Antiklimax i fallet mellan Apple och FBI

Det blev ett lite snöpligt slut på hela FBI mot Apple affären (har du missat kan du läsa här). FBI har nämligen lagt ned rättsfallet som syftade till att tvinga in Apple i fållan. Anledningen, de har med hjälp av en tredje part lyckats få ut datat från telefonen.

Mer än så vet vi egentligen inte, vilket såklart leder till spekulationsbonanza och jag tänkte bidra. Teknikpressen är lite färgade här men få förståsigpåare och juridiskt bevandrade verkar ha trott att FBI hade någon större chans att vinna, en förlust hade ju inte gett det prejudikat vi är många som tror man sökte så det kan ha varit en del. Istället blev det här något av en smäll mot Apple som talat sig varma kring säkerhet och integritet. Det finns alltså någon brist som kan nyttjas för att komma över användarens data, men vi får inte veta hur vilket betyder att Apple kommer ha svårt att säga “nu är det löst”. Samtidigt bevarar det här status quo, flera instanser från lokal polis till federala myndigheter har fortfarande högar med telefoner där de vill ha hjälp. Apple har klarlagt att de tänker fortsätta säga nej (om det inte finns en aktuell Icloud backup förstås, den ger de gärna ut och är åtminstone än så länge okrypterad) samt att ambitionen är att säkra upp fler tjänster framöver. Så förr eller senare står vi nog här igen med samma frågeställning, eller en utökad som närmar sig knäckfrågan – får teknikföretag bygga produkter där de inte kan gå myndigheter till mötes vid husransakan m.m.

För mig känns det fortfarande rätt klart, kryptering finns och kommer fortsätta finnas. Frågan är om det bara är bad-guys som kommer använda den medan vi övriga går runt med inbyggda säkerhetsbrister (som självklart kommer nyttjas även av icke-myndigheter, eller myndigheter i länder som är mer tveksamma i sin hållning till mänskliga rättigheter) eller om vi också får tillgång. Det finns kloka argument åt bägge håll, men ett jag inte köper är dock hela “going dark” resonemanget att vi just nu med kryptering har hemligheter på ett sätt som aldrig förr. Myndigheter har bättre möjligheter än någonsin att genomföra vanliga polisiära aktiviteter och på så vis ta reda på mer om en person, genom sociala medier, alla enheter och siter vi matar med data löpande. Aldrig förr har det funnits en sådan tillgång på information om en person. Att det vi tidigare viskat som hemlisar nu skrivs i en krypterad app ändrar inte det.

FBI mot Apple

Tvisten mellan FBI och Apple är inte längre helt färsk men det känns som att det inte går att kalla sig teknikblogg (vilket jag kanske gjort i något svagt ögonblick) utan att ha åtminstone ett inlägg på ämnet så vi försöker få in det lite raskt. Det kanske dyker upp anledningar att diskutera det mer framöver, ur perspektivet Apples PR exempelvis, men det återstår att se.

Vad handlar det här om?

Efter terroristattentatet i San Bernardino har FBI hittat en iPhone som tillhörde en av gärningsmännen, för att göra det riktigt intressant så ägs telefonen faktiskt av hans arbetsgivare, staten. Telefonen är krypterad och har PIN påslaget samt en funktion aktiverad som gör att om någon slår fel PIN tio gånger så rensas telefonen. Det här vill FBI komma runt och har fått ett domstolsbeslut som säger att Apple måste hjälpa till. Apple har istället väldigt publikt sagt, nope vi tänker inte hacka våra egna användare.

Vad betyder det här rent tekniskt?

Flera intressanta tekniska saker har framkommit. Den första, om du inte redan var medveten om det så är din iCloud back-up helt okrypterad och Apple ger ut den om domstolen knackar på. Good to know!
Det är också en tydlig signal om att krypteringen är riktigt svår att ta sig förbi det är nämligen inte den som FBI siktar in sig på. Istället vill man att Apple uppdaterar telefonen med en modifierad mjukvara som egentligen bara ändrar två saker: ta bort “rensa efter 10 felaktiga försök på PIN” och ta bort väntetiden mellan misslyckade försök (i nuvarande iOS så måste du vänta 5 sekunder efter felaktig kod). Löser Apple det här kan FBI använda så kallad Brute-force och helt enkelt testa kod efter kod tills det blir rätt. Vilket leder oss till ytterligare en slutsats – den svaga länken i din telefon är helt uppenbart en 4-siffrig PIN.
Så är du iphoneanvändare och vill vara lite säkrare slår du av just iCloud back-up och använder ett krypterat alternativ samt använder ett lösenord istället för kort pin. Sen vet vi inte riktigt hur säkert fingeravtrycket är (utom att det ju är lättare att tvinga av dig) annars skulle en variant där man vid telefonstart använder långt lösenord för att sen kunna låsa upp med biometri vara en rätt smidig lösning.

Så vem har rätt, Apple eller FBI?

I mitt tycke så måste vi här lyfta blicken från ett enstaka fall som dessutom är relativt slam-dunk för FBI – en känd terrorist som dessutom är avliden och med en telefon som ägs av staten. Det är lätt att spontant ställa sig på FBIs sida, lösa terrorbrott tycker de flesta av oss är en bra idé.

Men, för det finns alltid ett men. Om det här görs på en telefon finns prejudikat för att göra det på flera, enligt uppgift så sitter både FBI och staden New York på en back-log på flera hundra telefoner man vill ha hjälp med. Kanske inte alla lika solklara fall? Från just USA finns tidigare tecken på lagar om avlyssning som tillkom för att jaga terrorister men som sedan successivt kommit att användas för allt mindre grova brott för att nu ha använts i narkotikarelaterade brottmål i över 90% av fallen. Ändamålsglidning är vi inte främmande för i Sverige heller utan har exempel att stoltsera med, användningen av PKU-registret, FRA-lagen, trängselavgiftskamerorna, ja ni ser.

Det finns ytterligare två tydliga risker. Att det finns en viss risk att när mjukvaran väl är skapad så kan den hamna i orätta händer och modifieras vidare av mindre nogräknade personer än Apple själva är svårt att argumentera emot även om den nog inte är överhängande. Vad jag däremot tror är en mycket stor risk är att vi kommer se andra stater, Kina tänker jag på spontant, som säger att det där ska vi också få rätt att göra om ni ska få sälja era enheter här. Det kanske vi inte tycker är lika skojigt? Varken för egen del eller befolkningen i länder med annan syn på mänskliga rättigheter.
– Som jag ser det har vi har även fortsatt behov (samt rätten) att kunna vara en smula privata och om det ska fungera i några sammanhang kommer även polisiära myndigheter få fortsätta bedriva sitt arbete som tidigare genom pusslande och förhör snarare än genom total teknisk kontroll.