Personvern

ICE bekrefter bruk av Paragon Graphite-spionprogramvare på kryptert kommunikasjon

4. april 20264 min lesing

ICE bekrefter at de brukte Paragon Graphite-spionprogramvare for å avlytte kryptert kommunikasjon

Det amerikanske immigrasjons- og tollhåndhevingsbyrået har bekreftet at det tok i bruk kommersiell spionprogramvare fra Paragon Solutions for å avlytte kryptert kommunikasjon. ICE-direktør Todd Lyons avslørte bruken av Paragons Graphite-verktøy og beskrev det som en del av byråets arbeid mot terrorisme og narkotika. Bekreftelsen er en av de klareste offentlige innrømmelsene fra et amerikansk føderalt byrå om at det har brukt avansert kommersiell spionprogramvare til å overvåke krypterte meldinger.

Avsløringen har møtt sterk kritikk fra demokrater i Representantenes hus, som uttrykte bekymring over mangelen på kongresstitlsyn med hvordan verktøyet ble anskaffet og tatt i bruk.

Hva er Paragon Graphite og hvordan fungerer det?

Paragon Solutions er et israelsk overvåkningsteknologiselskap som selger produktene sine utelukkende til offentlige kunder. Selskapets Graphite-spionprogramvare er utviklet for å kompromittere målenheter og gi operatørene tilgang til kommunikasjon som ellers ville være beskyttet av ende-til-ende-kryptering.

Dette er en viktig teknisk distinksjon. Graphite bryter ikke selve krypteringsprotokollene. I stedet opererer det på enhetsnivå og får tilgang til meldinger etter at de er dekryptert på mottakerens eller avsenderens telefon eller datamaskin. Når en enhet er kompromittert, kan spionprogramvaren lese meldinger fra apper som Signal, WhatsApp eller iMessage i klartekst, fordi den opererer inne i enheten der krypteringen allerede er anvendt eller fjernet.

Denne tilnærmingen kalles noen ganger et «endepunktsangrep», og den er spesifikt utviklet for å omgå sikkerhetsgarantiene som krypterte meldingsapper tilbyr. Selve krypteringen forblir intakt; det som endrer seg, er at en angriper får tilgang til enheten som holder nøklene.

Bekymringer om tilsyn og kongressens respons

Bekreftelsen har gjenopplivet en bredere debatt om hvordan amerikanske rettshåndhevelses- og immigrasjonsbyråer anskaffer og bruker kommersielle overvåkningsverktøy. Kongressens tilsyn med anskaffelse av spionprogramvare har vært inkonsekvent, og det finnes foreløpig ingen omfattende føderal lov som regulerer hvordan innenlandske byråer kan ta i bruk verktøy som Graphite mot mål inne i USA.

Demokrater i Representantenes hus som kritiserte ICEs bruk av verktøyet, pekte spesifikt på fraværet av enhver formell varsling til Kongressen før verktøyet ble tatt i bruk. Dette gapet er viktig fordi det etterlater folkevalgte representanter, og i forlengelsen av dette også offentligheten, med begrenset mulighet til å vurdere om beslutningene om bruk er hensiktsmessige, forholdsmessige eller juridisk forsvarlige.

Paragon Graphite-saken er ikke et isolert tilfelle. Rapportering de siste årene har avdekket omfattende bruk av kommersiell spionprogramvare, inkludert NSO Groups Pegasus, av regjeringer over hele verden – noen ganger mot journalister, aktivister og politiske motstandere. Selv om ICE har fremstilt Graphite som et verktøy for alvorlige kriminelle etterforskninger, gjør fraværet av tilsynsmekanismer uavhengig verifisering vanskelig.

Hva dette betyr for deg

For vanlige brukere reiser denne bekreftelsen noen viktige punkter som er verdt å forstå tydelig.

For det første forblir krypterte meldingsapper effektive til det de er utviklet for å gjøre. Eksistensen av spionprogramvare på enhetsnivå som Graphite betyr ikke at kryptering er brutt, eller at sikker meldingsutveksling er meningsløst. For det store flertallet av mennesker fortsetter sterk kryptering å gi meningsfull beskyttelse.

