Beveiligingsfouten en achterdeuren
1 Augustus 2019In mijn vorige artikel had ik het over hoe data verzameld wordt en wat er mee wordt gedaan, en sloot af met het onderwerp Apps en dat zeer grote bedrijven waarschijnlijk niet te ver gaan (door u op te nemen) gezien de reacties van het publiek hun bedrijven schade kan berokkenen. Nu blijkt echter dat dit niet zo is.
Er gaat bijna geen maand voorbij zonder een “data schandaal” of een “hack” waarbij persoonlijke informatie gelekt wordt. Het laatste schandaal is dat van de virtuele assistent van Google die, in sommige gevallen, ook opneme als er niet “Hey Google” gezegd wordt (de trigger voor de App). Alles wordt opgenomen en naar Google verstuurd en 0,2% daarvan wordt door Google medewerkers nagekeken. Volgens Google is de eerste een “fout” en het tweede oké gezien de data geanonimiseerd is.
Dit zogenaamde “data schandaal” is slechts het puntje van de ijsberg en beperkt zich niet alleen tot Google. Er is veel meer gaande, dat nauwelijks in de media verschijnt.
Het is niet voor niets dat de EU Google een boete van 4,34 miljard euro heeft opgelegd.
Vraag u eens af hoeveel van wat we zien of horen op het internet we door puur “toeval” zien.
Nog een probleem is dat het gemiddelde privacy schandaal weinig tot geen consequenties heeft voor deze bedrijven. Het beste voorbeeld hiervan is Facebook, met het ene data schandaal na het andere. De enige consequentie is dat mensen zeggen dat ze hun Facebook account verwijderen en Facebook niet meer zullen gebruiken. Maar de statistieken laten iets anders zien. Ook verandert “account verwijderen” meestal in “een tijd niet gebruiken” of alleen maar de App op de telefoon verwijderen. Het zelfde zien we bij YouTube gebruikers die klagen over censuur. Als we logisch zouden denken gaan we er vanuit dat deze mensen geen YouTube meer gebruiken, of tenminste minder. Maar het tegenovergestelde is waar.
In de psychologie is dit zeer goed te verklaren, echter is dit geen artikel over psychologie.
Het punt is dat er geen ernstige consequentie zijn voor grote bedrijven die onze privacy niet respecteren. Plus door de bijna maandelijkse data schandalen is het reeds oud nieuws en niet iets dat u al lang wist, tenminste onbewust. Als het morgen bekend wordt dat de Facebook app 24 uur per dag opneemt en deze data verwerkt worden door een AI en opgeslagen worden. Wat dan? Kan Facebook zijn deuren sluiten? Krijgen ze een “kleine” boete (in vergelijk met hun omzet)? Wat als ze dit in hun privacy verklaring schrijven, is het dan oké? Of komen ze er mee weg door te zeggen dat het een fout in hun programma was of dat ze gehackt zijn?
Ik hoop dat we op het antwoord van deze vragen nog heel lang moeten wachten. Echter gezien de toename en de schaamteloze houding van deze bedrijven denk ik niet dat dit meer als een paar jaar op zich laat wachten.
Beveiligingsfouten
Data lekken door beveiligingsfouten is niets nieuws. Mensen kunnen fouten maken en een beveiligingsfout kan het mogelijk maken dat een hacker hier misbruik van maakt. Het is dus belangrijk dat bedrijven met belangrijke data deze goed beschermen en beveiligingsfouten zo veel mogelijk minimaliseren.
Als het gaat om banken, betaal portalen en hosting bedrijven is het ondenkbaar dat hier beveiligingsfouten in zitten.
Maar hoe gecompliceerder iets is, des te hoger de kans op fouten. In tegenstelling tot de algemene overtuiging is het mogelijk om een systeem zonder beveiligingsfouten te maken.
Een website zoals Facebook kan men verdelen in meerdere “programmering codes”. Één daarvan is de de “login/authentificatie”, wat beveiliging betreft de belangrijkste.
Klinkt moeilijk maar stelt technisch niet zo veel voor en is vrij ongecompliceerd, als het correct gedaan wordt.
Er zijn uiteraard ook andere complexere factoren die een datalek kunnen veroorzaken. Maar bij het bekijken van nieuwsartikelen over de datalekken bij Facebook kunnen we deze vrijwel uitsluiten.
De vraag blijft echter waarom Facebook zo laks met hun beveiliging omgaat. Hebben ze geen gekwalificeerd personeel? Wordt er te weinig aandacht aan beveiliging gegeven? Is er sprake van interne sabotage? Is het toeval? Of, om maar iets geks te zeggen: is het opzet?
Fictie of werkelijkheid?
Hacken wordt in veel series en films zeer overdreven, en komt niet vaak dicht bij de werkelijkheid. Maar er zijn ook genoeg series en films die zeer dicht bij de werkelijkheid komen. Neem b.v. de Amerikaanse drama series “Person of Interest”.
