Beveiligingsexperts waarschuwen voor “massabewakingstechnologie” | heise online


Ron “de R in RSA” Rivest, Bruce Schneier, Whitfield Diffie en Ross Anderson zijn levende IT-beveiligingslegendes en de andere tien auteurs doen qua bekendheid nauwelijks onder voor hen. De illustere groep kwam samen om een ​​analyse van de gevaren van “Client-Side Scanning” (CSS) te publiceren. En hun conclusie is duidelijk:

“CSS vormt inherent ernstige veiligheids- en privacyrisico’s voor de samenleving als geheel, terwijl de ondersteuning die het wetshandhavingsinstanties kan bieden op zijn best problematisch is.”

De reden voor de verwoestende analyse door deskundigen is de toenemende roep van regeringen dat wetshandhavingsinstanties meer toegang moeten krijgen tot gegevens om kindermishandeling en terrorisme te bestrijden. Dit is keer op keer gerechtvaardigd met het toenemende gebruik van encryptie. Als reactie hierop presenteerde Apple onlangs een concept om in de toekomst naar foto’s op iPhones te zoeken die kindermishandeling documenteren. Na een golf van kritiek die in deze intensiteit waarschijnlijk niet verwacht werd Apple heeft het voorlopig teruggezet.

De experts rond Ross Anderson staken deze pauze in de herevaluatie. Je analyseert systematisch de taak, eisen en mogelijke implementaties van de benodigde client-side scans. Ze kijken met name naar de door Apple gespecificeerde CSS-implementatie voor iOS en redden het niet met lof: “Apple heeft zijn best gedaan en enkele van de beste talenten op het gebied van beveiliging en cryptografie gebruikt”, om vervolgens met een compleet mislukking: “.. .maar geen veilig, betrouwbaar en efficiënt systeem ontwikkeld “.

Het verplaatsen van de scans van de servers van de providers naar de apparaten van de klant vergroot hun aanvalsoppervlak en maakt een groot aantal nieuwe aanvallen op beveiliging en privacy mogelijk, stellen Anderson et al. Bovendien is het niet verenigbaar met elementaire principes voor goede beveiligingstechniek zoals een strikte scheiding van rechten of de benadering van minimale privileges.

Ook overschrijdt deze verschuiving van de scan van de server naar de client de grens tussen wat wordt gedeeld (de cloud) en wat privé is (het gebruikersapparaat). Het maakt wat vroeger privé was op het apparaat van de gebruiker, mogelijk toegankelijk voor wetshandhavings- en inlichtingendiensten, zelfs als er geen gerechtelijk bevel is. Aangezien deze inbreuk op de privacy plaatsvindt op het niveau van hele bevolkingsgroepen, is het een massale surveillancetechnologie.

Met name verwerpen de experts het argument dat ook door Apple wordt aangehaald dat correct uitgevoerde CSS de uitweg is uit het dilemma dat je enerzijds sterke end-to-end-codering wilt, maar aan de andere kant wetshandhavingsinstanties moet geven toegang tot gegevens:

“De suggestie om alle apparaten van gebruikers preventief te doorzoeken op gerichte inhoud is veel verraderlijker dan eerdere suggesties voor het opslaan van sleutels en speciale toegang.”

Want in plaats van gerichte maatregelen, zoals het afluisteren van communicatie met rechterlijke goedkeuring of forensisch onderzoek van in beslag genomen apparaten, is de huidige opmars gericht op het massaal scannen van alle privégegevens. Op elk moment en zonder arrestatiebevel of verdenking. Dat gaat over een rode lijn. Technologie moet tegenwoordig worden ontworpen om onze privacy en veiligheid te beschermen. Client-side scanning zou dit ernstig ondermijnen en ons allemaal minder veilig maken, waarschuwen de onderzoekers in “Bugs in onze zakken: de risico’s van scannen aan de clientzijde“.


(ju)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: