De politie ziet een encryptieprobleem. Spywaremakers zien een kans.

De regering-Trump dringt opnieuw aan op toegang tot versleutelde gegevens. Maar sommige inlichtingenbedrijven verkopen een geniepiger route rond bescherming. 10 december 2019 zendmast

zendmast Unsplash





  • De Amerikaanse Senaat is klaar voor een nieuwe hoorzitting over encryptie
  • De grote vraag: is er nieuwe wetgeving die achterdeurtjes voor encryptie verplicht stelt?
  • Maak kennis met het Israëlische bedrijf dat een tool verkoopt om mensen van versleutelde diensten af ​​te houden

Stel dat je een agent bent die een versleuteld telefoongesprek wil afluisteren, het soort telefoontje dat miljarden mensen de hele tijd op WhatsApp plegen. Ouderwetse afluisteren werken niet, omdat de technologie die aan de versleuteling ten grondslag ligt, garandeert dat u niets krijgt. Je zou kunnen proberen de telefoon van een doelwit te hacken en mee te luisteren, maar dat is vaak een moeilijk en duur voorstel. Of u kunt wettelijk eisen dat het bedrijf achter de dienst wetshandhavers een manier geeft om de versleutelde gegevens te zien, maar dat kan een lange en dure juridische strijd betekenen.

Deze lange oorlog tussen wetshandhavers en de technologie-industrie zal doorgaan wanneer de Amerikaanse Senaat dinsdagochtend een hoorzitting opent over gegevensversleuteling.

De Senate Judiciary Committee, voorgezeten door de Republikeinse Lindsey Graham, zal de hoorzitting houden, die zal gaan over technologie die alles beschermt, van WhatsApp-communicatie tot de gegevens op je iPhone. De privacymanagers van Apple en Facebook zullen een van degenen zijn die getuigen naast een van de meest uitgesproken critici van encryptie van de Amerikaanse regering, officier van justitie Cy Vance van Manhattan. De regering-Trump heeft regelmatig kritiek geuit op het gebruik van cryptografie, en in juli riep procureur-generaal William Barr op tot legale toegang en encryptie-achterdeuren waardoor ambtenaren versleutelde privégegevens zouden kunnen zien.



Tegenstanders zeggen dat deze de internetbeveiliging en privacy over de hele linie verzwakken, maar beide partijen in het Congres hebben druk uitgeoefend om de toegang tot versleutelde gegevens uit te breiden. Enkele jaren geleden promootte de vicevoorzitter van de commissie, Democraat Dianne Feinstein, een controversieel wetsvoorstel om toegang van de overheid te verplichten . Dat wetsvoorstel ging uiteindelijk nergens heen, maar de grootste vraag die leidde tot de hoorzitting van dinsdag is of er een nieuw tweeledig wetsvoorstel zal komen - en zo ja, of het de steun van het Witte Huis kan krijgen.

Maar hoewel deze hoorzitting het laatste hoofdstuk is in het decennialange conflict tussen de overheid en de technologie-industrie, gebruiken sommige bedrijven verschillende tactieken om toegang te krijgen tot versleutelde gegevens - en ze verkopen deze aan wetshandhavings- en inlichtingendiensten.

Verschillende tactieken

Tien jaar geleden was codering, waarbij wiskunde wordt gebruikt om gegevens onleesbaar te maken, behalve voor de beoogde ontvanger, zeldzaam voor gewone gebruikers. Tegenwoordig beschermt het het surfen op het web, sms-berichten en telefoontjes van miljarden mensen over de hele wereld. Die bescherming geldt in gelijke mate voor democratisch gekozen politici en mensenrechtenactivisten, maar ook voor terroristen en spionnen, die regeringen er al lang toe hebben aangezet om encryptie te doorbreken met zowel juridische als technische middelen.



Ik ontmoette onlangs Ithai Kenan, vice-president van een Israëlisch inlichtingenbedrijf genaamd Picsix, op de veiligheidsconferentie van Milipol in Parijs. Picsix, bestaande uit Israëlische inlichtingenveteranen, is een tien jaar oud bedrijf dat gespecialiseerd is in het onderscheppen van gegevens als een manier om het coderingsprobleem op te lossen. (De naam is een knipoog naar American football en wordt weerspiegeld in de slogan van het bedrijf: The perfect interception.)

picsix onderschepping marketing Israël

Het bedrijfsprofiel van Picsix werd uitgedeeld aan potentiële klanten.

Kenan verkocht het nieuwste product van het bedrijf, een hulpmiddel voor het onderscheppen en manipuleren van gegevens, bekend als P6-FI5. Het apparaat werkt op gsm-, 3G- en 4G- onderschepping van mobiele telefonie - wat betekent dat het zowel telefoongesprekken als gegevens kan onderscheppen en controleren - en kan worden geminiaturiseerd om in rugzakken of voertuigen te worden vervoerd.



