O FBI está louco porque continua entrando em iPhones trancados sem a ajuda da Apple
O debate sobre criptografia continua a se arrastar sem fim.
Nos últimos meses, o discurso se afastou em grande parte dos smartphones criptografados para se concentrar em mensagens criptografadas de ponta a ponta. Mas uma recente coletiva de imprensa dos chefes do Departamento de Justiça (DOJ) e do Federal Bureau of Investigation (FBI) mostrou que o debate sobre a criptografia de dispositivos não está morto, estava apenas descansando. E isso não vai embora.
Na coletiva, o procurador-geral William Barr e o diretor do FBI Chris Wray anunciaram que, após meses de trabalho, técnicos do FBI conseguiram desbloquear os dois iPhones usados pelo oficial militar saudita que realizou um tiroteio terrorista na Estação Aérea Naval de Pensacola, na Flórida, em dezembro de 2019. O atirador morreu no ataque, que foi rapidamente reivindicado pela Al Qaeda na Península Arábica.
No início deste ano — um mês sólido após o tiroteio — Barr havia pedido à Apple para ajudar a desbloquear os telefones (um dos quais foi danificado por uma bala), que eram modelos mais antigos do iPhone 5 e 7. A Apple forneceu "gigabytes de informações" aos investigadores, incluindo "backups do iCloud, informações de contas e dados transacionais para várias contas", mas desenhou a linha para ajudar com os dispositivos. A situação ameaçou reviver o confronto "Apple versus FBI" de 2016 sobre outro iPhone bloqueado após o ataque terrorista em San Bernardino.
Depois que o governo foi ao tribunal federal para tentar envolver a Apple a fazer o trabalho dos investigadores para eles, a disputa terminou anticlímax quando o governo entrou no próprio telefone depois de comprar uma exploração de um fornecedor externo que o governo se recusou a identificar. O caso Pensacola culminou da mesma forma, exceto que o FBI aparentemente usou uma solução interna em vez de uma exploração de terceiros.
Você acha que o sucesso do FBI em uma tarefa complicada (lembre-se, um dos telefones tinha sido filmado) seria uma boa notícia para o FBI. No entanto, uma nota inconfundível de amargura tingiu as observações laudatórias na coletiva de imprensa para os técnicos que fizeram isso acontecer. Apesar do feito impressionante do Bureau, e apesar dos dados que a Apple havia fornecido, Barr e Wray dedicaram grande parte de suas observações para difamar a Apple, com Wray chegando ao ponto de dizer que o governo "não recebeu efetivamente nenhuma ajuda" da empresa.
Essa tática de desvio funcionou: em notícias que cobrem a conferência de imprensa, manchete após manchete destacava o golpe do FBI contra a Apple em vez de se concentrar no que a conferência de imprensa era nominalmente sobre: o fato de que as agências federais de aplicação da lei podem entrar em iPhones bloqueados sem a ajuda da Apple.
Essa deve ser a manchete, porque é importante. Essa verdade inconveniente enfraquece a alegação de longa data das agências de que elas estão indefesas diante da criptografia da Apple e, portanto, a empresa deve ser legalmente forçada a enfraquecer sua criptografia de dispositivos para acesso à aplicação da lei. Não é à toa que Wray e Barr estão tão bravos que seus empregados continuam sendo bons em seus trabalhos.
Ao reviver a velha rotina da Apple, os dois funcionários conseguiram evitar uma série de perguntas que sua coletiva de imprensa deixou sem resposta. Quais são exatamente as capacidades do FBI quando se trata de acessar smartphones bloqueados e criptografados? Wray afirmou que a técnica desenvolvida por técnicos do FBI é "de aplicação bastante limitada" além dos iPhones Pensacola. Quão limitado? Em que outras técnicas de quebra de telefone o FBI tem, e quais modelos de aparelhos e quais versões do sistema operacional móvel fazem essas técnicas de forma confiável? Em que tipos de casos, para que tipos de crimes, essas ferramentas estão sendo usadas?
Também não sabemos o que mudou internamente no FBI desde aquela condenatória 2018 inspetor-geral pós-morte sobre o caso De San Bernardino. O que aconteceu com os planos do FBI, anunciados no relatório do IG, para diminuir a barreira dentro da agência ao uso de ferramentas e técnicas de segurança nacional em casos criminais? Essa mudança aconteceu, e teve um papel no sucesso de Pensacola? O FBI está invadindo telefones de suspeitos criminosos usando técnicas confidenciais do contexto de segurança nacional que podem não passar em um processo judicial (seu uso foi reconhecido em tudo)?
