Overslaan en naar de inhoud gaan

De ultieme backdoor? De update!

Dat betoogt Leif Ryge, artiest, hacker en journalist te Berlijn, in een bijdrage op Ars Technica. In alle opwinding over de strijd tussen Apple en de FBI ziet bijna iedereen volgens hem één feit over het hoofd: de ultieme backdoor bestaat al, en we noemen 'm software update.
Business
Shutterstock
Shutterstock

'Single point of failure'

Softwareontwikkelaars doen in veel gevallen pas enkele jaren pogingen om de authenticiteit van updates van hun software te waarborgen. Maar zelfs in gevallen waar men daar al decennia werk van maakt, zijn er in de meeste gevallen 'verwoestende single points of failure', aldus Ryge. In zijn favoriete besturingssysteem Debian is het updatemechanisme op 9 punten kwetsbaar voor het uitlekken of kraken van de sleutel. In de meer geavanceerde methoden van beveiliging van updates zullen meerdere sleutels nodig zijn om een update te valideren. Omdat die sleutels gecontroleerd worden door één bedrijf, of zelfs één persoon, vormen die toch een 'single point of failure', meent Ryge.

Naïviteit en overmoed

Deze kwetsbaarheid is een combinatie van naïviteit en overmoed, vermoedt Ryge. Softwareontwikkelaars dachten dat ze hun sleutels geheim konden houden tegen realistisch geachte aanvallen, en waren er niet op bedacht dat hun overheden hen zouden kunnen dwingen om updates te ondertekenen met kwaadaardige inhoud.

In die zin moeten we de FBI dankbaar zijn dat zij ons gewezen heeft op dit gevaar, stelt Ryge. Want wat de overheid langs wettelijke weg kan proberen af te dwingen, kunnen criminele organisaties natuurlijk ook proberen te doen door mensen bij de softwarebedrijven onder druk te zetten.

Wat die softwarebedrijven moeten doen, is inmiddels ook wel duidelijk, stelt Ryge: zorg dat voor het valideren van een update meerdere sleutels nodig zijn waarvan de zeggenschap verdeeld is over mensen die niet onder hetzelfde rechtssysteem vallen.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in