For det andre er trusselmodellen som verktøy som Graphite representerer, snever men alvorlig. Disse verktøyene er kostbare, krever betydelige ressurser å ta i bruk, og brukes generelt mot spesifikke mål fremfor til masseovervåkning. Hvis du ikke er gjenstand for en målrettet offentlig etterforskning, er den direkte risikoen fra Graphite-lignende spionprogramvare lav.

For det tredje, siden Graphite opererer på enhetsnivå snarere enn nettverksnivå, gir nettverksbaserte personvernverktøy ikke beskyttelse mot det når en enhet først er kompromittert. Å forstå de faktiske tekniske begrensningene ved ethvert personvernverktøy er viktig for å ta informerte beslutninger om din egen sikkerhetssituasjon.

Det som har bred betydning, er spørsmålet om tilsyn. Når kraftige overvåkningsverktøy brukes uten klare juridiske rammeverk eller kongresskontroll, blir ansvarlighet vanskelig uavhengig av den oppgitte begrunnelsen.

Viktige punkter

ICE bekreftet at de brukte Paragons Graphite-spionprogramvare for å avlytte kryptert kommunikasjon, og fremstilte bruken som arbeid mot terrorisme og narkotika.
Graphite fungerer ved å kompromittere enheter, ikke ved å bryte krypteringsprotokoller. Det leser meldinger etter dekryptering på målenheten.
Demokrater i Representantenes hus har uttrykt bekymring over mangelen på kongresstitlsyn med hvordan og når ICE anskaffet og tok i bruk verktøyet.
Krypterte meldingsapper forblir effektive til generell bruk. Spionprogramvare som Graphite er et målrettet verktøy, ikke et bredt overvåkningsnettverk.
Det sentrale politiske spørsmålet som denne avsløringen reiser, er ikke om kryptering fungerer, men om det finnes tilstrekkelige juridiske rammer for å regulere hvordan amerikanske byråer bruker kommersiell spionprogramvare mot mennesker inne i landet.

Etter hvert som flere detaljer om ICEs bruk av Graphite kommer frem gjennom kongressforespørsler og undersøkende journalistikk, er det lite sannsynlig at debatten om innenlandsk tilsyn med spionprogramvare vil roe seg ned. Å holde seg informert om hvordan disse verktøyene fungerer, og hvilke juridiske rammer som eventuelt regulerer dem, er den mest velfunderte responsen som er tilgjengelig for alle som følger denne saken.

// FAQ

Hva er Paragon Graphite og hvem lager det?

Paragon Graphite er et kommersielt spionprogramvareverktøy utviklet av Paragon Solutions, et israelsk overvåkningsteknologiselskap. Selskapet selger produktene sine utelukkende til offentlige kunder.

Hvordan omgår Paragon Graphite krypterte meldingsapper som Signal eller WhatsApp?

Graphite bryter ikke krypteringsprotokollene direkte; i stedet kompromitterer det målenheten og leser meldinger etter at de allerede er dekryptert på enheten. Denne tilnærmingen er kjent som et endepunktsangrep.

Hvorfor sa ICE at de brukte Graphite-spionprogramvaren?

ICE-direktør Todd Lyons beskrev bruken av Graphite som en del av byråets arbeid mot terrorisme og narkotika.

Hvilke bekymringer reiste demokrater i Representantenes hus om ICEs bruk av Graphite?

Demokrater i Representantenes hus kritiserte mangelen på kongresstitlsyn med hvordan verktøyet ble anskaffet og tatt i bruk, og pekte spesifikt på fraværet av enhver formell varsling til Kongressen før verktøyet ble tatt i bruk.

Finnes det en føderal lov som regulerer hvordan innenlandske byråer kan bruke spionprogramvare som Graphite?

Nei, det finnes foreløpig ingen omfattende føderal lov som regulerer hvordan innenlandske byråer kan ta i bruk kommersielle overvåkningsverktøy som Graphite mot mål inne i USA.