Durante anos, os policiais e outras autoridades governamentais em todo o mundo têm usado a tecnologia de hacking de telefone fornecida pela Cellebrite para desbloquear telefones e obter os dados contidos. E a empresa tem feito questão de manter o uso de sua tecnologia “silêncio”.
Como parte do acordo com agências governamentais, a Cellebrite pede aos usuários que mantenham sua tecnologia – e o fato de que a usaram – em segredo, descobriu o TechCrunch. Este pedido diz respeito a especialistas jurídicos que argumentam que uma tecnologia poderosa como a que a Cellebrite constrói e vende, e como ela é usada pelas agências de aplicação da lei, deve ser pública e escrutinada.
Em um vídeo de treinamento vazado para clientes da aplicação da lei obtido pelo TechCrunch, um funcionário sênior da Cellebrite diz aos clientes que “no final das contas, você extraiu os dados, são os dados que resolvem o crime, como você entrou, vamos tentar manter isso o mais silenciosamente possível.”
“Realmente não queremos que nenhuma técnica vaze no tribunal por meio de práticas de divulgação, ou você sabe, em última análise, em depoimento, quando você está sentado no banco, produzindo todas essas evidências e discutindo como você entrou no telefone”, o funcionário, quem não estamos nomeando, diz no vídeo.
Para os juristas, esse tipo de solicitação é preocupante porque as autoridades precisam ser transparentes para que um juiz autorize buscas, ou autorize o uso de determinados dados e provas no tribunal. O sigilo, argumentam os especialistas, fere os direitos dos réus e, em última análise, os direitos do público.
“Os resultados desses produtos supersecretos são usados no tribunal para tentar provar se alguém é culpado de um crime”, disse Riana Pfefferkorn, pesquisadora do Observatório da Internet da Universidade de Stanford, ao TechCrunch. “O acusado (seja por meio de seus advogados ou de um especialista) deve ter a capacidade de entender completamente como os dispositivos da Cellebrite funcionam, examiná-los e determinar se eles funcionaram corretamente ou continham falhas que poderiam ter afetado os resultados.”
“E qualquer pessoa que testemunhe sobre esses produtos sob juramento não deve esconder informações importantes que possam ajudar a inocentar um réu criminal apenas para proteger os interesses comerciais de alguma empresa”, disse Pfefferkorn.
Hanni Fakhoury, um advogado de defesa criminal que estudou a tecnologia de vigilância por anos, disse ao TechCrunch que “a razão pela qual essas coisas precisam ser divulgadas é que a defesa precisa ser capaz de descobrir ‘houve um problema legal em como essa evidência foi obtido? Eu tenho a capacidade de desafiar isso?’”
O funcionário da Cellebrite afirma no vídeo que divulgar o uso de sua tecnologia pode ajudar os criminosos e dificultar a vida das autoridades policiais.
“É superimportante manter todos esses recursos o mais protegidos possível, porque, em última análise, o vazamento pode ser prejudicial para toda a comunidade de aplicação da lei em todo o mundo”, diz o funcionário da Cellebrite no vídeo. “Queremos garantir que o conhecimento generalizado dessas capacidades não se espalhe. E se os bandidos descobrirem como estamos entrando em um dispositivo, ou que somos capazes de descriptografar um determinado aplicativo de mensagens criptografadas, enquanto eles podem passar para algo muito, muito mais difícil ou impossível de superar, nós definitivamente não não quero isso.”
O porta-voz da Cellebrite, Victor Cooper, disse em um e-mail ao TechCrunch que a empresa “está comprometida em apoiar a aplicação ética da lei. Nossas ferramentas são projetadas para uso legal, com o máximo respeito pela cadeia de custódia e processo judicial.”
“Não aconselhamos nossos clientes a agir em violação de qualquer lei, requisitos legais ou outros padrões forenses”, disse o porta-voz. “Enquanto continuamos protegendo e esperando que os usuários de nossas ferramentas respeitem nossos segredos comerciais e outras informações proprietárias e confidenciais, também continuamos desenvolvendo permanentemente nosso treinamento e outros materiais publicados com o objetivo de identificar declarações que possam ser interpretadas indevidamente pelos ouvintes e, em este respeito, agradecemos por trazer isso à nossa atenção.”
Quando perguntado se a Cellebrite mudaria o conteúdo de seu treinamento, o porta-voz não respondeu.
A advogada sênior da Electronic Frontier Foundation, Saira Hussain, e o tecnólogo sênior Cooper Quintin disseram ao TechCrunch em um e-mail que “a Cellbrite está ajudando a criar um mundo onde países autoritários, grupos criminosos e cibermercenários também são capazes de explorar esses dispositivos vulneráveis e cometer crimes. , silenciar a oposição e invadir a privacidade das pessoas.”
A Cellebrite não é a primeira empresa que pede a seus clientes que mantenham sua tecnologia em segredo.
Durante anos, a empreiteira do governo Harris Corporation fez com que as agências de aplicação da lei que quisessem usar sua ferramenta de vigilância de celulares, conhecida como arraias, assinassem um acordo de não divulgação que em alguns casos sugeria arquivar casos em vez de divulgar quais ferramentas as autoridades usaram. Esses pedidos remontam a meados da década de 2010, mas ainda estão em vigor hoje.
