In 2014 verbeterde Apple haar encryptie, waardoor ze zelf niet langer in de iPhone konden komen. Goed voor de gebruikers, minder goed voor overheidsinstanties. Want sinds dat moment heeft Comey geprobeerd om dit te omzeilen. Helaas lukte dit niet en in 2015 gaf hij het op. Maar in december pleegden terroristen een aanslag in San Bernardino, en één van hen bleek een iPhone te gebruiken. De zaak is terug op de rails, want de FBI wil toegang tot die smartphone en probeert Apple over te halen.
Comey, klaagde op 9 februari dat de overheidsorganisatie de encryptie van de iPhone die terrorist niet kon kraken. De FBI liet het er echter niet bij zitten en ging naar een rechter. En die rechter heeft Apple bevolen mee te werken aan het onderzoek van de FBI.
Op zich geen probleem, Apple helpt graag mee en heeft dat tot nu toe ook gedaan. Maar wat wel een probleem is, is dat de FBI volgens Apple een backdoor in het systeem van de iPhone wil. En daar gaat Apple niet mee akkoord, zo blijkt uit een brief van Apple’s CEO, Tim Cook. Apple gaat in hoger beroep en de hele wereld kijkt in spanning toe.
Een ‘achterdeurtje’
De reden dat de FBI Apple om een achterdeur vraagt, heeft te maken met de soort beveiliging die in de iPhone van de terrorist zit. Joachim de Koning, security expert en eigenaar van Metasync – een bedrijf zich specialiseert in cryptografie en beveiliging en diensten levert aan bedrijven als Radically Open Security -, legt uit: “Het gaat om een iPhone 5C, een model dat een mechanisme heeft waarbij de gegevens versleuteld worden met een sleutel die uit twee delen bestaat. Eén deel is een soort een speciaal nummer, een ‘hash’, die op de telefoon zelf wordt opgeslagen. Tijdens de fabricage van de telefoon krijgt elk apparaat een unieke hash. De andere kant van de sleutel is het wachtwoord dat je zelf instelt. Dan heb je een ‘gezouten wachtwoord’, zoals dat heet, en het ‘zout’ is dan de hash. Nu is het zo dat er al vaker is gezegd, ook toen dit nieuws naar buiten kwam, dat als ze tien keer een verkeerd wachtwoord invoeren, de data gewist wordt. Dat klopt niet, alleen de hash wordt gewist. Effectief betekent dat dat je die data nog wel hebt, maar je kunt het in een miljoen jaar niet meer decrypten, omdat je de helft van dat wachtwoord altijd mist.” Deze informatie is ook terug te vinden in Apple’s eigen whitepaper (PDF) over iOS 9, het besturingssysteem op de iPhone 5C.
De FBI durfde dat niet aan en vroeg Apple het limiet op te heffen, zodat ze oneindig kunnen proberen de code te kraken. Hiervoor gebruiken ze een krachtige computer, die alle combinaties voor de FBI uitprobeert tot de juiste gevonden is. Dat zou een computer niet veel tijd moeten kosten. Maar Apple moet die achterdeur dan wel eerst maken, wat volgens Cook betekent dat ze een nieuwe versie van hun software moeten maken met een zwakkere beveiliging. De FBI vraagt om zulke software voor één specifieke smartphone, maar dat is volgens Apple’s CEO niet hoe het werkt.
Een achterdeur in Apple’s smartphone kan volgens Cook namelijk veel meer toelaten dan alleen de FBI. En nee, uitzonderingen kunnen niet gemaakt worden. Als iemand deze software in handen krijgt, kan ook diegene de juiste code vinden met behulp van een computer. En dat betekent dat diegene bij jouw data kan. Nu zal de FBI niet zomaar data van je stelen om vervolgens geld af te troggelen of deze te verspreiden, maar een gemiddelde hacker is daar wel op uit. En die zal ook met hartenlust zoeken naar deze software. Zoals Tim Cook zelf zegt: “Sommigen zullen zeggen dat een backdoor voor slechts één iPhone een eenvoudige en goede oplossing is. Maar het negeert de basis van digitale beveiliging en de betekenis van wat de overheid in dit geval afdwingt.”
“In de huidige digitale wereld is de ‘sleutel’ tot een versleuteld systeem een stuk informatie dat de data ontsluit, en die is zo veilig als de bescherming er omheen”, gaat Cook verder in zijn brief. “Zodra de informatie naar buiten komt, of een manier om de code te omzeilen bekend wordt gemaakt, kan de versleuteling gekraakt worden door iedereen met die hier kennis van heeft. In de fysieke wereld zou dit het equivalent zijn van een loper, die honderden miljoenen sloten kan openen – van restaurants tot banken, winkels en huizen. Geen redelijk persoon zou dat acceptabel vinden.”
