1 Punkte von GN⁺ 2023-08-21 | 1 Kommentare | Auf WhatsApp teilen
  • Cellebrite liefert seit Langem Telefon-Hacking-Technik, mit der Ermittlungsbehörden weltweit Mobiltelefone entsperren und Daten sichern, und bat Kunden, über die Technik und ihren Einsatz möglichst stillschweigend zu sprechen
  • In einem geleakten Schulungsvideo für Strafverfolgungsbehörden sagt ein Mitarbeiter, man wolle Situationen vermeiden, in denen Zugriffsmethoden offengelegt werden – etwa durch gerichtliche Offenlegungsverfahren oder Zeugenaussagen
  • Rechtsexperten sehen darin eine Schwächung der Transparenz im Strafverfahren, weil eine solche Geheimhaltung richterliche Durchsuchungsanordnungen, die Zulässigkeit von Beweismitteln und die Möglichkeit der Gegenwehr durch Angeklagte verschleiern kann
  • Cellebrite entgegnete, die Werkzeuge seien für rechtmäßige Nutzung, die lückenlose Beweismittelkette und die Achtung gerichtlicher Verfahren ausgelegt, beantwortete aber nicht, ob Schulungsinhalte geändert wurden
  • Wie schon bei Geheimhaltungsvereinbarungen von Harris Corporation für stingray kollidieren bei mächtigen Ermittlungstechnologien der Schutz von Geschäftsgeheimnissen und die Anforderungen gerichtlicher Überprüfbarkeit frontal

Bitte um Geheimhaltung in einem Cellebrite-Schulungsvideo

  • Cellebrite-Technik wurde von Polizei- und Regierungsbehörden genutzt, um Mobiltelefone zu entsperren und an darin enthaltene Daten zu gelangen
  • Das Unternehmen bittet staatliche Kunden, seine Technik und die Tatsache ihrer Nutzung vertraulich zu behandeln
  • In einem geleakten Schulungsvideo für Kunden aus der Strafverfolgung wird vor dem Einsatz von Cellebrite Premium Vertraulichkeit und operative Sicherheit betont
    • Cellebrite Advanced Services verfügt laut Vorstellung über 10 Labore in 9 Ländern weltweit
    • Die Premium-Funktionen seien ein Geschäftsgeheimnis von Cellebrite und müssten geschützt werden, damit Strafverfolgungsbehörden sie weiter nutzen können
    • Kunden werden gebeten, die betreffenden Methoden als „law enforcement sensitive“ zu behandeln oder sie nach den Standards des jeweiligen Landes bzw. der jeweiligen Behörde in eine höhere Schutzklasse einzuordnen

Was man bei Offenlegung vor Gericht und Zeugenaussagen vermeiden will

  • Der Kern des Schulungsvideos ist die Aufforderung, technische Methoden vor Gericht nicht offenzulegen
    • Erklärt wird sinngemäß: „Letztlich haben wir die Daten extrahiert, und diese Daten lösen das Verbrechen“
    • Wie man „hineingekommen ist“, solle möglichst hush hush bleiben
    • Man wolle nicht, dass die Technik dadurch bekannt wird, dass im Rahmen gerichtlicher Offenlegung oder bei Zeugenaussagen über die Art des Zugriffs auf ein Telefon gesprochen wird
  • Auch die Dokumentation solle auf ein Minimum beschränkt werden
    • In Gerichtsberichten solle nur die Mindestmenge an Informationen stehen, damit ein Laie das Grundprinzip verstehen kann
    • Die Nutzung von Premium und die Versionsnummer dürften erwähnt werden, nicht aber Details zur Bedienung des Telefons oder Inhalte, die in der grafischen Benutzeroberfläche von Premium angezeigt werden
  • Es wird außerdem gewarnt, dass selbst Standardarbeitsanweisungen Ziel externer Prüfungen oder von Informationsfreiheitsanfragen werden können
    • externe ISO-17025-Audits
    • Freedom of Information Act-Anfragen nach den Gesetzen der jeweiligen Behörde bzw. des jeweiligen Landes

