BKA ve Zitis, sıfır gün açıkları arıyor – federal hükümet onlar hakkında hiçbir şey bilmiyor
“Hiçbir şey görme, hiçbir şey duyma, hiçbir şey söyleme”, Federal Kriminal Polis Ofisi (BKA) ve Güvenlik Sektöründe Bilgi Teknolojisi Merkez Ofisi’nin (BKA) sıfır gün istismarları karşısında Federal Hükümet ve AB Komisyonu’nun sloganıdır ( Hacking otoritesi olarak bilinen Zitis), görünüşe göre ellerinde. Her iki yerel güvenlik makamı, Hollanda Adli Tıp Kurumu, Norveç polisi ve Fransız şirketi Synacktiv ile birlikte yüzde 90’ını AB’nin 3,8 milyon avro ile finanse ettiği Overclock projesinin ortakları. Ana hedefi, araştırmacılara şifrelenmiş akıllı telefonlara “canlı erişim” sağlamaktır.
Overclock, “Operasyonel Öncü: Suçla Mücadele için Şifreleme Araştırmasını Kullanma (‘Kilitleme’)” anlamına gelir. 1 Ekim 2021’de başlayan proje, 36 ay sürecek ve Fransa İçişleri Bakanlığı tarafından yönetilecek. Önceki girişimi Cerberus üzerine kuruludur. Bu, AB kolluk kuvvetleri tarafından şifreleri kırmak ve şifrelenmiş cihazlara erişmek için kullanılan bir platformdur.
Resmi proje açıklamasına göre Overclock, “teknik güvenlik açıklarını keşfederek ve suç ağları tarafından kullanılan uygulamalarda tersine mühendislik yaparak” suçluların güvenli BT cihazlarından en üst düzeyde “okunabilir veri çıkarılmasını” sağlamayı amaçlıyor. İstenen gerçek zamanlı erişim, “özel bir istismardır”. Böyle bir hack, “orijinal şifreyi kırmak zorunda kalmadan” verileri okumayı mümkün kılar. Bu, uzaktan, yani cihaza fiziksel erişim olmaksızın bile yapılabilir. En iyi durumda, şifrelemeye dayanan organize suç ağları bu şekilde parçalanmalıdır.
Sıfırıncı Gün Güvenlik Açıkları
New Responsibility Foundation güvenlik uzmanı Sven Herpig, bu duyurular ışığında şunları söylüyor: Twitter’da değerlendirmehız aşırtmayla uğraşanların bu arada “özel olarak uyarlanmış akıllı telefonlarda ve bunların temel sürümlerinde” sıfır gün güvenlik açıkları buldukları. Bunlar, genel halk tarafından henüz bilinmeyen ve bu nedenle özellikle tehlikeli olan güvenlik açıklarıdır. BKA, akıllı telefon istismarlarıyla da ilgilenen benzer AB projesi Exfiles ile de ilgileniyor.
Soldan sorumlu Avrupa Parlamentosu Üyesi Cornelia Ernst, Ekim ayında Komisyon’a amaçlanan canlı erişim için ne tür güvenlik açıklarından yararlanıldığını sordu. İçişleri Komiseri Ylva Johansson’un Ocak ayının sonundan beri mevcut olan yanıtı şaşırtıcı çünkü Brüksel hükümet kurumunun devlet fonlarını serbest bırakmasına dayanan proje tanımıyla tamamen çelişiyor. Şu anda son derece tartışmalı sohbet kontrolünü ve buna bağlı olarak uçtan uca şifrelemeye yönelik saldırıyı zorlayan İsveçli, Overclock’un “herhangi bir casus yazılım biçiminin araştırılması veya geliştirilmesi veya şifrelenmiş cihazlara gerçek zamanlı erişim için tasarlanmadığını iddia ediyor. “
“Kolluk Kuvvetleri için Olay Yeri İncelemesine Yönelik Yönergeler”
Johansson’a göre, proje yalnızca “bir soruşturma sırasında keşfedilen şifreli cihazların uygun şekilde ele alınmasını sağlamak için kolluk kuvvetlerine olay yeri inceleme yönergeleri” sağlamayı amaçlıyor. Uygulama, “kanun yaptırımı için mevcut güvenli bir Europol platformunda” gerçekleşir. Buna ek olarak, ilgili taraflar “cihazlardaki verilere yasal erişimi desteklemek için bir adli tıp aracı” üzerinde çalıştılar.
Herpig’e göre, Overclock akıllı telefonlar için sıfır gün istismarları arıyorsa ve işin içinde BKA ve Zitis varsa, “bu yetkililerin de güvenlik açıklarına erişimi olması” mantıklı. Devlet Bakanı Johann Saathoff, geçen hafta milletvekili Anke Domscheit-Berg’in bir sorusuna verdiği yanıtta, federal hükümetin proje çerçevesindeki bu tür güvenlik boşlukları hakkında “hiçbir bilgisi olmadığını” söyledi. Domscheit-Berg’in parlamentodaki meslektaşı Andrej Hunko, SPD politikacılarına Overclock’un “en son teknoloji şifre arama yöntemlerini dikkate alacağını” ve – gerekirse – bunları Europol platformu için “optimize edeceğini” bildirdi. Görünüşe göre İçişleri Bakanlığı proje açıklamasını bile okumamış.
konu hassas
Konu hassas: Trafik ışığı hükümeti ittifakı, koalisyon anlaşmasında aslında “herhangi bir güvenlik açıkını satın almak veya açık tutmak” yerine, “her zaman mümkün olan en hızlı kapatmayı aramak” için devletten yana konuştu. daha bağımsız Federal Bilgi Güvenliği Ofisi (BSI). deneyin”. Federal İçişleri Bakanlığı (BMI), bundan yaklaşık bir yıl önce, Federal Hükümetin şu anda bu sorunun içeriğiyle ilgilendiğini duyurdu. departmanlar.
BMI aynı zamanda, sorumlu BSI’nın “federal bir makam tarafından bulunan ve üreticiye bildirilmeyen herhangi bir güvenlik açığından haberi olmadığını” söyledi. Almanya için 2021’de revize edilen siber güvenlik stratejisinin bir parçası olarak, eski Federal İçişleri Bakanı Horst Seehofer (CSU), sıfır gün açıklarından yararlanma konusundaki çizgisini hâlâ sürdürüyordu.
Europol’ün 2020’nin sonundan beri bir şifre çözme platformu işlettiği biliniyor. Avrupa güvenlik yetkilileri ayrıca EncroChat, Sky ECC, Anom ve Exclu gibi az çok iyi şifrelenmiş kripto habercilerinden büyük ölçekli iletişimleri çekmeyi başardı. Kıdemli Cumhuriyet Savcısı Markus Hartmann geçtiğimiz günlerde uçtan uca şifrelemenin, en azından çocukların cinsel istismarı alanında, yalnızca çok az sayıda vakada kapsamlı bir soruşturma engeli olduğunu kanıtladı.
(bme)
Haberin Sonu