Yksityisyys

ICE vahvistaa käyttäneensä Paragon Graphite -vakoiluohjelmaa salattuun viestintään kohdistumisessa

4. huhtikuuta 20264 min lukuaika

ICE vahvistaa käyttäneensä Paragon Graphite -vakoiluohjelmaa salattujen viestien sieppaamiseen

Yhdysvaltain maahanmuutto- ja tulliviranomainen ICE on vahvistanut ottaneensa käyttöön Paragon Solutionsin kaupallisen vakoiluohjelman salattujen viestien sieppaamiseksi. ICE:n johtaja Todd Lyons paljasti Paragonin Graphite-työkalun käytön, kuvaillen sitä osana viraston terrorismin ja huumausainerikollisuuden vastaista työtä. Vahvistus on yksi selkeimmistä julkisista myönnytyksistä, joita yhdysvaltalainen liittovaltion virasto on tehnyt siitä, että se on käyttänyt kehittynyttä kaupallista vakoiluohjelmaa salatun viestinnän valvontaan.

Paljastus on herättänyt voimakasta kritiikkiä edustajainhuoneen demokraattien keskuudessa, jotka ilmaisivat huolensa siitä, että kongressin valvonta työkalun hankinnan ja käyttöönoton osalta on ollut puutteellista.

Mikä on Paragon Graphite ja miten se toimii?

Paragon Solutions on israelilainen valvontateknologiayritys, joka myy tuotteitaan yksinomaan julkishallinnon asiakkaille. Sen Graphite-vakoiluohjelma on suunniteltu murtautumaan kohdelaitteihin, antaen operaattoreille pääsyn viestintään, joka olisi muutoin päästä päähän -salauksella suojattu.

Tämä on tärkeä tekninen ero. Graphite ei murtaudu itse salausprotokolliin. Sen sijaan se toimii laitetasolla, käsiksi viesteihin sen jälkeen, kun ne on purettu vastaanottajan tai lähettäjän puhelimessa tai tietokoneessa. Kun laite on vaarantunut, vakoiluohjelma voi lukea viestejä sovelluksista kuten Signal, WhatsApp tai iMessage selkokielisenä, koska se toimii laitteen sisällä, jossa salaus on jo sovellettu tai poistettu.

Tätä lähestymistapaa kutsutaan joskus "päätepisteiskuksi", ja se on nimenomaisesti suunniteltu kiertämään salattujen viestintäsovellusten tarjoamat tietoturvatakeet. Salaus itsessään pysyy ehjänä; se, mikä muuttuu, on se, että hyökkääjä saa pääsyn laitteeseen, jossa avaimet sijaitsevat.

Valvontaan liittyvät huolet ja kongressin reaktio

Vahvistus on sytyttänyt uudelleen laajemman keskustelun siitä, miten Yhdysvaltain lainvalvonta- ja maahanmuuttoviranomaiset hankkivat ja käyttävät kaupallisia valvontatyökaluja. Kongressin valvonta vakoiluohjelmien hankinnan suhteen on ollut epäyhtenäistä, eikä tällä hetkellä ole olemassa kattavaa liittovaltion lakia, joka säätelisi sitä, miten kotimaiset viranomaiset voivat ottaa käyttöön Graphiten kaltaisia työkaluja Yhdysvalloissa olevia kohteita vastaan.

ICE:n käyttöönottoa kritisoineet edustajainhuoneen demokraatit huomauttivat erityisesti siitä, että kongressille ei tehty minkäänlaista virallista ilmoitusta ennen kuin työkalu otettiin käyttöön. Tämä aukko on merkittävä, koska se jättää valitut edustajat ja heidän kauttaan myös suuren yleisön rajallisiin mahdollisuuksiin arvioida, ovatko käyttöönottopäätökset asianmukaisia, oikeasuhteisia tai laillisesti perusteltuja.

Paragon Graphite -tapaus ei ole yksittäinen ilmiö. Viime vuosina tehty tutkiva journalismi on paljastanut kaupallisten vakoiluohjelmien, mukaan lukien NSO Groupin Pegasus, laajamittaisen käytön hallitusten toimesta ympäri maailmaa, toisinaan toimittajia, aktivisteja ja poliittisia vastustajia vastaan. Vaikka ICE on kuvannut Graphitea vakavien rikostutkimusten työkaluna, valvontamekanismien puuttuminen tekee itsenäisen todentamisen vaikeaksi.

Mitä tämä tarkoittaa sinulle

Tavallisille käyttäjille tämä vahvistus nostaa esiin muutamia tärkeitä seikkoja, jotka on syytä ymmärtää selkeästi.

Ensinnäkin, salatut viestintäsovellukset pysyvät tehokkaina siinä, mihin ne on suunniteltu. Graphiten kaltaisten laitetason vakoiluohjelmien olemassaolo ei tarkoita, että salaus olisi murrettu tai että turvallinen viestintä olisi turhaa. Suurelle enemmistölle ihmisistä vahva salaus tarjoaa edelleen merkittävää suojaa.