De FBI doet inmiddels beroep op de All Writs Act uit 1789 om dit verzoek toe te laten. En dat is gevaarlijk, stelt Tim Cook. “Als de overheid de All Writs Act kan gebruiken om het gemakkelijker te maken om in je iPhone te komen, heeft het de macht om in iedereens apparaten te komen en hun data te verkrijgen. De overheid zou dit kunnen uitbreiden en eisen dat Apple bewakingssoftware maakt om je berichten te onderscheppen, toegang te krijgen tot de data over je gezondheid of financiën, je locatie te volgen of zelfs toegang te krijgen tot de microfoon of camera van je telefoon zonder dat je het weet.” Bovendien blijft het gevaar dan niet beperkt tot Apple, maar kan ook Google (Android) en Microsoft (Windows Phone) gedwongen worden om een achterdeurtje te maken voor de overheid, die vervolgens – als we Apple moeten geloven – ook door cybercriminelen gebruikt kan worden.
Winst en PR
De Koning denkt echter dat er meer achter zit, vertelt hij. “Apple is bang dat ze veel vaker dit soort vragen krijgen. Met toekomstige iPhones kunnen ze dat sowieso niet meer garanderen, want deze telefoon gebruikt iOS 9 en vanaf iOS 8 kon encryptie van dit kaliber gebruikt worden. Maar na de iPhone 5S is de encryptie alweer anders. Die werkt met een soort hardware-chip, die ook een timer-mechanisme heeft, waardoor je steeds langer moet wachten tot je het wachtwoord opnieuw kunt raden als je een verkeerd wachtwoord invoert. Uiteindelijk duurt het een uur voor je het kunt proberen. Dit kunnen ze al helemaal niet meer goed kraken. Wat Apple volgens mij niet wil is dat er vaker om gevraagd wordt, want het wordt steeds moeilijker om aan die eis te voldoen. De beveiligingsmechanismen zijn steeds geavanceerder. Bij de laatste iPhones is het zelfs zo dat het niveau van de encryptie zo hoog is, dat ze dat trucje niet eens kunnen uitvoeren. Maar wat wel kan gebeuren is dat als ze nu ja zeggen, ze later boetes krijgen als ze op dat moment nee zeggen. Dan krijg je situaties die vanuit het zakenleven niet gewaardeerd worden. Ik denk dus niet dat Apple alleen maar opkomt voor de privacy van haar gebruikers – dat doen ze ook -, maar ze hebben ook een agenda waarbij ze hun winst en PR aan het beschermen zijn. Het is niet leuk om dat te concluderen, maar ik denk wel dat dit de waarheid is. Dit brengt Apple natuurlijk wel in het nieuws en dan draaien ze het liever zo dat het goed nieuws voor hen wordt.”
Bovendien denkt De Koning dat Apple niet verantwoordelijk gehouden wil worden voor andermans data. “Eigenlijk geven ze daarmee aan dat ze niets met de encryptie gaan doen, waardoor de FBI geforceerd wordt om andere methodes te gebruiken. Bijvoorbeeld Clandestine hacking, waarvan onlangs door Jacob Applebaum naar buiten is gebracht dat de NSA dit doet. Volgens henzelf kunnen ze een iPhone met honderd procent succes rate van buitenaf benaderen en er software op kunnen zetten, waardoor ze kunnen zien wat er op gebeurt. Het voordeel van daarvan is dat je niets hoeft te decrypten. Die persoon logt zelf in en gaat zelf dingen doen. Op dat moment kunnen zij alles volgen. Ik maak me daar meer zorgen over dan over dit FBI-akkefietje.”
Dan rest de vraag: is dat achterdeurtje echt nodig? Daphne van der Kroft, communicatiestrateeg bij de Nederlandse burgerrechtenorganisatie Bits of Freedom, vertelt: “De reden dat ze in die telefoon willen, is omdat ze willen achterhalen met wie die mensen contact gehad hebben. Maar er zijn ook andere manieren om dat te achterhalen. Bijvoorbeeld via de data die telecomproviders hebben. Bijvoorbeeld wie ze gebeld hebben. Waarom ze per se die data nodig hebben die op die telefoon zou staan, is mij niet helemaal duidelijk.”
En die hackers dan?
