FBI en Apple: alles over deze privacyzaak
Apple staat lijnrecht tegenover de FBI in een zaak, waarbij er een afweging gemaakt moet worden tussen veiligheid en privacy. De FBI wil dat Apple helpt om de iPhone van een terrorist toegankelijk te maken voor onderzoek, terwijl Apple zich verzet, omdat het een gevaarlijk precedent zou scheppen. Inmiddels zou de FBI toegang hebben tot het toestel. In dit uitlegartikel lees je alles over deze zaak.
Apple’s FBI-zaak, waar gaat het om?
In december 2015 schoot een terrorist in San Bernardino samen met zijn vrouw veertien mensen dood. De FBI heeft de iPhone 5c van de man in beslag genomen. Ze vermoeden dat er belangrijke informatie op staat, bijvoorbeeld of de man contact heeft gehad met anderen. De iPhone is echter beveiligd met een pincode. Als er 10 keer een onjuiste code wordt ingevoerd, zal alle data van het toestel worden gewist. De FBI vraagt daarom aan Apple of zij kunnen helpen deze beveiliging te omzeilen. Apple heeft niet zo’n methode en wil ook niet meewerken aan het ontwikkelen daarvan.
Waarom weigert Apple mee te helpen?
Apple heeft de afgelopen jaren gewerkt aan de verbeterde privacy en beveiliging van iPhones. Privacy is een belangrijke reden om een iPhone te kiezen, omdat Apple belooft dat de data veilig zijn. Er zijn voor Apple meerdere redenen om niet te willen meewerken:
- Ze willen niet de beveiliging van iPhones verzwakken. Daarmee doen ze hun eerdere inspanningen teniet. Bovendien zouden Apple en Tim Cook gezichtsverlies leiden, omdat ze zich al jaren sterk maken voor betere beveiliging.
- Het zou betekenen dat de beveiliging van iPhones van álle gebruikers wordt verzwakt. Apple wil niet de beveiliging in het algemeen verzwakken, omdat dit grote consequenties heeft.
- Apple wil niet in dit specifieke geval meewerken, omdat het een precedentwerking heeft. Apple is bang dat Amerikaanse en buitenlandse overheden daarna toegang eisen tot veel meer iPhones.
FBI-zaak kan grote impact hebben
In eerste instantie lijkt het om één iPhone te gaan, maar de impact is veel groter. Het gaat uiteindelijk om de vraag wat belangrijker is: de privacy van burgers of het bestrijden van terrorisme? Ook gaat het om de vraag: moet Apple gedwongen worden om de beveiliging van hun toestellen bewust slechter te maken, zodat overheden het gemakkelijker kunnen hacken? Deze vragen raken de grondwet van de Verenigde Staten, met name het eerste en vierde amendement. Apple beroept zich op de vrijheid van meningsuiting, omdat ze software zouden moeten creëren waar ze niet achter staan. Daarnaast speelt het recht op privacy: als een burger bewust een pincode heeft ingesteld, mag dat niet zomaar geschonden worden.
Rechter dwong Apple om mee te werken
Op 17 februari 2016 besloot een Amerikaanse rechter dat Apple moet helpen met het hacken van de iPhone 5c van de terrorist die in San Bernardino een aanslag pleegde. De aanslagpleger was werkzaam bij de lokale overheid (San Bernardino County) en had de iPhone 5c in bruikleen van zijn werkgever.
De FBI vermoedt dat er belangrijke informatie op de iPhone staat, dat het onderzoek vooruit kan helpen. De FBI is er zelf niet in geslaagd om toegang te krijgen tot de gegevens op de iPhone. De FBI wil daarom dat Apple helpt om de pincode-beveiliging te omzeilen. Dat kan op twee manieren:
Dat kan op twee manieren:
- Door te zorgen dat er alsnog een backup van de telefoon op iCloud wordt gemaakt. De beveiliging van gegevens op iCloud is gemakkelijker door de FBI te doorbreken.
