Vuotaneet tiedostot näyttävät, miltä Cellebrite-puhelimen louhintaraportti näyttää
On 27 lokakuun, 2021 by admin
(Kuva: arkistokuva)
Aiemmin tänä vuonna meille lähetettiin joukko suuria, salattuja tiedostoja, joiden väitettiin kuuluvan yhdysvaltalaiselle poliisilaitokselle, koska eräässä asianajotoimistossa oli tapahtunut vuoto, joka synkronoi varmuuskopiointijärjestelmiään internetin välityksellä tietoturvattomasti ilman salasanaa.
Tiedostojen joukossa oli sarja poliisilaitoksen erikoislaitteilla luomia puhelindumpeja, jotka oli luonut Cellebrite, israelilainen yritys, joka tarjoaa puhelinten salakuunteluteknologiaa.
Digitaalisen rikostekniikan yritys on erikoistunut auttamaan poliiseja saamaan pahikset kiinni erilaisilla teknologioillaan. Se nousi kuuluisuuteen aiemmin tänä vuonna, kun sitä pidettiin virheellisesti yrityksenä, joka auttoi avaamaan San Bernardinon ampujan iPhonen lukituksen, saman puhelimen, joka sotki Applen oikeudelliseen riitaan FBI:n kanssa.
Tämä ei tarkoita sitä, etteikö Cellebrite olisi voinut auttaa.
Cellebriten työ on pitkälti salaista, ja yritys tasapainoilee hienolla linjalla sen välillä, että se paljastaa kykynsä saadakseen liiketoimintaa ja varmistaa, että vain ”hyvät tyypit” pääsevät käsiksi sen teknologiaan.
Yhdysvaltain poliisin kerrotaan käyttäneen miljoonia rahaa tämänkaltaiseen puhelinten murtoteknologiaan. Eikä se ole yllättävää, sillä Cellebrite saa tuloksia aikaan.
Rikostekninen yritys väittää pystyvänsä lataamaan lähes kaikki tiedot lähes mistä tahansa laitteesta yli sadan maan poliisin tiedustelupalveluiden puolesta. Se tekee sen ottamalla poliisilta takavarikoidun puhelimen, kytkemällä sen sitten verkkoon ja poimimalla laitteesta viestejä, puheluita, vastaajaviestejä, kuvia ja paljon muuta sen omaa tekniikkaa käyttäen.
Sen jälkeen se luo poimintaraportin, jonka avulla tutkijat näkevät yhdellä silmäyksellä, missä henkilö oli, kenen kanssa hän puhui ja milloin.
Saimme haltuumme joukon tällaisia niin sanottuja poimintaraportteja.
Yksi ylivoimaisesti mielenkiintoisimmista raporteista oli iPhone 5:stä, jossa käytettiin iOS 8:a. Puhelimen omistaja ei käyttänyt salasanaa, eli puhelin oli täysin salaamaton.
Tässä on kaikki, mitä kyseiseen iPhone 5:een oli tallennettu, mukaan lukien poistettu sisältö.
(Applen iOS 8 oli ensimmäinen iPhone-ohjelmistoversio, jossa oli salasanaan perustuva salaus. Se olisi riittänyt estämään tavallisen puhelinvarkaan, mutta se ei välttämättä olisi estänyt joitain puhelimen murtautujia, joilla on oikea laitteisto. Cellebrite sanoo, ettei se pysty murtamaan iPhone 4s:n ja uudempien puhelinten salasanoja. iPhone 5s -puhelimissa ja uudemmissa puhelimissa on iPhone 5s:n pääsuorittimen piirissä Secure Enclave -yhteisprosessori, joka vaikeuttaa puhelimen murtamista huomattavasti.)
Puhelin oli kytketty Cellebriten UFED-laitteeseen, joka tässä tapauksessa oli poliisilaitoksella sijaitseva oma tietokone. Poliisi suoritti loogisen louhinnan, joka lataa sen, mitä puhelimen muistissa on sillä hetkellä. (Motherboardilla on lisätietoja siitä, miten Cellebriten louhintaprosessi toimii.)
Joissakin tapauksissa se sisälsi myös tietoja, jotka käyttäjä oli hiljattain poistanut.
Tietojemme mukaan verkossa liikkuu muutama esimerkkiraportti, mutta on harvinaista nähdä reaalimaailman esimerkki siitä, kuinka paljon tietoja voidaan siepata melko modernista laitteesta.
