‘Siri, is mijn geheim bij jou veilig?’ (deel 2)

Wat is uw mobiele telefoon u waard? De urgentie van die vraag is afhankelijk van wat u er allemaal op hebt staan. Feit is dat duizenden verkopers van apps nauwelijks iets doen aan de beveiliging, terwijl de beveiliging van de besturingssystemen waarop smartphones draaien – zowel Android- als iOS – veel te wensen overlaat. Eén ding is zeker: we staan aan de vooravond van een wapenwedloop op het gebied van cybersecurity.

Afgelopen week maakte de directeur van de F.B.I. op een  technologieconferentie in Londen bekend dat het Amerikaanse agentschap om en nabij de $ 1,3 miljoen heeft betaald om toegang te krijgen tot de iPhone van een van de daders van een massale schietpartij in Californië begin december 2015.
Het belang van die onthulling zit ‘m niet eens zozeer in de grootte van het bedrag, dan wel in de publieke bevestiging dat er een markt is voor dergelijke klussen. Een legale markt welteverstaan. We kennen al de verhalen van het zogenoemde ‘Dark Web’ waar iedereen terecht kan voor alles wat God verboden heeft, maar dat is een illegale markt.

Wat wij nu zien ontstaan, is een groeiend aantal bedrijven dat wereldwijd zijn diensten aanbiedt voor het omzeilen van de beveiliging van computersystemen (zowel hard- als software). De kopers van die ‘geheimen’ zijn aan geen enkele regel gebonden, met andere woorden: als bedrijf Y een gat vindt in de beveiliging van systeem X en dat verkoopt aan partij Z, wil dat nog niet zeggen dat Z dat gat wil gaan dichten. $ 1,3 miljoen dollar is volgens marktanalisten dan ook een redelijk bedrag…..

Waarde cybersec markt

Lange tijd dachten bezitters van Apple computers, tablets en iPhones dat hun weinig kon gebeuren – zij waren in ieder geval minder kwetsbaar dan gebruikers van het Windows-besturingssysteem van Microsoft. Helaas, het lijkt er op dat Apple-gebruikers een illusie rijker zijn.
Niet omdat de federale overheid in de VS nu van Apple toegang eist tot het iOS-besturingssysteem (de eis om toegang tot de iPhone in de eerder genoemde zaak in Californië is ingetrokken, maar er lopen nog een aantal andere zaken waarin de medewerking van Apple wordt geëist), maar omdat commerciële bedrijven beloningen uitschrijven voor het kraken van iOS.

Zerodium_tweet_iOS9

Aanvankelijk deden er op internet verhalen de ronde dat het Israëlische bedrijf Cellebrite geholpen had bij het kraken van de iPhone, maar drie weken geleden maakte de F.B.I. bekend daarin geslaagd te zijn dankzij de hulp van een collectief van hackers. Die laatsten verenigen zich steeds vaker in commercieel verband (zoals HackerOne). Bedrijven als Google, Twitter en Dropbox doen regelmatig een beroep op hun diensten om kwetsbaarheden in hun systemen op te sporen.

Bedrijven als Google en Microsoft loven zelf ook beloningen uit aan hackers, die uiteen kunnen lopen van $500 tot $ 100.000.

Google beloningen

Tot nu toe doet Apple daar niet aan mee. Het bedrijf in het Californische Cupertino hanteert vooralsnog een beleid waarbij het liever zelf reageert op ontdekte gaten in de beveiliging van haar systemen, dan dat het de hulp inroept van buitenstaanders.

Gevolg van een en ander is dat de beveiliging van computersystemen steeds meer een private aangelegenheid wordt – bij gebrek aan overheidsmaatregelen. Nog afgelopen week berichtte Het Financieele Dagblad over The Hague Security Delta (HSD), een conglomeraat van 3600 bedrijven, overheden (!) en kennisinstellingen die zelf hun eigen beveiligingsnetwerk hebben opgezet.
En de particuliere gebruiker? Tsja….

FD_ophaalbrug_190416

Dit is het tweede deel van een serie artikelen over data, privacy en smartphones.