Verfahrensrisiken aus Sicht von Rechtsexperten

  • Rechtsexperten sind der Ansicht, dass mächtige Technologien wie die von Cellebrite und ihre Nutzung durch Strafverfolgungsbehörden offengelegt und überprüft werden können müssen
  • Riana Pfefferkorn vom Stanford University Internet Observatory weist darauf hin, dass die Ergebnisse solcher Produkte in Strafprozessen zum Nachweis von Schuld oder Unschuld verwendet werden
    • Die Verteidigung müsse über Anwälte oder Sachverständige verstehen und prüfen können, wie ein Cellebrite-Gerät funktioniert
    • Sie müsse beurteilen können, ob das Gerät ordnungsgemäß funktionierte und ob es Mängel gab, die die Ergebnisse beeinflusst haben könnten
    • Wer unter Eid aussagt, dürfe keine wichtigen Informationen zurückhalten, die für Angeklagte entlastend sein könnten, nur um geschäftliche Interessen des Unternehmens zu schützen
  • Der Strafverteidiger Hanni Fakhoury meint, nur wenn offengelegt wird, wie Beweise erlangt wurden, könne die Verteidigung beurteilen, ob dabei Rechtsprobleme vorlagen und ob die Beweise angreifbar sind
  • Die Geheimhaltung kann die Transparenz schwächen, mit der Richter Durchsuchungen genehmigen oder die Verwendung bestimmter Daten und Beweise vor Gericht zulassen

Cellebrites Begründung und offizielle Stellungnahme

  • Der Mitarbeiter im Schulungsvideo erklärt, ein Bekanntwerden der Funktionen könne Strafverfolgungsbehörden weltweit insgesamt schaden
    • Wenn Kriminelle erführen, wie auf Geräte zugegriffen wird oder dass bestimmte verschlüsselte Messenger-Apps entschlüsselt werden können, könnten sie auf noch schwierigere oder unmögliche Alternativen ausweichen
    • Zudem würden Smartphone-Hersteller die Sicherheit ihrer Produkte fortlaufend verschärfen, was die Aufgabe schon heute erschwere
    • Wenn ein gescheiterter Exploit mit dem Netzwerk verbunden sei, könne das dem Hersteller signalisieren, dass ein Gerät angegriffen wird
    • Wenn genügend Informationen zusammenkämen, könnten Hersteller Cellebrites Zugriffsansatz herausfinden, warnt er
  • Cellebrite-Sprecher Victor Cooper erklärte, das Unternehmen sei dem Ziel verpflichtet, ethische Strafverfolgung zu unterstützen
    • Die Werkzeuge seien für rechtmäßige Nutzung, lückenlose Beweismittelsicherung und die Achtung gerichtlicher Verfahren konzipiert
    • Man rate Kunden nicht dazu, Gesetze, rechtliche Anforderungen oder forensische Standards zu verletzen
    • Das Unternehmen schütze seine Geschäftsgeheimnisse sowie proprietären und vertraulichen Informationen und erwarte, dass Kunden dies ebenfalls respektieren
    • Schulungs- und öffentliches Material werde fortlaufend weiterentwickelt, um Formulierungen zu identifizieren, die missverstanden werden könnten
  • Ob die Schulungsinhalte geändert wurden, beantwortete das Unternehmen nicht

Frühere Geheimhaltungspraktiken bei anderer Überwachungstechnik

  • Saira Hussain und Cooper Quintin von der Electronic Frontier Foundation meinen, Cellebrite trage dazu bei, eine Welt zu schaffen, in der verwundbare Geräte ausgenutzt werden können
    • autoritäre Staaten
    • kriminelle Gruppen
    • Cyber-Söldner
    • Diese Akteure könnten damit Straftaten begehen, Widerspruch zum Schweigen bringen und die Privatsphäre von Menschen verletzen, so die Sorge
  • Cellebrite ist nicht das erste Unternehmen, das Kunden zur Geheimhaltung seiner Technik aufgefordert hat
  • Harris Corporation verlangte von Strafverfolgungsbehörden, die das als stingray bekannte Mobilfunk-Überwachungswerkzeug einsetzen wollten, Geheimhaltungsvereinbarungen
    • In manchen Fällen war darin sinngemäß gefordert, Verfahren lieber aufzugeben, als das eingesetzte Werkzeug offenzulegen
    • Solche Forderungen reichen bis in die Mitte der 2010er Jahre zurück und sind teils noch immer wirksam
  • Hacking- und Überwachungstechnik für Ermittlungsbehörden kann unter Verweis auf Geschäftsgeheimnisse und operative Sicherheit verborgen werden, vor Gericht muss jedoch anfechtbar bleiben, wie Beweise gewonnen wurden und wie verlässlich sie sind

