Yıllardır polisler ve dünyanın her yerindeki diğer hükümet yetkilileri, telefonların kilidini açmak ve içindeki verileri elde etmek için Cellebrite tarafından sağlanan telefon korsanlığı teknolojisini kullanıyor. Ve şirket, teknolojisinin kullanımını “sus hush” tutmaya hevesli.
TechCrunch’ın öğrendiğine göre, devlet kurumlarıyla yapılan anlaşmanın bir parçası olarak Cellebrite, kullanıcılardan teknolojisini – ve kullandıkları gerçeğini – gizli tutmalarını istiyor. Bu talep, Cellebrite’ın ürettiği ve sattığı gibi güçlü bir teknolojinin ve kolluk kuvvetleri tarafından nasıl kullanıldığının kamuya açıklanması ve incelenmesi gerektiğini savunan hukuk uzmanlarıyla ilgilidir.
Kolluk kuvvetleri müşterileri için TechCrunch tarafından elde edilen sızdırılmış bir eğitim videosunda, üst düzey bir Cellebrite çalışanı müşterilere “nihayetinde verileri çıkardınız, suçu çözen verilerdir, içeri nasıl girdiniz, hadi bunu korumaya çalışalım” diyor. Mümkün olduğu kadar sus.
Çalışan, “Mahkemede ifşa uygulamaları yoluyla herhangi bir tekniğin sızdırılmasını gerçekten istemiyoruz ya da bilirsiniz, en sonunda, siz kürsüde oturup tüm bu kanıtları üretirken ve telefona nasıl girdiğinizi tartışırken ifadede,” dedi. adını vermediğimiz videoda yazıyor.
Hukuk uzmanları için bu tür bir talep rahatsız edici çünkü bir yargıcın aramalara veya belirli veri ve delillerin mahkemede kullanılmasına izin vermesi için yetkililerin şeffaf olması gerekiyor. Uzmanlara göre gizlilik, sanıkların haklarına ve nihayetinde halkın haklarına zarar verir.
Stanford Üniversitesi İnternet Gözlemevi’nde araştırma görevlisi olan Riana Pfefferkorn, TechCrunch’a “Bu süper gizli ürünlerin tükürdüğü sonuçlar, mahkemede birinin bir suçtan suçlu olup olmadığını kanıtlamak için kullanılıyor” dedi. “Sanık (avukatları veya bir bilirkişi aracılığıyla), Cellebrite cihazlarının nasıl çalıştığını tam olarak anlama, inceleme ve düzgün çalışıp çalışmadığını veya sonuçları etkileyebilecek kusurlar içerip içermediğini belirleme yeteneğine sahip olmalıdır.”
Pfefferkorn, “Ve bu ürünler hakkında yeminli ifade veren hiç kimse, yalnızca bir şirketin ticari çıkarlarını korumak için bir sanığı temize çıkarmaya yardımcı olabilecek önemli bilgileri saklamamalıdır” dedi.
Yıllardır gözetleme teknolojisi üzerine çalışan bir ceza savunma avukatı olan Hanni Fakhoury, TechCrunch’a “bu şeylerin ifşa edilmesinin nedeni, savunmanın bu kanıtın nasıl yasal bir sorun olup olmadığını anlaması gerektiğidir” dedi. Elde edilen? Buna meydan okuma yeteneğim var mı?’”
Cellebrite çalışanı videoda, teknolojisinin kullanıldığını ifşa etmenin suçlulara yardımcı olabileceğini ve kolluk kuvvetlerinin hayatını zorlaştırabileceğini iddia ediyor.
Cellebrite çalışanı videoda, “Tüm bu yetenekleri mümkün olduğu kadar korumalı tutmak çok önemli, çünkü sonuçta sızıntı küresel olarak tüm kanun uygulama topluluğu için zararlı olabilir,” diyor. “Bu yeteneklere ilişkin yaygın bilginin yayılmamasını sağlamak istiyoruz. Ve eğer kötü adamlar bir cihaza nasıl girdiğimizi veya belirli bir şifreli mesajlaşma uygulamasının şifresini çözebildiğimizi öğrenirlerse, halbuki onlar üstesinden gelmesi çok, çok daha zor veya imkansız bir şeye geçebilirler. Bunu istemiyorum.”
Cellebrite sözcüsü Victor Cooper, TechCrunch’a gönderdiği bir e-postada şirketin “etik yasa uygulamalarını desteklemeye kararlı olduğunu” söyledi. Araçlarımız, gözaltı zincirine ve adli sürece azami saygı gösterilerek yasal kullanım için tasarlanmıştır.”
