Τα εργαλεία Cellebrite βρίσκονται ξανά στο επίκεντρο διεθνούς αντιπαράθεσης για την ψηφιακή καταστολή. Νέα έρευνα δείχνει ότι ρωσικές αρχές τα αξιοποίησαν εναντίον αντιπολιτευόμενου, παρά τις διαβεβαιώσεις της εταιρείας ότι είχε διακόψει κάθε συνεργασία.
Τα εργαλεία Cellebrite αναδεικνύονται σε χαρακτηριστικό παράδειγμα του πώς η εμπορία συστημάτων ψηφιακής διείσδυσης μπορεί να ξεφύγει από τον έλεγχο του κατασκευαστή. Νέα στοιχεία δείχνουν ότι ρωσικές ανακριτικές αρχές χάκαραν το iPhone του αντιπολιτευόμενου Αντρέι Πιβοβάροφ το 2021, χρησιμοποιώντας συσκευή UFED της εταιρείας, παρότι η Cellebrite είχε ήδη ανακοινώσει ότι διακόπτει κάθε συνεργασία με ρωσικούς κρατικούς φορείς.
Πώς χρησιμοποιήθηκαν τα εργαλεία Cellebrite από τις ρωσικές αρχές;
Ερευνητές του Citizen Lab εντόπισαν ψηφιακά ίχνη χρήσης του UFED στο τηλέφωνο του Πιβοβάροφ, μετά τη σύλληψη και κατάσχεση των συσκευών του τον Μάιο του 2021. Σύμφωνα με τα ευρήματά τους, οι ρωσικές αρχές κατάφεραν να εξαγάγουν δεδομένα από εφαρμογές όπως WhatsApp και Telegram, αλλά και να πραγματοποιήσουν στοχευμένες αναζητήσεις για πολιτικούς όρους και ονόματα αντιφρονούντων.
Ιδιαίτερη βαρύτητα έχει και δικαστικό έγγραφο που ο ίδιος ο Πιβοβάροφ παρέδωσε στους ερευνητές, όπου αναφέρεται ρητά η χρήση της πλατφόρμας Cellebrite UFED από το Κρατικό Εγκληματολογικό Κέντρο. Το έγγραφο περιγράφει την τεχνική διαδικασία πρόσβασης και ανάλυσης των δεδομένων, επιβεβαιώνοντας ότι το εργαλείο αξιοποιήθηκε επίσημα στο πλαίσιο της δίωξής του.
Γιατί δεν απενεργοποιήθηκαν τα εργαλεία Cellebrite μετά την «διακοπή σχέσεων»;
Η Cellebrite είχε ανακοινώσει τον Μάρτιο του 2021 ότι σταματά «άμεσα» πωλήσεις και υπηρεσίες προς τη Ρωσία, υποστηρίζοντας μάλιστα ότι μπορεί να σταματήσει τη λειτουργία των συσκευών ή την παροχή ενημερώσεων λογισμικού. Το περιστατικό Πιβοβάροφ εγείρει το ερώτημα κατά πόσο αυτά τα τεχνικά αντίμετρα είναι ουσιαστικά εφαρμόσιμα στην πράξη ή παραμένουν περισσότερο επικοινωνιακή δέσμευση.
Ο Ισραηλινός δικηγόρος ανθρωπίνων δικαιωμάτων Εϊτάι Μακ επισημαίνει ότι η διακοπή πωλήσεων ή η ανάκληση αδειών λογισμικού δεν αρκούν για να αποτρέψουν την κατάχρηση, όταν ο υλικός εξοπλισμός έχει ήδη παραδοθεί. Υπογραμμίζει επίσης ότι η εταιρεία δεν ξεκαθαρίζει αν ζητά από τους πελάτες να αποσυναρμολογήσουν ή να επιστρέψουν τις συσκευές, αφήνοντας ένα κρίσιμο κενό μεταξύ δηλώσεων συμμόρφωσης και πραγματικού ελέγχου.
