Τον τελευταίο μήνα είδαμε μια απίστευτη αντιπαράθεση μεταξύ του Υπουργείου Δικαιοσύνης του FBI και της Apple. Το μήλο της έριδος ήταν το iPhone του τρομοκράτη του San Bernardino, που η Apple αρνιόταν να ξεκλειδώσει για το FBI.
Η δημόσια αντιπαράθεση και η έντονα διατυπωμένη ρητορική από το Υπουργείο Δικαιοσύνης έληξε όταν το FBI ανακοίνωσε ότι μια ισραηλινή εταιρεία ασφαλείας θα “σπάσει” το κινητό του τρομοκράτη, αποσύροντας την μήνυση.
Για όσους δεν γνωρίζουν, υπάρχουν πολλές εταιρείες προμηθευτές zero-day exploits, και συνήθως οι καλύτεροι πελάτες τους, είναι κυβερνητικές υπηρεσίες ασφαλείας.
Είναι ευρέως γνωστό πια από τον Edward Snowden ότι η κυβέρνηση χρησιμοποιεί ελαττώματα zero-day και δεν το ανακοινώνει γιατί αν πολύ απλά το αναφέρει στους κατασκευαστές λογισμικού το κενό ασφαλείας θα κλείσει άμεσα.
Αναρωτιέστε ακόμα;
Έτσι το tweet του Christopher Soghoia της ACLU μάλλον δίνει την απάντηση στο ερώτημα του τίτλου: “η κυβέρνηση δεν αποκαλύπτει κενά ασφαλείας σε επιχειρήσεις όπως η Apple”, εάν αποδειχθούν χρήσιμα για τις αρχές επιβολής του νόμου.
[tweet_embed id=712067889071837184]Οι αρχές επιβολής του νόμου που θέλουν να χρησιμοποιούν αυτά τα ελαττώματα για επιτήρηση και οι εταιρείες τεχνολογίας που θέλουν να τα επιδιορθώνουν άμεσα για την προστασία των χρηστών τους από hackers. Εν τω μεταξύ οι μυστικές υπηρεσίες κάθονται ακριβώς στη μέση. Η NSA έχει ξαναπεί ότι αποκαλύπτει τη συντριπτική πλειοψηφία των zero-day, αλλά δεν το κάνει πριν από τη χρήση τους για πρώτη φορά.
Θα αποκαλύψει το FBI το ελάττωμα όταν το χρησιμοποιήσει; “Απίθανο”, δήλωσε ο Soghoian.
Πολλοί πιστεύουν, ότι μια εξωτερική ομάδα ασφαλείας θα μπορούσε να βοηθήσει το FBI να σπάσει το τηλέφωνο με mirroring στη NAND memory, για να μην διαγραφεί η συσκευή όσες φορές και αν χρησιμοποιηθούν συνδυασμοί κωδικών πρόσβασης, από επιθέσεις brute force.
Όποιο και αν είναι το ελάττωμα που θα αξιοποιηθεί στην πραγματικότητα, δεν υπάρχει καμία διαφορά από την κυβερνητική εντολή προς την Apple να ξαναγράψει το λογισμικό της για να παρακάμψει τα χαρακτηριστικά ασφαλείας του iPhone. Με αυτό τον τρόπο το FBI θα μπορούσε να χρησιμοποιήσει επιθέσεις brute force για να ανοίξει το τηλέφωνο.
Σε κάθε περίπτωση, σκεφτείτε το σαν ένα backdoor που η Apple και άλλες εταιρείες τεχνολογίας θα ήθελαν να διορθώσουν άμεσα όπως και κάθε άλλη ευπάθεια.
Φυσικά οι παραπάνω υποθέσεις μπορεί να αποδειχτούν εντελώς αναληθείς αν το FBI σχεδιάζει να παραδώσει άμεσα το exploit μετά το ξεκλείδωμα της συσκευής.
Όπως και να έχει η κυβέρνηση των ΗΠΑ, θα πρέπει να καταθέσει έκθεση για την κατάσταση στο δικαστήριο ως τις 5 Απριλίου και θα μάθουμε περισσότερα.