Antiklimax i fallet mellan Apple och FBI

Det blev ett lite snöpligt slut pÄ hela FBI mot Apple affÀren (har du missat kan du lÀsa hÀr). FBI har nÀmligen lagt ned rÀttsfallet som syftade till att tvinga in Apple i fÄllan. Anledningen, de har med hjÀlp av en tredje part lyckats fÄ ut datat frÄn telefonen.

Mer Ă€n sĂ„ vet vi egentligen inte, vilket sĂ„klart leder till spekulationsbonanza och jag tĂ€nkte bidra. Teknikpressen Ă€r lite fĂ€rgade hĂ€r men fĂ„ förstĂ„sigpĂ„are och juridiskt bevandrade verkar ha trott att FBI hade nĂ„gon större chans att vinna, en förlust hade ju inte gett det prejudikat vi Ă€r mĂ„nga som tror man sökte sĂ„ det kan ha varit en del. IstĂ€llet blev det hĂ€r nĂ„got av en smĂ€ll mot Apple som talat sig varma kring sĂ€kerhet och integritet. Det finns alltsĂ„ nĂ„gon brist som kan nyttjas för att komma över anvĂ€ndarens data, men vi fĂ„r inte veta hur vilket betyder att Apple kommer ha svĂ„rt att sĂ€ga “nu Ă€r det löst”. Samtidigt bevarar det hĂ€r status quo, flera instanser frĂ„n lokal polis till federala myndigheter har fortfarande högar med telefoner dĂ€r de vill ha hjĂ€lp. Apple har klarlagt att de tĂ€nker fortsĂ€tta sĂ€ga nej (om det inte finns en aktuell Icloud backup förstĂ„s, den ger de gĂ€rna ut och Ă€r Ă„tminstone Ă€n sĂ„ lĂ€nge okrypterad) samt att ambitionen Ă€r att sĂ€kra upp fler tjĂ€nster framöver. SĂ„ förr eller senare stĂ„r vi nog hĂ€r igen med samma frĂ„gestĂ€llning, eller en utökad som nĂ€rmar sig knĂ€ckfrĂ„gan – fĂ„r teknikföretag bygga produkter dĂ€r de inte kan gĂ„ myndigheter till mötes vid husransakan m.m.

För mig kĂ€nns det fortfarande rĂ€tt klart, kryptering finns och kommer fortsĂ€tta finnas. FrĂ„gan Ă€r om det bara Ă€r bad-guys som kommer anvĂ€nda den medan vi övriga gĂ„r runt med inbyggda sĂ€kerhetsbrister (som sjĂ€lvklart kommer nyttjas Ă€ven av icke-myndigheter, eller myndigheter i lĂ€nder som Ă€r mer tveksamma i sin hĂ„llning till mĂ€nskliga rĂ€ttigheter) eller om vi ocksĂ„ fĂ„r tillgĂ„ng. Det finns kloka argument Ă„t bĂ€gge hĂ„ll, men ett jag inte köper Ă€r dock hela “going dark” resonemanget att vi just nu med kryptering har hemligheter pĂ„ ett sĂ€tt som aldrig förr. Myndigheter har bĂ€ttre möjligheter Ă€n nĂ„gonsin att genomföra vanliga polisiĂ€ra aktiviteter och pĂ„ sĂ„ vis ta reda pĂ„ mer om en person, genom sociala medier, alla enheter och siter vi matar med data löpande. Aldrig förr har det funnits en sĂ„dan tillgĂ„ng pĂ„ information om en person. Att det vi tidigare viskat som hemlisar nu skrivs i en krypterad app Ă€ndrar inte det.

FBI mot Apple

Tvisten mellan FBI och Apple Àr inte lÀngre helt fÀrsk men det kÀnns som att det inte gÄr att kalla sig teknikblogg (vilket jag kanske gjort i nÄgot svagt ögonblick) utan att ha Ätminstone ett inlÀgg pÄ Àmnet sÄ vi försöker fÄ in det lite raskt. Det kanske dyker upp anledningar att diskutera det mer framöver, ur perspektivet Apples PR exempelvis, men det ÄterstÄr att se.

Vad handlar det hÀr om?

Efter terroristattentatet i San Bernardino har FBI hittat en iPhone som tillhörde en av gÀrningsmÀnnen, för att göra det riktigt intressant sÄ Àgs telefonen faktiskt av hans arbetsgivare, staten. Telefonen Àr krypterad och har PIN pÄslaget samt en funktion aktiverad som gör att om nÄgon slÄr fel PIN tio gÄnger sÄ rensas telefonen. Det hÀr vill FBI komma runt och har fÄtt ett domstolsbeslut som sÀger att Apple mÄste hjÀlpa till. Apple har istÀllet vÀldigt publikt sagt, nope vi tÀnker inte hacka vÄra egna anvÀndare.

