ICE potwierdza wykorzystanie oprogramowania szpiegującego Paragon Graphite do przechwytywania szyfrowanych komunikatów

ICE potwierdza wykorzystanie oprogramowania szpiegującego Paragon Graphite do przechwytywania szyfrowanych komunikatów

Agencja ds. Imigracji i Egzekwowania Ceł Stanów Zjednoczonych potwierdziła, że wdrożyła komercyjne oprogramowanie szpiegujące firmy Paragon Solutions w celu przechwytywania szyfrowanych komunikatów. Dyrektor ICE Todd Lyons ujawnił wykorzystanie narzędzia Graphite firmy Paragon, opisując je jako element działań agencji w zakresie zwalczania terroryzmu i narkotyków. Potwierdzenie to stanowi jedno z najwyraźniejszych publicznych przyznań ze strony federalnej agencji USA, że korzystała z zaawansowanego komercyjnego oprogramowania szpiegującego do inwigilowania szyfrowanych wiadomości.

Ujawnienie tej informacji spotkało się z ostrą krytyką ze strony demokratów w Izbie Reprezentantów, którzy wyrazili obawy dotyczące braku nadzoru kongresowego nad sposobem pozyskania i wdrożenia tego narzędzia.

Czym jest Paragon Graphite i jak działa?

Paragon Solutions to izraelska firma zajmująca się technologiami inwigilacyjnymi, która sprzedaje swoje produkty wyłącznie klientom rządowym. Jej oprogramowanie szpiegujące Graphite jest zaprojektowane tak, aby kompromitować urządzenia docelowe, dając operatorom dostęp do komunikatów, które w innym przypadku byłyby chronione przez szyfrowanie end-to-end.

Jest to istotna różnica techniczna. Graphite nie łamie samych protokołów szyfrowania. Zamiast tego działa na poziomie urządzenia, uzyskując dostęp do wiadomości po ich odszyfrowaniu na telefonie lub komputerze odbiorcy albo nadawcy. Po skompromitowaniu urządzenia oprogramowanie szpiegujące może odczytywać wiadomości z aplikacji takich jak Signal, WhatsApp czy iMessage w postaci jawnego tekstu, ponieważ działa wewnątrz urządzenia, gdzie szyfrowanie zostało już zastosowane lub usunięte.

Takie podejście bywa nazywane „atakiem na punkt końcowy" i jest specjalnie zaprojektowane, aby obchodzić gwarancje bezpieczeństwa oferowane przez aplikacje do szyfrowanej komunikacji. Samo szyfrowanie pozostaje nienaruszone; zmienia się jedynie to, że atakujący uzyskuje dostęp do urządzenia, które przechowuje klucze.

Obawy dotyczące nadzoru i reakcja Kongresu

Potwierdzenie na nowo rozbudziło szerszą debatę o tym, w jaki sposób organy ścigania i agencje imigracyjne USA pozyskują i wykorzystują komercyjne narzędzia inwigilacyjne. Nadzór kongresowy nad zakupem oprogramowania szpiegującego był niespójny, a obecnie nie istnieje żadne kompleksowe prawo federalne regulujące, w jaki sposób krajowe agencje mogą wdrażać narzędzia takie jak Graphite przeciwko celom na terenie Stanów Zjednoczonych.

Demokraci w Izbie Reprezentantów, którzy skrytykowali działania ICE, wskazali w szczególności na brak jakiegokolwiek formalnego powiadomienia Kongresu przed uruchomieniem narzędzia. Ta luka ma znaczenie, ponieważ pozostawia wybranych przedstawicieli, a co za tym idzie — opinię publiczną, z ograniczoną możliwością oceny, czy decyzje o wdrożeniu są właściwe, proporcjonalne i prawnie uzasadnione.

