1 pontos por GN⁺ 2023-08-21 | 1 comentários | Compartilhar no WhatsApp
  • A Cellebrite vem fornecendo tecnologia de invasão de celulares usada por órgãos de investigação no mundo todo para desbloquear telefones e obter dados, e pediu a seus clientes que tratem a tecnologia e seu uso com discrição
  • Em um vídeo de treinamento vazado para órgãos de aplicação da lei, um funcionário disse que a empresa quer evitar situações em que as técnicas de acesso sejam reveladas por meio de procedimentos de divulgação em juízo ou depoimentos
  • Especialistas jurídicos afirmam que esse sigilo enfraquece a transparência do processo penal, ao obscurecer autorizações de busca, admissão de provas e a possibilidade de contestação pelos réus
  • A Cellebrite respondeu que suas ferramentas foram projetadas para uso legal, cadeia de custódia de provas e respeito ao processo judicial, mas não respondeu se alterou o conteúdo do treinamento
  • Como no precedente dos acordos de confidencialidade da Harris Corporation sobre stingrays, tecnologias investigativas poderosas colocam a proteção de segredos comerciais em choque direto com a necessidade de escrutínio judicial

Pedido de sigilo em vídeo de treinamento da Cellebrite

  • A tecnologia da Cellebrite tem sido usada por polícias e agências governamentais para desbloquear celulares e obter os dados armazenados neles
  • A empresa pede a clientes governamentais que mantenham sua tecnologia e o fato de seu uso em sigilo
  • Em um vídeo de treinamento vazado para clientes de órgãos de aplicação da lei, a confidencialidade e a segurança operacional são enfatizadas antes do uso do Cellebrite Premium
    • A Cellebrite Advanced Services é apresentada como tendo 10 laboratórios em 9 países ao redor do mundo
    • O recurso Premium é descrito como um segredo comercial da Cellebrite e algo que precisa ser protegido para que os órgãos de aplicação da lei possam continuar a utilizá-lo
    • A empresa pede aos clientes que tratem essas técnicas como “law enforcement sensitive” ou que as classifiquem em um nível de proteção mais alto, conforme os critérios de cada país ou órgão

Onde a empresa tenta evitar divulgação em juízo e depoimentos

  • O ponto central do vídeo de treinamento é impedir que técnicas técnicas sejam reveladas no tribunal
    • A explicação segue a ideia de que “no fim, os dados foram extraídos, e são esses dados que resolvem o crime”
    • O funcionário diz para manter “como entramos” o mais hush hush possível
    • Ele afirma que a empresa não quer que a tecnologia vaze durante discussões sobre o método de acesso ao celular em procedimentos de divulgação judicial ou depoimentos
  • A orientação também é restringir a documentação ao mínimo
    • Em relatórios judiciais, a empresa recomenda incluir apenas as informações mínimas necessárias para que uma pessoa comum entenda o conceito básico
    • O uso do Premium e sua versão podem ser mencionados, mas não se deve escrever sobre as ações realizadas no celular nem sobre detalhes exibidos na interface gráfica de usuário do Premium
  • O vídeo também alerta que documentos de procedimentos operacionais padrão podem ser alvo de auditorias externas ou pedidos de acesso à informação
    • Auditorias externas ISO 17025
    • Pedidos com base no Freedom of Information Act, conforme as leis de cada órgão e país

Riscos processuais vistos por especialistas jurídicos

  • Especialistas jurídicos afirmam que tecnologias poderosas como as da Cellebrite e a forma como são usadas por órgãos de aplicação da lei precisam poder ser divulgadas e verificadas
  • Riana Pfefferkorn, do Stanford University Internet Observatory, observa que os resultados desses produtos são usados em julgamentos criminais para comprovar culpa ou inocência
    • A defesa deve poder entender e examinar, por meio de advogados ou especialistas, como os dispositivos da Cellebrite funcionam
    • Deve ser possível determinar se o dispositivo funcionou corretamente e se havia falhas que poderiam afetar os resultados
    • Uma pessoa que depõe sob juramento não deve ocultar informações importantes que possam favorecer o réu para proteger os interesses comerciais da empresa
  • O advogado criminalista Hanni Fakhoury afirma que o modo como a prova foi obtida precisa ser divulgado para que a defesa possa avaliar se houve problemas legais e se é possível contestar essa prova
  • O sigilo pode enfraquecer a transparência no processo em que juízes autorizam buscas ou permitem o uso de determinados dados e provas em tribunal