Sözcü, “Müşterilerimize herhangi bir yasaya, yasal gerekliliğe veya diğer adli tıp standartlarına aykırı hareket etmelerini tavsiye etmiyoruz” dedi. “Ticari sırlarımızı ve diğer özel ve gizli bilgilerimizi korumaya ve araçlarımızın kullanıcılarından bunlara saygı göstermelerini beklerken, aynı zamanda dinleyiciler tarafından uygunsuz bir şekilde yorumlanabilecek ifadeleri belirlemek amacıyla eğitimlerimizi ve diğer yayınlanmış materyalleri sürekli olarak geliştirmeye devam ediyoruz. Bu saygıya dikkatimizi çektiğiniz için teşekkür ederiz.”
Cellebrite’in verdiği eğitimin içeriğini değiştirip değiştirmeyeceği sorusuna ise sözcü yanıt vermedi.
Electronic Frontier Foundation’ın kıdemli personel avukatı Saira Hussain ve kıdemli personel teknoloji uzmanı Cooper Quintin, TechCrunch’a bir e-posta ile şunları söyledi: “Cellebrite, otoriter ülkelerin, suç gruplarının ve siber paralı askerlerin de bu savunmasız cihazları kullanabilecekleri ve suç işleyebilecekleri bir dünya yaratmaya yardımcı oluyor. , muhalefeti susturmak ve insanların mahremiyetini ihlal etmek.”
Cellebrite, müşterilerinden teknolojisini gizli tutmalarını isteyen ilk şirket değil.
Hükümet müteahhidi Harris Corporation, vatozlar olarak bilinen cep telefonu gözetleme aracını kullanmak isteyen kolluk kuvvetlerine yıllarca işaret verdi. ifşa etmeme anlaşması bazı durumlarda yetkililerin hangi araçları kullandığını ifşa etmek yerine davaların düşürülmesini öneriyordu. Bu talepler 2010’ların ortalarına kadar uzanıyor, ancak bugün hala yürürlükte.
İşte eğitim videosunun tam metni:
Bize katılabildiğin için mutluyum. Cellebrite Premium için sisteme genel bakış ve oryantasyonu kapsayan bu ilk modülü başlatmaktan mutluluk duyuyorum. Teşekkür ederim ve keyfini çıkarın.
Cellebrite Advanced Services’in dünya çapında dokuz farklı ülkede 10 laboratuvarı olduğunu biliyor muydunuz? Tüm bu kapasiteden yararlanmak için, bu eğitimi size vermek için birlikte çalışıyoruz, böylece dünyanın dört bir yanından meslektaşlarımızdan haber alacaksınız. Aşağıdaki liste bu güncel modül setini oluşturanlardır, umarım her biriyle tanışmaktan keyif alırsınız.
Başlamadan önce, Cellebrite Premium’u kullanırken uymamız gereken gizlilik ve operasyonel güvenlik endişelerini, yalnızca kendi Cellebrite Advanced Services laboratuvarlarımızda değil, özellikle de dünyanın her yerindeki kendi laboratuvarlarınızda ele almak oldukça önemlidir.
Pekala, bu yeteneğin aslında hayat kurtardığını kabul etmeliyiz. Ve çok geç kalındığı durumlarda, kurbanların ailelerinin sonunu getirmeye ve nihayetinde suçları çözmeye ve insanları parmaklıkların arkasına koymaya yardım ediyoruz. Bu nedenle, tüm bu yetenekleri mümkün olduğu kadar korumalı tutmak çok önemlidir, çünkü sonuçta sızıntı, küresel olarak tüm kanun uygulama topluluğu için zararlı olabilir.
Biraz daha ayrıntılı olarak, Cellebrite Premium’a eklenen bu yetenekler, aslında Cellebrite’in ticari sırlarıdır ve araştırma ve geliştirmeye yoğun bir şekilde yatırım yapmaya devam edebilmek için bunların uygulanabilirliğini sağlamaya devam etmek istiyoruz. bu yetenekleri küresel olarak kolluk kuvvetlerine verin. Size düşen, bu tekniklerin elinizden geldiğince en iyi şekilde korunmasını sağlamak ve bunları “kanun yaptırımlarına duyarlı” olarak değerlendirmek veya kendi ülkenizde veya kurumunuzda daha yüksek bir koruma düzeyi olarak sınıflandırmaktır.
