O FBI está louco porque continua entrando em iPhones bloqueados sem a ajuda da Apple

11

O debate sobre criptografia continua se arrastando sem fim.

Nos últimos meses, o discurso se afastou amplamente dos smartphones criptografados para se concentrar mensagens criptografadas de ponta a ponta. Mas um recente conferência de imprensa pelos chefes do Departamento de Justiça (DOJ) e do Federal Bureau of Investigation (FBI) mostraram que o debate sobre a criptografia de dispositivos não está morto, ele estava apenas descansando. E isso simplesmente não vai embora.

No presser, procurador-geral William Barr e o diretor do FBI, Chris Wray, anunciaram que, após meses de trabalho, os técnicos do FBI conseguiram desbloquear os dois iPhones usados ​​pelo oficial militar saudita que executou um tiroteio terrorista na Estação Aérea Naval de Pensacola, na Flórida, em dezembro de 2019. O atirador morreu no ataque, que foi rapidamente reivindicado pela Al Qaeda na Península Arábica.

No início deste ano – um mês sólido após o tiroteio – Barr havia perguntou a Apple para ajudar a desbloquear os telefones (um dos quais foi danificado por uma bala), que foram modelos mais antigos do iPhone 5 e 7. maçã forneceu "Gigabytes de informações" para os investigadores, incluindo "backups do iCloud, informações da conta e dados transacionais para várias contas", mas chamou a atenção para ajudar com os dispositivos. A situação ameaçou reviver o 2016 "Apple versus FBI" confronto em outro iPhone bloqueado após o ataque terrorista de San Bernardino.

Depois que o governo foi ao tribunal federal para tentar dragoon maçã para fazer o trabalho dos investigadores por eles, a disputa terminou anticlimaticamente quando o governo entrou no próprio telefone depois de comprar uma exploração de um fornecedor externo, o governo recusou-se a identificar. O caso Pensacola culminou da mesma maneira, exceto que o FBI aparentemente usou uma solução interna em vez da exploração de terceiros.

Você acha que o sucesso do FBI em uma tarefa complicada (lembre-se, um dos telefones havia sido tiro) seriam boas notícias para a Repartição. No entanto, uma nota inconfundível de amargura tingiu os comentários elogiosos na conferência de imprensa para os técnicos que fizeram isso acontecer. Apesar da impressionante conquista do Bureau, e apesar dos muitos dados que a Apple forneceu, Barr e Wray dedicaram muitas de suas observações a Apple maligno, com Wray indo tão longe a ponto de dizer o governo “não recebeu efetivamente nenhuma ajuda” da empresa.

Essa tática de desvio funcionou: em notícias que cobrem a conferência de imprensa, título depois de título depois de título destacou o slogan do FBI contra a Apple, em vez de se concentrar no que era nominalmente a conferência de imprensa: o fato de que as agências federais de aplicação da lei podem entrar em iPhones bloqueados sem Assistência da Apple.

Essa deve ser a manchete das notícias, porque é importante. Essa verdade inconveniente prejudica as agências reivindicação de longa data que eles são impotentes diante da criptografia da Apple e, portanto, a empresa deve ser legalmente forçada a enfraquecer a criptografia do dispositivo para acesso à aplicação da lei. Não é de admirar que Wray e Barr estejam tão bravos que seus funcionários continuem sendo bons em seus empregos.

Revivendo a antiga rotina de culpar a Apple, os dois funcionários conseguiram escapar de uma série de perguntas que sua conferência de imprensa deixou sem resposta. O que exatamente estamos os recursos do FBI para acessar smartphones bloqueados e criptografados? Wray reivindicado a técnica desenvolvida pelos técnicos do FBI é "de aplicação bastante limitada" além dos iPhones da Pensacola. Quão limitado? Que outras técnicas de cracking de telefone o FBI possui e em quais modelos de aparelhos e em quais versões de sistemas operacionais móveis essas técnicas funcionam de maneira confiável? Em que tipos de casos, para que tipos de crimes, essas ferramentas estão sendo usadas?

Também não sabemos o que mudou internamente na Repartição desde aquele maldito Inspetor-Geral de 2018 post-mortem no caso de San Bernardino. O que aconteceu com os planos do FBI, anunciados no relatório do IG, para abaixe a barreira dentro da agência para usar ferramentas e técnicas de segurança nacional em casos criminais? Essa mudança aconteceu e teve um papel no sucesso de Pensacola? O FBI está invadindo os telefones dos suspeitos de crimes usando técnicas classificadas do contexto de segurança nacional que podem não ser aprovadas em um processo judicial? reconhecido em tudo)?