1 Kommentare

 
GN⁺ 2023-08-21
Hacker-News-Kommentare
  • Als Verteidiger würde ich wohl genau nachbohren, ob die Staatsanwaltschaft einfach erwartet, dass man glaubt, eine „Hacking-Firma“ wie Cellebrite habe die Forensik korrekt durchgeführt.
    Ich würde vermutlich versuchen, Cellebrites Ruf zu erschüttern, um die gesamte von diesem Tool erzeugte Beweislage schwer vertrauenswürdig erscheinen zu lassen.

    • Ein Gericht ist kein wissenschaftliches Diskussionsforum, daher könnte das überraschend schlecht funktionieren.
      Brandermittlung, Bissspurenanalyse, ein großer Teil DNA-basierter Forensik, ballistische Gutachten, Lügendetektoren, Alkoholtests am Tatort oder sogar Zertifizierungen als „Drogenerkennungsexperte“ – Dinge, die nahezu Pseudowissenschaft sind, wurden tatsächlich für Verurteilungen herangezogen.
      Wenn man jemanden mit PhD hinter dem Namen, im weißen Kittel oder mit einer plausibel klingenden Zertifizierung in den Zeugenstand setzt, kommt das bei der Anklage meist gut an.
    • Bei DNA-Beweisen passiert Ähnliches häufig.
      Die Staatsanwaltschaft legt einen Bericht vor, der von proprietärer Software erzeugt wurde, und ein Mitarbeiter des Unternehmens sagt aus, die Ergebnisse seien korrekt und die Falsch-positiv-Rate liege bei 1 zu 10 Milliarden.
      Wenn die Verteidigung Zugriff auf den Source Code verlangt, um diese Behauptung zu überprüfen, beruft sich das Unternehmen auf Geschäftsgeheimnisse, und der Richter erlaubt den Zugriff nicht, schließt den Beweis aber trotzdem nicht aus.
    • Die nötige Munition für den letzten Teil findet sich hier: https://signal.org/blog/cellebrite-vulnerabilities/
    • Das wird tatsächlich so gemacht, ist aber teuer.
      In einem Verfahren, in dem ich in der Jury saß, hat der Verteidiger den Sachverständigen einer Rotlichtkamera-Firma vollständig zerlegt.
      Die Polizei hatte anhand der Mobilfunk-/GPS-Zeit der Kameras 10 bis 12 Videos von mehreren Kameras mit nicht übereinstimmenden Zeiten aneinandergereiht; als die Zeitangaben erschüttert wurden, brach der ganze Fall zusammen, und die Anklage wegen fahrlässiger Tötung gegen den Mandanten wurde abgewiesen.
    • Im Allgemeinen sind Verteidiger, die Cellebrite-Software benutzt haben, nicht grundsätzlich dagegen.
      In den meisten Fällen sind Textinhalte und Zeitstempel entscheidend, und die lassen sich extern über das Telefon selbst, andere Software oder die Aufzeichnungen beider Gesprächsseiten überprüfen.
      Andere Daten wie Standortdaten sind weniger sicher und müssen verifiziert werden; darüber, was diese Beweise bedeuten, entsteht dann Streit.
      Cellebrite-Software kann von beiden Seiten genutzt werden, wenn sie dafür bezahlen, und die Schulungsvideos empfehlen Ermittlungsbehörden tatsächlich, die Ergebnisse zu überprüfen.
      Smartphone-Extraktion und Parsing sind ein sich ständig wandelndes Katz-und-Maus-Spiel, daher sind Gegenprüfung und Verifikation zentral; das Problem ist, dass Ermittlungsbehörden meist ohne technische Kompetenz nur Telefone am Schreibtisch extrahieren und die Daten nicht validieren – nicht das Tool an sich.
  • In einem Verfahren, in dem ich in der Jury saß, wurden Cellebrite, GrayKey und Funkzellen-Triangulation breit eingesetzt.
    Ich war überrascht, wie alltäglich das bei Strafverfolgungsbehörden ist und wie viel sie aus einem iPhone herausholen – im Grunde alles.
    Der Fall ist inzwischen abgeschlossen, und genau diese Beweise haben ihn beendet.