Ve bunun nedeni, bu yeteneklere ilişkin yaygın bilginin yayılmamasını sağlamak istememizdir. Ve eğer kötü adamlar bir cihaza nasıl girdiğimizi veya belirli bir şifreli mesajlaşma uygulamasının şifresini çözebildiğimizi öğrenirlerse, üstesinden gelmeleri çok, çok daha zor veya imkansız bir şeye geçebilirler. Bunu istemiyorum.
Ayrıca telefon üreticilerinin sürekli olarak ürünlerinin güvenliğini güçlendirmeye çalıştıklarının da farkındayız. Ve meydan okuma zaten olduğu kadar zor, ama yine de gerçekten iyi atılımlar yapmaya devam ediyoruz. Lütfen bunu bizim için olduğundan daha zor hale getirme.
Ve nihayetinde, herhangi bir tekniğin ifşa uygulamaları yoluyla mahkemeye sızmasını gerçekten istemiyoruz ya da bilirsiniz, en sonunda, siz kürsüde oturup tüm bu kanıtları üretirken ve telefona nasıl girdiğinizi tartışırken ifadede. Nihayetinde verileri çıkardınız, suçu çözen verilerdir. Nasıl girdin, bunu olabildiğince gizli tutmaya çalışalım.
Ve şimdi operasyonel güvenliğe veya “opsec” e geçiyoruz. Kitle birlikte aldığınız premium sistemin ve tüm bileşenlerinin fiziksel olarak korunmasıyla başlar.
Tüm bu yeteneği yapan bu küçük parçalar ve parçalar… sihir. Bunlar son derece hassas varlıklardır ve bu cihazlarda kurcalama veya başka herhangi bir tuhaflığın kullanılmamasını sağlamak istiyoruz. Ve bazı durumlarda, bileşeni kurcalama ve devre dışı bırakma şansı vardır ve bu, gerçekten yapmak istemediğiniz bir şeydir, çünkü bu, yenisini beklerken ajansınızın yeteneğe sahip olmasını engelleyebilir.
Ek olarak, bu premium yeteneklerden herhangi birinin açığa çıkması, küresel yasa uygulama ortamı için oldukça zararlı olabilir. Bu nedenle, yüz yüze görüşmelerde, telefonda, çevrimiçi tartışma gruplarında, e-posta yoluyla – bunun gibi diğer şeylerde olsun – bilgi paylaşımı konusunda dikkatli olun, yalnızca hassas kalmaya çalışın ve herhangi bir ayrıntıya girmeyin.
Yazılı belgeler söz konusu olduğunda, mahkeme raporlarınızda çok fazla şey ifşa etmek istemezsiniz. Ancak, sıradan bir kişinin yapılanların temel kavramlarını anlayabilmesini sağlamak için kesinlikle minimum düzeyde koyun.
Premium kullandığınızdan kesinlikle bahsedin, sürümden bahsedebilirsiniz, ancak telefonla ne yaptığınızın ayrıntılarına girmeyin: ya onu manipüle etmek ya da premium’un grafik kullanıcı arayüzünde görünen her şey.
Kuruluşunuzdaki teknik işlemler ve kalite yönetimi söz konusu olduğunda, lütfen standart bir işletim prosedürü olarak bir araya getirdiğiniz herhangi bir belgenin ISO 17025 için bir dış denetçi veya Bilgi Edinme Özgürlüğü Yasası uygulayabilecek diğer kişiler tarafından görülebileceği konusunda dikkatli olun. ülkenizin hangi kanunlarında olursa olsun acentenizde talepte bulunun.
Bu yüzden tüm bunlara dikkat et. Bunu mümkün olan en iyi şekilde korumanız gerekir. Farkında olmayabileceğiniz diğer ek faktör de, cihazlardaki başarısız istismarların – eğer ağa bağlanabiliyorlarsa – eve telefon edip üreticiye cihazın saldırı altında olduğunu bildirebilmesidir. Ve yeterli bilgi ve zekayla, telefon üreticilerinin bu sihri gerçekleştirmek için ne yaptığımızı öğrenmesi mümkündür. Bu nedenle lütfen tüm talimatları takip etmek için elinizden gelenin en iyisini yapın ve bunu mümkün olan en iyi prosedürler haline getirin. [sic] ileriye gidiyor.”
Çalışmayan bir cihazdan, Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek iletişime geçebilirsiniz. TechCrunch ile SecureDrop aracılığıyla da iletişime geçebilirsiniz.