El director del FBI James Comey confirmó el miércoles pasado que "el gobierno ha comprado, a un particular, una manera de entrar en" el iPhone 5C utilizado por uno de los tiradores de San Bernardino. Esta declaración sigue a la decisión del FBI a caer su demanda en California contra Apple en la que se trató de obligar a Apple para ayudar a hacer cumplir la ley de acceso a los datos sobre que el iPhone .
Comey dijo que la solución que comprado aplicado a sólo un "pequeño sector de los teléfonos" y no funcionaría en algunos de los modelos más nuevos de Apple, pero no aclaró qué teléfonos específicamente el FBI puede y no puede ahora desbloquear. Comey también señaló que el FBI todavía no había decidido si va a compartir con la información de Apple sobre la vulnerabilidad específica de que la solución de terceros explotado con el fin de acceder a los datos en el dispositivo de bloqueo. La divulgación de la vulnerabilidad a Apple permitiría a Apple para solucionarlo y, por lo tanto, proteger al público, pero, Comey señaló, proporcionando Apple con la información pondría el FBI "volver al punto de partida de" en el trato con otros iPhones bloqueados por los delincuentes.
Si bien no se hacen públicas, se ha informado ampliamente en los medios que la tercera parte que proporciona la tecnología para desbloquear el dispositivo era la compañía israelí, Cellebrite.
piratería del dispositivo del FBI plantea varias cuestiones legales importantes. Me volví hacia Fernando Pinguelo , Responsable de la seguridad cibernética en la práctica Scarinci Hollenbeck LLC, y Mason Barney , Fundador y socio de Okin Barney P. C. para responderlas:
JS: Por la piratería en el iPhone, ¿el FBI o CelleBrite violan la ley?
FP & MB: El FBI obtuvieron una orden de registro válida para buscar iPhone del tirador de San Bernardino. Tal orden sería en general autorizar al FBI para cerraduras de bypass o características de seguridad para acceder a la información autorizada en virtud de la orden (por ejemplo, si los documentos se almacenan en una caja fuerte en una oficina, y la policía ha obtenido una orden judicial, por lo general se les permite entrar en lo seguro). Dicho esto, CelleBrite no tenía una orden cuando se desarrolló el producto que supuestamente permitió que el FBI para tener acceso al teléfono. Entonces, la pregunta que surge es si CelleBrite violó ninguna ley en el desarrollo de la hazaña y venta al FBI.
Varias leyes están diseñadas para evitar piratería informática; Por ejemplo, el Digital Millennium Copyright Act ( "DMCA") incluye una disposición contra la elusión que se aplica sanciones civiles y penales a las personas que siguen los controles de acceso a las obras con derechos de autor , Tales como el sistema operativo iPhone.
Del mismo modo, la Ley de Fraude y Abuso ( "CAFA") prohíbe una persona pueda obtener acceso no autorizado a un dispositivo de computación en ciertas circunstancias, o el tráfico de herramientas para permitir dicho acceso no autorizado .
Sin embargo, ambos de estos estatutos los organismos encargados de hacer cumplir la ley expresamente exentos que se dedican a la "legalmente autorizada de investigación, protección, o la actividad de inteligencia [.]" Además, la DMCA señala expresamente que su protección cumplimiento de la ley se extiende a cubrir "una persona que actúe en virtud de un contrato con "una agencia de aplicación de la ley, lo que presumiblemente cubrir CelleBrite.
Por otra parte, CelleBrite no es una empresa estadounidense, sino más bien una entidad israelí (ahora propiedad de la firma japonesa, Sol) y, como tal, no puede estar sujeto a la DMCA. Aunque Israel tiene leyes contra la piratería, no tiene leyes contra la elusión similares a la citada disposición que se encuentra en la DMCA; de hecho, un fallo del Tribunal Supremo de Israel parece permitir a compañías como CelleBrite para crear y distribuir herramientas que permiten a los usuarios eludir las protecciones de seguridad digitales . Como resultado, en el supuesto de Cellebrite es el tercero no identificado al que hace referencia Comey, Apple no sería capaz de demandar bajo la ley israelí, disminuyendo en gran medida la capacidad de Apple a dirigirse contra CelleBrite.
JS: Al pasar por alto las características de seguridad en el iPhone, hicieron el FBI o CelleBrite violan los términos contractuales de Apple de servicio?
FP & MB: Apple términos de servicio para el sistema operativo iOS no prohíben expresamente el uso de herramientas para acceder a un iPhone. Pero sí requieren que el usuario de acuerdo en que él o ella no va a "descifrar" o distribuir herramientas para descifrar el software IOS o cualquiera de los servicios proporcionados por el sistema operativo. Suponiendo que las condiciones de servicio se aplica a cualquiera del FBI o de Cellebrite, Apple podría en teoría afirman que en el desarrollo de una herramienta para eludir la seguridad en un iPhone, CelleBrite violado esta disposición de los términos del servicio.
