SolarWinds-hacks kantelen de backdoor-discussie
Hoeveel is een universele backdoor in wereldwijd gebruikte encryptie waard? Of dat nu in een algemene encryptiesoort of in een specifieke implementatie is, de waarde van een heimelijke ingang is groot, groter, grootst. Cybercriminelen en statelijke actoren zullen dus veel moeite willen doen om zo'n loper in handen te krijgen. Meer nog dan voor de encryptiesleutels van het Amerikaanse ministerie van Financiën, wat al gelukt lijkt te zijn.
© CC0 - Unsplash
CC0 - Unsplash
Tegenstanders van speciale overheidstoegang tot beveiligde datacommunicatie wijzen vaak (en consequent) op het gevaar dat zo'n backdoor in verkeerde handen kan vallen. Het aanbrengen van een ingang voor wetshandhavers betekent immers dat er een extra ingang voor derde partijen ís. Dus naast zender en ontvanger kan ook een ander bij versleutelde communicatie.
Mogen, willen, kunnen
Officieel mag dat natuurlijk niet. Officieel is het ook niet de bedoeling dat onbevoegden zich toegang verschaffen tot encryptiesystemen. Officieel wordt een backdoor - of gouden sleutel of 'key escrow' - natuurlijk qua inzet strikt gereguleerd en qua toegang streng bewaakt. Net zoals overheden de sleutels voor de encryptie die ze zelf gebruiken goed bewaken.
Tot zover de theorie, goede intenties en beloftes. De praktijk is gecompliceerder. Want niet iedereen heeft goede intenties en 100 procent security bestaat niet. Dat ontdekt nu ook de Amerikaanse overheid, waar een goed gerichte, stil opererende hackersgroepering heeft huisgehouden. Bij onder meer het ministerie van Financiën is dankzij een geavanceerde backdoor-operatie maandenlang intern meegekeken.
ROI
De daders hebben hun succesvolle hack gepleegd via een zogeheten supply chain attack; op SolarWinds, leverancier van beheersoftware. Daarlangs hebben zij hun backdoor binnengekregen en naast interne communicatie mogelijk ook essentiële encryptiesleutels buitgemaakt. Die laatste nieuwe onthulling over deze cyberaanval - waarvan de scope nog altijd niet helemaal zichtbaar is - komt vanuit de Amerikaanse overheid.
De bron is de Amerikaanse senator Ron Wyden, die lid is van de Senaatscommissie voor inlichtingenzaken én lid van de commissie financiën. Hij verklaart dat de onder de radar gebleven hackers encryptiesleutels hebben gestolen van overheidsservers. Daarmee konden de dieven toegang krijgen tot de correspondentie van topambtenaren en overheidsfunctionarissen. Een waardevolle buit waar dan ook veel in geïnvesteerd mag worden.
Beste bescherming
Natuurlijk zou een eventuele universele backdoor - hetzij voor een algemeen encryptie-algoritme, hetzij voor een bepaald systeem, apparaat of app - veel betere bescherming moeten krijgen dan de encryptiesleutels voor overheidscommunicatie. En natuurlijk zou zo'n breed bruikbare backdoor ook veel aantrekkelijker zijn voor kwaadwillenden. Dus natuurlijk zal er veel meer inzet zijn om zo'n supersleutel in handen te krijgen. Hoe voorkom je dat? Door zo'n loper helemaal niet te laten maken. Wat je niet hebt, kan ook niet gestolen worden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee