Polisen ser ett krypteringsproblem. Spionprogramtillverkare ser en möjlighet.

Trump-administrationen driver återigen på för att få tillgång till krypterad data. Men vissa underrättelseföretag säljer en smygare väg runt skydd. 10 december 2019 mobiltorn

mobiltorn Unsplash





  • Den amerikanska senaten är inställd på en ny utfrågning om kryptering
  • Den stora frågan: Finns det ny lagstiftning som kräver kryptering av bakdörrar?
  • Möt det israeliska företaget som säljer ett verktyg för att trycka bort människor från krypterade tjänster

Anta att du är en polis som vill avlyssna ett krypterat telefonsamtal, den typ av samtal miljarder människor gör hela tiden på WhatsApp. Gammaldags telefonavlyssningar fungerar inte, eftersom tekniken som ligger till grund för kryptering garanterar att du inte får någonting. Du kan försöka hacka ett måls telefon och lyssna - men det är ofta ett svårt och dyrt förslag. Eller så kan du lagligen kräva att företaget bakom tjänsten tillåter brottsbekämpning ett sätt att se den krypterade informationen, men det kan innebära en lång och dyr juridisk strid.

Detta långa krig mellan brottsbekämpande myndigheter och teknikindustrin kommer att fortsätta när den amerikanska senaten öppnar en utfrågning om datakryptering på tisdag morgon.

Senatens rättsutskott, som leds av republikanen Lindsey Graham, kommer att hålla utfrågningen, som kommer att behandla teknik som skyddar allt från WhatsApp-kommunikation till data på din iPhone. Apples och Facebooks integritetshanterare kommer att vara bland dem som vittnar bredvid en av den amerikanska regeringens mest högljudda kritiker av kryptering, Manhattan distriktsåklagare Cy Vance. Trump-administrationen har regelbundet kritiserat användningen av kryptografi, och i juli efterlyste justitieminister William Barr laglig åtkomst och kryptering bakdörrar som skulle tillåta tjänstemän att se krypterad privat data.



Motståndare säger att dessa försvagar internetsäkerhet och integritet över hela linjen, men det har förekommit påtryckningar från båda parter i kongressen för att utöka åtkomsten till krypterad data. För flera år sedan främjade kommitténs vice ordförande, demokraten Dianne Feinstein, en kontroversiellt lagförslag om mandat till regeringens tillgång . Det lagförslaget slutade med att gå ingenstans, men den största frågan som leder till tisdagens utfrågning är om ett nytt tvådelat lagförslag kommer att dyka upp - och i så fall om det kan få stöd av Vita huset.

Men även om den här utfrågningen är det senaste kapitlet i den decennier långa konflikten mellan regeringen och teknikindustrin, använder vissa företag olika taktiker för att få tillgång till krypterad data – och de säljer den till brottsbekämpande och underrättelsemyndigheter.

Olika taktiker

För tio år sedan var kryptering – som använder matematik för att göra data oläsbar förutom av den avsedda mottagaren – sällsynt för vanliga användare. Idag skyddar den webbsurfning, textmeddelanden och telefonsamtal för miljarder människor runt om i världen. Det skyddet gäller lika för demokratiskt valda politiker och människorättsaktivister men också för terrorister och spioner, vilket länge har drivit regeringar att försöka tränga igenom kryptering med både juridiska och tekniska medel.



Jag träffade nyligen Ithai Kenan, vicepresident för ett israeliskt underrättelseföretag som heter Picsix, vid Milipols säkerhetskonferens i Paris. Picsix består av israeliska underrättelseveteraner och är ett decennium gammalt företag som är specialiserat på dataavlyssning som ett sätt att lösa krypteringsproblemet. (Dess namn är en nick till amerikansk fotboll och återspeglas i företagets slogan: The perfect interception.)

picsix avlyssning marknadsföring Israel

Picsix företagsprofil delas ut till potentiella kunder.

Kenan sålde företagets senaste produkt, ett dataavlyssnings- och manipuleringsverktyg känt som P6-FI5. Enheten fungerar med GSM-, 3G- och 4G-mobilavlyssning – vilket innebär att den kan avlyssna och kontrollera både telefonsamtal och data – och kan miniatyriseras för att bäras i ryggsäckar eller fordon.



Picsix verktyg skapar ett falskt mobiltorn som kan lura ett måls telefon att överföra data till den. Enheten kan inte läsa krypterad data, utan försöker istället en annan taktik för att få privat information: gör krypterade appar problematiska eller till och med helt oanvändbara. Det är ett subtilt men starkt sätt att skjuta ett frustrerat mål bort från en privat app och mot en icke-krypterad tjänst som lätt kan avlyssnas och avlyssnas. Krypteringen i sig bryts aldrig – den görs helt enkelt oanvändbar.

Vi kan manipulera data på ett mycket selektivt sätt, sa Kenan. Vi kan göra det på ett mycket selektivt sätt så att det inte verkar som om du blir manipulerad. Vi kommer inte bara blockera WhatsApp helt. Istället låter vi dig ringa ett WhatsApp-samtal och efter 10 sekunder släpper vi det. Vi kanske låter dig ringa ett nytt samtal och om 20 sekunder släpper vi det. Efter ditt tredje misslyckade samtal, lita på mig – du kommer att ringa ett vanligt samtal och vi avlyssnar det. Det är ett smart och kostnadseffektivt sätt att gå till väga för avlyssning.

Picsix avlyssning

Picsix marknadsföringsmaterial för 2019.



Trafikformning för att kanaldata till mer fördelaktig terräng är en beprövad och pålitlig intelligenstaktik syftar till att manipulera målet till en plats där det är lättare att attackera. Detta uppnår inte samma mål som att kompromissa med ett offers telefon själv, men det kan vara lika effektivt och potentiellt ännu mer ihållande. En trojansk häst från ett företag som NSO Group kan ge dig full tillgång till telefonen till ett mål för miljoner dollar , men det förlitar sig på en sårbarhet i koden som körs på enheten: WhatsApp kan släppa en säkerhetsuppdatering i morgon som gör utnyttjandet värdelöst och pengarna bortkastade.

Picsix hävdar att även om dess verktyg inte kommer att få tillgång till krypterad data, kommer dess användbarhet inte att utplånas av en enda uppdatering heller.

Det är därför vi gillar datamanipulation, sa Kenan.

Taktiken har också kapacitet att fungera över otaliga enheter, eftersom den riktar sig mot data snarare än hårdvara. En Samsung Galaxy S10 och en iPhone 11 är två enormt olika telefoner: varje utnyttjande måste skräddarsys för det specifika målet.

På grund av hur dyra trojanska hästar är, finns det inte en tillverkare som gör trojanska hästar och som faktiskt stöder alla olika enheter och tillverkare, sa Kenan. Du kan ha programvara för Android men inte iOS. Låt oss inte ens prata om alla läckra enheter du kan hitta i Kina och Indien.

Som sagt, Picsix teknologi kan också omdirigera måldata och injicera skadlig programvara på en telefon som använder sitt falska mobiltorn. Från det ögonblicket kan de trojanska hästarna på flera miljoner dollar potentiellt användas.

Picsix intrång

Avlyssning och manipulation kanske inte räcker så Picsix P6-FI5 fungerar också som en intrångsplattform.

Den större kampen

Regeringar runt om i världen har använt verktyg som byggts av företag som NSO Group och Picsix i flera år. Det finns en hel mycket kapabel och lukrativ underrättelseindustri dedikerad till uppgiften.

Men många topptjänstemän i Washington, DC, vill inte behöva förlita sig på dessa verktyg för att komma åt data. Tidigare i år, under en säkerhetskonferens i New York City, efterlyste justitieminister Barr bakdörrar till krypterad data, och USA:s advokat Richard P. Donoghue pekade finger mot amerikanska teknikjättar.

Dessa företag marknadsför – de förnekar att de marknadsför, men de marknadsför – att de nekar tillgång till brottsbekämpning, sa Donoghue. De bör ställas till svars.

I åratal har kryptografer varnade mot bakdörrar av kryptering som en lösning som kommer att undergräva säkerhetsfördelarna med stark kryptering. Det är inte klart vad som kommer att hända i den amerikanska senaten på tisdag, men du kan förvänta dig en fram och tillbaka debatt som liknar de så kallade kryptokrigen från tidigare år.

Dölj