Η Cellebrite ζητά από τους μπάτσους να διατηρήσουν την τεχνολογία χακαρίσματος τηλεφώνων της “hush hush”

By

Marizas Dimitris

On

Αυγ 19, 2023

Για χρόνια, μπάτσοι

και άλλες κυβερνητικές αρχές σε όλο τον κόσμο έχουν χρησιμοποιήσει την τεχνολογία χακαρίσματος τηλεφώνου που παρέχεται από τη Cellebrite για να ξεκλειδώσουν τηλέφωνα και να λάβουν τα δεδομένα μέσα. Και η εταιρεία επιθυμεί να διατηρήσει τη χρήση της τεχνολογίας της «σιωπή».

Ως μέρος της συμφωνίας με κυβερνητικούς φορείς, η Cellebrite ζητά από τους χρήστες να κρατήσουν μυστική την τεχνολογία της —και το γεγονός ότι τη χρησιμοποίησαν—, έμαθε το TechCrunch. Αυτό το αίτημα αφορά νομικούς εμπειρογνώμονες που υποστηρίζουν ότι η ισχυρή τεχνολογία, όπως αυτή που κατασκευάζει και πουλά η Cellebrite, και πώς χρησιμοποιείται από τις υπηρεσίες επιβολής του νόμου, πρέπει να δημοσιοποιηθεί και να ελεγχθεί εξονυχιστικά.

Σε ένα εκπαιδευτικό βίντεο που διέρρευσε για πελάτες επιβολής του νόμου που ελήφθη από το TechCrunch, ένας ανώτερος υπάλληλος της Cellebrite λέει στους πελάτες ότι «τελικά, έχετε εξαγάγει τα δεδομένα, είναι τα δεδομένα που λύνουν το έγκλημα, πώς μπήκατε, ας προσπαθήσουμε να τα διατηρήσουμε όσο το δυνατόν πιο σιωπηλή».

«Δεν θέλουμε πραγματικά να διαρρεύσει καμία τεχνική στο δικαστήριο μέσω πρακτικών

αποκάλυψη

ς, ή ξέρετε, τελικά στην κατάθεση, όταν κάθεστε στο περίπτερο, παράγετε όλα αυτά τα στοιχεία και συζητάτε πώς πήρατε το τηλέφωνο», ο υπάλληλος, που δεν κατονομάζουμε, λέει στο βίντεο.

Για τους νομικούς εμπειρογνώμονες, αυτό το είδος αιτήματος είναι ανησυχητικό, επειδή οι αρχές πρέπει να είναι διαφανείς προκειμένου ένας δικαστής να εξουσιοδοτήσει τις έρευνες ή να εξουσιοδοτήσει τη χρήση ορισμένων δεδομένων και αποδεικτικών στοιχείων στο δικαστήριο. Η μυστικότητα, υποστηρίζουν οι ειδικοί, βλάπτει τα δικαιώματα των κατηγορουμένων και τελικά τα δικαιώματα του κοινού.

«Τα αποτελέσματα που φτύνουν αυτά τα εξαιρετικά μυστικά προϊόντα χρησιμοποιούνται στο δικαστήριο για να προσπαθήσουν να αποδείξουν εάν κάποιος είναι ένοχος για κάποιο έγκλημα», δήλωσε στο TechCrunch η Riana Pfefferkorn, ερευνήτρια στο Παρατηρητήριο Διαδικτύου του Πανεπιστημίου Stanford. «Οι κατηγορούμενοι (είτε μέσω των δικηγόρων τους είτε μέσω ειδικού) πρέπει να έχουν την ικανότητα να κατανοούν πλήρως πώς λειτουργούν οι

συσκευές

Cellebrite, να τις εξετάζουν και να προσδιορίζουν εάν λειτουργούσαν σωστά ή περιείχαν ελαττώματα που θα μπορούσαν να επηρεάσουν τα αποτελέσματα».

«Και οποιοσδήποτε καταθέτει για αυτά τα προϊόντα ενόρκως δεν πρέπει να κρύβει σημαντικές πληροφορίες που θα μπορούσαν να βοηθήσουν στην απαλλαγή ενός εγκληματία αποκλειστικά για την προστασία των επιχειρηματικών συμφερόντων κάποιας εταιρείας», είπε ο Pfefferkorn.

Ο Hanni Fakhoury, δικηγόρος ποινικής υπεράσπισης που έχει σπουδάσει τεχνολογία επιτήρησης για χρόνια, είπε στο TechCrunch ότι «ο λόγος για τον οποίο αυτά τα πράγματα πρέπει να αποκαλυφθούν είναι ότι η υπεράσπιση πρέπει να μπορεί να καταλάβει ότι «υπήρχε νομικό πρόβλημα στον τρόπο με τον οποίο ήταν αυτά τα στοιχεία λαμβάνεται? Έχω την ικανότητα να το αμφισβητήσω;»».

