Politiet ser et krypteringsproblem. Spionvareprodusenter ser en mulighet.

Trump-administrasjonen presser nok en gang på for tilgang til krypterte data. Men noen etterretningsselskaper selger en sneigere rute rundt beskyttelse. 10. desember 2019 mobiltårn

mobiltårn Unsplash



  • Det amerikanske senatet er klar for en ny høring om kryptering
  • Det store spørsmålet: Er det ny lovgivning som krever kryptering bakdører?
  • Møt det israelske selskapet som selger et verktøy for å presse folk bort fra krypterte tjenester

Tenk deg at du er en politimann som ønsker å avlytte en kryptert telefonsamtale, den typen samtaler milliarder av mennesker gjør hele tiden på WhatsApp. Gammeldags avlytting fungerer ikke, siden teknologien som ligger til grunn for kryptering garanterer at du ikke får noe. Du kan prøve å hacke et måls telefon og lytte – men det er ofte et vanskelig og kostbart forslag. Eller du kan lovlig kreve at selskapet bak tjenesten tillater rettshåndhevelse en måte å se de krypterte dataene på, men det kan bety en lang og kostbar juridisk kamp.

Denne lange krigen mellom rettshåndhevelse og teknologiindustrien vil fortsette når det amerikanske senatet åpner en høring om datakryptering tirsdag morgen.



Senatets rettskomité, ledet av republikaneren Lindsey Graham, vil holde høringen, som vil omhandle teknologi som beskytter alt fra WhatsApp-kommunikasjon til dataene på din iPhone. Apples og Facebooks personvernforvaltere vil være blant dem som vitner ved siden av en av den amerikanske regjeringens mest vokale kritikere av kryptering, Manhattan-distriktsadvokat Cy Vance. Trump-administrasjonen har jevnlig kritisert bruken av kryptografi, og i juli ba statsadvokat William Barr om lovlig tilgang og kryptering bakdører som ville tillate tjenestemenn å se krypterte private data.



Motstandere sier at disse svekker internettsikkerheten og personvernet over hele linja, men det har vært fremstøt fra begge parter i kongressen for å utvide tilgangen til krypterte data. For flere år siden fremmet komiteens nestleder, demokraten Dianne Feinstein, en kontroversielt lovforslag om mandat til myndighetene . Det lovforslaget endte opp med å gå ingensteds, men det største spørsmålet som førte til tirsdagens høring er om et nytt topartilovforslag vil dukke opp - og i så fall om det kan ha støtte fra Det hvite hus.

Men mens denne høringen er det siste kapittelet i den tiår lange konflikten mellom regjeringen og teknologiindustrien, bruker noen selskaper forskjellige taktikker for å få tilgang til krypterte data – og de selger dem til rettshåndhevelse og etterretningsbyråer.

Ulike taktikker

For ti år siden var kryptering – som distribuerer matematikk for å gjøre data uleselig unntatt av den tiltenkte mottakeren – sjelden for vanlige brukere. I dag beskytter den nettsurfing, tekstmeldinger og telefonsamtaler til milliarder av mennesker rundt om i verden. Denne beskyttelsen gjelder både for demokratisk valgte politikere og menneskerettighetsaktivister, men også for terrorister og spioner, som lenge har drevet regjeringer til å forsøke å gjennombore kryptering med både juridiske og tekniske midler.



Jeg møtte nylig Ithai Kenan, visepresident for et israelsk etterretningsselskap kalt Picsix, på Milipols sikkerhetskonferanse i Paris. Picsix består av israelske etterretningsveteraner, og er et tiår gammelt selskap som spesialiserer seg på dataavlytting som en måte å løse krypteringsproblemet på. (Navnet er et nikk til amerikansk fotball, og gjenspeiles i selskapets slagord: The perfect interception.)

picsix avlytting markedsføring Israel

Picsix sin bedriftsprofil delt ut til potensielle kunder.

Kenan solgte selskapets nyeste produkt, et dataavskjærings- og manipulasjonsverktøy kjent som P6-FI5. Enheten fungerer på GSM-, 3G- og 4G-mobilavlytting – noe som betyr at den kan avlytte og kontrollere både telefonsamtaler og data – og kan miniatyriseres for å bæres i ryggsekker eller kjøretøy.



