FBI应该停止攻击加密

2021-03-15 16:24:22

联邦执法部门一直要求一名后门阅读美国人的加密通信多年。联邦调查局主任克里斯托弗·克莱上周又在参议院司法委员会的证词中再次做到了。像往常一样,FBI的投诉涉及流行消息传递平台采用的最终加密,以及数字设备的AT-REST加密,将其描述为提供“仅限用户访问”。

FBI希望这些术语声音可怕,但它们实际上描述了安全最佳实践。端到端加密是允许用户交换消息而不让他们拦截和读取镇压政府,公司和其他坏行为者。和“仅用户访问”实际上是一种完美的设备加密应该如何工作的封装;否则,任何在手机或笔记本电脑上牵手的人 - 一个小偷,虐待伴侣或雇主 - 可以访问其最敏感的数据。当您故意削弱这些系统时,它会伤害我们的安全和隐私,因为没有魔法的访问权限,只适用于好家伙。如果Wray获取他的特殊通过,请在我们的谈话中倾听并访问我们的设备,公司,犯罪分子和专制,才能获得相同的访问权限。

这是卓越的重,邀请被邀请到国会唱同样的歌曲。值得注意的是,Wray被邀请在那里谈论1月第6次起义,这是一个严重的国内攻击,其中攻击者远远关注保密 - 自豪地播出许多罪行,导致数百人逮捕。

它也是卓越的重写,再次选择留出这个叙述。虽然Wray继续表达对他的代理人无法获得的东西的挫败感,但他没有向参议员简要介绍他的代理机构已经访问美国人的智能手机的令人震惊的频率。尽管如此,美国人的手机上的警察窥探的范围变得明确,而且不仅仅是在做它的联邦调查局。参议员应该要求他的代理人已经拖视的私人数据,而不是邀请国会山的特殊方法来询问侵入我们的隐私和安全的特殊方法。

在所有50个州,警方正在划船到大规模的手机。从非营利性上升“大规模提取”的十月报告揭示了我们手机的侵入性和广泛警察的细节。警方可以轻松购买从几乎每个流行的手机中提取数据的法医工具。 2016年3月,流行的法医工具公司Cellebrite支持“逻辑提取”,为8,393种不同的设备,以及“物理提取”,涉及将所有数据复制到逐位上的所有数据,用于4,254个设备。 Cellebrite可以绕过约1,500种不同的设备旁路锁屏。

他们如何绕过加密?通常,他们只是猜到了密码。 2018年,Matthew Green教授估计,法医工具只需要22个小时,只需通过连续猜测密码(即“蛮力”条目)即可将一些较旧的密码与6位数的密码分解为一些较旧的iPhone。 4位数的密码将在大约13分钟内失败。

通过自2018年以来已修复的硬件缺陷使得蛮力猜测能够实现,并且密码猜测立即更有限。但即使苹果这样的智能手机公司提高了他们的安全性,即使是提高其安全,设备黑客也仍然是一个猫和鼠标游戏。正如最近9月2020年9月,Cellebrite营销材料吹嘘其工具可以突破iPhone设备,最新到“最新的iPhone 11/11 Pro / Max运行最新的IOS版本最新的13.4.1”

即使密码无法损坏,也可以像Cellebrite这样的供应商提供“高级服务”,即使最新的IOS和三星设备也可以解锁。 Upturn Research表明,此类服务的基本价格为1,950美元,但它可以批量更便宜。

在批发基础上购买电子闯入技术代表了美国周围的警察部门的最佳交易,他们定期利用这些讨价还价。 2018年,西雅图警察局从Cellebrite购买了20美元的“行动”,以33,000美元,允许他们在几周甚至几天内提取电话数据。希望解锁手机的执法机构可以让Cellebrite的“先进解锁”内部,价格从75,000美元到150,000美元。

这意味着对大多数警察部门来说,闯入手机不仅方便,它相对便宜。即使是弗吉尼亚海滩等中型警察局,VA也有一个超过1亿美元的警察预算;纽约市的警察预算超过50亿美元。 FBI的2020年预算要求约为90亿美元。

当FBI说这是“变暗”因为它不能击败加密,它真正要求的是一种打破的方法,比他们已经更便宜,更容易,更可靠。完全满足联邦调查局的需求的唯一方法是在所有平台,应用程序和设备中需要一个后门。特别是在当警察滥用职权全国已经进入新的焦点时,此类投诉应该是一个非首发与民选官员。相反,他们应该质疑警方在如何躲避加密。这些技术不仅仅被用于犯罪分子。

