1 puan yazan GN⁺ 2023-08-21 | 1 yorum | WhatsApp'ta paylaş
  • Cellebrite, dünya genelindeki kolluk kuvvetlerinin cep telefonlarının kilidini açıp verileri elde etmek için kullandığı telefon hackleme teknolojisini sağlıyor ve müşterilerinden bu teknolojiyi ve kullanımını sessizce ele almalarını istiyordu
  • Sızdırılan kolluk kuvvetleri eğitim videosunda bir çalışan, mahkemedeki açıklama süreçleri veya tanıklık yoluyla erişim yöntemlerinin ortaya çıkacağı durumları önlemek istediklerini söylüyor
  • Hukuk uzmanlarına göre bu gizlilik, arama izni, delilin kabulü ve sanığın itiraz edebilme imkanını bulanıklaştırarak ceza yargılamasında şeffaflığı zayıflatıyor
  • Cellebrite, araçlarının yasal kullanım, delil zinciri ve adli sürece saygı için tasarlandığını söylese de eğitim içeriğinin değiştirilip değiştirilmediği sorusuna yanıt vermedi
  • Harris Corporation’ın stingray gizlilik anlaşmaları örneğinde olduğu gibi, güçlü soruşturma teknolojileri söz konusu olduğunda ticari sırların korunması ile mahkemede denetim talebi doğrudan çatışıyor

Cellebrite eğitim videosundaki gizlilik talebi

  • Cellebrite teknolojisi, polis ve devlet kurumları tarafından cep telefonlarının kilidini açmak ve içlerindeki verilere ulaşmak için kullanılageldi
  • Şirket, devlet kurumu müşterilerinden kendi teknolojisini ve kullanımını gizli tutmalarını istedi
  • Kolluk kuvveti müşterilerine yönelik sızdırılmış eğitim videosunda, Cellebrite Premium kullanılmadan önce gizlilik ve operasyonel güvenlik vurgulanıyor
    • Cellebrite Advanced Services’in dünya genelinde 9 ülkede 10 laboratuvara sahip olduğu tanıtılıyor
    • Premium özelliklerinin Cellebrite’ın ticari sırrı olduğu ve kolluk kuvvetlerinin bunları kullanmaya devam edebilmesi için korunması gerektiği anlatılıyor
    • Müşterilerden ilgili teknikleri “law enforcement sensitive” olarak ele almaları veya ülke ve kurum standartlarına göre daha yüksek koruma seviyesinde sınıflandırmaları isteniyor

Mahkeme açıklamaları ve tanıklıktan kaçınma isteği

  • Eğitim videosunun ana noktası, mahkemede teknik yöntemlerin ortaya çıkmamasını sağlamak
    • “Nihayetinde veriyi çıkardık ve suçu çözen şey de o veri” anlamında bir açıklama yapılıyor
    • “İçeri nasıl girildiğinin” mümkün olduğunca hush hush tutulması gerektiği söyleniyor
    • Mahkeme açıklama süreçlerinde veya tanıklık sırasında telefona erişim yönteminin tartışılmasıyla teknolojinin sızmasını istemediklerini belirtiyorlar
  • Belgelerin de asgari düzeyde tutulması tavsiye ediliyor
    • Mahkeme raporlarına, sıradan bir kişinin temel kavramı anlayabileceği kadar asgari bilgi konulması isteniyor
    • Premium’un kullanıldığı ve sürümü belirtilebilecek olsa da, telefonda yapılan işlemler ya da Premium grafik kullanıcı arayüzünde görülen ayrıntıların yazılmaması gerektiği söyleniyor
  • Standart operasyon prosedürü belgelerinin de dış denetim veya bilgi edinme taleplerine konu olabileceği uyarısı yapılıyor
    • ISO 17025 dış denetimleri
    • Kurum ve ülke yasalarına göre Freedom of Information Act talepleri