Τι προτείνουν οι ειδικοί για τον έλεγχο των εργαλείων Cellebrite;
Ο ερευνητής του Citizen Lab Τζον Σκοτ-Ρέιλτον υποστηρίζει ότι η Cellebrite θα έπρεπε να διαθέτει δυνατότητα απομακρυσμένης απενεργοποίησης των συσκευών της, όταν υπάρχουν τεκμηριωμένες αναφορές κατάχρησης. Προτείνει επίσης την ενσωμάτωση κρυπτογραφικά υπογεγραμμένων «υδατογραφημάτων» σε κάθε εξαγωγή δεδομένων, ώστε να είναι πάντα δυνατή η ιχνηλάτηση του συγκεκριμένου μηχανήματος που χρησιμοποιήθηκε.
Η υπόθεση Πιβοβάροφ έρχεται να προστεθεί σε μια σειρά καταγγελιών για χρήση των λύσεων της Cellebrite εναντίον διαφωνούντων, δημοσιογράφων και ακτιβιστών σε περιοχές όπως το Χονγκ Κονγκ, η Κένυα και η Ιορδανία. Παρά τις ανακοινώσεις διακοπής συνεργασίας με χώρες όπως η Κίνα, η Μιανμάρ ή το Μπανγκλαντές, το βασικό πρόβλημα παραμένει: μόλις τα εργαλεία περάσουν στα χέρια αυταρχικών καθεστώτων, η «αναίρεση» της πώλησης είναι τεχνικά και πολιτικά εξαιρετικά δύσκολη.
Τι σημαίνει για την Ελλάδα και τον κλάδο
Για την Ελλάδα, η υπόθεση των εργαλείων Cellebrite λειτουργεί ως έμμεση προειδοποίηση για το πώς πρέπει να ρυθμίζεται η χρήση τεχνολογιών ψηφιακής έρευνας από κρατικούς φορείς. Η εμπειρία άλλων χωρών δείχνει ότι χωρίς αυστηρό νομικό πλαίσιο, διαφάνεια και ανεξάρτητο έλεγχο, ο πειρασμός κατάχρησης απέναντι σε πολιτικούς αντιπάλους ή δημοσιογράφους είναι υπαρκτός.
Για το ελληνικό οικοσύστημα τεχνολογίας και τις νεοφυείς επιχειρήσεις στον χώρο της κυβερνοασφάλειας, το ζήτημα αγγίζει και τη φήμη και τη βιωσιμότητα των ίδιων των εταιρειών. Η διεθνής συζήτηση μετατοπίζεται πλέον από το «αν» πρέπει να πωλούνται τέτοια εργαλεία, στο «πώς» θα διασφαλίζεται ότι δεν θα χρησιμοποιηθούν για παραβιάσεις δικαιωμάτων, κάτι που καθιστά κρίσιμη τη θέσπιση δεσμευτικών κανόνων δεοντολογίας και ελέγχου εξαγωγών.
Σχόλιο 
: Η υπόθεση αναδεικνύει το δομικό πρόβλημα μιας αγοράς επιθετικών ψηφιακών εργαλείων που λειτουργεί με λογική «πώληση και μετά αποποίηση ευθύνης». Χωρίς αυστηρό διεθνές καθεστώς αδειοδότησης, υποχρεωτική δυνατότητα απομακρυσμένης απενεργοποίησης και διαφανείς ελέγχους, η τεχνολογία μετατρέπεται σε πολλαπλασιαστή ισχύος για αυταρχικά καθεστώτα, υπονομεύοντας ταυτόχρονα την αξιοπιστία ολόκληρου του κλάδου κυβερνοασφάλειας.
Διαβάστε επίσης:
Νέος ιστότοπος εκθέτει δημοφιλείς πλατφόρμες χωρίς passkeys
Microsoft χτυπά την «αλυσίδα παραγωγής» του κυβερνοεγκλήματος παγκοσμίως
#κυβερνοασφάλεια #ιδιωτικότητα #Ρωσία #επιτήρηση #τεχνολογία
