'FBI-verzoek zou precedent scheppen richting het breken van software’

kevin-bocek-venafi

Samengevat is Apple gevraagd het systeem waarop online vertrouwen al ruim 20 jaar is gebaseerd te doorbreken. Het overheidsverzoek om Apple-certificaten te mogen gebruiken is namelijk vergelijkbaar met het internet hacken. De impact ervan is veel groter dan toegang krijgen tot één apparaat van één terrorist. De fundering van cybersecurity op het internet is gebaseerd op certificaten. Wanneer de Amerikaanse overheid certificaten van Apple mag gebruiken, krijgen ze de controle over software die veel mensen toegang geeft tot het internet en apps.

Het belang achter het FBI-verzoek aan Apple gaat veel verder dan één versleuteld apparaat dat door een terrorist wordt gebruikt. Dit gaat over het doorbreken van een vertrouwenssysteem waarvan alle software op het internet gebruik maakt. De FBI wil namelijk invloed op hoe de software van Apple gebruik maakt van certificaten (door de FBI 'signed iPhone Software file' genoemd). Net zoals een tijdlang de succesvolle Stuxnet malware onontdekt heeft kunnen draaien op geldige certificaten. Daarom is het FBI-verzoek feitelijk een precedent richting het breken van software, in plaats van alleen encryptie. Dat blijkt ook uit Tim Cook's reactie: "De overheid vraagt Apple onze eigen gebruikers te hacken en daarmee de beveiliging open te breken die hen al decennia beschermt."

In de afgelopen jaren is er een vertrouwenssysteem opgebouwd, gebaseerd op certificaten, dat ook cybercriminelen proberen te doorbreken. Omdat de wereld op software draait is het van cruciaal belang te weten wie of wat u kunt vertrouwen en wat er allemaal door certificaten (TLS) en het ondertekenen van softwarecode (code-signing) wordt geregeld. Als Apple toegeeft wordt hun software niet alleen een aanvalswapen voor de Amerikaanse overheid, maar ook een blauwdruk voor cybercriminelen om daar misbruik van te maken. Net als 6 jaar geleden met Stuxnet. Dit Apple-voorbeeld benadrukt het belang voor Global 5000-organisaties inzicht te hebben in welke encryptiesleutels en certificaten zij kunnen vertrouwen en het gebruik daarvan goed te beschermen. Anders kunnen ze toenemende interesse verwachten vanuit de overheid of cybercriminelen om te proberen binnen te komen.

Apple's snelle authentieke reactie richting de FBI staat in schril contrast met een andere belangrijke gebeurtenis die invloed had op alle gebruikers van smartphones en computers in de wereld. De Chinese CNNIC certificaatautoriteit, de Chinese overheidsdienst die de 'Great Firewall of China' controleert voor het monitoren van het online gedrag van burgers, werd lange tijd vertrouwd door de browsers van Apple, Google en Microsoft op computers, smartphones en tablets. CNNIC is echter betrokken geweest bij een incident in Egypte waarbij Google is nagebootst. Sindsdien worden ze niet meer door de Google en Mozilla browsers vertrouwd. Apple en Microsoft daarentegen, die tientallen miljarden omzet op de Chinese markt realiseren, hebben daar maandenlang geen actie op ondernomen. Verder heeft dit incident in vergelijking met het FBI-verzoek amper media aandacht gekregen. In de CNNIC-situatie heeft Apple niet snel en publiek gereageerd, waardoor de indruk overeind blijft dat de Chinese inkomsten belangrijker waren dan de privacy van alle iPhone, iPad en Mac-gebruikers wereldwijd. Het is een verademing Apple zo snel te zien reageren op het FBI-verzoek en hopelijk doen ze hetzelfde bij toekomstige incidenten waarbij de Chinese-autoriteiten betrokken zijn.

Auteur: Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi

Lees ook
Zijn apparatuur en software nog wel te vertrouwen?

Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen...

Merendeel van Nederlanders gelooft niet meer in volledige privacy in digitale tijdperk

Merendeel van Nederlanders gelooft niet meer in volledige privacy in digitale tijdperk

Ondanks alle ophef over vele dataschandalen meent 57 procent van de Nederlandse internetgebruikers dat volledige privacy in het huidige digitale tijdperk onmogelijk is. Dit blijkt uit nieuw internationaal onderzoek van Kaspersky Lab. Wat verder opvalt, is dat 32 procent van de consumenten geld accepteert in ruil voor toegang van volstrekt onbekenden...

Eurofiber lanceert de nieuwste encryptietechniek

Eurofiber lanceert de nieuwste encryptietechniek

Eurofiber biedt zijn klanten WDM Encrypted aan. Deze encryptietechniek zorgt ervoor dat data tijdens het transport over glasvezel niet afgetapt kan worden. De bekendmaking vond plaats op de InfoSecurity beurs in Utrecht. De Cybersecuritymonitor 2018 van het CBS laat zien dat grote organisaties bovengemiddeld vaak getroffen worden door cyberaanvallen,...