Hukuk uzmanlarının gördüğü usule ilişkin riskler

  • Hukuk uzmanları, Cellebrite gibi güçlü teknolojilerin ve kolluk kuvvetlerinin bunları kullanım biçimlerinin açık ve denetlenebilir olması gerektiğini düşünüyor
  • Stanford University Internet Observatory’den Riana Pfefferkorn, bu tür ürünlerin çıktılarının ceza davalarında suçluluğu ispatlamak için kullanıldığına dikkat çekiyor
    • Sanık tarafı, avukatları veya uzmanları aracılığıyla Cellebrite cihazının nasıl çalıştığını anlayabilmeli ve inceleyebilmeli
    • Cihazın doğru çalışıp çalışmadığına, sonucu etkileyebilecek kusurlar bulunup bulunmadığına karar verebilmeli
    • Yemin altında ifade veren kişiler, şirketin ticari çıkarlarını korumak için sanığın lehine olabilecek önemli bilgileri gizlememeli
  • Ceza avukatı Hanni Fakhoury, delilin nasıl elde edildiğinin açıklanması gerektiğini; ancak bu şekilde savunmanın hukuki sorun olup olmadığını ve delile itiraz edilip edilemeyeceğini değerlendirebileceğini söylüyor
  • Gizlilik, hâkimin aramaya izin vermesi ya da mahkemede belirli veri ve delillerin kullanılmasına izin verilmesi süreçlerindeki şeffaflığı zayıflatabiliyor

Cellebrite’ın gerekçesi ve resmi yanıtı

  • Eğitim videosundaki çalışan, özelliklerin sızmasının dünya çapındaki tüm kolluk kuvvetlerine zarar verebileceğini anlatıyor
    • Suçluların cihaza nasıl erişildiğini ya da belirli şifreli mesajlaşma uygulamalarının çözülebileceğini öğrenmeleri halinde daha zor ya da imkânsız yöntemlere yönelebileceklerini söylüyor
    • Telefon üreticilerinin ürün güvenliğini sürekli güçlendirdiğini, bu yüzden işin zaten zor olduğunu belirtiyor
    • Başarısız bir exploit’in ağa bağlanması durumunda üreticiye cihazın saldırı altında olduğuna dair sinyal gönderebileceğini ifade ediyor
    • Yeterli bilgi birikirse üreticilerin Cellebrite’ın erişim yöntemini çözebileceği uyarısında bulunuyor
  • Cellebrite sözcüsü Victor Cooper, şirketin etik kolluk uygulamalarını desteklemeye bağlı olduğunu söyledi
    • Araçların yasal kullanım, delil zinciri ve adli sürece saygı için tasarlandığını belirtti
    • Müşterilerine herhangi bir yasa, hukuki gereklilik ya da adli bilişim standardını ihlal etmelerini tavsiye etmediklerini söyledi
    • Ticari sırlarını ve özel/gizli bilgilerini koruduklarını ve müşterilerinden de buna saygı göstermelerini beklediklerini ifade etti
    • Yanlış yorumlanabilecek ifadeleri tespit etmek için eğitim materyalleriyle kamuya açık materyalleri geliştirmeyi sürdürdüklerini söyledi
  • Eğitim içeriğinin değiştirilip değiştirilmediği sorusunu yanıtsız bıraktı

Diğer gözetim teknolojilerinde gizlilik örnekleri

  • Electronic Frontier Foundation’dan Saira Hussain ve Cooper Quintin, Cellebrite’ın zafiyetli cihazların istismar edilebildiği bir dünyanın oluşmasına katkı sunduğunu düşünüyor
    • Otoriter ülkeler
    • Suç örgütleri
    • Siber paralı askerler
    • Bunların suç işlemek, muhalif görüşleri susturmak ve insanların mahremiyetini ihlal etmek için kullanılabileceği endişesini taşıyorlar
  • Cellebrite, müşterilerinden teknoloji sırlarını gizli tutmalarını isteyen ilk şirket değil
  • Harris Corporation, stingray olarak bilinen cep telefonu gözetim aracını kullanmak isteyen kolluk kuvvetlerinden gizlilik anlaşması talep ediyordu
    • Bazı durumlarda bu talepler, yetkililerin kullandıkları aracı açıklamak yerine davadan vazgeçmeleri yönündeki istemleri de içeriyordu
    • Bu talepler 2010’ların ortalarına kadar uzanıyor ve hâlâ etkisini sürdürüyor
  • Soruşturma amaçlı hackleme ve gözetim teknolojileri ticari sırlar ve operasyonel güvenlik gerekçesiyle gizlenebilse de, mahkemede delilin nasıl elde edildiği ve ne kadar güvenilir olduğu tartışılabilmeli