Ο υπάλληλος της Cellebrite ισχυρίζεται στο βίντεο ότι η αποκάλυψη της χρήσης της τεχνολογίας της θα μπορούσε να βοηθήσει τους εγκληματίες και να κάνει τη ζωή των υπηρεσιών επιβολής του νόμου πιο δύσκολη.

«Είναι εξαιρετικά σημαντικό να διατηρούνται όλες αυτές οι δυνατότητες όσο το δυνατόν πιο προστατευμένες, γιατί τελικά η

διαρροή

μπορεί να είναι επιβλαβής για ολόκληρη την κοινότητα επιβολής του νόμου παγκοσμίως», λέει ο υπάλληλος της Cellebrite στο βίντεο. «Θέλουμε να διασφαλίσουμε ότι η ευρεία γνώση αυτών των δυνατοτήτων δεν θα εξαπλωθεί. Και αν οι κακοί ανακαλύψουν πώς μπαίνουμε σε μια συσκευή ή ότι μπορούμε να αποκρυπτογραφήσουμε μια συγκεκριμένη εφαρμογή κρυπτογραφημένων μηνυμάτων, ενώ μπορεί να προχωρήσουν σε κάτι πολύ, πολύ πιο δύσκολο ή αδύνατο να ξεπεραστεί, σίγουρα δεν δεν το θέλω αυτό.”

Ο εκπρόσωπος της Cellebrite, Victor Cooper, δήλωσε σε ένα email στο TechCrunch ότι η εταιρεία «δεσμεύεται να υποστηρίξει την ηθική επιβολή του νόμου. Τα εργαλεία μας έχουν σχεδιαστεί για νόμιμη χρήση, με μέγιστο σεβασμό στην αλυσίδα της επιμέλειας και της δικαστικής διαδικασίας.»

«Δεν συμβουλεύουμε τους πελάτες μας να ενεργούν κατά παράβαση νόμου, νομικών απαιτήσεων ή άλλων ιατροδικαστικών προτύπων», είπε ο εκπρόσωπος. «Ενώ συνεχίζουμε να προστατεύουμε και αναμένουμε από τους χρήστες των εργαλείων μας να σέβονται τα εμπορικά μας μυστικά και άλλες ιδιόκτητες και εμπιστευτικές πληροφορίες, συνεχίζουμε επίσης να αναπτύσσουμε μόνιμα το εκπαιδευτικό μας και άλλο δημοσιευμένο υλικό με σκοπό τον εντοπισμό δηλώσεων που θα μπορούσαν να ερμηνευθούν εσφαλμένα από τους ακροατές και με αυτόν τον σεβασμό, σας ευχαριστούμε που το γνωστοποιήσατε».

Όταν ρωτήθηκε αν το Cellebrite θα άλλαζε το περιεχόμενο της εκπαίδευσής του, ο εκπρόσωπος δεν απάντησε.

Η δικηγόρος του Electronic Frontier Foundation, Saira Hussain και ο ανώτερος τεχνολόγος του προσωπικού, Cooper Quintin, είπαν στο TechCrunch σε ένα email ότι «το Cellebrite βοηθά στη δημιουργία ενός κόσμου όπου οι αυταρχικές χώρες, οι εγκληματικές ομάδες και οι κυβερνομισθοφόροι μπορούν επίσης να εκμεταλλεύονται αυτές τις ευάλωτες συσκευές και να διαπράττουν εγκλήματα. , να φιμώσει την αντιπολίτευση και να εισβάλει στην ιδιωτική ζωή των ανθρώπων».

Η Cellebrite δεν είναι η πρώτη εταιρεία που ζητά από τους πελάτες της να κρατήσουν μυστική την τεχνολογία της.

Για χρόνια, ο κυβερνητικός ανάδοχος Harris Corporation έβαζε τις υπηρεσίες επιβολής του νόμου που ήθελαν να χρησιμοποιήσουν το εργαλείο παρακολούθησης κινητών τηλεφώνων, γνωστό ως Stingrays, να υπογράψουν

συμφωνία μη αποκάλυψης

που σε ορισμένες περιπτώσεις πρότεινε την απόσυρση των υποθέσεων αντί να αποκαλύψει ποια εργαλεία χρησιμοποίησαν οι αρχές. Αυτά τα αιτήματα φτάνουν μέχρι τα μέσα της δεκαετίας του 2010, αλλά

εξακολουθούν να ισχύουν και σήμερα

.