Além disso, como as capacidades internas do FBI complementam o maior ecossistema de ferramentas e técnicas para a aplicação da lei acessar telefones bloqueados? Entre eles estão os fornecedores de terceiros GrayShift e cellebrite, que, além do FBI, contam numerosos eua. departamentos de polícia estaduais e locais e autoridades federais de imigração entre seus clientes. Quando conectados a um telefone bloqueado, esses dispositivos podem contornar a criptografia do telefone para produzir seu conteúdo, e (no caso do GrayShift) podem plantar spyware em um iPhone para registrar sua senha quando a polícia enganar o proprietário de um telefone para inseri-lo. Esses dispositivos funcionam em modelos muito recentes de iPhone: a Cellebrite afirma que pode desbloquear qualquer iPhone para a aplicação da lei, e o FBI desbloqueou um iPhone 11 Pro Max usando o dispositivo GrayKey da GrayShift.
Além da Cellebrite e da GrayShift, que têm um bem estabelecido eua. base de clientes, o ecossistema de empresas de hackers de terceiros inclui entidades que comercializam softwares de hackers de acesso remoto para governos em todo o mundo. Talvez o exemplo mais notório seja o Nso Group, com sede em Israel, cujo software Pegasus tem sido usado por governos estrangeiros contra dissidentes, jornalistas, advogados e ativistas de direitos humanos. A empresa é dos EUA. braço tentou comercializar Pegasus internamente para departamentos de polícia americanos sob outro nome. Quais fornecedores terceirizados estão fornecendo soluções de hackers para o FBI, e a que preço?
Finalmente, quem mais além do FBI será o beneficiário da técnica que funcionou nos telefones Pensacola? O FBI compartilha as ferramentas de fornecedor que compra, ou as próprias casas laminadas, com outras agências (federais, estaduais, tribais ou locais)? Quais ferramentas, quais agências e para que tipos de casos? Mesmo que não compartilhe as técnicas diretamente, ele vai usá-las para desbloquear telefones para outras agências, como fez para um promotor público logo após comprar a exploração para o iPhone de San Bernardino?
Temos pouca idéia das respostas para qualquer uma dessas perguntas, porque as capacidades do FBI são um segredo bem guardado. Quais avanços e avanços ele alcançou, e quais fornecedores ele pagou, nós (que fornecemos os dólares do contribuinte para financiar este trabalho) não estamos autorizados a saber. E a agência se recusa a responder perguntas sobre o impacto da criptografia em suas investigações, mesmo de membros do Congresso, que podem ter conhecimento de informações confidenciais negadas ao público em geral.
A única informação pública que sai da caixa preta do FBI é nada burgers como a recente conferência de imprensa. Em um evento sobre as capacidades de hackers do FBI, o diretor Wray e a AG Barr astutamente conseguiram desviar a atenção da imprensa para a Apple, evitando quaisquer perguntas difíceis, como o que as habilidades do FBI significam para a privacidade dos americanos, liberdades civis e segurança de dados, ou mesmo perguntas básicas como quanto a operação pensacola de quebra-telefone custou.
Como o recente espetáculo de relações públicas demonstrou, uma coletiva de imprensa não é descuido. E em vez de exercer seu poder de supervisão, exigindo mais transparência ou exigindo uma análise contábil e de custo/benefício dos gastos de hackers do FBI — em vez de exigir uma resposta direta e conclusiva para a eterna questão de se, à luz das capacidades em constante evolução da agência, há realmente qualquer necessidade de forçar os fabricantes de smartphones a enfraquecer sua criptografia de dispositivos — o Congresso está, em vez disso, chegando a uma legislação perigosa, como a Earn It Act, que corre o risco de prejudicar a criptografia justamente quando uma população forçada pelo COVID-19 a fazer tudo on-line de casa pode menos pagar.
O melhor cenário agora é que a agência federal que provou sua desconfiança mentindo para o Tribunal de Vigilância de Inteligência Estrangeira pode invadir nossos smartphones, mas talvez não todos eles; que talvez não esteja compartilhando seus brinquedos com departamentos de polícia estaduais e locais (que estão repletos de agressores domésticos que adorariam ter acesso aos telefones de suas vítimas); que, ao contrário de dispositivos de fornecedores de terceiros, talvez as ferramentas do FBI não acabem no eBay, onde os criminosos podem comprá-los; e que espero que não tenha pago dinheiro do contribuinte para a empresa de spyware cujo cliente mais conhecido do governo assassinou e desmembrou um jornalista.
O pior cenário seria que, entre ferramentas internas e de terceiros, praticamente qualquer agência de aplicação da lei pode agora entrar de forma confiável nos telefones de todos, e ainda assim este é o ano em que eles finalmente conseguem sua vitória legislativa sobre a criptografia de qualquer maneira. Mal posso esperar para ver o que mais 2020 tem na loja.