‘FBI-verzoek zou precedent scheppen richting het breken van software’

Kevin Bocek, vice president Security Strategy & Threat Intelligence van Venafi

Samengevat is Apple gevraagd het systeem waarop online vertrouwen al ruim 20 jaar is gebaseerd te doorbreken. Het overheidsverzoek om Apple-certificaten te mogen gebruiken is namelijk vergelijkbaar met het internet hacken. De impact ervan is veel groter dan toegang krijgen tot één apparaat van één terrorist. De fundering van cybersecurity op het internet is gebaseerd op certificaten. Wanneer de Amerikaanse overheid certificaten van Apple mag gebruiken, krijgen ze de controle over software die veel mensen toegang geeft tot het internet en apps.
Het belang achter het FBI-verzoek aan Apple gaat veel verder dan één versleuteld apparaat dat door een terrorist wordt gebruikt. Dit gaat over het doorbreken van een vertrouwenssysteem waarvan alle software op het internet gebruik maakt. De FBI wil namelijk invloed op hoe de software van Apple gebruik maakt van certificaten (door de FBI ‘signed iPhone Software file’ genoemd). Net zoals een tijdlang de succesvolle Stuxnet malware onontdekt heeft kunnen draaien op geldige certificaten. Daarom is het FBI-verzoek feitelijk een precedent richting het breken van software, in plaats van alleen encryptie. Dat blijkt ook uit Tim Cook’s reactie: “De overheid vraagt Apple onze eigen gebruikers te hacken en daarmee de beveiliging open te breken die hen al decennia beschermt.”

In de afgelopen jaren is er een vertrouwenssysteem opgebouwd, gebaseerd op certificaten, dat ook cybercriminelen proberen te doorbreken. Omdat de wereld op software draait is het van cruciaal belang te weten wie of wat u kunt vertrouwen en wat er allemaal door certificaten (TLS) en het ondertekenen van softwarecode (code-signing) wordt geregeld. Als Apple toegeeft wordt hun software niet alleen een aanvalswapen voor de Amerikaanse overheid, maar ook een blauwdruk voor cybercriminelen om daar misbruik van te maken. Net als 6 jaar geleden met Stuxnet. Dit Apple-voorbeeld benadrukt het belang voor Global 5000-organisaties inzicht te hebben in welke encryptiesleutels en certificaten zij kunnen vertrouwen en het gebruik daarvan goed te beschermen. Anders kunnen ze toenemende interesse verwachten vanuit de overheid of cybercriminelen om te proberen binnen te komen.

Apple’s snelle authentieke reactie richting de FBI staat in schril contrast met een andere belangrijke gebeurtenis die invloed had op alle gebruikers van smartphones en computers in de wereld. De Chinese CNNIC certificaatautoriteit, de Chinese overheidsdienst die de ‘Great Firewall of China’ controleert voor het monitoren van het online gedrag van burgers, werd lange tijd vertrouwd door de browsers van Apple, Google en Microsoft op computers, smartphones en tablets. CNNIC is echter betrokken geweest bij een incident in Egypte waarbij Google is nagebootst. Sindsdien worden ze niet meer door de Google en Mozilla browsers vertrouwd. Apple en Microsoft daarentegen, die tientallen miljarden omzet op de Chinese markt realiseren, hebben daar maandenlang geen actie op ondernomen. Verder heeft dit incident in vergelijking met het FBI-verzoek amper media aandacht gekregen. In de CNNIC-situatie heeft Apple niet snel en publiek gereageerd, waardoor de indruk overeind blijft dat de Chinese inkomsten belangrijker waren dan de privacy van alle iPhone, iPad en Mac-gebruikers wereldwijd. Het is een verademing Apple zo snel te zien reageren op het FBI-verzoek en hopelijk doen ze hetzelfde bij toekomstige incidenten waarbij de Chinese-autoriteiten betrokken zijn.

Auteur: Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.