SIKKERHET

Advarer mot bruktsalg av hackerutstyr

FBI og politiets foretrukne knekkeutstyr selges billig på markedsplassen eBay.

Bildet viser kriminalteknisk utstyr fra Cellebrite som henter ut data fra en Samsung-mobil under en demonstrasjon ved et opplæringssenter i Beijing i fjor sommer.
Bildet viser kriminalteknisk utstyr fra Cellebrite som henter ut data fra en Samsung-mobil under en demonstrasjon ved et opplæringssenter i Beijing i fjor sommer. Foto: Catherine Cadell, Reuters
1. mars 2019 - 13:42

Det israelske selskapet Cellebrite liker dårlig at spesialutstyret de tilbyr politi, forsvar og etterretning havner på bruktmarkedet.

De er blant en liten håndfull leverandører av fysiske bokser og programvare laget for å knekke kopilås og kryptering på smarttelefoner og nettbrett, slik at innhold og digitale spor kan hentes ut.

Verktøy som nytt koster fra 6 000 dollar og oppover selges brukt på eBay til priser ned mot 100 dollar, til leverandørens store frustrasjon. Det skriver Forbes.

Amerikanske FBI er en kjent storkunde. Her til lands er også kollegene i Kripos på kundelisten. Det viser VGs referat fra den mye omtalte narko- og korrupsjonssaken mot Eirik Jensen, der en Kripos-analytiker nevner Cellebrite som et verktøy de benytter seg av.

Ber kundene destruere

Cellebrite advarer mot bruktsalget i et brev til kundene som finanstidsskriftet har fått tak i. 

Her blir det understreket at de ikke tillater videresalg eller distribusjon av slikt utstyr uten skriftlig godkjenning fra selskapet.

– Vi anmoder dere om å behandle alt Cellebrite-utstyr i organisasjonen din med høyeste nivå av sikkerhet. Skulle du ha enheter som ikke lenger er i bruk, så ber vi om at dere destruerer dette på sikkert vis, eller returnerer varene til oss slik at vi kan gjøre det, blir det opplyst i brevet.

Henvendelsen kommer med en klar bekymring om at bruktutstyr kan inneholde sensitive data eller privat informasjon, som ikke bør komme på avveie.

Utstyret lekker

Frykten ser ut til å være velbegrunnet, for dette har ifølge Forbes allerede skjedd. Sikkerhetsforsker Matthew Hickey gikk nylig til innkjøp av et dusin brukte Cellebrite-bokser av typen UFED.

Han skal ha påvist at bruktutstyret inneholdt en rekke data, blant annet informasjon fra håndsett som tidligere er blitt gransket med enhetene, når de ble undersøkt, hva slags data som ble hentet ut, inkludert også telefonenes unike IMEI-koder.

Hickey er overbevist om at han kunne ha rekonstruert eller hentet ut mer persondata, som kontaktlister og chattehistorikk. Han tror også at en ondsinnet hacker antakeligvis kunne ha identifisert mistenkte og relevante saker.

– Det ville ha føltes litt fælt å komme over et bilde fra åstedet til en kriminell handling eller lignende, sier sikkerhetsforskeren til avisen. Han bedyrer at han valgte å ikke grave dypere.

Cellebrite har ikke besvart Forbes gjentatte forespørsler om å gi en kommentar, til tross for at de har forsøkt over to uker.

Dyre hemmeligheter

Digi.no har tidligere omtalt Cellebrite, samt også konkurrenten Grayshift fra USA, som leverandører av kostbart hackeutstyr til politimyndigheter.

Blant annet da Apple i fjor innførte en ny sperre, som tilsynelatende gjorde utstyret mindre effektivt, og i visse tilfeller ubrukelig, ettersom dataporten på iPhone eller iPad i nyere utgaver av iOS blir deaktivert når enheten har vært låst en periode. I senere omtale kom det fram at det begrensede tidsvinduet likevel kunne utvides.

Det er en kjent sak at sårbarheter i slike plattformer, inkludert ukjente svakheter (såkalte zero day-hull) kan være verdt svært store summer. Det finnes dusørprogrammet som betaler flere millioner dollar for fungerende angrepsteknikker.

Cellebrite skal angivelig kunne knekke sikkerheten på nyere Apple-modeller, helt opp til iPhone X, men teknikkene de bruker kan betraktes som ferskvare. En konkret teknikk går ut på dato straks Apple, for eksempel, utgir en sikkerhetsfiks som fjerner sårbarheten de utnytter.

I fjor forklarte det israelske selskapet til Forbes at derfor er nødt til å sitte på hemmelighetene sine, for å unngå at hullene tettes.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.