Home Security FBI versus Apple: een achterdeurtje met grote consequenties

FBI versus Apple: een achterdeurtje met grote consequenties

49

Het kan velen niet zijn ontgaan dat Apple momenteel in een verwoede strijd is verwikkeld met de FBI over het ontsleutelen van de iPhone van één van de schutters van het bloedbad in San Bernardino. De FBI is naar de rechter gestapt om Apple te dwingen software te ontwikkelen waarmee de FBI zich toegang kan verschaffen tot de versleutelde data op de iPhone van de schutter. De vraag is nu: is Apple juridisch verplicht om dergelijke software te ontwikkelen?

Het definitieve antwoord op deze vraag van een Amerikaanse rechter zal nog wel even op zich laten wachten, maar dat maakt deze zaak niet minder urgent of uniek. Het gaat hier niet om een reguliere vordering tot verstrekking van gegevens waarover Apple zou beschikken, maar om een vordering die Apple ertoe zou dwingen software te ontwikkelen die de beveiliging van de iPhone ondermijnt. De vraag is dus of er naar Amerikaans recht een dergelijke medewerkingsplicht bestaat voor software- en hardware-leveranciers die hen ertoe kan dwingen de beveiliging van hun producten te ondermijnen.

Beveiliging tegen brute force-aanvallen
Aanleiding van het conflict is de aanwezigheid van een standaardbeveiligingsoptie op de iPhone van de schutter die, na inschakeling, een limiet stelt aan het aantal pogingen dat een wachtwoord kan worden ingevoerd waarmee de data op de iPhone wordt ontsleuteld. Als er 10 keer een verkeerd wachtwoord wordt ingevoerd, wordt de ‘sleutel’ waarmee de data wordt ontsleuteld uit het geheugen verwijderd en is de data permanent ontoegankelijk. Deze beveiligingsoptie zit ook in diverse andere smartphones en beschermt je data hoofdzakelijk tegen onbevoegden die met behulp van brute rekenkracht (een zogenaamde brute-force aanval) je wachtwoord proberen te achterhalen door alle mogelijke combinaties te proberen. Zeker bij wachtwoorden die uitsluitend uit cijfers bestaan is dit zo gedaan. Zo zijn er bij een viercijferige pincode slechts 10.000 (10^4) opties mogelijk. Met een beetje computerkracht is een dergelijk wachtwoord in een mum van tijd gevonden.

Precedentwerking
De FBI stelt zich op het standpunt dat zij uitsluitend bij de data kan komen indien Apple via een update van het besturingssysteem op de desbetreffende iPhone deze beveiligingsoptie uitschakelt. Interessant is echter dat deze stelling van de FBI – dat zij niet zonder medewerking van Apple bij de data kan – door diverse beveiligingsexperts in twijfel wordt getrokken. Volgens deze experts zijn er welbekende methodes voorhanden om de bestreden beveiligingsoptie technisch te omzeilen.

Ervan uitgaande dat de FBI ook van deze methodes op de hoogte is en dus de medewerking van Apple niet nodig zou hebben, rijst de vraag waarom de FBI dan naar de rechter is gestapt. Het zou kunnen dat de FBI dit voorval gebruikt om via de rechter een juridisch precedent te creëren waarmee zij leveranciers kan dwingen om beveiligingsmaatregelen in hun producten op verzoek te verzwakken.

Natuurlijk kan men discussiëren over maatregelen die het verdere gebruik van de desbetreffende update kan beperken. Maar als de FBI in deze zaak gelijk krijgt, is de geest uit de fles. Want als de FBI een dergelijke medewerkingsplicht kan afdwingen, waarom zou dit dan niet gelden voor de opsporingsinstanties in Nederland, Rusland of China? Hoe kunnen gebruikers (automatische) updates van leveranciers, zoals Apple, nog vertrouwen als men weet dat de overheid mogelijk kwetsbaarheden aan de nieuwe software toevoegt?

Het voornaamste gevaar is dan ook de precedentwerking van deze zaak als de FBI haar zin krijgt. De uitkomst van deze zaak zou op de lange termijn weleens een behoorlijk negatieve impact kunnen hebben op het vertrouwen in de veiligheid van hardware en software. Wat dat betreft is het positief om te zien dat het kabinet in Nederland zich recentelijk nog officieel heeft uitgesproken tegen het opleggen van verplichte achterdeurtjes in software.

David Korteweg is ICT-recht advocaat bij Kennedy Van der Laan. Hij is gespecialiseerd in de juridische aspecten van cybersecurity, elektronische communicatie en e-commerce. Als bedrijfsjurist heeft hij eveneens werkervaring opgedaan bij een internationaal ingenieursbedrijf en een financiële instelling. Voordat David startte als advocaat was hij projectonderzoeker aan het Instituut voor Informatierecht en werkte hij als vrijwilliger voor de burgerrechtenorganisaties Electronic Frontier Foundation en Bits of Freedom. www.kvdl.com

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here