Empfohlen, 2019

Tipp Der Redaktion

Telefon-Hacker zu mieten: Ein Blick in das diskrete, lukrative Geschäft des FBI

Als das FBI jemanden bezahlte, um das iPhone des San Bernardino-Shooters zu knacken, umging es Apples Einwände nicht nur geschickt . Es machte auch die Öffentlichkeit auf die geschäftliche Seite des Hackens aufmerksam - ein Geschäft, das offensichtlich ebenso lukrativ wie diskret ist. "Das jüngste Streitgespräch zwischen Apple und dem FBI über die Freigabe eines iPhones hat der Öffentlichkeit zum ersten Mal gezeigt, dass es Unternehmen gibt, die sich darauf spezialisiert haben, mobile Geräte zu knacken", sagte Bill Anderson, Chief Product Officer bei OptioLabs, einem Mobile-Security-Entwickler .

Alles, was wir über die Hacker des FBI erfahren, macht die Situation noch spannender. Erste Berichte zeigten, dass die FBI-Agenten die Dienste des israelischen Mobilfunkforensikers Cellebrite nutzten, um das iPhone von Syed Rizwan Farook zu knacken. Seitdem wurde in einem Bericht der Washington Post behauptet, dass das FBI unabhängige professionelle Hacker angeheuert habe, die einen Zero-Day-Exploit (eine für Apple unbekannte Sicherheitslücke) nutzten. Ein weiterer April-Bericht zeigte, dass das FBI nun bereit ist, den lokalen Strafverfolgungsbehörden im ganzen Land zu helfen, iPhones zu knacken.

Obwohl das FBI bei allen Einzelheiten Mutter geblieben ist, schlug FBI-Direktor James Comey vor kurzem eine Gebühr vor denn der Hack war weit über eine Million Dollar. Kürzlich lehnte das FBI es ab, Einzelheiten an ein anderes Regierungsprogramm (den Vulnerabilities Equities Process) zu verraten und behauptete, dass der Hack nicht funktionierte.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Cellebrite, oder wer auch immer es sein mag, ist nur eine Firma, die versuchen kann, ein Telefon im Besitz von Strafverfolgungsbehörden freizuschalten, aber jetzt wissen wir - und profitorientierte Hacker - wie profitabel dieses Geschäft sein kann, wies Shane McGee, Chief Privacy Officer bei Cyber-Sicherheitsunternehmen FireEye. "Diese Publicity ist wie ein Leuchtturm für Sicherheitsforscher und Sicherheitsexperten, die sonst wenig Interesse am Hacken von iOS zeigen würden", sagte er mir.

Beyond one phone

Da Farook ein iPhone 5c verwendet hat, könnte es weitere Sicherheitslücken geben in diesem Telefon und anderen, die noch gefunden werden müssen - und möglicherweise monetarisiert. "Die meisten Forscher, die Sicherheitslücken entdecken, üben eine verantwortungsvolle Offenlegung und teilen diese Schwachstellen Apple mit, damit sie gepatcht werden können", fügte McGee hinzu. "Ich bin mir sicher, dass wir auch versuchen werden, ihre Exploits an den Höchstbietenden, einschließlich der Abteilung, zu verkaufen "

Der forensische Wissenschaftler und iOS-Sicherheitsexperte Jonathan Zdziarski sagte mir, er glaube, dass es für Mobile-Forensik-Start-ups wie gewohnt funktionieren wird, aber der Schleier wurde etwas gehoben.

" Ich glaube, das einzige, was dieser Fall hat getan, ist es die Öffentlichkeit mehr bewusst gemacht, was täglich passiert ", fügte Lewis Daniels von Secure Any Mobile, über das Geschäft der Verschlüsselung zu brechen. "Das wird die Hacker-Community natürlich attraktiver machen", sagte er, "denn die Zusammenarbeit mit den Behörden, um das zu tun, was sie zu tun haben, ist eine großartige Chance und legal."

Braden Perry, ein spezialisierter Rechtsanwalt in Kansas City in regulatorischen und Regierungsangelegenheiten, sagte mir der Apple-FBI-Fall könnte Sicherheitsunternehmen ermutigen, Behörden zu helfen und konkurrieren für das, was er nannte "lukrative Verträge." Perry darauf hingewiesen, dass diese Unternehmen müssen strenge Richtlinien in ihren Geschäftsbeziehungen einhalten, aber wo Das könnte schlammig werden, wenn es außerhalb der Gerichtsbarkeit der Vereinigten Staaten liegt. Dies könnte eine neue Möglichkeit für Einzelpersonen und Unternehmen eröffnen, Telefone für das zu entschlüsseln, was Perry "böswilligere Zwecke" nannte.

"Am Ende ermöglicht die öffentliche Ankündigung, dass iPhones durch eine externe Partei freigeschaltet werden können das gleiche ", sagte er.

Allerdings gab es bei vielen meiner Gesprächspartner gemischte Meinungen darüber, ob die Strafverfolgungsbehörden jetzt Hilfe von externen Unternehmen suchen, anstatt einem OS-Hersteller wie Apple eine Nachricht zukommen zu lassen.

Dr. Yehuda Lindell vom israelischen Verschlüsselungs-Startup Dyadic Security schlug vor, dass das FBI entscheiden könnte, den Prozess zu rationalisieren, indem es seine eigenen Hacker anheuert. "Es würde für mich mehr Sinn machen, dass die Strafverfolgungsbehörden darauf reagieren, indem sie internes Fachwissen entwickeln, um es selbst zu tun", sagte Lindell. "Ich kann nicht sehen, dass sie immer zu einer externen Firma gehen."

Eine Ausnahme machen

Es gibt noch eine andere Seite der Verschlüsselungsdebatte, bei der Menschen aus sentimentalen Gründen auf ein Telefon zugreifen möchten. Ein italienischer Mann schrieb im März einen öffentlichen Brief an Apple, in dem er das Unternehmen aufforderte, die Verschlüsselung auf dem iPhone seines verstorbenen Sohns zu umgehen, um auf dem Gerät gespeicherte Fotos abzurufen. "Verweigere mir nicht die Erinnerungen an meinen Sohn", schrieb er. Ähnlich wie einige der Familien von Opfern in Farooks Verbrechen, könnte es sein, dass er darum kämpft zu verstehen, warum unter solch herzzerreißenden Umständen keine Ausnahme gemacht werden kann.

Mark Grabowski, Kommunikationsprofessor an der Adelphi Universität in New York, weist auf dieses Telefon hin Cracking-Dienste waren immer im Deep Web verfügbar. "Trotz der ganzen Publicity, die das FBI beim Hacken des iPhone gebracht hat, werden sie wahrscheinlich dort bleiben, da es ein Verbrechen ist, sich in das Telefon eines anderen zu hacken", sagte Grabowski.

Die Natur des Telefonhackens bedeutet, dass sogar legitime Profis haben einen guten Grund, ein niedriges Profil zu behalten. "Während die US-Regierung will, dass Unternehmen ihnen helfen, sich in die Telefone anderer zu hacken, glaube ich nicht, dass sie wollen, dass diese Tricks mit anderen geteilt werden", erklärte Grabowski. "Also erwarte ich nicht, dass Unternehmen diese Dienste in naher Zukunft öffentlich bewerben - zumindest nicht, um sich in Handys von Drittanbietern zu hacken - es sei denn, es handelt sich um einen" Ethical Hacking "-Dienst, bei dem sie das Handy ihres eigenen Kunden testen Sicherheit. "

Top