    • Ich würde gern mehr Details hören.
      Das könnte die beste Art sein, wie solche Informationen nach außen gelangen.
    • Wenn damit gemeint ist, dass ein normaler Polizist aus einem gesperrten iPhone „alles“ herausgeholt hat, wäre das eine gewaltige Nachricht.
      Zuletzt war bekannt, dass selbst das FBI Schwierigkeiten hatte, auf ein gesperrtes iPhone 4S zuzugreifen, und seitdem sind die Schutzmechanismen deutlich stärker geworden.
      Danach war der Stand ungefähr, dass GrayKey zwar die Begrenzung der Passcode-Eingaben umgehen kann, man aber mit einem alphanumerischen Passwort die Brute-Force-Dauer länger als die Lebenszeit der Sonne machen kann.
    • Ich sehe erst jetzt, dass Interesse daran besteht.
      Bei einem älteren iPhone, vermutlich einem Modell von ungefähr zwei Generationen vor dem aktuellen Stand, konnte man alles bekommen.
      Das genaue Modell erinnere ich nicht, aber mir wurde gesagt, dass man bei den neuesten iPhones kein vollständiges Disk-Image erhält, sondern „einige“ Daten, vermutlich eher Metadaten.
      GrayKey aktualisiert seine Software laufend und sucht nach neuen Extraktionsmethoden; es hieß, es funktioniere nicht, wenn das Telefon einmal ausgeschaltet wurde.
      Wenn es funktioniert, extrahiert es alles von der Disk, und anschließend analysiert Cellebrite diese Daten und zeigt sie dem Nutzer an.
      Das GrayKey-Gerät wird an das Telefon angeschlossen, und das Telefon darf zuvor nicht ausgeschaltet worden sein.
      Auch die Einstellung nicht vertrauenswürdiges USB hilft, das zu verhindern.
    • Man kann nicht einfach bei „alles aus dem iPhone“ aufhören.
  • Früher hatte jeder Verizon-Store solche Geräte, um Kontakte und Ähnliches auf ein neues Telefon zu übertragen.
    Als ich es einmal für die Polizei benutzt habe, sagten sie: „Sie benutzen Cellebrite? Ziemlich beeindruckend, oder?“ – damals hatte ich keine Ahnung, dass das eine große Sache war.
    Tatsächlich fand ich es umständlich und langsam.
    Um Fotos von alten Klapphandys zu übertragen, brauchte es Stunden, und nachdem Smartphones aufkamen, verweigerten wir die Fotoübertragung.
    Wenn das Telefon gesperrt war, ging gar nichts, und bei Android musste man USB-Debugging aktivieren, das heute in den Einstellungen versteckt ist.

    • Cellebrite hat mehrere Produktlinien.
      Die niedrigeren Produkte machen Daten-Backups für den Einzelhandel, die High-End-Produkte dringen in aktuelle iPhones ein.
  • Interessant ist, dass die Leute, die die Tegra-X1-Schwachstelle der Nintendo Switch kommerzialisiert haben, wie ans Kreuz genagelt bestraft wurden, während diejenigen, die solche Schwachstellen kommerzialisieren, bei jedem Schritt grünes Licht bekommen.
    In dieser Welt scheinen Urheberrecht und Geschäftsgeheimnisse Vorrang vor individueller Privatsphäre und Geheimhaltung zu haben.

