In augustus van het afgelopen jaar kon je hier op MacFreak al lezen dat er plannen in het VK waren om een achterdeur in versleuteling verplicht te stellen. Het is allang bewezen is dat dit niet werkt, omdat een achterdeur op den duur ook altijd door kwaadwillenden gevonden zal worden.

Apple waarschuwt nu voor een nieuwe voorstellen van de wetgever in het VK, nu gaan ze heel erg veel verder, met mogelijk ook consequenties voor ons.



In het kort komen de nieuwe voorstellen in het VK op de volgende drie punten neer:

• Het creëren van  nieuwe voorwaarden voor het gebruik van internetverbindingsgegevens als hulpmiddel bij de "opsporing van doelwitten".
• Een alternatief, minder streng regelgevend regime invoeren voor het bewaren en onderzoeken van persoonlijke gegevensverzamelingen in bulk waarbij individuen weinig of geen verwachting van privacy hebben (zoals openbaar beschikbare online telefoongidsen).
• Een nieuwe meldingsplicht die kan worden opgelegd aan geselecteerde telecommunicatie-exploitanten die de overheid moeten informeren over voorgestelde veranderingen in hun producten of diensten die een negatieve invloed kunnen hebben op het huidige vermogen van instanties om rechtmatig toegang te krijgen tot gegevens.

Apple verzet zich vooral tegen de eis om het ministerie van Binnenlandse Zaken in het VK op de hoogte te moeten stellen van wijzigingen in de beveiligingsfuncties van producten voordat deze worden vrijgegeven. Want gecombineerd met de eis dat niet in het VK gevestigde bedrijven zich moeten houden aan wijzigingen die wereldwijd van invloed zijn op hun product, en de eis om onmiddellijk actie te ondernemen als wordt gevraagd om een functie uit te schakelen of te blokkeren zonder herziening of beroepsprocedure betekent dat het eigenlijk niet werkbaar is.

Niet alleen zouden updates voor de veiligheid pas later bij ons komen, het zou mogelijk worden dat in het VK besloten zou worden dat zo’n update niet acceptabel is, waarna die ook niet meer bij ons uitgebracht zou kunnen worden, terwijl het Apple verboden zou worden om dat aan ons mee te delen. Daarmee zou het VK letterlijk over de eigen grenzen heen regeren.

De reactie vanuit Apple is dan ook erg duidelijk:

We're deeply concerned the proposed amendments to the Investigatory Powers Act (IPA) now before Parliament place users' privacy and security at risk.

It's an unprecedented overreach by the government and, if enacted, the UK could attempt to secretly veto new user protections globally preventing us from ever offering them to customers.

De vrije vertaling hiervan:

We maken ons ernstig zorgen dat de voorgestelde amendementen op de Investigatory Powers Act (IPA) die nu bij het parlement liggen, de privacy en veiligheid van gebruikers in gevaar brengen.

Het is een ongekend ingrijpen van de overheid en als het wordt aangenomen, kan het Verenigd Koninkrijk proberen om in het geheim een veto uit te spreken over nieuwe gebruikersbeschermingen, waardoor we deze nooit aan onze klanten kunnen aanbieden.

 #Privacy

Even los van wat ik er van vind: is het bewezen dat dit niet werkt? Wanneer dan? Door wie dan? Ik krijg de indruk dat hier feit en mening toch door elkaar loopt.

Het hangt er denk ik vanaf wat je als bewijs aanvaard. Persoonlijk vind ik het gegeven dat, ondanks alle inzet van Apple en Google, individuele telefoons nog steeds zijn "te kraken" wel redelijk bewijs dat een universeel achterdeurtje een onzalig plan is. Tevens ben ikzelf bereid de meningen van menig beveiligingsexpert als feit of zeker toch als onderbouwing te beschouwen.

Bewijs zou natuurlijk een aantal concrete voorbeelden kunnen zijn waarin een achterdeurtje is gemaakt waar vervolgens misbruik van gemaakt is.

Maar dat is toch allang - onbedoeld - bewezen? Elke exploit (lees: bug of programma-fout) die het mogelijk maakt voor kwaadwillenden om een apparaat (lees: iPhone of elke willekeurig ander merk telefoon)  binnen te dringen en 'in het wild' al misbruikt bleek te worden, is zo'n voorbeeld. Uiteraard verschijnt hier dan in de meeste gevallen snel een bugfix voor om dit in de toekomst te voorkomen, maar het bewijs is onomstotelijk.

Maar dat is wat anders: een bewust verborgen achterdeur heeft een sleutel. En de sleutel is het risico. Die kan in verkeerde handen vallen of misbruikt worden. Het is geen exploit.

Wilde destijds de FBI, NSA of Homeland Security in de VS ook niet zo een achterpoortje in IOS?

Trouwens, de Britten hebben goed praten: British Telecom bouwt al jaren achterpoortjes in hun routers/ modems, wellicht in opdracht van GCHQ ( Government Communication HeadQuarters, een van de grootste flapoororganisaties ter wereld, die mano a mano zijn met de NSA).

https://www.csoonline.com/article/540264/network-security-report-accuses-bt-of-supplying-backdoors-for-gchq-and-nsa.html

Ik denk dat de meeste politie diensten wel zo’n achterdeur willen.

Ik denk dat het bewijs voor het falen van een achterdeurtje al is gegeven met het "falen" van voordeuren. Alle encryptie en beveiliging ten spijt is het nog steeds mogelijk de sleutel van de voordeur van een telefoon te kraken. Over het algemeen weegt de moeite en kosten niet op tegen de baten, omdat je bij het kraken van de voordeur enkel toegang hebt tot één telefoon. Bij een achterdeurtje is dat dus anders.

Ik denk dat je gelijk hebt. Ook al zie ik het niet als bewijs, maar als gezond verstand. Maar dat wordt een beetje semantisch.

Dit waait wel weer over!