Upturn已在美国跨越2000多个代理商录制了超过2,000个代理商,这些代理商从移动设备取证工具供应商提供产品或服务,包括50个最大的警察局中的每一部,至少有50个最大警长办公室中的至少25个。

像Wray这样的执法官员希望说服我们需要绕过或破坏加密,因为恐怖主义或侵害儿童罪等威胁,但实际上,Upturn的公共记录要求表明,警方使用法医工具来搜索日常低级犯罪的手机。即使是警察' t需要绕过加密 - 例如他们说服某人"同意"为了搜索手机并解锁它 - 这些侵入性警察搜索被使用“作为一个通用的调查工具,以惊人的广泛的罪行,通常没有逮捕令”,“随着Upturn所说的。

向UPTURN提供记录的44项执法机构揭示了2015年至2019年间的至少50,000个手机提取。并且毫无疑问,这一数字是“严重的欠我”,只计算44个机构,当时至少有2,000个机构有工具。许多最大的警察部门,包括纽约,芝加哥,华盛顿D.c。,巴尔的摩和波士顿,无论是否认的兴高的记录请求还是没有回应。

“执法部门...使用这些工具来调查涉及涂鸦,入店行窃,大麻占有,卖淫,破坏,汽车崩溃,假释侵犯,小盗窃,公共中毒以及与毒品有关的犯罪的完整赌博的案件,”Upturn报道。在萨福克县,纽约州的20%的警察搜查的手机是针对麻醉菌的案件。德克萨斯州圣克拉拉县,加利福尼亚州圣克拉拉县的当局,加利福尼亚州和沃思堡,德克萨斯州所有人都报道了手机数据提取的最常见原因之一。这只是一个日常犯罪的一些例子,其中up​​turn发现警察搜查手机:

在一个案例中,警察试图在220美元的秘密大麻萧条后搜索两部手机进行药物销售证据。

警方停止了一辆“左车道违规”的车辆,然后“由于紧张和不一致的故事,一个免费的空气嗅探是由... K9进行的,并向麻醉品进行积极警报。”军官在汽车中找到了大麻袋,然后从汽车的居住者中扣除了八部手机,并试图从他们那里提取数据的“药物交易证据”。

寻找少年的人员涉嫌违反他的电子监测条款的人员在“短脚追求”之后发现了他,其中年轻人将手机扔到地上。官员试图搜索手机以获取“在二级逃脱”的证据。

尽管美国最高法院在Riley v的明确裁决,但是在没有司法权证的情况下,这些搜索经常在没有司法权证的情况下进行。加利福尼亚州的逮捕令需要搜索手机。这是因为警方经常滥用围绕所谓的同意搜索的规则。这些类型的搜索是普遍的,但它们难以互动。 1月份,我们写了关于这些所谓的“同意搜索”是如何非凡的侵犯我们隐私的。

手机的法医搜索越来越普遍。例如,拉斯维加斯警方于2018 - 2016年在2018 - 2016年检查了260%的手机。

搜索通常是跨越的。与要复制的初始疑似,保存,并稍后用于其他目的,数据并不罕见。例如,警方可以认为不相关的数据是“帮派相关”,并将其保留在“帮派数据库”中,这通常是模糊的标准。被置于这样的数据库中,很容易影响人们的未来就业选择。许多警察部门在可以使用法医电话搜索工具时没有任何政策。

代表大会不应将监督不恰当的访问,而不是听取来自联邦机构的联邦机构等个人数据的特征要求,而不是听取一连串的个人资料。

第一步是开始跟踪正在发生的事情。国会要求联邦执法机构创建有关数字搜索的详细审计日志和屏幕录制。我们同意全国各组织的代理商应该收集和发布有关搜查有多少手机的汇总信息,以及这些搜索是否涉及认股权证(具有已发布的逮捕令)或所谓的同意项搜索。代理商还应披露哪些工具用于数据提取和分析。

国会还应考虑在可能发生同意搜查时对其进行急剧限制。在我们1月博客文章中,我们建议在流量停止等高强制设置中完全禁止此类搜索,并建议应在较少强制设置中设置一些特定限制。