    • Leider verstößt Cellebrite hier wahrscheinlich nicht gegen den DMCA.
  • Immer noch ein interessanter Beitrag: https://signal.org/blog/cellebrite-vulnerabilities/

    • Ziemlich bissig.
      Besonders der verspielte Satz hat mich zum Lachen gebracht.
      „Durch einen kaum zu glaubenden Zufall sah ich kürzlich bei einem Spaziergang, wie ein kleines Paket von einem Lkw vor mir herunterfiel. Als ich näher kam, wurde eine verschwommene Unternehmensschrift allmählich klar: Cellebrite. Darin befanden sich die neueste Cellebrite-Software, ein Hardware-Dongle zum Schutz vor Softwarepiraterie (was wohl etwas über ihre Kunden aussagt!) und eine überraschend große Zahl von Kabeladaptern.“
    • Der Beitrag war großartig und hat mich noch froher gemacht, Signal zu nutzen.
      Wirklich eine fantastische Lektüre.
  • Ich verstehe nicht, wie ein Gericht das akzeptieren soll, wenn die Beweismittelkette unterbrochen ist.
    iPhone-Nutzer sollten auf ihren Geräten eine Pairing-Sperre einrichten, damit sie später nicht für Ermittlungen geklont werden können.
    https://arkadiyt.com/2019/10/07/pair-locking-your-iphone-wit...

    • Ich vermute, denselben Effekt könnte man schon erzielen, indem man ein Passwort für verschlüsselte Backups setzt und für maximale Entropie ein alphanumerisches Passwort mit Symbolen verwendet.
      Nach meinem Verständnis ist Cellebrite, sofern es nicht um die streng geheime Version geht, im Grunde eher ein fortgeschrittenes iTunes-Backup-Gerät und scheint nicht mit weniger Voraussetzungen zu funktionieren, als man sie braucht, wenn man zu Hause manuell ein Telefon sichert.
    • Natürlich kann auch ein solcher Schutz umgangen werden, wenn es eine Schwachstelle gibt.
  • Vor Gericht bringt man Fakten vor, nicht eine plausible Geschichte darüber, wie man an diese Fakten gekommen ist.
    Wenn die Verteidigung glaubt, dass die Fakten falsch sind, kann sie die Erhebungsmethode anfechten; dann erklärt ein Sachverständiger vor Gericht das Erhebungsverfahren.
    Von aktuellen Telefonen kann man mit Cellebrite derzeit ohnehin nicht direkt extrahieren.
    Man schickt das Telefon ins Labor, bekommt ein Image zurück und lädt es in den Physical Analyzer; die eigentliche Ausnutzung der Telefon-Schwachstelle übernimmt Cellebrite, sodass man sich keine Sorgen über Leaks machen muss.

    • „Vor Gericht bringt man Fakten vor, nicht eine plausible Geschichte darüber, wie man an diese Fakten gekommen ist“ stimmt nicht.
      Wenn man sehen will, wie weit die Polizei geht, um es so aussehen zu lassen, als hätte sie Beweise über ein plausibles Verfahren erlangt, sollte man sich Parallelkonstruktion ansehen.
      [0]https://en.wikipedia.org/wiki/Parallel_construction
    • Auch Cellebrites interne Abläufe sollten weiterhin der Offenlegung unterliegen.
      Angeklagte haben das Recht zu zeigen, dass der Extraktionsprozess fehlerhaft war; andernfalls kann das zu Fehlurteilen führen.
      Im US-Strafverfahren kann ein geheimes, magisches Blackbox-Verfahren keine zulässigen Beweise hervorbringen.
    • Falsch.
      Man braucht eine Beweismittelkette.
      Sonst kann ein korrupter Polizist jemandem etwas anhängen.
  • Die meisten dieser Untersuchungen erfolgen auf Grundlage eines gültigen, von einem Gericht ausgestellten Durchsuchungsbeschlusses.
    Die Position ist: Die Polizei hat das Recht, auf die Gerätedaten zuzugreifen, und die Methode ist weitgehend irrelevant.
    Einer der Gründe, warum Firmen wie Cellebrite oder Greyshift ihre Schwachstellen extrem geheim halten, ist, dass Apple oder Google per Update dichtmachen, sobald sie herausfinden, wie ihre Sicherheitsmechanismen umgangen werden.
    Ein fortlaufendes Katz-und-Maus-Spiel.