Julkaisemme raportista joitakin pätkiä, joista on poistettu arkaluonteiset tai tunnistettavat tiedot.
Etukansi: Raportin ensimmäisellä sivulla on lainvalvontaviranomaisen tapausnumero, tutkijan nimi ja osasto. Se sisältää myös laitteen yksilölliset tunnistetiedot.
Laitteen tiedot:
Laitteen tiedot: Raportissa annetaan yksityiskohtaiset tiedot siitä, kenelle puhelin kuuluu, mukaan lukien puhelinnumero, rekisteröity Apple ID ja yksilölliset tunnistetiedot, kuten laitteen IMEI-numero.
Extraktio-ohjelmiston lisäosat:
Lisäosat: Tässä osassa kuvataan, miten ohjelmisto toimii ja mitä se tekee. Se sisältää Quicktime-metatietojen louhinnan ja analytiikan tuottamisen. Ohjelmisto voi myös tehdä ristiinvertailuja laitteesta saatuihin tietoihin ja muodostaa profiileja yhteystiedoista, tekstiviesteistä ja muusta viestinnästä.
Sijainnit:
Sijainnit: Louhintaohjelmisto tallentaa jokaisen otetun valokuvan maantieteellisen sijainnin ja visualisoi sen kartalla, jolloin tutkija näkee, missä kaikkialla puhelimen omistaja on ollut ja milloin.
Viestit:
Viestit: Tässä ”keskustelu”-näkymässä tutkija näkee kaikki tekstiviestit kronologisessa järjestyksessä, jolloin hän voi nähdä tarkalleen, mitä sanottiin tietyn ajanjakson aikana.
Käyttäjätilit:
Käyttäjätilit: Tämä osa paljastaa puhelimen omistajan puhelimessa olevat käyttäjätilit riippuen siitä, kuinka monta sovellusta on asennettu. Tässä tapauksessa kerättiin vain Instagramin käyttäjätunnus ja salasana.
Langattomat verkot:
Langattomat verkot: poimintaohjelmisto lataa luettelon kaikista langattomista verkoista, joihin puhelin on ollut yhteydessä, mukaan lukien niiden salaustyyppi ja verkon reitittimen MAC-osoite sekä ajankohta, jolloin puhelin on viimeksi ollut yhteydessä verkkoon.
Puheluloki:
Puheluloki: Raportti sisältää täydellisen luettelon puhelutietueista, mukaan lukien puhelun tyyppi (saapuva tai lähtevä puhelu), puhelun aika, päivämäärä ja puhelinnumero sekä puhelun kesto. Tämäntyyppiset tiedot ovat erittäin hyödyllisiä, kun tiedustelupalvelut keräävät niitä.
Kontaktit:
Kontaktit: Poimintaohjelmisto imuroi puhelimessa olevat yhteystiedot, mukaan lukien nimet, puhelinnumerot ja muut yhteystiedot, kuten sähköpostiosoitteet. Jopa poistettu sisältö voidaan edelleen kerätä.
Asennetut sovellukset:
Asennetut sovellukset: Kaikki asennetut sovellukset, niiden versio ja käyttöoikeusasetukset tallentuvat poimintaohjelmistoon.
Muistiinpanot:
Muistiinpanot: Kaikki Notes-sovellukseen kirjoitetut tiedot ladataan myös. Tässä on redusoitu ilmeisesti pankkitilitietoja.
Vastaaja:
Vastaaja: Puhelimeen tallennetut ääniviestit ovat kerättävissä ja ladattavissa äänitiedostoina. Se sisältää myös ääniviestin jättäneen henkilön puhelinnumeron ja sen keston.
Konfiguraatiot ja tietokannat
Konfiguraatiot ja tietokannat: Ominaisuusluettelot (”plist”) tallentavat iPhonen sovellustietoja. Nämä yksittäiset tiedostot sisältävät runsaasti tietoa, kuten konfiguraatioita, asetuksia, optioita ja muita välimuistitiedostoja.
Aktiviteettianalytiikka:
Aktiviteettianalytiikka: analytiikkamoottori selvittää kunkin puhelinnumeron osalta, kuinka monta siihen liittyvää toimenpidettä, kuten tekstiviestejä tai puheluita, on tapahtunut.
Vastaa