Foto: AP
Vorig jaar, de Australische Minister-president Malcolm Turnbull werd het onderwerp van spot toen hij nadrukkelijk beweerde dat zijn land de wetten “voorrang” in een oorlog met wiskunde om te zorgen voor handhaving van de wet op de toegang tot de gecodeerde gegevens. Nu we weten wat de anti-encryptie wet zegt, en de wetgever heeft blijkbaar veranderde tactiek, maar leerde heel weinig.
Zoals het Ministerie van Justitie in de Verenigde Staten, de Australische autoriteiten kan het gewoon niet lijken te accepteren dat ze soms niet in staat zijn om toegang te krijgen tot bepaalde gegevens of versleutelde apparaten. Tech bedrijven die gebruik maken van versleuteling correct ontwerp van hun producten, zodat zij geen toegang hebben tot een vergrendeld apparaat of versleutelde communicatie of bestanden. Nog steeds, instanties zoals de FBI hebben erop aangedrongen dat er een speciale backdoor worden ingebouwd om de veiligheid van methoden die, zeggen zij, alleen zij zouden in staat zijn om toegang te krijgen. Dit is niet praktisch, omdat het betekent dat het verlaten van een gat in de beveiliging die kunnen worden gevonden door iemand anders.
Maar handhaving van de wet maakt gebruik van angst en schuld als geheim wapen, en in geval van twijfel, het zal altijd roepen terroristen en pedofielen te krijgen. Nieuwe ontwerp-wetgeving werd uitgebracht door het Australische Ministerie van binnenlandse Zaken op dinsdag, en de overheid houdt vol dat het niet inbreuk op de beveiliging, maar de regels zijn nodig om de bad guys. “In de laatste 12 maanden, 200 gevallen hebben voorgedaan waarin ons onderzoek voor ernstige misdaden werden beïnvloed door ons onvermogen om toegang te krijgen tot die gegevens in het kader van de bestaande wetgeving,” Cyber Security Minister Angus Taylor zei tegen ABC Australië. “Dus dat betekent dat het risico hier is dat criminelen, terroristen, pedofielen en drugssmokkelaars worden steeds weg met hun misdaden zonder dat we er om hen ter verantwoording te roepen.”
Terwijl de echte criminelen (en politici) kunnen gebruik maken van versleutelde berichten weg met misdaden, hebben de deskundigen voortdurend op gehamerd dat er niet zoiets als een veilige achterdeur. Het is een mantra in de cyberveiligheid van de gemeenschap. Een backdoor is niets anders dan een lek dat moet worden gecorrigeerd, en niet zo zou het onverantwoord zijn. (Vorig jaar, de NSA, liet zien hoe het niet patchen backdoors kan averechts werken.) Maar Australië denkt, dat het vinden van een middenweg met de nieuwe wetgeving.
Het wetsvoorstel maakt verschillende wijzigingen van de huidige wetgeving rond de huiszoeking en zet een drie-tiered kader voor dwingende tech bedrijven om samen te werken met de politie om te herstellen van het beveiligen van gegevens. Een toelichtend document zet het juridisch jargon in gewoon engels, maar het is nog te vroeg om te zeggen of de wetgeving zelf doet wat de wetgevers denk dat het niet. Deskundigen en het publiek krijgt vier weken om te lezen en te becommentariëren voordat het wetsvoorstel gaat door naar de volgende fase van goedkeuring.
De meest belangrijke ding om te weten is dat wetgevers aan te dringen dat “de waarborgen en beperkingen in het Wetsvoorstel zal ervoor zorgen dat de communicatie providers kunnen niet worden gedwongen om te bouwen zwakke punten of kwetsbaarheden in hun producten die afbreuk kunnen doen aan de veiligheid van de communicatie.” Dat alleen al zou dat betekenen dat een bedrijf kan niet worden verplicht tot het bouwen van een backdoor in haar producten.
De regels gelden voor buitenlandse en binnenlandse diensten en fabrikanten, zodat iedereen het doen van zaken in Australië zou worden onderworpen aan de naleving. De drie-punt-plan escaleert het vragen van diensten voor vrijwillige samenwerking tot het aanvragen van speciale instrumenten worden gemaakt voor individuele gevallen. De autoriteiten hebben een arrestatiebevel te vragen wat de toegang tot de gegevens die ze zoeken, en zal een onderneming de mogelijkheid krijgen om hieraan te voldoen. Als ze weigeren, Technische Bijstand Kennisgeving kan worden afgegeven, dat vraagt om een partij “tot het verlenen van bijstand zijn ze al in staat is redelijke, evenredige, praktisch en technisch haalbaar is.” Verder weigering kan leiden tot een boete van maximaal $7.2 miljoen voor een organisatie of $36,000 voor een individu.