In deze serie hacken ze een telefoon met een andere telefoon binnen enkele seconden door een druk op de knop. Lijkt fictie, maar is realiteit. De ontwikkeling van dit soort software die misbruik maakt van beveiligingsfouten en achterdeuren is echter vaak alleen weggelegd voor inlichtingendiensten. Spionnen zijn geen fictie, uiteraard zijn ze niet zoals James Bond, maar ze bestaan, en dit soort software is een belangrijk instrument om hun beroep goed te kunnen uitoefenen.
Een achterdeur is eenvoudig gezegd een verborgen ingebouwde toegangsmogelijkheid. Het beste te vergelijken met een onzichtbare achterdeur in uw huis, waar zonder dat u iets merkt iemand (met de sleutel van de achterdeur) bij u binnen kan komen.
Achterdeuren zijn bijna overal te vinden. In software (Android, Windows, IOS, Apps, Programmas) en hardware (Microprocessors).
Het gevaar van de achterdeur ontstaat echter als iemand de sleutel van de deur kopieert zoals b.v. een hacker.
Achterdeuren worden ook vaak uit gemakzucht ingebouwd. Neem bijvoorbeeld röntgenscanners die u op het vliegveld ziet.
Als daar iets mis mee gaat moet er iemand komen die het probleem oplost. Vaak een technische dienst van de fabrikant of leverancier. Deze apparaten zijn uiteraard beveiligd met een wachtwoord. Wat het wachtwoord is maakt voor de technische dienst weinig uit, gezien er een achterdeur in deze apparaten zit met een universele gebruikersnaam en wachtwoord. Dit veroorzaakt uiteraard een beveiligingsrisico. Als de verkeerde persoon aan dit wachtwoord komt is in een klap de wachtwoord beveiliging nutteloos.
De overgrote meerderheid van propriëtaire hardware en software bevat achterdeuren. Het is bijna de standaard dat alle producenten achterdeuren in hun producten bouwen. Alleen in vrije software en hardware, waar de programmering (hardware bevat ook programmering) volledig open is komen we producten zonder achterdeuren tegen. Dit heeft natuurlijk ook te maken dat er andere interesses achter deze vrije software (ook wel open source genoemd) en hardware zitten.
Mobiele Onveiligheid
Aangezien onze mobile telefoons vol zitten met achterdeuren en mogelijke beveiligingsfouten, is de kans niet klein dat deze door kwaadwillige personen worden gebruikt. Of beter gezegd, dit is wat hackers gebruiken en wat hun de mogelijkheid geeft om in uw telefoon in te breken. Een geluk is dat deze achterdeuren goed verborgen zijn en vaak niet gevonden worden door de gemiddelde hacker.
Zonder beveiligingsfouten en achterdeuren zouden we ons weinig tot geen zorgen moeten maken over hackers. De waarheid is helaas anders. De lijst van bekende achterdeuren en beveiligingsfouten die momenteel in uw telefoon aanwezig zijn, onafhankelijk of u een Android of Iphone heeft is enorm. Met genoeg middelen, kennis en tijd is het bijna altijd mogelijk dat het een hacker lukt om bij u in te breken. Of het nu gaat om uw telefoon of computer. Wat we dus in deze fictie series zien is niet altijd fictie, alhoewel het in werkelijkheid niet zo snel en makkelijk gaat.
De kans dat we momenteel worden afgeluisterd is dus reëel, dat dit door een kleine hacker of uw buurman wordt gedaan is echter zeer onwaarschijnlijk. Er zijn maar weinig organisaties die over de de middelen en kennis beschikken om dit op grote schaal te doen. Als we de door Edward Snowden gelekte NSA & CIA documenten moeten geloven bestaat de AI zoals in de series “Person of Interest” die wereldwijd alles in de gaten houdt voor het grootste gedeelte echt.
Het valideren van deze documenten is uiteraard niet zo makkelijk aangezien we er niet van kunnen uitgaan dat de NSA staatsgeheimen bevestigt en dit soort dingen toegeeft.
Waarschijnlijk is het feit dat Edward Snowden beschuldigd wordt van landverraad en vervolgd wordt een deel van het antwoord.
Een ding is zeker, het is technisch mogelijk en we hebben momenteel alles om het te doen. We hebben servers die snel genoeg zijn, we hebben reeds AI’s ontwikkeld die dit kunnen, gezichtsherkenning, object herkenning, stemherkenning. Het zijn allemaal dingen die de laatste jaren geperfectioneerd zijn. Het is dus niet alleen mogelijk, maar het wordt zelfs makkelijk. De vraag blijft, is het mogelijk dat sommige grote bedrijven die de technologie hebben hier misbruik van maken?
De zelfde vraag kunnen we stellen bij de Apps die we bijna allemaal op onze telefoons hebben. Doen deze Apps meer dan wat ze ons zeggen dat ze doen? Zijn deze Apps te vertrouwen? Hoeveel beveiligingsfouten zitten in deze Apps? Of zelfs de vraag; zit er in de microchip van mijn telefoon een achterdeur?
Hopelijk zal de toekomst ons een antwoord op deze vragen geven.