Hoe Microsoft ons de gevolgen van een backdoor toonde.

Een backdoor in computersoftware is nooit een goed idee. Het geeft niet alleen toegang tot al onze beschermde data aan overheidsinstanties, maar legt ook nog eens een zwaar risico op de beveiliging van onze privégegevens. Eens uitgelekt is er geen weg terug. Er is vervolgens geen eenvoudige manier om zo’n lek te dichten, als er al een bestaat. Apple, onder de vlag van Tim Cook, uitte zich al meermaals als tegenstander van zulke software en verkondigd dat zijn software backdoorvrij is. Verder nog weigerde ze zulke software te maken wanneer de FBI in de San Bernardino zaak met een bevelschrift aankwam. De FBI heeft uiteindelijk opgegeven en zijn eigen methode gevonden om in de iPhone van Syed Farook te geraken. Maar opvallend bleef het bij Microsoft redelijk stil over hoe het met hun software zat, op een getuigenis van medeleven na. En nu is duidelijk waarom.

Het gevaar van een backdoor.

Een backdoor is gevaarlijk en heeft zo zijn risico. Overheidsinstanties over de wereld zoals in de VS en UK willen backoors in computersoftware om de terreurdreiging die er heerst te kunnen bestrijden. Dit lijkt op het eerste zicht een makkelijke oplossing. Maar toch is dit geen goed idee en brengt het ons enkel maar meer in gevaar. Overheidsinstanties willen wat zij noemen een gouden sleutel. Deze gouden sleutel moet toegang bieden tot alle geëncrypteerde data dat op onze telefoons en computers opgeslagen staat. Het probleem: eens zo’n master key uitlekt is er geen controle meer over wie toegang heeft tot onze data en is de encryptie waardeloos. En dat is niet zomaar op te lossen.


Lees ook: Androids beveiliging is om te huilen.


Het geval Microsoft.

Hoewel veel mensen in de computer industrie het idee van een backdoor voor de overheid een slecht idee vondt, vondt Microsoft het wel noodzakelijk om net datgene voor zichzelf in te bouwen. Waar apple zover gaat als het fysiek blenden van hun private keys waar ze een stuk software op iCloud — dat verantwoordelijk is voor iCloud sleutelhanger — mee signeren, zoals we te horen kregen op de Blackhat Security Conferentie van 2016, creëerde Microsoft mooi zijn eigen gouden sleutel die het mogelijk maakte om alle windows computers te ontgrendelen en software te installeren. Waar ze niet op gerekend hadden: deze sleutel lekte uit. De sleutel waar windows computers mee ontgrendeld kunnen worden ligt open en blood op het internet. Deze sleutel maakt het mogelijk om andere versies van het besturingssysteem te installeren of ander software zoals malware en dergelijke. Dit is iets dat Microsoft niet zo makkelijk kan oplossen. Het is een blunder op grote schaal. Maar de sleutel terughalen gaat niet meer. Die ligt daar nu. Natuurlijk zullen zij een software update uitbrengen om de schade te beperken, maar daar licht het hem nu net. Het meerendeel van de Windows gebruikers staat er om bekend om hun software niet snel te updaten en volgens experts is dit niet iets dat eenvoudig is te verhelpen. Hoe hard Microsoft de schade kan inperken is nog af te wachten. Maar kijk nu even terug naar Apple in zijn zaak met de FBI. Als zij de software gecreëerd hadden waar de FBI om vroeg; en als die uitgelekt zou zijn, wat uiteraard zou gebeurd zijn, dan was er voor Apple geen manier om dit op te lossen. Het zou voor Apple een volledige cyclus van nieuwe iPhones gekost hebben om zo’n stukje software waardeloos te maken. Alle bestaande iPhones zouden niet gepatcht kunnen worden. Dit is niet wat we moeten willen. Laten we hopen dat Microsoft ons nu wakker geschud heeft en dat we die fout nooit nog eens maken.


Lees ook: Waarom een ongeëncrypteerde Kernel een goede zaak is.