    • Unabhängig davon, wie das Rechtssystem es sieht: Wenn es darum geht, ob Daten unverändert geblieben sind, ist die Zugriffsmethode ganz klar wichtig.
      Dinge wie Dateisystem-Metadaten können beeinflusst werden.
  • Sie verlangen also Security through Obscurity und glauben, dass das lange gutgeht.
    Im Artikel werden Schulungsvideos zu Produktdemos erwähnt, aber offenbar waren sie nicht enthalten.
    Ich weiß nicht, warum sie nicht veröffentlicht werden.
    Ich will keine Mitschnitte davon, wie man der Polizei sagt, sie solle Firmeneigentum schützen; ich will sehen, worauf diese Firma zugreifen kann, wenn sie sich illegal Zugang zu meinem Eigentum verschafft.
    Wenn man auf ein Computersystem ohne Berechtigung zugreift, also hackt, begeht man doch ein Bundesverbrechen; gleichzeitig verkauft ein Unternehmen genau diese Fähigkeit in großem Stil legal an Strafverfolgungsbehörden und sagt ihnen, sie sollten sie geheim halten.
    Beim letzten Mal, als ich nachgesehen habe, war das Gesetz das Gesetz und galt für alle, nicht nur für gewöhnliche Leute.
    Auch der Teil „premium unbedingt erwähnen“ ist absurd.
    Nach dem Motto: Legt die Interna des illegalen Hackings nicht offen, aber bewerbt bitte das Premium-Produkt, damit Leute aus Regierung und Strafverfolgung es sehen und abonnieren.
    Wenn man in den Zeugenstand tritt und premium sowie den Empfehlungscode WHOWATCHESTHEWATCHERS erwähnt, gibt es dann 60 % Rabatt im ersten Monat?
    Ich verstehe nicht, wie solche Firmen erlaubt sein können.
    Diejenigen, die sie eigentlich festnehmen müssten, sind ihre Kunden; deshalb ist es offenbar okay, das Gesetz zu brechen.

  • Es ist witzig, wie Apple und das FBI nach der Schießerei von San Bernardino das iPhone-Entschlüsselungsthema in den Medien als Apple gegen FBI gerahmt haben.
    Tatsächlich konnte das FBI über iCloud auf alle gewünschten Daten zugreifen, und zwar über eine von Apple ausdrücklich offengelassene Verschlüsselungs-Backdoor.
    https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv...
    Jetzt will Apple solche Geräte natürlich per Reverse Engineering untersuchen, Schwachstellen finden und patchen, und viele der lokalen Polizeibehörden, denen Cellebrite Geräte verkauft, sind durch die Apple/FBI-Propaganda inzwischen davon überzeugt, Apple sei gegen die Zusammenarbeit mit Strafverfolgungsbehörden, sodass sie solchen Bedingungen wahrscheinlich folgen werden.
    Trotzdem glaube ich, dass sich langfristig Apple Security durchsetzen wird.
    Ein einziges Leak reicht, damit Apple die Schwachstelle patchen kann; Apple hat außerdem viel Geld und kooperiert mit FBI/DHS usw.
    Schon an den im Artikel zitierten Schulungsinhalten sieht man, dass Cellebrite wohl weiß, dass es letztlich einen verlorenen Kampf führt.
    Informationen werden mit der Zeit nicht geheimer, sondern nur weniger geheim.

    • Soweit ich mich erinnere, lief es nicht so ab.
      Die Behörden wollten Zugriff auf das Gerät selbst und verlangten eine Geräte-Backdoor „nur für die Guten“, um an Dinge zu kommen, die möglicherweise nicht im iCloud-Backup enthalten waren.
      Apple lehnte das ab, und an diesem Punkt entstanden Kontroverse und Berichterstattung.
      Apple hat öffentlich erklärt, dass Strafverfolgungsbehörden auf iCloud-Backups zugreifen können, und das steht auch in dem von dir selbst verlinkten Artikel.
      Es gab keine „ausdrücklich für das FBI erhaltene Backdoor“; iCloud-Backups waren damals schlicht nicht Ende-zu-Ende-verschlüsselt.
      Das war damals auch bis zu einem gewissen Grad allgemein bekannt, weshalb oft empfohlen wurde, per iTunes zu sichern.
      Denn iTunes bot weiterhin die Option, Backups zu verschlüsseln.
    • Cellebrite behält die guten Funktionen in den eigenen Einrichtungen.
      Wenn man ihnen das Telefon schickt, knacken sie es für einen.
    • Allerdings bietet Apple inzwischen Ende-zu-Ende-Verschlüsselung für iCloud an und will weiterhin nicht, dass andere in die eigene Firmware und die Secure Enclave eindringen.