English, Nederlands
Aanmelden

Apple breidt hun invasie van onze privacy uit

Geschreven op 9 augustus door ASK-Solutions in discussie

Apple breidt hun invasie van onze privacy uitIn de loop der jaren heeft Apple het imago gekregen van het grote technologiebedrijf dat onze privacy respecteert en hiervoor vecht. Het bedrijf werd gezien als zelfs nee zeggend tegen de Amerikaanse overheid toen werd gevraagd om klantgegevens te overhandigen voor strafrechtelijk onderzoek. Is deze perceptie juist geweest? Nee, helaas niet. Apple heeft, net als andere technologiebedrijven, altijd samengewerkt met overheden over de hele wereld om aan deze verzoeken te voldoen. Het verschil zit vaak in de details. Is er een bevelschrift? Staan de gevraagde gegevens in de klantgegevens bij Apple? Staan deze gegevens op een machine van Apple? Of moet Apple inbreken in een apparaat van een klant om deze gegevens te verkrijgen?

Massaal scannen van gegevens

We zijn gewend geraakt aan het idee dat onze gegevens worden gescand. En daar zijn veel goede dingen over te zeggen. Sinds de jaren negentig worden onze bestanden gescand als we deze publiceren met de bedoeling deze te verspreiden. Bijvoorbeeld het delen van muziek op je computer met het doel deze te verspreiden naar anderen via een peer to peer netwerk. Als we dit doen met muziek in het publieke domein, of met gecopylefte muziek, is dit prima. Als we dit doen met auteursrechtelijk beschermd materiaal, is dit niet prima.

Hetzelfde geldt in zowel de fysieke als de digitale wereld. Als je bestanden op de computers van een cloudserviceprovider plaatst, weet je dat jouw bestanden worden gescand. Net zoals je weet dat als je een fysieke opslagruimte huurt, je jezelf aan bepaalde voorwaarden onderwerpt. Deze voorwaarden houden in dat je die opslagruimte niet gebruikt voor illegale activiteiten. Je weet dat je het risico loopt te worden onderworpen aan drugs- of munitiecontrole. Meestal wordt dit gedaan door getrainde honden, welke snuffelen buiten de opslagruimte, onder begeleiding van getraind en geselecteerd personeel van een overheidsinstantie. Niemand doorzoekt je persoonlijke spullen die je daar hebt opgeslagen; de methode welke de minste inbreuk maakt wordt gekozen. Bij cloudopslag wordt dit meestal gedaan door een of ander scan algoritme. Het staat in de voorwaarden en je hebt de keuze om jezelf eraan te onderwerpen, of niet.

Het grote verschil

Hoewel geadverteerd door Apple als alleen het scannen van afbeeldingen bij het binnenkomen of verlaten van jouw apparaat van of naar de Apple cloud berichten en foto backup diensten. De praktische realiteit is dat de bestanden, vanwege peer to peer encryptie, op je apparaat gescand moeten worden. Daardoor is er weinig tot geen verschil tussen waar en wanneer Apple nu de bestanden gaat scannen met wanneer ze de bestanden scant welke op je apparaat zijn opgeslagen.

Wat wordt er gescand en hoe?

Momenteel is het de bedoeling om afbeeldingen te scannen en deze alleen te scannen op materiaal van seksueel misbruik van kinderen (in Amerika gedefineerd als CSAM). Het gebruikte detectiealgoritme is perceptuele hashing. Dit is een techniek voor machinaal leren waarbij een vooraf bepaald aantal kenmerken wordt herkend. Dit levert een reeks getallen op die de mate van aanwezigheid van deze kenmerken weergeeft. Twee heel verschillende fotobestanden van hetzelfde onderwerp, in dezelfde kleding met dezelfde achtergrond vanuit een vergelijkbaar perspectief, zullen dezelfde perceptuele hash opleveren.

Het goede en het slechte

Natuurlijk zijn de meeste mensen geschokt door seksueel kindermisbruik, wij ook. Het is echt afgrijselijk wat sommige kinderen, helaas niet een enkeling, maar velen, in hun jeugd moeten doorstaan. Dit is ongelooflijk schadelijk en dit misbruik heeft ernstige complicaties op volwassen leeftijd. Het vernietigt letterlijk levens.

Hiertegen vechten is echter niet de taak van een commercieel bedrijf. Geen enkel commercieel bedrijf zou controle zonder gerechtelijk bevel mogen uitvoeren. Het is alleen OK als ze hun eigen machines, hun eigen opslag en netwerken controleren, welke ze rechtstreeks in eigendom hebben. Door hun eigen hardware en opslag te controleren, houden ze hun bedrijf vrij van deelname aan illegale praktijken. Dat is geen controle zonder gerechtelijk bevel, maar wat ze nu hebben aangekondigd valt wel onder controle zonder gerechtelijk bevel.

Het opsporen en voorkomen van kindermisbruik is de taak van speciaal opgeleide en geselecteerde mensen die voor de overheid werken. In elk goed werkend rechtssysteem is dit een open, gecontroleerd en geëvalueerd systeem om bescherming te bieden tegen kwaadwillendheid en onbedoelde gevolgen.

