El debate sobre el cifrado continúa sin cesar.
En los últimos meses, el discurso se ha alejado en gran medida de los teléfonos inteligentes cifrados para centrarse en la mensajería cifrada de extremo a extremo. Pero una reciente conferencia de prensa realizada por los jefes del Departamento de Justicia (DOJ) y la Oficina Federal de Investigaciones (FBI) mostró que el debate sobre el cifrado de dispositivos no está muerto, sino que simplemente descansa. Y simplemente no desaparecerá.
En la prensa, el Fiscal General William Barr y el director del FBI, Chris Wray, anunciaron que después de meses de trabajo, los técnicos del FBI lograron desbloquear los dos iPhones utilizados por el oficial militar saudí que llevó a cabo un tiroteo terrorista en la Estación Aérea Naval de Pensacola en Florida en diciembre de 2019. El tirador murió en el ataque, que fue rápidamente reclamado por Al Qaeda en la Península Arábiga.
A principios de este año, un mes sólido después del tiroteo, Barr le había pedido a Apple que ayudara a desbloquear los teléfonos (uno de los cuales resultó dañado por una bala), que eran modelos más antiguos de iPhone 5 y 7. Apple proporcionó “gigabytes de información” a los investigadores, incluidas “copias de seguridad de iCloud, información de cuenta y datos transaccionales para varias cuentas”, pero trazó la línea para ayudar con los dispositivos. La situación amenazaba con revivir el enfrentamiento de 2016 “Apple versus FBI” sobre otro iPhone bloqueado después del ataque terrorista de San Bernardino.
Después de que el gobierno fue a la corte federal para tratar de dragoon Apple para hacer el trabajo de los investigadores para ellos, la disputa terminó anticlimáticamente cuando el gobierno entró en el teléfono después de comprar un exploit de un proveedor externo que el gobierno se negó a identificar. El caso de Pensacola culminó de la misma manera, excepto que el FBI aparentemente utilizó una solución interna en lugar de la hazaña de un tercero.
Uno pensaría que el éxito del FBI en una tarea difícil (recuerde, uno de los teléfonos había sido Disparo) serían buenas noticias para la Mesa. Sin embargo, una nota inconfundible de amargura matizó los comentarios elogiosos en la conferencia de prensa para los técnicos que lo hicieron posible. A pesar del logro impresionante de la Oficina, y a pesar de la gran cantidad de datos que Apple había proporcionado, Barr y Wray dedicaron gran parte de sus comentarios a difamar a Apple, y Wray fue tan lejos como para decir que el gobierno “efectivamente no recibió ayuda” de la compañía.
Esta táctica de diversión funcionó: en las noticias que cubrían la conferencia de prensa, título tras título tras título resaltaba el golpe del FBI contra Apple en lugar de centrarse en lo que era la conferencia de prensa: el hecho de que las agencias federales de aplicación de la ley pueden entrar en iPhones bloqueados sin La asistencia de Apple.
Esa debería ser la noticia principal, porque es importante. Esa verdad incómoda socava la antigua afirmación de las agencias de que están indefensas frente al cifrado de Apple y, por lo tanto, la empresa debería verse legalmente obligada a debilitar el cifrado de su dispositivo para el acceso de la policía. No es de extrañar que Wray y Barr estén tan enojados que sus empleados sigan siendo buenos en sus trabajos.
Al revivir la vieja rutina de culpar a Apple, los dos funcionarios lograron evadir una serie de preguntas que su conferencia de prensa dejó sin respuesta. Qué exactamente son Cuáles son las capacidades del FBI cuando se trata de acceder a teléfonos inteligentes encriptados y bloqueados? Wray afirmó que la técnica desarrollada por los técnicos del FBI es “de aplicación bastante limitada” más allá de los iPhones de Pensacola. Cuan limitado ¿Qué otras técnicas de descifrado de teléfonos tiene el FBI, y en qué modelos de auriculares y en qué versiones de SO móvil funcionan esas técnicas de manera confiable? ¿En qué tipo de casos, para qué tipo de delitos, se utilizan estas herramientas?
Tampoco sabemos qué ha cambiado internamente en la Oficina desde ese condenado inspector general de 2018 postmortem sobre el asunto de San Bernardino. ¿Qué pasó con los planes del FBI, anunciados en el informe de IG, para reducir la barrera dentro de la agencia para usar herramientas y técnicas de seguridad nacional en casos criminales? ¿Se produjo ese cambio y jugó un papel en el éxito de Pensacola? ¿Está el FBI entrando en los teléfonos de los sospechosos criminales usando técnicas clasificadas del contexto de seguridad nacional que podrían no ser aprobadas en un proceso judicial (si su uso fuera reconocido en absoluto)?
