Tidligere i år fik vi tilsendt en række store, krypterede filer, der angiveligt tilhørte en amerikansk politiafdeling som følge af en lækage hos et advokatfirma, som usikkert synkroniserede sine backup-systemer på tværs af internettet uden adgangskode.
Blandt filerne var en række telefondumps, som politiet havde lavet med specialudstyr, der var skabt af Cellebrite, et israelsk firma, der leverer teknologi til at knække telefoner.
Det digitale kriminaltekniske firma har specialiseret sig i at hjælpe politiet med at fange de slemme fyre med sin vifte af teknologier. Det blev berømt tidligere i år, da det fejlagtigt blev udpeget som det firma, der hjalp med at låse San Bernardino-skyttens iPhone op, den samme telefon, som indbragte Apple i et juridisk slagsmål med FBI.
Det betyder ikke, at Cellebrite ikke kunne have hjulpet.
Cellebrites arbejde er stort set hemmeligt, og virksomheden balancerer på en hårfin linje mellem at afsløre sine evner for at skaffe forretning og sikre, at kun de “gode” har adgang til dens teknologi.
Det amerikanske politi siges at have brugt millioner på denne form for teknologi til at knække telefoner. Og det er ikke overraskende, for Cellebrite opnår resultater.
Det kriminaltekniske firma hævder, at det kan downloade næsten alle data fra næsten alle enheder på vegne af politiets efterretningstjenester i over hundrede lande. Det gør de ved at tage en beslaglagt telefon fra politiet, sætte den i stikket og udtrække beskeder, telefonopkald, voicemails, billeder og meget mere fra enheden ved hjælp af deres egen proprietære teknologi.
Derefter genererer de en udtrækningsrapport, så efterforskerne med ét blik kan se, hvor en person var, hvem de talte med og hvornår.
Vi har fået fat i en række af disse såkaldte udtrækningsrapporter.
En af de langt mere interessante rapporter var fra en iPhone 5 med iOS 8. Telefonens ejer brugte ikke en adgangskode, hvilket betyder, at telefonen var helt ukrypteret.
Her er alt, hvad der var gemt på denne iPhone 5, herunder noget slettet indhold.
(Apples iOS 8 var den første softwareversion af iPhone, der kom med adgangskodebaseret kryptering. Det ville have været nok til at afværge den gennemsnitlige telefontyv, men det ville måske ikke have forhindret nogle telefonkrakkere med den rette hardware. Cellebrite siger, at den ikke kan knække adgangskoderne på iPhone 4s og senere. iPhone 5s-mobiler og senere har en secure enclave co-processor på iPhone 5s’ hovedprocessorchip, hvilket gør det betydeligt sværere at knække telefonen.)
Telefonen var tilsluttet en Cellebrite UFED-enhed, som i dette tilfælde var en dedikeret computer i politiafdelingen. Politibetjenten foretog en logisk udtrækning, som downloader det, der er i telefonens hukommelse på det pågældende tidspunkt. (Motherboard har mere om, hvordan Cellebrites ekstraktionsproces fungerer.)
I nogle tilfælde indeholdt den også data, som brugeren for nylig havde slettet.
Så vidt vi ved, er der nogle få eksempler på rapporter, der flyder rundt på nettet, men det er sjældent, at man ser et eksempel fra den virkelige verden på, hvor mange data, der kan hives ud af en ret moderne enhed.
Vi offentliggør nogle uddrag fra rapporten, hvor følsomme eller identificerbare oplysninger er redigeret.
Frontcover: På rapportens første side er der på retshåndhævelsens sagsnummer, undersøgerens navn og afdeling. Den indeholder også unikke identifikationsoplysninger om enheden.
Enhedsoplysninger:
Enhedsoplysninger: Rapporten indeholder oplysninger om, hvem telefonen tilhører, herunder telefonnummer, registreret Apple-id og unikke identifikatorer, f.eks. enhedens IMEI-nummer.
Plugins til udtrækningssoftware:
Plugins: Oplysninger om, hvem telefonen tilhører, herunder telefonnummer, registreret Apple-id og unikke identifikatorer, f.eks. enhedens IMEI-nummer.
Plugins til udtrækningssoftware: Denne del beskriver, hvordan softwaren fungerer, og hvad den gør. Den omfatter Quicktime-metadataudtrækning og analytisk generering. Softwaren kan også krydsreferere data fra enheden for at opbygge profiler på tværs af kontakter, sms’er og anden kommunikation.
Steder:
Steder: Udtrækningssoftwaren registrerer geolokaliseringen af hvert foto, der er blevet taget, og visualiserer den på et kort, så efterforskeren kan se, hvor ejeren af telefonen har været og hvornår.
Beskeder:
Beskeder: I denne visning af “samtaler” kan en efterforsker se alle sms’er i kronologisk rækkefølge, så han/hun kan se præcis, hvad der er blevet sagt inden for en bestemt periode.
Brugerkonti:
Brugerkonti: Denne del afslører telefonens ejers brugerkonti på telefonen, afhængigt af hvor mange apps der er installeret. I dette tilfælde blev kun et brugernavn og en adgangskode til Instagram indsamlet.
Trådløse netværk:
Trådløse netværk: Udtrækningssoftwaren downloader en liste over alle de trådløse netværk, som telefonen har oprettet forbindelse til, herunder deres krypteringstype og MAC-adressen på netværkets router, og hvornår telefonen sidst har oprettet forbindelse til netværket.
Samtalelog:
Samtalelog: Rapporten indeholder en komplet liste over opkaldsoptegnelser, herunder typen af opkald (indgående eller udgående), tidspunkt, dato og telefonnummer for opkaldet samt opkaldets varighed. Denne type oplysninger er meget nyttige, når de indsamles af efterretningstjenester.
Kontakter:
Kontakter: Kontakter i telefonen suges op af udtrækningssoftwaren, herunder navne, telefonnumre og andre kontaktoplysninger, f.eks. e-mailadresser. Selv slettet indhold kan stadig indsamles.
Installerede apps:
Installerede apps: Alle de installerede apps, deres version og tilladelsesindstillinger registreres af udtrækningssoftwaren.
Noter:
Noter: Alle data, der er skrevet i appen Noter, downloades også. Her har vi redigeret det, der ser ud til at være bankkontooplysninger.
Voicemail:
Voicemail: Voicemails, der er gemt på telefonen, kan indsamles og downloades som lydfiler. Den indeholder også telefonnummeret på den person, der har lagt voicemailen, og varigheden.
Konfigurationer og databaser
Konfigurationer og databaser: Egenskabslister (“plist”) gemmer appdata på iPhones. Disse individuelle filer indeholder et væld af oplysninger, f.eks. konfigurationer, indstillinger, optioner og andre cache-filer.
Aktivitetsanalyser:
Aktivitetsanalyser: For hvert telefonnummer regner analysemaskinen ud, hvor mange tilknyttede handlinger der har fundet sted, f.eks. sms-beskeder eller opkald.
Skriv et svar