Seit Jahren, Polizisten und andere Regierungsbehörden auf der ganzen Welt nutzen die von Cellebrite bereitgestellte Telefon-Hacking-Technologie, um Telefone zu entsperren und an die darin enthaltenen Daten zu gelangen. Und das Unternehmen war bestrebt, den Einsatz seiner Technologie geheim zu halten.
Im Rahmen der Vereinbarung mit Regierungsbehörden fordert Cellebrite die Benutzer auf, seine Technologie – und die Tatsache, dass sie sie verwendet haben – geheim zu halten, wie Tech erfahren hat. Diese Anfrage betrifft Rechtsexperten, die argumentieren, dass leistungsstarke Technologie wie die, die Cellebrite baut und verkauft, und wie sie von Strafverfolgungsbehörden genutzt wird, öffentlich sein und überprüft werden sollte.
In einem durchgesickerten Schulungsvideo für Kunden von Strafverfolgungsbehörden, das Tech zur Verfügung stand, erklärt ein leitender Mitarbeiter von Cellebrite den Kunden: „Letztendlich haben Sie die Daten extrahiert, es sind die Daten, die das Verbrechen aufklären, wie Sie reingekommen sind, versuchen wir, das beizubehalten.“ so still wie möglich.“
„Wir wollen wirklich nicht, dass irgendwelche Techniken durch Offenlegungspraktiken vor Gericht durchsickern, oder Sie wissen schon, letztendlich in der Zeugenaussage, wenn Sie im Zeugenstand sitzen, all diese Beweise vorlegen und diskutieren, wie Sie an das Telefon gekommen sind“, sagte der Mitarbeiter. wen wir nicht nennen, sagt im Video.
Für Rechtsexperten ist diese Art von Anfrage besorgniserregend, da die Behörden transparent sein müssen, damit ein Richter Durchsuchungen oder die Verwendung bestimmter Daten und Beweise vor Gericht genehmigen kann. Geheimhaltung, so argumentieren die Experten, verletze die Rechte der Angeklagten und letztendlich die Rechte der Öffentlichkeit.
„Die Ergebnisse, die diese äußerst geheimen Produkte ausspucken, werden vor Gericht verwendet, um zu beweisen, ob jemand eines Verbrechens schuldig ist“, sagte Riana Pfefferkorn, Forscherin am Internet Observatory der Stanford University, gegenüber Tech. „Die Angeklagten müssen (sei es durch ihre Anwälte oder durch einen Experten) in der Lage sein, die Funktionsweise der Cellebrite-Geräte vollständig zu verstehen, sie zu untersuchen und festzustellen, ob sie ordnungsgemäß funktionierten oder Mängel aufwiesen, die die Ergebnisse beeinflusst haben könnten.“
„Und wer unter Eid über diese Produkte aussagt, darf keine wichtigen Informationen verbergen, die dazu beitragen könnten, einen Angeklagten zu entlasten, nur um die Geschäftsinteressen eines Unternehmens zu schützen“, sagte Pfefferkorn.
Hanni Fakhoury, eine Strafverteidigerin, die sich seit Jahren mit Überwachungstechnologie beschäftigt, sagte gegenüber Tech: „Der Grund, warum diese Dinge offengelegt werden müssen, ist, dass die Verteidigung herausfinden muss, ob es ein rechtliches Problem bei der Art dieser Beweise gab.“ erhalten? Habe ich die Fähigkeit, das herauszufordern?‘“
Der Cellebrite-Mitarbeiter behauptet in dem Video, dass die Offenlegung des Einsatzes seiner Technologie Kriminellen helfen und das Leben der Strafverfolgungsbehörden erschweren könnte.
