Beheer

Security

De ultieme backdoor? De update!

29 februari 2016
'Als Apple zegt dat de FBI Apple probeert te dwingen een backdoor in te bouwen in zijn producten, zegt het eigenlijk dat de FBI Apple probeert te dwingen een backdoor te gebruiken die al bestaat.'

Dat betoogt Leif Ryge, artiest, hacker en journalist te Berlijn, in een bijdrage op Ars Technica. In alle opwinding over de strijd tussen Apple en de FBI ziet bijna iedereen volgens hem één feit over het hoofd: de ultieme backdoor bestaat al, en we noemen 'm software update.

'Single point of failure'

Softwareontwikkelaars doen in veel gevallen pas enkele jaren pogingen om de authenticiteit van updates van hun software te waarborgen. Maar zelfs in gevallen waar men daar al decennia werk van maakt, zijn er in de meeste gevallen 'verwoestende single points of failure', aldus Ryge. In zijn favoriete besturingssysteem Debian is het updatemechanisme op 9 punten kwetsbaar voor het uitlekken of kraken van de sleutel. In de meer geavanceerde methoden van beveiliging van updates zullen meerdere sleutels nodig zijn om een update te valideren. Omdat die sleutels gecontroleerd worden door één bedrijf, of zelfs één persoon, vormen die toch een 'single point of failure', meent Ryge.  

Naïviteit en overmoed

Deze kwetsbaarheid is een combinatie van naïviteit en overmoed, vermoedt Ryge. Softwareontwikkelaars dachten dat ze hun sleutels geheim konden houden tegen realistisch geachte aanvallen, en waren er niet op bedacht dat hun overheden hen zouden kunnen dwingen om updates te ondertekenen met kwaadaardige inhoud.

In die zin moeten we de FBI dankbaar zijn dat zij ons gewezen heeft op dit gevaar, stelt Ryge. Want wat de overheid langs wettelijke weg kan proberen af te dwingen, kunnen criminele organisaties natuurlijk ook proberen te doen door mensen bij de softwarebedrijven onder druk te zetten.

Wat die softwarebedrijven moeten doen, is inmiddels ook wel duidelijk, stelt Ryge: zorg dat voor het valideren van een update meerdere sleutels nodig zijn waarvan de zeggenschap verdeeld is over mensen die niet onder hetzelfde rechtssysteem vallen.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.