Ακολουθεί η πλήρης απομαγνητοφώνηση του εκπαιδευτικού βίντεο:

Χαίρομαι που μπορείτε να συμμετάσχετε. Και είμαι στην ευχάριστη θέση να ξεκινήσω αυτήν την αρχική ενότητα που καλύπτει την επισκόπηση του συστήματος και τον προσανατολισμό για το Cellebrite Premium. Ευχαριστώ και απολαύστε.

Γνωρίζατε ότι η Cellebrite Advanced Services διαθέτει 10 εργαστήρια σε εννέα διαφορετικές χώρες σε όλο τον κόσμο; Λοιπόν, για να αξιοποιήσουμε όλη αυτή την ικανότητα, εργαζόμαστε μαζί για να παραδώσουμε αυτήν την εκπαίδευση σε εσάς, έτσι θα ακούτε από συναδέλφους από όλο τον κόσμο. Η ακόλουθη λίστα είναι αυτές που περιλαμβάνουν αυτό το τρέχον σύνολο λειτουργιών, ελπίζω να σας αρέσει να τις συναντάτε.

Πριν ξεκινήσουμε, είναι πολύ σημαντικό να εξετάσουμε τα ζητήματα εμπιστευτικότητας και λειτουργικής ασφάλειας που πρέπει να τηρούμε χρησιμοποιώντας το Cellebrite Premium, όχι μόνο εμείς στα δικά μας εργαστήρια Cellebrite Advanced Services, αλλά ιδιαίτερα εσείς στα δικά σας εργαστήρια σε όλο τον κόσμο.

Λοιπόν, πρέπει να αναγνωρίσουμε ότι αυτή η ικανότητα σώζει πραγματικά ζωές. Και σε περιπτώσεις που είναι πολύ αργά, βοηθάμε στο κλείσιμο των οικογενειών των θυμάτων και, τελικά, στην επίλυση εγκλημάτων και στη φυλακή των ανθρώπων. Επομένως, είναι εξαιρετικά σημαντικό να διατηρούνται όλες αυτές οι δυνατότητες όσο το δυνατόν πιο προστατευμένες, επειδή τελικά η διαρροή μπορεί να είναι επιβλαβής για ολόκληρη την κοινότητα επιβολής του νόμου παγκοσμίως.

Με λίγο περισσότερες λεπτομέρειες, αυτές οι δυνατότητες που τίθενται στο Cellebrite Premium, είναι στην πραγματικότητα εμπορικά μυστικά της Cellebrite και θέλουμε να συνεχίσουμε να διασφαλίζουμε τη βιωσιμότητά τους, ώστε να μπορούμε να συνεχίσουμε να επενδύουμε σε μεγάλο βαθμό στην έρευνα και την ανάπτυξη, ώστε να μπορέσουμε δώσουν αυτές τις ικανότητες στις αρχές επιβολής του νόμου παγκοσμίως. Το μέρος σας είναι να διασφαλίσετε ότι αυτές οι τεχνικές προστατεύονται όσο καλύτερα μπορείτε και είτε να τις θεωρήσετε ως «ευαίσθητες για την επιβολή του νόμου» ή να τις ταξινομήσετε σε υψηλότερο επίπεδο προστασίας στη χώρα ή τον οργανισμό σας.

Και ο λόγος είναι επειδή θέλουμε να διασφαλίσουμε ότι η ευρεία γνώση αυτών των δυνατοτήτων δεν θα εξαπλωθεί. Και, αν οι κακοί ανακαλύψουν πώς μπαίνουμε σε μια συσκευή ή ότι μπορούμε να αποκρυπτογραφήσουμε μια συγκεκριμένη εφαρμογή κρυπτογραφημένων μηνυμάτων, ενώ μπορεί να προχωρήσουν σε κάτι πολύ, πολύ πιο δύσκολο ή αδύνατο να ξεπεραστεί. Σίγουρα δεν το θέλεις.

Γνωρίζουμε επίσης ότι οι κατασκευαστές τηλεφώνων προσπαθούν συνεχώς να ενισχύσουν την ασφάλεια των προϊόντων τους. Και η πρόκληση είναι ήδη τόσο δύσκολη όσο είναι, αλλά εξακολουθούμε να έχουμε πραγματικά καλές ανακαλύψεις. Παρακαλώ μην το κάνετε αυτό πιο δύσκολο για εμάς από ό,τι είναι ήδη.