Maar is hoe zit het dan met Apple’s claim dat de software ook door anderen gebruikt kan worden om een iPhone te hacken? “Dat klopt in dit geval niet”, stelt De Koning. “Dat was het geval geweest als de rechter had gezegd dat Apple de software moest herschrijven en op alle iPhones moest implementeren, maar dat heeft hij niet gevraagd. Apple dikt het een beetje aan. Dat is het lastige, want daardoor denken mensen dat er een groot verhaal in zit, maar eigenlijk is het geen verhaal. Apple maakt er een slim verhaaltje van voor hun PR en spreekt hier niet helemaal de waarheid.”
“In het geval van deze iPhone is het mogelijk om alleen voor dit specifieke toestel een achterdeurtje te maken. Dan kunnen ze hem misschien decrypten, maar ook dat is nog maar de vraag. Als het wachtwoord dat de terrorist ingesteld heeft langer is dan acht tekens, dan is het ontzettend moeilijk om daar achter te komen. Vanaf vier is het eenvoudig, maar ik denk niet dat die terrorist vier karakters heeft gebruikt. Ik weet het niet, maar als je een beetje nadenkt en je plant een aanslag, lijkt me dat je dat niet doet. Het is een beetje rainbows en ponies om te denken dat een terrorist zo dom is als het achtereind van een koe.” Juist door die unieke hash zou dit mogelijk zijn, want als de techniek in handen van cybercriminelen valt, moeten zij nog steeds de unieke hash van de iPhone hebben, willen ze in het systeem komen. En die hash verkrijgen is niet zo eenvoudig.
FBI vs. Silicon Valley en de wereld?
Apple is duidelijk over haar standpunt: het bedrijf werkt niet mee aan het verzoek van de FBI. Maar hoe reageert de rest van de tech-wereld hier op? Veel bedrijven zijn het met Apple eens, inclusief concurrent en mede-tech-gigant Google. CEO Sundar Pichai tweette: “We weten dat de rechtshandhaving en de inlichtingendiensten een grote uitdaging hebben bij het beschermen van de mensen tegen misdaad en terrorisme. We bouwen beveiligde producten om jouw informatie veilig te houden en we geven de overheid toegang tot data als ze geldige juridische bevelen hebben. Maar dat is iets heel anders dan bedrijven verplicht te stellen om het hacken van apparaten en data van klanten mogelijk te maken. Dit kan een verontrustend precedent zijn.”
En ook WhatsApp, wat tegenwoordig onder Facebook valt, staat achter Apple. Jan Koum, CEO van WhatsApp, zei: “Ik heb Tim Cook altijd bewonderd om zijn standpunt omtrent privacy en Apple’s inspanningen om data van gebruikers te beschermen, en ik kan het alleen maar eens zijn met alles wat hij in zijn brief schreef. We mogen dit gevaarlijke precedent niet toelaten. Vandaag staat onze vrijheid op het spel.”
Zelfs Edward Snowden laat zich positief uit over Apple, terwijl dit in het verleden niet altijd het geval was. Op Twitter zegt hij: “De FBI creëert een wereld waarin burgers op Apple vertrouwen om hun rechten te verdedigen, in plaats van andersom.”
Het is duidelijk: de technologische wereld vormt één front met Apple, maar ook rechtenorganisaties als Amnesty zijn het met de tech-gigant eens. De FBI mag dan een rechter aan haar kant hebben, maar heeft een groot front tegen zich.
Intussen heeft John McAfee, bekend van antivirusprogramma McAfee, aangeboden om de iPhone in kwestie te kraken voor de FBI. “Ik zal gratis de informatie op de San Bernardino-telefoon decrypten met mijn team. We zullen voornamelijk social engineering gebruiken en het gaat ons drie weken kosten”, schreef hij in een artikel voor de Business Insider. De Koning betwijfelt echter of McAfee hier ook echt toe in staat is. “Ik denk dat hij dan een dure partij inschakelt met het geld dat hij heeft. In theorie is het mogelijk om die telefoon te hacken. Wat hij moet doen is wat er in die hardware gebeurt in stages brengen en dat klonen naar een testmodel. Het enige wat je niet moet hebben, is dat die hash gewist wordt. Die hash wordt ergens opgeslagen, waarschijnlijk in een microchip. Ik denk niet dat dat op een herschrijfbaar deel van de iPhone staat dat je kunt ROM-dumpen, zoals dat heet. Bovendien denk ik dat een ROM-dump moeilijk is, want Apple is erg geheimzinnig over haar beveiliging. Maar als McAfee dat voor elkaar krijgt – en zijn organisatie is wel bekwaam in data forensics -, dan heeft zoveel kansen als hij maar wil om die iPhone te brute forcen (een techniek waarbij een computer wachtwoorden uitprobeerd en bij falen naar het volgende wachtwoord gaat) en dan is er een kans dat het hem lukt. Maar het is wel spannend, want er zijn een aantal variabelen. Eén is de ROM-dump van de iPhone, en hij heeft niet de geheimen van de smit, de tweede is de vraag of het wachtwoord minder dan acht tekens is. Als het wachtwoord langer is dan acht tekens, gaat het hem niet lukken. Er bestaan wel computers die dat kunnen, maar ik denk niet dat die binnen zijn bereik liggen.”