1 yorum

 
GN⁺ 2023-08-21
Hacker News yorumları
  • Savunma avukatı olsam savcılığın, Cellebrite gibi bir “hack şirketinin” adli bilişimi doğru yaptığına sadece inanmamızı mı beklediğini kurcalardım.
    Ben olsam Cellebrite’ın itibarını sarsıp, bu aracın ürettiği tüm delilleri güvenilmez göstermeye çalışırdım.

    • Mahkeme salonu bir bilim tartışma platformu olmadığı için bu şaşırtıcı biçimde pek işe yaramayabilir.
      Yangın incelemesi, ısırık izi analizi, DNA temelli analizlerin önemli bir kısmı, ateşli silah balistik incelemesi, yalan makinesi, sahada alkol testi ve hatta “uyuşturucu tanıma uzmanı” sertifikaları gibi sözde bilime yakın şeyler gerçek mahkûmiyetlerde kullanılageldi.
      İsminin arkasında PhD olan, beyaz önlük giyen ya da kulağa makul gelen bir sertifikası bulunan birini tanık kürsüsüne çıkardığınızda bu genelde savcılık lehine iyi çalışıyor.
    • DNA delillerinde de benzer şeyler sık yaşanıyor.
      Savcılık tescilli yazılım ile üretilmiş bir rapor sunuyor, şirket çalışanı da sonuçların doğru olduğunu ve yanlış pozitif olasılığının 10 milyarda 1 olduğunu söylüyor.
      Savunma avukatı bu iddiayı doğrulamak için kaynak koda erişim istediğinde şirket bunun ticari sır olduğunu söylüyor; hâkim de erişime izin vermiyor ama delili de reddetmiyor.
    • Son kısım için gereken cephane burada: https://signal.org/blog/cellebrite-vulnerabilities/
    • Aslında böyle yapılıyor, ama maliyetli.
      Jüri üyesi olduğum bir davada savunma avukatı, kırmızı ışık kamerası şirketinin uzman tanığını tamamen çökertmişti.
      Polis, kameraların hücresel/GPS zamanını kullanarak saatleri uyuşmayan birkaç kameradan 10-12 videoyu birbirine eklemişti; zaman bilgisi çürütülünce tüm dava çöktü ve müvekkilin taksirle adam öldürme suçlaması düştü.
    • Genel olarak Cellebrite yazılımını kullanmış savunma avukatları buna özünde karşı değil.
      Çoğu davada asıl mesele mesaj içerikleri ve zaman damgalarıdır; bunlar da telefonun kendisi, başka yazılımlar veya konuşmanın iki tarafındaki kayıtlarla dışarıdan doğrulanabilir.
      Konum gibi diğer veriler daha az kesin olduğundan doğrulama gerekir ve delilin ne anlama geldiği üzerine ihtilaf çıkar.
      Cellebrite yazılımı ücretini ödeyen iki tarafça da kullanılabilir; eğitim videoları da soruşturma birimlerine sonuçları gerçekten doğrulamalarını önerir.
      Telefon çıkarımı ve ayrıştırması sürekli değişen bir kedi-fare oyunu olduğu için yeniden kontrol ve doğrulama esastır; sorun aracın kendisi değil, soruşturma birimlerinin genelde teknik yetkinliği olmadan masa başında telefon çıkarımı yapıp verileri doğrulamamasıdır.
  • Jüri üyesi olduğum bir davada Cellebrite, GrayKey ve baz istasyonu üçgenlemesi yaygın biçimde kullanıldı.
    Kolluk kuvvetlerinde bunun ne kadar sıradan olduğuna ve iPhone’dan ne kadar çok şey alabildiklerine şaşırdım; pratikte her şeyi alıyorlardı.
    Dava artık bitti ve bu deliller sayesinde kapandı.

