De rechtszaak die technologie en privacy tientallen jaren zal definiëren

Op 2 december 2015 schoot het echtpaar Syed Rizwan Farook en Tashfeen Malik veertien mensen neer op een trainingsevenement voor het ministerie van volksgezondheid in San Bernardino, Californië, waar Farook werkte. Nog eens tweeëntwintig raakten gewond bij wat de dodelijkste massa-schietpartij in de Verenigde Staten sinds 2012 was, en de dodelijkste in Californië sinds 1984. De hele schietpartij duurde minder dan vier minuten.

De schutters vluchtten het toneel uit in een huurauto en lieten explosieven achter die bedoeld waren voor noodhulpdiensten. Gelukkig zijn deze bommen nooit ontploft.

Ongeveer vier uur na de schietpartij kon de politie Farook en Malik vinden en stoppen in hun huurauto. Er was een vuurgevecht en beide schutters stierven ter plaatse.

apple-v-fbiAfbeelding van het Sheriff’s Department van San Bernadino County.

Volgens de FBI hadden Farook en Malik Facebook-berichten naar elkaar gestuurd waarin ze zich beiden inzetten voor de gewelddadige Jihad. Hun Facebook-profielen verklaarden ook trouw aan ISIS-leider Baghdadi. In het licht van deze bevindingen definieerde president Obama op 6 december 2015 de schietpartij als een terroristische aanval – de dodelijkste op Amerikaanse bodem sinds 9/11.

Volgens de media hadden Farook en Malik allebei hun persoonlijke telefoons vóór de aanval grondig vernietigd, waardoor het onmogelijk was om informatie van de apparaten op te halen.

De werkgever van Farook had hem echter een iPhone 5C gegeven, die Farook niet voor zijn dood had vernietigd. Deze iPhone heeft iOS 9, dat is beveiligd met een numerieke toegangscode en regelmatig werd ondersteund door Apple’s iCloud-service. Hoewel de informatie op de iPhone zelf is gecodeerd, zijn de back-ups in de cloud dat niet. De onderzoekers hadden een automatische iCloud-back-up kunnen activeren door de iPhone eenvoudig terug te brengen naar een van de wifi-netwerken waartoe hij eerder toegang had gehad. Maar deze optie werd betwist toen een onderzoeker de wachtwoorden van het iCloud-account opnieuw instelde, waardoor de automatische back-ups werden uitgeschakeld.

Waarom de toegangscode van de iPhone niet kan kraken

Hoewel een eenvoudige numerieke toegangscode voor elke computer gemakkelijk te raden is, voorkomen drie beperkingen in iOS 9 dat apparaten worden gekraakt:

  1. Er is een vertraging van 80 ms tussen elke poging tot wachtwoord.
    • Hoewel de vertraging van 80 ms een aanval zou vertragen, zou het in theorie toch 800 seconden duren om alle 10.000 mogelijke combinaties van een viercijferige code te doorlopen. Zonder de kunstmatige vertraging zou het minder dan een seconde duren om het wachtwoord te kraken. Deze vertraging wordt erg belangrijk bij langere wachtwoorden.
  2. De toegangscode moet handmatig worden ingevoerd.
    • Als het twee seconden duurt om handmatig een onjuiste toegangscode in te voeren en een foutmelding te krijgen, duurt het nog ongeveer vijf en een half uur om de code te raden.
  3. De kicker: het apparaat wordt na tien mislukte pogingen onherstelbaar.
    • Hoewel de eerste twee beperkingen alleen relevant zijn voor complexe toegangscodes waarvoor miljoenen of miljarden mogelijke combinaties bestaan, maakt deze derde barrière het volledig onhaalbaar om te proberen de telefoon te ontgrendelen door eenvoudig het wachtwoord te raden.

Om deze barrières te omzeilen, zou de FBI hun eigen versie van de iOS-firmware moeten schrijven, deze op de telefoon moeten laden en vervolgens proberen het wachtwoord automatisch te raden. Een dergelijke techniek kan nog steeds mislukken als de telefoon met een sterk wachtwoord wordt beschermd, omdat het tegenwoordig te lang zou duren om de computers te kraken.

