image

ACLU: Overheden kunnen updates met backdoors afdwingen

zondag 24 juni 2018, 08:41 door Redactie, 23 reacties

Softwareontwikkelaars kunnen door overheidsinstanties worden gedwongen om backdoors aan hun updates toe te voegen om gebruikers te bespioneren, zo waarschuwt de American Civil Liberties Union (ACLU). De organisatie heeft daarom een plan gemaakt wat ontwikkelaars in dit geval kunnen doen.

Het is algemeen beveiligingsadvies aan gebruikers dat ze hun software regelmatig moeten updaten. Updates verhelpen kwetsbaarheden en maken systemen veiliger. Op deze manier maken ze ook het hele ecosysteem sterker. "Een netwerk is sterker wanneer alle schakels sterk zijn. En omgekeerd kan een sterk netwerk worden gehackt als er een zwakke schakel is", aldus de ACLU.

Volgens de burgerrechtenbeweging kunnen overheidsinstanties kwaadaardige updates als een middel zien om mensen te surveilleren. "De Amerikaanse of andere overheden kunnen je dwingen om zulke kwaadaardige software te maken en installeren. Een rechercheur kan eisen dat je je software aanpast om het aantal keren te omzeilen dat er een foutieve pincode kan worden ingevoerd, aftappen in te schakelen, de camera aan te zetten of iemand fysiek te volgen."

Als voorbeeld wordt de zaak van de San Bernardino-schutter genoemd. De schutter had een iPhone bij zich die vergrendeld was. De FBI vroeg Apple vervolgens om te helpen bij het ontgrendelen van het toestel. Apple weigerde dit, waarop de opsporingsdienst naar de rechter stapte. Die gaf de FBI gelijk en stelde dat Apple een aangepaste versie van iOS moest maken zodat de beveiliging van de iPhone, die na tien verkeerde pincodes alle data op het toestel wist, was te omzeilen. Apple ging tegen de uitspraak in beroep, maar nog voor beide partijen zich opnieuw voor de rechter moesten verantwoorden besloot de FBI de zaak te laten vallen omdat een niet nader genoemde leverancier had aangeboden het toestel te ontgrendelen.

Stappenplan

Vanwege het risico dat dergelijke updates voor de privacy en veiligheid van gebruikers vormen komt de ACLU met een stappenplan. Daarin staat wat softwareontwikkelaars kunnen doen als ze een gerechtelijk bevel ontvangen om een backdoor of malware aan een update toe te voegen. Zo wordt het gebruik van digitale handtekeningen voor updates aangeraden en "mirrorable distribution", waarbij gebruikers en tussenpartijen informatie over beschikbare updates onder elkaar kunnen uitwisselen. Dit moet met name het uitvoeren van een gerichte aanval tegen een specifieke gebruiker lastiger maken. Daarnaast adviseert de ACLU een proces om met dergelijke overheidsverzoeken om te gaan en wordt het inschakelen van een advocaat aangeraden.

Reacties (23)
24-06-2018, 09:16 door -karma4 - Bijgewerkt: 24-06-2018, 09:38
Goed plan. In deze tijd van criminaliteit, radicalisering en terrorisme moet de overheid natuurlijk overal bij kunnen. Daadwerkelijk gebruik van een dergelijke backdoor wel via de rechter natuurlijk. Anders is de verkregen informatie niet rechtsgeldig.
24-06-2018, 09:45 door Anoniem
Door The FOSS: Goed plan. In deze tijd van criminaliteit, radicalisering en terrorisme moet de overheid natuurlijk overal bij kunnen. Daadwerkelijk gebruik van een dergelijke backdoor wel via de rechter natuurlijk. Anders is de verkregen informatie niet rechtsgeldig.

Zeker. Waarom ruimen we de mensheid niet preventief? Dat is zeer effectief hoor! Geen kriminaliteit meer. Wat wil je nog meer, The FOSS? Snelle oplossingen! Daar hou ik van. Net zoals jij! Dat je daardoor het kind met het badwater weg gooit, doet totaal niet terzake. Dat je daar hele netwerken mee vernielt, ook niet.

Oh wat zou het tof zijn als iedereen hersens had. Dan zag je dit soort reacties ook niet en zag het volk op security.nl er een stuk slimmer uit.