As razões da Cellebrite e sua resposta oficial

  • No vídeo de treinamento, o funcionário explica que, se os recursos vazarem, isso pode prejudicar órgãos de aplicação da lei no mundo todo
    • Ele diz que, se criminosos souberem como os dispositivos são acessados ou que determinados aplicativos de mensagens criptografadas podem ser descriptografados, poderão migrar para métodos mais difíceis ou impossíveis de acessar
    • Ele afirma que os fabricantes de celulares continuam fortalecendo a segurança dos produtos, o que já torna o desafio difícil atualmente
    • Segundo ele, se um exploit malsucedido se conectar à rede, isso pode enviar ao fabricante um sinal de que o dispositivo está sendo atacado
    • Ele alerta que, se informações suficientes forem reunidas, o fabricante poderá descobrir a abordagem da Cellebrite
  • Victor Cooper, porta-voz da Cellebrite, respondeu que a empresa está comprometida em apoiar uma aplicação ética da lei
    • Ele afirmou que as ferramentas foram projetadas para uso legal, cadeia de custódia de provas e respeito ao processo judicial
    • Disse que a empresa não orienta clientes a violar nenhuma lei, requisito legal ou padrão forense
    • Afirmou que a empresa protege segredos comerciais e informações proprietárias e confidenciais, e espera que os clientes também os respeitem
    • Disse que a empresa continua desenvolvendo materiais de treinamento e materiais públicos para identificar formulações que possam ser interpretadas de forma inadequada
  • A empresa não respondeu à pergunta sobre se alterou o conteúdo do treinamento

Precedentes de sigilo em outras tecnologias de vigilância

  • Saira Hussain e Cooper Quintin, da Electronic Frontier Foundation, afirmam que a Cellebrite contribui para criar um mundo em que dispositivos vulneráveis podem ser explorados
    • Estados autoritários
    • Grupos criminosos
    • Mercenários cibernéticos
    • Eles temem que esses atores possam cometer crimes, silenciar dissidências e violar a privacidade das pessoas
  • A Cellebrite não é a primeira empresa a pedir que clientes mantenham sua tecnologia em sigilo
  • A Harris Corporation tem exigido acordos de confidencialidade de órgãos de aplicação da lei que querem usar ferramentas de vigilância de celulares conhecidas como stingrays
    • Em alguns casos, os pedidos incluíam a ideia de que as autoridades deveriam abandonar processos em vez de revelar a ferramenta usada
    • Esses pedidos remontam a meados da década de 2010, e alguns ainda continuam em vigor
  • Tecnologias de hacking e vigilância para órgãos de investigação podem ser mantidas ocultas por razões de segredo comercial e segurança operacional, mas, no tribunal, deve ser possível contestar a forma como as provas foram obtidas e sua confiabilidade

1 comentários

 
GN⁺ 2023-08-21
Comentários do Hacker News
  • Se eu fosse advogado de defesa, acho que investigaria a fundo se a promotoria está simplesmente pedindo para acreditar que uma “empresa de hacking” como a Cellebrite fez a perícia corretamente
    Eu tentaria abalar a reputação da Cellebrite para tornar difícil confiar em todas as provas geradas pela ferramenta

