je bezoekt geen transitencryptie gebruikt.

Al die encryptie stelt overheden voor een probleem: voor hun opsporingsdiensten wordt toegang krijgen tot gebruikersgegevens lastiger. In deze editie van Cybernieuwtjes bekijken we ontwikkelingen rond twee manieren waarop overheden proberen toegang te krijgen.

Al in de jaren ‘90 deed de Amerikaanse overheid tevergeefs een poging om een back door af te dwingen in mobiele telefoons. Met een speciale chip zou alleen zij kunnen meeluisteren met de gesprekken van gebruikers. Fabrikanten en activisten zagen dit niet zitten en het conflict kwam bekend te staan als de crypto wars. De chip kwam er niet.

In zekere zin zijn we sindsdien wel in een koude crypto-oorlog terecht gekomen: het onderliggende probleem is namelijk nooit opgelost en de omvang van onze digitale communicatie is alleen maar gegroeid. Tegenwoordig hebben opsporingsdiensten bijvoorbeeld te maken met IS-sympathisanten die Telegram gebruiken om onderling te communiceren.

Vorige week brachten vijf overheden van Westerse landen een gezamenlijke verklaring naar buiten dat zij lawful access gaan afdwingen als techbedrijven niet beter zullen meewerken aan gegevensverzoeken.

Een commentator wijst erop dat de overheidsinstanties die de verklaring uitbrachten geen wetgevende macht hebben en dat dit daarom vooralsnog spierballentaal is. Maar het duidt op een breder dilemma.

In 2016 probeerde de FBI om via de rechter, dat wil zeggen via de voordeur, Apple te dwingen om de iPhone van een verdachte te ontsleutelen. Toen het verzoek werd afgewezen, maakte de FBI gebruik van een specialistisch beveiligingsbedrijf om alsnog toegang te krijgen tot de gegevens op het apparaat.

In Nederland worstelen het OM en de AIVD ook met toegang tot versleutelde systemen, zeiden beide instanties eerder. Het liefst zou het OM bijvoorbeeld van WhatsApp toegang krijgen tot de berichten van gebruikers. Het kabinet zei destijds een ‘antwoord’ te willen hebben op onkraakbare encryptie, maar vond die sterke encryptie tegelijkertijd ook belangrijk.

Doordat beveiligingsbedrijven kennis hebben over verder onbekende kwetsbaarheden in apparatuur, kunnen zij toegang verkopen tot de gegevens die opsporingsdiensten graag willen. De FBI betaalde voor het ontsleutelen van de iPhone ruim een miljoen dollar. Dit werpt de vraag op of dit beter is dan toegang verkrijgen via de rechter.

Er ontstaat zo namelijk een markt voor het verzamelen en in stand houden van achterdeurtjes in onze apparatuur, in plaats van deze kwetsbaarheden te melden bij de fabrikant zodat ze gedicht kunnen worden.

In het geval van de zaak Apple vs. FBI ging het om de iPhone van een verdachte die veertien personen had gedood, en is het gebruik van deze middelen dus best te motiveren. Maar dezelfde hackingtools kunnen net zo goed gebruikt worden door autoritaire regimes om journalisten, advocaten, en mensenrechtenactivisten te bespioneren.

Europese bedrijven mogen daarom zulke tools straks niet meer leveren aan landen waaraan ook geen conventionele wapens verkocht mogen worden.

In het regeerakkoord stellen VVD, CDA, D66 & CU bovendien dat de Nederlandse overheid geen hackingtools meer zal kopen van bedrijven die ook leveren aan “dubieuze regimes”.

De verkopers van zulke hackingtools beweren steevast dat zij niet gaan over hoe hun klanten hun producten gebruiken. Dat wil zeggen: wat opsporingsdiensten van diverse landen ermee uitspoken. Maar met die verantwoordelijkheid wordt vaak losjes omgesprongen. Dit bleek opnieuw uit documenten uit rechtszaken tegen leverancier NSO group die deze week werden gepubliceerd.

Journalist Huib Modderkolk vraagt zich af of de betreffende leverancier na deze berichtgeving nog kans maakt op opdrachten van Nederlandse overheid. Een interessante vraag.

Westerse opsporingsdiensten zitten hoe dan ook in een lastig (Landelijk) parket. Proefballonnetjes zoals vorige week ten spijt, de schijn is er niet naar dat zij voorlopig via de ‘voordeur’ structureel toegang tot gebruikersgegevens gaan krijgen om hun wettelijke taak uit te oefenen. Daarom zijn zij vooralsnog aangewezen op leveranciers van hackingtools zoals het schimmige NSO group. Maar is dat echt beter, aangezien zij daarmee een markt creëren voor het geheim houden van kwetsbaarheden?

Of is er een derde manier? Een tussendeur, een schuifdeur? We horen graag wat jullie denken.