Cellebrite chiede ai poliziotti di mantenere la sua tecnologia di hacking del telefono "silenzio"

Per anni, poliziotti e altre autorità governative di tutto il mondo hanno utilizzato la tecnologia di hacking dei telefoni fornita da Cellebrite per sbloccare i telefoni e ottenere i dati all'interno.
E la società ha voluto mantenere l'uso della sua tecnologia "silenzio".
Nell'ambito dell'accordo con le agenzie governative, Cellebrite chiede agli utenti di mantenere segreta la sua tecnologia e il fatto che l'abbiano utilizzata, ha appreso TechCrunch.
Questa richiesta riguarda esperti legali che sostengono che una tecnologia potente come quella che Cellebrite costruisce e vende, e il modo in cui viene utilizzata dalle forze dell'ordine, dovrebbe essere pubblica e controllata.
In un video di formazione trapelato per i clienti delle forze dell'ordine che è stato ottenuto da TechCrunch, un dipendente senior di Cellebrite dice ai clienti che "alla fine, hai estratto i dati, sono i dati che risolvono il crimine, come sei entrato, proviamo a mantenerlo il più silenzioso possibile.
"Non vogliamo davvero che alcuna tecnica trapeli in tribunale attraverso pratiche di divulgazione, o sai, alla fine in una testimonianza, quando sei seduto sul banco dei testimoni, producendo tutte queste prove e discutendo di come sei arrivato al telefono", l'impiegato, chi non chiamiamo, dice nel video.
Per gli esperti legali, questo tipo di richiesta è preoccupante perché le autorità devono essere trasparenti affinché un giudice possa autorizzare le perquisizioni o l'uso di determinati dati e prove in tribunale.
La segretezza, sostengono gli esperti, danneggia i diritti degli imputati e, in ultima analisi, i diritti del pubblico.
"I risultati che questi prodotti super-segreti sputano vengono utilizzati in tribunale per cercare di dimostrare se qualcuno è colpevole di un crimine", ha detto a TechCrunch Riana Pfefferkorn, ricercatrice presso l'Osservatorio Internet della Stanford University.
"L'accusato (tramite i propri avvocati o tramite un esperto) deve avere la capacità di comprendere appieno come funzionano i dispositivi Cellebrite, esaminarli e determinare se hanno funzionato correttamente o contenevano difetti che potrebbero aver influito sui risultati".
"E chiunque testimoni su quei prodotti sotto giuramento non deve nascondere informazioni importanti che potrebbero aiutare a scagionare un imputato criminale solo per proteggere gli interessi commerciali di qualche azienda", ha affermato Pfefferkorn.
Hanni Fakhoury, un avvocato della difesa penale che ha studiato per anni la tecnologia di sorveglianza, ha detto a TechCrunch che "il motivo per cui quella roba deve essere divulgata, è che la difesa deve essere in grado di capire 'c'era un problema legale nel modo in cui questa prova è stata ottenuto? Ho la capacità di contestarlo?'” Il dipendente di Cellebrite afferma nel video che rivelare l'uso della sua tecnologia potrebbe aiutare i criminali e rendere più difficile la vita delle forze dell'ordine.
"È estremamente importante mantenere tutte queste funzionalità il più protette possibile, perché alla fine le perdite possono essere dannose per l'intera comunità delle forze dell'ordine a livello globale", afferma il dipendente di Cellebrite nel video.
“Vogliamo garantire che la conoscenza diffusa di queste capacità non si diffonda.
E se i malintenzionati scoprono come stiamo entrando in un dispositivo o che siamo in grado di decrittografare una particolare app di messaggistica crittografata, mentre potrebbero passare a qualcosa di molto, molto più difficile o impossibile da superare, sicuramente non non lo voglio.
Il portavoce di Cellebrite, Victor Cooper, ha dichiarato in una e-mail a TechCrunch che la società “si impegna a sostenere l'applicazione della legge etica.
