Overheden kunnen updates met backdoors afdwingen

[Captain Kirk]

Softwareontwikkelaars kunnen door overheidsinstanties worden gedwongen om backdoors aan hun updates toe te voegen om gebruikers te bespioneren, zo waarschuwt de American Civil Liberties Union (ACLU). De organisatie heeft daarom een plan gemaakt wat ontwikkelaars in dit geval kunnen doen.

Het is algemeen beveiligingsadvies aan gebruikers dat ze hun software regelmatig moeten updaten. Updates verhelpen kwetsbaarheden en maken systemen veiliger. Op deze manier maken ze ook het hele ecosysteem sterker. "Een netwerk is sterker wanneer alle schakels sterk zijn. En omgekeerd kan een sterk netwerk worden gehackt als er een zwakke schakel is", aldus de ACLU.

Volgens de burgerrechtenbeweging kunnen overheidsinstanties kwaadaardige updates als een middel zien om mensen te surveilleren. "De Amerikaanse of andere overheden kunnen je dwingen om zulke kwaadaardige software te maken en installeren. Een rechercheur kan eisen dat je je software aanpast om het aantal keren te omzeilen dat er een foutieve pincode kan worden ingevoerd, aftappen in te schakelen, de camera aan te zetten of iemand fysiek te volgen."

Als voorbeeld wordt de zaak van de San Bernardino-schutter genoemd. De schutter had een iPhone bij zich die vergrendeld was. De FBI vroeg Apple vervolgens om te helpen bij het ontgrendelen van het toestel. Apple weigerde dit, waarop de opsporingsdienst naar de rechter stapte. Die gaf de FBI gelijk en stelde dat Apple een aangepaste versie van iOS moest maken zodat de beveiliging van de iPhone, die na tien verkeerde pincodes alle data op het toestel wist, was te omzeilen. Apple ging tegen de uitspraak in beroep, maar nog voor beide partijen zich opnieuw voor de rechter moesten verantwoorden besloot de FBI de zaak te laten vallen omdat een niet nader genoemde leverancier had aangeboden het toestel te ontgrendelen.

Stappenplan

Vanwege het risico dat dergelijke updates voor de privacy en veiligheid van gebruikers vormen komt de ACLU met een stappenplan. Daarin staat wat softwareontwikkelaars kunnen doen als ze een gerechtelijk bevel ontvangen om een backdoor of malware aan een update toe te voegen. Zo wordt het gebruik van digitale handtekeningen voor updates aangeraden en "mirrorable distribution", waarbij gebruikers en tussenpartijen informatie over beschikbare updates onder elkaar kunnen uitwisselen. Dit moet met name het uitvoeren van een gerichte aanval tegen een specifieke gebruiker lastiger maken. Daarnaast adviseert de ACLU een proces om met dergelijke overheidsverzoeken om te gaan en wordt het inschakelen van een advocaat aangeraden.

 

 

bron: security.nl