Backdoors zijn NOOIT DE OPLOSSING natuurlijk. Dat is gaten maken in systemen die waterdicht zouden moeten zijn. Dat ik dat hier moet uitleggen, is beneden alle peil.
24-06-2018, 09:55 door [Account Verwijderd]
Ik ben het vaak met je eens FOSS maar in dit geval niet. Daarom voor mij alleen open source software zodat deze altijd te auditen is op backdoors door deskundigen.
De overheid heeft niets te maken met wat ik op mijn pc uitvoer en het helpt echt niet tegen terrorisme.
24-06-2018, 10:21 door Anoniem
George Orwell 1984 praktijken,het wordt echt creepy in het moderne westen.
24-06-2018, 10:23 door -karma4 - Bijgewerkt: 24-06-2018, 10:24
Door linux4: Ik ben het vaak met je eens FOSS maar in dit geval niet.

Het zou ook erg saai worden als we het altijd met elkaar eens zouden zijn ;-)

Door linux4: Daarom voor mij alleen open source software zodat deze altijd te auditen is op backdoors door deskundigen.

Hier idem.

Door linux4: De overheid heeft niets te maken met wat ik op mijn pc uitvoer en het helpt echt niet tegen terrorisme.

Ook niet met wat ik op mijn pc uitvoer. Want jij noch ik behoren tot de doelgroep criminaliteit, radicalisering en terrorisme. Echter, indien via een rechter wordt besloten dat de informatie van een bepaald persoon achterhaald moet en mag worden, dan zijn daar denk ik goede redenen voor en ben ik daar zeker niet tegen. Probleem is wel dat een backdoor een eigen leven kan gaan leiden en zonder tussenkomst van een rechter gaat worden gebruikt. Daar moet men wel iets op verzinnen.
24-06-2018, 10:51 door Anoniem
Door The FOSS: Goed plan. In deze tijd van criminaliteit, radicalisering en terrorisme moet de overheid natuurlijk overal bij kunnen. Daadwerkelijk gebruik van een dergelijke backdoor wel via de rechter natuurlijk. Anders is de verkregen informatie niet rechtsgeldig.
En ik vind... dat de overheid niet overal bij mag komen. Anders verandert een rechtsstaat binnen de korste keren in een Stalinistische Staat waar de bevoegdheden van de overheid op schandelijke wijze misbruikt worden, zoals de geschiedenis al te vaak leert.
24-06-2018, 10:55 door Briolet - Bijgewerkt: 24-06-2018, 10:56
Softwareontwikkelaars kunnen door overheidsinstanties worden gedwongen om backdoors aan hun updates toe te voegen

Een vreemde bewering als je met een voorbeeld komt, waarbij deze backdoor juist niet is ingebouwd. Ook al gaf een lagere rechter wel al aan dat het moest, het is niet gebeurd en we weten nu niet wat een hogere rechter beslist zou hebben.

Als het echt gebeurd was, dan hadden ze dat wel els voorbeeld gebruikt.
24-06-2018, 11:03 door [Account Verwijderd]
Door The FOSS:

Door linux4: De overheid heeft niets te maken met wat ik op mijn pc uitvoer en het helpt echt niet tegen terrorisme.

Ook niet met wat ik op mijn pc uitvoer. Want jij noch ik behoren tot de doelgroep criminaliteit, radicalisering en terrorisme. Echter, indien via een rechter wordt besloten dat de informatie van een bepaald persoon achterhaald moet en mag worden, dan zijn daar denk ik goede redenen voor en ben ik daar zeker niet tegen. Probleem is wel dat een backdoor een eigen leven kan gaan leiden en zonder tussenkomst van een rechter gaat worden gebruikt. Daar moet men wel iets op verzinnen.

