Video: History of iMessage (November 2024)
Een DEA-rapport van CNet heeft aangetoond dat wetshandhaving is vertraagd door communicatie die is verzonden via het gecodeerde iMessage-systeem van Apple. Het blijkt dat encryptie slechts de helft van het probleem is, en het is echt wetgeving die iMessages onzichtbaar houdt voor wetshandhavers.
Volgens de hoofdtechnoloog van ACLU Christopher Soghoian, Ph.D., ligt het echte probleem in de Communications Assistance for Law Enforcement Act of CALEA die in 1994 werd aangenomen.
Soghoian vertelde de beveiligingswetgeving, "verplicht gesteld dat industrieën interceptiemogelijkheden voor hun netwerken inbouwen." Deze industrieën omvatten telefoon- en breedbandbedrijven, maar geen bedrijven zoals Apple. iMessage verschilt ook van normaal sms'en omdat het zowel het bericht versleutelt als het peer-to-peer tussen iPhones verzendt, zonder het netwerk van een aanbieder aan te raken.
In de twee decennia sinds de wet is aangenomen, is het communicatielandschap dramatisch veranderd. Apple was niet in het communicatiespel in 1994, en de meeste directe communicatie werd uitgevoerd door telefoonbedrijven.
"Traditioneel heeft de Amerikaanse overheid de overgrote meerderheid van de surveillance uitgevoerd met de hulp van de telefoonbedrijven, " zei Soghoian, die telefoonbedrijven een "vertrouwde partner" van wetshandhaving noemde.
Versleuteling betekent Vrijgesteld
Een ander kritisch aspect van CALEA houdt zich bezig met gecodeerde berichten, voornamelijk omdat het is vrijgesteld van alle draadloze bewaking. Soghoian legde uit dat communicatie, "gecodeerd met een sleutel die het bedrijf niet kent, niet kan worden onderschept." Dus in een situatie waarin de decoderingssleutels op het apparaat worden verwerkt en niet door degene die de berichten bezorgt, moet de politie het bericht volledig negeren.
Dit probleem werd genoemd in het DEA-rapport, geciteerd door CNet: "iMessages tussen twee Apple-apparaten worden beschouwd als gecodeerde communicatie en kunnen niet worden onderschept, ongeacht de serviceprovider van de mobiele telefoon." Het rapport merkt echter op dat, afhankelijk van waar het onderscheppen is geplaatst, berichten die naar andere telefoons zijn verzonden, kunnen worden gelezen. Dit is waarschijnlijk omdat die communicatie niet gecodeerd is en daarom zichtbaar is voor wetshandhavingsinstanties onder CALEA.
UPDATE: De exacte formulering van CALEA over codering luidt:
"Een telecommunicatie-aanbieder is niet verantwoordelijk voor het ontsleutelen of waarborgen van het vermogen van de overheid om elke door een abonnee of klant versleutelde communicatie te ontsleutelen, tenzij de versleuteling door de vervoerder is verstrekt en de vervoerder de informatie bezit die nodig is om de communicatie te ontsleutelen."
Per ongeluk beveiligd
Wat belangrijk is om op te merken, is dat Apple niet van plan was om zijn berichten onzichtbaar te maken voor de overheid. Integendeel, het wilde gewoon een kwaliteitsproduct produceren en het vervolgens standaard naar een enorme gebruikersbasis pushen. Soghoian zei dat dit komt omdat Silicon Valley meer een beveiligingsmentaliteit heeft dan de telefoonbedrijven. "U kunt een beveiligingsteam geen service laten goedkeuren die geen codering gebruikt, " legde hij uit, daarbij verwijzend naar het langdurige interne proces dat veel nieuwe communicatieproducten moeten doorstaan.
"iMessage werd een paar jaar geleden ontworpen, het sms-systeem werd tientallen jaren geleden ontworpen, " vervolgde Soghoian. "De oude systemen zijn schandelijk onzeker, maar Silicon Valley is veilig. Dat is wat ze doen."
Maar alleen omdat iMessages niet onmiddellijk beschikbaar zijn voor onderschepping, biedt geen volledige bescherming. "Met het juiste soort systeem, " zei Soghoian. "Apple-berichten kunnen worden onderschept." Het gaat erom dat Apple de partijen in een iMessage-chat geen indicatie geeft dat een nieuw apparaat is geïntroduceerd. Soghoian zei dat als je naar de Apple Store ging, een nieuwe telefoon kreeg en je wachtwoord opnieuw instelde, je met je vrienden kon chatten alsof er niets was gebeurd. "Dat betekent dat Apple dat ook voor de overheid kan doen."
iMessage heeft ook andere problemen. De service werd onlangs gebruikt in een denial of service-aanval omdat deze weinig of geen limieten heeft voor het aantal berichten dat kan worden verzonden en geen middelen heeft om aanstootgevende berichten te blokkeren.
Hoewel Apple misschien net bezig was om het beste product te bouwen dat het kon, hebben andere bedrijven, zoals TextSecure en Silent Circle, besloten om niet te worden onderschept door ontwerp. Deze systemen hebben end-to-end-codering, zoals iMessage, via netwerken beheerd door de makers van de apps. Dit betekent dat de berichten onder CALEA volledig onzichtbaar zijn voor de politie en bovendien vrijwel onmogelijk te decoderen zijn.
Aanvaardbaar risico
De manier waarop CALEA deze problemen aanpakt, lijkt misschien problematisch, en de DEA-klachten benadrukken het probleem zeker. Soghoian wijst er echter op dat het gemakkelijker is om systemen te monitoren niet veiliger te maken. "Een dienst die de FBI gemakkelijk kan controleren, is ook gemakkelijk voor de Chinezen om te hacken, " zei Soghoian. "Als je één achterdeur open laat, laat je deze voor iedereen open."
In een tijd van grote datalekken in populaire bedrijven en cyber-oorlog tussen landen, zal Washington waarschijnlijk moeten accepteren dat hij het niet in beide richtingen heeft.
BIJWERKEN:
Jon Callas, CTO voor het beveiligde berichten- en spraakbedrijf Silent Circle herhaalde veel van de gevoelens die we al hebben besproken. "iMessage is een geval waarin een groot bedrijf een technologie bedacht die goed is voor zowel hen als hun klanten, zonder na te denken over wat de overheid zou willen."
Dit staat in schril contrast met de toon van CALEA, die een aftapbare achterdeur heeft ingebouwd. "iMessage moest een goedkope, veilige manier zijn om een sms-uitwisseling te doen, " zei Callas. "Het stond niet op de lijst met functies om vriendelijk te zijn voor de overheid."