Και τελικά, δεν θέλουμε πραγματικά να διαρρεύσει καμία τεχνική στο δικαστήριο μέσω πρακτικών αποκάλυψης, ή ξέρετε, τελικά στην κατάθεση, όταν κάθεστε στην κερκίδα, παράγετε όλα αυτά τα στοιχεία και συζητάτε πώς πήρατε το τηλέφωνο. Τελικά, έχετε εξαγάγει τα δεδομένα, είναι τα δεδομένα που λύνουν το έγκλημα. Πώς μπήκατε, ας προσπαθήσουμε να το κρατήσουμε όσο πιο σιωπή γίνεται.

Και τώρα προχωράμε στην επιχειρησιακή ασφάλεια ή «opsec». Ξεκινά με τη φυσική προστασία του συστήματος premium και όλων των εξαρτημάτων του που έχετε λάβει στο κιτ.

Αυτά τα μικρά κομ

μάτια

που κάνουν όλη αυτή την ικανότητα… μαγεία. Είναι πολύ ευαίσθητα περιουσιακά στοιχεία και θέλουμε να διασφαλίσουμε ότι δεν θα χρησιμοποιηθούν παραβιάσεις ή άλλες παραβιάσεις σε αυτές τις συσκευές. Και σε ορισμένες περιπτώσεις, υπάρχει η πιθανότητα παραβίασης και απενεργοποίησης του στοιχείου, και αυτό είναι κάτι που πραγματικά δεν θέλετε να κάνετε, επειδή θα μπορούσε να αποκλείσει την εταιρεία σας από το να έχει τη δυνατότητα ενώ περιμένετε αντικατάσταση.

Επιπλέον, η έκθεση σε οποιαδήποτε από αυτές τις δυνατότητες υψηλής ποιότητας θα μπορούσε να είναι αρκετά επιβλαβής για το παγκόσμιο περιβάλλον επιβολής του νόμου. Επομένως, να είστε προσεκτικοί με την κοινή χρήση πληροφοριών, είτε πρόκειται για συνομιλίες πρόσωπο με πρόσωπο, μέσω τηλεφώνου, σε διαδικτυακές ομάδες συζήτησης, μέσω email – άλλα τέτοια πράγματα – απλώς προσπαθήστε να την κρατήσετε ευαίσθητη και μην μπείτε σε λεπτομέρειες.

Όταν πρόκειται για γραπτή τεκμηρίωση, προφανώς, δεν θέλετε να αποκαλύψετε πάρα πολλά στις δικαστικές εκθέσεις σας. Αλλά σίγουρα βάλτε το ελάχιστο για να διασφαλίσετε ότι ένας απλός άνθρωπος μπορεί να κατανοήσει τις βασικές έννοιες του τι έγινε.

Αναφέρετε βεβαίως ότι χρησιμοποιήσατε το Premium, μπορείτε να αναφέρετε την έκδοση, αλλά μην αναφερθείτε σε λεπτομέρειες για το τι κάνατε με το τηλέφωνο: είτε το χειρίζεστε είτε οτιδήποτε εμφανίζεται στο γραφικό περιβάλλον χρήστη του ίδιου του premium.

Και όσον αφορά τις τεχνικές λειτουργίες και τη διαχείριση ποιότητας εντός του οργανισμού σας, προσέξτε ότι οποιοδήποτε έγγραφο που συντάσσετε ως τυπική διαδικασία λειτουργίας θα μπορούσε να είναι ορατό από εξωτερικό ελεγκτή για το ISO 17025 ή άλλα άτομα που θα μπορούσαν να κάνουν έναν νόμο περί ελευθερίας πληροφοριών ζητήστε από την αντιπροσωπεία σας σε οποιαδήποτε νομοθεσία της χώρας σας.

Οπότε να είστε προσεκτικοί με όλα αυτά. Πρέπει να το προστατέψετε όσο το δυνατόν καλύτερα. Και ο άλλος πρόσθετος παράγοντας που μπορεί να μην γνωρίζετε είναι ότι οι αποτυχημένες εκμεταλλεύσεις σε συσκευές – εάν είναι σε θέση να συνδεθούν στο δίκτυο – θα μπορούσαν να τηλεφωνήσουν στο σπίτι και να ενημερώσουν τον κατασκευαστή ότι η συσκευή δέχεται επίθεση. Και με αρκετή γνώση και ευφυΐα, είναι πιθανό οι κατασκευαστές τηλεφώνων να ανακαλύψουν τι κάνουμε για να πετύχουμε αυτή τη μαγεία. Επομένως, κάντε το καλύτερο δυνατό για να ακολουθήσετε όλες τις οδηγίες και να κάνετε αυτή την καλύτερη δυνατή διαδικασία [sic] πηγαίνοντας μπροστά.”

Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram and Wire @lorenzofb ή email στο
. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.

techcrunch.com

Παρόμοια άρθρα