Misschien beschikt de FBI niet over de technologische ervaring om zo’n hacktool te maken. Maar het is zeer waarschijnlijk dat andere agentschappen, zoals de NSA, dat ook doen. We weten niet of de FBI de NSA om hulp in deze kwestie heeft gevraagd, of dat de NSA al software heeft ontwikkeld die de drie hierboven genoemde beperkingen kan dwarsbomen, maar we weten wel dat dit zou kunnen – net zoals we weten dat Apple dat zou kunnen.

hack-appleDe FBI vraagt ​​Apple zichzelf in de rug te steken.

De FBI wil Apple helpen Apple-apparaten te hacken

Toen de FBI Apple vroeg om hen vrijwillig te helpen bij het maken van software om de drie beperkingen te verwijderen, zei Apple nee. Dus, een paar dagen voordat het bevel om de telefoon te doorlopen, verstreek, zocht de FBI de hulp van de Amerikaanse rechtbank voor het district Californië. Op 16 februari beval de rechtbank Apple om te voldoen aan het verzoek van de FBI.

De oorspronkelijke bestelling vroeg Apple om de FBI te voorzien van firmware die de beperkingen omzeilt, hoewel het Apple wel de toestemming geeft om firmware te ontwerpen die alleen op de telefoon van Farook kan werken, zoals geïdentificeerd door zijn unieke identificatie (UDID), die werkt als een serienummer . Het bevel geeft Apple ook de mogelijkheid om dit ‘herstel’ op eigen terrein uit te voeren en de overheid kosten in rekening te brengen voor ‘het verlenen van deze service’.

Apple weigerde te voldoen en hun reactie, ondertekend door CEO Tim Cook, is sindsdien talloze malen geprezen en gedeeld via internet. In hun reactie benadrukt Apple dat ze al alle gegevens hebben gedeeld die ze kunnen delen (waaronder vermoedelijk de iCloud-back-ups van de betreffende iPhone), en ze hebben alles gedaan binnen de wet om de FBI te helpen.

Apple benadrukt ook dat het technologisch onmogelijk zou zijn om dit soort software te maken op een manier die slechts eenmaal kan worden gebruikt. Alle firmware die Farook’s telefoon kan kraken, werkt op elk ander iOS-apparaat. De federale overheid heeft al in 12 andere gevallen de hulp van Apple gezocht om telefoons te ontgrendelen, en de nieuw gemaakte software zal ongetwijfeld opnieuw worden gevraagd de volgende keer dat de FBI toegang tot een telefoon wil hebben. Als er eenmaal een juridisch precedent is vastgesteld, zou het heel moeilijk zijn om een ​​vraag in de toekomst te weigeren.

De FBI wil dat u hun kant kiest

Het lijkt erop dat de FBI de zaak van Farook heeft gekozen om een ​​precedent te creëren. De FBI koos het niet vanwege de relevantie ervan voor de nationale veiligheid, maar omdat Farook’s label als ‘terrorist’ het waarschijnlijker maakt dat de publieke opinie de kant van de FBI kiest.

We zijn niet alleen getuige van een rechtszaak maar ook een strijd om de publieke opinie. En er staat veel op het spel.

De FBI is vastbesloten om een ​​juridisch precedent in te stellen waarin het met succes een gecodeerde telefoon ontgrendelt met behulp van aangepaste firmware, omdat het tientallen, zo niet honderden ontgrendelde telefoons als bewijs in strafrechtelijke processen wil gebruiken. Hulp zoeken bij de NSA om een ​​apparaat te ontgrendelen kan nuttig zijn in een onderzoek, maar wanneer het tijd is voor een openbare proef, zou de NSA niet bereid zijn om details te delen over hoe ze het bewijs hebben verkregen, en het bewijs zou moeten worden afgewezen. En zonder bewijs kan niemand worden veroordeeld voor een misdrijf.

