DOOR VINCENT NAESSENS. Inlichtingendiensten wereldwijd vergaren en verwerken steeds meer gegevens over burgers in naam van staatsveiligheid. De stijgende kwaliteit van beveiligingstechnologieën bemoeilijkt echter afluisteractiviteiten. Daarom gooien overheden het roer om. Ze willen nu via de wetgeving meer grip krijgen op de app-ontwikkelaars. Big Brother wordt dus wel heel hoogmoedig. En wat als Big Brother ooit kuren krijgt?

In het Australische Huis van Volksvertegenwoordigers werd halfweg december het Access en Assistance wetsvoorstel goedgekeurd. Door dit voorstel kan de overheid op een eenvoudigere manier private communicatie tussen burgers afluisteren en analyseren. Heel wat hightech-bedrijven die communicatieapps ontwikkelen zoals WhatsApp, Google, Facebook en Apple werden getroffen.

Vincent Naessens

Even een historische flashback: in 2013 lekt Edward Snowden gevoelige informatie rond buitensporige afluisterpraktijken van de Amerikaanse geheime dienst NSA. Als reactie op deze onthullingen hebben heel wat prominente technologiebedrijven zoals WhatsApp, Google en Snap hun apps uitgerust met betere versleutelingstechnieken. Daardoor wordt ook het werk van inlichtingendiensten, waaronder de Australische, danig bemoeilijkt. Het nieuwe wetsvoorstel, dat in de volksmond ‘de antiversleutelingswet’ wordt genoemd, moet hier nu komaf mee maken. Door deze nieuwe wet kan de overheid de technologiebedrijven voortaan dwingen om achterpoortjes toe te voegen aan hun apps. Zo’n achterpoortje is een zwakke plek die in de software wordt ingebouwd, zodat het een fluitje van een cent wordt om — in dit geval voor de overheid — uitgewisselde informatie af te tappen. En dat op grote schaal.

Trading privacy for security?

Overheden geven steeds meer aan dat het opheffen van privacy nodig is om de veiligheid van burgers te kunnen garanderen. Tegenstanders van zo’n wetsvoorstel worden dan ook vaak bestempeld als privacyfreaks die wel iets te verbergen moéten hebben. Door de tegenstand echter af te doen als freaks, wordt het wel heel gemakkelijk om hun argumenten te negeren. Maar verhogen dergelijke wetten en praktijken daadwerkelijk onze veiligheid? That’s the question. Twee belangrijke aspecten worden vaak uit het oog verloren. Enerzijds is blind vertrouwen stellen in één organisatie of instantie is erg naïef, en dan al zeker wanneer het gaat over het verzamelen van gevoelige gegevens. Daarnaast stijgt de kans op veiligheidsproblemen en de impact van zo’n incident. Net omdat er immers zoveel informatie op één plek wordt gezet, zal een aanval meteen een grotere buit opleveren, zoals incidenten uit het verleden ons (zouden moeten) leren.

Goddelijk vertrouwen

Ten eerste is het verstandig om bij het ontwerp en de uitrol van softwaresystemen mechanismen in te bouwen zodat vertrouwen onder meerdere partijen verdeeld wordt. Over dit principe van Distributed Trust is binnen de security community evenveel eensgezindheid als over pakweg de correlatie tussen roken en longkanker bij artsen, of de effecten van broeikasgassen op de opwarming van de aarde bij klimatologen.
Als de overheid dus al onze gegevens verzamelt en centraliseert, dan zie je meteen dat daar mogelijks zware beveiligingsrisico’s aan verbonden zijn. Het veronderstelt bovendien een onrealistisch hoog vertrouwen in één instantie. Overheden en hun beleid evolueren immers ook doorheen de tijd. Het is moeilijk te voorspellen welk beleid de overheid binnen tien jaar zal voeren. De gegevens die nu op grote schaal worden verzameld, vormen mogelijks een bron voor discriminatie in de toekomst. In het verleden is reeds gebleken dat het verzamelen van persoonsgegevens nefaste gevolgen kan hebben. Zo is in Nederland de deportatie van Joden veel efficiënter verlopen dan in België, mede omdat de overheid in de jaren voor de oorlog de religieuze voorkeuren van zijn burgers in kaart bracht. Bovendien zijn heel wat incidenten bekend waarbij insiders – zoals misnoegde of corrupte werknemers – gegevens op grote schaal misbruiken.