Dat eigen leven gaan leiden is precies mijn bezwaar tegen backdoors.
24-06-2018, 11:10 door Anoniem
Nooit aan backdoors beginnen. Want wie bepaalt wat een terechte backdoor is? CIA, 5 eyes, Trump, Kaspersky? Er zijn andere manieren en proliferatie loert overal om de hoek. Straks is er niets meer te vertrouwen.
luntrus
24-06-2018, 11:44 door karma4 - Bijgewerkt: 24-06-2018, 11:45
Met het verhaal van fbi en Apple moetje zelf de court order lezen. Nergens staat de eis van een algemene backdoor en het toestel is met serienummer benoemd.
Dat verhaal van algemene backdoor is door T. Cook naar buiten gebracht. De vraag is waarom hij iets wat er niet staat toch zo gebracht heeft. Aangezien Cook het initiatief genomen heeft ö de boel te verdraaien moet er wat anders spelen.
Publieke opinie bespelen is een machtig maar gevaarlijk iets.
24-06-2018, 11:54 door Anoniem
Als je net denkt dat de overheden te ver gaan (sleepwet in nederland, afschaffen netneutraliteit VS) vinden ze toch weer een manier om je nog verder te volgen. Ik dacht ook eerst dat de FBI wel gelijk zou hebben omdat het hier om een crimineel ging, maar na al die wanpraktijken ben ik nu voor Apple.

Moet je eens voorstellen als de overheid zo'n bevel zou geven aan Apple, Microsoft, Google en Facebook en ze zouden allemaal instemmen. Dan kunnen ze IEDEREEN die dan ook maar ooit eens op internet zit volgen. Dit is echt belachelijk, de overheid hoort haar burgers te beschermen, en niet planmatig te infecteren met malware om zo maar alles te moeten volgen wat zij op internet doen. Ik hoop echt dat alle technologie bedrijven dit keihard gaan weigeren, in het belang van de privacy.
24-06-2018, 11:56 door [Account Verwijderd]
Door Anoniem: Nooit aan backdoors beginnen. Want wie bepaalt wat een terechte backdoor is? CIA, 5 eyes, Trump, Kaspersky? Er zijn andere manieren en proliferatie loert overal om de hoek. Straks is er niets meer te vertrouwen.
luntrus

Mee eens, de VS sluit ook vermeende terroristen op in Guantanamo Bay zonder dat ze ooit een proces hebben gekregen. Zo kunnen ze dus ook backdoors afdwingen zonder tussenkomst van een rechter.

Zelfs al dwingen ze bij Open Source een backdoor af dan is dat in elk geval bij audits zichtbaar. Bij gesloten systemen als Mac OS en MS Windows niet.
24-06-2018, 12:48 door karma4 - Bijgewerkt: 24-06-2018, 12:51
Door linux4: Ik ben het vaak met je eens FOSS maar in dit geval niet. Daarom voor mij alleen open source software zodat deze altijd te auditen is op backdoors door deskundigen.
De overheid heeft niets te maken met wat ik op mijn pc uitvoer en het helpt echt niet tegen terrorisme.
De overheid heeft als taak de rechtszekerheid volgens vastgestelde wetgeving. Houd je je er niet aan dan hebben de handhavers het volste recht om jou er op aan te spreken en andere maatregelen te nemen. Of het nu fysiek is of niet, bijvoorbeeld jouw computer, maakt weinig uit.

Je kunt het met de wetgeving van een staat niet eens zijn, dat is een heel ander iets. Met dat ddos terrorisme hebben ze onlangs netjes resultaat geboekt.


Zelfs al dwingen ze bij Open Source een backdoor af dan is dat in elk geval bij audits zichtbaar. Bij gesloten systemen als Mac OS en MS Windows niet.

Je tv router wifi lamp deurbel en ander iot gebeuren zijn uitstekende bronnen naar al het verkeer via je provider.
24-06-2018, 13:12 door [Account Verwijderd]
Door karma4:
Door linux4: Ik ben het vaak met je eens FOSS maar in dit geval niet. Daarom voor mij alleen open source software zodat deze altijd te auditen is op backdoors door deskundigen.
De overheid heeft niets te maken met wat ik op mijn pc uitvoer en het helpt echt niet tegen terrorisme.
De overheid heeft als taak de rechtszekerheid volgens vastgestelde wetgeving. Houd je je er niet aan dan hebben de handhavers het volste recht om jou er op aan te spreken en andere maatregelen te nemen. Of het nu fysiek is of niet, bijvoorbeeld jouw computer, maakt weinig uit.

Je kunt het met de wetgeving van een staat niet eens zijn, dat is een heel ander iets. Met dat ddos terrorisme hebben ze onlangs netjes resultaat geboekt.


Zelfs al dwingen ze bij Open Source een backdoor af dan is dat in elk geval bij audits zichtbaar. Bij gesloten systemen als Mac OS en MS Windows niet.