Além disso, como os recursos internos do FBI complementam o ecossistema maior de ferramentas e técnicas para aplicação da lei para acessar telefones bloqueados? Isso inclui fornecedores de terceiros Dispositivos GrayShift e Cellebrite, que, além do FBI, contam numerosos departamentos de polícia estaduais e locais dos EUA e autoridades federais de imigração entre seus clientes. Quando conectados a um telefone bloqueado, esses dispositivos podem ignorar a criptografia do telefone para gerar seu conteúdo e (no caso do GrayShift) podem plante spyware em um iPhone para registrar sua senha quando a polícia induz o proprietário de um telefone a entrar nele. Estes dispositivos funcionam em modelos iPhone muito recentes: Cellebrite reivindicações ele pode desbloquear qualquer iPhone para aplicação da lei e o FBI desbloqueou um iPhone 11 Pro Max usando o dispositivo GrayKift da GrayShift.

Além de Cellebrite e GrayShift, que possuem uma base de clientes bem estabelecida nos EUA, o ecossistema das empresas terceirizadas de hackers por telefone incluem entidades que comercializam software de hackers por acesso remoto para governos em todo o mundo. Talvez o exemplo mais notório seja o NSO Group, com sede em Israel, cujo software Pegasus foi usado por governos estrangeiros contra dissidentes, jornalistas, advogados e ativistas de direitos humanos. O braço americano da empresa tentou comercializar a Pegasus no mercado interno aos departamentos de polícia americanos com outro nome. Quais fornecedores terceirizados estão fornecendo soluções de hackers por telefone ao FBI e a que preço?

Finalmente, quem mais além do FBI será o beneficiário da técnica que funcionou nos telefones da Pensacola? O FBI compartilha as ferramentas de fornecedores que compra, ou as suas próprias, com outras agências (federal, estadual, tribal ou local)? Quais ferramentas, quais agências e para que tipos de casos? Mesmo que não compartilhe as técnicas diretamente, será usado para desbloquear telefones para outras agências, como fez para um promotor público logo após comprar o exploit para o iPhone San Bernardino?

Temos pouca ideia das respostas para qualquer uma dessas perguntas, porque os recursos do FBI são um segredo bem guardado. Quais avanços e avanços alcançou e quais fornecedores pagou, nós (que fornecemos o dinheiro do contribuinte para financiar esse trabalho) não temos permissão para saber. E a agência se recusa a responder questões sobre o impacto da criptografia em suas investigações, mesmo de membros do Congresso, que podem ter acesso a informações confidenciais negadas ao público em geral.

A única informação pública que sai da caixa preta de hackers do FBI não é nada como a recente conferência de imprensa. Em um evento sobre os recursos de hackers por telefone do FBI, o diretor Wray e AG Barr conseguiram desviar a atenção da imprensa para a Apple, evitando perguntas difíceis, como o que as habilidades do FBI significam para a privacidade, as liberdades civis e a segurança dos dados dos americanos, ou mesmo perguntas básicas, quanto custa a operação de quebra de telefone da Pensacola.

Como demonstrou o recente espetáculo de relações públicas, uma conferência de imprensa não é supervisionada. E, em vez de exercer seu poder de supervisão, exigir mais transparência ou exigir uma análise contábil e de custo / benefício dos gastos com hackers por telefone do FBI – em vez de exigir uma resposta direta e conclusiva à eterna questão de saber se, à luz da agência continuamente -evolução de recursos, é realmente necessário forçar os fabricantes de smartphones a enfraquecer a criptografia de dispositivos – o Congresso está propondo uma legislação perigosa, como a Lei GANHE IT, que corre o risco de prejudicar a criptografia quando uma população forçada pelo COVID-19 a fazer tudo on-line em casa pode pelo menos pagar.

Ao melhorO cenário agora é que a agência federal que provou sua falta de confiança ao mentindo para o Tribunal de Vigilância de Inteligência Estrangeira pode invadir nossos smartphones, mas talvez nem todos; que talvez não esteja compartilhando seus brinquedos com os departamentos de polícia estaduais e locais (que são repleto de agressores domésticos quem gostaria de ter acesso aos telefones das vítimas); que, diferentemente dos dispositivos de terceiros, talvez as ferramentas do FBI não acabar no eBay onde criminosos podem comprá-los; e espero que não tenha pago dinheiro do contribuinte para a empresa de spyware cujo cliente mais conhecido do governo assassinou e desmembrou um jornalista.

O pior cenário seria que, entre as ferramentas internas e de terceiros, praticamente qualquer agência de aplicação da lei agora possa invadir com segurança os telefones de todos, e, no entanto, esse é o ano em que finalmente obtêm sua vitória legislativa. criptografia de qualquer maneira. Mal posso esperar para ver o que mais 2020 tem reservado.

Fonte: TechCrunch