A kiszivárgott fájlok megmutatják, hogyan néz ki egy Cellebrite telefonos kivonatolási jelentés
On október 27, 2021 by admin
(Kép: archív fotó)
Az év elején egy ügyvédi irodánál történt szivárgás következtében egy sor nagyméretű, titkosított fájlt kaptunk, amelyek állítólag egy amerikai rendőrséghez tartoztak, mivel a cég jelszó nélkül, bizonytalanul szinkronizálta biztonsági mentési rendszereit az interneten keresztül.
A fájlok között volt egy sor telefondömping, amelyet a rendőrség speciális eszközökkel készített, és amelyet a Cellebrite, egy izraeli cég készített, amely telefonfeltörési technológiát kínál.
A digitális törvényszéki cég arra specializálódott, hogy a rendőrségnek segítsen a rosszfiúk nyakon csípésében a különböző technológiáival. Az év elején akkor vált híressé, amikor tévesen úgy tűnt fel, mint az a cég, amely segített feloldani a San Bernardino-i merénylő iPhone-ját, ugyanazt a telefont, amely az Apple-t az FBI-jal folytatott jogi huzavonába keverte.
Ez nem jelenti azt, hogy a Cellebrite nem segíthetett volna.
A Cellebrite munkája nagyrészt titkos, és a vállalat finom határvonalon egyensúlyoz aközött, hogy az üzletszerzés érdekében felfedje képességeit, és biztosítsa, hogy csak a “jófiúk” férjenek hozzá a technológiájához.
Az amerikai rendőrség állítólag milliókat költött az ilyen típusú telefonfeltörő technológiára. És ez nem meglepő, mert a Cellebrite eredményeket ér el.
A törvényszéki cég azt állítja, hogy több mint száz ország rendőrségi hírszerző szerveinek megbízásából szinte minden adatfoszlányt le tud tölteni szinte bármilyen eszközről. Ezt úgy éri el, hogy a rendőrségtől elvesz egy lefoglalt telefont, majd bedugja, és saját szabadalmaztatott technológiája segítségével kinyeri az üzeneteket, telefonhívásokat, hangpostát, képeket és egyebeket a készülékből.
Ezután egy kivonatolási jelentést készít, amelyből a nyomozók egy pillantással láthatják, hol volt egy személy, kivel beszélt és mikor.
Számos ilyen úgynevezett kivonatolási jelentést kaptunk.
Az egyik messze legérdekesebb jelentés egy iOS 8 rendszert futtató iPhone 5-ről származik. A telefon tulajdonosa nem használt jelkódot, vagyis a telefon teljesen titkosítatlan volt.
Itt van minden, amit az iPhone 5 tárolt, beleértve néhány törölt tartalmat is.

(Az Apple iOS 8 volt az első iPhone szoftver verzió, amely jelkód alapú titkosítással készült. Ez elég lett volna ahhoz, hogy meghiúsítsa az átlagos telefontolvajt, de lehet, hogy nem akadályozta volna meg a megfelelő hardverrel rendelkező egyes telefonfeltörőket. A Cellebrite szerint nem tudja feltörni az iPhone 4s és újabb készülékek jelszavait. Az iPhone 5s és újabb készülékek az iPhone 5s fő processzorchipjén található Secure Enclave társprocesszorral rendelkeznek, ami jelentősen megnehezíti a telefon feltörését.)
A telefont egy Cellebrite UFED készülékhez csatlakoztatták, ami ebben az esetben a rendőrségen lévő dedikált számítógép volt. A rendőr elvégezte a logikai kivonatolást, amely letölti, ami éppen a telefon memóriájában van. (A Motherboard bővebben beszámol arról, hogyan működik a Cellebrite extrahálási folyamata.)
Néhány esetben olyan adatokat is tartalmazott, amelyeket a felhasználó nemrég törölt.”
Tudomásunk szerint néhány mintajelentés kering a világhálón, de ritkán látni valós példát arra, hogy mennyi adatot lehet kiszipolyozni egy meglehetősen modern készülékből.
Közzéteszünk néhány részletet a jelentésből, az érzékeny vagy azonosítható adatok szerkesztésével.

Előoldal: A jelentés első oldalán szerepel a bűnüldöző szervek ügyszáma, a vizsgáló neve és az osztály. Tartalmazza továbbá az eszköz egyedi azonosító adatait.
A készülékre vonatkozó információk:

A készülékre vonatkozó információk: A jelentés részletezi, hogy kihez tartozik a telefon, beleértve a telefonszámot, a regisztrált Apple ID-t és az egyedi azonosítókat, például a készülék IMEI-számát.
Extrakciós szoftver bővítményei:

Pluginok: Ez a rész leírja, hogyan működik és mit csinál a szoftver. Tartalmazza a Quicktime metaadatok kinyerését és az analitika generálását. A szoftver képes az eszközről származó adatok kereszthivatkozására is, hogy profilokat hozzon létre a kapcsolatok, SMS-ek és egyéb kommunikációk között.
Helyszínek:

Helyszínek: A kivonatoló szoftver minden készült fénykép földrajzi helyét rögzíti, és egy térképen megjeleníti, így a nyomozó láthatja, hogy a telefon tulajdonosa hol és mikor járt.
Üzenetek:

Üzenetek: Ebben a “beszélgetés” nézetben a nyomozó kronológiai sorrendben láthatja az összes szöveges üzenetet, így pontosan láthatja, hogy mi hangzott el egy adott időszakon belül.
Felhasználói fiókok:

Felhasználói fiókok: Ez a rész feltárja a telefon tulajdonosának a telefonon lévő felhasználói fiókjait, attól függően, hogy hány alkalmazás van telepítve. Ebben az esetben csak az Instagram felhasználónevét és jelszavát gyűjtötték össze.
Vezeték nélküli hálózatok:

Vezeték nélküli hálózatok: a kivonatoló szoftver letölt egy listát az összes vezeték nélküli hálózatról, amelyhez a telefon csatlakozott, beleértve azok titkosítási típusát és a hálózat routerének MAC-címét, valamint azt, hogy a telefon mikor csatlakozott legutóbb a hálózathoz.
Hívásnapló:

Hívásnapló: A jelentés a hívásrekordok teljes listáját tartalmazza, beleértve a hívás típusát (bejövő vagy kimenő hívás), a hívás időpontját, dátumát és telefonszámát, valamint a hívás időtartamát. Az ilyen típusú információk rendkívül hasznosak, ha hírszerző ügynökségek gyűjtik őket.
Kapcsolatok:

Kapcsolatok: A telefonban lévő kapcsolatokat a kivonatoló szoftver felszívja, beleértve a neveket, telefonszámokat és egyéb kapcsolattartási információkat, például e-mail címeket. Még a törölt tartalom is begyűjthető.
Telepített alkalmazások:

Telepített alkalmazások: Az összes telepített alkalmazást, azok verzióját és engedélyezési beállításait rögzíti az extraháló szoftver.
Jegyzetek:

Jegyzetek: A Notes alkalmazásban írt adatok is letöltésre kerülnek. Itt redukáltuk a bankszámlaadatoknak tűnő adatokat.
Hangposta:

Voicemail: A telefonon tárolt hangüzenetek összegyűjthetők és hangfájlként letöltődnek. A hangüzenetet hagyó személy telefonszámát és időtartamát is tartalmazza.
Konfigurációk és adatbázisok

Konfigurációk és adatbázisok: A tulajdonságlisták (“plist”) az iPhone-on tárolják az alkalmazások adatait. Ezek az egyedi fájlok rengeteg információt tartalmaznak, például konfigurációkat, beállításokat, opciókat és egyéb gyorsítótár-fájlokat.
Tevékenységelemzés:

Tevékenységelemzés: az elemzőmotor minden egyes telefonszámhoz kiszámolja, hogy hány kapcsolódó művelet történt, például szöveges üzenetek vagy hívások.
Vélemény, hozzászólás?