- Of door te zorgen dat de FBI een oneindig aantal pincodes kan invoeren op de iPhone, zonder dat de inhoud wordt gewist en zonder dat er vertraging optreedt tussen het invoeren van pincodes.
Daarnaast wordt gesproken over achterdeurtje in iOS of een speciale versie van iOS, dat gemakkelijker toegankelijk is voor overheden. Apple noemt dit gekscherend GovtOS. De FBI beroept zich op de All Writs Act uit 1789, waarbij een rechter partijen kan dwingen om mee te werken. De All Writs Act mag alleen worden toegepast als er geen alternatieven zijn. Of dat het geval is, is nog maar de vraag want de FBI heeft bijvoorbeeld niet de broncode bij Apple opgevraagd en heeft mogelijk ook nog niet alle technische wegen bewandeld om zelf toegang te krijgen tot het toestel.
FBI wijzigde het wachtwoord van de dader
Een complicerende factor voor de FBI is dat het wachtwoord van het Apple ID van de dader is gewijzigd door een medewerker van San Bernardino County, waar de medewerker werkzaam was. Daardoor beschikt de FBI alleen over een verouderde backup op iCloud. Ze vermoeden dat er in recente informatie op het toestel zelf nuttige aanwijzingen te vinden zijn. Het wijzigen van het wachtwoord gebeurde binnen 24 uur nadat de FBI het toestel al in beslag had genomen. Daardoor heeft de FBI de zaak mogelijk gecompliceerd.
FBI stelde rechtszaak uit om iPhone zelf te kraken
Op 22 maart zouden Apple en de FBI in de rechtszaal verschijnen om de privacyzaak te bespreken. Dit ging op het laatste moment niet door omdat het verzoek van de FBI om de zaak te verzetten werd toegekend. Een derde partij zou namelijk gedemonstreerd hebben hoe de iPhone gekraakt kan worden zonder Apple daar voor nodig te hebben. Wat deze methode is, is niet bekend, maar er zouden gegeven bij verloren gaan. Op 5 april brengt de FBI verslag uit aan de rechtbank. Dan weten we ook of en hoe de rechtszaak verder gaat.
FBI krijgt toegang tot iPhone van terrorist
De FBI maakte in de nacht van 28 op 29 maart 2016 bekend dat ze toegang hebben gekregen tot de informatie op de iPhone 5c van de terrorist. Eerst werd gedacht dat het Israëlische bedrijf Cellebrite de FBI geholpen heeft bij het ontgrendelen van de iPhone 5c, maar later bleek dat de FBI professionele hackers inschakelde voor het ontgrendelen. De methode die gebruikt is werkt alleen op oudere toestellen, zo liet de FBI zelf weten. Toestellen vanaf de iPhone 5s bevatten en extra beveiliging dankzij de Secure Enclave. Uiteindelijk kon de FBI geen concrete nieuwe informatie uit de ontgrendelde iPhone 5c halen.
Waarom kan de FBI het zelf niet oplossen?
De FBI wil toegang tot de data op de iPhone 5c. Er zijn verschillende manieren om toegang te krijgen. Omdat de iPhone voorzien is van een pincode, heeft de FBI slechts 10 pogingen om een pincode in te voeren. Daarna zal het toestel worden gewist. Ze moeten daarom een andere methode gebruiken.
Omdat de iPhone 5c geen Touch ID-vingerafdrukscanner is, kan de FBI die niet gebruiken. Eerder is gebleken dat het mogelijk is om een iPhone te ontgrendelen door een vingerafdruk na te bootsen en op een scanner te plaatsen. Ze zouden de vingerafdruk kunnen achterhalen via het stoffelijk overschot van de terrorist. Maar dit is dus niet mogelijk, omdat er geen vingerafdrukscanner in het toestel zit.