Honingpotten

Ten tweede verhoogt het centraliseren van data niet alleen de kans op aanvallen, maar ook de impact ervan. Door het gretig vergaren van gegevens door één instantie ontstaan verrukkelijke honingpotten die een grote aantrekkingskracht uitoefenen op hackers.
Tegenover gecentraliseerde systemen staan gedistribueerde systemen. De digitale data en verwerking wordt in dat geval verdeeld over meerdere locaties, en niet langer dan nodig opgeslagen. Het aantal gebruikersprofielen die in handen komen van aanvallers bij een succesvolle hack is daardoor typisch beperkter, de inhoud van elk gestolen profiel minder omvangrijk. Fragmentatie- en encryptietechnieken ontmoedigen hacker nog meer. Fragmentatie impliceert dat meerdere databanken moeten gehackt worden om de profielen opnieuw te reconstrueren. Bij encryptie moet de aanvaller ook de digitale sleutels zien te bemachtigen. Het spreiden van risico door distributie of decentralisatie is een algemeen aanvaard principe in heel wat domeinen. Precies daarom worden kerncentrales, legerkazernes of gevangenissen verspreid over het ganse land ingepland. Precies daarom reist de Amerikaanse president of de Belgische koning apart van zijn gevolg bij buitenlandse missies.

Multinationals zoals Google, LinkedIn, Adobe, Nintendo en meer recent nog Marriott zijn allemaal slachtoffer geweest van aanvallen waardoor de persoonsgegevens zoals adressen, kredietkaartnummers, en passwoorden van miljoenen mensen op de virtuele straatstenen terechtkwamen.

Helaas leeft bij vele burgers en beleidsmakers nog steeds de overtuiging dat gecentraliseerde software systemen wél veilig(er) zijn. Toch is er genoeg bewijs dat het tegendeel bewijst. Multinationals zoals Google, LinkedIn, Adobe, Nintendo en meer recent nog Marriott zijn allemaal slachtoffer geweest van aanvallen waardoor de persoonsgegevens zoals adressen, kredietkaartnummers, en passwoorden van miljoenen mensen op de virtuele straatstenen terechtkwamen.

Het WannaCry-virus versleutelde je bestanden. Wilde je dit ongedaan maken, dan moest je betalen. | Wikipedia

Ook de Amerikaanse inlichtingendienst ontsnapt er niet aan. Nochtans zijn de budgetten die ze aan beveiliging besteden torenhoog. In mei vorig jaar nog had het WannaCry-virus onder andere Renault (Frankrijk), Deutsche Bahn (Duitsland), Hitachi (Japan), FedEx (Amerika) en de National Health Service (Verenigd Koninkrijk) getroffen en daar heel wat schade aangericht. De transportband bij de Franse autobouwer viel stil; er ontstond chaos op het Duitse spoorwegennet nadat virusmeldingen verschenen op de informatieborden voor reizigers; in het Verenigd Koninkrijk moesten onderzoeken en operaties in ziekenhuizen worden uitgesteld omdat scanners en apparatuur geïnfecteerd bleken. Achteraf bleek dat het virus zich had verspreid door misbruik te maken van een fout in Windows. NSA had deze fout enkele maanden voordien ontdekt, maar besliste om de kennis voor zich te houden en Microsoft niet in te lichten. Helaas werd de NSA zelf het slachtoffer van een hack waarbij informatie over de fout uitlekte, en uiteindelijk bij de auteurs van het WannaCry-virus belandde.

Op zoek naar de Heilige Graal

Het aanvallen van IT-systemen is helaas gemakkelijker dan het beveiligen ervan. Hoewel nieuwe inzichten resulteren in betere beveiligingstechnologieën kan helaas nooit volledige veiligheid worden gegarandeerd. Zo kan er ingebroken worden in de meest beveiligde woningen of kunnen nog steeds geldterminals worden overvallen, denk maar aan de recente plofkraken. Net daarom moeten we meer inzetten op gedistribueerde systemen, niet alleen om de attractiviteit voor hackers onder controle te houden, maar vooral om de impact van succesvolle aanvallen te reduceren.

Het verzamelen van data kan de overheid misschien wel helpen bij het opsporen van kleine criminaliteit. Professionele criminelen vallen echter vaak terug op alternatieve communicatietechnologieën – zoals TOR-netwerken – die toegang geven tot het Dark Web. Het Dark Web geeft toegang tot websites die buiten de radar blijven van zoekmachines en inlichtingendiensten. Hier wordt kinderporno ter beschikking gesteld, hier worden illegale middelen en diensten, zoals wapens, drugs, gestolen wachtwoorden en kredietkaartgegevens verhandeld.

Het afwegen tussen privacy en overheidstoezicht onder het mom van verhoogde veiligheid is dus een misleidend argument. Het ongebreideld verzamelen van persoonsgegevens en berichten door overheden trekt geraffineerde criminelen aan die bij succesvolle aanvallen een grote buit kunnen maken. Die criminelen zullen overigens heus niet via WhatsApp communiceren. Bovendien veronderstelt het een heel groot vertrouwen in de beheerder van de verzamelde gegevens, niet alleen vandaag maar ook morgen.