In dit geval stelt de FBI dat Farook deze telefoon mogelijk heeft gebruikt om met zijn collega’s te communiceren. Stel je voor dat de NSA het apparaat al had gehackt en ontdekte dat een van Farook’s collega’s voorkennis of zelfs betrokkenheid bij de aanval had. Kennis van deze mededeling is niet noodzakelijkerwijs voldoende voor deze collega om veroordeeld te worden omdat de officier van justitie of de FBI niet in staat zou zijn om de rechtbank uit te leggen hoe zij weten (d.w.z. met hulp van de NSA), en het bewijsmateriaal niet ontvankelijk zou zijn.

Wie moet je vertrouwen: Apple of de FBI?

Deze FBI versus Apple-rechtszaak brengt Apple in een uiterst moeilijke situatie, omdat hun beslissing de beveiliging van alle Apple-apparaten beïnvloedt, niet alleen de iPhone van Farook. Hoewel het waarschijnlijk is dat Apple bereid zou zijn om te helpen bij het verzamelen van bewijs in dit specifieke geval, heeft het verstrekken van een gewijzigde versie van hun software aan de FBI ernstige gevolgen.

Net als bij andere technologie en gegevens, is het niet onredelijk om aan te nemen dat deze wachtwoord-raden software zich snel zou verspreiden: eerst onder verschillende instanties van de Amerikaanse overheid, vervolgens naar buitenlandse regeringen, vervolgens naar georganiseerde criminele organisaties, en later eindigen als een open -hulpmiddel op Github.

Deze kwestie is minder een kwestie van gegevensprivacy (een filosofisch recht) dan van gegevensbeveiliging (een technisch probleem), hoewel de twee onderling verbonden zijn. Hoewel Apple, en in het bijzonder Tim Cook, in het verleden heeft gesproken over onze behoefte aan privacy, hebben Apple-producten haar concurrenten overtroffen als de beste in hun klasse als het gaat om ingebouwde apparaatbeveiliging.

Apple wil samen met andere fabrikanten dat we al onze persoonlijke informatie op apparaten in onze zakken, bij ons thuis en op onze polsen opslaan. Om dat te doen, moeten de technische reuzen ons overtuigen dat hun apparaten veilig zijn. Tot nu toe is Apple zeer succesvol geweest bij het vestigen van vertrouwen bij hun klanten en het overtuigen van mensen dat Apple-producten veilig zijn. Als deze vertrouwensrelatie zou worden geschaad, vooral op zo’n openbare manier, zou de marktpositie van Apple ernstig kunnen worden geschaad.

In tegenstelling tot Apple hebben de regering van de Verenigde Staten en de verschillende agentschappen niet langer de reputatie die ze vroeger hadden, vooral zoals waargenomen door individuen en organisaties in het buitenland. Apple is dus een betrouwbare leverancier voor internationale bedrijven en buitenlandse overheden: ze zijn bereid om op te komen tegen de FBI en ze werken onvermoeibaar om de veiligheid van hun producten te handhaven – zelfs tegen enkele van de meest geavanceerde potentiële tegenstanders..

apple-ongrondwettigMoet Apple worden beschermd door de overheid?

Zijn de eisen van de FBI ongrondwettelijk?

Naast de kwestie van veiligheid, roept de rechtszaak nog een ander belangrijk probleem op: dienstplicht. Het dwingen van individuen en particuliere bedrijven om informatie die ze bezitten te overhandigen is enorm anders dan het dwingen van deze individuen en particuliere bedrijven om acties uit te voeren die ze moreel twijfelachtig vinden.

De FBI vraagt ​​Apple en hun technici om een ​​tool te maken die volgens hen niet zou moeten bestaan. Als je Apple dwingt om de firmware te bouwen, is dat waarschijnlijk het dertiende amendement op de Amerikaanse grondwet (onvrijwillige dienstbaarheid). In het verleden heeft het Supreme Court alleen in oorlogsgevallen uitzonderingen op deze wijziging verleend.

