Antwoord 1, 2 en 3

Het bericht «iTunes kwetsbaar voor hackers» is mij bekend.

In het door u genoemde geval gaat het om een probleem in de beveiliging van verbindingen van iTunes naar diverse Apple-diensten, waaronder iCloud. Het maken van zo’n verbinding vindt langs beveiligde weg plaats in een gescheiden kanaal ofwel tunnel. Hierbij wordt gebruik gemaakt van het zogeheten TLS/SSL-protocol om deze verbinding op te zetten. Om de verbinding via dit protocol op te zetten wordt gebruik gemaakt van een beveiligingscertificaat. Niet alle varianten van iTunes voor de diverse besturingssystemen controleren deze certificaten op correcte wijze. Hierdoor valt in potentie een aanval uit te voeren door zich in te mengen in het opzetten van de tunnel. Deze lijkt dan veilig, maar is dit niet.

Door het opbouwen van deze onveilige verbinding kunnen gegevens worden onderschept of gemanipuleerd uit verbindingen tussen iTunes en diverse Apple-diensten, waaronder iCloud. Deze gegevens omvatten de gebruikte inloggegevens en bestanden die in iCloud worden opgeslagen of daaruit worden opgehaald.

Op dit moment zijn er bij het Nationaal Cyber Security Centrum geen signalen van actief misbruik van deze kwetsbaarheid in Nederland. Ook de politie heeft blijkens de digitale systemen geen aangiftes/meldingen ontvangen waar uit het verband tussen hacken en iTunes gelegd kan worden.

Door de leverancier in kwestie, Apple, zijn in de afgelopen periode diverse updates uitgevoerd in de kwetsbare variant van de iTunes-software. Hiermee moet naast de nog niet gesignaleerde huidige slachtoffers het aantal toekomstige slachtoffers beperkt geacht worden.

Antwoord 4 en 5

In deze casus is het aannemelijk dat het beveiligingsprobleem, zoals bovenstaand geschetst, een implementatiefout van de leverancier betreft. Deze implementatiefout op het gebied van het TLS/SSL-protocol is door diverse partijen gemaakt. Ingaan op het vermeende gebruik hiervan door inlichtingen- en veiligheidsdiensten zou daarbij speculatief van aard zijn.

Zoals aangegeven komt een dergelijke implementatiefout vaker voor en betreft het daarbij zeer zeker niet noodzakelijkerwijs een opzettelijke kwetsbaarheid. Ik zie dan ook geen aanleiding om op basis van deze kwetsbaarheid onderzoek te doen naar andere bedrijven. Uiteraard staat het onderwerp van opzettelijk aangebrachte kwetsbaarheden, ook wel backdoors genoemd, zoals reeds in 2012 aangegeven in antwoorden op vragen van de leden Ten Broeke, Hennis-Plasschaert en Verheijen² op het netvlies en blijven de inlichtingen- en veiligheidsdiensten alert op alle signalen die veiligheidsrisico’s zouden kunnen vormen voor Nederland en haar vitale infrastructuur.

Antwoord 6

Nee, ik ga geen specifieke stappen ondernemen. Ik vind het wel van belang om de algehele digitale veiligheid, dus niet alleen van iTunes- en iCloudgebruikers, te verhogen. Dit gebeurt middels de in oktober 2013 gepubliceerde tweede Nationale Cyber Security Strategie (NCSS-2).

Bedrijven en instellingen zijn zelf primair verantwoordelijk voor informatiebeveiliging.

In de NCSS-2 is daarnaast aangegeven dat leveranciers een specifieke verantwoordelijkheid (zorgplicht) richting hun klanten hebben en dat security en privacy by design meer dan nu standaard ontwerpbeginselen dienen te zijn.

Tot slot wordt met de NCSS-2 ingezet op een algehele verhoging van de digitale weerbaarheid middels 37 acties. Een belangrijk element daarin is awareness en het hebben van kennis van cybersecurity. Hiertoe zal dit jaar het thema van de jaarlijkse campagne Alert online, van 27 oktober tot 6 november, dan ook kennis van cybersecurity zijn.