    • O tribunal não é um fórum de debate científico, então isso pode não funcionar tão bem quanto se imagina
      Coisas próximas de pseudociência, como perícia de incêndios, análise de marcas de mordida, boa parte das análises baseadas em DNA, balística de armas de fogo, polígrafo, testes de sobriedade em campo e até certificações de “especialista em identificação de drogas”, já foram usadas em condenações reais
      Colocar no banco das testemunhas alguém com PhD depois do nome, jaleco branco ou uma certificação que pareça convincente costuma funcionar bem para a promotoria
    • Algo parecido acontece com frequência também em provas de DNA
      A promotoria apresenta um relatório gerado por software proprietário, e um funcionário da empresa testemunha que o resultado está correto e que a probabilidade de falso positivo é de 1 em 10 bilhões
      Quando a defesa pede acesso ao código-fonte para verificar essa alegação, a empresa diz que é segredo comercial, e o juiz não permite o acesso, mas também não exclui a prova
    • A munição necessária para a parte final está toda aqui: https://signal.org/blog/cellebrite-vulnerabilities/
    • Na prática isso é feito, mas custa caro
      Em um julgamento de que participei como jurado, a defesa destruiu completamente a testemunha especialista de uma empresa de câmeras de avanço de sinal
      A polícia tinha emendado 10 a 12 vídeos de várias câmeras com horários diferentes usando o horário celular/GPS das câmeras; quando os horários foram impugnados, o caso inteiro desmoronou e a acusação de homicídio culposo contra o cliente foi rejeitada
    • Em geral, advogados de defesa que já usaram o software da Cellebrite não são inerentemente contra ele
      Na maioria dos casos, o conteúdo das mensagens e os timestamps são o ponto central, e isso pode ser verificado externamente pelo próprio celular, por outros softwares ou pelos registros dos dois lados da conversa
      Outros dados, como localização, são menos certos e precisam de verificação, e surgem disputas sobre o que aquela prova significa
      O software da Cellebrite pode ser usado por ambas as partes se pagarem, e os vídeos de treinamento também recomendam que os órgãos de investigação realmente verifiquem os resultados
      Extração e parsing de celulares são um jogo de gato e rato em constante mudança, então reconferência e validação são essenciais; o problema é que os órgãos de investigação, em geral, só fazem extrações de celulares na mesa, sem capacidade técnica, e não validam os dados — não é a ferramenta em si que é o problema
  • Em um julgamento de que participei como jurado, Cellebrite, GrayKey e triangulação por torres de celular foram usados de forma ampla
    Fiquei surpreso ao ver como isso é rotineiro para as forças de segurança e quanta coisa conseguem extrair de um iPhone — praticamente tudo
    O caso já terminou, e foi encerrado por causa dessas provas

    • Gostaria que você desse mais detalhes
      Talvez esta seja a melhor forma de esse tipo de informação vir a público
    • Se a ideia é que policiais comuns conseguiram extrair “tudo” de um iPhone bloqueado, isso é uma notícia enorme
      Pelo último que se sabia, até o FBI teve dificuldade para acessar um iPhone 4S bloqueado, e as proteções ficaram muito mais fortes desde então
      Depois disso, o que se sabia era algo como: o GrayKey consegue contornar o limite de tentativas de senha, mas, se você usar uma senha alfanumérica, pode fazer a força bruta levar mais tempo que a vida útil do Sol
    • Só vi agora que havia interesse
      Em iPhones mais antigos, talvez modelos de umas duas gerações atrás pelos padrões atuais, era possível extrair tudo
      Não lembro o modelo exato, mas ouvi dizer que, nos iPhones mais recentes, não conseguem obter uma imagem completa do disco, apenas “alguns” dados, talvez metadados
      O GrayKey atualiza o software continuamente e procura novos métodos de extração, e disseram que ele não funciona se o celular tiver sido desligado
      Quando funciona, ele extrai tudo do disco, e então a Cellebrite analisa esses dados e os apresenta ao usuário
      O dispositivo GrayKey é conectado ao celular, e o telefone não pode ter sido desligado
      A configuração de USB não confiável também ajuda a impedir o funcionamento
    • Não dá para simplesmente dizer “tudo do iPhone” e parar por aí
  • Antigamente, toda loja da Verizon tinha esse tipo de equipamento para transferir contatos etc. para um celular novo
    Uma vez usei para a polícia, e disseram: “Vocês usam Cellebrite? Incrível, não é?”; na época, eu não fazia ideia de que isso era algo importante
    Na prática, eu achava chato de usar e lento
    Transferir fotos de celulares flip antigos levava horas e, depois que os smartphones começaram a aparecer, passamos a nos recusar a transferir fotos
    Se o celular estivesse bloqueado, não conseguíamos fazer nada; no Android, era preciso ativar a depuração USB, que hoje fica escondida nas configurações