Te veel onzekerheden

Buiten het feit dat wetshandhaving en controle niet binnen de rechten en rol van een commercieel bedrijf vallen. De technische brief van Apple is over veel dingen onduidelijk. Het is meer een marketingpamflet dan een open en duidelijke bron van informatie. Het is niet bekend hoe dit wordt uitgevoerd. De implementatie is Apple eigen; het is closed source. Ze spreken van een drempel die eerst bereikt moet worden waarna de hashes worden gecontroleerd door een Apple medewerker. Wat deze drempel inhoudt is onduidelijk en wat de opleiding, inzet en achtergrond van deze menselijke factor inhoudt is ook onduidelijk. Er zijn geen aanspreekbare veranwoordelijken als er iets misgaat. Er zijn geen waarborgen buiten Apple. Er zijn geen beveiligingen tegen het uitbreiden naar het detecteren van andere soorten afbeeldingen, behalve een bewezen zwakke belofte: Dat gaan we niet doen, heb vertrouwen. Wat Apple heeft aangekondigd, opent de deuren naar zaken zoals opsporen van MacBook diagrammen, foto's van chips die Apple niet wil die we kunnen kopen voor reparaties. Of om te beginnen met het opsporen van foto's van demonstranten, activisten, etnhische groeperingen, et cetera.

In een functionele westerse democratische samenleving is dit proces totaal anders dan in de whitepaper van Apple. Wat legaal en illegaal is, is goed gedocumenteerd en voor iedereen beschikbaar om te lezen. Inclusief voor criminelen; zodat ze hun manier van doen kunnen veranderen, in plaats van ze in een wolk van onduidlijkheid op listige wijze te betrappen. Deze wetten worden gevormd na politiek debat met meerdere ingebouwde waarborgen, waarbij het volk de mogelijkheid heeft om in te grijpen en kritiek te uiten. Tevens is het rechtssysteem open in zijn proces. Het is gedocumenteerd en zowel politiek als publiek debat is mogelijk. Het proces van strafrechtelijk onderzoek is onderworpen aan regels en is op bepaalde momenten open en gedocumenteerd voor experts. Op andere momenten is het open voor publiek en politiek debat. Dit is noodzakelijk om te voorkomen dat mensenrechten worden geschonden en is essentieel om de misdaadbestrijding te verbeteren en om valse vervolging te voorkomen. Het is geen perfect systeem, maar we kunnen in ieder geval dingen veranderen die fout gaan en mensen verantwoordelijk houden voor hun daden. Met het systeem van Apple is niets van dit alles waar.

Valse positieven en negatieven en het potentieel tot misbruik

Perceptuele hashing is een zeer krachtig hulpmiddel. Maar een hulpmiddel is pas een goed hulpmiddel als het op de juiste manier wordt gebruikt. Wanneer het wordt gebruikt in een gesloten, niet gecontroleerde omgeving door een commercieel bedrijf met financiële belangen buiten misdaadbestrijding, kan dit hulpmiddel een wapen van vernietiging en verschrikking zijn.

Zelfs met opgeleid en geselecteerd personeel, in dienst van een onpartijdig orgaan ingesteld door een overheid, kan dit gruwelijk fout gaan. Neem bijvoorbeeld de praktijk van swatting. Waar een nep telefoongesprek wordt gepleegd om een gewapende overval of een gijzeling te rapporteren. Met deze zet van Apple kunnen echte kindermisbruikers potentieel detectie ontlopen door bijvoorbeeld het gezicht van een kind te vervangen door een bloempot, of afbeeldingen op de juiste manier bij te snijden. Maar tegelijkertijd kunnen mensen in ernstige problemen komen. Wat gebeurt er als Apple een detectiebericht stuurt van beelden van seksueel misbruik van kinderen met de mogelijkheid om in beroep te gaan? Gezinnen kunnen ontwricht worden, waarbij de kinderen het slachtoffer raken van vechtende ouders. Ook kan de eigenaar van een Apple apparaat in ernstige problemen komen en zijn of haar familie, baan, vrienden en nog veel meer kwijtraken. Dit enkel omdat bijvoorbeeld de kinderen tijdens het badderen vaak met de telefoon speelden. Natuurlijk is dit een slecht idee, en elke ouder zou zoiets moeten voorkomen; ouders zouden hun kinderen moeten voorlichten over misbruik en het correcte gebruik van een smartphone. Het is echter onmogelijk om ten alle tijde te voorkomen dat er dingen onopgemerkt gebeuren. Een ander geval zou zijn om opzettelijk afbeeldingen te planten die een bekende hash reproduceren, met het doel iemands leven te ruïneren vanwege een geschil of jaloezie.

Effectiviteit

Ook over de effectiviteit kan worden gediscussieerd. Perceptuele hashing is alleen effectief tegen reeds bekend materiaal; het is een maatregel die achter de feiten aanloopt. Wat Apple heeft aangekondigd, voorkomt geen nieuw seksueel misbruik van kinderen; het voorkomt alleen rercirculatie van reeds bekende materialen. Recirculatie wordt reeds voorkomen doordat opsporingsdiensten bestanden scannen welke via peer to peer netwerken worden verspreid. En op het moment dat mensen proberen deze materialen op te slaan bij een cloudservice. Het echte probleem ligt bij doortrapte criminelen die deze materialen via een betaalde dienst aanbieden en weten hoe ze opsporing kunnen vermijden. Overheden van over de hele wereld proberen op dagelijkse basis te voorkomen dat deze netwerken blijven bestaan. Apple draagt hier niet aan bij en het is ook niet de plaats van Apple om dat te doen.

De andere bron van kindermishandeling vindt thuis, bij familie en hechte vrienden plaats. Apple's scan activiteiten doen niets tegen dit misbruik. Vaders, moeders, ooms, tantes en hechte vrienden kunnen kinderen nog steeds op vele manieren misbruiken. Dit, zonder dat hier ooit een foto van wordt genomen of aan de database van hashes wordt toegevoegd.

LinkedIn, Facebook, Volg ons op Twitter, Volg ons op Instagram, Beijk onze video's, Steun ons op Patreon
ASK-Solutions voldoet aan het ISO 9001:2008 kwaliteitswaarborg