„Es ist überaus wichtig, all diese Funktionen so gut wie möglich zu schützen, denn letztlich können Datenlecks für die gesamte Strafverfolgungsgemeinschaft weltweit schädlich sein“, sagt der Cellebrite-Mitarbeiter im Video. „Wir wollen sicherstellen, dass sich das weitverbreitete Wissen über diese Fähigkeiten nicht ausbreitet. Und wenn die Bösewichte herausfinden, wie wir in ein Gerät gelangen oder dass wir in der Lage sind, eine bestimmte verschlüsselte Messaging-App zu entschlüsseln, während sie möglicherweise zu etwas übergehen, das viel, viel schwieriger oder unmöglich zu überwinden ist, dann tun wir es auf jeden Fall Ich will das nicht.“
Cellebrite-Sprecher Victor Cooper sagte in einer E-Mail an Tech, dass sich das Unternehmen „verpflichtet, die Durchsetzung ethischer Gesetze zu unterstützen“. Unsere Tools sind für den rechtmäßigen Gebrauch unter größtmöglicher Achtung der Verwahrungskette und des Gerichtsverfahrens konzipiert.“
„Wir raten unseren Kunden nicht, gegen Gesetze, gesetzliche Anforderungen oder andere forensische Standards zu verstoßen“, sagte der Sprecher. „Während wir weiterhin unsere Geschäftsgeheimnisse und andere geschützte und vertrauliche Informationen schützen und von den Benutzern unserer Tools erwarten, dass sie diese respektieren, entwickeln wir auch unsere Schulungen und anderen veröffentlichten Materialien kontinuierlich weiter, um Aussagen zu identifizieren, die von Zuhörern falsch interpretiert werden könnten In diesem Sinne danken wir Ihnen, dass Sie uns darauf aufmerksam gemacht haben.“
Auf die Frage, ob Cellebrite den Inhalt seiner Schulung ändern würde, antwortete der Sprecher nicht.
Die leitende Anwältin der Electronic Frontier Foundation, Saira Hussain, und der leitende Technologe Cooper Quintin sagten gegenüber Tech in einer E-Mail: „Cellebrite trägt dazu bei, eine Welt zu schaffen, in der auch autoritäre Länder, kriminelle Gruppen und Cyber-Söldner diese anfälligen Geräte ausnutzen und Verbrechen begehen können.“ , die Opposition zum Schweigen bringen und in die Privatsphäre der Menschen eindringen.“
Cellebrite ist nicht das erste Unternehmen, das seine Kunden dazu auffordert, seine Technologie geheim zu halten.
Jahrelang ließ der staatliche Auftragnehmer Harris Corporation Strafverfolgungsbehörden unterschreiben, die sein Handy-Überwachungstool namens „Stingrays“ nutzen wollten eine Geheimhaltungsvereinbarung In einigen Fällen wurde vorgeschlagen, die Verfahren einzustellen, anstatt offenzulegen, welche Instrumente die Behörden eingesetzt haben. Diese Anfragen reichen jedoch bis in die Mitte der 2010er Jahre zurück sind auch heute noch in Kraft.
Hier ist das vollständige Transkript des Schulungsvideos:
Ich freue mich, dass Sie sich uns anschließen können. Und ich freue mich, dieses erste Modul mit der Systemübersicht und Orientierung für Cellebrite Premium zu starten. Vielen Dank und viel Spaß.
Wussten Sie, dass Cellebrite Advanced Services über 10 Labore in neun verschiedenen Ländern auf der ganzen Welt verfügt? Um all diese Kapazitäten zu nutzen, arbeiten wir gemeinsam an der Durchführung dieser Schulung für Sie, damit Sie von Kollegen aus der ganzen Welt hören können. In der folgenden Liste sind die Module aufgeführt, aus denen sich dieser aktuelle Modulsatz zusammensetzt. Ich wünsche Ihnen viel Spaß beim Kennenlernen.
Bevor wir beginnen, ist es sehr wichtig, die Vertraulichkeits- und Betriebssicherheitsbedenken durchzugehen, die wir bei der Verwendung von Cellebrite Premium einhalten müssen, nicht nur wir selbst in unseren eigenen Cellebrite Advanced Services-Laboren, sondern ganz besonders Sie in Ihren eigenen Laboren auf der ganzen Welt.
Nun, wir müssen erkennen, dass diese Fähigkeit tatsächlich Leben rettet. Und in Situationen, in denen es zu spät ist, helfen wir dabei, den Familien der Opfer ein Ende zu bereiten, Verbrechen aufzuklären und Menschen hinter Gitter zu bringen. Daher ist es äußerst wichtig, alle diese Funktionen so gut wie möglich zu schützen, da Datenlecks letztendlich für die gesamte Strafverfolgungsgemeinschaft weltweit schädlich sein können.
Genauer gesagt sind diese Funktionen, die in Cellebrite Premium integriert sind, tatsächlich Geschäftsgeheimnisse von Cellebrite, und wir möchten weiterhin sicherstellen, dass sie funktionsfähig sind, damit wir weiterhin stark in Forschung und Entwicklung investieren können Geben Sie diese Fähigkeiten den Strafverfolgungsbehörden weltweit. Ihre Aufgabe besteht darin, dafür zu sorgen, dass diese Techniken so gut wie möglich geschützt werden, und sie entweder als „strafverfolgungsrelevant“ einzustufen oder sie in Ihrem jeweiligen Land oder Ihrer Behörde einem höheren Schutzniveau zuzuordnen.