De FBI zou ook de backups van iCloud kunnen doorzoeken. Apple staat deze backups af voor onderzoek. Ze bevatten berichten, e-mail, foto’s en andere mogelijk nuttige info. Door geknoei met het wachtwoord is er geen recente backup naar iCloud meer mogelijk. Het is onduidelijk waarom er geen backups van de iPhone 5c meer zijn gemaakt: mogelijk omdat er te weinig opslagruimte op iCloud was, omdat de iPhone niet meer in de buurt is geweest van een vertrouwd netwerk of omdat de terrorist de backups bewust uit heeft geschakeld. Het blijft echter gissen welke factor daarin meespeelde.
Apple zou kunnen meewerken door de pincodebeveiling van de iPhone 5c deels uit te schakelen, zodat de FBI in korte tijd zoveel mogelijk pincodes kan proberen, zonder dat het toestel wordt gewist. Dit is praktisch goed haalbaar: bij een 4-cijferige pincode hoef je maar 10.000 combinaties te proberen.
Apple hielp aanvankelijk mee
Apple heeft aanvankelijk meegeholpen met het onderzoek. Naar eigen zeggen is er op 6 december, 16 december en 22 januari informatie verstrekt aan de FBI. Toen de FBI echter nog meer informatie wilden, zou Apple de beveiliging van de iPhone 5c moeten verzwakken of doorbreken en daar trekken ze de grens. In noodgevallen helpt Apple wel vaker mee; ze hebben hiervoor een speciaal team zitten. Zo verleende Apple bij het verdwijnen van Malaysia-vlucht 370 binnen een uur assistentie, om zoveel mogelijk informatie rondom de toestellen te achterhalen.
Reactie van Apple: open brief en intern memo
Apple reageerde vrij snel met een open brief aan alle Apple-klanten. Hierin leggen ze uit dat ze niet aan alle verzoeken van de FBI zullen voldoen, omdat dit vergaande gevolgen zou hebben voor de privacy van iedereen die producten van Apple gebruikt. Volgens de brief zou de FBI specifiek gevraagd hebben om een achterdeur in de iPhone in te bouwen, terwijl het ontbreken van een dergelijke achterdeur juist hoog in het vaandel staat bij Apple.
Daarnaast stuurde Tim Cook een interne memo rond, waarin hij de zaak aan het personeel uitlegt.
Apple zette ook een FAQ op de website en Tim Cook gaf een interview op ABC News over de zaak. Dit interview kun je volledig terugkijken in het onderstaande artikel.
Steun uit de techsector in Apple’s FBI-zaak
Sinds de zaak naar buiten kwam, hebben diverse grote namen uit de techwereld zich achter Apple geschaard. Zo lieten Google, Microsoft, Facebook, Twitter en WhatsApp weten dat ze het eens zijn met het besluit om geen achterdeur in de iPhone in te bouwen. Diverse bedrijven en beveiligingsexperts hebben op 3 maart officiële steunbetuigingen opgesteld. Apple verzamelt ze op een aparte webpagina. Bill Gates leek aanvankelijk de FBI te steunen, maar trok zijn beweringen later weer in.
Gewone burgers organiseerden demonstraties bij de Apple Stores, onder aanvoering van Fight for the Future, een actiegroep die zich inzet voor privacy.
Hoorzitting op 1 maart 2016
Op 1 maart moesten FBI-directeur James Comey en Apple’s hoofdjurist Bruce Sewell onafhankelijk van elkaar verschijnen voor de Judiciary Committee van het Amerikaanse Huis van Afgevaardigden. Beide partijen werden in de hoorzitting uitgebreid ondervraagd over hun motieven en argumenten. Apple beriep zich op de vrijheid van meningsuiting; ze vinden dat de code die ze maken beschermd moet worden. Ook is Apple bang dat de zaak een precedent zal scheppen voor andere gevallen, waarin een iPhone ontgrendeld moet worden. James Comey van de FBI gaf in de hoorzitting toe dat er inderdaad een precedentwerking uitgaat van de zaak en dat ze soortgelijke zaken ook opgelost willen hebben als de FBI in het gelijk wordt gesteld.