Además, ¿cómo complementan las capacidades internas del FBI el ecosistema más amplio de herramientas y técnicas para que la policía acceda a teléfonos bloqueados? Entre ellos se encuentran los proveedores externos GrayShift y los dispositivos de Cellebrite, que, además del FBI, cuentan con numerosos departamentos de policía locales y estatales de EE. UU. Y autoridades federales de inmigración entre sus clientes. Cuando se conectan a un teléfono bloqueado, estos dispositivos pueden omitir el cifrado del teléfono para ceder su contenido y (en el caso de GrayShift) pueden plantar programas espía en un iPhone para registrar su código de acceso cuando la policía engaña al propietario de un teléfono para que lo ingrese. Estos dispositivos funcionan en modelos de iPhone muy recientes: Cellebrite afirma que puede desbloquear cualquier iPhone para la aplicación de la ley, y el FBI ha desbloqueado un iPhone 11 Pro Max usando el dispositivo GrayKey de GrayShift.
Además de Cellebrite y GrayShift, que tiene una base de clientes bien establecida en los EE. UU., El ecosistema de empresas de piratería telefónica de terceros incluye entidades que comercializan software de piratería telefónica de acceso remoto a gobiernos de todo el mundo. Quizás el ejemplo más notorio es el Grupo NSO con sede en Israel, cuyo software Pegasus ha sido utilizado por gobiernos extranjeros contra disidentes, periodistas, abogados y activistas de derechos humanos. El brazo estadounidense de la compañía ha intentado comercializar Pegasus en el país a los departamentos de policía estadounidenses con otro nombre. ¿Qué proveedores externos están proporcionando soluciones de piratería telefónica al FBI y a qué precio?
Finalmente, ¿quién más además del FBI será el beneficiario de la técnica que funcionó en los teléfonos Pensacola? ¿El FBI comparte las herramientas del proveedor que compra, o las suyas propias, con otras agencias (federales, estatales, tribales o locales)? ¿Qué herramientas, qué agencias y para qué tipo de casos? Incluso si no comparte las técnicas directamente, ¿las usará para desbloquear teléfonos para otras agencias, como lo hizo para un fiscal estatal poco después de comprar el exploit para el iPhone de San Bernardino?
Tenemos poca idea de las respuestas a cualquiera de estas preguntas, porque las capacidades del FBI son un secreto muy guardado. No se nos permite saber qué avances y avances ha logrado, y qué proveedores ha pagado, nosotros (que proporcionamos los dólares de los contribuyentes para financiar este trabajo). Y la agencia se niega a responder preguntas sobre el impacto del cifrado en sus investigaciones, incluso de miembros del Congreso, que pueden estar al tanto de la información confidencial negada al público en general.
La única información pública que sale de la caja negra de hackeo telefónico del FBI es nada como la reciente conferencia de prensa. En un evento sobre las capacidades de piratería telefónica del FBI, el Director Wray y AG Barr lograron desviar la atención de la prensa hacia Apple, esquivando cualquier pregunta difícil, como lo que significan las habilidades del FBI para la privacidad de los estadounidenses, las libertades civiles y la seguridad de los datos, o incluso preguntas básicas como cuánto cuesta la operación de descifrado telefónico de Pensacola.
Como lo demostró el reciente espectáculo de relaciones públicas, una conferencia de prensa no es descuidada. Y en lugar de ejercer su poder de supervisión, exigir más transparencia o exigir un análisis contable y de costo / beneficio de los gastos de piratería telefónica del FBI, en lugar de exigir una respuesta directa y concluyente a la eterna pregunta de si, a la luz de la agencia continuamente -que implican capacidades, realmente existe la necesidad de obligar a los fabricantes de teléfonos inteligentes a debilitar el cifrado de sus dispositivos: el Congreso está elaborando una legislación peligrosa como la Ley EARN IT, que corre el riesgo de socavar el cifrado justo cuando una población obligada por COVID-19 a hacer todo en línea desde casa menos puede permitírselo.
El mejor–Ahora el caso es que la agencia federal que demostró su falta de confianza al mentirle al Tribunal de Vigilancia de Inteligencia Extranjera puede atacar nuestros teléfonos inteligentes, pero tal vez no todos; que tal vez no está compartiendo sus juguetes con los departamentos de policía estatales y locales (que abundan en abusadores domésticos a quienes les encantaría tener acceso a los teléfonos de sus víctimas); que a diferencia de los dispositivos de terceros, quizás las herramientas del FBI no terminen en eBay, donde los delincuentes pueden comprarlas; y con suerte no ha pagado dinero a los contribuyentes a la compañía de software espía cuyo cliente gubernamental más conocido asesinó y desmembró a un periodista.
El peor de los casos sería que, entre las herramientas internas y de terceros, casi cualquier agencia de aplicación de la ley ahora puede descifrar de manera confiable los teléfonos de todos, y sin embargo, este es el año en que finalmente obtienen su victoria legislativa sobre cifrado de todos modos. No puedo esperar para ver qué más tiene 2020 en la tienda.
Source link