    • A Cellebrite tem várias linhas de produtos
      Os produtos de nível mais baixo fazem backup de dados para lojas, e os avançados invadem iPhones recentes
  • É interessante que as pessoas que comercializaram a vulnerabilidade do Tegra X1 do Nintendo Switch foram punidas como se fossem crucificadas, enquanto quem comercializa esse tipo de vulnerabilidade recebe sinal verde em cada etapa do processo
    Neste mundo, parece que direitos autorais e segredos corporativos têm prioridade sobre privacidade individual e sigilo

    • Infelizmente, é bem possível que a Cellebrite não esteja violando a DMCA aqui
  • Ainda é um texto interessante: https://signal.org/blog/cellebrite-vulnerabilities/

    • É bem ácido
      Achei especialmente engraçada a frase brincalhona
      “Por uma coincidência difícil de acreditar, durante uma caminhada recente vi um pequeno pacote cair do caminhão à minha frente. Ao me aproximar, uma tipografia corporativa desfocada foi ficando nítida aos poucos: Cellebrite. Dentro havia o software mais recente da Cellebrite, um dongle de hardware para impedir pirataria (o que parece dizer algo sobre os clientes deles!) e uma quantidade estranhamente grande de adaptadores de cabo”
    • Esse texto foi excelente e me deixou ainda mais feliz por usar o Signal
      Foi uma leitura realmente fantástica
  • A cadeia de custódia das provas foi quebrada, e não sei como o tribunal aceita isso
    Usuários de iPhone fariam bem em ativar o bloqueio de pareamento no dispositivo para que ele não seja clonado em uma investigação futura
    https://arkadiyt.com/2019/10/07/pair-locking-your-iphone-wit...

    • Acho que simplesmente definir uma senha para backups criptografados e usar uma senha alfanumérica com símbolos, para máxima entropia, pode ter o mesmo efeito
      Pelo que entendo, a menos que seja a versão ultrassecreta, a Cellebrite é basicamente algo próximo de um dispositivo avançado de backup do iTunes, e não parece operar com menos requisitos do que os necessários para fazer manualmente um backup do celular em casa
    • Claro que, se houver uma vulnerabilidade, essa proteção também pode ser contornada
  • O que se leva ao tribunal são fatos, não uma história plausível sobre como esses fatos foram obtidos
    Se a defesa acreditar que os fatos estão errados, ela pode contestar o método de coleta, e então uma testemunha pericial explicará o procedimento de coleta em juízo
    De todo modo, hoje em dia não se extrai diretamente de celulares recentes com a Cellebrite
    O aparelho é enviado a um laboratório, que devolve uma imagem para ser inserida no Physical Analyzer, enquanto a exploração efetiva da vulnerabilidade do telefone fica a cargo da Cellebrite, sem que seja preciso se preocupar com vazamentos

    • “O que se leva ao tribunal são fatos, não uma história plausível sobre como esses fatos foram obtidos” não está correto
      Para ver até onde a polícia vai para fazer parecer que obteve provas por um procedimento plausível, veja a construção paralela
      [0]https://en.wikipedia.org/wiki/Parallel_construction
    • Os procedimentos internos da Cellebrite ainda deveriam estar sujeitos à discovery
      O réu tem o direito de demonstrar que houve falhas no processo de extração; caso contrário, isso pode levar a uma condenação equivocada
      No processo penal dos EUA, um procedimento de caixa-preta secreto e mágico não pode produzir provas admissíveis
    • Errado
      É necessária a cadeia de custódia das provas
      Caso contrário, um policial corrupto pode incriminar alguém
  • A grande maioria desses exames é realizada sob a autoridade de um mandado de busca válido emitido por um tribunal
    A posição é que a polícia tem o direito de acessar os dados do dispositivo, e o método não é muito relevante
    Um dos motivos pelos quais empresas como Cellebrite ou Greyshift tratam vulnerabilidades com extremo sigilo é que, assim que Apple ou Google descobrem como seus mecanismos de segurança são contornados, bloqueiam isso em uma atualização
    Um jogo contínuo de gato e rato