I nostri strumenti sono progettati per un uso lecito, nel massimo rispetto della catena di custodia e del processo giudiziario”.
"Non consigliamo ai nostri clienti di agire in violazione di alcuna legge, requisiti legali o altri standard forensi", ha affermato il portavoce.
“Mentre continuiamo a proteggere e ci aspettiamo che gli utenti dei nostri strumenti rispettino i nostri segreti commerciali e altre informazioni proprietarie e riservate, continuiamo anche costantemente a sviluppare la nostra formazione e altri materiali pubblicati allo scopo di identificare dichiarazioni che potrebbero essere interpretate in modo improprio dagli ascoltatori e in questo rispetto, ti ringraziamo per aver portato questo alla nostra attenzione.
Alla domanda se Cellebrite cambierebbe il contenuto della sua formazione, il portavoce non ha risposto.
L'avvocato del personale senior della Electronic Frontier Foundation Saira Hussain e il tecnologo del personale senior Cooper Quintin hanno dichiarato a TechCrunch in una e-mail che "Cellebrite sta contribuendo a creare un mondo in cui anche i paesi autoritari, i gruppi criminali e i cyber-mercenari sono in grado di sfruttare questi dispositivi vulnerabili e commettere crimini , mettere a tacere l'opposizione e invadere la privacy delle persone".
Cellebrite non è la prima azienda che chiede ai propri clienti di mantenere segreta la propria tecnologia.
Per anni, l'appaltatore governativo Harris Corporation ha fatto firmare alle forze dell'ordine che desideravano utilizzare il suo strumento di sorveglianza dei cellulari, noto come razze, un accordo di non divulgazione che in alcuni casi suggeriva di archiviare i casi piuttosto che rivelare quali strumenti utilizzassero le autorità.
Queste richieste risalgono alla metà degli anni 2010, ma sono ancora in vigore oggi.
Ecco la trascrizione completa del video di formazione: Sono felice che tu possa unirti a noi.
E sono felice di dare il via a questo modulo iniziale che copre la panoramica del sistema e l'orientamento per Cellebrite Premium.
Grazie e buon divertimento.
Sapevi che Cellebrite Advanced Services ha 10 laboratori in nove paesi diversi in tutto il mondo? Bene, al fine di sfruttare tutta questa capacità, stiamo lavorando insieme per fornirti questa formazione, quindi ascolterai colleghi di tutto il mondo.
L'elenco che segue sono quelli che compongono questo set di moduli attuale, spero che ti piaccia incontrarli ciascuno.
Prima di iniziare, è piuttosto importante esaminare i problemi di riservatezza e sicurezza operativa che dobbiamo rispettare utilizzando Cellebrite Premium, non solo noi stessi nei nostri laboratori Cellebrite Advanced Services, ma soprattutto voi nei vostri laboratori in tutto il mondo.
Bene, dobbiamo riconoscere che questa capacità sta effettivamente salvando vite umane.
E in situazioni in cui è troppo tardi, aiutiamo a portare alla chiusura le famiglie delle vittime e, in ultima analisi, a risolvere i crimini e a mettere le persone dietro le sbarre.
Quindi, è estremamente importante mantenere tutte queste funzionalità il più protette possibile, perché in ultima analisi, le perdite possono essere dannose per l'intera comunità delle forze dell'ordine a livello globale.
Più in dettaglio, queste funzionalità inserite in Cellebrite Premium sono in realtà segreti commerciali di Cellebrite e vogliamo continuare a garantirne la fattibilità in modo da poter continuare a investire pesantemente in ricerca e sviluppo, in modo da poter dare queste capacità alle forze dell'ordine a livello globale.
La tua parte è garantire che queste tecniche siano protette nel miglior modo possibile e considerarle come "sensibili alle forze dell'ordine" o classificarle a un livello di protezione più elevato nel tuo singolo paese o agenzia.