    • Daha fazla ayrıntı versen iyi olur.
      Bu tür bilgilerin dışarı çıkmasının en iyi yolu bu olabilir.
    • Sıradan bir polisin kilitli bir iPhone’dan “her şeyi” aldığı söyleniyorsa bu büyük haber.
      Son bildiğimiz kadarıyla FBI bile kilitli bir iPhone 4S’e erişmekte zorlanıyordu; sonraki korumalar ise çok daha güçlendi.
      Ondan sonra bilinen, GrayKey’in parola deneme sınırını aşabildiği; ancak alfasayısal parola kullanılırsa kaba kuvvet saldırısının Güneş’in ömründen daha uzun sürecek hâle getirilebileceği kadardı.
    • İlgi olduğunu şimdi gördüm.
      Eski iPhone’larda, muhtemelen bugüne göre iki-üç nesil önceki modellerde her şey alınabiliyordu.
      Tam modeli hatırlamıyorum ama en yeni iPhone’larda tam disk imajı alamadıklarını, yalnızca “bir miktar” veri, muhtemelen meta veri alabildiklerini duydum.
      GrayKey sürekli yazılımını güncelliyor ve yeni çıkarım yöntemleri buluyor; telefonun gücü bir kez kapatıldıysa çalışmadığını söylediler.
      Çalıştığında diskten her şeyi çıkarıyor, ardından Cellebrite bu veriyi analiz edip kullanıcıya gösteriyor.
      GrayKey cihazı telefona bağlanarak çalışıyor ve telefonun hiç kapatılmamış olması gerekiyor.
      Güvenilmeyen USB ayarı da çalışmasını engellemeye yardımcı oluyor.
    • Sadece “iPhone’dan her şey” deyip bırakmamak lazım.
  • Eskiden her Verizon mağazasında kişileri vb. yeni telefona aktarmak için böyle cihazlar vardı.
    Bir kez polise kullandırmıştım; “Cellebrite kullanıyorsunuz ha? Harika değil mi?” demişti, o sırada bunun büyük bir şey olduğundan hiç haberim yoktu.
    Açıkçası kullanması zahmetli ve yavaş diye düşünüyordum.
    Eski kapaklı telefonlardan fotoğraf aktarmak saatler sürüyordu; akıllı telefonlar çıkmaya başladıktan sonra fotoğraf aktarımını reddediyorduk.
    Telefon kilitliyse hiçbir şey yapamıyordu; Android’de ise bugün ayarların içine gizlenmiş olan USB hata ayıklamayı açmak gerekiyordu.

    • Cellebrite’ın birden fazla ürün grubu var.
      Alt seviye ürünler mağaza tipi veri yedekleme yapıyor, üst seviye ürünler ise en yeni iPhone’lara sızıyor.
  • Nintendo Switch’in Tegra X1 açığını ticarileştirenler çarmıha gerilir gibi cezalandırıldı; buna karşılık bu tür açıkları ticarileştirenlerin her aşamada yeşil ışık alması ilginç.
    Bu dünyada telif hakkı ve şirket sırları, bireysel mahremiyet ve gizlilikten önce geliyor gibi görünüyor.

