Os arquivos vazados mostram como é um relatório de extração de telefone da Cellebrite
On Outubro 27, 2021 by admin
(Imagem: foto do arquivo)
No início deste ano, recebemos uma série de grandes arquivos criptografados, supostamente pertencentes a um departamento de polícia dos EUA, como resultado de um vazamento em um escritório de advocacia, que estava sincronizando de forma insegura seus sistemas de backup através da Internet sem uma senha.
Entre os arquivos estava uma série de lixeiras telefônicas criadas pelo departamento de polícia com equipamentos especializados, que foi criada pela Cellebrite, uma empresa israelense que fornece tecnologia de quebra de telefone.
A empresa de medicina legal digital é especializada em ajudar a polícia a prender os bandidos com sua gama de tecnologias. Ela ganhou fama no início deste ano, quando foi erroneamente colocada como a empresa que ajudou a desbloquear o iPhone do atirador de San Bernardino, o mesmo telefone que envolveu a Apple em um brouhaha legal com o FBI.
Isso não quer dizer que a Cellebrite não poderia ter ajudado.
O trabalho da Cellebrite é em grande parte secreto, e a empresa se equilibra em uma linha tênue entre revelar suas capacidades de fazer negócios e garantir que apenas os “bons da fita” tenham acesso à sua tecnologia.
Diz-se que a polícia americana gastou milhões nesse tipo de tecnologia de quebra de telefone. E não é surpreendente, porque a Cellebrite obtém resultados.
A empresa forense afirma que pode baixar quase todos os fragmentos de dados de quase todos os dispositivos em nome de agências de inteligência policial em mais de uma centena de países. Ele faz isso pegando um telefone apreendido da polícia, depois ligando-o e extraindo mensagens, ligações telefônicas, voicemails, imagens e mais do dispositivo usando sua própria tecnologia proprietária.
Ele então gera um relatório de extração, permitindo que os investigadores vejam de relance onde uma pessoa estava, com quem estava falando e quando.
Obtivemos vários desses chamados relatórios de extração.
Um dos relatórios mais interessantes, de longe, foi de um iPhone 5 rodando iOS 8. O dono do telefone não usou uma senha, o que significa que o telefone estava totalmente descriptografado.
Aqui está tudo o que estava armazenado naquele iPhone 5, incluindo algum conteúdo apagado.
(O iOS 8 da Apple foi a primeira versão do software do iPhone a vir com criptografia baseada em senha. Teria sido o suficiente para frustrar o ladrão médio de telefones, mas pode não ter impedido alguns crackers de telefones com o hardware certo. A Cellebrite diz que não pode quebrar as senhas no iPhone 4s e posteriores. Os aparelhos iPhone 5s e posteriores vêm com um co-processador de enclave seguro no chip do processador principal do iPhone 5s, o que torna a quebra do telefone significativamente mais difícil.)
O telefone foi conectado a um dispositivo UFED da Cellebrite, que nesse caso era um computador dedicado no departamento de polícia. O policial realizou uma extração lógica, que faz o download do que está na memória do telefone na época. (A placa-mãe tem mais sobre como o processo de extração da Cellebrite funciona.)
Em alguns casos, ela também continha dados que o usuário havia excluído recentemente.
Ao nosso conhecimento, há alguns exemplos de relatórios flutuando na Web, mas é raro ver um exemplo do mundo real de quantos dados podem ser extraídos de um dispositivo bastante moderno.
Estamos publicando alguns trechos do relatório, com informações sensíveis ou identificáveis redactas.
Front cover: a primeira página do relatório inclui o número do caso, o nome do examinador e o departamento. Também contém informações únicas de identificação do dispositivo.
Informação do dispositivo:
Informação do dispositivo: O relatório detalha a quem pertence o telefone, incluindo número de telefone, ID da Apple registrada e identificadores únicos, como o número IMEI do dispositivo.
Plugins do software de extração:
Plugins: Esta parte descreve como o software funciona e o que ele faz. Ela inclui a extração de metadados Quicktime e geração de análises. O software também pode cruzar dados do dispositivo para construir perfis através de contatos, SMS e outras comunicações.
Localizações:
Localizações: o software de extração registra a geolocalização de cada foto que foi tirada, e a visualiza em um mapa, permitindo ao investigador ver onde quer que o dono do telefone tenha estado e quando.
Mensagens:
Mensagens: Nesta vista de “conversação”, um investigador pode ver todas as mensagens de texto em ordem cronológica, permitindo-lhes ver exactamente o que foi dito dentro de um período de tempo especificado.
Contas de utilizador:
Contas de utilizador: esta parte revela as contas de utilizador do dono do telefone no telefone, dependendo de quantas aplicações estão instaladas. Neste caso, apenas um nome de usuário e senha para Instagram foi coletado.
Redes sem fio:
Redes sem fio: o software de extração irá baixar uma lista de todas as redes sem fio às quais o telefone se conectou, incluindo seu tipo de criptografia e o endereço MAC do roteador da rede, e quando o telefone se conectou à rede pela última vez.
Log de chamadas:
Log de chamadas: O relatório contém uma lista completa de registos de chamadas, incluindo o tipo de chamada (entrada ou saída), a hora, data e número de telefone da chamada, e duração da chamada. Este tipo de informação é altamente útil quando coletada por agências de inteligência.
Contactos:
Contactos: Os contactos no telefone são aspirados pelo software de extracção, incluindo nomes, números de telefone e outras informações de contacto, tais como endereços de e-mail. Mesmo conteúdo apagado pode ainda ser coletado.
Aplicações instaladas:
Aplicações instaladas: Todos os aplicativos instalados, sua versão e configurações de permissão são registrados pelo software de extração.
Notas:
Notas: Qualquer dado escrito no aplicativo Notes também é baixado. Aqui, nós redactamos o que parece ser informação de conta bancária.
Voicemail:
Voicemail: os voicemails armazenados no telefone são colecionáveis e baixados como arquivos de áudio. Também inclui o número de telefone da pessoa que deixou o correio de voz e a duração.
Configurações e bases de dados
Configurações e bases de dados: listas de propriedades (“plist”) armazenam dados de aplicações em iPhones. Esses arquivos individuais contêm uma grande quantidade de informações, como configurações, configurações, opções e outros arquivos de cache.
Análise de atividades:
Análise de atividades: para cada número de telefone, o mecanismo analítico calcula quantas ações associadas ocorreram, como mensagens de texto ou chamadas.
Deixe uma resposta