De hoofdjurist van Apple benadrukte dat men op een iPhone veel persoonlijke gegevens opslaat en dat dit altijd beschermd dient te worden. Ook Cyrus Vance (New York County District Attorney) en Susan Landau (encryptie-expert, Worcester Polytechnic Institute) werden opgeroepen als getuigen. Apple’s juridische team bestaat verder uit voormalig landsadvocaat Ted Olsen en externe juridische experts.
Een dag vóór de hoorzitting boekte Apple een mooie overwinning: in een soortgelijke zaak besloot de rechter in New York dat Apple niet hoeft mee te werken aan het ontgrendelen van een iPhone. De overheid tekende echter beroep aan en vond dat Apple wel moest meewerken bij het ontgrendelen van de iPhone 5s. Apple weigert echter de medewerking in deze zaak.
Apple’s FBI-zaak: hoe nu verder?
Apple’s FBI-zaak zal grote invloed hebben op de privacy van gebruikers. Daarbij spelen nogal wat vragen:
- Moet een rechter of de wetgevende macht dit probleem oplossen?
- Moet Apple de beveiliging nog verder versterken zodat medewerking verlenen in de toekomst onmogelijk wordt?
- Kan Tim Cook in de gevangenis belanden?
- Wat gaan ze in Washington doen?
Oplossing door Congres of rechter?
Apple wilde dat het Amerikaanse Congres besluit hoe deze zaak opgelost moet worden. Niet alle partijen waren daar enthousiast over; de zaak van Apple zou dan het lot bepalen van andere techbedrijven.
Een uitspraak van een rechter afwachten is ook geen ideale oplossing, omdat het erg lang kan duren. Beide partijen zullen steeds in beroep gaan, tot het Supreme Court aan toe. Deze hoogste rechtbank van de Verenigde Staten bestaat uit 9 rechters die voor het leven zijn benoemd. Het Huis van Afgevaardigden wil over deze kwestie debatteren en tot een besluit komen, omdat ze het besluit niet aan de rechter willen overlaten.
Inmiddels waren verdere stappen niet nodig, want de FBI heeft de rechtszaak afgeblazen omdat ze inmiddels toegang gekregen hadden tot de iPhone 5c. Wel moesten Apple en de FBI op 19 april naar een hoorzitting van het congres. Hieruit bleek dat de FBI wel tevreden is over de verkregen informatie, ook al konden ze niks concreets uit het toestel halen.
Moet Apple de beveiliging versterken?
Apple lijkt deze vraag al zelf te hebben beantwoord: Apple zou volgens geruchten achter de schermen al druk bezig zijn om de beveiliging te versterken voor iDevices en iCloud, zodat ze er in de toekomst echt niet meer in kunnen. Als Apple niet beschikt over de encryptiesleutel van het iCloud-account, dan kunnen ze technisch geen toegang krijgen tot de backup-data en kunnen ze bestanden of sleutels ook niet overdragen aan de autoriteiten.
Komt Tim Cook in de gevangenis?
Een interessante vraag is of Tim Cook in de gevangenis kan belanden, als de rechtszaak zich verder ontwikkelt en Apple blijft weigeren om mee te werken. Theoretisch is er inderdaad een kans dat Cook gevangen wordt gezet, maar het zal waarschijnlijk eerder uitdraaien op boetes.
Wat gaan ze in Washington doen?
Er zijn meerdere initiatieven gaande naar aanleiding van deze zaak:
- Senatoren Richard Burr en Dianne Feinstein werken aan een wet, die bedrijven moet dwingen om gegevens te ontsleutelen als ze daartoe gedwongen worden door een rechtbank.
- De conservatieve Republikein Jim Sensenbrenner werkt aan een wet, die het werk van de FBI gemakkelijker moet maken. Sensenbrenner werkte eerder mee aan de Patriot Act en de USA Freedom Act.
- Huis van Afgevaardigden-lid Michael McCaul heeft een voorstel gedaan voor een Digital Security-commissie. Deze zou moeten bestaan uit experts uit de techindustrie, intelligence en privacy-experts. McCaul is nu al voorzitter van de Homeland Security Committee in het Huis van Afgevaardigden. Tim Cook is voorstander van zo’n nieuwe commissie.
