De Column: Hans Van de Looy - mei 2016

Update 27 - de Column - Mei 2016

In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op een uit eenlopende onderwerpen rondom IT-beveiliging. Dit keer is het woord aan Hans Van de Looy.

DE COLUMN

"May you live in interesting times"

Als je de laatste maand(en) de media een beetje gevolgd hebt, kan het je niet ontgaan zijn dat Apple en de FBI een meningsverschil hadden over een zeer specifieke telefoon. Kort resumerend vroeg de FBI aan Apple om de telefoon van een dode terrorist zodanig te manipuleren dat zij toegang kregen tot de daarop opgeslagen gegevens. Apple weigerde dit en het kwam tot een gang naar de rechter. Maar nog voordat er een proces gevoerd werd was er al een mediacircus van voor- en tegenstanders. Uiteindelijk heeft de FBI toegang gekregen tot de gegevens op het toestel zonder medewerking van Apple. Storm in een glas water? Of is er meer aan de hand?

Zelf stelde ik me een aantal vragen bij dit verhaal: zouden de Amerikaanse inlichtingendiensten werkelijk niet over eigen middelen beschikken om deze toegang te verkrijgen? Wat zou het gevaar kunnen zijn van een versie van iOS waarmee inlichtingendiensten eenvoudiger toegang konden krijgen tot een iPhone? Welk spel wordt hier gespeeld? Maar ook: Waarom maakt Apple zich zo druk over deze ene telefoon? Welke gegevens slaan we eigenlijk allemaal op op dergelijke apparatuur? Wat sturen we allemaal naar leveranciers van dergelijke apparatuur? Welke beveiligingsaspecten spelen hier eigenlijk allemaal een rol? Als je meer wilt weten over dit onderwerp raad ik je aan op 23 juni a.s. naar de ReeHorst in Ede te komen voor de veertiende editie van de Black Hat Sessions. Deze editie staat geheel in het teken van Mobile (In)security, zie ook de informatie elders in deze Update.

Zie hier één van de redenen dat er onvoldoende uren in een nacht zitten om de schijnbaar noodzakelijke 7+ uur slaap te halen. Informatiebeveiliging is een leuke hobby met een enorm spectrum aan mogelijke onderzoeksgebieden waar we allemaal rekening mee moeten houden om tot een zekere mate van vertrouwen te kunnen komen.

Uiteindelijk komt het er op neer dat ik nog steeds een groot voorstander ben van de bescherming van ons grondrecht op privacy; het recht door de staat en door andere personen met rust gelaten te worden. Maar vrouwe Justitia heeft niet voor niets een balans in haar hand. Er moet te allen tijde een evenwicht gevonden worden, en om dat te bewaken hebben we de rechterlijke macht. Dat Apple zich voordeed als beschermer van het recht op privacy kwam ze marketingtechnisch goed uit en ze hadden sterke argumenten. Dat de FBI dit voor de rechter wilde brengen is ook hun goed recht, want er moest een gewogen afweging gemaakt worden. Tot zover niets aan de hand. Maar wat gebeurde er daarna?

Na enkele weken dagelijks op de hoogte gehouden te worden door de media over de voors en tegens van de zaak FBI versus Apple, gaf de FBI te kennen dat ze Apple niet meer nodig hadden om de gevraagde toegang tot het apparaat te verkrijgen. In meer gespecialiseerde mailinglijsten waren er al lang meerdere mogelijkheden aangegeven waarop de beperking (maximaal tien keer proberen een code te raden waarna de geheime sleutel waarmee de gegevens versleuteld waren zou worden vernietigd) kon worden omzeild. Een extern clubje heeft dit klusje voor de FBI gedaan. Probleem opgelost zou je misschien in eerste instantie willen zeggen, maar er is meer aan de hand. Waar blijft de afweging door een rechter? Waar is die veiligheid ineens gebleven waar Apple zo trots op was? Wat hebben we hiervan geleerd?

Het eerste dat duidelijk naar voren komt is dat de marketing van Apple altijd zal proberen om een negatief bericht zodanig te manipuleren dat het positief uitpakt voor het bedrijf. Apple blijft weliswaar de privacy van hun gebruikers serieus nemen en continu verbeteringen aanbrengen om deze privacy te waarborgen, maar dit heeft duidelijk zijn grenzen. En daarnaast lijkt het er nu op dat overheidsdiensten commerciële dienstverleners in kunnen huren om deze maatregelen te omzeilen zonder tussenkomst van de eerder genoemde rechter en daar hoor ik verder niets meer over! Doordat Snowden duidelijk heeft gemaakt dat inlichtingendiensten wel vaker hun mandaat te buiten gaan mag dat laatste misschien wel als bekend worden verondersteld, maar dat mag toch niet betekenen dat we hiermee stilzwijgend instemmen?

Zeker niet wanneer je inziet welke informatie we tegenwoordig al dan niet bewust op dergelijke apparaten opslaan. Denk hierbij niet alleen aan je agenda, alle contactgegevens van familie, bekenden en bedrijfsrelaties, notities, (privé)foto’s en filmpjes, historie van je browsers, zoektermen, allerlei gezondheidsgerelateerde gegevens en niet te vergeten route- en locatie-informatie. Waarschijnlijk weet dat apparaat meer van je dan je meest vertrouwde relatie!

Laten we er dus bewust mee omgaan, wetende dat bepaalde zaken uiteindelijk toegankelijk zijn voor grote leveranciers en overheden. De Chinese vloek -- “宁為太平犬,莫做亂离人 (nìng wéi tàipíng quan, mò zuò luàn lí rén)”, vaak vertaald tot “May you live in interesting times” blijft onveranderd van kracht.

Veel leesplezier!

Hans Van de Looy
Partner, principal security consultant

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa