I file trapelati mostrano l’aspetto di un rapporto di estrazione telefonica di Cellebrite
Il Ottobre 27, 2021 da admin
(Immagine: foto da file)
All’inizio di quest’anno, ci è stata inviata una serie di grandi file criptati che si presume appartengano a un dipartimento di polizia degli Stati Uniti come risultato di una fuga di notizie in uno studio legale, che stava sincronizzando in modo insicuro i suoi sistemi di backup su Internet senza una password.
Tra i file c’era una serie di dump di telefoni creati dal dipartimento di polizia con attrezzature specializzate, che è stato creato da Cellebrite, una società israeliana che fornisce la tecnologia di cracking telefonico.
La società di digital forensics è specializzata nell’aiutare la polizia ad arrestare i cattivi con la sua gamma di tecnologie. È diventata famosa all’inizio di quest’anno quando è stata erroneamente indicata come l’azienda che ha aiutato a sbloccare l’iPhone del tiratore di San Bernardino, lo stesso telefono che ha coinvolto Apple in una controversia legale con l’FBI.
Questo non vuol dire che Cellebrite non avrebbe potuto aiutare.
Il lavoro di Cellebrite è in gran parte segreto, e l’azienda è in equilibrio su una linea sottile tra la divulgazione delle sue capacità per fare affari e garantire che solo i “buoni” abbiano accesso alla sua tecnologia.
Si dice che la polizia statunitense abbia speso milioni su questo tipo di tecnologia di cracking dei telefoni. E non è sorprendente, perché Cellebrite ottiene risultati.
L’azienda forense sostiene di poter scaricare quasi ogni brandello di dati da quasi tutti i dispositivi per conto delle agenzie di intelligence della polizia in oltre un centinaio di paesi. Lo fa prendendo un telefono sequestrato dalla polizia, poi collegandolo ed estraendo messaggi, telefonate, messaggi vocali, immagini e altro dal dispositivo utilizzando la sua tecnologia proprietaria.
Poi genera un rapporto di estrazione, permettendo agli investigatori di vedere a colpo d’occhio dove una persona era, con chi stava parlando e quando.
Abbiamo ottenuto un certo numero di questi cosiddetti rapporti di estrazione.
Uno dei rapporti di gran lunga più interessanti era da un iPhone 5 con iOS 8. Il proprietario del telefono non ha usato un codice di accesso, il che significa che il telefono era completamente non criptato.
Ecco tutto ciò che è stato memorizzato su quell’iPhone 5, compresi alcuni contenuti cancellati.
(iOS 8 di Apple è stata la prima versione del software dell’iPhone a venire con la crittografia basata sul codice di accesso. Sarebbe stato sufficiente per contrastare il ladro medio di telefoni, ma potrebbe non aver ostacolato alcuni cracker di telefoni con l’hardware giusto. Cellebrite dice di non poter decifrare i codici di accesso sull’iPhone 4s e successivi. I telefoni iPhone 5s e successivi sono dotati di un co-processore secure enclave sul chip del processore principale dell’iPhone 5s, che rende il cracking del telefono significativamente più difficile)
Il telefono è stato inserito in un dispositivo Cellebrite UFED, che in questo caso era un computer dedicato nel dipartimento di polizia. L’ufficiale di polizia ha effettuato un’estrazione logica, che scarica ciò che è nella memoria del telefono in quel momento. (Motherboard ha più informazioni su come funziona il processo di estrazione di Cellebrite.)
In alcuni casi, conteneva anche dati che l’utente aveva recentemente cancellato.
Per quanto ne sappiamo, ci sono alcuni rapporti campione là fuori che galleggiano sul web, ma è raro vedere un esempio reale di quanti dati possono essere trafugati da un dispositivo abbastanza moderno.
Pubblichiamo alcuni frammenti del rapporto, con informazioni sensibili o identificabili redatte.
Copertina: la prima pagina del rapporto include il numero del caso delle forze dell’ordine, il nome dell’esaminatore e il dipartimento. Contiene anche informazioni uniche di identificazione del dispositivo.
Informazioni sul dispositivo:
Informazioni sul dispositivo: Il rapporto dettaglia a chi appartiene il telefono, incluso il numero di telefono, l’ID Apple registrato e gli identificatori unici, come il numero IMEI del dispositivo.
Plugins del software di estrazione:
Plugins: Questa parte descrive come funziona il software e cosa fa. Include l’estrazione di metadati Quicktime e la generazione di analisi. Il software può anche incrociare i dati dal dispositivo per costruire profili attraverso contatti, SMS e altre comunicazioni.
Località:
Locazioni: il software di estrazione registra la geolocalizzazione di ogni foto scattata e la visualizza su una mappa, permettendo all’investigatore di vedere ovunque il proprietario del telefono sia stato e quando.
Messaggi:
Messaggi: In questa vista “conversazione”, un investigatore può vedere tutti i messaggi di testo in ordine cronologico, permettendo loro di vedere esattamente ciò che è stato detto in un determinato periodo di tempo.
Account utente:
Account utente: questa parte rivela gli account utente del proprietario del telefono, a seconda di quante applicazioni sono installate. In questo caso, sono stati raccolti solo un nome utente e una password per Instagram.
Reti wireless:
Reti wireless: il software di estrazione scaricherà un elenco di tutte le reti wireless a cui il telefono si è collegato, compreso il loro tipo di crittografia e l’indirizzo MAC del router della rete, e quando il telefono si è collegato per l’ultima volta alla rete.
Registro chiamate:
Registro chiamate: Il rapporto contiene una lista completa delle registrazioni delle chiamate, incluso il tipo di chiamata (in entrata o in uscita), l’ora, la data e il numero di telefono della chiamata, e la durata della chiamata. Questo tipo di informazione è molto utile quando viene raccolta dalle agenzie di intelligence.
Contatti:
Contatti: I contatti nel telefono vengono aspirati dal software di estrazione, inclusi nomi, numeri di telefono e altre informazioni di contatto, come gli indirizzi e-mail. Anche i contenuti cancellati possono essere raccolti.
Applicazioni installate:
Applicazioni installate: Tutte le app installate, la loro versione e le impostazioni dei permessi sono registrate dal software di estrazione.
Note:
Note: Anche tutti i dati scritti nell’app Note vengono scaricati. Qui, abbiamo redatto quelle che sembrano essere informazioni sul conto bancario.
Voicemail:
Voicemail: i messaggi vocali memorizzati sul telefono sono raccoglibili e scaricati come file audio. Include anche il numero di telefono della persona che ha lasciato il messaggio vocale e la durata.
Configurazioni e database
Configurazioni e database: gli elenchi di proprietà (“plist”) memorizzano i dati delle app sugli iPhone. Questi singoli file contengono una grande quantità di informazioni, come configurazioni, impostazioni, opzioni e altri file di cache.
Activity analytics:
Activity analytics: per ogni numero di telefono, il motore analitico calcola quante azioni associate hanno avuto luogo, come messaggi di testo o chiamate.
Lascia un commento