Toiseksi, Graphiten kaltaisten työkalujen edustama uhkamalli on kapea mutta vakava. Nämä työkalut ovat kalliita, niiden käyttöönotto vaatii merkittäviä resursseja, ja niitä käytetään yleensä tiettyihin kohteisiin eikä massavalvontaan. Jos et ole kohteena kohdennetussa viranomaistutkinnassa, suora riski Graphite-tyylisestä vakoiluohjelmasta on pieni.

Kolmanneksi, koska Graphite toimii laitetasolla eikä verkkotasolla, verkkoperusteiset tietosuojatyökalut eivät tarjoa suojaa sitä vastaan, kun laite on jo vaarantunut. Minkä tahansa tietosuojatyökalun todelliset tekniset rajoitukset on tärkeää ymmärtää, jotta voi tehdä tietoon perustuvia päätöksiä omasta tietoturvastaan.

Se, millä on laajemmin merkitystä, on valvontakysymys. Kun tehokkaita valvontatyökaluja käytetään ilman selkeitä oikeudellisia kehyksiä tai kongressin tarkastelua, vastuu muuttuu vaikeaksi riippumatta esitetystä perustelusta.

Keskeiset johtopäätökset

ICE vahvisti käyttäneensä Paragonin Graphite-vakoiluohjelmaa salattujen viestien sieppaamiseen, kuvaten käyttöönottoa terrorismin ja huumausainerikollisuuden vastaisena työnä.
Graphite toimii vaarantamalla laitteita, ei murtamalla salausprotokollia. Se lukee viestit salauksen purkamisen jälkeen kohdelaitteella.
Edustajainhuoneen demokraatit ovat ilmaisseet huolensa siitä, että kongressin valvonta ICE:n työkalun hankinnan ja käyttöönoton ajoituksen suhteen on puuttunut.
Salatut viestintäsovellukset pysyvät tehokkaina yleisessä käytössä. Graphiten kaltainen vakoiluohjelma on kohdennettu työkalu, ei laaja valvontaverkko.
Tämän paljastuksen keskeinen poliittinen kysymys ei ole se, toimiiko salaus, vaan se, onko olemassa riittäviä oikeudellisia suojatoimia, jotka säätelevät yhdysvaltalaisten viranomaisten kaupallisten vakoiluohjelmien käyttöä maan sisällä olevia ihmisiä vastaan.

Kun lisää yksityiskohtia ICE:n Graphite-käytöstä tulee ilmi kongressin tutkimusten ja tutkivan journalismin kautta, keskustelu kotimaisesta vakoiluohjelmien valvonnasta tuskin hiljenee. Pysyminen ajan tasalla siitä, miten nämä työkalut toimivat ja mitä oikeudellisia kehyksiä niihin sovelletaan tai ei sovelleta, on tasapainoisin saatavilla oleva vastaus kenelle tahansa, joka seuraa tätä asiaa.

// UKK

Mikä on Paragon Graphite ja kuka sen valmistaa?

Paragon Graphite on kaupallinen vakoiluohjelmistotyökalu, jonka on kehittänyt Paragon Solutions, israelilainen valvontateknologiayritys. Yritys myy tuotteitaan yksinomaan julkishallinnon asiakkaille.

Miten Paragon Graphite kiertää salatut viestintäsovellukset kuten Signalin tai WhatsAppin?

Graphite ei murra salausprotokollia suoraan; sen sijaan se vaarantaa kohdelaitteen ja lukee viestit sen jälkeen, kun ne on jo purettu laitteella. Tätä lähestymistapaa kutsutaan päätepisteiskuksi.

Miksi ICE kertoi käyttäneensä Graphite-vakoiluohjelmaa?

ICE:n johtaja Todd Lyons kuvaili Graphiten käyttöä osana viraston terrorismin ja huumausainerikollisuuden vastaisia toimia.

Mitä huolia edustajainhuoneen demokraatit esittivät ICE:n Graphite-käytöstä?

Edustajainhuoneen demokraatit kritisoivat kongressin valvonnan puuttumista työkalun hankinnan ja käyttöönoton osalta, viitaten erityisesti siihen, että kongressille ei tehty minkäänlaista virallista ilmoitusta ennen kuin työkalu otettiin käyttöön.

Onko olemassa liittovaltion lakia, joka säätelee kotimaisille viranomaisille sallittua vakoiluohjelmien kuten Graphiten käyttöä?

Ei, tällä hetkellä ei ole olemassa kattavaa liittovaltion lakia, joka säätelisi sitä, miten kotimaiset viranomaiset voivat ottaa käyttöön kaupallisia valvontatyökaluja kuten Graphitea Yhdysvalloissa olevia kohteita vastaan.