Sprawa Paragon Graphite nie jest odosobniona. Doniesienia z ostatnich lat ujawniły szerokie wykorzystywanie komercyjnego oprogramowania szpiegującego, w tym Pegasusa firmy NSO Group, przez rządy na całym świecie — niekiedy wobec dziennikarzy, aktywistów i politycznych oponentów. Choć ICE przedstawiło Graphite jako narzędzie służące poważnym śledztwom kryminalnym, brak mechanizmów nadzoru utrudnia niezależną weryfikację.

Co to oznacza dla Ciebie

Dla zwykłych użytkowników potwierdzenie to rodzi kilka ważnych kwestii, które warto wyraźnie zrozumieć.

Po pierwsze, szyfrowane aplikacje do przesyłania wiadomości nadal skutecznie spełniają swoje zadanie. Istnienie oprogramowania szpiegującego działającego na poziomie urządzenia, takiego jak Graphite, nie oznacza, że szyfrowanie jest złamane ani że bezpieczna komunikacja jest bezcelowa. Dla zdecydowanej większości ludzi silne szyfrowanie nadal zapewnia realną ochronę.

Po drugie, model zagrożenia, który reprezentują narzędzia takie jak Graphite, jest wąski, lecz poważny. Narzędzia te są drogie, wymagają znacznych zasobów do wdrożenia i są stosowane zazwyczaj wobec konkretnych celów, a nie do masowej inwigilacji. Jeśli nie jesteś przedmiotem ukierunkowanego dochodzenia rządowego, bezpośrednie ryzyko ze strony oprogramowania szpiegującego w stylu Graphite jest niskie.

Po trzecie, ponieważ Graphite działa na poziomie urządzenia, a nie sieci, sieciowe narzędzia ochrony prywatności nie zapewniają ochrony przed nim w przypadku skompromitowania urządzenia. Zrozumienie rzeczywistych ograniczeń technicznych każdego narzędzia ochrony prywatności jest istotne dla podejmowania świadomych decyzji dotyczących własnego bezpieczeństwa.

Kwestia, która ma szerokie znaczenie, to pytanie o nadzór. Gdy potężne narzędzia inwigilacyjne są używane bez jasnych ram prawnych lub kontroli kongresowej, rozliczalność staje się trudna bez względu na podawane uzasadnienie.

Podsumowanie

• ICE potwierdziło, że wykorzystało oprogramowanie szpiegujące Graphite firmy Paragon do przechwytywania szyfrowanych komunikatów, przedstawiając wdrożenie jako działanie w zakresie zwalczania terroryzmu i narkotyków.
• Graphite działa poprzez kompromitowanie urządzeń, a nie łamanie protokołów szyfrowania. Odczytuje wiadomości po ich odszyfrowaniu na urządzeniu docelowym.
• Demokraci w Izbie Reprezentantów wyrazili obawy dotyczące braku nadzoru kongresowego nad tym, jak i kiedy ICE pozyskało i wdrożyło narzędzie.
• Szyfrowane aplikacje do przesyłania wiadomości pozostają skuteczne do ogólnego użytku. Oprogramowanie szpiegujące takie jak Graphite jest narzędziem ukierunkowanym, a nie szeroką siecią inwigilacyjną.
• Centralne pytanie polityczne wynikające z tego ujawnienia dotyczy nie tego, czy szyfrowanie działa, lecz tego, czy istnieją wystarczające zabezpieczenia prawne regulujące sposób, w jaki agencje USA wykorzystują komercyjne oprogramowanie szpiegujące przeciwko osobom przebywającym na terenie kraju.

W miarę jak w toku dochodzeń kongresowych i dziennikarskich śledztw będą pojawiać się kolejne szczegóły dotyczące wykorzystania Graphite przez ICE, debata na temat nadzoru nad krajowym oprogramowaniem szpiegującym najprawdopodobniej nie ucichnie. Śledzenie na bieżąco informacji o tym, jak działają te narzędzia i jakie ramy prawne je regulują — lub nie regulują — jest najbardziej ugruntowaną odpowiedzią dostępną dla każdego, kto obserwuje tę sprawę.