De tool van Picsix maakt een nep-zendmast die de telefoon van een doelwit kan misleiden om er gegevens naar te verzenden. Het apparaat kan geen versleutelde gegevens lezen, maar probeert in plaats daarvan een andere tactiek om privé-informatie te krijgen: versleutelde apps glitchen of zelfs totaal onbruikbaar maken. Het is een subtiele maar krachtige manier om een ​​gefrustreerd doelwit weg te duwen van een privé-app naar een niet-gecodeerde service die gemakkelijk kan worden onderschept en afgeluisterd. De codering zelf wordt nooit verbroken - deze wordt eenvoudig onbruikbaar gemaakt.

We kunnen gegevens op een zeer selectieve manier manipuleren, zei Kenan. We kunnen het op een zeer selectieve manier doen, zodat het niet lijkt alsof je gemanipuleerd wordt. We zullen WhatsApp niet zomaar helemaal blokkeren. In plaats daarvan laten we je een WhatsApp-gesprek voeren, en 10 seconden later laten we het vallen. Misschien laten we je nog een keer bellen, en in 20 seconden laten we het vallen. Na je derde mislukte oproep, geloof me - je zult een normale oproep doen en we zullen hem onderscheppen. Het is een slimme en kosteneffectieve manier om onderschepping aan te pakken.

Picsix onderschepping

Picsix' marketingmateriaal voor 2019.



Verkeersvorming om gegevens naar gunstiger terrein te leiden, is een beproefde en vertrouwde inlichtingentactiek gericht op het manipuleren van het doelwit naar een plaats waar het gemakkelijker aan te vallen is. Hiermee worden niet dezelfde doelen bereikt als het compromitteren van de telefoon van een slachtoffer zelf, maar het kan even effectief en mogelijk zelfs hardnekkiger zijn. Een Trojaans paard van een bedrijf als NSO Group kan u volledige toegang geven tot de telefoon van een doelwit voor: miljoenen dollars , maar het vertrouwt op een kwetsbaarheid in de code die op het apparaat draait: WhatsApp zou morgen een beveiligingsupdate kunnen uitbrengen die de exploit onbruikbaar maakt en het geld verspild.

Picsix stelt dat hoewel zijn tool geen toegang krijgt tot de versleutelde gegevens, het nut ervan ook niet door een enkele update zal worden weggevaagd.

Daarom houden we van gegevensmanipulatie, zei Kenan.

De tactiek heeft ook de capaciteit om op talloze apparaten te werken, omdat het zich richt op de gegevens in plaats van op de hardware. Een Samsung Galaxy S10 en een iPhone 11 zijn twee enorm verschillende telefoons: elke exploit moet worden afgestemd op dat specifieke doelwit.

Vanwege hoe duur Trojaanse paarden zijn, is er niet één fabrikant die Trojaanse paarden gebruikt en alle verschillende apparaten en fabrikanten ondersteunt, zei Kenan. Mogelijk hebt u software voor Android, maar niet voor iOS. Laten we het niet eens hebben over alle funky apparaten die je in China en India kunt vinden.

Dat gezegd hebbende, kan de technologie van Picsix ook doelgegevens omleiden en malware injecteren op een telefoon die zijn nep-zendmast gebruikt. Vanaf dat moment kunnen die Trojaanse paarden van miljoenen dollars mogelijk worden ingezet.

Picsix-inbraak

Onderschepping en manipulatie zijn misschien niet genoeg, dus de P6-FI5 van Picsix werkt ook als een inbraaksoftwareplatform.

De grotere strijd

Overheden over de hele wereld gebruiken al jaren de tools die zijn gebouwd door bedrijven als NSO Group en Picsix. Er is een hele, zeer capabele en lucratieve inlichtingenindustrie die zich met deze taak bezighoudt.

Maar veel topfunctionarissen in Washington, DC, willen niet afhankelijk zijn van deze tools om toegang te krijgen tot gegevens. Eerder dit jaar riep procureur-generaal Barr tijdens een veiligheidsconferentie in New York City op tot achterdeuren naar versleutelde gegevens, en de Amerikaanse procureur Richard P. Donoghue wees met zijn vinger naar Amerikaanse techgiganten.

Deze bedrijven zijn marketing - ze ontkennen dat ze marketing doen, maar ze zijn marketing - dat ze de toegang tot wetshandhaving ontzeggen, zei Donoghue. Ze moeten ter verantwoording worden geroepen.

Jarenlang hebben cryptografen waarschuwde tegen achterdeurtjes van encryptie als een oplossing die de veiligheidsvoordelen van sterke encryptie ondermijnt. Het is niet duidelijk wat er dinsdag in de Amerikaanse Senaat zal gebeuren, maar je kunt een heen-en-weer debat verwachten dat veel lijkt op de zogenaamde crypto-oorlogen van de afgelopen jaren.

zich verstoppen