No obstante, incluso si Apple hizo traer tal demanda (y Apple aún no ha dicho tha tit incluso considerando hacerlo), tal afirmación sería simplemente una de un incumplimiento de un contrato privado entre Apple y CelleBrite. En cada acción de incumplimiento de contrato, el proponente, aquí Apple, debe establecer que se hizo daño directamente por la violación. Si la herramienta de Cellebrite es utilizado sólo por aplicación de la ley, que será difícil para Apple para establecer que fue dañada en un grado suficiente para justificar dicha demanda.
JS: ¿el FBI o CelleBrite tienen la obligación de revelar a Apple la naturaleza de su tecnología y cualquier vulnerabilidad de seguridad o vulnerabilidades que la explotación de la tecnología?
FP & MB: Como los comentarios del director del FBI Comey dejan claro, el FBI está todavía debatiendo internamente si se debe revelar a la vulnerabilidad de Apple (presumiblemente explotada por Cellebrite) que le permitió acceder al contenido de iPhone de un criminal. Nada en términos de servicio de Apple parece obligará a ninguna de la FBI o CelleBrite a revelar esa vulnerabilidad. Del mismo modo, no existe una ley que obliga expresamente a una agencia gubernamental o una entidad privada para revelar vulnerabilidades que descubre.
En 2010, sin embargo, la administración Obama ha desarrollado el "Proceso de vulnerabilidades Acciones" ( "VEP"). La primera VEP fue revelado públicamente sólo en 2014, y se mantuvo en general clasificado hasta principios de este año, cuando el gobierno lanzó una versión en gran parte un-redactado de la política en respuesta a una solicitud de Libertad de Información Ley de la Fundación Libertad Electrónica.
La PEV tiene por objeto establecer "una política común global y proceso sistemático para" evaluar si y cómo revelar vulnerabilidades recién descubiertas cibernéticos. Bajo el VEP, una agencia del gobierno - incluyendo el Departamento de Justicia de los cuales el FBI es una parte - que se supone que reportar cualquier vulnerabilidad que se descubre en un producto para el fabricante del producto a menos que haya "una clara seguridad nacional o del orden público" razón para no para hacerlo. Sin embargo, la política reconoce que las fuerzas del orden "puede que quiera usar la información relacionada con una vulnerabilidad para los propósitos ... ofensivas o defensivas ... para el fin último de la aplicación de la ley." Como resultado, el VEP deja la decisión de si o no divulgar una vulnerabilidad a la discreción de un panel de revisión establecido por la PEV, que incluye representantes de varios organismos gubernamentales; los comentarios del director del FBI Comey parecen indicar que el panel no ha tomado aún una decisión.
JS: ¿La decisión del FBI para anunciar públicamente que era capaz de entrar en el iPhone de San Bernardino tiene ningún efecto sobre la capacidad en curso del FBI para buscar órdenes judiciales exigiendo que Apple colaboran con él para eludir las medidas de seguridad de iPhone?
FP & MB: El hecho de que el FBI reveló que posee la herramienta de Cellebrite y es capaz de burlar la seguridad algunos modelos de iPhone 'presenta un dilema jurídico interesante para el FBI.
El viernes, el FBI recurrió el fallo de un juez federal negar una orden bajo la Ley Todas las órdenes judiciales que, al igual que el orden en el caso de San Bernardino bien publicitado, que habría requerido Apple para ayudar en el desbloqueo de un iPhone usado por un medicamento Nueva York comerciante. (Para más información sobre esta sentencia, por el juez federal de Brooklyn James Orenstein de, consulte este artículo anterior .)
Con el fin de obtener con éxito una orden en contra de Apple en virtud de la Ley Todos los Mandamientos, el FBI debe establecer que la asistencia de Apple es "necesario" porque el FBI no tiene otros medios de acceso al iPhone en cuestión sin la ayuda de Apple. El caso de Brooklyn se decidió antes de que el FBI reveló que había accedido a los contenidos del teléfono del tirador de San Bernardino. Sin embargo, el juez federal Orenstein en su orden señaló que el FBI había declarado que en otros casos en Brooklyn que podría eludir las medidas de seguridad del iPhone a través del uso de herramientas de terceros. Entonces, el juez sostuvo que el gobierno no había demostrado que esas mismas técnicas no se podían utilizar en el iPhone se trate en ese caso, y por lo tanto no había demostrado que la asistencia de Apple fue necesario.
El hecho de que Apple sabe ahora que el FBI posee la solución CelleBrite, significa que se puede argumentar en la apelación de Brooklyn (y en cualquier otro caso que los archivos del FBI que tratan de forzar la compañía de tecnología para ayudar a desbloquear iPhones) que el FBI debe probar que la solución CelleBrite no funciona en cualquier iPhone particular que se busca para desbloquear. Apple podría afirmar que la única manera de probar esto es para que el FBI divulga la vulnerabilidad utilizada por CelleBrite a Apple, y para demostrar que no funciona en el dispositivo de la cual el gobierno pretende superar. Si el FBI se niega a revelar la vulnerabilidad, entonces Apple es probable que sea capaz de argumentar que el FBI no ha satisfecho la carga de establecer que la ayuda de Apple es necesario.