Er zijn een paar dingen gebeurt hier. Voor de tweede fase, blijkt dat de overheid het plaatsen van een weddenschap dat een aantal bedrijven in het geheim hebben toegang tot hun producten die ze niet willen onthullen aan het publiek. Daarnaast is het hopen te krijgen gemakkelijker toegang tot communicatie die niet correct gecodeerd. De toelichting noemt de statistiek dat meer dan 93 procent van Google ‘ s diensten en gegevens worden gecodeerd.” Justitie wil een eenvoudiger scheur in de overige 7 procent.
Na het spreken van Australië zekerheid minister, ABC beschreven ander voorbeeld:
Apple zal niet worden gedwongen tot het maken van een achterdeur voor iMessage, waar de encryptie sleutel is verschillend voor elke gebruiker.
Maar het houdt wel een enkele encryptie sleutel voor de iCloud-diensten — iets wat de Overheid kan toegang vragen tot.
We hebben gevraagd Apple voor commentaar op de bewering dat het gemakkelijk kan worden gedwongen om te draaien gegevens van iCloud als het is aangevraagd maar nog niet ontvangen een onmiddellijke reactie.
Het derde niveau is dat van iedereen in de gaten. Overheden krijgen de bevoegdheid om de afgifte van een Technische Mogelijkheden Kennisgeving die vereist “een aangewezen communicatie aanbieder voor het bouwen van een nieuwe mogelijkheid die hen in staat stellen tot het verlenen van bijstand als bedoeld in de wetgeving tot ASIO en onderschepping instanties.” Het zal tot Australië ‘ s minister van justitie om te beslissen of een verzoek redelijk is en technisch haalbaar is.
Dit is een ethisch dubieuze gebied en dat de wet zelf kon ontkennen. Een voorbeeld van hoe dit zou werken omvat de installatie van malware of andere software, verstrekt door een overheidsinstantie op een specifiek apparaat. Niemand kon zich voorstellen dat een agent engineering een situatie waarin een verdachte moet vervangen hun iPhone en Apple levert ze met een vies eenheid. Andere voorbeelden, zoals “het verstrekken van technische informatie, zoals informatie over de specificaties van het ontwerp van een apparaat of de eigenschappen van een dienst,” kan gemakkelijk een lus rond een argument dat de vennootschap wordt “gedwongen om te bouwen zwakke punten of kwetsbaarheden in hun producten.”
Een borderline filosofische vraag die zeker zal worden gehashed in de rechtbank, indien dit wetsvoorstel gaat: Als je op het helpen van de overheid in haar pogingen om in te breken op uw veiligheid, is het tellen als het maken van een kwetsbaarheid? Het is één ding om een agentschap te benaderen van een bedrijf, vraag dan het kraken van een telefoon, en de voor het bedrijf te doen en het is het beste om te proberen. Het is een ander ding om de hand over de blauwdrukken om de steun van de regering in de zoektocht naar het vinden van kwetsbaarheden. Software hoeft niet een moreel oordeel, iemand proberen te vinden van een gat in de beveiliging is een slechte acteur.
En laten we zeggen dat Apple vindt een manier om te herstellen van een aantal specifieke gegevens van de verzoeken van de overheid door de ontdekking van een kwetsbaarheid. Het kan dat één keer aanvragen, maar het zou een verplichting om de patch de fout en start u de procedure weer terug bij af.
Er zijn vele andere onderdelen van deze wetgeving is dat de infosec gemeenschap zal een probleem mee, maar als het gaat, kan het in tech bedrijven van het belang om gewoon het coderen van de hel uit van alles. Apple, Google, Facebook en Microsoft zag de PR-nachtmerrie die komt met het geheim werken met inlichtingendiensten terug, toen Edward Snowden onthuld van hun activiteiten met de NSA in 2013. De uitvoering van end-to-end encryptie op elke manier die ze eventueel zou veel van de ongemakkelijke verplichtingen van hen af. En er is nog tijd voor de tech reuzen bij de uitvoering van hun belangrijke lobbyen spier terug te duwen op deze wetgeving helemaal.
[Reuters, Australische Ministerie van binnenlandse Zaken]