Und der Grund dafür ist, dass wir sicherstellen wollen, dass sich das umfassende Wissen über diese Fähigkeiten nicht ausbreitet. Und wenn die Bösewichte herausfinden, wie wir in ein Gerät gelangen oder dass wir eine bestimmte verschlüsselte Messaging-App entschlüsseln können, könnten sie zu etwas übergehen, das viel, viel schwieriger oder unmöglich zu überwinden ist. Wir auf jeden Fall Ich will das nicht.
Wir sind uns auch darüber im Klaren, dass die Telefonhersteller ständig danach streben, die Sicherheit ihrer Produkte zu verbessern. Und die Herausforderung ist ohnehin schon so schwierig, aber wir erzielen immer noch wirklich gute Durchbrüche. Bitte machen Sie es uns nicht noch schwerer, als es ohnehin schon ist.
Und letztendlich wollen wir nicht wirklich, dass irgendwelche Techniken durch Offenlegungspraktiken vor Gericht durchsickern, oder, wissen Sie, letztendlich in der Zeugenaussage, wenn man im Zeugenstand sitzt, all diese Beweise vorlegt und darüber diskutiert, wie man ans Telefon gekommen ist. Letztendlich haben Sie die Daten extrahiert, es sind die Daten, die das Verbrechen aufklären. Wie Sie reingekommen sind, versuchen wir, das so geheim wie möglich zu halten.
Und nun kommen wir zur Betriebssicherheit oder „Opsec“. Es beginnt mit dem physischen Schutz des Premium-Systems und aller seiner Komponenten, die Sie im Kit erhalten haben.
Diese kleinen Details machen all diese Fähigkeiten zu etwas Magischem. Es handelt sich um hochsensible Vermögenswerte, und wir möchten sicherstellen, dass an diesen Geräten keine Manipulationen oder andere Kuriositäten vorgenommen werden. Und in manchen Fällen besteht die Möglichkeit, dass die Komponente manipuliert und deaktiviert wird, und das ist etwas, was Sie wirklich nicht tun möchten, weil Ihre Behörde dadurch möglicherweise nicht mehr in der Lage ist, während Sie auf einen Ersatz warten.
Darüber hinaus könnte die Offenlegung dieser Premium-Funktionen für das globale Strafverfolgungsumfeld äußerst schädlich sein. Seien Sie also beim Informationsaustausch vorsichtig, sei es in persönlichen Gesprächen, am Telefon, in Online-Diskussionsgruppen, per E-Mail – oder ähnliches – bleiben Sie einfach vertraulich und gehen Sie nicht auf Details ein.
Wenn es um die schriftliche Dokumentation geht, möchten Sie in Ihren Gerichtsberichten natürlich nicht zu viel preisgeben. Aber beschränken Sie sich auf jeden Fall auf das Nötigste, um sicherzustellen, dass ein Laie die grundlegenden Konzepte dessen, was getan wurde, verstehen kann.
Erwähnen Sie auf jeden Fall, dass Sie Premium verwendet haben, Sie können die Version erwähnen, aber gehen Sie nicht im Detail darauf ein, was Sie mit dem Telefon gemacht haben: entweder es manipuliert haben oder was auch immer auf der grafischen Benutzeroberfläche von Premium selbst angezeigt wird.
Und wenn es um technische Abläufe und Qualitätsmanagement in Ihrer Organisation geht, seien Sie bitte vorsichtig, dass jedes Dokument, das Sie als Standardarbeitsanweisung erstellen, für einen externen Auditor für ISO 17025 oder andere Personen, die einen Freedom of Information Act durchführen könnten, einsehbar sein könnte Bitte erkundigen Sie sich bei Ihrer Agentur nach den Gesetzen Ihres Landes.
Seien Sie also bei all dem vorsichtig. Dies gilt es bestmöglich zu schützen. Und der andere zusätzliche Faktor, der Ihnen vielleicht nicht bewusst ist, ist, dass fehlgeschlagene Angriffe auf Geräte – wenn sie sich mit dem Netzwerk verbinden können – zu Hause anrufen und den Hersteller darüber informieren könnten, dass das Gerät angegriffen wird. Und mit genügend Wissen und Intelligenz ist es möglich, dass die Telefonhersteller herausfinden, was wir tun, um diese Magie zu erreichen. Bitte tun Sie daher Ihr Bestes, um alle Anweisungen zu befolgen und die bestmöglichen Verfahren zu gewährleisten [sic] vorwärts gehen.“
Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.