Je tv router wifi lamp deurbel en ander iot gebeuren zijn uitstekende bronnen naar al het verkeer via je provider.

Dat is dus heel iets anders wat jij zegt. Als je je niet aan de wet houd heeft de staat inderdaad het recht om jou er op aan te spreken en desnoods via een rechterlijk bevel je computer te doorzoeken. Maar met een vooraf geprogrammeerde standaard backdoor eigen je als staat jezelf het recht toe om de computers van iedereen te doorzoeken en dat kan naar mijn mening echt niet in een rechtstaat.
24-06-2018, 14:06 door Briolet
Zelfs al dwingen ze bij Open Source een backdoor af dan is dat in elk geval bij audits zichtbaar. Bij gesloten systemen als Mac OS en MS Windows niet.

Bij open source hoeven ze juist geen backdoor af te dwingen. De code is openbaar, dus daar kunnen ze de backdoor zelf in zetten en compileren. Ze moeten hooguit afdwingen dat de versie getekend wordt door de originele uitgever.

En audits? Gezien het voorbeeld van de iPhone gaat het hier om backdoors, geschreven voor specifieke gebruikers of een specifiek apparaat.
24-06-2018, 15:57 door Anoniem
Maar wat te denken van een overheid die de eigen agenten aan gevaar blootstelt door middel van kwetsbaarheden? Is gebeurd. Daarom geen opzettelijke kwetsbaarheden voor onbetrouwbare overheden.
luntrus 9
25-06-2018, 08:12 door Anoniem
Door The FOSS: Probleem is wel dat een backdoor een eigen leven kan gaan leiden en zonder tussenkomst van een rechter gaat worden gebruikt. Daar moet men wel iets op verzinnen.
Die laatste zin is precies het probleem waarom dit thema in de politiek ook steeds weer wordt genoemd. "Daar moet men wel iets op verzinnen" klinkt namelijk erg gemakkelijk, er is echter niets op te verzinnen. Dit is namelijk een inherent probleem aan backdoors, dat degene die de backdoor kent en de sleutel heeft, deze kan gebruiken en/of misbruiken.

Dit is enkel te voorkomen door gewoon geen backdoors te maken.
25-06-2018, 09:50 door Anoniem
Zeker. Waarom ruimen we de mensheid niet preventief? Dat is zeer effectief hoor! Geen kriminaliteit meer

De mensheid vergaat zeker ook bij een inkijk operatie bij een crimineel, het gebruik van een richtmicrofoon, of het aftappen van zijn telefoon verbinding. Stel je toch niet zo aan (tenzij je crimineel bent, en bang moet zijn dat een rechter commissaris toestemming geeft dit soort vergaande bevoegdheden tegen jou in te zetten).
25-06-2018, 13:21 door karma4 - Bijgewerkt: 25-06-2018, 13:26
Door linux4:....
Dat is dus heel iets anders wat jij zegt. Als je je niet aan de wet houd heeft de staat inderdaad het recht om jou er op aan te spreken en desnoods via een rechterlijk bevel je computer te doorzoeken. Maar met een vooraf geprogrammeerde standaard backdoor eigen je als staat jezelf het recht toe om de computers van iedereen te doorzoeken en dat kan naar mijn mening echt niet in een rechtstaat.
Dat recht van handhavers betwist je gelukkig niet in het geval van onwettelijke activiteiten.

In het doorgeslagen verhaal van dat de overheid dat zou kunnen doen in dat geval (gericht en onderbouwd) is vanuit privacy voorvechters het beeld geschapen dat de overheid dat zo maar bij een ieder zou gaan doen. Daarbij de taak van de overheid rond handhaving aan het betwisten.

Wat te denken van het eisen van openbaarheid van namen als militairen ambtenaren met als achterliggende reden persoonlijke maatregelen tegen personen.
Zoiets is tegen de wet zeer onethische en toch zie je het gebeuren. Net zoals er valse aangiftes gedaan zijn gericht op onmogelijk maken van personen. Zouden die een adequate schadeloosstelling gekregen hebben?
25-06-2018, 14:06 door RuudU
Door The FOSS: Goed plan. In deze tijd van criminaliteit, radicalisering en terrorisme moet de overheid natuurlijk overal bij kunnen. Daadwerkelijk gebruik van een dergelijke backdoor wel via de rechter natuurlijk. Anders is de verkregen informatie niet rechtsgeldig.