E il motivo è perché vogliamo garantire che la conoscenza diffusa di queste capacità non si diffonda.
E, se i malintenzionati scoprono come stiamo entrando in un dispositivo o che siamo in grado di decrittografare una particolare app di messaggistica crittografata, mentre potrebbero passare a qualcosa di molto, molto più difficile o impossibile da superare.
non lo voglio.
Siamo anche consapevoli del fatto che i produttori di telefoni cercano continuamente di rafforzare la sicurezza dei loro prodotti.
E la sfida è già così difficile così com'è, ma continuiamo comunque ad avere davvero buoni progressi.
Per favore, non renderci più difficile di quanto non lo sia già.
E alla fine, non vogliamo davvero che alcuna tecnica trapeli in tribunale attraverso pratiche di divulgazione, o sai, in ultima analisi, in una testimonianza, quando sei seduto sul banco dei testimoni, producendo tutte queste prove e discutendo su come sei arrivato al telefono.
Alla fine, hai estratto i dati, sono i dati che risolvono il crimine.
Come sei entrato, cerchiamo di mantenerlo il più segreto possibile.
E ora passiamo alla sicurezza operativa o "opsec".
Inizia con la protezione fisica del sistema premium e di tutti i suoi componenti che hai ricevuto nel kit.
Questi piccoli pezzi che rendono tutta questa capacità…
magica.
Sono beni altamente sensibili e vogliamo assicurarci che su questi dispositivi non vengano utilizzate manomissioni o altre curiosità.
E in alcuni casi, c'è la possibilità di manomettere e disabilitare il componente, e questo è qualcosa che davvero non vuoi fare, perché potrebbe impedire alla tua agenzia di avere la capacità mentre aspetti una sostituzione.
Inoltre, l'esposizione di una qualsiasi di queste funzionalità premium potrebbe essere piuttosto dannosa per l'ambiente delle forze dell'ordine globali.
Quindi, fai attenzione alla condivisione delle informazioni, sia che si tratti di conversazioni faccia a faccia, al telefono, nei gruppi di discussione online, via e-mail – altre cose del genere – cerca solo di mantenere la riservatezza e non entrare nei dettagli.
Quando si tratta di documentazione scritta, ovviamente, non vuoi rivelare troppo nelle tue relazioni giudiziarie.
Ma mettere sicuramente il minimo indispensabile per far sì che un profano possa comprendere i concetti basilari di quanto fatto.
Menziona certamente che hai utilizzato Premium, puoi menzionare la versione, ma non entrare nei dettagli di ciò che hai fatto con il telefono: o manipolarlo o qualunque cosa appaia sull'interfaccia utente grafica di premium stesso.
E quando si tratta di operazioni tecniche e gestione della qualità all'interno della tua organizzazione, fai attenzione che qualsiasi documento che metti insieme come procedura operativa standard potrebbe essere visibile da un revisore esterno per ISO 17025 o altre persone che potrebbero fare un Freedom of Information Act richiedere nella vostra agenzia in qualsiasi legge del vostro paese.
Quindi fai solo attenzione a tutto ciò.
Devi proteggerlo nel miglior modo possibile.
E l'altro fattore aggiuntivo di cui potresti non essere a conoscenza è che gli exploit falliti sui dispositivi, se sono in grado di connettersi alla rete, potrebbero telefonare a casa e informare il produttore che il dispositivo è sotto attacco.
E con sufficiente conoscenza e intelligenza, è possibile che i produttori di telefoni possano scoprire cosa stiamo facendo per realizzare questa magia.
Quindi, per favore, fai del tuo meglio per seguire tutte le istruzioni e rendere queste le migliori procedure possibili [sic] per il futuro".
Da un dispositivo non funzionante, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Signal al numero +1 917 257 1382, o tramite Telegram e Wire @lorenzofb, o e-mail lorenzo@techcrunch.com.
Puoi anche contattare TechCrunch tramite SecureDrop.