Gevolgen van FBI-zaak
De zaak tussen de FBI en Apple heeft gevolgen voor de gehele privacywetgeving. Als de FBI een bedrijf kan dwingen om software te maken waar het desbetreffende bedrijf niet achter staat, kan dit gevolgen hebben voor de privacy van iedere gebruiker. Niet alleen voor iPhone-bezitters, maar ook gebruikers van andere smartphones en andere elektronische apparatuur. Als de FBI gebruik kan maken van een achterdeur, dan kan deze ook in handen vallen van hackers of andere kwaadwillenden. Ook zouden buitenlandse overheden staan te popelen om er gebruik van te maken, onder andere in landen met minder democratische regimes.
Inmiddels is er ook een Amerikaans wetsvoorstel die encryptie moeilijker moet maken. Hierdoor kunnen overheidsdiensten een stuk eenvoudiger toegang krijgen tot persoonlijke informatie. Zo zou een bedrijf op het verzoek van een rechter de encryptie ongedaan moeten maken.
Beveiliging van iPhones
De iPhone 5c is voorzien van iOS 9. Sinds iOS 8 worden de gegevens op een iPhone versleuteld zodra je een pincode instelt. Apple vraagt je standaard om een pincode in te vullen. Wil je geen pincode, dan zul je daarvoor extra moeite moeten doen.
De data op de iPhone is altijd versleuteld als je een pincode hebt ingeschakeld. De pincode dient als unieke sleutel om de encryptie toe te passen. Daarnaast wordt voor elke iPhone een uniek nummer gebruikt bij het toepassen van de encryptie. Je moet dus niet alleen de juiste pincode weten, je moet deze pincode ook invullen op de betreffende iPhone. Het heeft dus geen zin om de geheugenchips van de iPhone 5c over te zetten naar een ander fysiek toestel.
Als je een iPhone wilt ontgrendelen kun je brute force toepassen: je voert in korte tijd zoveel mogelijk pincodes in, totdat je de juiste code hebt. Op een iPhone met 4-cijferige pincode is dat theoretisch gezien haalbaar, omdat je maar 10.000 codes hoeft te proberen. Binnen een dag moet dat lukken. Gebruik je een geautomatiseerde tool, dan lukt het al binnen een paar minuten.
Er zijn echter twee factoren die voorkomen dat je op deze manier toegang krijgt tot een iPhone:
- Als je een foute pincode invoert is er een steeds langere wachttijd totdat je de volgende poging kunt doen. Dit voorkomt dat mensen in korte tijd heel veel pincodes kunnen proberen. Na drie foute pincodes moet je even wachten. Bij een 6-cijferige pincode kan het meer dan 5,5 jaar duren voordat de juiste code wordt gevonden.
- Veel mensen hebben de optie Instellingen > Touch ID en toegangscode > Wis data ingeschakeld. Dit zorgt ervoor dat na 10 pogingen de inhoud van de iPhone wordt gewist. Dit is het geval bij de iPhone 5c uit San Bernardino.
Ministerie van Justitie: Apple helpt China ook
De toon lijkt zich sinds de tweede week van maart 2016 te verharden. In een brief betoogt het Amerikaanse Ministerie van Justitie dat Apple vooral met marketing bezig is. Ook voeren ze meerdere argumenten aan waarom Apple moet meewerken in de zaak, bijvoorbeeld met historische voorbeelden. Ook hekelt Justitie het feit dat Apple wel speciale aanpassingen voor de Chinese markt heeft gedaan, maar weigert om zich aan te plooien naar wensen van de Amerikaanse overheid. Apple heeft laten weten dat ze China geen voorkeursbehandeling geven. Er zijn wel verzoeken geweest van de Chinese overheid om toegang te verschaffen tot de broncode van iOS, maar Apple heeft hier geen gehoor aan gegeven.
Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!