Vad betyder det hÀr rent tekniskt?

Flera intressanta tekniska saker har framkommit. Den första, om du inte redan var medveten om det sÄ Àr din iCloud back-up helt okrypterad och Apple ger ut den om domstolen knackar pÄ. Good to know!
Det Ă€r ocksĂ„ en tydlig signal om att krypteringen Ă€r riktigt svĂ„r att ta sig förbi det Ă€r nĂ€mligen inte den som FBI siktar in sig pĂ„. IstĂ€llet vill man att Apple uppdaterar telefonen med en modifierad mjukvara som egentligen bara Ă€ndrar tvĂ„ saker: ta bort “rensa efter 10 felaktiga försök pĂ„ PIN” och ta bort vĂ€ntetiden mellan misslyckade försök (i nuvarande iOS sĂ„ mĂ„ste du vĂ€nta 5 sekunder efter felaktig kod). Löser Apple det hĂ€r kan FBI anvĂ€nda sĂ„ kallad Brute-force och helt enkelt testa kod efter kod tills det blir rĂ€tt. Vilket leder oss till ytterligare en slutsats – den svaga lĂ€nken i din telefon Ă€r helt uppenbart en 4-siffrig PIN.
SÄ Àr du iphoneanvÀndare och vill vara lite sÀkrare slÄr du av just iCloud back-up och anvÀnder ett krypterat alternativ samt anvÀnder ett lösenord istÀllet för kort pin. Sen vet vi inte riktigt hur sÀkert fingeravtrycket Àr (utom att det ju Àr lÀttare att tvinga av dig) annars skulle en variant dÀr man vid telefonstart anvÀnder lÄngt lösenord för att sen kunna lÄsa upp med biometri vara en rÀtt smidig lösning.

SÄ vem har rÀtt, Apple eller FBI?

I mitt tycke sĂ„ mĂ„ste vi hĂ€r lyfta blicken frĂ„n ett enstaka fall som dessutom Ă€r relativt slam-dunk för FBI – en kĂ€nd terrorist som dessutom Ă€r avliden och med en telefon som Ă€gs av staten. Det Ă€r lĂ€tt att spontant stĂ€lla sig pĂ„ FBIs sida, lösa terrorbrott tycker de flesta av oss Ă€r en bra idĂ©.

Men, för det finns alltid ett men. Om det hĂ€r görs pĂ„ en telefon finns prejudikat för att göra det pĂ„ flera, enligt uppgift sĂ„ sitter bĂ„de FBI och staden New York pĂ„ en back-log pĂ„ flera hundra telefoner man vill ha hjĂ€lp med. Kanske inte alla lika solklara fall? FrĂ„n just USA finns tidigare tecken pĂ„ lagar om avlyssning som tillkom för att jaga terrorister men som sedan successivt kommit att anvĂ€ndas för allt mindre grova brott för att nu ha anvĂ€nts i narkotikarelaterade brottmĂ„l i över 90% av fallen. ÄndamĂ„lsglidning Ă€r vi inte frĂ€mmande för i Sverige heller utan har exempel att stoltsera med, anvĂ€ndningen av PKU-registret, FRA-lagen, trĂ€ngselavgiftskamerorna, ja ni ser.

Det finns ytterligare tvÄ tydliga risker. Att det finns en viss risk att nÀr mjukvaran vÀl Àr skapad sÄ kan den hamna i orÀtta hÀnder och modifieras vidare av mindre nogrÀknade personer Àn Apple sjÀlva Àr svÄrt att argumentera emot Àven om den nog inte Àr överhÀngande. Vad jag dÀremot tror Àr en mycket stor risk Àr att vi kommer se andra stater, Kina tÀnker jag pÄ spontant, som sÀger att det dÀr ska vi ocksÄ fÄ rÀtt att göra om ni ska fÄ sÀlja era enheter hÀr. Det kanske vi inte tycker Àr lika skojigt? Varken för egen del eller befolkningen i lÀnder med annan syn pÄ mÀnskliga rÀttigheter.
– Som jag ser det har vi har Ă€ven fortsatt behov (samt rĂ€tten) att kunna vara en smula privata och om det ska fungera i nĂ„gra sammanhang kommer Ă€ven polisiĂ€ra myndigheter fĂ„ fortsĂ€tta bedriva sitt arbete som tidigare genom pusslande och förhör snarare Ă€n genom total teknisk kontroll.