Ook hier een probleem
En ook in Nederland wordt er veel gesproken over de zaak tussen Apple en de FBI. Nederland’s eigen digitale rechtenorganisatie Bits of Freedom staat achter Apple, en om meer dan de redenen dat tot nu toe genoemd zijn. Want ook in Nederland is een vergelijkbaar proces aan de gang. Waar de AIVD al mag hacken – zonder toestemming van de bedrijven zelf -, mag de politie dit niet. Tenminste, totdat de wijzigingen in de wet Computercriminaliteit III worden aangenomen. En het voorstel voor die wijzigingen ligt nu bij de Tweede Kamer.
Van der Kroft: “In die wet staat dat de Nederlandse politie mag hacken. Daarom is die discussie in Amerika zo relevant, want je ziet een soort voorspel van wat er straks ook in Nederland gaat gebeuren.” Maar in deze wet hebben we het niet over de politie die aanklopt bij Apple en vraagt om een achterdeurtje, vertelt ze. “Je mag dan bij bedrijven als Apple en Google inbreken, zonder dat ze daar toestemming voor geven, zegt de wet. Dat is natuurlijk idioot, want ze zijn voortdurend bezig met die systemen te beveiligen. Stel er wordt bij je ingebroken en dan blijkt het de politie te zijn.” Toch is er wel toestemming nodig, de politie mag zelfs met deze wet niet overal zomaar inbreken. “De rechter-commissaris moet toestemming geven voor er gehackt wordt. Maar wat we tot nu toe weten is van de rechter-commissarissen is dat ze gemiddeld een kwartier de tijd hebben om naar dit soort verzoeken te kijken. Het probleem is dat er een ontzettend technisch middel ingezet gaat worden. Moet hij straks binnen een kwartier besluiten of er wel of niet op systemen van anderen met bepaalde type hacks ingebroken mag worden? Wij weten dat rechter-commissarissen in Nederland niet per se technisch onderbouwd zijn, en we vragen ons ook echt af of dat kwartier voldoende is om dat goed te onderzoeken. En dat gaat ook nog eens alleen om de impact die het heeft op die ene verdachte, niet over de vraag hoeveel mensen hierdoor onveiliger worden.”
Ook in Nederland rijst de vraag: waarom is dit nodig? Waarom heeft de politie toegang tot bijvoorbeeld iPhones nodig? “Je hoort de Nederlandse politie zeggen dat ze niet in de iPhones kunnen en er wel in willen. Je moet je wel afvragen waarom ze het nodig hebben. Als je een paardenmiddel in gaat zetten waardoor iedereen onveiliger wordt, moet je wel een ontzettend goede reden hebben”, stelt Van der Kroft. “Nu is die reden helemaal niet duidelijk. De Nederlandse regering heeft niet aangegeven dat ze nu tegen enorme problemen aanlopen. Ze zeggen wel dat het om versleuteling gaat, maar waarom je dat niet op andere manieren en met andere bevoegdheden die ze nu ook al hebben kunnen oplossen, is niet duidelijk. We hebben het de staatssecretaris (Dijkhoff) voorgelegd, maar er komt geen antwoord op.”
Apple is de voorbode
De discussie tussen Apple en de FBI, of beter gezegd tussen Silicon Valley en de FBI, is daarmee een voorbode van wat hier mogelijk ook gaat gebeuren, en misschien zelfs wel in veel meer landen in de wereld. Krijgt de FBI toegang, dan kunnen andere overheidsinstanties dit voorbeeld gebruiken om zelf ook achterdeurtjes te kunnen gebruiken. En dat betekent dat onze privacy een heel stuk achteruit gaat, ongeacht of hackers die achterdeurtjes kunnen gebruiken of niet.
Apple was niet bereikbaar voor commentaar.
Eveline Meijer is freelance (tech-) journalist en volgt op haar website Tech Reporter hoe technologie van nu de wereld veranderd en dit in de toekomst kan gaan doen. Hier verstuurt ze ook wekelijks een nieuwsbrief over. Gratis aanmelden kan hier.