Picsixs verktøy lager et falskt mobiltårn som kan lure et måls telefon til å overføre data til den. Enheten kan ikke lese krypterte data, men prøver i stedet en annen taktikk for å få privat informasjon: gjør krypterte apper feilaktige eller til og med helt ubrukelige. Det er en subtil, men sterk måte å skyve et frustrert mål bort fra en privat app og mot en ikke-kryptert tjeneste som enkelt kan avlyttes og avlyttes. Selve krypteringen blir aldri ødelagt – den blir rett og slett ubrukelig.

Vi kan manipulere data på en veldig selektiv måte, sa Kenan. Vi kan gjøre det på en veldig selektiv måte slik at det ikke ser ut som om du blir manipulert. Vi vil ikke bare blokkere WhatsApp helt. I stedet lar vi deg foreta en WhatsApp-samtale, og etter 10 sekunder slipper vi den. Kanskje lar vi deg ringe opp igjen, og om 20 sekunder slipper vi det. Etter det tredje mislykkede anropet ditt, stol på meg – du ringer vanlig, og vi avskjærer det. Det er en smart og kostnadseffektiv måte å gjøre avlytting på.

Picsix avlytting

Picsix sitt markedsføringsmateriell for 2019.



Trafikkforming for å trakte data til mer fordelaktig terreng er en utprøvd og pålitelig etterretningstaktikk rettet mot å manipulere målet til et sted hvor det er lettere å angripe. Dette oppnår ikke de samme målene som å kompromittere et offers telefon selv, men det kan være like effektivt og potensielt enda mer vedvarende. En trojansk hest fra et selskap som NSO Group kan gi deg full tilgang til telefonen til et mål for millioner av dollar , men det er avhengig av en sårbarhet i koden som kjører på enheten: WhatsApp kan gi ut en sikkerhetsoppdatering i morgen som gjør utnyttelsen ubrukelig og pengene bortkastet.

Picsix hevder at selv om verktøyet ikke vil få tilgang til de krypterte dataene, vil dets nytte ikke bli slettet av en enkelt oppdatering heller.

Det er derfor vi liker datamanipulasjon, sa Kenan.

Taktikken har også kapasitet til å fungere på tvers av utallige enheter, fordi den retter seg mot dataene i stedet for maskinvaren. En Samsung Galaxy S10 og en iPhone 11 er to enormt forskjellige telefoner: hver utnyttelse må skreddersys til det spesifikke målet.

På grunn av hvor dyre trojanske hester er, er det ikke én produsent som driver med trojanske hester og faktisk støtter alle de forskjellige enhetene og produsentene, sa Kenan. Du kan ha programvare for Android, men ikke iOS. La oss ikke engang snakke om alle de funky enhetene du kan finne i Kina og India.

Når det er sagt, kan Picsixs teknologi også omdirigere måldata og injisere skadelig programvare på en telefon som bruker det falske mobiltårnet. Fra det øyeblikket kan disse trojanske hestene på flere millioner dollar potensielt tas i bruk.

Picsix-inntrenging

Avlytting og manipulering er kanskje ikke nok, så Picsix sin P6-FI5 fungerer også som en programvareplattform for inntrenging.

Den større kampen

Myndigheter over hele verden har brukt verktøyene som er bygget av selskaper som NSO Group og Picsix i årevis. Det er en hel svært dyktig og lukrativ etterretningsindustri dedikert til oppgaven.

Men mange topptjenestemenn i Washington, DC, ønsker ikke å måtte stole på disse verktøyene for å få tilgang til data. Tidligere i år under en sikkerhetskonferanse i New York City ba riksadvokat Barr om bakdører til krypterte data, og USAs advokat Richard P. Donoghue viste fingeren mot amerikanske teknologigiganter.

Disse selskapene markedsfører – de nekter for at de markedsfører, men de markedsfører – at de nekter tilgang til rettshåndhevelse, sa Donoghue. De bør holdes ansvarlige.

I årevis har kryptografer advart mot kryptering bakdører som en løsning som vil undergrave sikkerhetsfordelene ved sterk kryptering. Det er ikke klart hva som vil skje i det amerikanske senatet på tirsdag, men du kan forvente en frem og tilbake debatt som ligner mye på de såkalte kryptokrigene fra tidligere år.

gjemme seg