ICE potvrđuje korištenje Paragon Graphite špijunskog softvera na šifriranim komunikacijama

ICE potvrđuje korištenje Paragon Graphite špijunskog softvera za presretanje šifriranih komunikacija

Američka agencija za imigraciju i carine (ICE) potvrdila je da je koristila komercijalni špijunski softver tvrtke Paragon Solutions za presretanje šifriranih komunikacija. Direktor ICE-a Todd Lyons otkrio je korištenje Paragonovog alata Graphite, opisujući ga kao dio napora agencije u borbi protiv terorizma i narko-kriminala. Ovo potvrđivanje predstavlja jedno od najjasnije izrečenih javnih priznavanja od strane američke savezne agencije da je koristila napredni komercijalni špijunski softver za nadzor šifriranih poruka.

Ovo otkrivanje izazvalo je oštru kritiku demokratskih zastupnika u Zastupničkom domu, koji su izrazili zabrinutost zbog nedostatka kongresnog nadzora nad načinom na koji je alat nabavljen i korišten.

Što je Paragon Graphite i kako funkcionira?

Paragon Solutions je izraelska tvrtka za nadzorne tehnologije koja svoje proizvode prodaje isključivo vladinim klijentima. Njezin špijunski softver Graphite dizajniran je za kompromitiranje ciljanih uređaja, dajući operaterima pristup komunikacijama koje bi inače bile zaštićene end-to-end enkripcijom.

Ovo je ključna tehnička razlika. Graphite ne razbija same protokole enkripcije. Umjesto toga, djeluje na razini uređaja, pristupajući porukama nakon što su dešifrirane na telefonu ili računalu primatelja ili pošiljatelja. Nakon što je uređaj kompromitiran, špijunski softver može čitati poruke iz aplikacija poput Signala, WhatsAppa ili iMessagea u nešifriranom obliku, jer djeluje unutar uređaja gdje je enkripcija već primijenjena ili uklonjena.

Ovaj pristup ponekad se naziva "napadom na krajnju točku" i specifično je osmišljen kako bi zaobišao sigurnosna jamstva koja pružaju aplikacije za šifriranu razmjenu poruka. Sama enkripcija ostaje netaknuta; ono što se mijenja jest da napadač dobiva pristup uređaju koji čuva ključeve.

Zabrinutosti zbog nadzora i odgovor Kongresa

Ovo potvrđivanje ponovno je raspalilo širu raspravu o tome kako američki organi za provođenje zakona i imigracijske agencije nabavljaju i koriste komercijalne alate za nadzor. Kongresni nadzor nabave špijunskog softvera bio je nedosljedan, a trenutno ne postoji sveobuhvatni savezni zakon koji regulira kako domaće agencije mogu koristiti alate poput Graphitea protiv ciljeva unutar Sjedinjenih Država.

Demokratski zastupnici koji su kritizirali ICE-ovo korištenje alata posebno su istaknuli izostanak bilo kakvog formalnog obavještavanja Kongresa prije nego što je alat počeo biti korišten. Taj propust je važan jer ostavlja izabrane predstavnike, a time i javnost, s ograničenom mogućnošću procjene jesu li odluke o primjeni prikladne, proporcionalne ili pravno utemeljene.

Slučaj Paragon Graphite nije izoliran. Novinska izvješća posljednjih godina otkrila su opsežno korištenje komercijalnog špijunskog softvera, uključujući Pegasus tvrtke NSO Group, od strane vlada diljem svijeta, ponekad usmjerenog protiv novinara, aktivista i političkih protivnika. Iako je ICE Graphite prikazao kao alat za ozbiljne kriminalne istrage, odsutnost nadzornih mehanizama čini neovisnu provjeru otežanom.

Što ovo znači za vas

Za obične korisnike, ovo potvrđivanje postavlja nekoliko važnih točaka koje vrijedi jasno razumjeti.

Prvo, aplikacije za šifriranu razmjenu poruka i dalje su učinkovite u onome za što su dizajnirane. Postojanje špijunskog softvera na razini uređaja poput Graphitea ne znači da je enkripcija slomljena ili da je sigurna razmjena poruka bespotrebna. Za veliku većinu ljudi, snažna enkripcija i dalje pruža smislenu zaštitu.

Drugo, model prijetnje koji alati poput Graphitea predstavljaju uzak je, ali ozbiljan. Ovi su alati skupi, zahtijevaju značajne resurse za primjenu i općenito se koriste protiv specifičnih ciljeva, a ne za masovni nadzor. Ako niste predmet ciljane vladine istrage, izravni rizik od špijunskog softvera poput Graphitea je nizak.

Treće, budući da Graphite djeluje na razini uređaja, a ne na razini mreže, alati za zaštitu privatnosti temeljeni na mreži ne pružaju zaštitu od njega nakon što je uređaj kompromitiran. Razumijevanje stvarnih tehničkih ograničenja bilo kojeg alata za zaštitu privatnosti važno je za donošenje informiranih odluka o vlastitom sigurnosnom stavu.

Ono što je šire važno jest pitanje nadzora. Kada se moćni alati za nadzor koriste bez jasnih pravnih okvira ili kongresnog razmatranja, odgovornost postaje teška bez obzira na navedeno opravdanje.

Ključne točke

• ICE je potvrdio da je koristio Paragonov špijunski softver Graphite za presretanje šifriranih komunikacija, opisujući primjenu kao rad na suzbijanju terorizma i narko-kriminala.
• Graphite funkcionira kompromitiranjem uređaja, a ne razbijanjem protokola enkripcije. Čita poruke nakon dešifriranja na ciljnom uređaju.
• Demokratski zastupnici izrazili su zabrinutost zbog nedostatka kongresnog nadzora nad time kako i kada je ICE nabavio i koristio alat.
• Aplikacije za šifriranu razmjenu poruka i dalje su učinkovite za opću upotrebu. Špijunski softver poput Graphitea ciljani je alat, a ne široka mreža nadzora.
• Središnje političko pitanje koje ovo otkrivanje postavlja nije funkcionira li enkripcija, već postoje li dostatne pravne zaštitne mjere koje reguliraju kako američke agencije koriste komercijalni špijunski softver protiv osoba unutar zemlje.

Kako budu izlazili na vidjelo daljnji detalji o ICE-ovom korištenju Graphitea kroz kongresne istrage i istraživačko novinarstvo, razgovor o nadzoru domaćeg špijunskog softvera vjerojatno se neće stišati. Ostati informiran o tome kako ovi alati funkcioniraju i koji pravni okviri ih reguliraju ili ne reguliraju, najutemeljeniji je odgovor dostupan svakome tko prati ovu priču.