Ja. Een volgende stap is dat aanemers verplicht microfoons in alle wanden van nieuwbouwwoningen moeten plaatsen, zodat het crimineel ook binnenshuis bewaakt kan worden. Wat ik er van vindt?

Overheid OPROTTEN en opgerot blijven uit mijn privacy. De ervaring leert dat aan alle garanties die de wet geeft, als het zo te pas komt gewoon stiekem aan de kant worden geschoven.
26-06-2018, 00:22 door Anoniem
Nu ja met wat robots kan je elk probleem met wat sleutelen oplossen.
Beveiligen begint met alles wat gratis is buiten te gooien (daar staan de virusen) en sommige sites die zichzelf profesioneel noemen plaatsen ook daar hun afbeeldingen. Het is gewoon betreurend.
De meeste lekken zijn effectief te blockeren met hardware firewalls en alle geotrust certificaten te untrusten.

Je ziet dan google form waar je niet meer op verzenden kan klikken.
facebook zonder layout, enz

Doe gewoon ook eens te test om google te blockeren en al vlug merk je dat jquery op vele sites niet werkt en zo ook de functies niet dus bij beveiligen verlies je ook veel.

één ding heb ik nog niet begrepen is ik had eens op mijn nagels geklopt deze werden blauw en na het verwijderen had ik enkele kleine oneffenheden . gevolgd kreeg ik toevallig of niet reclame over een product om schimmel op nagels te verwijderen. Hoe dit werkt blijft een vraagteken maar het is geen camera van de gsm want internet staat niet aan. Ik vermoed dat het ergens een kombinatie moet zijn van databases al ga ik ervanuit dat het toeval is het blijft bizar.

En lekken maken om informatiezieke mensen nog meer te voeden?
Ze zouden specialisten beter laten hacken ... die informatie zieke mensen zouden snel een toontje lager zingen als hun systeem eens door enkele mensen waar ze eens te ver zijn gegaan .

Wat ga je dan allemaal beschikbaar plaatsen webcams, identiteit , de mogelijkheid hun bankrekening te plunderen,
of gewoon hun systeem saboteren omdat zij niet zo snel aan de oplossing van een patent zouden komen.
Ze zouden beter werken aan een scheiding van het internet . Elk domein is bereikbaar elk ip in eurpa niet en zo zou het geregeld moeten zijn. Routeren en maken dat buiten europa geen directe verbindingen mogelijk zijn en zo het europees netwerk veilig maken en alles wat erbuiten gebeurt "niet mijn probleem" en zo veel mensen werk en tijd besparen en dit is directe winst.
26-06-2018, 09:14 door PietdeVries
Door RuudU: Overheid OPROTTEN en opgerot blijven uit mijn privacy. De ervaring leert dat aan alle garanties die de wet geeft, als het zo te pas komt gewoon stiekem aan de kant worden geschoven.

Precies! Privacy, daar moet de overheid ver van blijven - dat kunnen we beter overlaten aan commerciële partijen! Digi-d schaffen we af en vervangen we door Facebook authenticatie. De belastingdienst houdt bij hoeveel geld er op mijn rekening staat - waarom laten we dat Google niet doen? En waarom al die publieke omroepen? Ziggo weet precies wie wanneer waar naar kijkt - zij kunnen veel beter programma's maken!
26-06-2018, 10:55 door karma4
Door Anoniem: ....
Ze zouden beter werken aan een scheiding van het internet . Elk domein is bereikbaar elk ip in eurpa niet en zo zou het geregeld moeten zijn. Routeren en maken dat buiten europa geen directe verbindingen mogelijk zijn en zo het europees netwerk veilig maken en alles wat erbuiten gebeurt "niet mijn probleem" en zo veel mensen werk en tijd besparen en dit is directe winst.
Rusland China n Korea turkije de vs en wat doen dat al.
Restricties op soort gebruik en door wie. Niet bepaald positief beeld voor vrijheid idealisten.
Al gescheiden deel voor kritische infra lijkt me dat acceptabel. Moeten die liberale vrije ondernemingen wel verplicht worden om samen te werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.