Aqui está a transcrição completa do vídeo de treinamento:
Estou feliz que você pode se juntar a nós. E estou feliz em iniciar este módulo inicial que cobre a visão geral e a orientação do sistema para o Cellebrite Premium. Obrigado e aproveite.
Você sabia que o Cellebrite Advanced Services tem 10 laboratórios em nove países diferentes ao redor do mundo? Bem, para aproveitar toda essa capacidade, estamos trabalhando juntos para oferecer esse treinamento a você, para que você ouça colegas de todo o mundo. A lista a seguir são aqueles que compõem este conjunto de módulos atual, espero que você goste de conhecer cada um deles.
Antes de começarmos, é muito importante examinar as questões de confidencialidade e segurança operacional que devemos respeitar ao usar o Cellebrite Premium, não apenas nós mesmos em nossos próprios laboratórios de serviços avançados da Cellebrite, mas principalmente você em seus próprios laboratórios em todo o mundo.
Bem, devemos reconhecer que esta capacidade está realmente salvando vidas. E em situações em que é tarde demais, estamos ajudando a encerrar o caso para as famílias das vítimas e, finalmente, solucionar crimes e colocar as pessoas atrás das grades. Portanto, é superimportante manter todos esses recursos o mais protegidos possível, porque, em última análise, o vazamento pode ser prejudicial para toda a comunidade de aplicação da lei em todo o mundo.
Com um pouco mais de detalhes, esses recursos que são colocados no Cellebrite Premium são, na verdade, segredos comerciais da Cellebrite, e queremos continuar a garantir a viabilidade deles para que possamos continuar investindo pesadamente em pesquisa e desenvolvimento, para que possamos dar essas habilidades para aplicação da lei globalmente. Sua parte é garantir que essas técnicas sejam protegidas da melhor maneira possível e considerá-las como “sensíveis à aplicação da lei” ou classificá-las em um nível mais alto de proteção em seu país ou agência individual.
E o motivo é porque queremos garantir que o conhecimento generalizado dessas capacidades não se espalhe. E, se os bandidos descobrirem como estamos entrando em um dispositivo, ou que somos capazes de descriptografar um determinado aplicativo de mensagens criptografadas, eles podem passar para algo muito, muito mais difícil ou impossível de superar. não quero isso.
Também estamos cientes de que os fabricantes de telefones buscam continuamente fortalecer a segurança de seus produtos. E o desafio já é tão difícil quanto é, mas ainda continuamos a ter avanços muito bons. Por favor, não torne isso mais difícil para nós do que já é.
E, em última análise, não queremos realmente que nenhuma técnica vaze no tribunal por meio de práticas de divulgação, ou você sabe, em última análise, em depoimento, quando você está sentado no banco, produzindo todas essas evidências e discutindo como você entrou no telefone. Em última análise, você extraiu os dados, são os dados que resolvem o crime. Como você entrou, vamos tentar manter isso o mais silencioso possível.
E agora passando para a segurança operacional ou “opsec”. Começa com a proteção física do sistema premium e todos os seus componentes que você recebeu no kit.
Esses pequenos pedaços que fazem toda essa capacidade… mágica. Eles são ativos altamente confidenciais e queremos garantir que nenhuma adulteração ou qualquer outra curiosidade seja empregada nesses dispositivos. E, em alguns casos, existe a possibilidade de adulteração e desativação do componente, e isso é algo que você realmente não quer fazer, porque pode impedir sua agência de ter a capacidade enquanto você aguarda uma substituição.
Além disso, a exposição de qualquer um desses recursos premium pode ser bastante prejudicial ao ambiente global de aplicação da lei. Portanto, tenha cuidado com o compartilhamento de informações, seja em conversas face a face, por telefone, em grupos de discussão on-line, por e-mail – outras coisas assim – apenas tente mantê-lo confidencial e não entre em detalhes.
Quando se trata de documentação escrita, obviamente, você não quer revelar muito em seus relatórios judiciais. Mas definitivamente coloque o mínimo necessário para garantir que um leigo possa entender os conceitos básicos do que foi feito.
Certamente mencione que você usou o Premium, pode mencionar a versão, mas não entre em detalhes sobre o que você fez com o telefone: seja manipulando-o ou o que aparecer na interface gráfica do usuário do próprio premium.
E quando se trata de operações técnicas e gerenciamento de qualidade em sua organização, tenha cuidado para que qualquer documento que você reúna como um procedimento operacional padrão possa ser visível por um auditor externo da ISO 17025 ou outras pessoas que possam fazer uma Lei de Liberdade de Informação solicite em sua agência em quaisquer leis de seu país.
Portanto, tome cuidado com tudo isso. Você precisa proteger isso da melhor maneira possível. E o outro fator adicional do qual você pode não estar ciente é que explorações com falha em dispositivos – se eles conseguirem se conectar à rede – eles podem ligar para casa e informar ao fabricante que o dispositivo está sob ataque. E com bastante conhecimento e inteligência, é possível que os fabricantes de telefones descubram o que estamos fazendo para alcançar essa mágica. Portanto, faça o possível para seguir todas as instruções e fazer deste o melhor procedimento possível (sic) daqui para frente.”
De um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, ou via Telegram e Wire @lorenzofb, ou e-mail lorenzo@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.