Apple stelt echter dat het rechterlijk bevel inbreuk maakt op hun eerste wijzigingsrechten: die code is vrijheid van meningsuiting. Apple zegt dat hun code hun waarden bevat, die worden beschermd door het eerste amendement. Het wijzigen van de code is in strijd met en wijzigt deze waarden en het is ongrondwettelijk voor de overheid om hen te dwingen het te doen.

De regering heeft encryptie altijd gehaat

Een soortgelijk argument is in het verleden met succes toegepast. Toen Phil Zimmermann, de uitvinder van het coderingsprogramma PGP, PGP over de hele wereld distribueerde, werd hij in 1993 onderzocht op “munitie-export zonder licentie”. Destijds werd encryptie als een wapen beschouwd. Om dit verbod te omzeilen, daagden Zimmermann en zijn volgelingen deze verordening uit door de broncode in een papieren boek te drukken en over de hele wereld te verspreiden. Ze voerden aan dat de code als boek beschermde spraak vormde en nauwelijks als een wapen kon worden beschouwd. Het onderzoek tegen Zimmermann werd uiteindelijk stopgezet.

Terwijl de zaak Zimmermann zich ontvouwde, was de NSA bezig met het promoten van haar Clipper-chip, een hulpmiddel voor het verzenden van gecodeerde telefoongesprekken. De Clipper-chip bevatte een achterdeur die het bureau toegang zou hebben gegeven tot alle telefoongesprekken.

Het bureau verliet het Clipper Chip-project na aanzienlijke terugslag van het Electronic Privacy Information Centre en de Electronic Frontier Foundation. De vrees dat de NSA buitenlandse bedrijven niet zou kunnen dwingen om deze chip in hun producten op te nemen en dat deze bedrijven dan een concurrentievoordeel op de internationale markten zouden kunnen behalen, heeft de NSA er ook toe aangezet de Clipper Chip te laten vallen.

Deze overweging zal een rol spelen in de huidige rechtszaak met de FBI versus Apple, waarbij velen vrezen dat Amerikaanse technologiebedrijven contracten met buitenlandse overheden, bedrijven en particulieren kunnen verliezen.

De Clipper-chip bleek later onveilig te zijn en zou snel door buitenlandse inlichtingendiensten en grote criminele organisaties worden overtreden.

crypto-oorlogIs dit het begin van een nieuwe crypto-oorlog?

Is dit de terugkeer van de Crypto Wars?

De controverses rond de Clipper Chip en andere pogingen van de overheid om de veiligheid van onze dagelijkse communicatie en apparaten te verzwakken, leidden tot de term Crypto Wars. De oorlogen werden berucht verklaard als “gewonnen” nadat de Britse regering ook haar plannen had opgeschort om de toegang tot sterke coderingsprotocollen te beperken.

Tegenwoordig is encryptie op grote schaal toegankelijk en wordt deze op internet gebruikt. De meeste gerenommeerde websites coderen hun verkeer met HTTPS (zoals aangegeven door het groene slot in de adresbalk). Besturingssystemen coderen standaard hun harde schijven. En berichtensystemen zoals Signal, Telegram en Whatsapp coderen alle chatverkeer tijdens het transport.

Met de aanvallen van de FBI op de apparaatbeveiliging en coderingstechnieken van Apple, zijn we misschien de tweede ronde van de Crypto Wars ingegaan. De twee gevallen zijn vergelijkbaar omdat ze allebei essentiële beveiligingsfuncties verwijderen omwille van de toegang van de overheid in naam van de nationale veiligheid.

De geschiedenis van mei herhaalt zich en de codering wint opnieuw.

Uitgelichte afbeelding: Andrey Burmakin / Dollar Photo Club
Apple-steek: Krzysztof Budziakows / Dollar Photo Club
Ongrondwettelijk: larryhw / Dollar Photo Club
Crypto-oorlog: kaalimies / Dollar Photo Club

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me