Uniklé soubory ukazují, jak vypadá zpráva o extrakci telefonu Cellebrite
On 27 října, 2021 by admin
(Obrázek: fotografie ze souboru)
Začátkem letošního roku nám byla zaslána řada velkých zašifrovaných souborů, které údajně patřily americkému policejnímu oddělení v důsledku úniku informací v právnické firmě, která nezabezpečené synchronizovala své zálohovací systémy přes internet bez hesla.
Mezi soubory byla řada výpisů telefonních hovorů vytvořených policejním oddělením pomocí specializovaného zařízení, které vytvořila izraelská firma Cellebrite, jež poskytuje technologie pro prolamování telefonů.
Tato firma zabývající se digitální forenzní analýzou se specializuje na pomoc policii při obvinění zločinců pomocí řady svých technologií. Proslavila se na začátku letošního roku, kdy byla neprávem označena za firmu, která pomohla odemknout iPhone střelce ze San Bernardina, tedy stejný telefon, kvůli kterému se Apple dostal do právního sporu s FBI.
To neznamená, že Cellebrite nemohla pomoci.
Práce Cellebrite je z velké části tajná a společnost balancuje na tenké hranici mezi zveřejněním svých schopností, aby získala zakázky, a zajištěním toho, aby k její technologii měli přístup pouze „ti dobří“.
Americká policie prý na tento druh technologie pro prolamování telefonů vynaložila miliony. A není divu, protože Cellebrite má výsledky.
Forenzní společnost tvrdí, že dokáže jménem policejních zpravodajských agentur ve více než stovce zemí stáhnout téměř každý střípek dat z téměř jakéhokoli zařízení. Dělá to tak, že od policie převezme zabavený telefon, připojí ho a pomocí vlastní patentované technologie z něj extrahuje zprávy, telefonní hovory, hlasovou poštu, obrázky a další data.
Poté vytvoří zprávu o extrakci, která vyšetřovatelům umožní na první pohled zjistit, kde se daná osoba nacházela, s kým a kdy mluvila.
Získali jsme řadu těchto takzvaných extrakčních zpráv.
Jedna z nejzajímavějších zpráv pochází z iPhonu 5 s operačním systémem iOS 8.
Zprávu o extrakci jsme získali od společnosti Celbiteite. Majitel telefonu nepoužíval přístupový kód, což znamená, že telefon byl zcela nezašifrovaný.
Zde je vše, co bylo v tomto iPhonu 5 uloženo, včetně části smazaného obsahu.
(Systém iOS 8 od společnosti Apple byl první verzí softwaru pro iPhone, která byla vybavena šifrováním pomocí přístupového kódu. Průměrnému zloději telefonu by to stačilo, ale některým crackerům s vhodným hardwarem by to nemuselo bránit. Společnost Cellebrite tvrdí, že nedokáže prolomit přístupové kódy u iPhonu 4s a novějších. Telefony iPhone 5s a novější jsou vybaveny koprocesorem Secure Enclave na hlavním procesorovém čipu iPhonu 5s, který prolomení telefonu výrazně ztěžuje)
Telefon byl připojen k zařízení Cellebrite UFED, což byl v tomto případě specializovaný počítač na policejním oddělení. Policista provedl logickou extrakci, která stáhne to, co je v daném okamžiku v paměti telefonu. (Motherboard uvádí více informací o tom, jak proces extrakce Cellebrite funguje.)
V některých případech obsahovala i data, která uživatel nedávno smazal.
Pokud je nám známo, na webu koluje několik vzorových zpráv, ale málokdy se setkáme s reálným příkladem toho, kolik dat lze z poměrně moderního zařízení odčerpat.
Zveřejňujeme několik úryvků ze zprávy s redigovanými citlivými nebo identifikovatelnými informacemi.
Přední strana obálky: Na první straně zprávy je uvedeno číslo případu orgánu činného v trestním řízení, jméno vyšetřovatele a oddělení. Obsahuje také jedinečné identifikační údaje zařízení.
Informace o zařízení:
Informace o zařízení: Zpráva obsahuje podrobnosti o tom, komu telefon patří, včetně telefonního čísla, registrovaného Apple ID a jedinečných identifikačních údajů, jako je číslo IMEI zařízení.
Zásuvné moduly extrakčního softwaru:
Zásuvné moduly: Tato část popisuje, jak software funguje a co dělá. Zahrnuje extrakci metadat Quicktime a generování analýz. Software může také křížově porovnávat data ze zařízení a vytvářet profily napříč kontakty, SMS a dalšími komunikacemi.
Lokality:
Lokality: Extrakční software zaznamenává geolokaci každé pořízené fotografie a vizualizuje ji na mapě, takže vyšetřovatel vidí, kde všude a kdy majitel telefonu byl.
Zprávy:
Zprávy: V tomto zobrazení „konverzace“ může vyšetřovatel vidět všechny textové zprávy v chronologickém pořadí, což mu umožňuje přesně vidět, co bylo řečeno v určitém časovém období.
Uživatelské účty:
Uživatelské účty: Tato část odhaluje uživatelské účty majitele telefonu v telefonu v závislosti na počtu nainstalovaných aplikací. V tomto případě bylo shromážděno pouze uživatelské jméno a heslo pro Instagram.
Bezdrátové sítě:
Bezdrátové sítě: Extrakční software stáhne seznam všech bezdrátových sítí, ke kterým se telefon připojil, včetně typu jejich šifrování a adresy MAC směrovače sítě a doby posledního připojení telefonu k síti.
Záznam hovorů:
Záznam hovorů: Zpráva obsahuje úplný seznam záznamů o hovorech, včetně druhu hovoru (příchozí nebo odchozí), času, data a telefonního čísla hovoru a doby trvání hovoru. Tento typ informací je velmi užitečný při shromažďování zpravodajskými službami.
Kontakty:
Kontakty: Kontakty v telefonu jsou vyluxovány extrakčním softwarem, včetně jmen, telefonních čísel a dalších kontaktních informací, jako jsou e-mailové adresy. I smazaný obsah může být stále shromažďován.
Instalované aplikace:
Instalované aplikace:
Poznámky:
Všechny nainstalované aplikace, jejich verze a nastavení oprávnění jsou zaznamenány extrakčním softwarem: Stažena jsou i veškerá data zapsaná v aplikaci Poznámky. Zde jsme redigovali to, co vypadá jako informace o bankovním účtu.
Hlasová pošta:
Hlasová pošta: Hlasové zprávy uložené v telefonu lze shromažďovat a stahovat jako zvukové soubory. Obsahuje také telefonní číslo osoby, která hlasovou zprávu zanechala, a dobu trvání.
Konfigurace a databáze
Konfigurace a databáze: Seznamy vlastností („plist“) uchovávají data aplikací v telefonech iPhone. Tyto jednotlivé soubory obsahují množství informací, například konfigurace, nastavení, možnosti a další soubory mezipaměti.
Analytika aktivity:
Analytika aktivity: pro každé telefonní číslo analytický engine zjistí, kolik souvisejících akcí proběhlo, například textových zpráv nebo hovorů.
.
Napsat komentář