    • Independentemente de como o sistema jurídico veja isso, o método de acesso certamente importa quando se quer saber se os dados não foram alterados
      Coisas como metadados do sistema de arquivos podem ser afetadas
  • Eles estão basicamente exigindo segurança por obscuridade e achando que isso vai durar
    O texto menciona um vídeo de treinamento com demonstração do produto, mas, pelo que vi, ele não estava incluído
    Não sei por que não o divulgam
    Não quero uma transcrição dizendo à polícia para proteger a propriedade da empresa; quero ver o que essa empresa consegue acessar quando acessa ilegalmente a minha propriedade
    Acessar um sistema de computador sem autorização, ou seja, hackear, seria cometer um crime federal, mas uma empresa vende legalmente justamente essa capacidade, em grande escala, para órgãos de aplicação da lei e ainda diz para manter segredo
    Da última vez que verifiquei, lei era lei e se aplicava a todos, não apenas às pessoas comuns
    A parte de “mencionar obrigatoriamente o premium” também é absurda
    É como se dissessem: não revelem a estrutura interna do hacking ilegal, mas promovam o produto premium para que pessoas do governo e da polícia vejam e assinem
    Fico imaginando se, ao subir ao banco das testemunhas e mencionar o premium e o código de indicação WHOWATCHESTHEWATCHERS, a pessoa ganha 60% de desconto no primeiro mês
    Não sei como empresas assim são permitidas
    A estrutura é que não há problema em violarem a lei porque os clientes são justamente as pessoas que, em tese, deveriam prendê-las

  • É engraçado que, depois do tiroteio de San Bernardino, a Apple e o FBI tenham embalado na imprensa a questão da descriptografia do iPhone como Apple vs. FBI
    Na prática, o FBI conseguia acessar todos os dados que queria via iCloud, graças a um backdoor de criptografia que a Apple havia deixado explicitamente
    https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv...
    Agora, naturalmente, a Apple deve querer fazer engenharia reversa desses equipamentos, encontrar vulnerabilidades e corrigi-las, e muitos departamentos de polícia locais para os quais a Cellebrite vende equipamentos foram levados pela propaganda Apple/FBI a acreditar que a Apple é contra cooperar com a aplicação da lei, então é provável que aceitem essas condições
    Ainda assim, no longo prazo, acho que a segurança da Apple vai vencer
    Basta um único vazamento para a Apple conseguir corrigir a vulnerabilidade, e a Apple tem muito dinheiro e também cooperação com o FBI/DHS etc.
    Só pelo conteúdo de treinamento citado no texto, parece que a Cellebrite sabe que está em uma batalha perdida
    Com o tempo, a informação não fica mais secreta; fica menos secreta

    • Pelo que me lembro, não foi assim que aconteceu
      As autoridades queriam acesso ao próprio dispositivo e exigiam um backdoor de dispositivo “só para os mocinhos” para obter o que talvez não estivesse nos backups do iCloud
      A Apple recusou, e foi nesse ponto que surgiram a controvérsia e as notícias
      A Apple afirmou publicamente que órgãos de aplicação da lei podiam acessar backups do iCloud, e isso também aparece no artigo que você mesmo forneceu
      Não havia um “backdoor explicitamente preservado” para o FBI; é só que, na época, os backups do iCloud não eram protegidos por criptografia de ponta a ponta
      Isso também era, em certa medida, amplamente conhecido na época, e por isso havia muitas recomendações para fazer backup pelo iTunes
      Porque no iTunes ainda havia a opção de criptografar o backup
    • A Cellebrite mantém as funcionalidades boas dentro de suas próprias instalações
      Se você enviar o celular, eles o desbloqueiam para você
    • Só que agora a Apple oferece criptografia de ponta a ponta no iCloud e ainda não quer que terceiros entrem em seu firmware e no Secure Enclave