    • Ne yazık ki Cellebrite burada büyük olasılıkla DMCA’yı ihlal etmiyor.
  • Hâlâ ilginç bir yazı: https://signal.org/blog/cellebrite-vulnerabilities/

    • Epey sert bir metin.
      Özellikle muzip cümlesi güldürdü.
      “İnanılması güç bir tesadüfle, geçenlerde yürüyüş yaparken önümdeki kamyondan küçük bir paket düştüğünü gördüm. Yaklaştıkça bulanık şirket yazı tipi yavaş yavaş netleşti: Cellebrite. İçinde en yeni Cellebrite yazılımı, korsan kopyayı önlemek için bir donanım dongle’ı (müşterileri hakkında bir şeyler söylüyor sanki!) ve tuhaf derecede çok sayıda kablo adaptörü vardı.”
    • Bu yazı harikaydı ve Signal kullandığım için daha da memnun oldum.
      Gerçekten müthiş bir okumaydı.
  • Delil zinciri bozulmuşken mahkemenin bunu nasıl kabul edeceğini bilmiyorum
    iPhone kullanıcılarının, cihazlarının daha sonra soruşturma için kopyalanmaması adına eşleştirme kilidi koyması iyi olur
    https://arkadiyt.com/2019/10/07/pair-locking-your-iphone-wit...

    • Şifreli yedekleme parolası belirleyip, maksimum entropi için semboller içeren alfanümerik bir parola kullanmak da aynı etkiyi yaratmaz mı diye düşünüyorum
      Anladığım kadarıyla Cellebrite, çok gizli bir sürüm değilse aslında gelişmiş bir iTunes yedekleme cihazına yakın; evde telefonu elle yedeklerken gereken koşullardan daha azıyla çalışıyor gibi görünmüyor
    • Elbette bir güvenlik açığı varsa bu tür korumalar da aşılabilir
  • Mahkemeye götürülen şey olgulardır; o olguların nasıl elde edildiğine dair makul görünen bir hikâye değil
    Savunma, olguların yanlış olduğuna inanıyorsa toplama yöntemine itiraz edebilir; o zaman uzman tanık mahkemede toplama sürecini açıklar
    Zaten şu anda Cellebrite ile en yeni telefonlardan doğrudan çıkarım yapılamıyor
    Telefonu laboratuvara gönderiyorsunuz, bir imaj alıp Physical Analyzer’a koyuyorsunuz; gerçek telefon açığı kullanma kısmını ise Cellebrite hallediyor, böylece sızıntı konusunda endişelenmiyorsunuz

    • “Mahkemeye götürülen şey olgulardır; o olguların nasıl elde edildiğine dair makul görünen bir hikâye değil” ifadesi doğru değil
      Polisin kanıtı makul görünen bir prosedürle elde etmiş gibi göstermek için nereye kadar gidebildiğini görmek istiyorsanız paralel kurgulamaya bakın
      [0]https://en.wikipedia.org/wiki/Parallel_construction
    • Cellebrite’ın iç prosedürleri de hâlâ keşif sürecine tabi olmalı
      Sanığın, çıkarım sürecinde kusur olduğunu gösterebilme hakkı vardır; aksi hâlde bu yanlış hükme yol açabilir
      ABD ceza yargılamasında gizli, sihirli bir kara kutu süreci delil niteliği taşıyan kanıt üretemez
    • Yanlış
      Delil zinciri gerekir
      Yoksa kötü bir polis birini tuzağa düşürebilir
  • Bu incelemelerin büyük çoğunluğu, geçerli bir mahkeme tarafından çıkarılmış arama emri yetkisi kapsamında yapılıyor
    Polisin cihaz verilerine erişme hakkı var ve yöntemin pek de önemli olmadığı görüşündeler
    Cellebrite veya Greyshift gibi şirketlerin açıkları son derece gizli tutmasının nedenlerinden biri, Apple ya da Google’ın güvenlik mekanizmalarının nasıl aşıldığını anlar anlamaz bunu bir güncellemeyle kapatması
    Süregelen bir kedi-fare oyunu

    • Hukuk sistemi nasıl görürse görsün, verinin değiştirilip değiştirilmediğini tartmak için erişim yöntemi kesinlikle önemlidir
      Dosya sistemi meta verileri gibi şeyler etkilenebilir
  • Bunlar belirsizliğe dayalı güvenlik talep ediyor ve bunun uzun ömürlü olacağını sanıyorlar
    Yazıda ürün demo eğitim videosundan söz ediliyor, ama gördüğüm kadarıyla eklenmemişti
    Neden yayımlamadıklarını bilmiyorum
    Polise şirket malını korumasını söyledikleri bir kayıt değil, bu şirket benim mülküme yasa dışı eriştiğinde nelere erişebileceğini görmek istiyorum
    Yetkisiz bir bilgisayar sistemine erişirseniz, yani hacklerseniz, federal suç işlemiş olursunuz; ama bir şirket tam da bu yeteneği büyük ölçekte kolluk kuvvetlerine yasal olarak satıyor ve bunu gizli tutmalarını söylüyor
    Son kontrol ettiğimde hukuk hukuktur ve yalnızca sıradan insanlar için değil, herkes için geçerlidir
    “premium’dan mutlaka bahsedin” kısmı da akıl almaz
    Yasa dışı hacklemenin iç yapısını açıklamayın, ama premium ürünü hükümet ve kolluk mensupları görüp abone olsun diye tanıtın demeye getiriyorlar
    Tanık kürsüsüne çıkıp premium’dan ve WHOWATCHESTHEWATCHERS tavsiye kodundan bahsedince ilk ay %60 indirim mi veriyorlar acaba
    Bu şirketlere nasıl izin verildiğini bilmiyorum
    Normalde onları tutuklaması gereken kişilerin müşterileri olduğu için yasayı çiğnemelerinde sorun yokmuş gibi bir yapı

  • San Bernardino saldırısından sonra Apple ile FBI’ın iPhone şifresini çözme meselesini medyada Apple’a karşı FBI çerçevesinde paketlemesi komikti
    Aslında FBI, iCloud üzerinden istediği tüm verilere erişebiliyordu ve bu, Apple’ın açıkça bıraktığı şifreleme arka kapısı sayesinde mümkündü
    https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv...
    Şimdi Apple doğal olarak bu tür ekipmanları tersine mühendislikle inceleyip açıkları bulmak ve yamamak istiyor olmalı; Cellebrite’ın ekipman sattığı yerel polislerin önemli bir kısmı da Apple/FBI propagandası yüzünden Apple’ın kolluk kuvvetleriyle işbirliğine karşı olduğuna inandırılmış durumda, bu yüzden bu şartlara uyma ihtimalleri yüksek
    Yine de uzun vadede Apple güvenliği kazanacak gibi görünüyor
    Bir kez sızması bile Apple’ın açığı yamamasına yeter; Apple’ın parası da çok, FBI/DHS vb. ile işbirliği de var
    Yazıda alıntılanan eğitim içeriğine bakınca bile Cellebrite’ın sonunda kaybedeceği bir mücadele verdiğini bildiği anlaşılıyor
    Bilgi zaman geçtikçe daha gizli hâle gelmez; ancak daha az gizli hâle gelir

    • Hatırladığım kadarıyla süreç böyle ilerlemedi
      Yetkililer cihazın kendisine erişmek istiyordu ve iCloud yedeğinde olmayabilecek şeyleri elde etmek için “sadece iyi insanların kullanacağı” bir cihaz arka kapısı talep ediyorlardı
      Apple bunu reddetti; tartışma ve haberler de bu noktadan çıktı
      Apple, kolluk kuvvetlerinin iCloud yedeklerine erişebildiğini kamuoyuna açıkladı ve sizin verdiğiniz makalede de bu yer alıyor
      FBI için “açıkça korunmuş bir arka kapı” yoktu; o dönemde iCloud yedekleri yalnızca uçtan uca şifreli değildi
      Bu da o zamanlar bir ölçüde yaygın olarak biliniyordu; bu yüzden iTunes ile yedekleme önerileri çoktu
      Çünkü iTunes’ta yedeklemeyi şifreleme seçeneği hâlâ vardı
    • Cellebrite iyi özellikleri kendi tesislerinde tutuyor
      Telefonu gönderirseniz sizin yerinize kırıyorlar
    • Ancak artık Apple, iCloud’da uçtan uca şifreleme sunuyor ve hâlâ başkalarının kendi firmware’ine ve Secure Enclave’e girmesini istemiyor