Hackingen er ikke en foretrukket metode for FBI, røper kvinnen med ansvar for teknologidivisjonen til det føderale, amerikanske politiet. (Bilde: Harald Brombach)
Q: Amy Hess på en Kongress-høring om FBIs bruk av DNA-teknologi i sommer.

Nulldagssårbarheter

FBI vedgår bruk av zero day-sårbarheter

Men anser metoden for å være «skrøpelig».

Q: Amy Hess på en Kongress-høring om FBIs bruk av DNA-teknologi i sommer.
Amy Hess (49) er kvinnen med ansvar for FBIs mest kontroversielle verktøy.

I et sjeldent intervju med Washington Post vedgår Hess for første gang i historien at FBI benytter såkalte nulldagssårbarheter, zero-day sårbarheter for å bryte seg inn på utstyr og programvare.

Det inkluderer bistand til etterforskning som avlesing av harddisker, flash-enheter og knuste mobiltelefoner, som angriperne etterlot seg etter forrige ukes skytemassakre i San Bernadino.

Metoden er omdiskutert også i byrået, røper hun: – Hva er viktigst, å kunne identifisere en person som truer samfunnssikkerheten? Eller å varsle programvareleverandørene om sårbarheter, som dersom de ikke fikses kan gjøre forbrukere sårbare for angrep?

– Hvordan balanserer vi dette. Det er en kontinuerlig utfordring for oss, sier Hess til avisen.

Det har tidligere være antatt, men ikke offisielt innrømmet at FBI benytter slike metoder, som også etterretningstjenesten NSA har i sitt arsenal.

Hess er assisterende direktør ved politiets teknologiavdeling og kriminallaboratorium i Quantico i delstaten Virginia utenfor Washington DC.

«Q»

Nærmere bestemt er det FBIs divisjon Operational Technology Division (OTD) som utvikler sofistikerte og avanserte teknikker og verktøy for å bistå i etterforskningen.

Det inkluderer alt fra tradisjonelle overvåkningsmetoder til avansert ansiktsgjenkjenning og ulike kyberoperasjoner.

I nevnte intervju blir Hess omtalt som en slags kvinnelig utgave av den geniale oppfinneren «Q» kjent fra filmene om James Bond.

Senteret blir beskrevet som FBIs største avdeling med rundt 6.000 forskere, vitenskapsmenn og teknologer, og med det største budsjettet. Washington Post anslår årsbudsjettet til et sted mellom 5 og 7 milliarder kroner.

Upålitelig

Hess hevder også overfor avisen at hacking av datamaskiner ikke er noe foretrukket verktøy i etterforskningsøyemed.

Fordi sårbarhetene er å anse som det hun kaller «skjøre» eller skrøpelige. På et øyeblikk kan programvareleverandørene utgi en oppdatering og nytteverdien er borte.

– Det er åpenbart ikke pålitelig, ikke slik tradisjonell avlytting er, sier direktøren ved det føderale politiets spesialavdeling.

Nulldagssårbarheter kan bli det neste på innkjøpslisten også til norsk politi, dersom de får lovhjemmel til å hacke maskinene til mistenkte kriminelle og terrorister, slik justisminister Anders Anundsen ønsker.

I så fall kan dette kanskje bli en leverandør:

Til toppen